2015-04-08
1218
Источники права об информационных системах. К основным источникам права относятся:
а) нормы законов - Гражданский кодекс РФ (разделы 1, 2);Уголовный кодекс РФ (глава 28); Федеральный закон "Об обязательном экземпляре документов" от 29 декабря 1994 г. № 77- ФЗ; Федеральный закон "Об информации, информатизации и защите информации" от 20 февраля 1995 г. № 24-ФЗ; Федеральный закон"Об участии в международном информационном обмене" от 4 июля 1996 года № 85-ФЗ; Федеральный закон "О связи" от 16 февраля 1995 г. №15-ФЗ; Закон РФ "О сертификации продукции и услуг" от 10 июня 1993 г. № 5151-1 (с изменениями и дополнениями, внесенными Федеральным законом от 27 декабря 1995 г. № 211-ФЗ);
б) подзаконные нормативные правовые акты - "Концепция правовой информатизации России", утвержденная Указом Президента Российской Федерации от 23 апреля 1993 г. № 477; Указ Президента Российской Федерации от 27 декабря 1993 г. № 2293
"Вопросы формирования единого информационно-правового пространства Содружества Независимых Государств"; Указ Президента Российской Федерации от 31 декабря 1993 г. № 2334 "О дополнительных гарантиях права граждан на информацию"; Указ Президента Российской Федерации от 20 января 1994 г. № 170; Указ Президента Российской Федерации от 17 февраля 1994 г. № 328 "Вопросы деятельности Комитета при Президенте Российской Федерации по политике информатизации"; Указ Президента Российской Федерации от 21 февраля 1994 г. № 361 "О совершенствовании деятельности в области информатизации органов государственной власти Российской Федерации"; Указ Президента Российской Федерации от 1 июля 1994 г. № 1390 "О совершенствовании информационно-телекоммуникационного обеспечения органов государственной власти и порядке их взаимодействия при реализации государственной политики в сфере информатизации"; Президентская программа "Правовая информатизация органов государственной власти Российской Федерации", утвержденная Указом Президента Российской Федерации от 4 августа 1995 г. № 808; Постановление Правительства РФ от 12 января 1996 г. № 11 "Об улучшении информационного обеспечения населения Российской Федерации"; ведомственные нормативные акты ("Основные направления информатизации Вооруженных Сил Российской Федерации", одобренные Минобороны Российской Федерации; концепция создания единой телекоммуникационной системы Минобороны России "Широта"; концепция создания информационно-телекоммуникационной системы специального назначения (ИТКС) ФАПСИ);
в) Международные договоры и соглашения - Концепция формирования информационного пространства СНГ, утвержденная решением Совета Глав Правительств СНГ от 18 октября 1996 г.;
Рекомендательный законодательный акт МПА СНГ "О принципах регулирования
информационных отношений в государствах - участниках Межпарламентской Ассамблеи"
от 23 мая 1993 г.;
Рекомендация СЕ (1970) "О средствах массовой коммуникации и правах человека";
Конвенция (108) ЕС от 28.01.81 "О защите личности в отношении автоматизированной
обработки персональных данных";
Рекомендация СЕ (1984) "О деятельности Совета Европы, относящейся к средствам
массовой коммуникации";
Решение 87/95/ЕЕС от 22.12.86 (стандартизация в области информационной технологии и
связи);
Рекомендация СЕ (1989) "О Европейской Конвенции по трансграничному телевидению";
Конвенция СЕ (1989) "Европейская Конвенция о трансграничном телевещании";
Резолюция СЕ (1990) "О развитии телекоммуникаций в Европе";
Декларация СЕ (1991) "О политике в области средств массовой коммуникации в
меняющейся Европе";
Директива 91/2 5 О/ЕС "О правовой защите компьютерных программ";
Директива 91/1 О/ЕС "О правах на аренду, заем и другие смежные права, авторские права в
области интеллектуальной собственности";
Директива 91/83/ЕС "О координации определенных постановлений в отношении авторских
и смежных прав при передаче через спутники и по кабельным сетям";
Директива 95/46/ЕС от 24.10.95 "О защите личности при автоматической обработке
персональных данных и о свободном обращении этих данных";
Директива 96/9/ЕС "О правовой защите баз данных";
Директива 97/13/ЕС (лицензии в области связи);
Директива 97/33/ЕС (взаимодействие через открытые сети);
Директива 97/66/ЕС от 15.12.97 (обработка персональных данных и защита
конфиденциальной информации в секторе связи) и др.
Сегодня существует множество классификаций видов угроз, среди которых различают:
угрозы в отношении информации, циркулирующей в информационных системах, и угрозы
собственно информационным системам; внешние и внутренние угрозы; по источникам
угроз, по принципам и способу их воздействия на информационные системы, по целям
воздействия и по используемым при этом средствам и т. д.
Одновременно с усилением зависимости развития человечества от информатизации
активизируются попытки обратить эту зависимость в свою пользу, как со стороны
высокоразвитых стран, так и со стороны тех, кто серьезно отстает от этих процессов. Так,
например, в США не скрывают своих претензий на мировое лидерство, в том
числе путем завоевания превосходства в этой сфере. В то же время, по оценкам
американских экспертов, от 30 до 50 государств считают США объектом компьютерного
шпионажа. Так, еще в июне 1996 года на состоявшихся слушаниях в Конгрессе США было
отмечено, что защита американских информационных и телекоммуникационных систем от
информационного воздействия является одной из главных составляющих обеспечения
национальной безопасности страны. С целью усиления координации проводимых работ в
данном направлении бывшим директором ЦРУ Д. Дейчем тогда было высказано
предложение по созданию при Агентстве национальной безопасности (АНБ) США
специального центра для ведения информационной войны и отражения угроз в указанной
области.
По оценке ФАПСИ- внешняя угроза информационной безопасности в национальных
информационно-телекоммуникационных системах может проявляться в следующих
формах:
сбор конфиденциальной информации в различных системах связи, в том числе путем
несанкционированного доступа (НСД) в компьютерные сети;
использование, в основном, импортных аппаратных и программно-аппаратных комплексов при создании отечественных информационно-телекоммуникационных систем, что существенно увеличивает возможности иностранных спецслужб получать важную конфиденциальную информацию из наших телекоммуникационных систем (ФАПСИ располагает сведениями о так называемых "скрытых функциональных возможностях" программного обеспечения и других средствах и методах перехвата информации, которые могут быть заложены в телекоммуникационные системы. Актуальной проблемой в данной области является выявление в программном продукте иностранного производства скрытых функциональных возможностей, в том числе средств конспиративного (негласного) съема информации, реализующих деструктивные функции в системе);
попытки продвижения на российский рынок зарубежных средств защиты информации, разработанных, в большинстве своем, с учетом интересов иностранных спецслужб. (В связи с этим
принципиально недопустимо использование для закрытия государственно значимой информации импортных средств шифрования. Именно такая норма содержится в законодательстве США, где запрещено использовать технические и программные средства зарубежного производства в интересах обеспечения национальной безопасности); использование информационного оружия против информационных систем (что рассматривалось в первой главе);
подключение к открытым информационным системам, в том числе Интернет, наряду с прогрессом в продвижении к единому информационному пространству таит в себе и специфические опасности для национальных информационных систем. Наряду с проявлениями внешней угрозы вмешательства в информационные системы существуют и внутренние угрозы. Среди них принято выделять:
попытки проникновения "хакеров" в компьютерные сети органов государственной власти, банков, предприятий и т. п.;
утрата конфиденциальных сообщений, передаваемых средствами документальной электросвязи, кражи и уничтожение банковской информации и программного обеспечения систем электронных платежей, отправка фальшивых авизо с использованием кодов подтверждения достоверности межбанковских операций и возможностей локальных сетей коммерческих банков. По данным специалистов США, снятие элементов защиты информации с компьютерных систем приведет к разорению 20% средних компаний в течение нескольких часов, 48% потерпят крах через несколько дней, 33% банков "лопнет" через несколько часов, 50% - через несколько дней. Суммарный ежегодный ущерб от компьютерных преступлений только в странах Западной Европы составляет порядка 30 млрд долл. В России ущерб от компьютерных преступлений до сих пор интегрально не подсчитывался, но с учетом их возможных масштабов сумма ущерба представляется весьма значительной. В связи с этим компьютерная преступность становится важнейшей проблемой как для России, так и для всего мирового сообщества.
Наряду с этим к внутренним угрозам, по мнению профессора Липаева В. В. - автора многих книг об открытых системах, следует отнести непредумышленные дефекты самих информационных систем и действия операторов, что может также привести к возникновению нештатных ситуаций в информационных системах. По источникам угроз безопасности все угрозы можно разделить натри группы.-Антропогенные (непосредственно созданные людьми) - непреднамеренные или преднамеренные действия: обслуживающего персонала и управленческого персонала, программистов, пользователей, архивной службы, службы безопасности информационной системы; действия несанкционированных пользователей (деятельность иностранных разведывательных и специальных служб, криминальных структур, недобросовестных партнеров и конкурентов, а также противозаконная деятельность иных отдельных лиц). Техногенные (некачественные технические и программные средства обработки информации; средства связи, охраны, сигнализации; другие технические средства,
применяемые в учреждении; глобальные техногенные угрозы (опасные производства, сети энерго-, водоснабжения, канализации, транспорт и т. п.), приводящие к пропаже или колебаниям электропитания и других средств обеспечения и функционирования, отказам и сбоям аппаратно-программных средств, электромагнитные излучения и наводки, утечки через каналы связи (оптические, электрические, звуковые) и т. п.). Природные (стихийные бедствия, магнитные бури, радиоактивное воздействие). Например, мировой опыт и статистический анализ случаев компьютерных преступлений в банковской сфере показывает, что среди них: кража денег - 36%; кража услуг - 34%; кража информации - 12%; подделка данных - 8%; вымогательство - 4%; нанесение ущерба программам - 2%; нанесение ущерба оборудованию - 2%; помехи нормальной работе - 2%. По наличию умысла угрозы подразделяются на преднамеренные (с умыслом) и непреднамеренные (случайные). С учетом анализа международного опыта зашиты информации и опыта проведения аналогичных работ в отечественных организациях злоумышленные действия персонала, работающего в учреждении, можно разделить с учетом социальных предпосылок, характерных для России, на четыре основные категории:
а) Прерывание - прекращение нормальной обработки информации, например, вследствие разрушения вычислительных средств. Такая категория действий может вызвать весьма серьезные последствия, если даже информация при этом не подвергается никаким воздействиям.
б) Кража - чтение или копирование информации, хищение носителей информации с целью получения данных, которые могут быть использованы против интересов владельца (собственника) информации.
в) Модификация информации - внесение несанкционированных изменений в данные, направленные на причинение ущерба владельцу (собственнику) информации.
г) Разрушение данных - необратимое изменение информации, приводящее к невозможности ее использования.
Обобщая данные анализа, при этом можно констатировать, что вероятность реализации случайных угроз выше, чем преднамеренных, но финансовый ущерб больше от реализации последних.
По средствам воздействия на информационные системы наиболее полный известный анализ угроз и их общую классификацию дан в исследованиях группы отечественных ученых под руководством П. Д. Зегжды.
По данным глобального опроса в 50 странах мира среди 1600 специалистов в области защиты информации, который проводили летом 1998 г. компании Information Week и Pricewaterhouse Coopers, самая распространенная угроза безопасности в 1997 г. - это компьютерные вирусы. Если в 1991 г. вирусная угроза была зафиксирована 22% опрошенных, а в 1992 г. - 44%, то в 1997 г. - более 60%. При этом большая часть угроз по-прежнему исходят изнутри компании: 58% опрошенных компаний предполагают, что один или более сотрудников и других авторизованных пользователей злоупотребляли своими правами (в 1991 г. - 75%). Неавторизованные пользователи проникали в корпоративные сети только в 24% случаев; поставщики и покупатели являются источниками атак только в 12%
случаев. "Соотношение внутренних/внешних угроз - 60:40, ранее - 80:20. По некоторым оценкам, число вирусов удваивается каждый год. Как следствие, антивирусные средства являются самыми распространенными средствами защиты информации (среди опрошенных компаний (более 90%). Следующим распространенным средством защиты являются межсетевые экраны. Средства адаптивного управления безопасностью, такие как системы анализа защищенности и обнаружения атак, пока применяются не столь широко, как того требуют динамично изменяющиеся сетевые технологии.-
Поскольку полное устранение перечисленных угроз принципиально невозможно, то проблема состоит в выявлении факторов, от которых они зависят, в создании методов и средств уменьшения их влияния на ПС, а также в рациональном распределении ресурсов
для обеспечения создания системы, равнопрочной как в плане качества функционирования, так и информационной безопасности. Для решения этой проблемы В. В. Липаев предлагает в качестве одного из эффективных методов - сертификацию. По его оценке, сертификация, как апробированный механизм целенаправленных испытаний, должна быть в максимальной степени ориентирована на противодействие перечисленным угрозам и нейтрализацию негативных последствий их реализации. При этом, в силу существующей зависимости, обеспечение качества функционирования ИС в условиях потенциальной реализации угроз является определенной гарантией информационной безопасности ИС. По частоте проявления угрозы безопасности распределяются так в порядке убывания: копирование и кража программного обеспечения; несанкционированный ввод данных; модификация или уничтожение данных на магнитных носителях информации; кража (съем) информации;
несанкционированное использование ресурсов в системе; несанкционированный доступ к информации.
Вероятность возникновения угроз может быть существенно снижена: кража магнитных носителей и результатов печати, порча
оборудования - организационными мерами; электромагнитные воздействия и перехват информации в системах - техническими средствами защиты; съем информации по акустическому каналу - защитой от подслушивания; отключение электропитания системы -инженерно-техническими средствами. Оставшиеся виды угроз наиболее опасны, что доказывает необходимость комплексного решения проблемы защиты с применением организационных, аппаратно-технических, программно-математических и правовых средств защиты.
В данном случае используется подход, когда для защиты от каждого вида угроз должны разрабатываться свои способы, которые должны ориентироваться не на максимальный, а на необходимый уровень защиты. В то же время некоторые ученые и практики считают, что существующий подход к построению систем защиты, заключающийся в выявлении и анализе множества угроз и создании средств защиты, препятствующих осуществлению каждого из типов угроз, является неэффективным и тупиковым. Это объясняется открытостью и экспоненциальным характером роста множества угроз, постоянным возникновением их качественно новых типов. Вместе с тем, любой из типов угроз - как существующих, так и тех, что появятся в будущем, обусловлен наличием определенных недостатков в системах обеспечения безопасности. Повышение надежности самой системы и устранение данных причин (в идеальном случае) позволит минимизировать возможность осуществления угроз безопасности. Неоспоримым преимуществом данного подхода, по мнению П. Д. Зегжды, является возможность эффективного противостояния как существующим, так и перспективным типам угроз, что не в состоянии обеспечить традиционный подход. Использование семантики информации в качестве основы для разграничения доступа к ней дает возможность построить систему защиты данных в соответствии с их информационной ценностью. На наш взгляд, целесообразно использовать преимущества как первого, так и второго подходов.
Основные направления обеспечения безопасности в информационных системах можно определить в зависимости от их уровня и угроз этим системам в соответствии с приведенной классификацией таких угроз, и они предполагают комплексное решение проблемы защиты с применением организационных,
аппаратно-технических, программно-математических и правовых средств защиты.-Совокупность применения таких мер и средств защиты принято называть среди специалистов политикой безопасности. Политика безопасности информационной системы обычно состоит из трех частей: общие принципы (определяют подход к безопасности в системе); правила работы (определяют что разрешено, а что - запрещено; могут дополняться конкретными процедурами и различными руководствами); технические решения (технический анализ, который помогает выполнять принципы и правила
политики). Однако, как в теории, так и на практике подобная политика безопасности, как
правило, не предусматривает правовых средств защиты, упоминая лишь в лучшем случае
об ответственности за компьютерные преступления. Рассмотрим это на некоторых
примерах организации защиты информационных систем разных уровней, а вопросы их
правовой охраны и защиты рассмотрим подробнее в следующих параграфах данной главы.
На уровне персонального компьютера.
Еще недавно самая большая угроза информационной безопасности настольного ПК
исходила от дискет неизвестного происхождения, легко угадываемых паролей и
любопытных коллег по работе. С появлением Интернет возникли новые потенциальные
опасности и угрозы на этом уровне, что предполагает использование и новых технических
и программных средств защиты. К их числу можно отнести-:
персональные комплексы безопасности (персональные комплексы безопасности
отличаются широкой функциональностью: от антивирусных программ до шифраторов
данных и фильтров ActiveX и Java. Например, в инструментальный комплекс Desktop
Security Suite входят антивирусные программы, средства шифрования, персональный
брандмауэр и утилиты резервирования данных);
диспетчеры cookie-файлов (служебных сообщений) - программы, с помощью которых
можно отыскивать и удалять
cookie-файлы, которые могут быть использованы для слежения за деятельностью
пользователя в Сети, что породило опасения относительно возможных нарушений
конфиденциальности;
надежные алгоритмы шифрования - единственный способ, гарантирующий
неприкосновенность электронной почты пользователя (общепринятым стандартом
шифрования электронной почты становится спецификация S/MIME). Так называемые
бреши в защите браузеров дают возможность посторонним лицам просматривать вашу
электронную почту. Например, в первой половине 1997 г. фирма Netscape выпустила
программную заплату для ликвидации бреши, через которую посторонние могли читать
сообщения клиентов службы Netscape Mail, работавших спакетами Navigator 3.0 и
подключенным модулем Бпосклуауефирмы Macromedia.
На уровне локальной, корпоративной сети-.
Обеспечение информационной безопасности корпоративных сетей, (где их эксплуатация
связана с использованием мощных СУБД, работой сотен пользователей и включением в
глобальные сети связи, что облегчает доступ неопределенного круга лиц к ресурсам такой
системы) требует специальной стратегии безопасности, составными частями которой
должны стать разработка совокупности документированных управленческих решений,
оценка рисков и оптимальный выбор защитных средств, составление программы мер по
поддержанию безопасности. К политике безопасности на этом уровне относят:
1) принципы защиты информации в информационных системах:
целостность содержания информации (позволяет получателю убедиться, что содержание
сообщения не модифицировано);
целостность последовательности сообщений (позволяет получателю убедиться в том, что
последовательность сообщений не изменена);
конфиденциальность содержания информации (позволяет отправителю быть уверенным,
что никто не прочитает сообщения, кроме определенного получателя);
аутентификация источника сообщений (отправитель получает возможность
аутентифицироваться у получателя как источник
сообщения, а также у любого устройства передачи сообщений, через которое они
проходят);
доказательство доставки информации (отправитель может убедиться в том, что сообщение
доставлено неискаженным нужному получателю);
доказательство подачи информации (отправитель может убедиться в идентичности
устройства передачи сообщения, на которое оно было подано);
безотказность источника информации (позволяет отправителю доказать получателю, что
переданное сообщение принадлежит ему);
безотказность поступления информации (позволяет отправителю сообщения получить от
устройства передачи сообщения, на которое оно поступило, доказательство того, что
сообщение поступило на это устройство для доставки определенному получателю);
безотказность доставки информации (позволяет отправителю получить от получателя
доказательство получения им сообщения);
управление контролем доступа к информации (позволяет двум компонентам системы
обработки сообщений установить безопасные соединения);
защиту от попыток расширения своих законных полномочий (на доступ, формирование,
распределение и т. д.), а также изменения(без санкции на то) полномочий других
пользователей;
защиту от модификации программного обеспечения путем добавления новых функций.
(Аналогичные принципы должны быть и в отношении защиты самих информационных
систем);
2) управление персоналом (отбор, контроль в процессе деятельности, воспитание сознательного отношения к соблюдению правил безопасности);
3) обеспечение физической защиты информации, в том числе регулярное защищенное резервное ее копирование, протоколирование и аудит всех выполняемых в системе действий, шифрование информации, экранирование кабельных сетей;
4) поддержка работоспособности системы и предупреждение ее вскрытия и проникновения в нее вирусов (резервирование
оборудования, использование проверки подлинности пользователя, использование брандмауэров - устройств и программ, выполняющих функции межсетевых экранов, ограничение использования дисков CD-ROM и гибких дисков, разграничение прав доступа и т. п.); 5)
немедленное реагирование на проявление угрозы; 6)
опережающее планирование восстановительных работ.
К числу основных направлений обеспечения информационной безопасности в
общегосударственных информационных и телекоммуникационных системах отнесены:
предотвращение перехвата информации из помещений и объектов, а также информации,
передаваемой по каналам связи с помощью технических средств;
исключение несанкционированного доступа к обрабатываемой или хранящейся в
технических средствах информации;
предотвращение утечки обрабатываемой информации за счет побочных электромагнитных
излучений и наводок, создаваемых функционирующими техническими средствами,
преобразований, а также за счет электроакустических преобразований;
предотвращение специальных программно-технических воздействий, вызывающих
разрушение, уничтожение, искажение информации или сбои в работе средств
информатизации;
выявление внедренных на объекты и в технические средства электронных устройств
перехвата информации.
Безусловными недостатками такого подхода являются два момента: 1) то, что
перечисленные направления относятся, в основном, к защите информации,
циркулирующей в информационной системе, и 2) обеспечение защиты здесь предлагается
осуществлять без указания на использование при этом средств и способов правовой охраны
и защиты.
Так, предотвращение перехвата с помощью технических средств информации,
передаваемой по каналам связи, а также исключение несанкционированного доступа к
информации, обрабатываемой или хранящейся в технических средствах, достигаются
путем применения специальных методов и средств защиты, включая криптографические, а
также проведения организационно-технических мероприятий.
Предотвращение утечки обрабатываемой информации за счет побочных электромагнитных излучений и наводок, а также электроакустических преобразований достигается путем применения защищенных технических средств, аппаратных средств защиты, средств активного противодействия, экранирования зданий или отдельных помещений, установления контролируемой зоны вокруг средств информатизации и другими организационными и техническими мерами.
Предотвращение специальных программно-технических воздействий, вызывающих разрушение, уничтожение, искажение информации или сбои в работе средств информатизации, достигается с помощью специальных программных и аппаратных средств защиты, организации контроля безопасности программного обеспечения. Выявление внедренных на объекты и в технические средства электронных устройств перехвата информации осуществляется в ходе специальных обследований помещений (объектов) и специальных проверок технических средств.
Предотвращение перехвата техническими средствами речевой информации из помещений и объектов достигается применением специальных средств защиты, реализацией проектных решений, обеспечивающими звукоизоляцию помещений, выявлением и нейтрализацией специальных средств съема информации и другими организационными и режимными мероприятиями.
- Маркоменко В. И. Защита информации в информационно-телекоммуникационных системах органов государственной власти. Системы безопасности. 1996 № 6. -
Концепция Центробанка России обеспечения защиты информации кредитно-финансового учреждения. М., 1996.; Левкин В. В. и др. Оценка экономической эффективности системы защиты от несакционированного доступа СНЕГ. Безопасность информационных технологий. 1996. № 3. С. 90-101; Стене Д., Мун С. Секреты безопасности сетей. Киев. 1996; Романов М. Ю., Скородумов Б. И. Безопасность информации в автоматизированных системах банковских расчетов. М., 1998. С. 45-70. -
Теория и практика обеспечения информационной безопасности / Под ред. П. Д. Зегжды. М., 1996.
- Лукацкий А. В., руководитель отдела Internet-решений НИП "Информзащита". Информационная безопасность в фактах и цифрах. М., 1998. -
Галатенко В. А. Информационная безопасность: практический подход. - Под редакцией члена-корреспондентаРАНВ. Б. Бетелина. М., 1998. -
Скот Финни. Информационная безопасность настольных ПК. PC Magazine. 1997. №9. С. 149. -
Материалы семинара "Безопасность в информационных системах". 27-29 мая 1996 г. "Банковские технологии". 1996. № 7.
15.2. Охрана прав на информационные системы
Следует различать правовую охрану и защиту права на информацию в информационных
системах и защиту прав в отношении самих информационных систем. Целями правовой
охраны и защиты в данном случае являются:
предотвращение несанкционированных действий по уничтожению, модификации,
искажению, копированию, блокированию информации, находящейся в информационной
системе;
предотвращение других форм незаконного вмешательства в информационные системы;
защита конституционных прав граждан на сохранение личной тайны и
конфиденциальности персональных данных, имеющихся в информационных системах;
обеспечение прав субъектов при разработке, производстве и
применении информационных систем
Охрана права собственника (владельца) на информационную систему возникает с момента
ее создания (приобретения) на законном основании и действует в объеме и порядке,
предусмотренном Гражданским кодексом Российской Федерации (раздел II), что
подтверждено Федеральным законом "Об участии в международном информационном обмене", в котором указано, что информационные системы используются только по волеизъявлению их собственника или уполномоченного им лица (ст. 9), а доступ физических и юридических лиц к этим системам осуществляется по правилам, установленным собственником или владельцем этих систем в соответствии с законодательством Российской Федерации (ст. 12). В то же время такая правовая охрана в каждом конкретном случае будет иметь свою специфику в зависимости от вида информационных систем: открытые (для общего пользования) или закрытые (для ограниченного круга пользователей); государственные или негосударственные; национальные или международные и т. д. На основе анализа действующего законодательства можно выделить основные права и обязанности собственника информационной системы.
Собственник (владелец) информационной системы имеет в отношении этой системы следующие права:
1) включать в состав своего имущества и использовать информационную систему в качестве товара (продукции) по своему усмотрению при соблюдении исключительных прав ее разработчиков, в том числе - отчуждать в собственность другим лицам; передавать им, оставаясь собственником, права владения, пользования, распоряжения и доверительного управления информационной системой; отдавать в залог; свободно распоряжаться иным образом и обременять другими способами;-
2) самостоятельно определять условия использования системы, в том числе устанавливать порядок предоставления пользователю
информации с указанием места, времени, ответственных должностных лиц, а также необходимых процедур доступа к информационной системе;
3) устанавливать необходимые ограничения для пользователей, включая обслуживающий персонал, в интересах обеспечения информационной безопасности системы и требовать их выполнения в соответствии с действующим законодательством; 4)
разрешать (прекращать) доступ пользователей к информационной системе на договорной основе, при этом доступ к сетям связи осуществляется в соответствии с Федеральным законом "О связи"; 5)
обращаться в организации, осуществляющие сертификацию средств защиты информационных систем, для проведения анализа достаточности мер защиты его систем и получения консультаций; 6)
требовать от организаций, выполняющих работы в области проектирования, производства средств защиты информации и обработки персональных данных в информационных системах лицензии на этот вид деятельности;
7) требовать от третьих лиц воздерживаться от незаконного доступа к информационным системам и привлечения лиц, виновных в нарушении его прав и законных интересов, к гражданско-правовой, административной или уголовной ответственности.
При реализации своих прав собственник (владелец) информационной системы обязан:
1) обеспечить открытость установленных им правил доступа и возможность ознакомления с ними пользователя; 2)
обеспечить условия доступа пользователей к информации в соответствии с федеральными законами и установленным им порядком; 3)
обеспечить необходимый уровень защиты информации, циркулирующей в информационной системе, в соответствии с законодательством Российской Федерации;
4) защищать права автора информационной системы в соответствии с законодательством Российской Федерации;
5) проводить сертификацию информационных систем, предназначенных для информационного обслуживания граждан и организаций в порядке, установленном
Законом Российской Федерации "О сертификации продукции и услуг". При этом информационные системы органов государственной власти
Российской Федерации и органов государственной власти субъектов Российской Федерации, других государственных органов, организаций, которые обрабатывают документированную информацию с ограниченным доступом, а также средства защиты этих систем подлежат обязательной сертификации в соответствии с законодательством Российской Федерации. Сертификация сетей связи производится в порядке, определяемом Федеральным законом "О связи". Выдача сертификатов и лицензий возложена законом на Гостехкомиссию России и ФАПСИ;-
6) осуществлять включение информационных систем в состав средств международного обмена только при наличии международного кода в порядке, устанавливаемом Правительством Российской Федерации, а в отношении систем с особыми правилами доступа к информации - с разрешения Гостехкомиссии России при Президенте Российской Федерации и ФАПСИ; 7)
обеспечивать условия для осуществления контроля за соблюдением требований к защите информации и эксплуатацией специальных программно-технических средств защиты, а также обеспечение организационных мер защиты информационных систем, обрабатывающих информацию с ограниченным доступом в негосударственных структурах, со стороны органов государственной власти, а также со стороны собственника информационных ресурсов или уполномоченных им лиц в отношении защиты информации, находящейся в информационной системе; 8)
оповещать собственника информационных ресурсов и (или)информационных систем о всех фактах нарушения режима защиты информации. При обнаружении нештатных режимов функционирования средств международного информационного обмена, то есть возникновения ошибочных команд, а также команд, вызванных несанкционированными действиями обслуживающего персонала или иных лиц, либо ложной информации своевременно сообщить об этом в органы контроля - государственные органы исполнительной
власти за осуществлением международного информационного обмена и собственнику (владельцу) взаимодействующих средств международного информационного обмена, в противном случае он несет ответственность за причиненный ущерб.
Как видно из приведенного перечня прав и обязанностей субъектов правоотношений в данной области охрана прав субъектов сведена, в основном, к охране прав и интересов собственников и владельцев информационных систем, но не их пользователей. Вместе с тем государство должно определить степень своего участия в регулировании процессов создания и функционирования закрытых негосударственных (корпоративных) систем, а также открытых систем, прежде всего, в интересах защиты прав граждан. В действующем законодательстве не нашли надлежащего закрепления отношения, связанные с обязанностями субъектов по созданию надежных и безопасных информационных систем, по их качественной и безопасной эксплуатации, обеспечению информационной безопасности, как для систем, так и для пользователей; а также правоотношения, устанавливающие ответственность собственников (владельцев) за создание, функционирование и эксплуатацию информационных систем, не удовлетворяющих стандартам и требованиям безопасности. В результате, например, конституционное право граждан на тайну телефонных переговоров, установленное п. 2 ст. 23 Конституции Российской Федерации, реализовать сегодня крайне трудно.-
Все виды производства информационных систем составляют специальную отрасль экономической деятельности, развитие которой определяется государственной научно-технической и промышленной политикой информатизации. В соответствии со ст. 3. Федерального закона "Об информации, информатизации и защите информации" государственная политика в сфере информатизации применительно к информационным системам должна быть направлена на создание условий для эффективного и качественного
информационного обеспечения решения стратегических и оперативных задач социального
и экономического развития Российской Федерации и включает в себя следующие основные
направления:
создание и развитие федеральных и региональных информационных систем и сетей,
обеспечение их совместимости и взаимодействия в едином информационном пространстве
Российской Федерации;
обеспечение национальной безопасности в сфере информатизации, а также обеспечение
реализации прав граждан, организаций в условиях информатизации;
содействие формированию рынка информационных услуг и информационных систем;
формирование и осуществление единой научно-технической и промышленной политики в
сфере информатизации с учетом современного мирового уровня развития
информационных технологий;
поддержка проектов и программ информатизации;
создание и совершенствование системы привлечения инвестиций и механизма
стимулирования разработки и реализации проектов информатизации;
развитие законодательства в сфере информатизации и защиты информации.
Кроме того, на этапе разработки и производства информационных систем, в соответствии
со ст. 16 Закона, государство создает условия для проведения научно-исследовательских и
опытно-конструкторских работ в области разработки и производства информационных
систем.
Правительство Российской Федерации определяет приоритетные направления развития
информатизации и устанавливает порядок их финансирования, при этом разработка и
эксплуатация федеральных информационных систем финансируются из средств
федерального бюджета по статье расходов "Информатика" ("Информационное
обеспечение"-;
органы государственной статистики устанавливают правила учета и анализа состояния
отрасли экономической деятельности, развитие которой определяется государственной
научно-технической и промышленной политикой информатизации.
К недостаткам данного перечня обязанностей государства в этой области следует, на наш
взгляд, отнести то обстоятельство, что не всегда провозглашенные здесь права субъектов
правоотношений дополняются обязанностями государства по их обеспечению. Так,
например, в соответствии со ст. 16 Федерального закона "Об информации,
информатизации и защите информации" провозглашено равенство прав государственных,
негосударственных организаций и граждан на разработку и производство информационных
систем. Однако, отсутствие в законе прямого указания на обязанности государственных
органов обеспечивать равенство этих прав субъектов приводит к тому, что на практике это
равенство реализовать крайне затруднительно.
Особого порядка охраны прав и законных интересов личности, общества и государства
требует угроза применения информационного оружия, в том числе деструктивного
информационного воздействия при международном информационном обмене. В ст. 4
Федерального закона "Об участии в международном информационном обмене"
устанавливаются обязанности государства в сфере международного информационного
обмена, в соответствии с которыми, применительно к информационным системам, органы
государственной власти Российской Федерации и органы государственной власти
субъектов Российской Федерации:
создают условия для обеспечения Российской Федерации, субъектов Российской
Федерации, муниципальных образований,
физических и юридических лиц Российской Федерации иностранными информационными
услугами;
содействуют внедрению современных информационных технологий, обеспечивающих
эффективное участие Российской Федерации, субъектов Российской Федерации,
муниципальных образований, физических и юридических лиц Российской Федерации в международном информационном обмене;
обеспечивают защиту российских информационных систем, участвующих в международном информационном обмене и соблюдение правового режима информации; стимулируют расширение взаимовыгодного международного информационного обмена документированной информацией и охраняют законные интересы Российской Федерации, субъектов Российской Федерации, муниципальных образований, физических и юридических лиц в Российской Федерации;
создают условия для защиты отечественных собственников и владельцев информационных систем при международном информационном обмене, пользователей от некачественной и недостоверной иностранной информации, недобросовестной конкуренции со стороны физических и юридических лиц иностранных государств в информационной сфере. Кроме того, в этом законе предусмотрено, что: -
включение информационных систем в состав средств международного обмена осуществляется при наличии международного кода в порядке, устанавливаемом Правительством РФ, а в отношении систем с особыми правилами доступа к информации - с разрешения Гостехкомиссии РФ и ФАПСИ (ст. 10); -
средства международного информационного обмена для обработки информации с ограниченным доступом, а также средства защиты этих средств подлежат обязательной сертификации в порядке, определяемом Федеральным законом РФ "О связи" (ст. 17); -
деятельность при вывозе (ввозе) информации государственных информационных ресурсов подлежит лицензированию (ст. 18);при этом выдача сертификатов и лицензий возложена законом на Гостехкомиссию и ФАПСИ (ст. 9);
- при обнаружении нештатных режимов функционирования информационных систем, т.е. возникновении ошибочных команд, а
также команд, вызванных несанкционированными действиями обслуживающего персонала или иных лиц, либо ложной информации собственник или владелец этих средств должен своевременно сообщить об этом в органы контроля за осуществлением международного информационного обмена и собственнику или владельцу взаимодействующих средств международного информационного обмена, в противном случае он несет ответственность за причиненный ущерб (ст. 9);
- в случае противоправных действий органы исполнительной власти (РФ и субъектов РФ), осуществляющие контроль за международным информационным обменом, могут приостановить его на любой стадии до 2 месяцев, что может быть обжаловано в суде (ст. 16, 19).
Основными направлениями международного сотрудничества Российской Федерации в
области обеспечения информационной безопасности в соответствии с Доктриной
информационной безопасности РФ являются:
запрещение разработки, распространения и применения "информационного оружия"-;
обеспечение безопасности международного информационного обмена, в том числе
сохранности информации при ее передаче по национальным телекоммуникационным
каналам и каналам связи;
координация деятельности правоохранительных органов стран, входящих в мировое
сообщество, по предотвращению компьютерных преступлений;
предотвращение несанкционированного доступа к конфиденциальной информации в
международных банковских телекоммуникационных сетях и системах информационного
обеспечения мировой торговли, к информации международных правоохранительных
организаций, ведущих борьбу с транснациональной организованной преступностью,
международным терроризмом, распространением наркотиков и психотропных веществ,
незаконной торговлей оружием и расщепляющимися материалами, а также торговлей
людьми.
При этом необходимо определить перечень информационных систем, где государство должно нести стопроцентную ответственность за их охрану и защиту (системы управления федеральных органов государственной власти, управления войсками и оружием, обеспечения банковской и финансовой стабильности и т. п.), критерии безопасности таких систем. Примером такой закрытой, со стопроцентным участием государства информационной системы может стать создаваемая в соответствии с Указом Президента Российской Федерации от 3 апреля 1995 г. № 334 информационно-телекоммуникационная система специального назначения в интересах органов государственной власти (ИТКС). В соответствии с Концепцией создания и развития ИТКС, в качестве телекоммуникационной компоненты ИТКС будет использована создаваемая в настоящее время интегрированная государственная система конфиденциальной связи России, ядром которой является высокопроизводительная защищенная сеть передачи данных с пакетной коммутацией "Атлас", что позволяет предоставить абонентам полный набор информационных услуг при обеспечении гарантированной безопасности и конфиденциальности передаваемой, хранимой и обрабатываемой информации. Создана инфраструктура лицензированных Федеральным агентством предприятий, организаций и фирм, активно работающих над решением задач обеспечения комплексной безопасности в информационно-телекоммуникационных системах. Аккредитованы испытательные центры. Утверждена и зарегистрирована в Госстандарте "Система сертификации средств криптографической защиты информации". Действуют сертификационные центры (лаборатории), которые оснащены необходимыми методическими и руководящими материалами. Сертифицированы различные типы шифровальных средств, предназначенных для защиты, как конфиденциальной информации, так и коммерческой тайны.
Одновременно с этим государство должно определить степень своего участия в законодательном регулировании процессов создания и функционирования закрытых негосударственных (корпоративных) систем, а также открытых информационных систем и обеспечения информационной безопасности в них, прежде всего в интересах защиты прав пользователей таких систем.
Требуется унификация законодательства, так как киберпространство не признает национальных границ. Нужны единые
подходы в борьбе с компьютерными преступлениями. Предпосылки для такой единой правовой политики создаются в странах Европейского Союза, Совета Европы и СНГ. Сети международного информационного обмена резко расширяют возможности использования информационного оружия, добиться полного запрещения которого вряд ли удастся. Но ввести ограничения на производство и оборот этого оружия, международный запрет на ведение информационных войн можно и нужно. В 1996 г. автор выступил с инициативой, которая была поддержана комитетами Государственной Думы РФ и в декабре 1997 г. превратилась в политическую инициативу девяти государств - участников СНГ. Межпарламентская Ассамблея стран СНГ приняла обращение к ООН, ОБСЕ, странам Межпарламентского Союза с предложением включить в повестку дня Генеральной Ассамблеи ООН вопрос о подготовке и заключении международной конвенции о предотвращении информационных войн и ограничении оборота информационного оружия. Это необходимо для того, чтобы мы не тратили средства сначала на разработку информационного оружия, затем на защиту от него, а потом на его уничтожение, как это было ранее с ядерным, химическим и бактериологическим оружием.
- Отношения, связанные с правом собственности на российские информационные системы международного информационного обмена, регулируются гражданским законодательством Российской Федерации. Отношения, связанные с правом собственности, возникающие в результате оказания или получения информационной услуги, определяются договором между собственником или владельцем информационных продуктов и пользователем.
Оказание информационной услуги не создает для пользователя право авторства на полученную документированную информацию.
- Риск, связанный с использованием несертифицированных информационных систем лежит на собственнике (владельце) этих систем. Риск, связанный с использованием информации, полученной из несертифицированной системы, лежит на потребителе информации. Интересы потребителя информации при использовании импортной продукции в информационных системах защищаются таможенными органами Российской Федерации на основе международной системы сертификации.
- Примером этому может служить нынешняя ситуация, когда банки, предприятия и организации устанавливают у себя импортное оборудование цифровых АТС со встроенным блоком полицейских функций, позволяющим вести запись в автоматическом режиме всех телефонных переговоров. Это, по мнению собственников таких систем, позволяет им защитить более надежно свои права на коммерческую, банковскую, служебную тайну, но с точки зрения закона это грубо нарушает конституционные права граждан на тайну переговоров, в том числе тех, кто не является работником данной организации. Другим примером неблагополучия в этой области может служить ситуация с цифровыми телефонными станциями общего пользования, ответственность за которые несет Госкомсвязи России. За пять лет число цифровых телефонных станций возросло с 2 до 80, а цифровых каналов - до 70 тыс. В этом импортном оборудовании не исключены закладки обратной связи, позволяющие бесконтрольно снимать информацию в любое удобное для поставщиков время без ведома российских пользователей. А это уже не только нарушение конституционных прав граждан на тайну переговоров, но и прямая угроза для безопасности всей страны. При пользовании мобильными телефонами, пейджинговой связью наиболее распространенной угрозой для пользователей является возможность несанкционированного съема информации при сканировании информационного пространства портативными модулями на базе компьютеров, которые имеют у себя многие граждане и организации, в том числе с преступными целями. -
