В настоящее время можно отметить, что правовое поле в области защиты информации получило весомое заполнение. Конечно нельзя сказать, что процесс построения цивилизованных правовых отношений успешно завершен и задача правового обеспечения деятельности в этой области уже решена.  Можно констатировать, что уже имеется неплохая законодательная база, вполне позволяющая, с одной стороны, предприятиям осуществлять свою деятельность по защите информации в соответствии требованиями действующих нормативных актов, а с другой - уполномоченным государственным органам на законной основе регулировать рынок соответствующих товаров и услуг, обеспечивая необходимый баланс интересов отдельных граждан, общества в целом и государства.

     В последнее время в различных  публикациях муссируется вопрос о том, что созданный механизм государственного регулирования в области защиты информации используется государственными органами, уполномоченными на ведение лицензионной деятельности, для зажима конкуренции и не соответствует ни мировому опыту, ни законодательству страны.

     Законодательные и административные меры для регулирования  вопросов защиты информации на государственном  уровне применяются в большинстве научно-технически развитых стран мира. Компьютерные преступления приобрели в странах с развитой информационно-телекоммуникационной инфраструктурой такое широкое распространение, что для борьбы с ними в уголовное законодательство введены специальные статьи.

     Первый  закон о защите информации был  принят в Соединенных Штатах Америки  в 1906 году. В настоящее время в  США имеется около 500 законодательных актов по защите информации, ответственности за ее разглашение и компьютерные преступления. Проблемы информационной безопасности рассматриваются американской администрацией как один из ключевых элементов национальной безопасности. Национальная политика США в области защиты информации формируется Агентством национальной безопасности (АНБ).

     Правительство США при реализации своей политики в области защиты информации исходит  из того, что перехват иностранными государствами конфиденциальной государственной и частной информации, а также больших объемов открытой информации, передаваемых по правительственным и коммерческим сетям телекоммуникаций, после их обработки, сопоставления и объединения разрозненных сведений приведет к раскрытию государственных секретов. Поэтому, начиная с середины 80-х годов, защита линий связи и автоматизированных систем становится важной задачей компетентных государственных органов США.

     Во  Франции государственному контролю подлежат изготовление, экспорт и использование шифровального оборудования. Экспорт возможен только с разрешения Премьер-министра страны, выдаваемого после консультаций со специальным комитетом по военному оборудованию. Импорт шифровальных средств на территорию Французской республики вообще запрещен. Закон объявляет экспорт и снабжение криптографическими средствами без специального разрешения преступлением, которое наказывается штрафом в размере до 500 000 франков или тюремным заключением на срок от 1 до 3 месяцев.

     Новым шагом в деле правового обеспечения деятельности в области защиты информации явилось принятие Федеральным собранием России Федерального закона "Об информации, информатизации и защите информации" от 20.02.95 № 24-ФЗ. Данный закон впервые официально вводит понятие "конфиденциальной информации", которая рассматривается как документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации, и устанавливает общие правовые требования к организации защиты такой информации в процессе ее обработки, хранения и циркуляции в технических устройствах и информационных и телекоммуникационных системах и комплексах и организации контроля за осуществлением мероприятий по защите конфиденциальной информации. При этом следует подчеркнуть, что Закон не разделяет государственную и частную информацию как объект защиты в том случае, если доступ к ней ограничивается.

     Системы лицензирования и сертификации проходят сейчас стадию совершенствования с  точки зрения развития правовой базы, механизма и правил их функционирования. Отсюда, естественно, следует, что отдельные положения могут быть изменены, уточнены или дополнены.  

12.Обеспечение информационной безопасности 

     Проблемы  информационной безопасности постоянно  усугубляются процессами проникновения  практически во все сферы деятельности общества технических средств обработки и передачи данных и, прежде всего вычислительных систем. Объектами посягательств могут быть сами технические средства (компьютеры и периферия) как материальные объекты, а также программное обеспечение и базы данных, для которых технические средства являются окружением.

     Каждый  сбой работы компьютерной сети это  не только "моральный" ущерб для  работников предприятия и сетевых  администраторов. По мере развития технологий платежей электронных, "безбумажного" документооборота и других, серьезный сбой локальных сетей может просто парализовать работу целых корпораций и банков, что приводит к ощутимым материальным потерям. Не  случайно,  что защита данных в компьютерных сетях становится одной из самых острых проблем в современной информатике. На сегодняшний день сформулировано два базовых принципа информационной безопасности, которая должна обеспечивать: 

     - целостность данных - защиту от  сбоев, ведущих к потере информации, а также неавторизованного создания или уничтожения  данных.

     - конфиденциальность информации  и, одновременно, ее доступность  для всех авторизованных пользователей. 

     Следует также отметить, что отдельные  сферы деятельности (банковские и  финансовые институты, информационные сети, системы государственного управления, оборонные и специальные структуры) требуют специальных мер безопасности данных и предъявляют повышенные требования к надежности функционирования информационных систем, в соответствии с характером и важностью решаемых ими задач.

     Перечислим  основные виды преступлений, связанных с вмешательством в работу компьютеров: 

           1. Несанкционированный доступ к информации, хранящейся в компьютере. Несанкционированный доступ осуществляется, как правило, с использованием чужого имени, изменением физических адресов технических устройств, использованием информации оставшейся после решения задач, модификацией программного и информационного обеспечения, хищением носителя информации, установкой аппаратуры записи, подключаемой к каналам передачи данных.

     Несанкционированный доступ к файлам законного пользователя осуществляется также нахождением  слабых мест в защите системы. Однажды  обнаружив их, нарушитель может не спеша исследовать содержащуюся в системе информацию, копировать ее, возвращаться к ней много раз, как покупатель рассматривает товары на витрине.

     Бывает, что некто проникает в компьютерную систему, выдавая себя за законного  пользователя. Системы, которые не обладают средствами аутентичной идентификации (например, по физиологическим характеристикам: по отпечаткам пальцев, по рисунку сетчатки глаза, голосу и т. п.), оказываются без защиты против этого приема. Самый простейший путь его осуществления - получить коды и другие идентифицирующие шифры законных  пользователей. Это может делаться: 

     - приобретением (обычно подкупом  персонала) списка пользователей  со всей необходимой информацией;

     - обнаружением такого документа  в организациях, где не налажен  достаточный контроль за их  хранением;

     - подслушиванием через телефонные  линии. 

     Несанкционированный доступ может осуществляться в результате системной поломки. Например, если некоторые файлы пользователя остаются открытыми, он может получить доступ к не принадлежащим ему частям банка данных. Все происходит так, словно клиент банка, войдя в выделенную ему в хранилище комнату, замечает, что у хранилища нет одной стены. В таком случае он может проникнуть в чужие сейфы и похитить все, что в них хранится.

     2. Ввод в программное обеспечение  "логических бомб", которые  срабатывают при выполнении определенных условий и частично или полностью выводят из строя компьютерную систему.

     Способ "троянский конь" состоит в  тайном введении в чужую программу  таких команд, которые позволяют  осуществлять новые, не планировавшиеся  владельцем программы функции, но одновременно сохранять и прежнюю работоспособность. С помощью "троянского коня" преступники, например, отчисляют на свой счет определенную сумму с каждой операции. Компьютерные программные тексты обычно чрезвычайно сложны. Они состоят из сотен, тысяч, а иногда и миллионов команд. Поэтому "троянский конь", состоящий из нескольких десятков команд, вряд ли может быть обнаружен, если, конечно, нет подозрений относительно этого. Но и в последнем случае экспертам-программистам потребуется много дней и недель, чтобы найти его.

     Есть  еще одна разновидность "троянского коня". Ее особенность состоит  в том, что в безобидно выглядящей кусок программы вставляются  не команды, собственно, выполняющие "грязную" работу, а команды, формирующие эти команды и после выполнения уничтожающие их. В этом случае программисту, пытающемуся найти "троянского коня", необходимо искать не его самого, а команды его формирующие.

     3. Разработка и распространение  компьютерных вирусов.

     Вирус - это довольно сложная и изощрённая программа. Попав в компьютер, он может самостоятельно "размножаться". Вирус прикрепляется к рабочим программам, копирует и переносит себя на диски и дискеты. При этом он нарушает нормальное функционирование компьютера.

     Многочисленные  виды защиты информации можно также рассматривать как предоставляемую информационную или вычислительную услугу и с этой позиции разделить на 2 класса: 

     - средства физической защиты, включающие  средства защиты кабельной системы,  систем электропитания, средства  архивации, дисковые массивы и  т.д.

     - программные средства защиты, в том числе: антивирусные программы, системы разграничения полномочий, программные средства контроля доступа.

13.Правовое регулирование на информационном рынке

     Производство  услуг, информационных и программных  продуктов приводит в движение огромные финансовые потоки, создает массу рабочих мест и способствует прогрессу во всех областях деятельности, не вызывая проблем в экологии, энергетике и других сферах. Компьютерная программа фактически идеальна – можно считать, что в ней нет ничего материального, только одна ее стоимость.

     Информационные  ресурсы представляют собой сосредоточенный  в компактной форме накопленный  потенциал фирмы и имеют соответствующую  стоимость. Эти ценности обязательно  кому-то принадлежат или, по крайней  мере, должны принадлежать. В противном случае они будут использоваться произвольно или неправомерно, по существу расхищаться, как всякие другие ценности в подобных условиях.

     Производство  машинной информации имеет массовый характер, представляет собой настоящую  индустрию и нуждается в серьезном правовом обеспечении. В связи с этим всем субъектам этого процесса необходимо иметь четко определенные права и обязательства по отношению как к самой информации, так и к другим субъектам и их правам.

     В зарубежных странах уже достаточно давно возникла специальная область права – компьютерное право. Постепенно компьютерное право приобрело характер более широкой области – информационного права. Во всех передовых по этому профилю странах существуют правительственные программы развития норм права и определенная политика в сфере защиты национальных информационных ресурсов.

     Законодательство  Российской Федерации по вопросам информатики  и информационных ресурсов также  отражает постепенное формирование адекватной правовой базы регулирования отношений в сфере информатизации. Принят ряд указов, постановлений, законов, таких, как: 

     - "Об информации, информатизации  и защите информации";

     - "Об авторском праве и смежных  правах";

     - "О правовой охране программ  для ЭВМ и баз данных";

     - "О правовой охране топологий интегральных схем". 

     Базовым юридическим документом, открывающим  путь к принятию дополнительных нормативных  законодательных актов, является закон "Об информации, информатизации и  защите информации".  В законе определены цели и основные направления государственной политики в сфере информатизации. Закон создает условия для включения России в международный информационный обмен, предотвращает бесхозяйственное отношение к информационным ресурсам и информатизации, обеспечивает информационную безопасность и права юридических и физических лиц на информацию. В нем определяются комплексное решение проблемы организации информационных ресурсов, правовые положения по их использованию и предлагается рассматривать информационные ресурсы в двух аспектах: