Технические средства обеспечения безопасности информационных технологий

Отметим случай взлома информационных систем, который состоялся совсем недавно, во время Давосского форума 2001 года. Компьютерные пираты взломали информационные системы этого Форума и похитили засекреченные данные более чем тысяч ее участников, которые содержали номера кредитных карточек, домашние адреса, номера домашних и мобильных телефонов, адреса электронной почты.

Своевременное выявление и раскрытие преступлений, совершаемых с использованием компьютерной техники, затрудняется высоким уровнем латентности данного вида преступлений (по оценкам специалистов, он достигает 90%). Не являются исключением и хищения в кредитно-финансовой сфере.

В 2000 году Европейская комиссия признала, что преступления, совершаемые с применением электронных средств, являются одним из серьезнейших препятствий для развития интернет-коммерции. Специалисты разделили такие преступления на четыре вида:

1) похищение персональных данных пользователей Интернета;

2) похищение денежных средств с банковских счетов;

3) попытки взлома серверов частных компаний;

4) создание вирусов и самовольная рассылка электронной почты.

16 декабря 1996 года Генеральная Ассамблея ООН, отмечая, что все большее число сделок в международной торговле заключается с помощью электронного обмена данными и других средств передачи данных, обычно называемых " электронной торговлей" , которые предусматривают использование альтернативных бумажным формам методов передачи и хранения информации, приняла Типовой закон об электронной торговле, разработанный и утвержденный Комиссией Организации Объединенных Наций по праву международной торговли (ЮНСИТРАЛ) и руководство по его применению.

В начале января 2001 года Государственная Дума приняла решение создать комитет, отвечающий за подготовку законопроекта об электронной цифровой подписи. Принятие такого закона даст существенный толчок развитию электронного бизнеса.

В заключение, говоря о приоритетах в развитии интернет-бизнеса в России, отметим, что сегодня ставка делается на развитие коммерции между предприятиями, тогда как еще в прошлом году основное внимание было обращено на потребительский рынок.

Перед государственными контролирующими и правоохранительными органами стоит задача не оказаться "догоняющими" криминальные проявления. Основной упор необходимо сделать на предупреждение правонарушений и преступлений, совершаемых в Интернете и с использованием Интернета. Причем сделать это можно только объединив усилия государственных и правоохранительных органов разных стран в рамках международного соглашения.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

3. Защита информации и прав субъектов в области информационных

процессов и информатизации

 

3.1. Цели защиты

 

Целями защиты являются: предотвращение утечки, хищения, утраты, искажения, подделки информации;

предотвращение угроз безопасности личности, общества, государства;

предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации;

предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы, обеспечение правового режима документированной информации как объекта собственности;

защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;

сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством;

обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологий и средств их обеспечения. 

3.2. Защита информации

 

1. Защите подлежит любая документированная информация, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу.

Режим защиты информации устанавливается:

в отношении сведений, отнесенных к государственной тайне, - уполномоченными органами на основании Закона Российской Федерации " О государственной тайне";

в отношении конфиденциальной документированной информации - собственником информационных ресурсов или уполномоченным лицом на основании Федерального закона " Об информации, информатизации и защите информации";

в отношении персональных данных - Федеральным законом " Об информации, информатизации и защите информации".

2. Органы государственной власти и организации, ответственные за формирование и использование информационных ресурсов, подлежащих защите, а также органы и организации, разрабатывающие и применяющие информационные системы и информационные технологии для формирования и использования информационных ресурсов с ограниченным доступом, руководствуются в своей деятельности законодательством Российской Федерации.

3. Контроль за соблюдением требований к защите информации и эксплуатацией специальных программно-технических средств защиты, а также обеспечение организационных мер защиты информационных систем, обрабатывающих информацию с ограниченным доступом в негосударственных структурах, осуществляются органами государственной власти. Контроль осуществляется в порядке, определяемом Правительством Российской Федерации.  

4. Организации, обрабатывающие информацию с ограниченным доступом, которая является собственностью государства, создают специальные службы, обеспечивающие защиту информации.

5. Собственник информационных ресурсов или уполномоченные им лица имеют право осуществлять контроль за выполнением требований по защите информации и запрещать или приостанавливать обработку информации в случае невыполнения этих требований.

6. Собственник или владелец документированной информации вправе обращаться в органы государственной власти для оценки правильности выполнения норм и требований по защите его информации в информационных системах. Соответствующие органы определяет Правительство Российской Федерации. Эти органы соблюдают условия конфиденциальности самой информации и результатов проверки.

 

3.3. Права и обязанности субъектов в области защиты информации

 

1. Собственник документов, массива документов, информационных систем или уполномоченные им лица в соответствии с Федеральным законом " Об информации, информатизации и защите информации" устанавливают порядок предоставления пользователю информации с указанием места, времени, ответственных должностных лиц, а также необходимых процедур и обеспечивают условия доступа пользователей к информации.

2. Владелец документов, массива документов, информационных систем обеспечивает уровень защиты информации в соответствии с законодательством Российской Федерации.

3. Риск, связанный с использованием несертифицированных информационных систем и средств их обеспечения, лежит на собственнике (владельце) этих систем и средств.

Риск, связанный с использованием информации, полученной из несертифицированной системы, лежит на потребителе информации.

4. Собственник документов, массива документов, информационных систем может обращаться в организации, осуществляющие сертификацию средств защиты информационных систем и информационных ресурсов, для проведения анализа достаточности мер защиты его ресурсов и систем и получения консультаций.

5. Владелец документов, массива документов, информационных систем обязан оповещать собственника информационных ресурсов и (или) информационных систем о всех фактах нарушения режима защиты информации.

3.4. Защита прав субъектов в сфере информационных процессов и информатизации

 

1. Защита прав субъектов в сфере формирования информационных ресурсов, пользования информационными ресурсами, разработки, производства и применения информационных систем, технологий и средств их обеспечения осуществляется в целях предупреждения правонарушений, пресечения неправомерных действий, восстановления нарушенных прав и возмещения причиненного ущерба.

2. Защита прав субъектов в указанной сфере осуществляется судом, арбитражным судом, третейским судом с учетом специфики правонарушений и нанесенного ущерба.

3. За правонарушения при работе с документированной информацией органы государственной власти, организации и их должностные лица несут ответственность в соответствии с законодательством Российской Федерации и субъектов Российской Федерации.

Для рассмотрения конфликтных ситуаций и защиты прав участников в сфере формирования и использования информационных ресурсов, создания и использования информационных систем, технологий и средств их обеспечения могут создаваться временные и постоянные третейские суды.

Третейский суд рассматривает конфликты и споры сторон в порядке, установленном законодательством о третейских судах.

4. Ответственность за нарушения международных норм и правил в области формирования и использования информационных ресурсов, создания и использования информационных систем, технологий и средств их обеспечения возлагается на органы государственной власти, организации и граждан в соответствии с договорами, заключенными ими с зарубежными фирмами и другими партнерами с учетом международных договоров, ратифицированных Российской Федерацией. 

3.5. Защита права на доступ к информации

 

1. Отказ в доступе к открытой информации или предоставление пользователям заведомо недостоверной информации могут быть обжалованы в судебном порядке.

Неисполнение или ненадлежащее исполнение обязательств по договору поставки, купли-продажи, по другим формам обмена информационными ресурсами между организациями рассматриваются арбитражным судом.

Во всех случаях лица, которым отказано в доступе к информации, и лица, получившие недостоверную информацию, имеют право на возмещение понесенного ими ущерба.

2. Суд рассматривает споры о необоснованном отнесении информации к категории информации с ограниченным доступом, иски о возмещении ущерба в случаях необоснованного отказа в предоставлении информации пользователям или в результате других нарушений прав пользователей.

3. Руководители, другие служащие органов государственной власти, организаций, виновные в незаконном ограничении доступа к информации и нарушении режима защиты информации, несут ответственность в соответствии с уголовным, гражданским законодательством и законодательством об административных правонарушениях.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

ЗАКЛЮЧЕНИЕ

 

В настоящее время действует ряд законодательных нормативно-правовых актов, основные из них:

-  Федеральный закон от 4 июля 1996 г. N 85-ФЗ

    "Об участии в международном информационном обмене";

Основная его цель создание условий для эффективного участия России в международном информационном обмене в рамках единого мирового информационного пространства, защита интересов Российской Федерации, субъектов Российской Федерации и муниципальных образований при международном информационном обмене, защита интересов, прав и свобод физических и юридических лиц при международном информационном обмене.

- Федеральный закон от 20 февраля 1995 г. N 24-ФЗ

   "Об информации, информатизации и защите информации".

Его основные функция: 

1. регулирование отношений возникающих при формировании и использовании информационных ресурсов на основе создания, сбора, обработки, накопления, хранения, поиска, распространения и предоставления потребителю документированной информации;
2. создании и использовании информационных технологий и средств их обеспечения;
3. защите информации, прав субъектов, участвующих в информационных процессах и информатизации.

 

 

 

 

 

 

 

 

 

ИСПОЛЬЗУЕМАЯ ЛИТЕРАТУРА

 

 

1. Федеральный закон от 4 июля 1996 г. N 85-ФЗ "Об участии в международном информационном обмене"
2. Федеральный закон от 20 февраля 1995 г. N 24-ФЗ "Об информации, информатизации и защите информации"
3. "Налоговый вестник" , N 4, апрель 2001 г.
4. ЦИЭС "Бизнес-Программы-Сервис"  "Финансовая газета" , N 27, июль 2001 г.

Постановление Правительства РФ от 28 февраля 1996 г. N 226 "О государственном учете и регистрации баз и банк