2.2 Нормативно-правовая база защиты данных

Базой для построения системы защиты данных в целом и правовой защиты данных в частности являются информационные законы Российской Федерации. Основным из них является закон РФ «Об информации, информатизации и защите информации», большое значение которого состоит в том, что он ставит защиту данных в область юридического права и относит ее к приоритетным сферам заботы и ответственности государства. С принятием этого правового акта вся защита данных становится правовой, а все остальные формы защиты информации становятся лишь средствами реализации правовой защиты. В то же время любая форма и вид защиты данных должны соответствовать правовой, находиться в рамках закона и не противоречить установленным в ней нормам и стандартам.

Закон отмечает, что правовой (юридической) защите подлежит только документированная информация, оформленная в соответствии с требованиями законодательства РФ. Естественно, недокументированную информацию также можно и нужно защищать всеми доступными средствами, если эта защита не противоречит нормам и правилам ее использования. Правила защиты данных определяются в соответствии с законодательством и разграничением компетенции между различными государственными органами или собственниками этих данных.

Основными целями и направлениями защиты данных провозглашаются предотвращение потери и искажения данных, несанкционированного использования, угрозы безопасности человеку и государству, защита прав субъектов информатизации. Защита должна производиться как в интересах держателей информации (собственников, владельцев, пользователей), так и людей, имеющих непосредственное отношение к ним (авторов, пациентов медицинских учреждений, коммерсантов).

Закон регламентирует отношения различных держателей информации (собственников, владельцев, пользователей), их права и взаимные обязанности по предоставлению и использованию информации.

Закон устанавливает ответственность за нарушение требований и правил защиты информации: административную (наказание, возмещение ущерба), судебную (на уровне арбитражного или третейского суда), уголовную.

Законы РФ «Об авторском праве и смежных правах» и «О правовой охране программ для электронных вычислительных машин и баз данных» определяют:

* субъекты и объекты авторского, имущественного права, а также другого (смежного) права, в том числе, программу, базу данных, авторское право;

* основные положения авторского и смежного с ним права, в том числе, их защиты;

* правила распространения, использования, правовой (официальной) регистрации программ, баз данных.

Данные законы создают правовую базу для официального удостоверения и защиты авторских и имущественных прав на информационные продукты, рассматриваемые как произведения, прав на неприкосновенность программы и базы данных или их частей, защиты «чести и достоинства автора».

Правовая база процессов патентоведения основана в «Патентном Законе Российской Федерации», указах и постановлениях по вопросам патентоведения.

Вопросы лицензирования работ и услуг регламентируются в соответствующих законах, указах президента и постановлениях правительства.

Правовую базу защиты информации составляют также международные документы и соглашения, признаваемые или подписанные Россией. Это, в частности, Всемирная конвенция «Об авторском праве», ратифицированная СССР в 1973 г. (действительная для РФ как правопреемнице СССР), а также Бернская конвенция о защите интеллектуальной собственности зарубежных физических и юридических лиц, ратифицированная нашей страной в 1995 г.

К нормативно-правовым основам информационной безопасности и защиты информации относятся также «Руководящие документы» по защите от несанкционированного доступа, подготовленные Го с т е х -комиссией при Президенте РФ, а также гармонизированные ею «Критерии оценки безопасности информационных технологий» ITSEC, или «Европейские критерии». Данные документы имеют отношение, в основном, к программной и физической формам защиты, занятым практическим формированием ее систем.

Для организации и создания действенной системы информационной безопасности, как на национальном, так и международном уровнях, необходимы единые системы критериев и оценок. В «Европейских критериях» сформулированы общие требования информационной безопасности и критерии ее оценки. Эти требования и система оценок служат ориентиром при построении эффективной системы защиты данных.

Основу системы оценок и критериев составляют следующие понятия.

Гарантированность информационной безопасности - эффективность и корректность средств безопасности. Гарантированность определяется степенью уверенности в безопасности и защите.

Эффективность безопасности - это степень достоинства и пригодности средств защиты. Эффективность определяется мощностью (качеством и надежностью) механизмов защиты. Выделяются базовая, средняя и высокая мощности.

8 перечень основных функций включены:

* идентификация и аутентификация;

* безопасность обмена данными;

* управление доступом, подотчетность;

* обеспечение точности (целостности) информации;

* надежность обслуживания. Определяются 10 классов функциональности - от низких потребностей защиты и безопасности до высоких.

В «Руководящих документах Гостехкомиссиии» дается правовое описание защиты от несанкционированного доступа (НСД) к данным, обрабатываемым средствами вычислительной техники (СВТ) и автоматизированными системами (АС). Стратегия и задачи защиты формулируются в «Концепции защиты СВТ и АС от НСД к информации».

Автоматизированная система рассматривается как интеграция самой АС, операционной среды функционирования и соответствующего программно-информационного обеспечения, предусматривающая их активное взаимодействие. Поэтому, если защита данных СВТ относится в основном к физической форме защиты (данные статичны и только хранятся), то защита данных АС - это преимущественно программная форма, включающая следующие функции и процедуры:

- проверка полномочий пользователей, регистрация;

- построение модели нарушителя;

- внедрение и создание средств защиты;

- криптография;

- обеспечение целостности данных;

- установление соответствия технологии обработки и системы информационной безопасности.

Данные в АС переменны, взаимосвязаны и взаимодействуют друг с другом при выполнении различных информационных процессов. Основными требованиями защиты данных в АС в «Руководящих документах» являются:

* обеспеченность всеми необходимыми программно-техническими средствами на всех технологических этапах обработки информации и во всех режимах функционирования;

* отсутствие существенного снижения эффективности работы АС, ухудшения ее основных функциональных характеристик.

Построение системы защиты программной и физической защиты данных предусматривает решение следующих задач:

* создание необходимых средств защиты;

* оценку эффективности средств защиты, учитывающей характеристики объектов и средств защиты;

* контроль эффективности средств защиты - периодический, по мере необходимости, контролирующими органами.

Проверка полномочий пользователя, регистрация и защита от НСД должны осуществляться системой разграничения субъектов и объектов доступа и системой учета информации.

В качестве субъекта доступа рассматривается «лицо или процесс, действия которых регламентируются правилами разграничения доступа», объекта доступа - единицы информационного ресурса АС, доступ к которой регламентируется правилами разграничения доступа. Нарушитель - это субъект доступа, осуществляющий несанкционированный доступ к информации.