4.1. Конституция РФ и Доктрина информационной безопасности РФ о правовом обеспечении информационной сферы Проблема правового регулирования отношений в сфере обеспечения информационной безопасности является для России одной из важнейших. От ее решения во многом зависит

4.5. Международное сотрудничество России в области обеспечения информационной безопасности Международное сотрудничество РФ в области обеспечения информационной безопасности – неотъемлемая составляющая политического, военного, экономического, культурного и других

ПРАВИЛА ОСВИДЕТЕЛЬСТВОВАНИЯ ЛИЦА, КОТОРОЕ УПРАВЛЯЕТ ТРАНСПОРТНЫМ СРЕДСТВОМ, НА СОСТОЯНИЕ АЛКОГОЛЬНОГО ОПЬЯНЕНИЯ И ОФОРМЛЕНИЯ ЕГО РЕЗУЛЬТАТОВ, НАПРАВЛЕНИЯ УКАЗАННОГО ЛИЦА НА МЕДИЦИНСКОЕ ОСВИДЕТЕЛЬСТВОВАНИЕ НА СОСТОЯНИЕ ОПЬЯНЕНИЯ, МЕДИЦИНСКОГО ОСВИДЕТЕЛЬСТВОВАНИЯ

7.6. Методы и средства информационной поддержки систем обеспечения качества

Вопрос 1. Место информационной безопасности в системе национальной безопасности России: понятие, структура и содержание Информатизация социально-политической, экономической и военной деятельности страны и, как следствие, бурное развитие информационных систем

Вопрос 2. Основные руководящие документы, регламентирующие вопросы информационной безопасности Рассматривая Концепцию национальной безопасности России, утвержденную Указом Президента РФ от 17.12.97 № 1300 (в ред. от 10.01.2000), которая отражает названную «Окинавскую хартию

Вопрос 3. Современные угрозы информационной безопасности в России Согласно Закону о безопасности под угрозой безопасности понимается совокупность условий и факторов, создающих опасность жизненно важным интересам личности, общества и государства. Концепция

Лекция 4 Методика построения корпоративной системы обеспечения информационной безопасности Учебные вопросы:1. Разновидности аналитических работ по оценке защищенности.2. Модель и методика корпоративной системы защиты информации.3. Формирование организационной

Лекция 6 Основы обеспечения информационной безопасности в банковской сфере Учебные вопросы:1. Особенности информационной безопасности банков2. Анализ состояния банковских автоматизированных систем сточки зрения безопасности3. Принципы защиты банковских

Вопрос 1. Особенности информационной безопасности банков Со времени своего появления банки неизменно вызывали преступный интерес. И этот интерес был связан не только с хранением в кредитных организациях денежных средств, но и с тем, что в банках сосредотачивалась важная

Вопрос 1. Обобщенная модель процессов информационной безопасности Общими моделями систем и процессов защиты информации названы такие, которые позволяют определять (оценивать) общие характеристики указанных систем и процессов в отличие от моделей локальных и частных,

Вопрос 1. Назначение математических моделей обеспечения безопасности информации в АСУ Функционирование АСУ, обеспечивающее реализацию технологии автоматизированного управления сложными процессами в распределенной системе, должно основываться на плановом начале с

Вопрос 2. Сравнительный анализ и основные определения математических моделей обеспечения безопасности информации Существующие технологии формального описания процессов обеспечения безопасности информации основываются на понятиях теории конечных автоматов, теории

Лекция 11 Основные направления обеспечения информационной безопасности компьютерных сетей учебных заведений Учебные вопросы:1. Состояние вопросов обеспечения информационной безопасности.2. Угрозы и уязвимости КСУЗ.3. Этапы построения БКСУЗ.4. Направление

ГОСТ Р ИСО/МЭК 17799:2005 «Информационная технологии. Практические правила управлении информационной безопасностью»

Рассмотрим теперь содержание стандарта ИСО/МЭК 17799 . Во введении указывается, что «информация, поддерживающие ее процессы, информационные системы и сетевая инфраструктура являются существенными активами организации. Конфиденциальность, целостность и доступность информации могут существенно способствовать обеспечению конкурентоспособности, ликвидности, доходности, соответствия законодательству и деловой репутации организации». Таким образом, можно говорить о том, что данный стандарт рассматривает вопросы информационной безопасности, в том числе, и с точки зрения экономического эффекта.

Указываются три группы факторов, которые необходимо учитывать при формировании требований в области информационной безопасное™:

• - оценка рисков организации. Посредством оценки рисков происходит выявление угроз активам организации, оценка уязвимости соответствующих активов и вероятности возникновения угроз, а также оценка возможных последствий;
• - юридические, законодательные, регулирующие и договорные требования, которым должны удовлетворять организация, ее торговые партнеры, подрядчики и поставщики услуг;
• - специфический набор принципов, целей и требований, разработанных организацией в отношении обработки информации. После того как определены требования, идет этап выбора и

внедрения мероприятий по управлению информационной безопасностыо, которые обеспечат снижение рисков до приемлемого уровня. Выбор мероприятий по управлению информационной безопасностью должен основываться на соотношении стоимости их реализации, эффекта от снижения рисков и возможных убытков в случае нарушения безопасности. Также следует принимать во внимание факторы, которые не могут быть представлены в денежном выражении, например, потерю репутации. Возможный перечень мероприятий приводится в стандарте, но отмечается, что он может быть дополнен или сформирован самостоятельно исходя из потребностей организации.

Кратко перечислим разделы стандарта и предлагаемые в них мероприятия по защите информации. Первая их группа касается политики безопасности. Требуется, чтобы она была разработана, утверждена руководством организации, издана и доведена до сведения всех сотрудников. Она должна определять порядок работы с информационными ресурсами организации, обязанности и ответственность сотрудников. Политика периодически пересматривается, чтобы соответствовать текущему состоянию системы и выявленным рискам.

Следующий раздел затрагивает организационные вопросы, связанные с обеспечением информационной безопасности. Стандарт рекомендует создавать управляющие советы (с участием высшего руководства компании) для утверждения политики безопасности, назначения ответственных лиц, распределения обязанностей и координации внедрения мероприятий но управлению информационной безопасностью в организации. Также должен быть описан процесс получения разрешений на использование в организации средств обработки информации (в т. ч. нового программного обеспечения и аппаратуры), чтобы это нс привело к возникновению проблем с безопасностью. Требуется определить и порядок взаимодействия с другими организациями по вопросам информационной безопасности, проведения консультаций с «внешними» специалистами, независимой проверки (аудита) информационной безопасности.

При предоставлении доступа к информационным системам специалистам сторонних организаций необходимо особое внимание уделить вопросам безопасности. Должна быть проведена оценка рисков, связанных с разными типами доступа (физическим или логическим, г. е. удаленным) таких специалистов к различным ресурсам организации. Необходимость предоставления доступа должна быть обоснована, а в договоры со сторонними лицами и организациями должны быть включены требования, касающиеся соблюдения политики безопасности. Аналогичным образом предлагается поступать и в случае привлечения сторонних организаций к обработке информации (аутсорсинга).

Следующий раздел стандарта посвящен вопросам классификации и управления активами. Для обеспечения информационной безопасности организации необходимо, чтобы все основные информационные активы были учтены и закреплены за ответственными владельцами. Начать предлагается с проведения инвентаризации. В качестве примера приводится следующая классификация активов:

• - информационные (базы данных и файлы данных, системная документация и т. д.);
• - программное обеспечение (прикладное программное обеспечение, системное программное обеспечение, инструментальные средства разработки и утилиты);
• - физические акгивы (компьютерное оборудование, оборудование связи, носители информации, другое техническое оборудование, мебель, помещения);
• - услуги (вычислительные услуги и услуги связи, основные коммунальные услуги).

Далее предлагается классифицировать информацию, чтобы определить ее приоритетность, необходимость и степень ее защиты. При этом можно оценить соответствующую информацию с учетом того, насколько она критична для организации, например, с точки зрения обеспечения ее целостности и доступности. После этого предлагается разработать и внедрить процедуру маркировки при обработке информации. Для каждого уровня классификации следует определять процедуры маркировки, для того чтобы учесть следующие типы обработки информации:

• - копирование;
• - хранение;
• - передачу по почте, факсом и электронной почтой;
• - передачу голосом, включая мобильный телефон, голосовую почту, автоответчики;
• - уничтожение.

Раздел 6 рассматривает вопросы безопасности, связанные с персоналом. Стандартом определяется, чтобы обязанности по соблюдению требований безопасности распределялись на стадии подбора персонала, включались в трудовые договоры, и проводился их мониторинг в течение всего периода работы сотрудника. В частности, при приеме в постоянный штат рекомендуется проводить проверку подлинности представляемых претендентом документов, полноту и точность резюме, представляемые им рекомендации. Рекомендуется, чтобы сотрудники подписывали соглашение о конфиденциальности, уведомляющее о том, какая информация является конфиденциальной или секретной. Должна быть определена дисциплинарная ответственность сотрудников, нарушивших политику и процедуры безопасности организации. Там, где необходимо, эта ответственность должна сохраняться и в течение определенного срока после увольнения с работы.

Пользователей необходимо обучать процедурам безопасности и правильному использованию средств обработки информации, чтобы минимизировать возможные риски. Кроме того, должен быть определен порядок информирования о нарушениях информационной безопасности, с которым необходимо ознакомить персонал. Аналогичная процедура должна задействоваться в случаях сбоев программного обеспечения. Подобные инциденты требуется регистрировать и проводить их анализ для выявления повторяющихся проблем.

Следующий раздел стандарта посвящен вопросам физической защиты и защиты от воздействия окружающей среды. Указывается, что «средства обработки критичной или важной служебной информации необходимо размещать в зонах безопасности, обозначенных определенным периметром безопасности, обладающим соответствующими защитными барьерами и средствами контроля проникновения. Эти зоны должны быть физически защищены от неавторизованного доступа, повреждения и воздействия». Кроме организации контроля доступа в охраняемые зоны, должны быть определены порядок проведения в них работ и, при необходимости, процедуры организации доступа посетителей. Необходимо также обеспечивать безопасность оборудования (включая и то, что используется вне организации), чтобы уменьшить риск неавторизованного доступа к данным и защитить их от потери или повреждения. К этой же группе требований относится обеспечение защиты от сбоев электропитания и защиты кабельной сети. Также должен быть определен порядок технического обслуживания оборудования, учитывающий требования безопасности, и порядок безопасной утилизации или повторного использования оборудования. Например, списываемые носители данных, содержащие важную информацию, рекомендуется физически разрушать или перезаписывать безопасным образом, а не использовать стандартные функции удаления данных.

С целью минимизации риска неавгоризованного доступа или повреждения бумажных документов, носителей данных и средств обработки информации рекомендуется внедрить политику «чистого стола» в отношении бумажных документов и сменных носителей данных, а также политику «чистого экрана» в отношении средств обработки информации. Оборудование, информацию или программное обеспечение можно выносить из помещений организации только на основании соответствующего разрешения.

Название раздела 8 - «Управление передачей данных и операционной деятельностью». В нем требуется, чтобы были установлены обязанности и процедуры, связанные с функционированием всех средств обработки информации. Например, должны контролироваться изменения конфигурации в средствах и системах обработки информации. Требуется реализовать принцип разграничения обязанностей в отношении функций управления, выполнения определенных задач и областей.

Рекомендуется провести разделение сред разработки, тестирования и промышленной эксплуатации программного обеспечения (ПО). Правила перевода ПО из статуса разрабатываемого в статус принятого к эксплуатации должны быть определены и документально оформлены.

Дополнительные риски возникают при привлечении сторонних подрядчиков для управления средствами обработки информации. Такие риски должны быть идентифицированы заранее, а соответствующие мероприятия по управлению информационной безопасностью согласованы с подрядчиком и включены в контракт.

Для обеспечения необходимых мощностей по обработке и хранению информации необходим анализ текущих требований к производительности, а также прогноз будущих. Эти прогнозы должны учитывать новые функциональные и системные требования, а также текущие и перспективные планы развития информационных технологий в организации. Требования и критерии для принятия новых систем должны быть четко определены, согласованы, документально оформлены и опробованы.

Необходимо принимать меры предотвращения и обнаружения внедрения вредоносного программного обеспечения, такого как компьютерные вирусы, сетевые «черви», «троянские кони» и логические бомбы. Отмечается, что защита от вредоносного программного обеспечения должна основываться на понимании требований безопасности, соответствующих мерах контроля доступа к системам и надлежащем управлении изменениями.

Должен быть определен порядок проведения вспомогательных операций, к которым относится резервное копирование программного обеспечения и данных, регистрация событий и ошибок и, где необходимо, мониторинг состояния аппаратных средств. Мероприятия по резервированию для каждой отдельной системы должны регулярно тестироваться для обеспечения уверенности в том, что они удовлетворяют требованиям планов по обеспечению непрерывности бизнеса.

Для обеспечения безопасности информации в сетях и защиты поддерживающей инфраструктуры требуется внедрение средств контроля безопасности и защита подключенных сервисов от неавторизованного доступа.

Особое внимание уделяется вопросам безопасное™ носителей информации различного типа: документов, компьютерных носителей информации (лент, дисков, кассет), данных ввода/вывода и системной документации от повреждений. Рекомендуется установить порядок использования сменных носителей компьютерной информации (порядок контроля содержимого, хранения, уничтожения и т. д.). Как уже отмечалось выше, носители информации по окончании использования следует надежно и безопасно утилизировать.

С целью обеспечения защиты информации от неавторизованного раскрытия или неправильного использования необходимо определить процедуры обработки и хранения информации. Эти процедуры должны быть разработаны с учетом категорирования информации и действовать в отношении документов, вычислительных систем, сетей, переносных компьютеров, мобильных средств связи, почты, речевой почты, речевой связи вообще, мультимедийных устройств, использования факсов и любых других важных объектов, например, бланков, чеков и счетов. Системная документация может содержать определенную важную информацию, поэтому тоже должна защищаться.

Процесс обмена информацией и программным обеспечением между организациями должен быть под контролем и соответствовать действующему законодательству. В частности, должна обеспечиваться безопасность носителей информации при пересылке, определена политика использования электронной почты и электронных офисных систем. Следует уделять внимание защите целостности информации, опубликованной электронным способом, например, информации на Web-сайте. Также необходим соответствующий формализованный процесс авторизации, прежде чем такая информация будет сделана общедоступной.

Следующий раздел стандарта посвящен вопросам контроля доступа. В нем требуется, чтобы правила контроля доступа и права каждого пользователя или группы пользователей однозначно определялись политикой безопасности. Пользователи и поставщики услуг должны быть оповещены о необходимости выполнения данных требований.

При использовании парольной аутентификации необходимо осуществлять контроль в отношении паролей пользователей. В частности, пользователи должны подписывать документ о необходимости соблюдения полной конфиденциальности паролей. Требуется обеспечить безопасность процесса получения пароля пользователем и, если это используется, управления пользователями своими паролями (принудительная смена пароля после первого входа в систему и т. д.).

Доступ как к внутренним, так и к внешним сетевым сервисам должен быть контролируемым. Пользователям следует обеспечивать непосредственный доступ только к тем сервисам, в которых они были авторизованы. Особое внимание должно уделяться проверке подлинности удаленных пользователей. Исходя из оценки риска, важно определить требуемый уровень защиты для выбора соответствующего метода аутентификации. Также должна контролироваться безопасность использования сетевых служб.

Многие сетевые и вычислительные устройства имеют встроенные средства удаленной диагностики и управления. Меры обеспечения безопасности должны распространяться и на эти средства.

В случае, когда сети используются совместно несколькими организациями, должны быть определены требования политики контроля доступа, учитывающие это обстоятельство. Также может потребоваться внедрение дополнительных мероприятий по управлению информационной безопасностью, чтобы ограничивать возможности пользователей по подсоединению.

На уровне операционной системы следует использовать средства информационной безопасности для ограничения доступа к компьютерным ресурсам. Это относится к идентификации и аутентификации терминалов и пользователей. Рекомендуется, чтобы все пользователи имели уникальные идентификаторы, которые не должны содержать признаков уровня привилегии пользователя. В системах управления паролем должны быть предусмотрены эффективные интерактивные возможности поддержки необходимого их качества. Использование системных утилит должно быть ограничено и тщательным образом контролироваться.

Желательно предусматривать сигнал тревоги на случай, когда пользователь может стать объектом насилия (если такое событие оценивается как вероятное). При этом необходимо определить обязанности и процедуры реагирования на сигнал такой тревоги.

Терминалы, обслуживающие системы высокого риска, при размещении их в легкодоступных местах должны отключаться после определенного периода их бездействия для предотвращения доступа неавторизованных лиц. Также может вводиться ограничение периода времени, в течение которого разрешены подсоединения терминалов к компьютерным сервисам.

На уровне приложений также необходимо применять меры обеспечения информационной безопасности. В частности, это может быть ограничение доступа для определенных категорий пользователей. Системы, обрабатывающие важную информацию, должны быть обеспечены выделенной (изолированной) вычислительной средой.

Для обнаружения отклонения от требований политики контроля доступа и обеспечения доказательства на случай выявления инцидентов нарушения информационной безопасности необходимо проводить мониторинг системы. Результаты мониторинга следует регулярно анализировать. Журнал аудита может использоваться для расследования инцидентов, поэтому достаточно важной является правильная установка (синхронизация) компьютерных часов.

При использовании переносных устройств, например, ноутбуков, необходимо принимать специальные меры противодействия компромегации служебной информации. Необходимо принять формализованную политику, учитывающую риски, связанные с работой с переносными устройствами, в особенности в незащищенной среде.

Десятый раздел стандарта называегся «Разработка и обслуживание систем». Уже на этапе разработки информационных систем необходимо обеспечить учет требований безопасности. А в процессе эксплуатации системы требуется предотвращать потери, модификацию или неправильное использование пользовательских данных. Для этого в прикладных системах рекомендуется предусмотрегь подтверждение корректности ввода и вывода данных, контроль обработки данных в системе, аугентификацию сообщений, протоколирование действий пользователя.

Для обеспечения конфиденциальности, целостности и аутентификации данных могут быть использованы крипгофафические средства защиты.

Важную роль в процессе защиты информации ифает обеспечение целостности программного обеспечения. Чтобы свести к минимуму повреждения информационных систем, следует строго контролировать внедрение изменений. Периодически возникает необходимость внести изменения в операционные системы. В этих случаях необходимо провести анализ и протестировать прикладные системы с целью обеспечения уверенности в том, что не оказывается никакого неблагоприятного воздействия на их функционирование и безопасность. Насколько возможно, готовые пакеты программ рекомендуется использовать без внесения изменений.

Связанным вопросом является противодействие «троянским» программам и использованию скрытых каналов утечки. Одним из методов противодействия является использование про]раммного обеспечения, полученного от доверенных поставщиков, и контроль целостности системы.

В случаях, когда для разработки программного обеспечения привлекается сторонняя организация, необходимо предусмотреть меры по контролю качества и правильности выполненных работ.

Следующий раздел стандарта посвящен вопросам управления непрерывностью бизнеса. На начальном этапе предполагается идентифицировать события, которые могут быть причиной прерывания бизнес-процессов (отказ оборудования, пожар и т. п.). При этом нужно провести оценку последствий, после чего разработать планы восстановления. Адекватность планов должна быть подтверждена тестированием, а сами они должны периодически пересматриваться, чтобы учитывать происходящие в системе изменения.

Заключительный раздел посвящен вопросам соответствия требованиям. В первую очередь, эго касается соответствия системы и порядка ее эксплуатации требованиям законодательства. Сюда относятся вопросы соблюдения авторского права (в том числе, на программное обеспечение), защиты персональной информации (сотрудников, клиентов), предотвращения нецелевого использования средств обработки информации. При использовании криптографических средств защиты информации, они должны соответствовать действующему законодательству. Также должна быть досконально проработана процедура сбора доказательств па случай судебных разбирательств, связанных с инцидентами в области безопасности информационной системы.

Сами информационные системы должны соответствовать политике безопасности организации и используемым стандартам. Безопасность информационных систем необходимо регулярно анализировать и оценивать. В то же время требуется соблюдать меры безопасности и при проведении аудита безопасности, чтобы это не привело к нежелательным последствиям (например, сбой критически важного сервера из-за проведения проверки).

Подводя итог можно отметить, что в стандарте рассмотрен широкий круг вопросов, связанных с обеспечением безопасности информационных систем, и по ряду направлений даются практические рекомендации.

• В качестве примера можно назвать пароли для входа «под принуждением». Если пользователь вводит такой пароль, система отображает процессобычного входа пользователя, после чего имитируется сбой, чтобы нарушители не смогли получить доступ к данным.

Введение

Защита информации в Российской Федерации

Законодательная база, регулирующая отношения в сфере информационной безопасности

Информационное законодательство - основной источник информационного права

Правовые проблемы информационной безопасности

Заключение

Список литературы

Введение

В настоящее время в Российской Федерации сформировались необходимые условия для перехода к информационному обществу. Правовые проблемы регулирования информационных отношений при построении информационного общества в России в настоящее время нуждаются в тщательном исследовании, поскольку резко ускоряющиеся информационно-коммуникативные процессы глобализации эволюционируют в качественно новое состояние - режим реального времени. Возникающие в связи с этим новые общественные отношения нуждаются в адекватном правовом регулировании.

Цель работы состоит в том, чтобы рассмотреть источники права, регулирующие отношения в сфере информационной безопасности, разобраться в полноте отражения ими существующих реалий общественной жизни, возможно, увидеть пробелы в законодательстве и предложить пути их решения.

Исходя из целей, были поставлены следующие задачи:

изучить понятие информационной безопасности;

рассмотреть нормы права, регулирующие общественные отношения в сфере информационной безопасности;

отразить степень соответствия существующих норм реально имеющимся отношениям;

сформулировать свои предложения по совершенствованию законодательства.

1. Защита информации в Российской Федерации

В практическом смысле, понятном каждому, определение информации дал С.И. Ожегов:

Информация - это:

) сведения об окружающем мире и протекающих в нем процессах;

Ни одна сфера жизни современного общества не может функционировать без развитой информационной структуры. Проникая во все сферы деятельности государства, информация приобретает конкретные политическое, материальное и стоимостное выражения. На этом фоне все более актуальный характер приобретает в последние десятилетия и особенно в настоящее время задача обеспечения информационной безопасности Российской Федерации, как неотъемлемого элемента ее национальной безопасности, а защита информации превращается в одну из приоритетных государственных задач. Защита информации обеспечивается в любом государстве и в своем развитии проходит множество этапов в зависимости от потребностей государства, возможностей, методов и средств ее добывания (в частности разведки), правового режима государства и реальных его усилий по обеспечению защиты информации.

В настоящее время большие изменения происходят в методологии защиты информации. Осуществляется переход от дорогостоящего скрытия заведомо завышенного объема данных к гарантированной защите принципиально важных, «узловых точек».

2. Законодательная база, регулирующая отношения в сфере информационной безопасности

Государственная политика в Российской Федерации по обеспечению информационной безопасности реализуется через правотворчество, правоприменение и участие государства в развитии правосознания и правовой культуры граждан.

В Российской Федерации к нормативно-правовым актам в области информационной безопасности относятся:

Акты федерального законодательства:

Международные договоры РФ;

Конституция РФ;

Законы федерального уровня (включая федеральные конституционные законы, кодексы);

Указы Президента РФ;

Постановления правительства РФ;

Нормативные правовые акты федеральных министерств и ведомств;

Нормативные правовые акты субъектов РФ, органов местного самоуправления и т. д.

К нормативно-методическим документам можно отнести

Методические документы государственных органов России:

Доктрина информационной безопасности РФ;

Руководящие документы ФСТЭК (Гостехкомиссии России);

Приказы ФСБ;

Стандарты информационной безопасности, из которых выделяют:

Методические указания.

За последние годы российское законодательство существенно обновилось. Особенно это коснулось тех сфер правового регулирования, где приняты кодифицированные акты, в том числе Гражданский, Налоговый, Бюджетный, Семейный, Уголовный, Водный и Лесной, Земельный, Трудовой, Гражданский процессуальный и Уголовно-процессуальный кодексы, Кодекс об административных правонарушениях. С их принятием появились реальные условия для проведения полноценной систематизации законодательства и издания Свода законов России.

При формировании законодательства в информационной сфере в самостоятельную отрасль, формирующееся законодательство в сфере обеспечения информационной безопасности является подотраслью информационного законодательства, а при его кодификации в случае принятия Информационного кодекса Российской Федерации может стать его составной частью. Сегодня же, признавая информационное право в качестве отрасли российского права, следует учитывать, что ему не соответствует в законодательстве информационное законодательство в качестве отрасли российского законодательства и его формирование является делом трудным, рассчитанным, по-видимому, на долгие годы.

. Информационное законодательство - основной источник информационного права

Вопросы, связанные с информационным законодательством требуют отражения внимания государства к ряду направлений деятельности в области информатизации. Можно отметить из них наиболее очевидные.

Формирование информационных ресурсов и развитие информационной деятельности - деятельности, непосредственно связанной со сбором, хранением, обработкой, передачей информации в самых разных организационных формах (документированная, звуковая, световая, цифровая и т.п.); деятельности по созданию средств обработки информации в электронном виде - создание программ, программного обеспечения и иных средств работы с информацией и ее транспортировкой (коммуникацией) по каналам связи, сетям в соответствии с типами организации информационных систем и сетей на основе современных технических и технологических достижений; управление качеством информационных технологий (достоверность, полнота, неуязвимость передаваемой информации и создание средств ее защиты в системах информационной безопасности); организация рынка информационных технологий. Все эти направления могут быть объединены в блок формирования специальной отрасли информатики, объединяющей проблемы создания, производства и использования средств информатизации, информационных технологий в широком понимании.

Вторым крупным блоком в системе государственного управления является деятельность по организации применения средств информатизации и информационных ресурсов в самых разных сферах социального развития.

Здесь сосредоточены проблемы информатизации экономики, экологии, здравоохранения, любых отраслей производства, науки, образования, культурно-просветительской деятельности, формирования и использования соответствующих видов и форм информационных ресурсов. Сюда же входят проблемы региональной и отраслевой информатизации и формирование специальных отраслей государственного управления в данной сфере.

Это направление охватывает процессы информатизации деятельности органов государственной власти и местного самоуправления и их взаимодействия. Деятельность органов государственной власти - законодательных, исполнительных, правоохранительных - только и может быть продуктивной и эффективной при условии применения информационных технологий в работе аппарата каждого органа и в системе взаимодействия различных органов между собой.

Четвертый блок в сфере государственного управления в области информационных технологий составляет деятельность каждого из ведомств и государственных организаций, которые самостоятельно и с учетом своих потребностей обеспечивают процессы информационного обеспечения своей деятельности. При отсутствии должной координации на уровне федерации это направление деятельности подвержено местничеству и заканчивается неоправданной тратой средств, несовместимостью средств информатизации, в том числе и информационных технологий в едином пространстве страны.

Поддержка процессов информатизации во всех секторах хозяйства и культуры страны, во всех сферах социального развития и жизнеобеспечения; привлечение населения к новым методам работы с информацией на основе воспитания информационной культуры, переподготовки кадров и массового обучения молодого поколения работе в новых условиях. Здесь сосредоточены организационно-правовые проблемы обеспечения реализации права на информацию различных субъектов, разрешение конфликтов в области формирования и использования информационных технологий.

Все обозначенные направления государственного управления в области информационных технологий реализуются на основе создания и применения соответствующих законов и иных правовых актов, введения обязательных государственных стандартов, методик и правил.

4. Правовые проблемы информационной безопасности

Законом РФ «О безопасности» безопасность определяется как состояние защищенности жизненно важных интересов личности, общества и государства.

Можно выделить три основных направления правового обеспечения информационной безопасности.

Первое направление. Защита чести, достоинства и деловой репутации граждан и организаций; духовности и интеллектуального уровня развития личности; нравственных и эстетических идеалов; стабильности и устойчивости развития общества; информационного суверенитета и целостности государства от угроз воздействия вредной, опасной, недоброкачественной информации, недостоверной, ложной информации, дезинформации, от сокрытия информации об опасности для жизни личности, развития общества и государства, от нарушения порядка распространения информации.

Второе направление. Защита информации и информационных ресурсов прежде всего ограниченного доступа (все виды тайн, в том числе и личной тайны), а также информационных систем, информационных технологий, средств связи и телекоммуникаций от угроз несанкционированного и неправомерного воздействия посторонних лиц.

Третье направление. Защита информационных прав и свобод личности (право на производство, распространение, поиск, получение, передачу и использование информации; права на интеллектуальную собственность; права собственности на информационные ресурсы и на документированную информацию, на информационные системы и технологии) в информационной сфере в условиях информатизации.

Режим защиты информации устанавливается:

в отношении конфиденциальной документированной информации - собственником информационных ресурсов или уполномоченным лицом;

в отношении персональных данных.

В целом вопросы этого направления правового обеспечения информационной безопасности условно разделяются на защиту открытой информации и защиту информации ограниченного доступа.

Защита открытой информации осуществляется нормами института документированной информации. Защита информации ограниченного доступа регулируются нормами: института государственной тайны, института коммерческой тайны, института персональных данных, а также нормами защиты других видов тайн.

Объекты правоотношений в области информационной безопасности - это духовность, нравственность и интеллектуальность личности и общества, права и свободы личности в информационной сфере; демократический строй, знания и духовные ценности общества; конституционный строй, суверенитет и территориальная целостность государства.

Субъектами правоотношений в области информационной безопасности выступают личность, государство, органы законодательной, исполнительной и судебных властей, система обеспечения безопасности, граждане.

Ответственность за правонарушения в информационной сфере устанавливается гражданско-правовая, административно-правовая, уголовно-правовая ответственность.

Основной проблемой в сфере информационной безопасности является отсутствие на настоящий момент кодифицированного законодательного свода, объединившего бы в себе все разбросанные по российскому законодательству статьи, посвященные информационной безопасности и информационному праву в целом, как отрасли права.

Заключение

информационная безопасность законодательный правовой

Информационная безопасность общества, государства характеризуется степенью их защищенности и, следовательно, устойчивостью основных сфер жизнедеятельности экономики, науки, техносферы, сферы управления, военного дела, общественного сознания и др.

Правовая наука пока не может остановиться на какой-либо определенной модели в области регулирования и защиты интеллектуальной собственности и особенно исключительных прав создателей информационного и технологического продукта. Тем не менее, закон должен откликаться на коллизии в этой среде. Важное направление работы и области создания адекватной инфраструктуры в сфере информатики формируется вокруг создания и использования таких объектов, как информационные технологии и вычислительная техника.

Информационная безопасность определяется способностью нейтрализовать воздействие по отношению к опасным, дестабилизирующим, деструктивным, ущемляющим интересы страны информационным воздействиям на уровне, как внедрения, так и извлечения информации.

В заключении необходимо сказать, что информационная безопасность России является базовой составляющей национальной безопасности России. Она напрямую влияет на эффективную работу органов государственной власти, является неотъемлемым фактором в борьбе с организованной преступностью и мировым терроризмом.

Внедрение современных технологий и законодательная основа защиты информации должна стать мощным звеном в укреплении вертикали власти в России и ее становлении как экономически и политически сильного государства на мировой арене.

Список литературы

1.Конституция Российской Федерации принята всенародным голосованием 12.12.1993 г.

Гражданский кодекс Российской Федерации (часть четвертая) от 18.12.2006 № 230-ФЗ (ред. от 08.12.2011)

Федеральный закон от 28.12.2010 № 390-ФЗ «О безопасности»

4.Горбачев В.С. Концептуальные вопросы применения средств криптографической защиты информации в информационных системах. М. 2007.

6.Ожегов С.И. Словарь русского языка. М., 1978.

В условиях современного информационного общества вопросы информационной безопасности составляют особо важную часть правового регулирования общественных отношений. Не вызывает сомнения тот факт, что на обеспечение информационной безопасности направлены как меры публичного воздействия, так и действия частных субъектов – участников информационных правоотношений . Кроме того, информационная безопасность является институтом, важность которого подчеркивается значительным количеством и разнообразием правоотношений в сфере обеспечения информационной безопасности личности, общества и государства. Однако именно подобное разнообразие становится причиной проблем в толковании и применении механизмов информационной безопасности.

Возрастание роли информации, информационных ресурсов и технологий становится стратегическим, что выводит вопросы информационной безопасности на первый план в системе обеспечения национальной безопасности, безопасности государства, общества и личности. Являясь частью национальной безопасности, информационная безопасность оказывает существенное влияние на состояние защищенности интересов Российской Федерации в экономической, международной, общественной, федеральной, оборонной и других сферах жизни общества .

Однако нельзя забывать, что институт информационной безопасности в силу своей природы направлен на поиск эффективных механизмов защиты прав и свобод личности в информационной сфере. Активная вовлеченность граждан в информационные правоотношения обусловливает повышенное внимание не только к сфере защиты их персональных данных в онлайн-сфере, но и в целом к безопасному использованию технологий при каждодневном взаимодействии .

Для оперативного разрешения возникающих проблем и пробелов правового регулирования появляются новые нормативно-правовые источники и, соответственно, новые механизмы обеспечения информационной безопасности. В частности, в качестве одной из основных мер применяется совершенствование безопасности функционирования информационных и телекоммуникационных систем критически важных объектов инфраструктуры и объектов повышенной опасности. Данная мера реализуется посредством повышения уровня защищенности государственных, корпоративных и индивидуальных информационных систем, создания единой системы информационно-телекоммуникационной поддержки нужд системы обеспечения национальной безопасности. Тенденция к приоритизации информационной безопасности систем прослеживается не только в России, но и в зарубежных странах. Представляется, что обеспечение безопасности объектов критической информационной инфраструктуры и информационных систем является недостаточным для реализации прав и законных интересов личности в информационной сфере. Обеспечение безопасности несовершеннолетних, предоставление доступа к информации, реализация прав на свободу слова и тайну связи не охватывается сферой действия мер методологической и технологической направленности и требует иных принципов, иного регулирования и иной терминологии, позволяющей достоверно отделить интересы личности, общества и государства в информационной сфере.

Дискуссия о содержании термина "информационная безопасность личности" сопутствует обсуждениям более общего и широкого понятия "информационная безопасность" и его отличий от термина "кибербезопасность". Кроме того, в настоящее время среди исследователей нет единства в определении круга объектов и отношений, регламентируемых институтом информационной безопасности.

Относительно соотношения терминов "кибербезопасность" и "информационная безопасность" стоит упомянуть подход, согласно которому предлагается использовать термин "кибербезопасность" в отношении всех процессов создания, функционирования и эволюции объектов, функционирующих с участием программируемых средств с целью выявления источников опасности, которые могут нанести им ущерб, и формирования нормативных актов, регламентирующих термины, требования, правила, рекомендации и методики, выполнение которых должно гарантировать защищенность киберобъектов от всех известных и изученных источников киберопасности.

Также в российской юридической науке существует вполне обоснованная теория, что термин "информационная безопасность" в настоящее время некорректен в силу отсутствия всеобъемлющего определения информации и ее свойств. Вместо него предлагается использовать термин "информационная защищенность", описываемый как защита конфиденциальности, целостности и доступности информации .

Однако существующие в настоящее время нормативные правовые источники позволяют не согласиться с такой концепцией, так как информационная безопасность регламентируется уже как самостоятельный институт, поэтому дальнейшее развитие терминологии представляется возможным внутри данного института или синхронно с ним в рамках отрасли информационного права. Более того, в рамках настоящей статьи защита информации также рассматривается как частный случай обеспечения информационной безопасности, так как последняя относится не только к ликвидации угроз информации, но и к сфере обеспечения более общих интересов личности, общества и государства.

Относительно классификации отношений, входящих в сферу регламентации информационной безопасности, в научной литературе встречается подход, согласно которому информационная безопасность подразделяется на информационную безопасность в социальной среде, нацеленную на поддержание адекватного объективной картине мира общественного сознания, и информационную безопасность в технической сфере, направленную в свою очередь на предотвращение воздействия на различные технические средства . Такая классификация представляется неполной, так как не учитывает сферу реализации гражданином своих прав в информационной среде, ограничивая социальную составляющую информационной безопасности только сферой правового регулирования деятельности СМИ.

Кроме того, существует классификация, согласно которой информационная безопасность может быть разделена на два самостоятельных направления: безопасность информации и безопасность от информации. Под безопасностью информации подразумевается защита информации, а под безопасностью от информации – защита от опасной информации . Данный подход также является недостаточно универсальным, поскольку не отражает полный спектр информационных правоотношений.

Первой работой по классификации информационных отношений в рамках правового обеспечения информационной безопасности стала работа В.Н. Лопатина – Концепция развития законодательства в сфере обеспечения информационной безопасности, принятая в Государственной Думе 2-го созыва , которая получила дальнейшее развитие как в работах этого автора, так и при принятии соответствующих законов (например, Федерального закона от 29 декабря 2010 г. N 436-ФЗ "О защите детей от информации, причиняющей вред их здоровью и развитию").

В данной связи представляется более предпочтительным выделение трех аспектов информационной безопасности: информационно-технического (развитие информационной инфраструктуры, средств передачи, обработки, хранения информации, методов защиты информации и пр.); организационно-правового (управление информационными ресурсами, повышение эффективности их использования, развитие информационных услуг, регуляция процессов в информационной сфере и пр.); психолого-педагогического (формирование духовно-нравственных ценностей, развитие личностных функций саморегуляции и пр.) . Подобная классификация позволяет в полной мере отразить подходы, заложенные в текущем законодательстве Российской Федерации в сфере обеспечения информационной безопасности личности, общества и государства.

Доктрина информационной безопасности Российской Федерации 2016 г. является, как указано в ст. 1, системой "официальных взглядов на обеспечение национальной безопасности Российской Федерации в информационной сфере" , согласно которым, как представляется, впоследствии строится система нормативного правового регулирования информационной безопасности в России.

Доктрина, как указано в ст. 5, основывается на положениях Стратегии национальной безопасности Российской Федерации , а также иных стратегических документов, к которым можно причислить также Стратегию научно-технологического развития Российской Федерации , многочисленные соглашения между Российской Федерацией и иными странами о сотрудничестве в области обеспечения международной информационной и коммуникационной безопасности , а также ряд указов Президента РФ . Совокупность данных актов и соответствующих федеральных законов позволяет сделать вывод о существовании подробной регламентации института информационной безопасности личности, определения его взаимосвязи с информационной безопасностью государства и общества.

Однако более детальный анализ указанных источников позволяет выделить ряд противоречий. Так, Доктрина информационной безопасности Российской Федерации ставит потребности личности на первое место при перечислении национальных интересов Российской Федерации в информационной сфере, что дает основания говорить о первоочередном характере защиты прав и интересов личности. Кроме того, информационная безопасность Российской Федерации основывается в первую очередь на состоянии защищенности личности, "…при котором обеспечиваются реализация конституционных прав и свобод человека и гражданина, достойные качество и уровень жизни граждан".

Однако в то же время, например, в ст. 6 Стратегии национальной безопасности Российской Федерации содержатся положения, определяющие иную приоритетность: "Национальная безопасность включает в себя оборону страны и все виды безопасности, предусмотренные Конституцией РФ и законодательством РФ, прежде всего государственную, общественную, информационную, экологическую, экономическую, транспортную, энергетическую безопасность, безопасность личности".

Подобные несоответствия встречаются также в положениях государственной программы Российской Федерации "Информационное общество (2011 – 2020 годы)" , определяющей Доктрину информационной безопасности Российской Федерации в качестве документа, приоритизирующего стратегическое сдерживание и предотвращение военных конфликтов, которые могут возникнуть в результате применения информационных технологий, вместо обеспечения защиты прав и интересов граждан в информационной сфере. С учетом этого информационная безопасность рассматривается в рамках данной программы как качественная характеристика построения технологических систем и сетей, что представляется излишне узким толкованием данного института. Обеспечение безопасности функционирования информационно-телекоммуникационной инфраструктуры и телекоммуникационных систем хоть и является необходимым инструментарием для обеспечения информационной безопасности личности, общества и государства, однако нетождественно ему.

Еще большие противоречия в определении содержания института информационной безопасности личности можно обнаружить при анализе более специальных нормативных документов. С одной стороны, Соглашение об обеспечении информационной безопасности в рамках общих таможенных процессов в государствах – членах Евразийского экономического сообщества не содержит никаких отсылок или упоминаний прав и интересов личности или граждан. Данный документ регламентирует исключительно аспекты определения режима передаваемой электронными сообщениями информации, такие, как защита от вирусов, от несанкционированного доступа к средствам вычислительной техники и телекоммуникационному оборудованию, обеспечение сетевой безопасности, анализ защищенности систем и т.д.

С другой стороны, Соглашения между Правительством Российской Федерации и Правительством Южно-Африканской Республики, Правительством Федеративной Республики Бразилии, Правительством Китайской Народной Республики, а также Соглашение о сотрудничестве государств – участников Содружества Независимых Государств в области обеспечения информационной безопасности прямо устанавливают в тексте, что международное сотрудничество между сторонами по вопросам обеспечения информационной безопасности строится на признании принципа баланса между обеспечением безопасности и соблюдением прав человека в области использования информационно-коммуникационных технологий, а также на признании роли информационной безопасности в обеспечении прав и основных свобод человека и гражданина.

Очевидно, что на уровне международно-правового сотрудничества вопросы разграничения информационной безопасности в целом, информационной безопасности государства, а также информационной безопасности личности решены недостаточно. Кроме того, проблемы детальной регламентации можно выявить при анализе текущего информационного законодательства.

Так, Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" , являющийся базовым в информационно-правовой сфере, не содержит какой-либо регламентации информационной безопасности личности. Положения, касающиеся отдельных аспектов регулирования информационной безопасности, относятся к обеспечению безопасности Российской Федерации при создании и эксплуатации информационных систем, защите информации данных систем, выполнению организационных и технических мер по обеспечению безопасности персональных данных. Очевидно, что указанные положения имеют также сугубо технико-методологическую направленность и определяют отдельные меры по предоставлению или ограничению доступа к отдельным видам информации. Кроме того, в законе не содержится определение информационной безопасности или же отсылки к иным актам, содержащим такое определение. Однако, помимо указанных выше сфер технической регламентации информационной безопасности, законом проводится отсылка к отдельному институту информационной безопасности детей, имеющему уже более широкое толкование, поскольку защита детей проводится в целях предотвращения вреда их здоровью и моральному развитию .

Будет справедливым вывод о том, что в современных нормативных правовых актах не содержится достаточной регламентации института информационной безопасности личности, а также критериев его разграничения с информационной безопасностью в общем широком значении, употребляемом в основополагающих стратегических документах. Более того, некоторые российские исследователи толкуют такой стратегический документ как Доктрину информационной безопасности в качестве инструмента для "незамедлительного и постоянного противодействия деструктивной деятельности иностранных элементов в информационной сфере" , что также не позволяет в полной мере определить место личности в системе мер обеспечения информационной безопасности. Представляется, что необходимо создать четкий терминологический аппарат для корректного регулирования различных отношений. Например, используя указанную выше классификацию, ввести в оборот термин "информационно-техническая безопасность" или, наоборот, нормативно закрепить внутри института информационной безопасности понятие кибербезопасности.

Кроме того, подобный узкий подход к пониманию информационной безопасности практически полностью исключает гарантии обеспечения одного из базовых конституционных прав личности – права на информацию, которое, несомненно, входит в круг интересов, защищаемых как информационная безопасность личности. При реализации права на информацию в современных условиях речь идет уже не о максимально широком доступе к информации, а о качественном характере доступа к информации, отвечающей определенным критериям (не просто право на информацию, а право на объективную, достоверную, безопасную информацию) с учетом национальных и культурных традиций России, а также защиты от существующих информационных угроз.

В настоящее время в нормативных правовых актах и российской доктрине не существует однозначной позиции относительного соотношения терминов "информационная безопасность личности" и "информационная безопасность". Отсутствие единого терминологического аппарата приводит к многочисленным проблемам, коллизиям и в конечном итоге к недостаточной правовой защите личности в информационной сфере.

Существующие подходы к толкованию информационной безопасности в узком смысле являются некорректными и не отвечают основополагающим принципам и правам информационного права. В частности, приравнивание института информационной безопасности к реализации мер по защите информации, укреплению национального суверенитета в информационной сфере или обеспечению функционирования информационно-телекоммуникационных систем представляется слишком ограничительным и создающим барьеры для дальнейшего развития всех составных частей информационной безопасности.

Необходимо создание развитого терминологического аппарата в сфере информационной безопасности, который помог бы разграничить безопасность личности от информационной безопасности в целом, прекратить смешение терминов "информационная безопасность", "кибербезопасность" и т.д., а также разрешить проблемы, созданные при переводе иностранных терминов в российских нормативных и доктринальных источниках.

Литература

1. Diehl Eric. Ten Laws for Security / Eric Diehl // Springer International Publishing Switzerland. 2016. ISBN 978-3-319-42641-9.

2. Лопатин В.Н. Информационная безопасность России: Человек. Общество. Государство / В.Н. Лопатин. СПб., 2000. 428 с.

3. Лопатин В.Н. Информационная безопасность России: Автореф. дис. … докт. юрид. наук / В.Н. Лопатин. СПб., 2000.

4. Hongliang C. (2016). Protecting oneself online / C. Hongliang, E. Beaudoin Christopher & H. Traci // Journalism and Mass Communication Quarterly, 93(2), 409 – 429. doi: http://dx.doi.org/10.1177/1077699016640224.

5. Алпеев А.С. Терминология безопасности: кибербезопасность, информационная безопасность / А.С. Алпеев // Вопросы кибербезопасности. 2014. N 5(8).

6. Захаров М.Ю. Информационная безопасность – основополагающий элемент безопасности социального управления / М.Ю. Захаров // Вестник Университета (Государственный университет управления). 2012. N 9-1. С. 112 – 115.

7. Куликова Е.А. Информационная безопасность как залог национальной безопасности / Е.А. Куликова // Сборники конференций НИЦ "Социосфера". 2015. N 58. С. 76 – 79.

8. Лызь Н.А. Информационно-психологическая безопасность в системах безопасности человека и информационной безопасности государства / Н.А. Лызь, Г.Е. Веселов, А.Е. Лызь // Известия ЮФУ. Технические науки. 2014. N 8(157). С. 58 – 66.

9. Лопатин В.Н. Концепция развития законодательства в сфере обеспечения информационной безопасности / В.Н. Лопатин. М.: Издание Государственной Думы РФ, 1998. 159 с.

Распоряжение Правительства Российской Федерации от 4 июля 2017 г. N 1424-р "О подписании Соглашения между Правительством Российской Федерации и Правительством Южно-Африканской Республики о сотрудничестве в области обеспечения международной информационной безопасности" // Официальный интернет-портал правовой информации (www.pravo.gov.ru), 06.07.2017 (N 0001201707060020); распоряжение Правительства Российской Федерации от 15 ноября 2013 г. N 2120-р "О подписании Соглашения о сотрудничестве государств – участников Содружества Независимых Государств в области обеспечения информационной безопасности" // Собрание законодательства Российской Федерации. 2013. N 47. Ст. 6135; распоряжение Правительства Российской Федерации от 13 мая 2010 г. N 721-р "О подписании Соглашения между Правительством Российской Федерации и Правительством Федеративной Республики Бразилия о сотрудничестве в области обеспечения международной информационной и коммуникационной безопасности" // Собрание законодательства Российской Федерации. 2010. N 21. Ст. 2628.

Указ Президента Российской Федерации от 22 мая 2015 г. N 260 "О некоторых вопросах информационной безопасности Российской Федерации" // Собрание законодательства Российской Федерации. 2015. N 21. Ст. 3092; Указ Президента Российской Федерации от 17 марта 2008 г. N 351 "О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена" // Собрание законодательства Российской Федерации. 2008. N 12. Ст. 1110.

Постановление Правительства Российской Федерации от 15 апреля 2014 г. N 313 "Об утверждении государственной программы Российской Федерации "Информационное общество (2011 – 2020 годы)" // Собрание законодательства Российской Федерации. 2014. N 18 (часть II). Ст. 2159.

Распоряжение Правительства Российской Федерации от 12 ноября 2010 г. N 1976-р "О подписании Соглашения об обеспечении информационной безопасности в рамках общих таможенных процессов в государствах – членах Евразийского экономического сообщества" // Собрание законодательства Российской Федерации. 2010. N 47. Ст. 6182.