1. Проблемы информационной безопасности.

2. Защита информации и ее основные предметные направления.

3. Уровни и виды доступа к информации. Защита прав на доступ к информации.

4. Основные виды угроз информации в АСОД.

5. Методы защиты информации от несанкционированного доступа.

6. Классификация мер защиты информации.

7. Компьютерные вирусы и их классификация.

8. Методы борьбы с компьютерными вирусами.

Проблема компьютерной безопасности базируется на трех основных аспектах:

1. информационной безопасности;

2. безопасности самого компьютера;

3. организации безопасной работы человека с компьютерной техникой.

С точки зрения компьютерной безопасности каждое предприятие обладает своим собственным корпоративным богатством – информационным. Его нельзя спрятать, оно должно активно работать. Средства информационной безопасности должны обеспечивать содержание информации в состоянии, которое описывается тремя категориями требований: доступность, целостность, конфиденциальность . Основные составляющие информационной безопасности сформулированы в Европейских критериях («Оранжевая книга» в США, «Зеленая книга» в ФРГ, «Белая книга» в Евросоюзе и т.д.), принятых ведущими странами Европы:

· доступность информации – обеспечение готовности системы к обслуживанию поступающих к ней запросов;

· целостность информации – обеспечение существования информации в неискаженном виде;

· конфиденциальность информации – обеспечение доступа к информации только авторизованному кругу субъектов.

Защита информации (ЗИ) – комплекс мероприятий, направленных на обеспечение важнейших аспектов ИБ (целостности, доступности, конфиденциальности).

Основные предметные направления ЗИ:

1).охрана государственной тайны;

2). охрана коммерческой тайны;

3). охрана банковской тайны;

4). охрана профессиональной тайны;

5). охрана служебной тайны;

6). охрана персональных данных;

7). охрана интеллектуальной собственности.

Уровни доступа к информации с точки зрения законодательства:

1) информация без ограничения права доступа;

2) информация с ограниченным доступом;

3) информация, распространения которой наносит вред интересам общества;

4) объекты интеллектуальной собственности;

5) иная общедоступная информация.

Виды доступа к информации:

1) обязательное доведение (публикация);

2) свободный доступ;

3) предоставление информации по запросу юридических лиц;

4) предоставление информации по запросу физических лиц

Защита права на доступ к информации может осуществляться:

1) в форме, находящейся за пределами юрисдикции (самозащита своих прав и законных интересов);

2) в юрисдикционной форме:

а) в административном порядке;

б). в судебном порядке.

Основные виды угроз информации в АСОД – это преднамеренные угрозы, реализация которых заранее планируется злоумышленником для нанесения вреда:

1) угрозы несанкционированных действий со стороны людей;

2) угрозы несанкционированных действий со стороны программ, созданных людьми.

Задачи по защите информации от преднамеренных угроз:

А) преградить несанкционированный доступ к ресурсам вычислительных систем;

Б) сделать невозможным несанкционированное использование компьютерных ресурсов, если доступ к ним все же осуществлен;

В) своевременно обнаружить факт несанкционированных действий и устранить причины, а также последствия их реализации.

Методы защиты информации от несанкционированного доступа

Рисунок 10 Методы защиты информации от преднамеренного доступа при применении простых средств хранения и обработки информации

Рисунок 11 Основные методы защиты информации в вычислительных системах

Классификацию мер защиты можно представить в виде трех уровней:

1

В настоящее время проблемы защиты информации являются приоритетными направлением. Под защитой информации понимается защита от угроз, исходящих от источников программного характер, которые воздействуют на уязвимости, характерные как для рядового пользователя, так и для локальных сетей компании, с целью защиты персональных данных. Ситуация усугубляется тем обстоятельством, что информационные технологии все больше проникают в нашу жизнь, тем самым защита персональных данных является первоначальной задачей любой организации либо рядового пользователя. В данной статье рассматриваются семь самых распространенных сетевых атак и способы защиты с ними, такие как: анализ сетевого трафика, сканирование сети, угроза выявления пароля, подмена доверенного объекта, навязывание ложного маршрута, внедрение ложного объекта сети и отказ в обслуживании. Показано, что для осуществления эффективной политики информационной безопасности, необходимо проводить комплексный подход во избежание внешнего проникновения. Преднамеренные действия в области защиты информации могут предотвратить возможность сетевых атак. Уникальность данной статьи заключается в том, что были рассмотрены самые распространенные сетевые атаки и предложены комплексные меры по их предотвращению.

защита информации

информационная безопасность

сетевые атаки

методология информационных угроз

1. Блинов А.М. Информационная безопасность. Санкт-Петербург, 2010. С.14-21.

2. Касперски К. Техника сетевых атак. Приемы противодействия. Солон-Р, 2001. С. 397.

3. Каторин Ю.Ф., Разумовский А.В., Спивак А.И. Защита информации техническими средствами. Санкт-Петербург, 2012. С.11-12.

4. Проскурин В.Г., Крутов С.В., Мацкевич И.В.. Защита в операционных системах. Москва, 2000. С. 10-15.

5. Министерство связи и массовых коммуникаций Российской Федерации. Модель угроз и нарушителя безопасности персональных данных, обрабатываемых в типовых информационных системах персональных данных отрасли. Москва, 2010. С.8.

Современное общество дошло до такого уровня, когда некоторые формальные границы, существовавшие ранее, начинают исчезать. В настоящее время, когда люди добровольно публикуют информацию о себе в различных аккаунтах, множество программ считывают действия пользователей, шпионские программы автоматически отправляют информацию о пользователе без его согласия, необходимо задумываться о защите своих данных. Все отмеченные процессы, во многом имеют серьезные последствия, как для рядового пользователя, так и организаций в целом, которые в них участвуют.

Исследования ведущих компаний постоянно подтверждают озабоченность бизнеса проблемами ИТ-безопасности внутри компаний. Проблема защиты конфиденциальных данных занимает лидерство по ИТ-проблемам. Можно уверенно утверждать, что проблема защиты конфиденциальных данных приобретает наибольшее значение, чем хакерские и вирусные атаки.

Под информационной безопасностью будем понимать защиту от перечня угроз безопасности персональных данных, исходящих от источников, имеющих программный характер и воздействующих на уязвимости, характерные как для рядового пользователя, так и для локальных сетей компании, в конечном итоге реализующих угрозы информационной безопасности .

На практике наиболее реализуемыми атаками можно назвать следующие:

1) Анализ сетевого трафика. Данную угрозу используют для получения идентификатора и пароля пользователя с помощью «прослушивания сети». Программа-анализатор перехватывает пакеты по сети и, если протокол передает открытую аутенфикационную информацию, легко получить доступ к учетной записи пользователя.

Одним из наиболее эффективных методов защиты системы от данного типа атаки является запрет на использование основных прикладных протоколов удаленного доступа TELNET и FTP, которые не предусматривают криптозащиту передаваемых по сети идентификаторов и аутентификаторов. Атака становится бессмысленной при использовании стойких криптографических алгоритмов защиты IP-потока.

2) Сканирование сети. В результате угрозы собирают информацию о топологии сети, открытых портах и др. Эта угроза проводится в форме DNS-запросов, эхо-тестирования адресов. В результате эхо-тестирования можно получить список хостов работающих в данной среде. Далее сканируют порты и затем составляют список услуг, которые поддерживают хосты. В итоге, злоумышленник проводит анализ характеристик приложений, работающих на хостах, и получает информацию для взлома системы.

Избежать полностью данной атаки невозможно. Один из способов борьбы с данной атакой - использование систем обнаружения вторжений (IDS), которые оповестят администратора о ведущейся сетевой разведке.

3) Угроза выявления пароля. Данная атака реализуется с помощью простого перебора значений, перебора специальных программ, перехвата пароля с помощью программ-анализаторов сетевого трафика и многих других методов.

Идеальным вариантом защиты от данной атаки является не использование паролей в текстовой форме. К сожалению, не все системы/устройства поддерживают одноразовые пароли или криптографическую аутентификацию.

Так что при использовании текстовых паролей старайтесь, чтобы длина пароля была не менее 8 символов. Обязательно пароль должен содержать знаки верхнего регистра, цифры и различные символы. В итоге вы получите пароли, которые будет сложно подобрать. Но тогда мы получаем список сложных для запоминания паролей. Чаще всего это вынуждает пользователя хранить перечень паролей на бумаге либо в текстовом формате. Для решения этой задачи существуют прикладные решения, задача которых зашифровать список паролей. Таким образом, пользователю необходимо запомнить только один сложный пароль для открытия файла. Можно назвать примеры следующих программ для шифрования, существующих долгое время на рынке софта, PGP Desktop, CyberSafe, Folder Lock.

4) Подмена доверенного объекта . Под данной атакой понимается подмена доверенного объекта и передача сообщений от его имени по каналам связи с присвоением его прав доступа. Под доверенным лицом понимается элемент сети, легально подключенный к серверу.

5) Навязывание ложного маршрута сети . Другое название угрозы IP-спуфинг. Данная атака становится возможной из-за протоколов маршрутизации и управления сетью. Используя уязвимости протоколов, вносятся несанкционированные изменения в маршрутно-адресные таблицы.

Для защиты системы от данной атаки есть два варианта решения: фильтрация сообщений о маршруте, не допуская к конечному объекту, либо настройка сетевой операционной системы для игнорирования таких общений соответствующим образом

6) Внедрение ложного объекта сети . Данная атака происходит при перехвате запроса с информацией и выдаче ложного ответа, изменив таблицу маршрутизации сети. Выдавая тем самым себя за легального субъекта сети.

Чтобы ликвидировать данную угрозу необходимо устранить причину ее возможной реализации. Для этого самым несложным решением может служить создание статической таблицы в виде файла, для внесения необходимой информации об адресах. Файл необходимо установить на каждый сетевой компьютер внутри локальной сети. Из этого может следовать, что нет потребности реализации сетевой ОС процедуры удаленного поиска.

7) Отказ в обслуживании. Угроза нацелена на нарушение доступности информации для законных субъектов информационного обмена.

Защитится от данной угрозы, можно только при использовании наиболее производительных компьютеров. Большее число и частота работы процессоров, больший объем памяти процессоров способствуют повышенному уровню надежности бесперебойной работы сетевой операционной системы при обрушении потока ложных запросов на создание соединения.

Анализируя ответы студентов факультета экономики и информационной безопасности МОСИ, определили, что самой распространенной угрозой является - угроза выявления пароля. Если первые две угрозы больше характерны для крупных компаний, то чаще всего рядовой пользователь хотя бы раз сталкивался с проблемой взлома своего профиля в социальной сети или доступа к электронной почте. Предпосылки к этому создают сами пользователи, не соблюдая элементарных правил безопасности информации в сети.

В настоящем времени средства защиты, которые применяются традиционно (антивирусы, фаерволы и т.д.) не способны полноценно защитить информационные системы организации. Чтобы эффективно противостоять современным кибератакам требуется комплексный подход, который будет сочетать в себе несколько уровней защиты с использованием различных технологий безопасности.

Чтобы защитить информационную систему организаций от внешних интернет атак можно использовать системы предотвращения вторжений на уровне хоста (HIPS). Системы отлично себя зарекомендовали и при правильной настройке дают беспрецедентный уровень защищенности.

Грамотно выстроенная политика безопасности позволяет достичь очень высокого уровня защиты. Применение совместно с HIPS других программных продуктов (антивирусного пакета и др.) позволит защитить систему организации от большинства типа вредоносного ПО, затруднит работу хакера, целью которого пробить защиту компании, сохранит интеллектуальную собственность и важные данные предприятия.

Защита от внутренних угроз так же требует комплексных мер. Это выражается во введении четкой организационной структуры ответственных за информационную безопасность сотрудников, контролировании документооборота, мониторинге и контроле пользователей, введении механизмов аутенфикации пользователей для доступа к информации разной степени важности.

Важно понимать, что нет ни одного продукта, способного предоставить компании «полную безопасность». Высокий уровень защиты достигается при помощи трех аспектов: сочетанием различных продуктов и услуг, соблюдением сотрудниками элементарных правил и так же грамотной политикой безопасности.

Библиографическая ссылка

Никитин П.В., Капелькина А.В., Фархшатов И.В. СОВРЕМЕННЫЕ ПРОБЛЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ЛИЧНОСТИ // Международный студенческий научный вестник. – 2015. – № 6.;
URL: http://eduherald.ru/ru/article/view?id=14280 (дата обращения: 31.03.2019). Предлагаем вашему вниманию журналы, издающиеся в издательстве «Академия Естествознания»

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

Введение

С технологической точки зрения информация является продукцией информационных систем. Как и для всякого продукта, для информации большое значение имеет ее качество, то есть способность удовлетворять определенные информационные потребности.

Актуальность данной контрольной работы. Обеспечение информационной безопасности в современной России представляется сложным и специфическим процессом, подверженным воздействию множества внешних и внутренних факторов. Специфический характер данного процесса определяется теми политическими условиями, в которых он протекает.

Задачи данной контрольной работы:

1. Рассмотреть информационную безопасность и ее составляющие;

2. Рассмотреть проблемы информационной безопасности;

3. Изучить правовое обеспечение информационной безопасности.

Качество информации является сложным понятием, его основу составляет базовая система показателей, включающая показатели трех классов:

* класс выдачи (своевременность, актуальность, полнота, доступность и другие);

* класс обработки (достоверность, адекватность и другие);

* класс защищенности (физическая целостность, логическая целостность, безопасность).

Своевременность информации оценивается временем выдачи (получения), в течение которого информация не потеряла свою актуальность.

Актуальность информации - это степень ее соответствия текущему моменту времени. Нередко с актуальностью связывают коммерческую ценность информации. Устаревшая и потерявшая свою актуальность информация может приводить к ошибочным решениям и тем самым теряет свою практическую ценность. Полнота информации определяет достаточность данных для принятия решений или для создания новых данных на основе имеющихся. Чем полнее данные, тем проще подобрать метод, вносящий минимум погрешностей в ход информационного процесса.

Достоверность информации - это степень соответствия между получаемой и исходящей информацией.

Адекватность информации - это степень соответствия реальному объективному состоянию дела. Неадекватная информация может образовываться при создании новой информации на основе неполных или недостаточных данных. Однако и полные, и достоверные данные могут приводить к созданию неадекватной информации в случае применения к ним неадекватных методов.

Доступность информации - мера возможности получить ту или иную информацию. Отсутствие доступа к данным или отсутствие адекватных методов обработки данных приводят к одинаковому результату: информация оказывается недоступной. Одним из наиболее существенных показателей качества информации является ее безопасность.

Структура данной контрольной работы. Контрольная работа состоит из: введения, трех глав, заключения, списка использованной литературы.

I. Информационная безопасность и ее составляющие

Проблема обеспечения информационной безопасности актуальна с тех пор, как люди стали обмениваться информацией, накапливать ее и хранить. Во все времена возникала необходимость надежного сохранения наиболее важных достижений человечества с целью передачи их потомкам. Аналогично возникала необходимость обмена конфиденциальной информацией и надежной ее защиты.

С началом массового применения компьютеров проблема информационной безопасности приобрела особую остроту. С одной стороны, компьютеры стали носителями информации и, как следствие, одним из каналов ее получения, как санкционированного, так и несанкционированного. С другой стороны, компьютеры как любое техническое устройство подвержены сбоям и ошибкам, которые могут привести к потере информации. Под информационной безопасностью понимается защищенность информации от случайного или преднамеренного вмешательства, наносящего ущерб ее владельцам или пользователям. С повышением значимости и ценности информации соответственно растет и важность ее защиты. С одной стороны, информация стала товаром, и ее утрата или несвоевременное раскрытие наносит материальный ущерб. С другой стороны, информация -- это сигналы управления процессами в обществе, технике, а несанкционированное вмешательство в процессы управления может привести к катастрофическим последствиям.

информационный безопасность правовой защита

II. Проблема информационной безопасности

Проблема информационной безопасности возникла достаточно давно и имеет глубокие исторические корни. До сравнительно недавнего времени методы защиты информации были в исключительной компетенции спецслужб, обеспечивающих безопасность страны. Однако новые технологии измерения, передачи, обработки и хранения информации значительно расширили сферы деятельности людей, нуждающихся в защите информации, привели к развитию и распространению новых методов несанкционированного доступа к информации и, как следствие, к интенсивному развитию нового научного направления - «информационная безопасность». Все это связано, прежде всего, с появлением систем обработки данных на базе компьютеров, а также с бурным развитием систем передачи данных. Можно выделить некоторые причины, которые и привели к необходимости как разработки новых методов защиты информации, так и к дальнейшему развитию традиционных. Первые системы коллективного пользования ЭВМ, а затем объединение их в глобальные и локальные сети, технологии открытых систем уже на первом этапе выявили потребность в защите информации от случайных ошибок операторов, сбоев в аппаратуре, электропитании и т.п. Стремительный рост емкости внешних запоминающих устройств и высокая эффективность их использования в системах автоматизированного управления привели к созданию банков (баз) данных колоссальной емкости и высокой стоимости, одновременно создавая проблемы их защиты, как от разнообразных случайностей, так и от несанкционированного доступа. Современные информационные системы составляют техническую основу органов управления государственной власти, промышленных предприятий и научно-исследовательских организаций, учреждений кредитно-финансовой сферы, банков и т.п. Сегодня, когда компьютер прочно вошел в наш быт, мы все чаще вынуждены доверять ему свои секреты (финансовые, промышленные, медицинские и др.), и в связи с этим вопросы защиты информации приобретают всеобъемлющий характер.

Кроме чисто технических задач разработки средств защиты информации имеются нормативно-технические, организационно-правовые, юридические и другие аспекты. Основные задачи, рассматриваемые специалистами по информационной безопасности (а также публикации на эту тему), связаны с обеспечением безопасности использования глобальных и локальных сетей, с проблемами глобальной вычислительной сети Интернет, «хакерами», «вирусами» и т.п. Резюмируя сказанное, можно выделить технические, организационные и правовые меры обеспечения информационной безопасности и предотвращения компьютерных преступлений.

К техническим мерам относятся:

1. защита от несанкционированного доступа;

2. резервирование особо важных компонентов подсистем;

3. организация вычислительных сетей с перераспределением ресурсов при временном нарушении работоспособности какой-либо части сети;

4. создание устройств обнаружения и тушения пожаров;

5. создание устройств обнаружения утечек воды;

6. техническая защита от хищений, саботажа, диверсий, взрывов;

7. дублирование электропитания;

8. надежные запирающие устройства;

9. устройства сигнализации о различных опасностях.

К организационным мерам относятся:

1. надежная охрана;

2. подбор надежного персонала;

3. правильная организация работы персонала;

4. предусмотренный план восстановления работы информационного центра после сбоя;

5. организация обслуживания и контроля работы компьютерного центра лицами, не заинтересованными в сокрытии преступлений;

6. создание средств защиты информации от любых лиц, включая и руководящий персонал;

7. предусмотренные меры административной и уголовной ответственности за нарушение правил работы;

8. правильный выбор местонахождения информационного центра с дорогостоящим техническим и программным обеспечением.

К правовым мерам относятся:

1. разработка уголовных норм ответственности за компьютерные преступления;

3. усовершенствование уголовного и гражданского законодательства;

4. усовершенствование судопроизводства по компьютерным преступлениям;

5. общественный контроль за разработчиками компьютерных систем;

6. принятие ряда международных соглашений, касающихся информационной безопасности.

Это очень крупная научно-техническая проблема и, естественно, мы не можем осветить ее в полной мере и коснемся только основных понятий, определений и средств защиты, доступных пользователю, причем начнем с наиболее близкой проблемы рядового пользователя - с сохранения информации, не связанного с несанкционированным доступом.

III. Правовое обеспечение информационной безопасности

К правовым мерам обеспечения информационной безопасности относится: разработка норм, устанавливающих ответственность за компьютерные преступления; защита авторских прав программистов; совершенствование уголовного и гражданского законодательства, а также судопроизводства. К правовым мерам следует отнести также общественный контроль за разработчиками компьютерных систем и принятие соответствующих международных соглашений. До недавнего времени в Российской Федерации отсутствовала возможность эффективной борьбы с компьютерными преступлениями, так как данные преступления не могли считаться противозаконными, поскольку они не квалифицировались уголовным законодательством. До 1 января 1997 г. на уровне действующего законодательства России можно было считать удовлетворительно урегулированной лишь охрану авторских прав разработчиков программного обеспечения и, частично, защиту информации в рамках государственной тайны, но не были отражены права граждан на доступ к информации и защита информации, непосредственно связанные с компьютерными преступлениями.

Частично указанные проблемы были решены после введения в действие с 1 января 1997 г. нового Уголовного кодекса (УК), принятого Государственной Думой 24 мая 1996 г. В новом УК ответственность за компьютерные преступления устанавливают ст. ст. 272, 273 и 274. Ст. 272 нового УК устанавливает ответственность за неправомерный доступ к компьютерной информации (на машинном носителе в компьютере или сети компьютеров), если это привело либо к уничтожению, блокированию, модификации или копированию информации, либо к нарушению работы вычислительной системы. (Под блокированием понимается такое воздействие на компьютер или компьютерную систему, которое повлекло временную или постоянную невозможность выполнять какие-либо операции над информацией.)

Эта статья защищает право владельца на неприкосновенность информации в системе. Владельцем информационной системы может быть любое лицо, правомерно пользующееся услугами по обработке информации как собственник вычислительной системы или как лицо, которое приобрело право ее использования. Преступное деяние, ответственность за которое предусмотрено ст. 272, состоит в неправомерном доступе к охраняемой законом компьютерной информации, который всегда имеет характер совершения определенных действий и может выражаться в проникновении в компьютерную систему путем использования специальных технических или программных средств, позволяющих преодолеть установленные системой защиты; незаконного применения действующих паролей или маскировки под законного пользователя для проникновения в компьютер, хищения носителей информации (при условии, что были приняты меры их охраны), если это повлекло к уничтожению или блокированию информации. (Доступ считается правомерным, если он разрешен правообладателем, собственником информации или системы.

Неправомерным является доступ, если лицо не имеет права доступа, либо имеет право на доступ, но осуществляет его с нарушением установленного порядка.) Для наступления уголовной ответственности обязательно должна существовать причинная связь между несанкционированным доступом к информации и наступлением предусмотренных ст. 272 последствий, тогда как случайное временное совпадение неправомерного доступа и сбоя в вычислительной системе, повлекшего указанные последствия, не влечет уголовной ответственности.

Неправомерный доступ к компьютерной информации должен осуществляться умышленно, т.е. совершая это преступление, лицо сознает, что неправомерно вторгается в компьютерную систему, предвидит возможность или неизбежность указанных в законе последствий, желает и сознательно допускает их наступление или относится к ним безразлично. Следовательно, с субъективной стороны преступление по ст. 272 характеризуется наличием прямого или косвенного умысла. Мотивы и цели данного преступления могут быть самыми разными: корыстными, направленными на причинение вреда (из хулиганских, конкурентных или иных побуждений) или проверку своих профессиональных способностей, и др. Поскольку мотив и цель преступления в ст. 272 не учитываются, она может применяться к всевозможным компьютерным посягательствам. Ст. 272 УК состоит из двух частей. В первой части наиболее серьезное наказание преступника состоит в лишении свободы сроком до двух лет. Часть вторая указывает в качестве признаков, усиливающих уголовную ответственность, совершение преступления группой лиц или с использованием преступником своего служебного положения, а равно имеющим доступ к информационной системе, и допускает вынесение приговора сроком до пяти лет. При этом не имеет значения местонахождение объекта преступления (например, банка, к информации которого осуществлен неправомерный доступ в преступных целях), который может быть и зарубежным.

По уголовному законодательству субъектами компьютерных преступлений могут быть лишь лица, достигшие 16-летнего возраста. Ст. 272 УК не регулирует ситуации, когда неправомерный доступ к информации происходит по неосторожности, поскольку при расследовании обстоятельств доступа зачастую крайне трудно доказать преступный умысел. Так, при переходах по ссылкам от одного компьютера к другому в сети Интернет, связывающей миллионы компьютеров, можно легко попасть в защищаемую информационную зону какого-либо компьютера, даже не замечая этого (хотя целью могут быть и преступные посягательства). Ст. 273 УК предусматривает уголовную ответственность за создание, использование и распространение вредоносных программ для компьютеров или модификацию программного обеспечения, заведомо приводящее к несанкционированному уничтожению, блокированию, модификации, копированию информации или к нарушению работы информационных систем. Статья защищает права владельца компьютерной системы на неприкосновенность хранящейся в ней информации. Вредоносными считаются любые программы, специально разработанные для нарушения нормального функционирования других компьютерных программ.

Под нормальным функционированием понимается выполнение операций, для которых эти программы предназначены и которые определены в документации на программу. Наиболее распространенные вредоносные программы - компьютерные вирусы, логические бомбы, также программы, известные как «троянский конь». Для привлечения к ответственности по ст. необязательно наступление каких-либо нежелательных последствий для владельца информации, достаточен сам факт создания вредоносных программ или внесение изменений в уже существующие программы, заведомо приводящих к указанным в статье последствиям. Использованием программ считается их выпуск в свет, воспроизведение, распространение и другие действия по введению в оборот. Использование программ может осуществляться путем записи в память компьютера или на материальный носитель, распространения по сетям или путем иной передачи другим пользователям.

Уголовная ответственность по ст. 273 возникает уже в результате создания вредоносных программ, независимо от их фактического использования. Даже наличие исходных текстов программ является основанием для привлечения к ответственности. Исключение составляет деятельность организаций, разрабатывающих средства противодействия вредоносным программам и имеющих соответствующие лицензии. Статья состоит из двух частей, различающихся признаком отношения преступника к совершаемым действиям. Ч. 1 предусматривает преступления, совершенные умышленно, с сознанием того, что создание, использование или распространение вредоносных программ заведомо должно привести к нарушению неприкосновенности информации. При этом ответственность наступает независимо от целей и мотивов посягательства, которые могут быть вполне позитивными (например, охрана личных прав граждан, борьба с техногенными опасностями, защита окружающей среды и т.п.). Максимальное наказание по первой части - лишение свободы сроком до трех лет. По ч. 2 дополнительный квалифицирующий признак - наступление тяжких последствий по неосторожности. В этом случае лицо сознает, что создает, использует или распространяет вредоносную программу или ее носители и предвидит возможность наступления серьезных последствий, но без достаточных оснований рассчитывает их предотвратить, или не предвидит этих последствий, хотя как высококвалифицированный программист мог и был обязан их предусмотреть. Поскольку последствия могут быть очень тяжкими (смерть или вред здоровью человека, опасность военной или иной катастрофы, транспортные происшествия), максимальное наказание по ч. 2 - семь лет лишения свободы. Отметим, что в законе не говорится о степени нанесенного вреда в отличие от краж, когда различаются просто кража, кража в крупном размере и кража в особо крупном размере. Здесь устанавливается лишь факт преступления, а размер ущерба влияет лишь на оценку его тяжести и меру ответственности. Наконец, ст. 274 УК устанавливает ответственность за нарушение правил эксплуатации компьютеров, компьютерных систем или сетей лицом, имеющим доступ к ним, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации, если это деяние причинило существенный вред. Эта статья защищает интересы владельца компьютерной системы в отношении ее правильной эксплуатации и распространяется только на локальные вычислительные сети организаций. К глобальным вычислительным сетям, например к таким, как Интернет, эта статья неприменима.

Под охраняемой законом информацией понимается информация, для которой в специальных законах установлен режим ее правовой защиты. Между фактом нарушения правил эксплуатации и наступившим существенным вредом должна быть обязательно установлена причинная связь и полностью доказано, что наступившие вредные последствия являются результатом именно нарушения правил. Оценку нанесенного вреда устанавливает суд, исходя из обстоятельств дела, причем считается, что существенный вред менее значителен, чем тяжкие последствия.

Субъект этой статьи - лицо, в силу своих должностных обязанностей имеющее доступ к компьютерной системе и обязанное соблюдать установленные для них технические правила. Согласно ч. 1 статьи он должен совершать свои деяния умышленно; сознавать, что нарушает правила эксплуатации; предвидеть возможность или неизбежность неправомерного воздействия на информацию и причинение существенного вреда, желать или сознательно допускать причинение такого вреда или относиться к его наступлению безразлично. Наиболее строгое наказание в этом случае - лишение права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет, или ограничение свободы на срок до двух лет. Ч. 2 ст. 274 предусматривает ответственность за те же деяния, не имевшие умысла, но повлекшие по не осторожности тяжкие последствия, например за установку инфицированной программы без антивирусной проверки, что повлекло за собой серьезные последствия (крупный финансовый ущерб, транспортные происшествия, утрата важных архивов, нарушение работы системы жизнеобеспечения в больнице и др.). Мера наказания за это преступление устанавливается судом в зависимости от наступивших последствий, максимальное наказание - лишение свободы на срок до четырех лет. Как видно, рассмотренные статьи УК не охватывают все виды компьютерных преступлений, разнообразие которых увеличивается вместе с прогрессом в области компьютерной техники и ее использованием.

Кроме того, некоторые формулировки статей допускают неоднозначное истолкование, например в определении злостного умысла. Поэтому в дальнейшем возможно пополнение и усовершенствование этих статей.

Заключение

Информационная безопасность в условиях глобализации и нарастающей открытости стран играет важнейшую роль в реализации жизненно важных интересов личности, общества и государства. Это обусловлено повсеместным созданием развитой информационной среды. Именно через информационную среду, зачастую, в современных условиях реализуются угрозы национальной безопасности Российской Федерации.

Информационная безопасность личности общества и государства может быть эффективно обеспечена лишь системой мер, имеющих целенаправленный и комплексный характер. Особое значение для формирования и реализации политики обеспечения информационной безопасности имеет грамотное использование политического инструментария. Однако в настоящее время ощущается недостаточная научная проработка вопросов, касающихся определения роли политического фактора в системе информационной безопасности, что во многом связано с транзитор-ным состоянием российского общества и потребностями переосмысления целого ряда теоретических и методологических проблем.

Информационные факторы приобретают все большее значение в политической, экономической, социальной, военной, духовной сферах жизнедеятельности российского общества, а информационная среда выступает системообразующим фактором национальной безопасности, активно влияет на состояние политической, экономической, военной, духовной и других составляющих общей системы национальной безопасности Российской Федерации. В то же время информационная сфера представляет собой самостоятельную сферу национально безопасности, в которой необходимо обеспечить защиту информационных ресурсов, систем их формирования, распространения и использования, информационной инфраструктуры, реализацию прав на информацию юридических лиц и граждан.

Информационная безопасность как самостоятельная область научного познания базируется на теории безопасности, кибернетике и информатике. Основными методами изучения информационной безопасности в настоящее время чаще всего выступают наблюдение (в том числе включенное), экспертная оценка, социологические опросы общественного мнения (в том числе интервьюирование), логическое и математическое моделирование. Для выявления состояния защищенности интересов предприятий и организаций, имеющих корпоративные информационные сети, наиболее приемлем метод экспертных оценок.

Понятийный аппарат информационной безопасности составляют такие категории как: "безопасность", "национальная безопасность", "интерес", "жизненно важный интерес", "сфера жизнедеятельности", "информация", "информационное общество", "информационные ресурсы", "защита", "политика обеспечения информационной безопасности" и др.

Актуальной остается задача обеспечения национальной безопасности России при неосязаемой передаче технологий. В сферу разведок все в большей мере вовлекаются вопросы новейших технологий, финансов, торговли, ресурсов и другие экономические стороны деятельности государства, доступ к которым открывается в связи с развитием международных инте1рационных процессов, широким внедрением компьютеризации в эти сферы деятельности.

Особое место в законодательстве должны занимать правоотношения, возникающие в процессе использования компьютерных систем и сетей. Необходим государственный механизм расследования компьютерных преступлений и система подготовки кадров для следствия и судопроизводства по делам, связанным с компьютерной преступностью, противоправным использованием Internet.

В обеспечении информационной безопасности должны быть полнее задействованы ресурсы гражданского общества. Очевидно, что государство в одиночку не способно справиться в полном объеме с задачей обеспечения информационной безопасности всех субъектов информационных отношений. Если сегодня в соответствии с законом оно полностью отвечает лишь за вопросы защиты государственной тайны, то в большинстве остальных случаев при неопределенности доли государственного участия бремя обеспечения информационной безопасности ложится на плечи граждан и общества. Это отвечает конституционному принципу самозащиты своих интересов всеми способами, не запрещенными законом. Органы государственной власти должны четко определить свои полномочия, исходя из реальных возможностей и заявленных приоритетов в обеспечении информационной безопасности.

Список использованной литературы

1. Ю.И. Кудинов, Ф. Ф. Пащенко. Основы современной информатики: Учебное пособие. 2-е изд., испр. -- СПб.: Издательство «Лань», 2011. -- 256 с.: ил. -- (Учебники для вузов. Специальная литература).

2. Аверьянов Г.П., Дмитриева В.В. СОВРЕМЕННАЯ ИНФОРМАТИКА: Учебное пособие. М.: НИЯУ МИФИ, 2011. -- 436 с.

3. Таганов, Л. С. Информатика: учеб. пособие / Л. С. Таганов, А. Г. Пимонов; Кузбас. гос. техн. ун-т. - Кемерово, 2010. - 330 с.

4. Вербенко, Борис Владимирович. Дисертация на соискание ученой степени кондидата политических наук

В условиях постоянного роста количества известных и появления новых видов информационных угроз перед крупными предприятиями всё чаще встаёт задача обеспечения надёжной защиты корпоративных сетей от вредоносных программ и сетевых атак.

Работа с информацией в современных условиях отличается не только массивом и многообразием ресурсов, постоянным обновлением технологий ее обработки, повышенным вниманием и контролем над персоналом, но и грамотным уровнем управления фирмой.

Известно, что процесс массового внедрения компьютерной техники и информационных технологий наряду с прогрессивным началом неизбежно создает и дополнительные проблемы. Они связаны с реальными угрозами безопасности предприятий, с потерей стратегически важной информации, а вместе с этим и утратой управляемости компании.

В целях сокращения побочных явлений повсеместного использования новых информационных технологий руководство организаций определяет стратегию своей деятельности в информационной сфере. Стержневым началом такой стратегии должна быть информационная безопасность, определяемая как состояние защищенности интересов предприятий или организации в информационной сфере. Все направления деятельности предприятия, в которых прямо или косвенно используются информационные технологии, фокусируются в рамках обеспечения информационной безопасности.

Как показывает международная практика, основная проблема в сфере обеспечения информационной безопасности заключается в создании единого эффективного механизма, который позволял бы своевременно применять на практике нормативно-правовые, законодательные акты, отвечающие существующим социально-политическим и экономическим условиям и достижениям в области информационных технологий. Развитие технологий, сферы информатизации делает актуальным вопрос обеспечения информационной безопасности.

Проблема обеспечения информационной безопасности имеет две составляющие - технологическую и идеологическую. Первая - связана с разработкой и внедрением информационных ресурсов, системы защиты информационных баз, вторая - с распространением информации, ее воздействием на жизнь личности, общества, государства.

Практически любая новая технология влечет за собой социально-экономические изменения в обществе, влияет на международные отношения. На сегодняшний день можно говорить о создании общемирового информационного пространства. Информация, информационные технологии характеризуются такими свойствами как трансграничность, проницаемость, имеют возможность повсеместного использования, становятся доступными вне зависимости от национальных границ.

Под угрозами информации принято понимать потенциальные или реально возможные действия по отношению к информационным ресурсам, приводящие к неправомерному овладению охраняемыми сведениями.

Такими действиями являются:

Ознакомление с информацией различными путями и способами без нарушения ее целостности;

Модификация информации в криминальных целях как частичное или значительное изменение состава и содержания сведений;

Разрушение (уничтожение) информации как акт вандализма с целью прямого нанесения материального ущерба.

В конечном итоге противоправные действия с информацией приводят к нарушению ее конфиденциальности, полноты, достоверности и доступности, что в свою очередь приводит к нарушению, как режима управления, так и его качества в условиях ложной или неполной информации. Каждая угроза влечет за собой определенный ущерб - моральный или материальный, а защита и противодействие угрозе призвано снизить его величину, в идеале - полностью, реально - значительно или хотя бы частично. Но и это удается далеко не всегда.

С учетом этого угрозы могут быть классифицированы по следующим кластерам:

По величине принесенного ущерба:

Предельный, после которого фирма может стать банкротом;

Значительный, но не приводящий к банкротству;

Незначительный, который фирма за какое-то время может компенсировать и др.;

По вероятности возникновения:

Весьма вероятная угроза;

Вероятная угроза;

Маловероятная угроза;

По причинам появления:

Стихийные бедствия;

Преднамеренные действия;

По характеру нанесенного ущерба:

Материальный;

Моральный;

По характеру воздействия:

Активные;

Пассивные;

По отношению к объекту:

Внутренние;

Внешние.

Источниками внешних угроз являются:

Недобросовестные конкуренты;

Преступные группировки и формирования;

Отдельные лица и организации административно-управленческого аппарата.

Источниками внутренних угроз могут быть:

Администрация предприятия;

Персонал;

Технические средства обеспечения производственной и трудовой деятельности.

Угроза - это потенциальные или реальные действия, приводящие к моральному или материальному ущербу.

Отношение объекта (фирма, организация) и субъекта (конкурент, злоумышленник) в информационном процессе с противоположными интересами можно рассматривать с позиции активности в действиях, приводящих к овладению конфиденциальными сведениями.

В этом случае возможны такие ситуации:

Владелец (источник) не принимает никаких мер к сохранению конфиденциальной информации, что позволяет злоумышленнику легко получить интересующие его сведения;

Источник информации строго соблюдает меры информационной безопасности, тогда злоумышленнику приходится прилагать значительные усилия к осуществлению доступа к охраняемым сведениям, используя для этого всю совокупность способов несанкционированного проникновения: легальное или нелегальное, заходовое или беззаходовое;

Промежуточная ситуация - это утечка информации по техническим каналам, при которой источник еще не знает об этом (иначе он принял бы меры защиты), а злоумышленник легко, без особых усилий может их использовать в своих интересах.

В общем, факт получения охраняемых сведений злоумышленниками или конкурентами называют утечкой. Однако одновременно с этим в значительной части законодательных актов, законов, кодексов, официальных материалов используются и такие понятия, как разглашение сведений и несанкционированный доступ к конфиденциальной информации.

Разглашение - это умышленные или неосторожные действия с конфиденциальными сведениями, приведшие к ознакомлению с ними лиц, не допущенных к ним. Разглашение выражается в сообщении, передаче, предоставлении, пересылке, опубликовании, утере и в других формах обмена и действий с деловой и научной информацией. Реализуется разглашение по формальным и неформальным каналам распространения информации. К формальным коммуникациям относятся деловые встречи, совещания, переговоры и тому подобные формы общения: обмен официальными деловыми и научными документами средствами передачи официальной информации (почта, телефон, телеграф и др.). Неформальные коммуникации включают личное общение (встречи, переписка и др.); выставки, семинары, конференции и другие массовые мероприятия, а также средства массовой информации (печать, газеты, интервью, радио, телевидение и др.). Как правило, причиной разглашения конфиденциальной информации является недостаточное знание сотрудниками правил защиты коммерческих секретов и непонимание (или недопонимание) необходимости их тщательного соблюдения. Тут важно отметить, что субъектом в этом процессе выступает источник (владелец) охраняемых секретов. Следует отметить информационные особенности этого действия. Информация содержательная, осмысленная, упорядоченная, аргументированная, объемная и доводится зачастую в реальном масштабе времени. Часто имеется возможность диалога. Информация ориентирована в определенной тематической области и документирована. Для получения интересующей злоумышленника информации последний затрачивает практически минимальные усилия и использует простые легальные технические средства (диктофоны, видео мониторинг).

"Утечка - это бесконтрольный выход конфиденциальной информации за пределы организации или круга лиц, которым она была доверена" Утечка информации осуществляется по различным техническим каналам. Известно, что информация вообще переносится или передается либо энергией, либо веществом. Это либо акустическая волна (звук), либо электромагнитное излучение, либо лист бумаги (написанный текст) и др. С учетом этого можно утверждать, что по физической природе возможны следующие пути переноса информации: световые лучи, звуковые волны, электромагнитные волны, материалы и вещества. Соответственно этому классифицируются и каналы утечки информации на визуально-оптические, акустические, электромагнитные и материально-вещественные. Под каналом утечки информации принято понимать физический путь от источника конфиденциальной информации к злоумышленнику, посредством которого последний может получить доступ к охраняемым сведениям. Для образования канала утечки информации необходимы определенные пространственные, энергетические и временные условия, а также наличие на стороне злоумышленника соответствующей аппаратуры приема, обработки и фиксации информации.

Несанкционированный доступ - это противоправное преднамеренное овладение конфиденциальной информацией лицом, не имеющим права доступа к охраняемым секретам. Несанкционированный доступ к источникам конфиденциальной информации реализуется различными способами: от инициативного сотрудничества, выражающегося в активном стремлении "продать" секреты, до использования различных средств проникновения к коммерческим секретам. Для реализации этих действий злоумышленнику приходится часто проникать на объект или создавать вблизи него специальные посты контроля и наблюдения - стационарных или в подвижном варианте, оборудованных самыми современными техническими средствами. Если исходить из комплексного подхода к обеспечению информационной безопасности, то такое деление ориентирует на защиту информации как от разглашения, так и от утечки по техническим каналам и от несанкционированного доступа к ней со стороны конкурентов и злоумышленников. Такой подход к классификации действий, способствующих неправомерному овладению конфиденциальной информацией, показывает многогранность угроз и многоаспектность защитных мероприятий, необходимых для обеспечения комплексной информационной безопасности.

С учетом изложенного остается рассмотреть вопрос, какие условия способствуют неправомерному овладению конфиденциальной информацией (Рис. 2).

Рис. 2.

А так же рассматривается отсутствие высокой трудовой дисциплины, психологическая несовместимость, случайный подбор кадров, слабая работа кадров по сплочению коллектива.

Среди форм и методов недобросовестной конкуренции находят наибольшее распространение:

Экономическое подавление, выражающееся в срыве сделок и иных соглашений (48%),

Парализации деятельности фирмы (31%),

Компрометации фирмы (11%),

Шантаж руководителей фирмы (10%);

Физическое подавление:

Ограбления и разбойные нападения на офисы, склады, грузы (73%),

Угрозы физической расправы над руководителями фирмы и ведущими специалистами (22%),

Убийства и захват заложников (5%);

Информационное воздействие:

Подкуп сотрудников (43%),

Копирование информации (24%),

Проникновение в базы данных (18%),

Продажа конфиденциальных документов (10%),

Подслушивание телефонных переговоров и переговоров в помещениях (5%), а также ограничение доступа к информации, дезинформация

Финансовое же подавление включает такие понятия, как инфляция, бюджетный дефицит, коррупция, хищение финансов, мошенничество; психическое давление может выражаться в виде хулиганских выходок, угрозы и шантажа, энергоинформационного воздействия.

Основными угрозами информации являются ее разглашение, утечка и несанкционированный доступ к ее источникам. Каждому из условий неправомерного овладения конфиденциальной информацией можно поставить в соответствие определенные каналы, определенные способы защитных действий и определенные классы средств защиты или противодействия.

ПРОБЛЕМЫ И УГРОЗЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Национальная безопасность Российской Федерации существенным образом зависит от обеспечения информационной безопасности, и в ходе технического прогресса эта зависимость будет возрастать.

(Доктрина информационной безопасности Российской Федерации)

2.1. Основные проблемы информационной безопасности и пути их решения

Нынешнее состояние информационной безопасности России – это состояние нового, только оформляющегося с учетом веления времени государственно-общественного института. Многое на пути его становления уже сделано, но еще больше здесь проблем, требующих самого оперативного решения. За последние годы в РФ реализован ряд мер по совершенствованию информационной безопасности. Назовем самые важные из них.

Во-первых, начато формирование базы правового обеспечения информационной безопасности. Принят ряд законов, регламентирующих общественные отношения в этой сфере, развернута работа по созданию механизмов их реализации. Этапным результатом и нормативно-правовой основой дальнейшего решения проблем в этой сфере стало утверждение Президентом РФ в сентябре 2001 г. Доктрины информационной безопасности Российской Федерации (далее – Доктрина). Она представляет собой совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности России. В Доктрине рассматриваются:

объекты, угрозы и источники угроз информационной безопасности;

возможные последствия угроз информационной безопасности;

методы и средства предотвращения и нейтрализации угроз информационной безопасности;

особенности обеспечения информационной безопасности в различных сферах жизнедеятельности общества и государства;

основные положения государственной политики по обеспечению информационной безопасности в РФ.

На основе Доктрины осуществляются:

формирование государственной политики в области обеспечения информационной безопасности;

подготовка предложений по совершенствованию правового, методического, научно-технического и организационного обеспечения информационной безопасности;

разработка целевых программ обеспечения информационной безопасности.

Во-вторых, к настоящему времени проведены первоочередные мероприятия по обеспечению информационной безопасности в федеральных органах государственной власти, органах власти субъектов РФ, на предприятиях, в учреждениях и организациях независимо от форм собственности. Развернута работа по созданию защищенной информационно-телекоммуникационной системы специального назначения в интересах органов государственной власти.

В-третьих, обеспечению информационной безопасности способствуют созданные:

государственная система защиты информации;

система лицензирования деятельности в области защиты государственной тайны;

система сертификации средств защиты информации.

Вместе с тем анализ состояния информационной безопасности показывает, что ее уровень не в полной мере соответствует требованиям времени. Все еще существует ряд проблем, серьезно препятствующих полноценному обеспечению информационной безопасности человека, общества и государства. Доктрина называет следующие основные проблемы данной сферы.

1. Современные условия политического и социально-экономического развития страны все еще сохраняют острые противоречия между потребностями общества в расширении свободного обмена информацией и необходимостью действия отдельных регламентированных ограничений на ее распространение.

2. Противоречивость и неразвитость правового регулирования общественных отношений в информационной сфере существенно затрудняет поддержание необходимого баланса интересов личности, общества и государства в этой области. Несовершенное нормативное правовое регулирование не позволяет завершить формирование на территории РФ конкурентоспособных российских информационных агентств и средств массовой информации.

3. Необеспеченность прав граждан на доступ к информации, манипулирование информацией вызывают негативную реакцию населения, что в ряде случаев ведет к дестабилизации социально-политической обстановки в обществе.

4. Закрепленные в Конституции РФ права граждан на неприкосновенность частной жизни, личную и семейную тайну, тайну переписки практически не имеют достаточного правового, организационного и технического обеспечения. Неудовлетворительно организована защита собираемых федеральными органами государственной власти, органами власти субъектов РФ, органами местного самоуправления данных о физических лицах (персональных данных).

5. Нет четкости при проведении государственной политики в области формирования российского информационного пространства, а также организации международного информационного обмена и интеграции информационного пространства России в мировое информационное пространство, что создает условия для вытеснения российских информационных агентств, средств массовой информации с внутреннего информационного рынка, ведет к деформации структуры международного обмена.

6. Недостаточна государственная поддержка деятельности российских информационных агентств по продвижению их продукции на зарубежный информационный рынок.

7. Не улучшается ситуация с обеспечением сохранности сведений, составляющих государственную тайну.

8. Серьезный урон нанесен кадровому потенциалу научных и производственных коллективов, действующих в области создания средств информатизации, телекоммуникации и связи, в результате массового ухода из этих коллективов наиболее квалифицированных специалистов.

9. Отставание отечественных информационных технологий вынуждает федеральные органы государственной власти, органы власти субъектов РФ и органы местного самоуправления при создании информационных систем идти по пути закупок импортной техники и привлечения иностранных фирм. Из-за этого повышается вероятность несанкционированного доступа к обрабатываемой информации и возрастает зависимость России от иностранных производителей компьютерной и телекоммуникационной техники, а также программного обеспечения.

10. В связи с интенсивным внедрением зарубежных информационных технологий в сферы деятельности личности, общества и государства, а также с широким применением открытых информационно-телекоммуникационных систем, интеграцией отечественных и международных информационных систем возросли угрозы применения информационного оружия против соответствующей инфраструктуры России. Работы по адекватному противодействию этим угрозам ведутся в условиях недостаточной координации и слабого бюджетного финансирования. Не уделяется необходимое внимание развитию средств космической разведки и радиоэлектронной борьбы.

Обеспечение информационной безопасности требует решения целого комплекса задач. Доктрина перечисляет наиболее важные из них:

разработка основных направлений государственной политики в области обеспечения информационной безопасности, а также мероприятий и механизмов, связанных с реализацией этой политики;

развитие и совершенствование системы обеспечения информационной безопасности, реализующей единую государственную политику в этой области, включая совершенствование форм, методов и средств выявления, оценки и прогнозирования угроз информационной безопасности, а также системы противодействия этим угрозам;

разработка федеральных целевых программ обеспечения информационной безопасности;

разработка критериев и методов оценки эффективности систем и средств обеспечения информационной безопасности, а также их сертификации;

совершенствование нормативно-правовой базы обеспечения информационной безопасности;

установление ответственности должностных лиц федеральных органов власти и местного самоуправления, юридических лиц и граждан за соблюдение требований информационной безопасности;

координация деятельности органов государственной власти, предприятий, учреждений и организаций независимо от форм собственности в области обеспечения информационной безопасности;

развитие научно-практических основ обеспечения информационной безопасности с учетом современной геополитической ситуации, условий политического и социально-экономического развития России и реальности угроз применения информационного оружия;

создание механизмов формирования и реализации государственной информационной политики России;

повышение эффективности участия государства в формировании информационной политики государственных телерадиовещательных организаций, других государственных средств массовой информации;

обеспечение технологической независимости Российской Федерации в важнейших областях информатизации, телекоммуникации и связи, определяющих ее безопасность, в первую очередь в области создания специализированной вычислительной техники для образцов вооружения и военной техники;

разработка современных методов и средств защиты информации, обеспечения безопасности информационных технологий, прежде всего в системах управления войсками и оружием, экологически опасными и экономически важными производствами;

развитие и совершенствование систем защиты информации и государственной тайны;

создание защищенной технологической основы управления государством в мирное время, в чрезвычайных ситуациях и в военное время;

расширение взаимодействия с международными и зарубежными органами и организациями для обеспечения безопасности информации, передаваемой с помощью международных телекоммуникационных систем и систем связи;

обеспечение условий для активного развития российской информационной инфраструктуры, участия России в процессах создания и использования глобальных информационных сетей и систем;

создание системы подготовки кадров в области информационной безопасности и информационных технологий.

Важнейшая задача в деле обеспечения информационной безопасности России – осуществление комплексного учета интересов личности, общества и государства в данной сфере. Доктрина эти интересы определяет следующим образом:

интересы личности в информационной сфере заключаются в реализации конституционных прав человека и гражданина на доступ к информации, на использование информации в интересах осуществления не запрещенной законом деятельности, физического, духовного и интеллектуального развития, а также в защите информации, обеспечивающей личную безопасность;

интересы общества в информационной сфере заключаются в обеспечении интересов общества в этой сфере, упрочении демократии, создании правового социального государства, достижении и поддержании общественного согласия, в духовном обновлении России;

интересы государства в информационной сфере заключаются в создании условий для гармоничного развития российской информационной инфраструктуры, реализации конституционных прав и свобод человека (гражданина) в области получения информации. Одновременно требуется использование этой сферы только в целях обеспечения незыблемости конституционного строя, суверенитета и территориальной целостности России, политической, экономической и социальной стабильности, в безусловном обеспечении законности и правопорядка, развитии равноправного и взаимовыгодного международного сотрудничества.

Соблюдение принципа баланса интересов граждан, общества и государства в информационной сфере предполагает законодательное закрепление приоритета этих интересов в различных областях жизнедеятельности общества, а также использование различных форм общественного контроля над деятельностью федеральных органов государственной власти и органов государственной власти субъектов РФ. Реализация гарантий конституционных прав и свобод человека и гражданина, касающихся деятельности в информационной сфере, является важнейшей задачей государства в области информационной безопасности.

Общие методы решения ключевых задач в деле обеспечения информационной безопасности Доктрина объединяет в три группы:

правовые;

организационно-технические; экономические.

К правовым методам относится разработка нормативных правовых актов, регламентирующих отношения в информационной сфере, и нормативных методических документов по вопросам обеспечения информационной безопасности РФ (они подробно рассматриваются в гл. 4 настоящего пособия).

Организационно-техническими методами обеспечения информационной безопасности являются:

создание и совершенствование систем обеспечения информационной безопасности;

усиление правоприменительной деятельности органов власти, включая предупреждение и пресечение правонарушений в информационной сфере;

совершенствование средств защиты информации и методов контроля эффективности этих средств, развитие защищенных телекоммуникационных систем, повышение надежности программного обеспечения;

создание систем и средств предотвращения несанкционированного доступа к информации и воздействий, вызывающих разрушение, уничтожение, искажение информации, изменение штатных режимов функционирования систем и средств информатизации и связи;

выявление технических устройств и программ, представляющих опасность для функционирования информационно-телекоммуникационных систем, предотвращение перехвата информации по техническим каналам, применение криптографических средств защиты информации, контроль за выполнением специальных требований по защите информации;

сертификация средств защиты информации, лицензирование деятельности в области защиты государственной тайны, стандартизация способов и средств защиты информации;

совершенствование системы сертификации телекоммуникационного оборудования и программного обеспечения автоматизированных систем обработки информации по требованиям информационной безопасности;

контроль за действиями персонала в информационных системах, подготовка кадров в области обеспечения информационной безопасности;

формирование системы мониторинга показателей и характеристик информационной безопасности в наиболее важных сферах жизни и деятельности общества и государства.

Экономические методы обеспечения информационной безопасности включают в себя:

разработку программ обеспечения информационной безопасности и определение порядка их финансирования;

совершенствование системы финансирования работ, связанных с реализацией правовых и организационно-технических методов защиты информации, создание системы страхования информационных рисков физических и юридических лиц.

Согласно Доктрине, государство в процессе реализации своих функций по обеспечению информационной безопасности:

проводит объективный и всесторонний анализ и прогнозирование угроз информационной безопасности, разрабатывает меры по ее обеспечению;

организует работу органов власти по реализации комплекса мер, направленных на предотвращение, отражение и нейтрализацию угроз информационной безопасности;

поддерживает деятельность общественных объединений, направленную на объективное информирование населения о социально значимых явлениях общественной жизни, защиту общества от искаженной и недостоверной информации;

осуществляет контроль за разработкой, созданием, развитием, использованием, экспортом и импортом средств защиты информации посредством их сертификации и лицензирования деятельности в области защиты информации;

проводит необходимую протекционистскую политику в отношении производителей средств информатизации и защиты информации на территории РФ и принимает меры по защите внутреннего рынка от проникновения на него некачественных средств информатизации и информационных продуктов;

способствует предоставлению физическим и юридическим лицам доступа к мировым информационным ресурсам, глобальным информационным сетям;

формулирует и реализует государственную информационную политику России;

организует разработку федеральной программы обеспечения информационной безопасности, объединяющей усилия государственных и негосударственных организаций в данной области;

способствует интернационализации глобальных информационных сетей и систем, а также вхождению России в мировое информационное сообщество на условиях равноправного партнерства.

При решении основных задач и выполнении первоочередных мероприятий государственной политики по обеспечению информационной безопасности в настоящее время доминирует стремление решать главным образом нормативно-правовые и технические проблемы. Чаще всего речь идет о «разработке и внедрении правовых норм», «повышении правовой культуры и компьютерной грамотности граждан», «создании безопасных информационных технологий», «обеспечении технологической независимости» и т. п.

Соответствующим образом планируется и развитие системы подготовки кадров, используемых в области обеспечения информационной безопасности, то есть преобладает подготовка кадров в области средств связи, обработки информации, технических средств ее защиты. В меньшей степени осуществляется подготовка специалистов в области информационно-аналитической деятельности, социальной информации, информационной безопасности личности. К сожалению, многие государственные институты считают наиболее важной техническую сторону проблемы, упуская из виду социально-психологические ее аспекты.

Угрозы информационной безопасности – это использование различных видов информации против того или иного социального (экономического, военного, научно-технического и т. д.) объекта с целью изменения его функциональных возможностей или полного поражения.

С учетом общей направленности Доктрина подразделяет угрозы информационной безопасности на следующие виды:

угрозы конституционным правам и свободам человека и гражданина в области духовной жизни и информационной деятельности, индивидуальному, групповому и общественному сознанию, духовному возрождению России;

угрозы информационному обеспечению государственной политики РФ;

угрозы развитию отечественной индустрии информации, включая индустрию средств информатизации, телекоммуникации и связи, обеспечению потребностей внутреннего рынка в ее продукции и выходу этой продукции на мировой рынок, а также обеспечению накопления, сохранности и эффективного использования отечественных информационных ресурсов;

угрозы безопасности информационных и телекоммуникационных средств и систем, как уже развернутых, так и создаваемых на территории России.

Угрозами конституционным правам и свободамчеловека и гражданина в области духовной жизни и информационной деятельности, индивидуальному, групповому и общественному сознанию, духовному возрождению России могут являться:

принятие органами власти правовых актов, ущемляющих конституционные права и свободы граждан в области духовной жизни и информационной деятельности;

создание монополий на формирование, получение и распространение информации в РФ, в том числе с использованием телекоммуникационных систем;

противодействие, в том числе со стороны криминальных структур, реализации гражданами своих конституционных прав на личную и семейную тайну, тайну переписки, телефонных переговоров и иных сообщений;

чрезмерное ограничение доступа к необходимой информации;

противоправное применение специальных средств воздействия на индивидуальное, групповое и общественное сознание;

неисполнение органами государственной власти и местного самоуправления, организациями и гражданами требований законодательства, регулирующего отношения в информационной сфере;

неправомерное ограничение доступа граждан к информационным ресурсам органов государственной власти и местного самоуправления, к открытым архивным материалам, к другой открытой социально значимой информации;

дезорганизация и разрушение системы накопления и сохранения культурных ценностей, включая архивы;

нарушение конституционных прав и свобод человека и гражданина в области массовой информации;

вытеснение российских информационных агентств, средств массовой информации с внутреннего информационного рынка и усиление зависимости духовной, экономической и политической сфер общественной жизни России от зарубежных информационных структур;

девальвация духовных ценностей, пропаганда образцов массовой культуры, основанных на культе насилия, на духовных и нравственных ценностях, противоречащих ценностям, принятым в российском обществе;

снижение духовного, нравственного и творческого потенциала населения России;

манипулирование информацией (дезинформация, сокрытие или искажение информации).

Угрозами информационному обеспечению государственной политики РФ могут быть:

монополизация информационного рынка России, его отдельных секторов отечественными и зарубежными информационными структурами;

блокирование деятельности государственных средств массовой информации по информированию российской и зарубежной аудитории;

низкая эффективность информационного обеспечения государственной политики РФ вследствие дефицита квалифицированных кадров, отсутствия системы формирования и реализации государственной информационной политики.

Угрозы развитию отечественной индустрии информации могут составлять:

противодействие доступу к новейшим информационным технологиям, взаимовыгодному и равноправному участию российских производителей в мировом разделении труда в индустрии информационных услуг, средств информатизации, телекоммуникации и связи, информационных продуктов, создание условий для усиления технологической зависимости России в области информационных технологий;

закупка органами государственной власти импортных средств информатизации, телекоммуникации и связи при наличии отечественных аналогов;

вытеснение с отечественного рынка российских производителей средств информатизации, телекоммуникации и связи;

использование несертифицированных отечественных и зарубежных информационных технологий, средств защиты информации, средств информатизации, телекоммуникации и связи;

отток за рубеж специалистов и правообладателей интеллектуальной собственности.

Все источники угроз информационной безопасности Доктрина подразделяет на внешние и внутренние.

К внешним источникам угроз Доктрина относит:

деятельность иностранных политических, экономических, военных, разведывательных и информационных структур против интересов РФ;

стремление ряда стран к доминированию на мировом информационном пространстве, вытеснению России с информационных рынков;

деятельность международных террористических организаций;

увеличение технологического отрыва ведущих держав мира и наращивание их возможностей по противодействию созданию конкурентоспособных российских информационных технологий;

деятельность космических, воздушных, морских и наземных технических и иных средств (видов) разведки иностранных государств;

разработка рядом государств концепций информационных войн, предусматривающих создание средств опасного воздействия на информационные сферы других стран, нарушение функционирования информационных и телекоммуникационных систем, получение несанкционированного доступа к ним.

К внутренним источникам угроз, согласно Доктрине, относятся: критическое состояние ряда отечественных отраслей промышленности;

неблагоприятная криминогенная обстановка, сопровождающаяся тенденциями сращивания государственных и криминальных структур в информационной сфере, получения криминальными структурами доступа к конфиденциальной информации, усиления влияния организованной преступности на жизнь общества, снижения степени защищенности законных интересов граждан, общества и государства в информационной сфере;

недостаточная координация деятельности органов власти всех уровней по реализации единой государственной политики в области информационной безопасности;

недостатки нормативно-правовой базы, регулирующей отношения в информационной сфере и правоприменительной практики;

неразвитость институтов гражданского общества и недостаточный государственный контроль за развитием информационного рынка в России;

недостаточное финансирование мероприятий по обеспечению информационной безопасности;

недостаточное количество квалифицированных кадров в области обеспечения информационной безопасности;

недостаточная активность федеральных органов власти в информировании общества о своей деятельности, в разъяснении принимаемых решений, формировании открытых государственных ресурсов и развитии системы доступа к ним граждан;

отставание России от ведущих стран мира по уровню информатизации органов власти и местного самоуправления, кредитно-финансовой сферы, промышленности, сельского хозяйства, образования, здравоохранения, сферы услуг и быта граждан.

2.3. Место информационной безопасности в системе национальной безопасности России

В современном мире информационная безопасность становится жизненно необходимым условием обеспечения интересов человека, общества и государства и важнейшим, стержневым, звеном всей системы национальной безопасности страны.

Доктрина рассматривает всю работу в информационной сфере на основе и в интересах Концепции национальной безопасности РФ.

Доктрина выделяет четыре основные составляющие национальных интересов России в информационной сфере.

Первая составляющая включает в себя соблюдение конституционных прав и свобод человека и гражданина в области получения и пользования информацией, обеспечение духовного обновления России, сохранение и укрепление нравственных ценностей общества, традиций патриотизма и гуманизма, культурного и научного потенциала страны.

Для ее реализации необходимо:

повысить эффективность использования информационной инфраструктуры в интересах общественного развития, консолидации российского общества, духовного возрождения многонационального народа страны;

усовершенствовать систему формирования, сохранения и рационального использования информационных ресурсов, составляющих основу научно-технического и духовного потенциала России;

обеспечить конституционные права и свободы человека и гражданина свободно искать, получать, передавать, производить и распространять информацию любым законным способом, получать достоверную информацию о состоянии окружающей среды;

обеспечить конституционные права и свободы человека и гражданина на личную и семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, на защиту своей чести и своего доброго имени;

укрепить механизмы правового регулирования отношений в области охраны интеллектуальной собственности, создать условия для соблюдения установленных федеральным законодательством ограничений на доступ к конфиденциальной информации;

гарантировать свободу массовой информации и запрет цензуры;

не допускать пропаганды и агитации, которые способствуют разжиганию социальной, расовой, национальной или религиозной ненависти и вражды;

обеспечить запрет на сбор, хранение, использование и распространение информации о частной жизни лица без его согласия и другой информации, доступ к которой ограничен федеральным законодательством.

Вторая составляющая национальных интересов в информационной сфере включает в себя информационное обеспечение государственной политики страны, связанное с доведением до российской и международной общественности достоверной информации о ее официальной позиции по социально значимым событиям российской и международной жизни, с обеспечением доступа граждан к открытым государственным информационным ресурсам. Для этого требуется:

укреплять государственные средства массовой информации, расширять их возможности по своевременному доведению достоверной информации до российских и иностранных граждан;

интенсифицировать формирование открытых государственных информационных ресурсов, повысить эффективность их хозяйственного использования.

Третья составляющая национальных интересов в информационной сфере включает в себя развитие современных информационных технологий, в том числе индустрии средств информатизации, телекоммуникации и связи, обеспечение потребностей внутреннего рынка этой продукцией и выход ее на мировой рынок, а также обеспечение накопления, сохранности и эффективного использования отечественных информационных ресурсов.

Для достижения результата на этом направлении необходимо:

развивать и совершенствовать инфраструктуру единого информационного пространства России;

развивать отечественную индустрию информационных услуг и повышать эффективность использования государственных информационных ресурсов;

развивать производство в стране конкурентоспособных средств и систем информатизации, телекоммуникации и связи, расширять участие России в международной кооперации производителей этих средств и систем;

обеспечить государственную поддержку фундаментальных и прикладных исследований, разработок в сферах информатизации, телекоммуникации и связи.

Четвертая составляющая национальных интересов в информационной сфере включает в себя защиту информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем.

В этих целях требуется:

повысить безопасность информационных систем (включая сети связи), прежде всего, первичных сетей связи и информационных систем органов государственной власти, финансово-кредитной и банковской сфер, сферы хозяйственной деятельности, систем и средств информатизации вооружения и военной техники, систем управления войсками и оружием, экологически опасными и экономически важными производствами;

интенсифицировать развитие отечественного производства аппаратных и программных средств защиты информации и методов контроля их эффективности;

обеспечить защиту сведений, составляющих государственную тайну;

расширять международное сотрудничество России в области безопасного использования информационных ресурсов, противодействия угрозе противоборства в информационной сфере.

2.4. Защита сведений, составляющих государственную и коммерческую тайну, конфиденциальную информацию и интеллектуальную собственность

Важной стороной противостояния угрозам информационной безопасности является надежная защита сведений, содержащих государственную, коммерческую и иную тайну, а также конфиденциальную информацию и информацию, составляющую интеллектуальную собственность.

Правовые основы защиты информации

За последние годы в России сформированы и продолжают формироваться правовые механизмы, способствующие созданию целостной системы ограничения доступа к информации, составляющей тайну или требующей особой защиты. Важными вехами становления правового режима в этой сфере стало принятие ряда законов и иных нормативно-правовых актов. Назовем основные из них (более подробно правовое обеспечение информационной безопасности рассмотрено в гл. 4).

Закон РФ «О безопасности», принятый 5 марта 1992 г. (с изменениями), определяет защиту государственной тайны как вопрос обеспечения безопасности государства и относит ее к задачам федерального уровня, исключая появление региональных тайн и региональных законодательных актов, регламентирующих их защиту.

Закон РФ «О государственной тайне», принятый 21 июля 1993 г., регулирует порядок отнесения сведений к государственной тайне, их рассекречивания и защиты в интересах обеспечения безопасности России.

Федеральный закон «Об основах государственной службы», принятый 31 июля 1995 г., обязывает, в частности, государственных служащих соблюдать установленный порядок работы со служебной информацией, «хранить государственную и иную охраняемую законом тайну, не разглашать ставшие известными в связи с исполнением должностных обязанностей сведения, затрагивающие частную жизнь, честь и достоинство граждан» (ст. 10).

Уголовный кодекс РФ, введенный в действие 1 января 1997 г., содержит статьи «Разглашение государственной тайны» и «Утрата документов, содержащих государственную тайну». Он также относит к разряду преступлений нарушение тайны переписки, телефонных переговоров и т. п. (ст. 138, ч. 1), незаконное разглашение или использование сведений, составляющих коммерческую или банковскую тайну (ст. 183, ч. 2), нарушение авторских прав и права на интеллектуальную собственность (ст. 146, ч. 1 и ст. 147, ч. 2).

Указ Президента РФ № 1203 от 30.11.1995 г. «Об утверждении перечня сведений, отнесенных к государственной тайне» объявляет перечень сведений в области военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-разыскной деятельности государства, распространение которых может нанести ущерб безопасности России. В связи с совершенствованием структуры федеральных органов исполнительной власти указанный перечень был изложен в новой редакции на основании Указа Президента РФ № 61 от 24.01.98 г. «О перечне сведений, отнесенных к государственной тайне».

Указом Президента РФ от 8 ноября 1995 г. № 1108 образована Межведомственнаякомиссияпозащитегосударственнойтайны. В свою очередь, положение о данной комиссии было утверждено Указом

Президента РФ от 20 января 1996 г. Основной функцией Межведомственной комиссии определена координация деятельности органов государственной власти по защите государственной тайны.

Одним из первых решений Межведомственной комиссии (от 7 июля 1998 г. № 33) стало утверждение Концепции защиты государственной тайны в Российской Федерации.

Наконец, Конституцией РФ определено, что каждый гражданин имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения (ст. 23, п. 2). Конституция устанавливает также, что «интеллектуальная собственность охраняется законом» (ст. 44, п. 1).

Таким образом, состав и содержание законов РФ и указов Президента РФ, наличие соответствующих статей в Уголовном кодексе РФ, а также решений Межведомственной комиссии по защите государственной тайны позволяют говорить о сформированной (в целом) нормативно-правовой базе защиты государственной и иной тайны.

Классификация сведений, подлежащих защите

В настоящее время в различных нормативных документах указывается значительное количество (более 40) видов информации, требующих дополнительной защиты. Для удобства рассмотрения правового режима информационных ресурсов по признаку доступа их можно условно объединить в четыре группы:

государственная тайна;

коммерческая тайна;

сведения конфиденциального характера;

интеллектуальная собственность.

Государственная тайна. Закон РФ «О государственной тайне» дает следующее определение государственной тайны: это защищаемые государством сведения в области военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-разыскной деятельности, распространение которых может нанести ущерб безопасности России (ст. 2).

В ст. 5 данного Закона определен перечень сведений, отнесенных к государственной тайне:

сведения в военной области – о содержании стратегических и оперативных планов, о планах строительства Вооруженных сил, разработке, технологии, производстве, об объектах производства, о хранении, об утилизации ядерных боеприпасов, о тактико-технических характеристиках и возможностях боевого применения образцов вооружения и военной техники, о дислокации ракетных и особо важных объектов и др.;

сведения в области экономики, науки и техники – о содержании планов подготовки РФ и ее отдельных регионов к возможным военным действиям, об объемах производства, о планах государственного заказа, о выпуске и поставках вооружения, военной техники, о достижениях науки и техники, имеющих важное оборонное или экономическое значение, и др.;

сведения в области внешней политики и экономики – о внешнеполитической и внешнеэкономической деятельности РФ, преждевременное распространение которых может нанести ущерб безопасности государства и др.;

сведения в области разведывательной, контрразведывательной и оперативно-разыскной деятельности. Это, в частности, сведения, характеризующие:

силы и средства названной деятельности, ее источники, планы и результаты;

лиц, сотрудничающих или сотрудничавших на конфиденциальной основе с органами, осуществляющими названную деятельность;

системы президентской, правительственной, шифрованной, в том числе кодированной и засекреченной связи;

шифры и информационно-аналитические системы специального назначения, методы и средства защиты секретной информации и др.

Дополнительный перечень сведений, включающий некоторые виды информации из области военной, внешнеэкономической, экономической, разведывательной, контрразведывательной и оперативно-разыскной деятельности, отнесенные к государственной тайне, содержат указы Президента РФ № 1203 от 30.11.1995 г. и № 61 от 24.01.1998 г.

Кроме того, Доктрина информационной безопасности РФ требует защищать «помещения, предназначенные для ведения закрытых переговоров, а также переговоров, в ходе которых оглашаются сведения ограниченного доступа».

Согласно Уголовному кодексу РФ, защита государственной тайны и иной секретной информации возложена на сотрудников режимных служб и правоохранительных органов.

Коммерческая тайна. Коммерческую тайну может составлять любая информация, полезная в бизнесе и дающая преимущество над конкурентами, которые такойинформацией не обладают. Во многих случаях коммерческая тайна является формой интеллектуальной собственности.

Согласно ст. 139 ч. 1 Гражданского кодекса РФ к числу сведений, составляющих коммерческую тайну, относится информация, которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам и к которой нет свободного доступа на законном основании. Она может включать в себя различные идеи, изобретения и другую деловую информацию.

Примерно такое же определение коммерческой тайны дает Американская Ассоциация юристов. В ее формулировке – это информация, которая:

во-первых, имеет самостоятельную экономическую стоимость (используемую или потенциальную) благодаря тому, что не является общеизвестной или доступной людям, желающим использовать ее в коммерческих целях;

во-вторых, является объектом разумных для данной ситуации усилий по ее защите.

Прежде чем предпринимать меры для защиты определенной информации как коммерческой тайны, необходимо ответить на следующие вопросы.

Какие сведения нельзя скрывать?

Какие сведения невыгодно скрывать?

Какие сведения необходимо охранять?

Ответ на первый вопрос дает постановление Правительства РФ от 5.12.1991 г. № 35 «О перечне сведений, которые не могут составлять коммерческую тайну». К таким сведениям относятся:

организационные сведения (устав и учредительные документы предприятия, регистрационные удостоверения, лицензии, патенты);

финансовые сведения (документы об исчислении и уплате налогов, других платежей, предусмотренных законом, документы о состоянии платежеспособности);

сведения о штате и условиях деятельности (число и состав работающих, их заработная плата, наличие свободных мест, влияние производства на природную среду, реализация продукции, причиняющей вред здоровью населения, участие должностных лиц в предпринимательской деятельности, нарушение антимонопольного законодательства);

сведения о собственности (размерах имущества, денежных средствах, вложениях платежей в ценные бумаги, облигации, займы, уставные фонды совместных предприятий).

Указанные сведения не являются предметом защиты от ознакомления с ними третьих лиц, но это не исключает их охраны от преступных посягательств. В связи с этим остается вопрос: кому предприниматель обязан предъявлять (по требованию) перечисленные сведения?

Претендовать на ознакомление с такими сведениями в пределах своей компетенции могут:

прокурор в порядке надзора и в других случаях, предоставленных ему законом;

правоохранительные органы по возбужденному уголовному делу;

налоговые службы (управления);

аудиторские фирмы (по просьбе самого владельца);

профсоюзы;

государственные предприятия (учреждения); санитарно-эпидемиологические станции; экологические организации;

организации и частные лица, вступающие в сделку с предпринимателем.

К сведениям, которые невыгодно скрывать, относится, в частности, рекламная информация. Без рекламы в хозяйственной деятельности трудно добиться эффективного результата, особенно в условиях жесткой конкуренции. Вместе с тем рекламная информация может стать достоянием не только законопослушных граждан, но и преступных элементов. Поэтому и в данном случае предприниматель, рекламирующий свою продукцию или деятельность, должен быть готов как к возможным посягательствам, так и к собственным ответным действиям.

Какие сведения необходимо охранять? Для ответа на этот вопрос необходимо определить круг сведений, составляющих коммерческую тайну, а также их возможное распределение по категориям важности в зависимости от их ценности для предприятия, характера и размера ущерба, который может быть нанесен предприятию при разглашении этих сведений. К решению указанной проблемы следует подходить особенно тщательно. Если какие-либо данные, прямые или косвенные, будут упущены, то все принимаемые меры могут оказаться неэффективными. С другой стороны, излишние меры по ограничению доступа к информации осложнят работу и приведут к неоправданным экономическим издержкам.

Для подготовки перечня сведений, относящихся к коммерческой тайне предприятия, целесообразно привлечь специалистов, знакомых как с деятельностью предприятия в целом, так и с работой его отдельных подразделений. Создается группа в составе не более 4–5 человек, в которую желательно включить:

специалиста, владеющего финансовыми вопросами, конъюнктурой рынка и данными в отношении конкурирующих фирм;

специалиста, полностью представляющего систему организации работы предприятия, ее особенности;

специалиста по связям с другими предприятиями, а также по вопросам заключения контрактов, договоров;

специалиста, обладающего сведениями о выпускаемой продукции, технологическом цикле ее производства, о прохождении всех видов информации на предприятии.

Итогом работы такой группы должен стать перечень сведений, составляющих коммерческую тайну предприятия, утвержденный руководителем предприятия. При разработке перечня необходимо учитывать требования указанного выше постановления Правительства РФ от 5.12.1991 г. № 35 «О перечне сведений, которые не могут составлять коммерческую тайну».

В перечень сведений, составляющих коммерческую тайну организации, могут входить:

Сведения научного характера:

идеи, изобретения, открытия;

отдельные формулы;

новые технические проекты;

новые методы организации труда и производства; программное обеспечение ЭВМ; результаты научных исследований.

Сведения технологического характера:

конструкторская документация, чертежи, схемы, записи;

описания технологических испытаний;

конструкционные характеристики создаваемых изделий и оптимальные параметры разрабатываемых технологических процессов (размеры, объемы, конфигурация, процентное содержание компонентов, температура, давление, время и т. д.);

сведения о материалах, из которых изготовлены отдельные детали, условиях экспериментов и об оборудовании, на котором они проводились, и т. д.;

используемые предприятием отдельные новые либо уникальные измерительные комплексы и приборы, станки, оборудование.

Сведения делового характера:

сведения о заключенных или планируемых контрактах;

данные о поставщиках и клиентах;

обзоры рынка, маркетинговые исследования;

информация о конфиденциальных переговорах;

калькуляция издержек производства предприятия, структуры цен, уровень прибыли;

планы развития предприятия и инвестиций.

Перечень сведений, отнесенных к коммерческой тайне, определяется спецификой деятельности каждого конкретного предприятия и в каждом случае может быть сугубо специфическим.

Так, крупнейшие в мире производители прохладительных напитков фирмы «Кока-Кола» и «Пепси-Кола» выделяют в качестве главных секретов специальные добавки в концентрат, из которого изготавливаются напитки. Американские машиностроительные и приборостроительные фирмы, рекламируя качественные характеристики своей продукции, держат в глубоком секрете технологические особенности изготовления основных узлов, определяющих такие характеристики.

По мере необходимости этот перечень изменяется и дополняется; по возможности должен указываться конкретный срок, на который те или иные сведения отнесены к коммерческой тайне.

Сведения конфиденциального характера. Конфиденциальность информации-характеристика информации, указывающая на необходимость введения ограничений на круг субъектов, имеющих доступ к данной информации. Конфиденциальность предполагает сохранение прав на информацию, ее неразглашение (секретность) и неизменность во всех случаях, кроме правомочного использования.

Указом Президента РФ от 6 марта 1997 г. № 188 утвержден перечень сведений конфиденциального характера. В этот перечень вошли:

сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные);

сведения, составляющие тайну следствия и судопроизводства;

служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом РФ и федеральными законами (служебная тайна);

сведения о профессиональной деятельности (врачебная, нотариальная, адвокатская тайна, тайна переписки и т. д.);

сведения о сущности изобретения или промышленных образцах до официальной публикации информации о них.

Перечень сведений конфиденциального характера дополняют другие нормативно-правовые акты: Основы законодательства РФ «Об охране здоровья граждан», законы РФ «О психиатрической помощи и гарантиях прав граждан при ее оказании», «О нотариате», «Об адвокатуре», «Об основных гарантиях избирательных прав граждан РФ», «О банках и банковской деятельности», а также Налоговый кодекс РФ, Семейный кодекс РФ и др.

В итоге можно выделить несколько групп сведений конфиденциального характера, образующих определенные «тайны»:

врачебная (медицинская) тайна;

банковская тайна;

налоговая тайна;

нотариальная тайна;

тайна страхования;

адвокатская тайна;

тайна отношения к религии и тайна исповеди; тайна голосования; служебная тайна и др.

К информации, определяемой понятием интеллектуальная собственность, можно отнести большую часть перечисленных выше сведений научного и технологического характера, а также произведения литературы и искусства, продукцию изобретательской и рационализаторской деятельности, других видов творчества. В соответствии с Законом РФ «О правовой охране программ для электронно-вычислительных машин и баз данных» от 23.09.1992 г. программы для ЭВМ и базы данных также являются объектами авторского права, нарушение которого влечет гражданскую, уголовную и административную ответственность в соответствии с законодательством РФ.

Под определение интеллектуальной собственности попадает и определенная часть сведений, отнесенных к государственной и коммерческой тайне.

Организация защиты информации

Хранить свой секрет – мудро, но ждать, что его будут хранить другие, – глупо.

(С. Джонсон )

Наиболее разумными усилиями в этом направлении большинство специалистов считает проведение следующих «защитных» мероприятий:

адекватное определение перечня сведений, подлежащих защите;

выявление уровней доступности и прогнозирование возможных уязвимых мест в доступе к информации;

принятие мер по ограничению доступа к информации или объекту;

организация охраны помещения и постоянного контроля за сохранностью информации (в частности, необходимость наличия закрывающихся шкафов, сейфов, кабинетов, телевизионных камер слежения и т. п.);

наличие четких правил обращения с документами и их размножения. Как известно, изобретение множительной техники буквально вызвало всплеск промышленного шпионажа;

наличие на документах надписей «Секретно», «Для служебного пользования», а на дверях – «Посторонним вход воспрещен». Каждый носитель информации (документ, диск и др.) должен иметь соответствующее обозначение и место хранения (помещение, сейф, металлический ящик);

подписание с сотрудниками организации, фирмы договора о неразглашении тайны.

Основным средством защиты информации остаются в настоящее время режимные меры, направленные на предотвращение утечки конкретных сведений. Принятие этих мер зависит, прежде всего, от владельцев информации, складывающейся в их сфере деятельности конкурентной обстановки, ценности, которую представляет для них производственная или коммерческая информация, других факторов.

В числе мер защиты информации можно выделить внешние и внутренние.

К внешним мероприятиям относятся: изучение партнеров, клиентов, с которыми приходится вести коммерческую деятельность, сбор информации об их надежности, платежеспособности и других данных, а также прогнозирование ожидаемых действий конкурентов и преступных элементов. По возможности выясняются лица, проявляющие интерес к деятельности организации (фирмы), к персоналу, работающему в организации.

Внутренние мероприятия по обеспечению безопасности включают вопросы подбора и проверки лиц, поступающих на работу: изучаются их анкетные данные, поведение по месту жительства и на прежней работе, личные и деловые качества, психологическая совместимость с сотрудниками; выясняются причины ухода с прежнего места работы, наличие судимостей и пр. В процессе работы продолжается изучение и анализ поступков сотрудника, затрагивающих интересы организации, проводится анализ его внешних связей.

Сотрудники – важнейший элемент системы безопасности. Они могут сыграть значительную роль в защите коммерческой тайны, но в то же время могут быть и основной причиной ее утечки. Часто это случается по причине невнимательности, неграмотности. Поэтому регулярное и доходчивое обучение персонала вопросам секретности является важнейшим условием сохранения тайны. Однако нельзя исключать случаи умышленной передачи (продажи) работником секретов фирмы. Мотивационную основу таких поступков составляют либо корысть, либо месть, например, со стороны уволенного работника. Практика подобных действий уходит своими корнями в глубокую древность.

Известно, что еще в Римской империи, когда основную часть работающего населения составляли рабы, обычной практикой было принуждение чужих рабов выдавать секреты хозяина. В Риме был даже принят специальный закон, предусматривающий наказание за подобные действия в виде штрафа размером в двойную стоимость причиненных убытков.

Для обеспечения защиты информации на предприятиях вводится определенный режим, порядок доступа иработы с информацией. Эффективность такого порядка возможна только при выполнении следующих условий:

единства в решении производственных, коммерческих, финансовых и режимных вопросов;

координации мер безопасности между всеми заинтересованными подразделениями;

экспертной оценки информации и объектов, подлежащих защите;

персональной ответственности руководителей и исполнителей, участвующих в закрытых работах, за обеспечение сохранности тайны и поддержание на должном уроне режима охраны проводимых работ;

организации специального делопроизводства, надежного хранения и перевозки носителей коммерческой тайны, маркировки документации и пр.;

формирования списка лиц, уполномоченных классифицировать информацию, содержащую коммерческую тайну;

ограничения круга лиц, имеющих допуск к информации;

наличия единого порядка доступа и организации пропускного режима;

организации взаимодействия с органами власти, осуществляющими контроль за определенными видами деятельности предприятий;

наличия охраны, пропускного и внутреннего режима;

планового осуществления мер по защите и контролю за коммерческой тайной;

создания системы обучения исполнителей правилам обеспечения сохранности интеллектуальной собственности.

Защита информации предполагает использование специальных технических средств, электронных устройств, что позволяет не только сдерживать их утечку, но и останавливать такой вид деятельности, как промышленный (коммерческий) шпионаж. Большую их часть составляют технические средства обнаружения и средства противодействия устройствам прослушивания:

телефонный нейтрализатор (для подавления работы мини-передатчика и нейтрализации снятия аудиоинформации);

телефонный подавитель устройств прослушивания;

профессиональный детектор (используется для «грубого» определения местонахождения радиозакладок);

мини-детектор передатчиков (используется для точного определения местонахождения радиозакладок);

генератор шума.

Организации, располагающие ценной информацией, должны хранить ее в специальных несгораемых шкафах или сейфах, не допускать утери ключей от них или передачи на хранение другим лицам, даже из числа особо доверенных.

Некоторые фирмы, например, используют для хранения секретной информации сейфы (шкафы), открываемые с помощью специальной магнитной карты или других сложных сигнальных электронных устройств. Следует отметить, что эта мера значительно затрудняет доступ к информации, особенно при наличии комплекса защитных (физических и технических) мер у здания, где расположен сейф, иное хранилище. Некоторые фирмы тратят на защиту информации до 15 % своих доходов.

Одним из распространенных методов защиты интеллектуальной собственности является патент, то есть свидетельство, выдаваемое изобретателю или его правопреемнику на право исключительного пользования сделанным им изобретением. Патент призван защитить изобретателя (автора) от воспроизводства, продажи и использования его изобретения другими лицами.

Для защиты публикуемых работ автору рекомендуется воспроизводить на каждой копии следующую информацию: имя владельца авторского права; год издания работы; символ авторского права ©. Наконец, всем авторам при борьбе с посягательствами на их интеллектуальную собственность необходимо тесное сотрудничество с правоохранительными органами и общественностью. К сожалению, существующая практика борьбы с плагиатом и пиратством показывает, что такое сотрудничество тоже далеко не всегда дает ожидаемые результаты.

Осуществление специальных внутренних и внешних мер защиты ценных информационных систем должно возлагаться на специально подготовленных лиц. С этой целью предприниматель может обращаться за помощью к частным детективным фирмам, специализирующимся на сыске и охране собственности. Могут создаваться и собственные службы безопасности. Так как защитные мероприятия требуют значительных затрат, предприниматель сам должен решить, что ему выгоднее: мириться с утечкой информации или привлекать специализированные службы для ее защиты.

Вопросы для обсуждения

1. Какие угрозы – внешние или внутренние – оказываются более существенными для информационной безопасности нашего общества и вас лично? Почему?

2. Ощущаете ли вы в своей повседневной жизни отставание России в разработке и внедрении информационных систем разного уровня? Приведите примеры.

3. Решаются ли все проблемы информационной безопасности человека и общества созданием соответствующей нормативно-правовой базы и внедрением современных информационных технологий?

4. Ощущаете ли вы лично ограничения в праве на доступ к информации?

5. Происшедшая в мире информационная революция, на ваш взгляд, усилила или ослабила национальную безопасность России? Обоснуйте свой вариант ответа.

6. Что вы знаете об усилиях государства по защите интеллектуальной собственности и, в частности, борьбе с контрафактной продукцией? Поддерживаете ли вы эту борьбу личными действиями?

7. Есть ли в вашей деятельности и частной жизни сведения, требующие защиты от посторонних лиц? К какой группе секретности вы отнесли бы эти сведения?