Правовое обеспечение защиты информации в автоматизированных системах
Это совокупность законодательных актов, нормативно-правовых документов, положений, инструкций, руководств, требования которых обязательны в системе защиты информации.
Правовое обеспечение включает следующие нормы:
Для корпоративных сетей с большим количеством пользователей составляется документ, регламентирующий работу в сети – «Политика безопасности». Этот документ учитывает услуги, предоставляемые Internet и требования информационной безопасности и основан на стандарте ISO/IEC 17799 "Безопасность информационных систем".
«Политика безопасности» обеспечивает выполнение следующих правил безопасности информации:
-
Идентификация.
-
Разделение полномочий.
-
Регистрация и учет работы.
-
Шифрование.
-
Применение цифровой подписи.
-
Обеспечение антивирусной защитой.
-
Контроль целостности информации.
В общем случае система защиты информации в компьютерной сети реализуется в три этапа:
-
анализ риска;
-
реализация политики безопасности;
-
поддержание политика безопасности.
При этом обеспечивается выполнение трех основных функций системы: доступность, целостность и конфиденциальность.
Требования к безопасности компьютерных сетей в РФ разработаны Гостехкомиссией РФ (в настоящее время ФСТЭК). Эти требования оформлены в виде Руководящих документов (РД ГТК) и обязательны для государственных предприятий или для коммерческих предприятий допущенных к сведениям составляющих государственную тайну. В остальных случаях они носят рекомендательный характер.
К таким документам относится, например, РД ГТК «Автоматизированные системы. Защита от НСД к информации. Классификация АС и требования по защите информации» от 30.03.92.
Требования к безопасности АС устанавливаются в соответствии с классом защищенности. Установлено 9 классов защищенности в трех группах: 3Б, 3А, 2Б, 2А, 1Д, 1Г, 1В, 1Б, 1А.
Показатели защищенности средств вычислительной техники от НСД даны в РД ГТК «Средства ВТ. Защита от НСД. Показатели защищенности от НСД к информации» от 30.03.92. В данном РД определяется 7 классов защищенности СВТ от НСД к информации.
Кроме этого, действуют следующие РД ГТК:
-
"Защита от НСД к информации. Термины и определения". Решение Председателя ГТК от 30.03.92г.
-
"Концепция защиты СВТ и АС от НСД к информации". Решение Председателя ГТК от 30.03.92г.
-
"Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от НСД в автоматизированных системах и средствах вычислительной техники". Решение Председателя ГТК от 30.03.92г.
-
"Средства вычислительной техники. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от несанкционированного доступа к информации". Решение Председателя ГТК от 25.07.97г.
-
"Защита информации. Специальные защитные знаки. Классификация и общие требования". Решение Председателя ГТК от 25.07.97г.
-
"Защита от НСД к информации. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей (введен в действие приказом Председателя Гостехкомиссии России №114 от 4.06.99 г.)
Эффективная борьба с КП в РФ ведется с 1997г. после принятия УК РФ, в котором помещена глава 28 «Преступления в сфере компьютерной безопасности». Составы компьютерных преступлений даны в следующих статьях:
-
272-«Неправомерный доступ к компьютерной информации»;
-
273-«Создание, использование и распространение вредоносных программ для ЭВМ»;
-
274-«Нарушение правил эксплуатации ЭВМ».
Согласно ст. 273 УК РФ под компьютерным вирусом (КВ) понимается вредоносная программа для ЭВМ. В отношении вредоносных программ, внедрение которых повлекло тяжкие последствия, предусмотрены такие наказания как штраф до 500 минимальных размеров оплаты труда и лишения свободы до 7 лет.
Эффективным средством снижения компьютерной преступности служит использование электронной цифровой подписи (ЭЦП). В РФ принят Закон «Об электронной цифровой подписи» №1 от 10.01.2002г.
ЭЦП – реквизит документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.
В случаях, установленных законом электронная цифровая подпись признается равнозначной собственноручной подписи лица на бумажном носителе, заверенном печатью.
- Тема 1 основные понятия дисциплины.
- Рекомендуемая литература
- Вертикальное строение права
- Горизонтальное строение права.
- Тема 2 место информационного права в теории государства и права.
- Государство и право их роль в регулировании общественных отношений.
- Нормы права и правовые отношения.
- Место информационного права в системе права рф.
- Рекомендуемая литература
- Тема 3 информация как объект правого регулирования.
- Рекомендуемая литература
- Тема 4 законодательство рф в области информационной безопасности.
- Рекомендуемая литература
- Тема 5 понятие правового режима защиты государственной тайны.
- 1.Понятие государственной тайны.
- 2. Признаки характеризующие сведения составляющие государственную тайну.
- 3. Отнесение сведений к государственной тайне.
- Рекомендуемая литература
- Тема 6 порядок доступа и допуска к государственной тайне.
- 2. Меры по обеспечению сохранности сведений, составляющих государственную тайну (режим секретности как основной порядок деятельности в сфере защиты государственной тайны).
- 3. Перечень и содержание организационных мер, направленных на защиту государственной тайны.
- 4. Система контроля над состоянием защиты государственной тайны.
- Рекомендуемая литература
- 1. Хронические и затяжные психические расстройства с тяжелыми стойкими или часто обостряющимися болезненными проявлениями.
- 2. Психические расстройства и расстройства поведения, связанные с употреблением психоактивных веществ:
- Тема 7 правовой режим защиты конфиденциальной информации
- Рекомендуемая литература
- Тема 8 профессиональная и служебная тайна.
- Рекомендуемая литература
- Служебная тайна и ее защита
- Тема 9 правовые основы защиты персональных данных.
- Рекомендуемая литература
- Тема 10 законодательство о интеллектуальной собствености.
- Рекомендуемая литература
- Законодательство в области защиты интеллектуальной собственности
- Закон рф "Об авторском праве и смежных правах"
- Правовая охрана программ для эвм и баз данных
- Закон рф "о правовой охране топологий интегральных микросхем"
- "Патентный закон рф"
- Правовая охрана изобретения
- Условия патентоспособности изобретения
- Автор изобретения
- Патентообладатель
- Права и обязанности патентообладателя
- Предоставление права на использование изобретения
- Нарушение патента
- Ответственность за нарушение прав авторов
- Закон рф "о конкуренции и ограничении монополистической деятельности на товарных рынках"
- Закон рф "о товарных знаках, знаках обслуживания и наименовании мест происхождения товаров"
- Тема 12 правовые основы использования электронноцифровой подписи.
- Рекомендуемая литература
- Тема 13 правовые основы криптографической защиты информации.
- Рекомендуемая литература
- Тема 14 лицензирование в информационной сфере.
- Рекомендуемая литература
- Лицензирование деятельности по защите государственной тайны
- Тема 15 система юридической ответственности за нарушение норм защиты информации.
- 1. Нормы ответственности за правонарушения в информационной сфере.
- 2. Виды и условия применения правовых норм уголовной, гражданско-правовой, административной и дисциплинарной ответственности за разглашение защищаемой информации и невыполнение правил ее защиты.
- Рекомендуемая литература
- Классификация компьютерных преступлений
- Тема 16 компьютерные правонарушения.
- Классификация компьютерных преступлений.
- Правовое обеспечение защиты информации в автоматизированных системах.
- Методы используемые для выявления и предупреждения компьютерных правонарушений.
- Рекомендуемая литература
- Анализ компьютерных преступлений
- Правовое обеспечение защиты информации в автоматизированных системах