Современные проблемы и основные направления совершенствования защиты информации

     Лица, права и законные интересы которых  были нарушены в связи с разглашением информации ограниченного доступа или иным неправомерным использованием такой информации, вправе обратиться в установленном порядке за судебной защитой своих прав, в том числе с исками о возмещении убытков компенсации морального вреда, защите чести, достоинства и деловой репутации. Требование о возмещении убытков не может быть удовлетворено в случае  предъявления его лицом, не принимавшим мер по соблюдению конфиденциальности информации или нарушившим установленные законодательством Российской Федерации требования о защите информации, если принятие этих мер и соблюдение таких требований являлись обязанностями данного лица.

     В случае, если распространение определенной информации ограничивается или запрещается федеральными законами, гражданско-правовую ответственность за распространение такой информации не несет лицо, оказывающее услуги:

     1)  либо по передаче информации, предоставленной другим лицом, при условии ее передачи без изменений и исправлений;

     2) либо по хранению информации  и обеспечению доступа к ней  при условии, что это лицо не могло знать о незаконности распространения информации. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

2. Современные проблемы  и основные направления  совершенствования защиты информации

2.1. Режим  защиты информации

     Термин "защита информации", закрепляемый в ст. 16 Закона широко употребляется. Толковый словарь "Бизнес и право" правовой системы "Гарант" под данным понятием подразумевает: "все средства и функции, обеспечивающие доступность, конфиденциальность или целостность информации или связи, исключая средства и функции, предохраняющие от неисправностей. Она включает криптографию, криптоанализ, защиту от собственного излучения и защиту компьютера".

     Защищаемая  информация - информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.

     Режим защиты информации устанавливается  в отношении 3-х групп сведений:

     1) сведения, относящиеся к государственной тайне: режим устанавливается уполномоченным государственным органом на основании закона РФ от 1: июля 1993 г. N 5485-1 "О государственной тайне":

     2) конфиденциальная информация. Режим защиты информации устанавливается собственником информационных ресурсов или уполномоченным им лицом на основании закона об информации;

     3) персональные данные. Режим защиты  информации устанавливается специальным Федеральным законом N 152-ФЗ от 27 июля 2006 года "О персональных данных".

     Контроль  за соблюдением требований к защите информации, а также обеспечение органами мер защиты информационной системы, образующих информацию с ограниченным доступом в негосударственных структурах, возложены на государственные органы. Собственник информации также имеет право осуществить аналогичный контроль. Законом устанавливается только перечни сведений, которые не могут быть отнесены к конкретному виду информации с ограниченным доступом. Исключение - перечень сведений, составляющих государственную тайну.

     Например, согласно руководящему документу РД-21-01-2006 "Положению о системе защиты информации в компьютерных и телекоммуникационных сетях федеральной службы по экологическому, технологическому и атомном) надзору" (утв. приказом Федеральной службы по экологическому, технологическому и атомному надзору от 26 июня 2006 г. N 624) определены цели защиты информации, содержащей сведения, составляющие государственную тайну и конфиденциальную информацию, организационную структуру системы защиты информации в Федеральной службе по экологическому, технологическому и атомному надзору, задачи и функции указанной системы, мероприятия по защите информации и контролю за ее состоянием. Требования Положения являются обязательными для работников центрального аппарата и территориальных органов Службы, а также находящихся в ее ведении организаций, на которых возлагаются организация, осуществление и контроль мероприятий по защите информации. Так, головным органом по вопросам защиты информации в Службе является Межрегиональный территориальный округ по информатизации и защите информации Федеральной службы по экологическому, технологическому и атомному надзору (далее - МТОИЗИ).

     Основные  задачи МТОИЗИ:

     а) обеспечение единого подхода  к организации и осуществлению  надзора за соблюдением требований федеральных норм и правил при  обеспечении защиты информации в Службе;

     б) организация и проведение работ по защите информации в компьютерных и телекоммуникационных сетях центрального аппарата Службы;

     в) организация и осуществление контроля и надзора за проведением работ по защите информации в локальных вычислительных сетях и информационно-коммуникационной системе Службы⁴.

     Основные  функции МТОИЗИ:

     а) организация работ по защите информации в центральном аппарате Службы, а также методическое руководство и контроль за эффективностью предусмотренных мер защиты информации в Службе;

     б) разработка и периодическое уточнение  Перечня используемых в Службе сведений конфиденциального характера;

     в) анализ угроз безопасности информации и оценка реальной возможности перехвата информации техническими средствами, несанкционированного доступа, разрушения, уничтожения, искажения, блокирования или подделки информации в процессе ее обработки, передачи и хранения в технических средствах обработки информации;

     г) предотвращение проникновения к  источникам информации с целью ее уничтожения, хищения или изменения;

     д) защита носителей информации;

     е) выявление возможных технических каналов утечки информации ограниченного доступа и фактов разглашения защищаемой информации;

     ж) контроль за выполнением требований законодательных, нормативно-правовых, организационно-распорядительных и методических документов, как федерального уровня, так и принятых в Службе, в области защиты информации.

     Систему защиты информации в компьютерных и  телекоммуникационных сетях Службы образуют:

     -  руководитель Службы;

     - техническая комиссия по защите  информации в компьютерных и  телекоммуникационных сетях Службы;

     - МТОИЗИ (отделы организации и  контроля за защитой информации  в автоматизированных системах управления и эксплуатации информационно-коммуникационных систем Службы);

     -  начальники управлений центрального  аппарата Службы;

     - руководители территориальных органов и подведомственных организаций;

     - подразделения (штатные работники) по защите информации территориальных органов и подведомственных организаций;

     - пользователи (потребители) информации.

     Руководитель  Службы организует защиту информации в компьютерных и телекоммуникационных сетях Службы. Непосредственное руководство работами по защите информации осуществляет руководитель Службы или один из его заместителей.

     МТОИЗИ  организует работу по защите информации, а также осуществляет методическое руководство и контроль за эффективностью предусмотренных мер защиты информации в Службе. МТОИЗИ по вопросам защиты информации подчиняется руководителю Службы или, по его решению, одному из заместителей ей.

     При этом согласно Положению в целях  предотвращения и нейтрализации угроз безопасности информации должны применяться правовые, аппаратно-программные методы и организационно-технические мероприятия.⁵ 

2.2. Правовые  способы защиты информации

     Правовые  методы предусматривают разработку организационно-распорядительных и руководящих документов Службы в области защиты информации.

     Аппаратно-программные  методы включают:

     а) аппаратные методы защиты:

     - предотвращение утечки обрабатываемой  информации за счет побочных  электромагнитных излучений и  наводок, создаваемых функционирующими средствами, а также за счет электроакустических преобразований;

     - исключение или существенное  затруднение несанкционированного  доступа к обрабатываемой или хранящейся в технических средствах информации за счет применения реквизитов защиты (паролей, идентифицирующих кодов;. устройств измерения индивидуальных характеристик человека (голоса, отпечатков) с целью его идентификации;

     - применение устройств для шифрования  информации;

     - выявление возможно внедренных  в импортные технические средства  специальных устройств съема (ретрансляции) или разрушения информации (закладных устройств);

     б) программные методы защиты:

     - предотвращение специальных программно-математических  воздействий, вызывающих разрушение, уничтожение, искажение информации или сбои в работе средств вычислительной техники (далее - СВТ);

     - идентификацию технических средств  (терминалов, устройств группового управления вводом-выводом, ЭВМ, носителей информации), задач и пользователей;

     - определение прав пользователей  (потребителей) информации (дни и время работы, разрешенные к использованию задачи и технические средства обработки информации);

     - контроль работы технических  средств и пользователей;

     - регистрацию работы технических  средств и пользователей при  обработке информации ограниченного доступа;

     - уничтожение информации в записывающем  устройстве после использования;

     - сигнализацию при несанкционированных  действиях;

     - вспомогательные программы различного  назначения: контроля работы механизма защиты, проставления грифа секретности (конфиденциальности) на выдаваемых документах;

     в) резервное копирование (хранение копий  информации на различных носителях);

     г) криптографическое шифрование информации.

     Организационно-технические  мероприятия предусматривают:

     а) осуществление мероприятий защиты информации при оборудовании и создании вычислительных центров, автоматизированных сетей (далее - АС) и автоматизированных рабочих мест;

     б) подбор и подготовку персонала для  обслуживания СВТ и АС;

     в) разработку и утверждение функциональных обязанностей должностных лиц, отвечающих за защиту информации;

     г) контроль за действиями персонала в  защищенных автоматизированных системах;

     д) создание и обеспечение функционирования систем защиты информации ограниченного доступа;

     е) сертификацию этих систем по требованиям безопасности информации:

     ж) аттестацию СВТ, автоматизированных систем и помещений;

     з) привлечение на договорной основе для проведения работ по защите информации специализированных организаций, имеющих лицензии па право проведения работ в области защиты информации;

     и) стандартизацию способов и средств  защиты информации;

     к) организацию хранения и использования  документов и носителей;

     л) физическую защиту от внешних воздействующих факторов, вызванных явлениями природы;