Информационная безопасность органов внутренних дел. Информационная сфера и информационная безопасность органов внутренних дел Цели технической защиты информации в системе мвд

Министерство внутренних дел Российской Федерации

Санкт-Петербургский университет

Кафедра специальных информационных технологий

УТВЕРЖДАЮ

начальник кафедры СИТ

полковник полиции

А.И. Примакин

Рабочая лекция по дисциплине Основы информационной безопасности в ОВД

по теме 1/2 «Основы обеспечения информационной безопасности в ОВД»

Санкт-Петербург

2013 г.

введение

учебные вопросы:

1. Основные термины и определения информационной безопасности.

2. Основные принципы и условия обеспечения информационной безопасности.

Заключение

Контрольные вопросы

Литература

Введение

В предыдущей лекции нами были рассмотрены основные направления государственной политики в области информатизации общества. Основной проблемой информационного общества сегодня является проблема защиты информации от ее утечки, искажения, блокирования систем и средств передачи информации, а так же защита сведений конфиденциального характера и государственной тайны. С внедрением в жизнь обывателей информационных технологий мир встал перед проблемой новых информационных отношений связанных с безопасностью информации и информационных процессов.

1. Основные термины и определения информационной безопасности 1

Защита информации - деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.

Система защиты информации. Совокупность органов и (или) исполнителей, используемой ими техники защиты информации, а также объектов защиты информации, организованная и функционирующая по правилам и нормам, установленным соответствующими документами в области защиты информации.

Политика безопасности (информации в организации). Совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.

Безопасность информации [данных]. Состояние защищенности информации [данных], при котором обеспечены ее [их] конфиденциальность, доступность и целостность.

К видам защиты информации относятся:

1. Физическая защита информации. Защита информации путем применения организационных мероприятий и совокупности средств, создающих препятствия для проникновения или доступа неуполномоченных физических лиц к объекту защиты.

2. Правовая защита информации. Защита информации правовыми методами, включающая в себя разработку законодательных и нормативных правовых документов (актов), регулирующих отношения субъектов по защите информации, применение этих документов (актов), а также надзор и контроль за их исполнением.

3. Техническая защита информации. ТЗИ: Защита информации, заключающаяся в обеспечении некриптографическими методами безопасности информации (данных), подлежащей (подлежащих) защите в соответствии с действующим законодательством, с применением технических, программных и программно-технических средств.

4. Криптографическая защита информации. Защита информации с помощью ее криптографического преобразования.

Примечания

1 Организационные мероприятия по обеспечению физической защиты информации предусматривают установление режимных, временны х, территориальных, пространственных ограничений на условия использования и распорядок работы объекта защиты.

2 К объектам защиты информации могут быть отнесены: охраняемая территория, здание (сооружение), выделенное помещение, информация и (или) информационные ресурсы объекта информатизации.

К способам защиты информации будут относиться:

С пособ защиты информации. Порядок и правила применения определенных принципов и средств защиты информации.

1. Защита информации от утечки. Защита информации, направленная на предотвращение неконтролируемого распространения защищаемой информации в результате ее разглашения и несанкционированного доступа к ней, а также на исключение (затруднение) получения защищаемой информации [иностранными] разведками и другими заинтересованными субъектами.

Примечание - Заинтересованными субъектами могут быть: государство, юридическое лицо, группа физических лиц, отдельное физическое лицо.

2. З ащита информации от несанкционированного воздействия. ЗИ от НСВ: Защита информации, направленная на предотвращение несанкционированного доступа и воздействия на защищаемую информацию с нарушением установленных прав и (или) правил на изменение информации, приводящих к разрушению, уничтожению, искажению, сбою в работе, незаконному перехвату и копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.

3. Защита информации от непреднамеренного воздействия. Защита информации, направленная на предотвращение воздействия на защищаемую информацию ошибок ее пользователя, сбоя технических и программных средств информационных систем, природных явлений или иных нецеленаправленных на изменение информации событий, приводящих к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.

4. Защита информации от разглашения. Защита информации, направленная на предотвращение несанкционированного доведения защищаемой информации до заинтересованных субъектов (потребителей), не имеющих права доступа к этой информации.

5. Защита информации от несанкционированного доступа. ЗИ от НСД: Защита информации, направленная на предотвращение получения защищаемой информации заинтересованными субъектами с нарушением установленных нормативными и правовыми документами (актами) или обладателями информации прав или правил разграничения доступа к защищаемой информации.

Примечание.

Заинтересованными субъектами, осуществляющими несанкционированный доступ к защищаемой информации, могут быть: государство, юридическое лицо, группа физических лиц, в том числе общественная организация, отдельное физическое лицо.

6. Защита информации от преднамеренного воздействия. ЗИ от ПДВ: Защита информации, направленная на предотвращение преднамеренного воздействия, в том числе электромагнитного и (или) воздействия другой физической природы, осуществляемого в террористических или криминальных целях.

7. Защита информации от [иностранной] разведки. Защита информации, направленная на предотвращение получения защищаемой информации [иностранной] разведкой.

К объекту защиты информации относятся

Объект защиты информации. Информация или носитель информации, или информационный процесс, которые необходимо защищать в соответствии с целью защиты информации.

1. Защищаемая информация. Информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.

Примечание

Собственниками информации могут быть: государство, юридическое лицо, группа физических лиц, отдельное физическое лицо.

2. Носитель защищаемой информации . Физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.

3. Защищаемый объект информатизации. Объект информатизации, предназначенный для обработки защищаемой информации с требуемым уровнем ее защищенности.

4. Защищаемая информационная система . Информационная система, предназначенная для обработки защищаемой информации с требуемым уровнем ее защищенности.

К угрозам безопасности информации

Угроза (безопасности информации). Совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации.

Фактор, воздействующий на защищаемую информацию. Явление, действие или процесс, результатом которого могут быть утечка, искажение, уничтожение защищаемой информации, блокирование доступа к ней.

Источник угрозы безопасности информации. Субъект (физическое лицо, материальный объект или физическое явление), являющийся непосредственной причиной возникновения угрозы безопасности информации.

Уязвимость (информационной системы); брешь . Свойство информационной системы, обусловливающее возможность реализации угроз безопасности обрабатываемой в ней информации.

Примечания

1. Условием реализации угрозы безопасности обрабатываемой в системе информации может быть недостаток или слабое место в информационной системе.

2. Если уязвимость соответствует угрозе, то существует риск .

1. Вредоносная программа. Программа, предназначенная для осуществления несанкционированного доступа к информации и (или) воздействия на информацию или ресурсы информационной системы.

2. Несанкционированное воздействие на информацию : Воздействие на защищаемую информацию с нарушением установленных прав и (или) правил доступа, приводящее к утечке, искажению, подделке, уничтожению, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.

3. Преднамеренное силовое электромагнитное воздействие на информацию : Несанкционированное воздействие на информацию, осуществляемое путем применения источника электромагнитного поля для наведения (генерирования) в автоматизированных информационных системах электромагнитной энергии с уровнем, вызывающим нарушение нормального функционирования (сбой в работе) технических и программных средств этих систем.

4. Модель угроз (безопасности информации). Физическое, математическое, описательное представление свойств или характеристик угроз безопасности информации.

Примечание

Видом описательного представления свойств или характеристик угроз безопасности информации может быть специальный нормативный документ.

К способам оценки соответствия требованиям по защите информации относятся:

Оценка соответствия требованиям по защите информации . Прямое или косвенное определение степени соблюдения требований по защите информации, предъявляемых к объекту защиты информации.

Лицензирование в области защиты информации . Деятельность, заключающаяся в проверке (экспертизе) возможностей юридического лица выполнять работы в области защиты информации в соответствии с установленными требованиями и выдаче разрешения на выполнение этих работ.

Сертификация на соответствие требованиям по безопасности информации. Форма осуществляемого органом по сертификации подтверждения соответствия объектов оценки требованиям по безопасности информации, установленным техническими регламентами, стандартами или условиями договоров.

Примечание

К объектам оценки могут относиться: средство защиты информации, средство контроля эффективности защиты информации.

Мониторинг безопасности информации . Постоянное наблюдение за процессом обеспечения безопасности информации в информационной системе с целью установить его соответствие требованиям безопасности информации.

Анализ информационного риска . Систематическое использование информации для выявления угроз безопасности информации, уязвимостей информационной системы и количественной оценки вероятностей реализации угроз с использованием уязвимостей и последствий реализации угроз для информации и информационной системы, предназначенной для обработки этой информации.

Эффективность защиты информации . Степень соответствия результатов защиты информации цели защиты информации.

Требование по защите информации. Установленное правило или норма, которая должна быть выполнена при организации и осуществлении защиты информации, или допустимое значение показателя эффективности защиты информации.

Показатель эффективности защиты информации . Мера или характеристика для оценки эффективности защиты информации.

Норма эффективности защиты информации . Значение показателя эффективности защиты информации, установленное нормативными и правовыми документами.

2. Основные принципы и условия обеспечения информационной безопасности.

В самом общем смысле информационная безопасность – такое состояние информации и среды, которое исключает вред собственнику или владельцу этой информации. В зависимости от того, кто является собственником, встречаются, например, такие определения:

Анализ того, отчего и в чем может выражаться вред собственнику информации, приводит к стандартной модели безопасности , включающей три категории:

• конфиденциальность;
• целостность;
• доступность.

Конфиденциальность – это доступность информации только определенному кругу лиц.

Целостность – свойство сохранности информация в определенном необходимом виде.

Доступность – возможность использования информации собственником при необходимости.

Информационная безопасность определяется способностью государства, общества, личности:

• обеспечивать с определенной вероятностью достаточные и защищенные информационные ресурсы и информационные потоки для поддержания своей жизнедеятельности и жизнеспособности, устойчивого функционирования и развития;
• противостоять информационным опасностям и угрозам, негативным информационным воздействиям на индивидуальное и общественное сознание и психику людей, а также на компьютерные сети и другие технические источники информации;
• вырабатывать личностные и групповые навыки и умения безопасного поведения;
• поддерживать постоянную готовность к адекватным мерам в информационном противоборстве, кем бы оно ни было навязано.

Цели и задачи системы информационной безопасности

Целью защиты информации является сведение к минимуму потерь, вызванных нарушением целостности данных, их конфиденциальности или недоступности информации для потребителей.

Основными задачами системы информационной безопасности (ИБ) являются:

• своевременное выявление и устранение угроз безопасности ресурсам, причин и условий, способствующих финансовому, материальному и моральному ущербу;
• создание механизма и условий оперативного реагирования на угрозы безопасности;
• эффективное пресечение посягательств на ресурсы и угроз персоналу на основе правовых, организационных и инженерно-технических мер и средств обеспечения безопасности;
• создание условий для минимизации и локализации возможного ущерба, ослабления негативного влияния последствий.

Для формирования более детального представления необходимо знание основных принципов организации системы информационной безопасности.

Первым и наиболее важным является принцип непрерывного совершенствования системы информационной безопасности . Суть этого принципа заключается в постоянном выявлении слабых мест системы, которые возникают от изменения характера внутренних и внешних угроз.

Вторым является принцип комплексного использования всех доступных средств защиты во всех структурных элементах организации и на всех этапах работы с информацией. Комплексный характер защиты информации проистекает, прежде всего, из того, что злоумышленники всегда ищут самое слабое звено в системе безопасности.

Важными условиями обеспечения безопасности являются:

• законность,
• достаточность,
• соблюдение баланса интересов личности и организации,
• профессионализм представителей службы безопасности,
• подготовка пользователей и соблюдение ими всех установленных правил сохранения конфиденциальности,
• взаимная ответственность персонала и руководства,
• взаимодействие с государственными правоохранительными органами.

Требования к защите информации

С позиций системного подхода для реализации приведенных принципов процесс, да и сама система защиты информации должны отвечать некоторой совокупности требований .

Защита информации должна быть:

- централизованной ;

необходимо иметь в виду, что процесс управления всегда централизован, в то время как структура системы, реализующей этот процесс, должна соответствовать структуре защищаемого объекта;

Плановой ;

планирование осуществляется для организации взаимодействия всех подразделений объекта в интересах реализации принятой политики безопасности; каждая служба, отдел, направление разрабатывают детальные планы защиты информации в сфере своей компетенции с учетом общей цели организации;

- конкретной и целенаправленной ;

защите подлежат абсолютно конкретные информационной ресурсы, могущие представлять интерес для конкурентов;

Активной ;

защищать информацию необходимо с достаточной степенью настойчивости и целеустремленности. Это требование предполагает наличие в составе системы информационной безопасности средств прогнозирования, экспертных систем и других инструментариев, позволяющих реализовать наряду с принципом «обнаружить и устранить» принцип «предвидеть и предотвратить»;

- надежной и универсальной , охватывать весь технологический комплекс информационной деятельности объекта;

методы и средства защиты должны надежно перекрывать все возможные каналы утечки информации и противодействовать способам несанкционированного доступа независимо от формы представления информации, языка ее выражения и вида носителя, на котором она закреплена;

Нестандартной (по сравнению с другими организациями), разнообразной по используемым средствам;

Открытой для изменения и дополнения мер обеспечения безопасности информации;

- экономически эффективной ;

затраты на систему защиты не должны превышать размеры возможного ущерба.

3. Понятие политики безопасности.

Политика безопасности организации (англ. о rganizational security policies ) – совокупность руководящих принципов, правил, процедур и практических приемов в области безопасности, которые регулируют управление, защиту и распределение ценной информации.

В общем случае такой набор правил представляет собой некий функционал программного продукта, который необходим для его использования в конкретной организации. Если подходить к политике безопасности более формально, то она есть набор неких требований к функционалу системы защиты, закрепленных в ведомственных документах.

Политикой безопасности можно назвать и простые правила использования ресурсов (уровень руководителей), и описания всех соединений и их особенностей (уровень инженерно-технического состава). В данном учебнике рассмотрена только зона ответственности руководителя в формировании политики безопасности, прежде всего, планирование защиты информационной системы. Именно участие руководителя, а не только технических специалистов, в разработке политики безопасности позволяет учесть целесообразное и выверенное, с точки зрения конкретных функциональных обязанностей, распределение информации.

Действия по управлению сложными организационно-техническими системами должны быть спланированы. Планирование информационной безопасности начинается после проведения анализа рисков и выбора средств защиты информации в соответствии с их ранжированием. Планирование – это процесс разработки пакета руководящих документов по реализации избранной политики информационной безопасности.

Принципиально план защиты включает в себя две группы мероприятий – по построению (формированию) системы защиты и по использованию сформированной системы для защиты информации.

Цель планирования:

• координация деятельности соответствующих подразделений по обеспечению информационной безопасности;
• наилучшее использование всех выделенных ресурсов;
• предотвращение ошибочных действий, могущих привести к снижению возможности достижения цели.

Различают два вида планирования : стратегическое или перспективное и тактическое или текущее.

Стратегическое планирование заключается в определении (без детальной проработки) средств и способов достижения конечных целей, в том числе необходимых ресурсов, последовательности и процедуры их использования.

Тактическое планирование заключается в определении промежуточных целей на пути достижения главных. При этом детально прорабатываются средства и способы решения задач, использования ресурсов, необходимые процедуры и технологии.

Точную границу между стратегическим и тактическим планированием провести трудно. Обычно стратегическое планирование охватывает в несколько раз больший промежуток времени, чем тактическое; оно имеет гораздо более отдаленные последствия; шире влияет на функционирование управляемой системы в целом.

С тактическим планированием связано понятие оперативного управления. Оперативное управление обеспечивает функционирование системы в соответствии с намеченным планом и заключается в периодическом или непрерывном сравнении фактически полученных результатов с намеченными планами и последующей их корректировкой.

Отклонения системы от намеченных планов могут оказаться такими, что для эффективного достижения цели целесообразно произвести перепланирование, либо такой исход должен быть предусмотрен на стадии планирования.

Планирование включает в себя определение, разработку или выбор:

• конечных и промежуточных целей и обоснование задач, решение которых необходимо для их достижения;
• требований к системе защиты информации;
• средств и способов функциональной схемы защиты информации с учетом стоимости и привлечения других ресурсов;
• совокупности мероприятий защиты, проводимых в различные периоды времени;
• порядка ввода в действие средств защиты;
• ответственности персонала;
• порядка пересмотра плана и модернизации системы защиты;
• совокупности документов, регламентирующих деятельность по защите информации.

Политика информационной безопасности определяет облик системы защиты информации – совокупности правовых норм, организационных (правовых) мер, комплекса программно-технических средств и процедурных решений по рациональному использованию вычислительных и коммуникационных ресурсов, направленных на противодействие угрозам с целью исключения (предотвращения) или минимизации возможных последствий проявления информационных воздействий.

Политика безопасности должна гарантировать , что для каждого вида проблем существует ответственный исполнитель . В связи с этим ключевым элементом политики безопасности является доведение до каждого сотрудника его обязанностей по поддержанию режима безопасности.

Требование учета стоимостных ограничений находит отражение в спецификациях средств реализации плана защиты информации . В них определяются общие затраты на обеспечение информационной безопасности объекта согласно предъявляемым требованиям по защищенности.

Нужно уметь четко ответить на следующие вопросы:

• Сколько компьютеров (вспомогательного оборудования) установлено в организации? Сколько их на рабочих местах, сколько в ремонте, сколько в резерве.
• Можно ли узнать каждый компьютер «в лицо»?
• Можно ли обнаружить «маскарад» оборудования, когда какой-нибудь компьютер или его часть, или программное обеспечение подменены?
• Какие задачи и с какой целью решаются на каждом компьютере?
• Есть ли уверенность в необходимости каждой единицы контролируемого оборудования и в том, что среди него нет ничего лишнего, установленного, скажем, для красоты? Ведь если от оборудования нет пользы, с точки зрения безопасности от него можно ожидать только вреда.
• Каков порядок ремонта и технической профилактики компьютеров?
• Как проверяется оборудование, возвращаемое из ремонта, перед установкой на рабочее место?
• Как производится изъятие и передача компьютеров в подразделения и каков порядок приема в работу нового оборудования?

Список вопросов можно продолжить. Аналогичные вопросы можно задать и относительно программного обеспечения и персонала.

Другими словами, защита информации начинается с постановки и решения организационных вопросов . Те, кому уже приходилось на практике заниматься вопросами обеспечения информационной безопасности в автоматизированных системах, отмечают следующую особенность – реальный интерес к проблеме защиты информации, проявляемый менеджерами верхнего уровня, на уровне подразделений, отвечающих за работоспособность автоматизированной системы, сменяется на резкое неприятие.

Как правило, приводятся следующие аргументы против проведения работ и принятия мер по обеспечению информационной безопасности:

• появление дополнительных ограничений для пользователей, затрудняющие использование и эксплуатацию автоматизированной системы организации;
• необходимость дополнительных материальных затрат как на проведение таких работ, так и на расширение штата специалистов, занимающихся проблемой информационной безопасности.
• Экономия на информационной безопасности может выражаться в различных формах, крайними из которых являются:
• принятие только организационных мер обеспечения безопасности информации;
• использование только дополнительных технических средств защиты информации.

В первом случае, как правило, разрабатываются многочисленные инструкции, приказы и положения, призванные в критическую минуту переложить ответственность с людей, издающих эти документы на конкретных исполнителей. Естественно, что требования таких документов (при отсутствии соответствующей технической поддержки) затрудняют повседневную деятельность сотрудников организации и, как правило, не выполняются.

Во втором случае, приобретаются и устанавливаются дополнительные технические средства. Их применение без соответствующей организационной поддержки только усиливает существующий беспорядок.

Комплекс мероприятий, необходимых для реализации защиты информации на объекте по времени проведения

Рассмотрим комплекс организационных мер , необходимых для реализации защиты информации в компьютерных сетях. С одной стороны, эти меры должны быть направлены на обеспечение правильности функционирования механизмов защиты и выполняться администратором безопасности системы. С другой стороны, руководство организации, эксплуатирующей средства автоматизации, должно регламентировать правила автоматизированной обработки информации, включая и правила ее защиты, а также установить меру ответственности за нарушение этих правил.

По времени проведения:

• разовые (однократно проводимые и повторяемые только при полном пересмотре принятых решений) мероприятия;
• периодически проводимые (через определенное время) мероприятия;
• мероприятия, проводимые при осуществлении или возникновении определенных условий или изменений в самой защищаемой системе или среде (по необходимости);
• постоянно (непрерывно или дискретно в случайные моменты времени) проводимые мероприятия.

Разовые мероприятия:

• общесистемные мероприятия по созданию научно-технических и методологических основ (концепции и других руководящих документов) защиты;
• мероприятия, осуществляемые при проектировании, строительстве и оборудовании вычислительных центров и других объектов (исключение тайного проникновения в помещения, установки аппаратуры и т. п.);
• мероприятия, осуществляемые при проектировании, разработке и вводе в эксплуатацию технических средств и программного обеспечения (проверка и сертификация используемых технических и программных средств, документирование и т. п.);
• разработка и утверждение функциональных обязанностей должностных лиц службы компьютерной безопасности;
• внесение необходимых изменений и дополнений в организационно-распорядительные документы (положения о подразделениях, функциональные обязанности должностных лиц, инструкции пользователей системы и т. п.) по вопросам обеспечения безопасности программно-информационных ресурсов и действиям в случае кризисных ситуаций;
• оформление юридических документов (в форме договоров, приказов и распоряжений руководства организации) по вопросам регламентации отношений с пользователями (клиентами), работающими в автоматизированной системе, между участниками информационного обмена и третьей стороной (арбитражем, третейским судом) о правилах разрешения споров, связанных с применением электронной подписи;
• определение порядка назначения, изменения, утверждения и предоставления конкретным должностным лицам необходимых полномочий по доступу к ресурсам системы;
• разработка правил управления доступом к ресурсам системы (определение перечня задач, решаемых структурными подразделениями организации с использованием компьютерных средств, а также используемых при их решении режимов доступа к данным; перечня файлов и баз данных, содержащих сведения, составляющие коммерческую и служебную тайну; выявление наиболее вероятных угроз для данной системы, выявление уязвимых мест обработки информации и каналов доступа к ней; оценка возможного ущерба, вызванного нарушением безопасности информации);
• организация пропускного режима;
• определение порядка учета, выдачи, использования и хранения съемных носителей информации, содержащих эталонные и резервные копии программ, архивные данные и т. п.;
• организация учета, хранения, использования и уничтожения документов и носителей с закрытой информацией;
• определение порядка проектирования, разработки, отладки, модификации, приобретения, исследования, приема в эксплуатацию, хранения и контроля целостности программных продуктов, а также порядок обновления версий используемых и установки новых системных и прикладных программ на рабочих местах защищенной системы (кто обладает правом разрешения таких действий, кто осуществляет, кто контролирует и что при этом они должны делать);
• создание отделов (служб) компьютерной безопасности или, в случае небольших организаций и подразделений, назначение нештатных ответственных, осуществляющих единое руководство, организацию и контроль за соблюдением всеми категориями должностных лиц требований по обеспечению безопасности программно-информационных ресурсов автоматизированной системы;
• определение перечня регулярно проводимых мероприятий и оперативных действий персонала по обеспечению непрерывной работы и восстановлению вычислительного процесса в критических ситуациях, возникающих из-за несанкционированного доступа, сбоев и отказов техники, ошибок в программах и действиях персонала, стихийных бедствий.

Периодически проводимые мероприятия:

• Распределение и смена реквизитов разграничения доступа (паролей, ключей шифрования и т. п.).
• Анализ системных журналов и принятие мер по обнаруженным нарушениям правил работы.
• Мероприятия по пересмотру правил разграничения доступа пользователей к информации в организации.
• Осуществление анализа состояния и оценки эффективности мер и применяемых средств защиты (периодически с привлечением сторонних специалистов). На основе полученной в результате анализа информации принимать меры по совершенствованию системы защиты.
• Мероприятия по пересмотру состава и построения системы защиты.

Мероприятия, проводимые по необходимости:

• мероприятия, осуществляемые при кадровых изменениях в составе персонала системы;
• мероприятия, осуществляемые при ремонте и модификациях оборудования и программного обеспечения;
• мероприятия по подбору и расстановке кадров (проверка принимаемых на работу, обучение правилам работы с информацией, ознакомление с мерами ответственности за нарушение правил защиты, обучение, создание условий, при которых персоналу было бы невыгодно нарушать свои обязанности и т. д.).

Постоянно проводимые мероприятия:

• противопожарная охрана, охрана помещений, пропускной режим, обеспечение сохранности и физической целостности техники и носителей информации и т. п.;
• явный и скрытый контроль за работой персонала системы;
• контроль за применением мер защиты.

Пересмотр «Плана защиты» рекомендуется производить раз в год. Кроме того, существует ряд случаев, требующих внеочередного пересмотра. К их числу относятся изменения следующих компонентов объекта:

Люди. Пересмотр может быть вызван кадровыми изменениями, связанными с реорганизацией организационно-штатной структуры объекта, увольнением служащих, имевших доступ к конфиденциальной информа ции и т. д.

Техника. Пересмотр «Плана защиты» может быть вызван подключением других сетей, изменением или модификацией используемых средств вычислительной техники или программного обеспечения.

Помещения . Пересмотр «Плана защиты» может быть вызван изменением территориального расположения компонентов объекта.

Документы , регламентирующие деятельность по защите информации, оформляются в виде различных планов, положений, инструкций, наставлений и других аналогичных документов.

Заключение

Итак, мы рассмотрели основные принципы и условия обеспечения информационной безопасности на объекте и связанную с ней политику безопасности. Зарубежный опыт показывает, что эффективной защитой организации от компьютерных преступлений является введение в ней должности специалиста по компьютерной безопасности (администратора по защите информации), либо создание специальных служб безопасности. Наличие такой службы в организации снижает вероятность совершения компьютерных преступлений вдвое. Кроме того, настоятельно рекомендуются следующие организационные меры:

для всех лиц, имеющих право доступа к средствам компьютерной техники (СКТ), должны быть определены категории доступа;

определена ответственность за сохранность информационных ресурсов;

налажен периодический контроль за качеством защиты информации;

проведена классификация информации в соответствии с ее важностью, дифференциация на основе этого мер защиты;

организация физической защиты СКТ.

Помимо организационных мер, существенную роль в борьбе с компьютерными преступлениями могут играть меры технического характера (аппаратные, программные и комплексные). Аппаратные методы предназначены для защиты компьютерной техники от нежелательных случайных физических воздействий и преднамеренных действий с защищаемой информацией. К ним относятся источники бесперебойного питания, устройства экранирования аппаратуры, устройства идентификации личности.

Контрольные вопросы.

1. Перечислите виды защиты информации.
2. Назовите объекты защиты информации и дайте их определения.
3. Назовите способы защиты информации.
4. Назовите свойства информации, составляющие модель информационной безопасности.
5. Назовите основные принципы информационной безопасности.
6. Перечислите условия и требования к защите информации.
7. Дайте определения политики безопасности на объекте и сформулируйте требования, предъявляемые к плану защиты информации.

Литература

Основная :

1. Аполлонский А. В., Домбровская Л. А., Примакин А. И., Смирнова О. Г., Основы информационной безопасности в ОВД: Учебник для вузов. – СПб.: Университет МВД РФ, 2010.
2. Лопатин В. Н. Информационная безопасность России: Человек. Общество. Государство. Фонд «Университет». СПб 2000.

Дополнительная :

1. Васильев А.И., Сальников В.П., Степашин С.В. Национальная безопасность России: конституционное обеспечение. Фонд «Университет». СПб 1999.
2. Исмагилов Р.Ф., Сальников В.П., Степашин С.В. Экономическая безопасность России: концепция – правовые основы – политика. Фонд «Университет». СПб 2001.
3. Доценко С.М., Примакин А.И. Информационная безопасность и применение информационных технологий в борьбе с преступностью: Учебник для вузов. – СПб.: Университет МВД РФ, 2004.

Лекция разработана доцентом кафедры специальных информационных технологий

полковником полиции О.Г. Смирновой

1 ГОСТ Р 50922-2006 Национальный стандарт РФ «Защита информации. Основные термины и определения»

480 руб. | 150 грн. | 7,5 долл. ", MOUSEOFF, FGCOLOR, "#FFFFCC",BGCOLOR, "#393939");" onMouseOut="return nd();"> Диссертация - 480 руб., доставка 10 минут , круглосуточно, без выходных и праздников

240 руб. | 75 грн. | 3,75 долл. ", MOUSEOFF, FGCOLOR, "#FFFFCC",BGCOLOR, "#393939");" onMouseOut="return nd();"> Автореферат - 240 руб., доставка 1-3 часа, с 10-19 (Московское время), кроме воскресенья

Фисун Юлия Александровна. Государственно-правовые основы информационной безопасности в органах внутренних дел: Дис. ... канд. юрид. наук: 12.00.02: Москва, 2001 213 c. РГБ ОД, 61:01-12/635-2

Введение

Глава I. Понятие и правовые основы информационной безопасности . 14

1. Понятие и сущность информационной безопасности 14

2. Основные направления деятельности государства по обеспечению информационной безопасности 35

3. Основные направления формирования законодательства в сфере обеспечения информационной безопасности 55

Глава II. Организационные основы информационной безопасности в органах внутренних дел 89

1. Организация деятельности органов внутренних дел по обеспечению информационной безопасности 89

2. Формы и методы обеспечения информационной безопасности в органах внутренних дел

Заключение 161

Список литературы 166

Приложения 192

Введение к работе

Актуальность темы исследования. Информатизация правоохранительной сферы, основанная на бурном развитии информационных систем, сопровождается существенным ростом посягательств на информацию как со стороны иностранных государств, так и со стороны криминальных структур и граждан. Одной из особенностей процесса информатизации является формирование и использование информационных ресурсов, обладающих соответствующими свойствами достоверности, своевременности, актуальности, среди которых важное значение имеет их безопасность. Это в свою очередь предполагает развитие безопасных информационных технологий, которые должны исходить из приоритетного характера решения проблем обеспечения информационной безопасности. Необходимо отметить, что отставание в решении названных проблем может существенно снизить темпы информатизации правоохранительной сферы.

Таким образом, одной из первоочередных задач, стоящих перед органами внутренних дел, является разрешение противоречий между реально существующим и необходимым качеством защищенности своих информационных интересов (потребностей), т. е. обеспечение их информационной безопасности.

Проблема обеспечения информационной безопасности в органах внутренних дел неразрывно связана с деятельностью государства в информационной сфере, включающую и сферу информационной безопасности. За последний период принято большое количество нормативных правовых актов по вопросам информационного законодательства. Их них лишь немногие относятся к сфере информационной безопасности и при этом касаются лишь общих положений обеспечения безопасности (например Закон РФ "О безопасности"). Само определение "информационная безопасность" впервые появилось в Федеральном законе "Об участии в международном информационном обмене". О защите информации говорится и в Федеральном законе "Об информации, информатизации и защите информации", но без определения понятия защиты информации. Ввиду отсутствия понятий видов информации, не совсем ясно, какую информацию следует защищать.

Принятая в новой редакции Концепция национальной безопасности, приоритетной задачей которой является не только решение вопросов государственной безопасности, но и ее составляющих, ориентирована прежде всего на борьбу с терроризмом. К сожалению, вопросы, связанные с информационной безопасностью, затрагивают только угрозы в информационной сфере. О роли МВД как субъекте обеспечения безопасности вообще ничего не говорится.

Актуальность избранной темы подчеркивает акт принятия Доктрины информационной безопасности Российской Федерации (РФ), в которой впервые было введено определение информационной безопасности РФ, угроз информационной безопасности, методов обеспечения информационной безо- пасности РФ и т. д.

Что же касается вопросов информационной безопасности в органах внутренних дел, то в юридической литературе они, в основном, сводятся к общим положениям: перечисляются угрозы безопасности и называются некоторые методы ее обеспечения, характерные для всей правоохранительной сферы. Организационно-правовые аспекты обеспечения информационной безопасности органов внутренних дел в рамках предлагаемого понятия информационной безопасности рассматриваются неполно.

С учетом вышесказанного предлагается ввести понятие информационной безопасности органов внутренних дел. Информационная безопасность органов внутренних дел представляет собой состояние защищенности ин- о формационной среды, соответствующей интересам органов внутренних дел, при котором обеспечиваются их формирование, использование и возможности развития независимо от воздействия внутренних и внешних информаци онных угроз. При этом с учетом известных определений угрозы под информационной угрозой будем понимать совокупность условий и факторов, создающих опасность информационной среде и интересам органов внутренних дел.

Таким образом, актуальность правового регулирования информационной безопасности в деятельности органов внутренних дел не вызывает сомнений. Для достижения должного уровня нормативно-правового обеспечения информационной безопасности требуется определение ее предметных областей, регулирование отношений субъектов обеспечения с учетом особенностей основных объектов информационной безопасности. Поэтому, по мнению диссертанта, необходимо комплексное исследование не только правового регулирования информационной безопасности на уровне министерств и ведомств, но и исследование состояния и развития нормативной правовой базы в сфере информационной безопасности.

Степень разработанности темы исследования. Проведенный автором анализ результатов исследований ученых позволяет констатировать, что проблемы правового регулирования информационных отношений, обеспечения информационной безопасности и ее компонентов являются актуальными для правовой науки и практики и требуют дальнейшего развития". Значительное количество публикаций посвящено частным проблемам и вопросам правового регулирования отношений в информационной сфере, сфере информационной безопасности, обеспечения безопасности информации, предполагающей ее защиту от хищения, утраты, несанкционированного доступа, копирования, модификации, блокирования и т.п., рассматриваемых в рамках формируемого правового института тайны. Большой вклад в развитие данноо направления внесли отечественные ученые и специалисты: А. Б. Агапов, В. И. Булавин, Ю. М. Батурин, С. А. Волков, В. А. Герасименко, В. Ю. Гай-кович, И. Н. Глебов, Г. В. Грачев, С. Н. Гриняев, Г. В. Емельянов, В. А. Копылов, А. П. Курило, В. Н. Лопатин, А. А. Малюк, А. С. Прудников, С. В. Рыбак, А. А. Стрельцов, А. А. Фатьянов, А. П. Фисун, В. Д. Циганков, Д. С. Черешкин, А. А. Шиверский и др1.

В ходе диссертационного исследования широко использовались новейшие достижения естественных, социально-экономических и технических наук, исторический и современный опыт обеспечения информационной безопасности личности, общества и государства; материалы различных периодических научных изданий, научных, научно-практических конференций и семинаров, труды ученых в области теории права и государства, монографические исследования в области права, информационного законодательства, комплексной защиты информации и информационной безопасности.

Объект и предмет исследования. Объектом исследования является действующая и формирующаяся системы общественных отношений, сложившихся в информационной сфере и сфере информационной безопасности.

Предметом исследования являются международно-правовые акты, содержание Конституции Российской Федерации, нормы отечественного законодательства, регулирующие отношения в области обеспечения информационной безопасности личности, общества и государства, а также содержание правовых норм, регулирующих деятельность органов внутренних дел по обеспечению информационной безопасности.

Цели и задачи исследования. На основе анализа и систематизации действующего законодательства в информационной сфере, информационной безопасности диссертантом были разработаны основы и внедрены научно методические рекомендации по применению правового и организационного инструментария обеспечения информационной безопасности как в деятельности органов внутренних дел, так и в учебном процессе.

В рамках достижения указанной цели были поставлены и решены следующие теоретические и научно-практические задачи: проанализированы и уточнены основные понятия, виды, содержание информации как объекта обеспечения информационной безопасности и правоотношений;

2) систематизированы существующие направления и предложения по формированию правовых и организационных основ информационной безопасности, выявлены и уточнены направления по совершенствованию законодательной базы в области обеспечения информационной безопасности, в том числе и в органах внутренних дел;

3) систематизированы нормативные правовые акты и сформирована структура действующего законодательства в информационной сфере;

4) определено содержание организационных основ деятельности органах внутренних дел по обеспечению информационной безопасности;

5) выявлены организационно-правовые аспекты системы обеспечения информационной безопасности и ее структуры в деятельности органов внутренних дел;

6) проанализированы и выбраны формы и методы обеспечения информационной безопасности в органах внутренних дел в рамках правового регулирования их применения и разработки.

Методологическую основу диссертационного исследования составляют всеобщие философские методы и принципы материалистической диалектики; общенаучные методы сравнения, обобщения, индукции; частно-научные методы: системно-структурный, системно-деятельностный, формально-юридический, сравнительно- правовой и другие методы исследования.

Нормативную базу исследования составляют Конституция Российской Федерации, нормативные правовые акты Российской Федерации в том числе, международное законодательство, нормы различных отраслей права, ведомственные нормативные акты.

Научная новизна диссертационных исследований заключается:

В исследовании проблемы развития правовых и организационных основ обеспечения информационной безопасности в органах внутренних дел с позиций опережающего развития потребностей практики и формирования информационной сферы в условиях широкого внедрения новых информационных технологий и возрастания информационных угроз;

Осмыслении места и роли конституционного права в жизни российского общества, а также дальнейшей перспективы его развития, в рамках государственной политики обеспечения информационной безопасности;

Уточнении системы законодательства государства в области обеспечения информационной безопасности;

Осуществлении систематизации нормативных правовых актов в области информационной безопасности и формировании структуры законодательства в области информационной безопасности личности, общества, государства, в том числе органов внутренних дел;

Разработке предложений по совершенствованию законодательства в сфере информационной безопасности;

Разработке организационно-правовых компонентов системы обеспечения информационной безопасности в органах внутренних дел;

Разработке научно-методических рекомендаций по использованию правового и организационного инструментария обучения обеспечения информационной безопасности в органах внутренних дел и в учебном процессе при подготовке специалистов по правовым основам информационной безопасности.

Основные положения, выносимые на защиту:

1. Определение понятийного аппарата по правовым основам действующего законодательства в области информационной безопасности, в том числе понятия информационной безопасности, позволяющего сформировать представление об информации как объекте обеспечения информационной безопасности и правоотношений, а также сформулировать угрозы безопасности.

Информационная безопасность органов внутренних дел - это состояние защищенности информационной среды, соответствующей интересам органов внутренних дел, при котором обеспечиваются их формирование, использование и возможности развития, независимо от воздействия внутренних и внешних угроз.

2. Проблема обеспечения информационной безопасности на государственном уровне предполагает более глубокое теоретическое и практическое осмысление места и роли конституционного права в жизни российского общества, а также дальнейшей перспективы его развития в рамках следующих направлений:

Совершенствование конституционного законодательства "О государственных состояниях и режимах", в частности в сфере информационной безопасности, и совершенствование на этой основе законодательства субъектов Российской Федерации в этой сфере;

Первоочередная реализация конституционных прав граждан в информационной сфере;

Реализация единой государственной политики в области информационной безопасности, обеспечивающей оптимальный баланс интересов субъектов в информационной сфере и устраняющей пробелы в конституционном законодательстве.

3. Предложения по уточнению основных направлений деятельности государства по формированию законодательства в информационной сфере, включающей сферу информационной безопасности, представляющие собой пути совершенствования нормативно-правовой базы информационного законодательства и позволяющие определить правовые основы деятельности органов внутренних дел в сфере информационной безопасности. Они исходят из совокупности сбалансированных интересов личности, общества и государства в области экономики, социальной, внутриполитической, международной, информационной и иных сферах. В качестве приоритетных выделяются следующие направления:

По соблюдению интересов личности в информационной сфере;

Совершенствованию правовых механизмов регулирования общественных отношений в информационной сфере;

Защите национальных духовных ценностей, норм морали и общественной нравственности.

4. Предлагается усовершенствовать структуру законодательства в области обеспечения информационной безопасности, представляющую собой систему взаимосвязанных элементов, включающих совокупность нормативных и ведомственных актов, позволяющую наглядно представить множество отношений в информационной сфере и сфере информационной безопасности, сложности их регулирования.

5. Организационно-правовые компоненты системы обеспечения информационной безопасности в органах внутренних дел, в том числе содержание организации их деятельности (с позиции ее правового регулирования), представленные структурой необходимых и взаимосвязанных элементов и включающие:

Субъекты обеспечения безопасности Российской Федерации;

Объекты информационной безопасности органов внутренних дел;

Организацию деятельности органов внутренних дел;

Формы, методы и средства обеспечения информационной безопасности.

6. Содержание организации деятельности органов внутренних дел по обеспечению информационной безопасности (с позиции ее правового регулирования), представляющее собой целенаправленный непрерывный процесс в части, касающейся анализа, разработки, проведения правовых, организационных, технических и иных мероприятий, связанных со сферой информационной безопасности, а также обеспечением прав и законных интересов граждан.

Практическая значимость диссертационного исследования заключается:

В использовании предложений при разработке новых нормативных актов и совершенствовании действующего законодательства в информационной сфере деятельности органов государственной власти субъектов Российской Федерации, ведомств, министерств;

Повышении эффективности деятельности органов внутренних дел по обеспечению информационной безопасности;

Совершенствовании подготовки специалистов в системе высшего профессионального образования, повышении квалификации специалистов в области комплексной защиты информации и правового регулирования информационной безопасности в интересах различных министерств и ведомств на основе разработки варианта учебно-методического обеспечения;

Разработке научно-методических рекомендаций по использованию правового и организационного инструментария обучения обеспечения информационной безопасности в учебном процессе, позволяющих обеспечить необходимый уровень подготовки специалистов по правовым основам информационной безопасности.

Апробация, внедрение результатов исследований и публикации.

Теоретические положения, выводы, предложения и практические рекомендации, изложенные в настоящем исследовании, докладывались и обсуждались на 8 и 9 Международных конференциях в Академии управления МВД

России "Информатизация правоохранительных систем" (г. Москва, 1999-2000 гг.), Межвузовской региональной конференции "Всеобщая декларация прав человека: проблемы совершенствования российского законодательства и практика его применения" в Академии управления МВД России (г. Москва, 1999 г.), научном семинаре "Проблемы федерализма в развитии российской государственности" и Международной научно-практической конференции "Правоохранительная деятельность на транспорте: итоги и перспективы", проводимых на базе Орловского юридического института МВД России (г. Орел, 1999 г.). По результатам исследования были опубликованы восемь научных работ общим объемом 8 печатных листов.

Структура и объем диссертации обусловлены логикой проведенного исследования и состоят из введения, двух глав, заключения списка использованной литературы и приложения.

Понятие и сущность информационной безопасности

Составной частью предмета науки и научных исследований, в том числе и развивающегося научного направления защиты информации и правового регулирования информационной безопасности, является его понятийный аппарат. Естественно, что одним из центральных понятий в этой предметной области является понятие "информация"1, которое может быть отнесено к абстрактным категориям и первичным понятиям. Анализ вышеназванного понятия дает представление его понимания в общесистемном, философском смысле (информация есть отражение материального мира)А до наиболее узкого, технократического и прагматического смысла (информация есть все сведения, являющиеся объектом хранения, передачи и преобразования) .

В ряде работ под информацией понимаются определенные свойства материи, воспринимаемые управляющей системой как из окружающего внешнего материального мира, так и из процессов, происходящих в самой системе. Существует взгляд отождествляющих понятий "информация" и "сообщение", в котором информация определяется как существенная для получателя часть сообщения, а сообщение - как материальный носитель информации, один из конкретных элементов конечного или бесконечного множества, передаваемых по каналу связи и воспринимаемых на приемном конце системы связи некоторым получателем.

Можно в какой-то степени обратиться к известному содержанию понятия "информация", определенному Р. Шенноном, где информацией называют количество непредсказуемого, содержащегося в сообщении. Количество есть мера того нового, которое данное сообщение вносит в сферу, окружающую получателя.

В Федеральном законе "Об информации, информатизации и защите информации" приводится достаточно обобщенная дефиниция данного понятия и ее производных. Так, информация представляется как сведения о предметах, объектах, явлениях, процессах, независимо от формы их представления. Это родовое понятие информации используется и для формирования его производных дефиниций, используемых в других нормативных правовых актах1 . Рассмотрим некоторые из них более подробно.

Документированная информация (документы) - зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать.

Конфиденциальная информация - документированная информация, доступ к которой ограничивается в соответствии с законодательством.

Массовая информация - предназначенные для неограниченного круга лиц печатные, аудиосообщения, аудиовизуальные и иные сообщения и материалы.

Информационные ресурсы - отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других видах информационных систем).

Информационные продукты (продукция) - документированная информация, подготовленная в соответствии с потребностями пользователей и предназначенная или применяемая для удовлетворения потребностей пользователей.

Государственная тайна - защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации.

Компьютерная информация - информация на машинном носителе, в ЭВМ, системе ЭВМ или их сети".

В статье 128 Гражданского кодекса информация определяется как объект гражданских правоотношений. Анализируя информацию с этих позиций, необходимо обращать внимание на аспект, связанный с юридической защитой информации как объекта права собственности5. Такой подход к информации объясняется тем, что, с одной стороны, историческим и традиционным объектом права собственности является материальный объект, с другой -информация, не являясь материальным объектом окружающего мира, неразрывно связана с материальным носителем: это мозг человека или отчужденные от человека материальные носители (книга, дискета и др.)

Рассматривая информацию как отражение действительности объектом окружающего мира, можно говорить об информации как об абстрактной субстанции, которая существует сама по себе, но для нас ни хранение, ни передача информации без материального носителя невозможны. Известно, что информация, с одной стороны, как объект права собственности копируема (тиражируема) за счет материального носителя1, с другой - как объект права собственности легко перемещается от одного к следующему субъекту права собственности без очевидного (заметного) нарушения права собственности на информацию. Но перемещение материального объекта права собственности неизбежно и, как правило, влечет за собой утрату этого объекта первоначальным субъектом права собственности. При этом очевидно нарушение его права собственности. Необходимо отметить, что нарушение этого права имеет место лишь в случае неправомерного перемещения того или иного материального объекта1. Опасность копирования и перемещения информации усугубляется тем, что она обычно отчуждаема от собственника, т. е. хранится и обрабатывается в сфере доступности большого числа субъектов, не являющихся субъектами права собственности на эту информацию. Сюда относятся, например, автоматизированные системы, в том числе и сети. Возникает сложная система взаимоотношений между субъектами права собственности, обусловливающая способы их реализации, и, следовательно, направления формирования системы правовой защиты, которые обеспечивают предотвращение нарушений прав собственности на информацию.

Проанализировав особенности информации как объекта права собственности, можно сделать вывод, что в остальном информация ничем не отличается от традиционных объектов права собственности. Проведенный анализ содержания информации, в том числе и как объекта права, позволил выделить ее основные виды, подлежащие правовой защите (прил. 1): - сведения, отнесенные к государственной тайне уполномоченными органами на основании Закона РФ "О государственной тайне"; - конфиденциальная документированная информация - собственника информационных ресурсов или уполномоченного лица на основании Федерального закона "Об информации, информатизации и защите информации "; - персональные данные.

Основные направления деятельности государства по обеспечению информационной безопасности

Тенденции конституционного развития таковы, что они акцентируют внимание на проблему природы конституционного законодательства. Наряду с актуальными в настоящее время вопросами приоритета прав и свобод человека гражданского общества, власти и ее организации на первое место выходит проблема "государственных режимов и состояний" - обеспечение безопасности (информационной безопасности как составной части), обороны, чрезвычайного положения и т. п.1

Необходимость конституционного регулирования обеспечения информационной безопасности очевидна. Ведь информационная безопасность личности - это ни что иное, как защищенность конституционных прав и свобод человека. А одним из направлений государственной политики в сфере информационной безопасности являются соблюдение и реализация конституционных прав человека и гражданина в рассматриваемой сфере. Во-первых, согласно Закону РФ " О безопасности" безопасность достигается проведением единой государственной политики в области обеспечения безопасности. Очевидно, что и информационная безопасность достигается проведением государственной политики в области обеспечения информационной безопасности РФ. Названная политика в свою очередь определяет основные направления деятельности государства в обсуждаемой сфере и заслуживает определенного внимания.

Во-вторых, актуальность исследования основных направлений деятельности государства в рассматриваемой сфере обусловливается следующим: - необходимостью развития и совершенствования конституционного законодательства, обеспечивающего оптимальное сочетание приоритетов интересов личности, ведомств и в целом государства в рамках одного из направлений по обеспечению информационной безопасности; - совершенствованием деятельности государства по реализации своих функций обеспечения безопасности всех субъектов информационных отношений; - потребностью граждан в защите своих интересов в информационной сфере; - необходимостью формирования единого правового поля в сфере информационных отношений. Развитие государственной политики в сфере обеспечения информационной безопасности находит свое отражение в последовательной разработке и развитии Концепции национальной безопасности Российской Федерации. Ее особенностями являются следующие положения: - ни одна сфера жизни современного общества не может функционировать без развитой информационной структуры; - национальный информационный ресурс является в настоящее время одним из главных источников экономической и военной мощи государства; - проникая во все сферы деятельности государства, информация приобретает конкретные политическое, материальное и стоимостное выражения; - все более актуальный характер приобретают вопросы обеспечения информационной безопасности Российской Федерации как неотъемлемого элемента ее национальной безопасности, а защита информации превращается в одну из приоритетных государственных задач; - система национальных интересов России в области экономики, социальной, внутриполитической, международной, информационной сферах, в области военной, пограничной и экологической безопасности определяется совокупностью сбалансированных интересов личности, общества и государства; - государственная политика обеспечения информационной безопасности Российской Федерации определяет основные направления деятельности федеральных органов государственной власти и органов государственной власти субъектов РФ в этой области. Концепция также определяет национальные интересы России в информационной сфере1, которые направлены на сосредоточение усилий общества и государства в решении следующих задач: - соблюдение конституционных прав и свобод граждан в области получения информации и обмена ею; - защита национальных духовных ценностей, пропаганда национального культурного наследия, норм морали и общественной нравственности; - обеспечение права граждан на получение достоверной информации; - развитие современных телекоммуникационных технологий.

Планомерная деятельность государства по реализации указанных задач позволит Российской Федерации стать одним из центров мирового развития и формирования информационного общества, обеспечивающего потребности личности, общества, государства в информационной сфере, в том числе их защиту от разрушающего воздействия информации для манипулирования массовым сознанием, а также необходимую защиту государственного информационного ресурса от утечки важной политической, экономической, научно-технической и военной информации.

С учетом перечисленных положений можно выделить следующие принципы, на которых должна основываться государственная политика обеспечения информационной безопасности Российской Федерации:

Соблюдение Конституции Российской Федерации, законодательства Российской Федерации, общепризнанных норм международного права при осуществлении деятельности по обеспечению информационной безопасности страны;

Правовое равенство всех участников процесса информационного взаимодействия вне зависимости от их политического, социального и экономического статуса, основывающегося на конституционном праве граждан на свободный поиск, получение, передачу, производство и распространение информации любым законным способом;

Открытость, предусматривающая реализацию функций федеральных органов государственной власти и органов государственной власти субъектов РФ, общественных объединений, включающая информирование общества об их деятельности с учетом ограничений, установленных законодательством Российской Федерации;

Приоритетность развития отечественных современных информационных и телекоммуникационных технологий, производства технических и программных средств, способных обеспечить совершенствование национальных телекоммуникационных сетей, их подключение к глобальным информационным сетям в целях соблюдения жизненно важных интересов Российской Федерации.

Организация деятельности органов внутренних дел по обеспечению информационной безопасности

Для обеспечения информационной безопасности необходимо наличие соответствующих органов, организаций, ведомств и обеспечение их эффективного функционирования. Совокупность этих органов составляет систему безопасности. Для выявления особенностей организации и деятельности органов внутренних дел по обеспечению информационной безопасности рассмотрим систему безопасности в целом.

Согласно Закону Российской Федерации "О безопасности" систему безопасности, а следовательно и информационной безопасности образуют: - органы законодательной, исполнительной и судебной властей; государственные, общественные и иные организации и объединения; граждане, принимающие участие в обеспечении безопасности; - законодательство, регламентирующее отношения в сфере безопасности. Указанный закон закрепляет лишь организационную структуру системы безопасности. Сама же система обеспечения безопасности намного шире. Ее рассмотрение не представляется возможным, так как выходит за рамки диссертационного исследования. Поэтому рассмотрим лишь организационную структуру системы безопасности. Анализ действующих нормативных правовых актов позволил выделить в качестве субъектов обеспечения безопасности, представляющих организационную структуру системы информационной безопасности1, следующие компоненты: - федеральные органы государственной власти; органы государственной власти субъектов Российской Федерации; органы местного самоуправления, решающие задачи в области обеспечения информационной безопасности в пределах своей компетенции; - государственные и межведомственные комиссии и советы, специализирующиеся на решении проблем обеспечения информационной безопасности; - структурные и межотраслевые подразделения по защите конфиденциальной информации органов государственной власти Российской Федерации, а также структурные подразделения предприятий, осуществляющие работы с использованием сведений, отнесенных к государственной тайне, или специализирующиеся на проведении работ в области защиты информации; - научно-исследовательские, проектные и конструкторские организации, выполняющие работы по обеспечению информационной безопасности; - учебные заведения, осуществляющие подготовку и переподготовку кадров для работы в системе обеспечения информационной безопасности; - граждане, общественные и иные организации, обладающие правами и обязанностями по обеспечению информационной безопасности в установленном законом порядке;

Основными функциями рассмотренной системы информационной безопасности Российской Федерации являются1: - разработка и реализация стратегии обеспечения информационной безопасности; - создание условий для реализации прав граждан и организаций на разрешенную законом деятельность в информационной сфере; - оценка состояния информационной безопасности в стране; выявление источников внутренних и внешних угроз информационной безопасности; определение приоритетных направлений предотвращения, парирования и нейтрализации этих угроз; - координация и контроль деятельности системы обеспечения информационной безопасности; - организация разработки федеральных и ведомственных программ обеспечения информационной безопасности и координация работ по их реализации; - проведение единой технической политики в области обеспечения информационной безопасности; - организация фундаментальных, поисковых и прикладных научных исследований в области информационной безопасности; - обеспечение контроля за созданием и использованием средств защиты информации посредством обязательного лицензирования деятельности в области защиты информации и сертификации средств защиты информации; - осуществление международного сотрудничества в сфере информационной безопасности, представление интересов Российской Федерации в соответствующих международных организациях.

Анализ структуры и функций системы информационной безопасности, с учетом сложившейся системы разделения властей, позволил выявить следующее: 1) основной целью системы информационной безопасности является защита конституционных прав и свобод граждан; 2) государство является главным и основным субъектом обеспечения информационной безопасности; 3) общее руководство субъектами обеспечения информационной безопасности в рамках определенных полномочий осуществляет Президент Российской Федерации. К его полномочиям в сфере обеспечения информационной безопасности относятся: - осуществление руководства и взаимодействия органов государственной власти; - контроль и координация деятельности органов обеспечения информационной безопасности; - определение жизненно важных интересов Российской Федерации в информационной сфере; - определение внутренних и внешних угроз этим интересам; - определение основных направлений стратегии обеспечения информационной безопасности. 4) Федеральное Собрание Российской Федерации формирует на основе Конституции Российской Федерации законодательную базу в сфере информационной безопасности; 5) Правительство Российской Федерации в пределах своих полномочий обеспечивает руководство государственными органами обеспечения информационной безопасности, организует и контролирует разработку и реализацию мероприятий по обеспечению информационной безопасности министерствами и другими подведомственными ему органами; 6) органы судебной власти также являются субъектами обеспечения информационной безопасности. Они обеспечивают судебную защиту граждан, права которых были нарушены в связи с деятельностью по обеспечению информационной безопасности, осуществляют правосудие по делам о преступлениях в информационной сфере; 7) особая роль в обеспечении безопасности государства, в том числе и информационной безопасности, принадлежит Совету безопасности Российской Федерации. Это конституционный орган, не обладающий статусом федерального органа исполнительной власти, но наделенный достаточными полномочиями в сфере обеспечения безопасности. Совет безопасности является единственным совещательным органом при Президенте Российской Федерации, создание которого предусмотрено действующей Конституцией.

Формы и методы обеспечения информационной безопасности в органах внутренних дел

Рассмотренные в предыдущем параграфе вопросы организации системы защиты, в том числе направления обеспечения информационной безопасности, предполагают уточнение содержания задач обеспечения информационной безопасности, методов, средств и форм их решения.

Формы, методы и средства рассматриваются через призму правового регулирования деятельности по обеспечению информационной безопасности, которая неразрывно связана с ними, и следовательно, требует уточнения и определения правовых границ их использования. Кроме того, решение любой теоретической или практической задачи невозможно без определенных способов - методов и средств.

Выбор соответствующих методов и средств обеспечения информационной безопасности предлагается предпринимать в рамках создания такой системы защиты информации, которая гарантировшіа бы признание и защиту основных прав и свобод граждан; формирование и развитие правового государства, политической, экономической, социальной стабильности общества; сохранение национальных ценностей и традиций.

При этом такая система должна обеспечивать защиту информации, включающую сведения, составляющие государственную, коммерческую, служебную и иные охраняемые законом тайны, с учетом особенностей защищаемой информации в области регламентации, организации и осуществления защиты. В рамках этого многообразия видов защищаемой информации, по мнению автора, можно выделить следующие наиболее общие признаки защиты любого вида охраняемой информации1: - защиту информации организует и проводит собственник или владелец информации или уполномоченные им на то лица (юридические или физические); - организация эффективной защиты информации позволяет собственнику защитить свои права на владение и распоряжение информацией, стремиться оградить ее от незаконного владения и использования в ущерб его интересам; - защита информации осуществляется путем проведения комплекса мер по ограничению доступа к защищаемой информации и созданию условий, исключающих или существенно затрудняющих несанкционированный, незаконный доступ к защищенной информации и ее носителям.

Для исключения доступа к защищаемой информации посторонних лиц, собственник информации, осуществляющий ее защиту, в том числе ее засекречивание, устанавливает определенный режим, правила ее защиты, определяет формы и методы защиты. Таким образом, защита информации представляет собой надлежащее обеспечение обращения защищаемой информации в специальной, ограниченной режимными мерами сфере. Это подтверждается рядом подходов известных ученых2, рассматривающих защиту информации как "регулярное использование средств и методов, принятие мер и осуществление мероприятий с целью системного обеспечения требуемой надежности информации

С учетом содержания этого определения, а также других определений понятия защиты информации и выделенных в них основных целей защиты информации, включающих предупреждение уничтожения или искажения информации; предупреждение несанкционированного получения и размножения информации, можно выделить основную задачу защиты информации в органах внутренних дел. Это сохранение секретности защищаемой информации.

В системе комплексной защиты информации решение этой задачи осуществляется относительно уровней защиты и дестабилизирующих факторов. А формирование относительно полного множества задач по этим группам осуществляется на основе анализа объективных возможностей реализации поставленных целей защиты, обеспечивающих требуемую степень информационной безопасности. Учитывая рассмотренные положения, задачи можно разделить на две основные группы:

1) своевременное и полное удовлетворение информационных потребностей, возникающих в процессе управленческой и иной деятельности, то есть обеспечение специалистов органов внутренних дел конфиденциальной информацией;

2) ограждение засекреченной информации от несанкционированного доступа к ней других субъектов.

При решении первой группы задач - обеспечение специалистов информацией - необходимо учитывать, что специалисты могут использовать как открытую, так и конфиденциальную информацию. Обеспечение открытой информацией ничем не ограничивается, кроме ее фактического наличия. При обеспечении секретной информацией действуют ограничения, предусматривающие наличие допуска к информации соответствующей степени секретности и разрешения на доступ к конкретной информации. Анализ действующей практики и нормативных правовых актов, определяющих порядок доступа специалиста к соответствующей информации, позволил выделить ряд противоречий. С одной стороны, максимальное ограничение доступа к засекреченной информации уменьшает вероятность утечки этой информации, с другой - для обоснованного и эффективного решения служебных задач необходимо наиболее полное удовлетворение потребностей специалиста в информации. В обычных, нережимных условиях, специалист имеет возможность использовать в целях решения стоящей перед ним проблемы разнообразную информацию. При обеспечении его засекреченной информацией возможности доступа к ней ограничиваются двумя факторами: его служебным положением и решаемой специалистом в настоящее время проблемой.

Вторая группа задач предполагает защиту конфиденциальной информации от несанкционированного доступа к ней посторонних лиц. Она является общей как для органов внутренних дел, так и для всех органов государственной власти и включает:

1) защиту информационного суверенитета страны и расширение возможности государства по укреплению своего могущества за счет формирования и управления развитием своего информационного потенциала;

2) создание условий эффективного использования информационных ресурсов общества и государства;

3) обеспечение безопасности защищаемой информации: предотвращение хищения, утраты, несанкционированного уничтожения, модификации, блокирования информации;

4) сохранение конфиденциальности информации в соответствии с установленными правилами ее защиты, в том числе предупреждения утечки и несанкционированного доступа к ее носителям, предотвращение ее копирования, модификации и др.;

5) сохранение полноты, достоверности, целостности информации и ее массивов и программ обработки, установленных собственником информации или уполномоченными им лицами.

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

ВВЕДЕНИЕ

1. Основные угрозы безопасности информации

2. Информационная безопасность ОВД

ЗАКЛЮЧЕНИЕ

СПИСОКИ СПОЛЬЗУЕМОЙ ЛИТЕРАТУРЫ

ВВЕДЕНИЕ

Развитие все новых и новых информационных технологий, и поголовная компьютеризация привели к тому, что информационная безопасность становится обязательной, и является одной из характеристик ИС. Имеется сравнительно большой класс систем обработки информации, где фактор безопасности играет не последнюю роль (например, банковские информационные системы).

Безопасность информационной сферы -это защищенность системы от случайного или преднамеренного вмешательства в нормальный процесс ее функционирования, от попыток хищения информации, модификации или физического разрушения ее компонентов. Другими словами, это способ противодействовать разнообразным воздействиям на ИС.

Угроза безопасности информации подразумевает действия, которые ведут к искажению, несанкционированному применению, и возможно даже к разрушению информационных ресурсов или программных и аппаратных средств.

Среди угроз безопасности информации выделяют случайные, или непреднамеренные. Их следствием могут служить, как выход из строя аппаратных средств, так и неправильные действия пользователей, непроизвольные ошибки в программном обеспечении и т.д. Ущерб от них может быть немаловажным и поэтому такие угрозы немаловажно держать во внимании. Но в этой работе мы обратим свое внимание на угрозы умышленные. Они то, в отличие от случайных, имеют цель нанесения ущерба управляемой системе или пользователям. Это делается зачастую ради получения личной выгоды.

Человека, стремящегося расстроить работу информационной системы или получить несанкционированный доступ к информации, как правило называют взломщиком, хакером. Взломщики пытаются найти те источники конфиденциальной информации, которые дадут им достоверную информацию в максимальных объемах с минимальными затратами на ее получение, используя различного рода уловки и приемы. Источником информации иметься в виду материальный объект, располагающий определенными сведениями, и который представляет интерес для злоумышленников или конкурентов. В настоящее время для обеспечения защиты информации необходимо не просто разработать механизмы защиты, а несомненно реализовать системный подход, с использованием взаимосвязанных мер. Сегодня можно утверждать, что рождается новая современная технология -- технология защиты информации в компьютерных информационных системах и в сетях передачи данных. Осуществление этой технологии требует растущих расходов и усилий. Тем не менее с помощью таких мер возможно избежать значительных потерь и ущерба, при реальном осуществлении угроз ИС и ИТ.

Цель работы:

Ознакомиться с информационной безопасностью ОВД.

Задачи:

1. Определить основные угрозы безопасности информации.

2. Рассмотреть классификация угроз информационной безопасности.

1. Основные угрозы безопасности информации

В этой работе рассмотрен более полный охват угроз безопасности субъектов информационных отношений. Тем не менее следует понимать, что научно-технический прогресс не стоит на месте, и это может привести к появлению новых видов угроз, а злоумышленники способны придумать новые способы преодоления систем безопасности, НСД к данным и дезорганизации работы АС. (1)

Под угрозой как правило понимают потенциально допустимое событие или действие, процесс или явление, в следствии которого может произойти ущерб чьим-либо интересам.

К основным угрозам относятся:

* утечка конфиденциальной информации;

* компрометация информации;

* несанкционированное применение информационных ресурсов;

* неправильное применение информационных ресурсов;

* несанкционированный обмен информацией между абонентами;

* отказ от информации;

* нарушение информационного обслуживания;

* незаконное использование привилегий.

Довольно много причин и условий, создающих предпосылки и вероятность неправомерного овладения конфиденциальной информацией, появляется из-за простых недоработок начальства организации и их сотрудников. В настоящее время борьба с информационными инфекциями доставляет значительные трудности, так как помимо рассеянности руководителей имеется и всё время разрабатывается немалое множество вредоносных программ, цель которых является порча БД и ПО компьютеров. Огромное количество разновидностей таких программ не дозволяет разработать постоянных и надежных орудий защиты против них.

Классификация таких программ:

* логические бомбы;

* троянский конь;

* компьютерный вирус;

* захватчик паролей.

Эта классификация не охватывает всех возможных угроз этого типа. А так как существует просто огромное количество угроз, было бы разумнее остановить свой интерес на одном из самых распространенных, таких как компьютерный вирус.

Архитектура системы обработки данных (СОД) и технология ее функционирования разрешает преступнику находить или намеренно формировать лазейки для скрытого доступа к информации, причем разнообразие даже известных фактов злоумышленных действий дает достаточные основания предполагать, что этих лазеек имеется или может быть сформировано немало. (2)

Несанкционированный доступ к информации бывает:

1. Косвенным - без физического доступа к элементам СОД.

2. Прямым - с физическим доступом к элементам СОД.

На сегодняшний день есть следующие пути такого доступа к информации: безопасность информационный внутренний дело

* использование подслушивающих устройств;

*дистанционное фотографирование;

* перехват электромагнитных излучений;

* кража носителей информации и производственных отходов;

* считывание данных;

* копирование носителей информации;

* маскировка под зарегистрированного пользователя при помощи воровства паролей;

* применение программных ловушек;

* приобретение защищаемых данных при содействием серии дозволенных запросов;

* употребление недостатков языков программирования и операционных систем;

* умышленное введение в библиотеки программ особых блоков типа «троянских коней»;

* незаконное подключение к линиям связи вычислительной системы;

* злоумышленный вывод из строя устройств защиты.

АС состоят из основных структурно-функциональных элементов:

* рабочих станций; серверов или Host машин; межсетевых мостов; каналов связи.

С рабочих станций происходит управление обработкой информации, пуск программ, корректировка данных. Они самые доступные компоненты сетей. Вот их и можно использовать при попытке совершения несанкционированных действий.

В защите нуждаются и серверы (Host - машины) и мосты. Первые - как носители немалых объемов информации, а вторые - как элементы, где выполняется преобразование данных при согласовании протоколов обмена в различных участках сети.

2. Информационная безопасность ОВД

В современном мире, выстроенном на повсеместном применении компьютерной техники, совсем поменялся подход к пониманию информации. Появление вычислительных машин информация начал восприниматься как одна из неотъемлемых составляющих жизни любого человека. Наряду с этим, взгляд на информацию изменился от восторженного до обыденного. (3)

Что же такое информация? Почему ей необходима обработка и, тем более, правовая защита?

Информацию можно разделить на правовую и неправовую. Первая бывает нормативная и ненормативная.

Нормативная формируется в последовательности правотворческой деятельности и содержится в нормативных правовых актах. К ней относятся Конституция РФ, Федеральные конституционные законы, Федеральные законы, Законодательные акты субъектов РФ, Указы Президента РФ, Постановления Правительства РФ, разнообразные нормативные акты органов исполнительной власти всех уровней, акты органов местного самоуправления.

Ненормативная формируется в порядке правоприменительной и правоохранительной деятельности. С ее помощью исполнятся предписания нормативных правовых актов. Такая информация подразделяется на несколько больших групп:

1. Информация о состоянии законности и правопорядка:

2. Информация о гражданско-правовых отношениях, договорных и иных обязательствах (договоры, соглашения и т.п.).

3. Информация, представляющая административную деятельность органов исполнительной власти и местного самоуправления по исполнению нормативных предписаний.

4. Информация судов и судебных органов (судебные дела и судебные решения).

5. Правоохранительная информация.

Как видим, информационная безопасность органов внутренних дел- это состояние защищенности интересов ОВД в информационной сфере в соответствии с возложенными на них задачами. (4)

Существенные элементы информационной сферы:

1. ведомственная информация и информационные ресурсы;

2. ведомственная информационная инфраструктура - средства и системы информатизации;

3. субъекты исполнения информационной деятельности - сотрудники органов внутренних дел;

4. система нормативно-правового регулирования.

К особо значимым объектам обеспечения информационной безопасности в правоохранительной и судебной сферах можно отнести:

1. ресурсы федеральных органов исполнительной власти, реализующих правоохранительные функции, судебных органов, их информационно-вычислительных центров, которые содержат сведения и оперативные данные;

2.информационно-вычислительные центры, их информационное, техническое, программное и нормативное обеспечение;

3. информационная инфраструктура.

Наибольшую опасность, в правоохранительной и судебной сферах, несут внешние и внутренние угрозы.

Ко внешним относятся:

*разведывательная деятельность специальных служб иностранных государств, международных преступных сообществ, организаций и групп, которые занимаются сбором сведений о раскрытии задач, планов деятельности, методов работы и мест дислокации специальных подразделений и органов внутренних дел;

* функционирование иностранных государственных и частных коммерческих структур, старающихся обрести несанкционированный доступ.

Внутренними , являются:

*срыв установленного регламента сбора, обработки, хранения и передачи информации, хранящейся в картотеках и автоматизированных банках данных и применяющейся для расследования преступлений;

*дефицит законодательного и нормативного регулирования информационного обмена в правоохранительной и судебной сферах;

*отсутствие целостной методологии сбора, шлифовки информации, а также хранение информации криминалистического, статистического и оперативно-розыскного характера;

*сбои программного обеспечения в информационных системах;

*умышленные поступки, а также погрешности персонала, работающего над и ведением картотек и автоматизированных банков данных.

Безопасность информационных ресурсов и информационной инфраструктуры органов внутренних дел выражается через безопасность их наиболее важных свойств. Так как субъектам информационных отношений урон может быть причинен воздействием на процессы и средства обработки критичной для них информации, то полной необходимостью становиться обеспечение защиты всей системы информации от незаконного вторжения, способов хищения и/или разрушения любых компонентов данной системы в процесс ее деятельности.

Безопасность каждого компонента автоматизированной системы (АС) формируется из обеспечения трех его характеристик:

*конфиденциальности, которая заключается в доступности только тем субъектам (пользователям, программам, процессам), у которых имеются особые полномочия.

*целостности - свойство информации, характеризующееся умением противостоять несанкционированному или непроизвольному истреблению, или искажению.

* доступности, получить доступ к необходимому компоненту системы при наличии соответствующих полномочий возможно в любое время без особых проблем.

Нарушение таковых характеристик, представляет собой угрозы для информационной безопасности органов внутренних дел.

Еще раз подчеркнем, что важнейшей целью защиты АС и, соответственно вращающейся в ней информации выражается в предотвращение или минимизация наносимого ущерба, а также разглашения, искажения, утраты или противозаконного тиражирования информации.

Средствами обеспечения информационной безопасности - это совокупность правовых, организационных и технических средств, предназначенных для обеспечения информационной безопасности. (5)

Все средства обеспечения информационной безопасности можно разделить на две группы:

*формальные - это средства выполняющие свои функции по защите информации формально, то есть главным образом без участия человека.

*неформальные это те, основу которых составляет деятельность людей.

Формальные средства делятся на физические, аппаратные и программные.

Физические - механические, электрические, электронные, электронно-механические и устройства и системы, которые работают автономно, создавая различного рода препятствия на пути дестабилизирующих факторов.

Аппаратные - это те, которые схемно встраиваемые в аппаратуру системы обработки данных намеренно для решения задач по защите информации.

Так, наряду с вышеперечисленным, проводиться ряд мероприятий, необходимых для реализации защиты информации. К ним относятся такие:

* Распределение и замена реквизитов разграничения доступа (паролей, ключей шифрования и т. п.).

* Мероприятия по пересмотру состава и построения системы защиты.

*Исполняемые при кадровых изменениях в составе персонала системы;

*По подбору и расстановке кадров (контроль принимаемых на работу, обучение правилам работы с информацией, ознакомление с мерами ответственности за нарушение правил защиты, обучение, организация условий, при которых персоналу было бы невыгодно нарушать свои обязанности и т. д.).

*Противопожарная охрана, охрана помещений, пропускной режим, меры по обеспечение сохранности и физической целостности техники и носителей информации и т. п.;

* Открытая и скрытая проверка за работой персонала системы;

* Проверка за использованием мер защиты.

*Мероприятия по пересмотру правил разграничения доступа пользователей к информации в организации.

И еще ряд других мероприятий, направленных на защиту секретной информации. Помимо организационных мер, немаловажную роль имеют всевозможные меры технического характера (аппаратные, программные и комплексные

Из этой работы мы уже поняли, что в органах внутренних дел уделяется особое внимание вопросам сохранности тайных сведений, вырабатыванию у работников большой бдительности. Тем не менее отдельными из них часто недооценивается тяжесть утечки таких сведений. Они проявляют недобросовестное отношение и халатность при обращении с секретными документами, и это часто ведет к разглашению тайных сведений, а порой к потере секретных изделий и документов. При этом некоторыми работниками поддерживают сомнительные связи, разглашают важные сведения о методах и формах работы органов внутренних дел. Низкие профессиональные качества некоторых работников часто ведут к нарушению конспирации проводимых мероприятий.

ЗАКЛЮЧЕНИЕ

Статистика свидетельствует, что во всех странах ущербы от злостных действий непрерывно растут. Причем существенные причины связаны с отсутствием системного подхода. Вследствие этого нужно улучшать комплексные средства защиты. Одной из важнейших задач для является организация антивирусной защиты автономных рабочих станций, локальных и корпоративных компьютерных сетей, которые обрабатывают информацию ограниченного доступа.

Можно выделить, что обеспечение информационной безопасности является комплексной задачей. Это определено тем, что информационная среда это не простой механизмом, где работают такие компоненты, как электронное оборудование, программное обеспечение, персонал. (6)

С целью решения данной проблемы необходимо использование законодательных, организационных и программно-технических мер. Пренебрежение хотя бы одним из пунктов может привести к потере или утечке информации, цена и роль которой в жизни современного общества завоевывает все более существенный смысл.

Применение более эффективных информационных систем проявляется в обязательном условием удачной деятельности современных организаций и предприятий. Безопасность информации - это один из важнейших показателей качества информационной системы. Можно сказать, что наиболее удачными методами в автоматизированных системах являются вирусные атаки. На их долю приходится около 57% инцидентов с безопасностью информации и около 60% реализованных угроз из числа зафиксированных и попавших в статистические обзоры.

СПИСОК ИСПОЛЬЗУЕМОЙ ЛИТЕРАТУРЫ

1. Белоглазов Е.Г. и др. Основы информационной безопасности органов внутренних дел: Учебное пособие. - М.: МосУ МВД России, 2012.

2. Емельянов Г. В., Стрельцов А. А. Информационная безопасность России. Основные понятия и определения. Учебное пособие / Под общ. ред. проф. А. А. Прохожева. М.: РАГС при Президенте РФ, 2009.

3. Зегжда Д.П., Ивашко А.М. Основы безопасности информационных систем. - М.: Горячая линия-Телеком, 2010.

4. Н.И. Журавленко, В.Е. Кадулин, К.К. Борзунов. Основы информационной безопасности: Учебное пособие. - М.: МосУ МВД России. 2012.

5. Прохода А.Н. Обеспечение интернет-безопасности. Практикум: Учебное пособие для вузов. - М.: Горячая линия-Телеком, 2010.

6. Степанов О. А. Правовые основы обеспечения охранительной функции государства в условиях использования новых информационных технологий: Учебное пособие. М.: Академия управления МВД России, 2012.

Размещено на Allbest.ru

Подобные документы

Внешние угрозы информационной безопасности, формы их проявления. Методы и средства защиты от промышленного шпионажа, его цели: получение информации о конкуренте, уничтожение информации. Способы несанкционированного доступа к конфиденциальной информации.

контрольная работа , добавлен 18.09.2016


Понятие, значение и направления информационной безопасности. Системный подход к организации информационной безопасности, защита информации от несанкционированного доступа. Средства защиты информации. Методы и системы информационной безопасности.

реферат , добавлен 15.11.2011


Основные понятия в сфере информационной безопасности. Характер действий, нарушающих конфиденциальность, достоверность, целостность и доступность информации. Способы осуществления угроз: разглашения, утечки информации и несанкционированного доступа к ней.

презентация , добавлен 25.07.2013


Понятие информационной безопасности, понятие и классификация, виды угроз. Характеристика средств и методов защиты информации от случайных угроз, от угроз несанкционированного вмешательства. Криптографические методы защиты информации и межсетевые экраны.

курсовая работа , добавлен 30.10.2009


Виды внутренних и внешних умышленных угроз безопасности информации. Общее понятие защиты и безопасности информации. Основные цели и задачи информационной защиты. Понятие экономической целесообразности обеспечения сохранности информации предприятия.

контрольная работа , добавлен 26.05.2010


Основные принципы и условия обеспечения информационной безопасности. Защита информации от несанкционированного и преднамеренного воздействия, от утечки, разглашения и иностранной разведки. Цели, задачи и принципы системы ИБ. Понятие политики безопасности.

презентация , добавлен 19.01.2014


Сущность информации, ее классификации и виды. Анализ информационной безопасности в эпоху постиндустриального общества. Исследование проблем и угроз обеспечения информационной безопасности современного предприятия. Задачи обеспечения защиты от вирусов.

курсовая работа , добавлен 24.04.2015


Предпосылки создания системы безопасности персональных данных. Угрозы информационной безопасности. Источники несанкционированного доступа в ИСПДн. Устройство информационных систем персональных данных. Средства защиты информации. Политика безопасности.

курсовая работа , добавлен 07.10.2016


Актуальность вопросов информационной безопасности. Программное и аппаратное обеспечения сети ООО "Минерал". Построение модели корпоративной безопасности и защиты от несанкционированного доступа. Технические решения по защите информационной системы.

дипломная работа , добавлен 19.01.2015


Математические модели характеристик компьютеров возможных нарушителей и угроз безопасности информации в условиях априорной неопределённости. Методика построения комплексной системы защиты информационной сети военного ВУЗа от несанкционированного доступа.

Кафедра информатики и математики

Контрольная работа

«Основы информационной безопасности в органах внутренних дел»

Выполнила:

Бычкова Елена Николаевна

слушатель 2 курса 2 группы

Москва – 2009

План

1. Понятие и цели проведения специальных проверок объектов информатизации; основные этапы проведения проверки

2. Уязвимость компьютерных систем. Понятие несанкционированного доступа (НСД). Классы и виды НСД

2.1 Уязвимость основных структурно-функциональных элементов распределенных АС

2.2 Угрозы безопасности информации, АС и субъектов информационных отношений

2.3 Основные виды угроз безопасности субъектов информационных отношений

Список использованной литературы

1. Понятие и цели проведения специальных проверок объектов информатизации; основные этапы проведения проверки

Объект информатизации - совокупность средств информатизации вместе с помещениями, в которых они установлены, предназначенные для обработки и передачи защищаемой информации, а также выделенные помещения.

Средства информатизации - средства вычислительной техники и связи, оргтехники, предназначенные для сбора, накопления, хранения, поиска, обработки данных и выдачи информации потребителю.

Средства вычислительной техники - электронные вычислительные машины и комплексы, персональные электронные вычислительные машины, в том числе программные средства, периферийное оборудование, устройства телеобработки данных .

Объект вычислительной техники (ВТ) - стационарный или подвижный объект, который представляет собой комплекс средств вычислительной техники, предназначенный для выполнения определенных функций обработки информации . К объектам вычислительной техники относятся автоматизированные системы (АС), автоматизированные рабочие места (АРМ) информационно-вычислительные центры (ИВЦ) и другие комплексы средств вычислительной техники.

К объектам вычислительной техники могут быть отнесены также отдельные средства вычислительной техники, выполняющие самостоятельные функции обработки информации.

Выделенное помещение (ВП) - специальное помещение, предназначенное для проведения собраний, совещаний, бесед и других мероприятий речевого характера по секретным или конфиденциальным вопросам.

Мероприятия речевого характера могут проводиться в выделенных помещениях с использованием технических средств обработки речевой информации (ТСОИ) и без них .

Техническое средство обработки информации (ТСОИ) - техническое средство, предназначенное для приема, хранения, поиска, преобразования, отображения и/или передачи информации по каналам связи.

К ТСОИ относятся средства вычислительной техники, средства и системы связи средства записи, усиления и воспроизведения звука, переговорные и телевизионные устройства, средства изготовления и размножения документов, кинопроекционная аппаратура и другие технические средства, связанные с приемом, накоплением, хранением, поиском, преобразованием, отображением и/или передачей информации по каналам связи.

Автоматизированная система (AC) - комплекс программных и технических средств, предназначенных для автоматизации различных процессов, связанных с деятельности человека. При этом человек является звеном системы.

Специальная проверка это проверка технического средства обработки информации осуществляемая с целью поиска и изъятия специальных электронных закладных устройств (аппаратных закладок).

Аттестат объекта защиты - документ, выдаваемый органом по сертификации или другим специально уполномоченным органом подтверждающий наличие на объекте защиты необходимых и достаточных условий для выполнения установленных требований и норм эффективности защиты информации.

Аттестат выделенного помещения - документ, выдаваемый органом по аттестации (сертификации) или другим специально уполномоченным органом, подтверждающий наличие необходимых условий, обеспечивающих надежную акустическую защищенность выделенного помещения в соответствии с установленными нормами и правилами.

Предписание на эксплуатацию - документ, содержащий требования по обеспечению защищенности технического средства обработки информации в процессе его эксплуатации.

Программа аттестационных испытаний - обязательный для выполнения, организационно-методический документ, устанавливающий объект и цели испытании, виды, последовательность и объем проводимых экспериментов, порядок, условия, место и сроки проведения испытаний, обеспечение и отчетность по ним, а также ответственность за обеспечение и проведение испытаний.

Методика аттестационных испытаний - обязательный для выполнения, организационно методический документ, включающий метод испытаний, средства и условия испытаний, отбор образцов, алгоритм выполнения операций. По определению одной или нескольких взаимосвязанных характеристик защищенности объекта формы представления данных и оценивания точности, достоверности результатов.

Протокол аттестационных испытаний - документ, содержащий необходимые сведения об объекте испытаний, применяемых методах, средствах и условиях испытаний, а также заключение по результатам испытаний, оформленный в установленном порядке.

Основные технические средства и системы (ОТСС) - технические средства и системы, а также их коммуникации, используемые для обработки, хранения и передачи конфиденциальной (секретной) информации.

К ОТСС могут относиться средства и системы информатизации (средства вычислительной техники, автоматизированные системы различного уровня и назначения на базе средств вычислительной техники, в том числе информационно-вычислительные комплексы, сети и системы, средства и системы связи и передачи данных) , технические средства приема, передачи и обработки информации (телефонии, звукозаписи, звукоусиления, звуковоспроизведения переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической видео-, смысловой и буквенно-цифровой информации) используемые для обработки конфиденциальной (секретной) информации.

Вспомогательные технические средства и системы (ВТСС) - технические средства и системы, не предназначенные для передачи, обработки и хранения конфиденциальной информации, устанавливаемые совместно с ОТСС или в выделенных помещениях .

К ним относятся:

Различного рода телефонные средства и системы;

Средства и системы передачи данных в системе радиосвязи;

Средства и системы охранной и пожарной сигнализации;

Средства и системы оповещения и сигнализации;

Контрольно-измерительная аппаратура;

Средства и системы кондиционирования;

Средства и системы проводной радиотрансляционной сети и приема программ радиовещания и телевидения (абонентские громкоговорители, системы радиовещания, телевизоры и радиоприемники и т.д.);

Средства электронной оргтехники.

Подготовка документов по итогам аттестационных испытаний:

По результатам аттестационных испытаний по различным направлениям и компонентам составляются Протоколы испытаний. На основании протоколов принимается Заключение по результатам аттестации с краткой оценкой соответствия объекта информатизации требованиям по безопасности информации, выводом о возможности выдачи "Аттестата соответствия" и необходимыми рекомендациями. В случае если объект информатизации соответствует установленным требованиям по безопасности информации, на него выдается Аттестат соответствия.

Переаттестация объекта информатизации производится в случае, когда на недавно аттестованном объекте были произведены изменения. К таким изменениям может быть отнесено:

Изменение расположения ОТСС или ВТСС;

Замена ОТСС или ВТСС на другие;

Замена технических средств защиты информации;

Изменения в монтаже и прокладке слаботочных и соловых кабельных линии;

Несанкционированное вскрытие опечатанных корпусов ОТСС или ВТСС;

Производство ремонтно-строительных работ в выделенных помещениях и пр.

В случае необходимости переаттестации объекта информатизации повторная аттестация производятся, по упрощенной программе Упрощения заключаются, в том, что испытаниям подвергаются только элементы, подвергшиеся изменениям.

2. Уязвимость компьютерных систем. Понятие несанкционированного доступа (НСД). Классы и виды НСД

Как показывает анализ, большинство современных автоматизированных систем (АС) обработки информации в общем случае представляет собой территориально распределенные системы интенсивно взаимодействующих (синхронизирующихся) между собой по данным (ресурсам) и управлению (событиям) локальных вычислительных сетей (ЛВС) и отдельных ЭВМ .

В распределенных АС возможны все "традиционные" для локально расположенных (централизованных) вычислительных систем способы несанкционированного вмешательства в их работу и доступа к информации. Кроме того, для них характерны и новые специфические каналы проникновения в систему и несанкционированного доступа к информации.

Перечислим основные из особенностей распределенных АС:

· территориальная разнесенность компонентов системы и наличие интенсивного обмена информацией между ними;

· широкий спектр используемых способов представления, хранения и передачи информации;

· интеграция данных различного назначения, принадлежащих различным субъектам, в рамках единых баз данных и, наоборот, размещение необходимых некоторым субъектам данных в различных удаленных узлах сети;

480 руб. | 150 грн. | 7,5 долл. ", MOUSEOFF, FGCOLOR, "#FFFFCC",BGCOLOR, "#393939");" onMouseOut="return nd();"> Диссертация - 480 руб., доставка 10 минут , круглосуточно, без выходных и праздников

Швецов Андрей Владимирович. Защита информации в сфере служебной тайны в деятельности ОВД: 05.13.19 Швецов, Андрей Владимирович Защита информации в сфере служебной тайны в деятельности ОВД (Правовой аспект) : Дис. ... канд. юрид. наук: 05.13.19 Воронеж, 2005 189 с. РГБ ОД, 61:06-12/185

Введение

ГЛАВА 1. Характеристика конфиденциальной информации служебного характера

1.1. Понятие конфиденциальной информации служебного характера 13

1.2. Соотношение служебной тайны с другими видами тайн 31

1.3. Особенности правовой защиты служебной тайны 59

ГЛАВА 2. Правовые меры защиты служебной тайны в деятельности органов внутренних дел

2.1. Дисциплинарные меры защиты служебной тайны 80

2.2. Гражданско-правовые меры защиты служебной тайны 100

2.3. Административно-правовая охрана служебной тайны 118

2.4. Защита служебной тайны нормами уголовного закона 140

Заключение 163

Список использованной литературы

Введение к работе

Актуальность темы исследования. В настоящее время Россия и все мировое сообщество, находится на волне информационного бума. Как свидетельствует международная практика и современная ситуация в России, правовая неурегулированность процессов обмена информации приводит к тому, что общедоступными становятся сведения, которые имеют ограниченный доступ. Это наносит серьезный ущерб не только отдельным гражданам и организациям, но и безопасности всего государства. В этой связи Президентом Российской Федерации была утверждена "Доктрина информационной безопасности Российской Федерации" 1 , которая является, на сегодняшний день, правовым фундаментом для формирования государственной политики в информационной сфере, а ее реализация становится одной из важных задач в деле обеспечения национальной безопасности и правопорядка в стране.

Следует отметить, что основной груз ответственности за обеспечение информационной безопасности ложится на систему органов исполнительной власти, а по отдельным направлениям конкретно на органы внутренних дел.

Не является секретом, что деятельность органов внутренних дел в значительной мере связана с получением и использованием сведений ограниченного доступа, разглашение которых может повлечь нарушение конституционных прав граждан, а также снижение эффективности работы правоохранительных органов по предупреждению, раскрытию и расследованию преступлений.

В процессе осуществления своей деятельности сотрудники органов внутренних дел получают информацию о режиме и характере работы предприятий, расположенных на обслуживаемой территории, сведения, касающиеся личной жизни граждан, а также иную информацию (к примеру, служебного характера). Данная информация, а также сведения об отдельных ме-

"РГ, 28.09.2000, №187.

4 тодах, приемах и результатах работы органов внутренних дел составляют служебную тайну. Разглашение таких сведений, а также утечка информации о планируемых и проводимых органами внутренних дел мероприятиях по охране общественного порядка и борьбе с преступностью нарушает нормальную их деятельность и значительно снижает ее эффективность.

Умение сохранять в тайне сведения служебного характера является важнейшим профессиональным качеством сотрудников органов внутренних дел, необходимым для успешного выполнения стоящих перед ними задач. При этом проявление высокой бдительности считается юридической обязанностью сотрудников органов внутренних дел, закрепленной в законодательных и ведомственных нормативных актах. Однако некоторые сотрудники часто недооценивают опасность утечки таких сведений. Они проявляют граничащую с преступной халатностью беспечность при обращении со служебными документами, что нередко приводит к их утрате и разглашению сведений служебного характера.

На сегодняшний день МВД России придает большое значение мерам по защите служебной информации. Однако все существующие недостатки в работе сотрудников ОВД, а также отсутствие необходимой правовой базы, которая бы обеспечивала должную защиту конфиденциальной информации служебного характера, не позволяют реализовывать механизм устранения, имеющихся нарушений и привлечения виновных лиц к ответственности. И это в тот период, когда приоритетными направлениями развития информационного обеспечения системы МВД России, где необходимо применение мер защиты конфиденциальной информации служебного характера, являются:

Разработка единых правовых, методических, программно-технических и технологических подходов при организации информационного обеспечения органов внутренних дел;

2 Приказ МВД РФ от 13 июня 2002 г. № 562 "Об утверждении Концепции развития информационно-вычислительной системы МВД РФ на 2002-2006 годы" // Справочная система "Гарант". Обновление на октябрь 2005 г.

формирование интегрированных банков данных коллективного пользования оперативно-розыскной и справочной информации на базе современной вычислительной техники с организацией быстрого (не более одной минуты) доступа к ним сотрудников непосредственно с рабочих мест;

создание по единой технологической схеме локальных вычислительных сетей в службах и подразделениях органов внутренних дел с объединением их в региональные информационно-вычислительные сети.

Специалистам МВД РФ поставлена задача в течение кратчайшего периода времени завершить формирование единой методологии сбора, обработки, хранения и защиты информации оперативно-розыскного, справочного, криминалистического и статистического назначения, поэтапно внедрять новые методы работы с информацией. До 2006 года завершить переход на безбумажные технологии сбора, обработки, хранения и передачи служебной информации, обеспечить удаленный доступ к базам и банкам данных общего пользования, а также к федеральным учетам с терминалов, установленных в органах и подразделениях МВД России, создать единую ведомственную информационную сеть.

В планах МВД РФ заложены: разработка новых и совершенствование имеющихся типовых программно-технических решений по компьютеризации системы МВД России; завершение технического перевооружения информационных центров МВД, ГУВД, УВД; оснащение горрайлинорганов внутренних дел современными средствами вычислительной техники; создание единой автоматизированной технологии обработки пофамильной и дактилоскопической карточек федерального и регионального уровней; введение в эксплуатацию федерального интегрированного банка данных пофамильной картотеки и оперативно-розыскных учетов; обеспечение по необходимости выхода автоматизированных информационных систем органов внутренних дел во внешние автоматизированные информационные системы.

Учитывая вышеизложенное, проведение самостоятельного научного исследования по разработке и совершенствованию правовых мер защиты ин-

формации в сфере служебной тайны в деятельности органов внутренних дел представляется актуальным и своевременным.

Степень разработанности темы исследования. Анализ значительного количества источников литературы, посвященной изучению юридической и технической составляющей информационной безопасности, позволяет констатировать, что проблема защиты служебной тайны в деятельности органов внутренних дел является малоизученной, в связи с чем нуждается в отдельной проработке. Имеющиеся на сегодняшний день научные работы, посвященные информационной безопасности и защите информации, лишь частично касаются проблемы защиты служебной тайны в целом и, в частности, в органах внутренних дел, а те публикации, которые включают рассмотрение вопросов регулирования изучаемой сферы, затрагивают только лишь общие проблемы без необходимой конкретизации.

В настоящем исследовании изучены правовые основы отнесения информации к служебной тайне, а также меры, обеспечивающие защиту информации в сфере служебной тайны в деятельности органов внутренних дел. При этом основное внимание уделено доктринальному подходу в изучении юридической защиты служебной тайны в ОВД. Автор диссертационного исследования опирался на достижения теории права и государства, а также на научные результаты, полученные представителями юридических наук, занимающимися проблемами обеспечения информационной безопасности и защиты информации.

Необходимо отметить, что основные положения в установлении правовых основ обеспечения информационной безопасности и защиты информации разработаны такими учеными и специалистами как И. Л. Бачило, А.Б. Венгеров, В.А. Герасименко, СВ. Дворянкин, А.В. Заряев, В.А. Копылов, В.Н. Лопатин, А.А. Малюк, В.А. Минаев, В.А. Пожилых, В.Е. Потанин, М.М. Рассолов, В.Н. Саблин, СВ. Скрыль, А.А. Стрельцов, А.А. Фатьянов, М.А. Федотов, О.А. Федотова, А.П. Фисун, СГ. Чубукова, А.А. Шиверский, В.Д. Элькин и рядом других.

Вместе с тем, проблемы становления и совершенствования правовой защиты служебной тайны в целом и в органах внутренних дел, в частности, предметом отдельного монографического исследования до сего времени не становились.

Объект и предмет исследования. В качестве объекта диссертационного исследования выступает совокупность общественных отношений, складывающихся в процессе правового регулирования обеспечения защиты конфиденциальной информации служебного характера в деятельности органов внутренних дел.

Предметом исследования является изучение содержания понятия «служебная тайна» для определения закономерностей развития правовых норм, регулирующих рассматриваемые отношения в информационной сфере применительно к обеспечению защиты служебной тайны в деятельности органов внутренних дел.

Цель и задачи исследования. Целью диссертационного исследования является комплексное, системное исследование существующей нормативно-правовой базы, регулирующей вопросы защиты конфиденциальной информации служебного характера в деятельности ОВД и разработка предложений по ее совершенствованию.

Для достижения поставленной цели в проведенном исследовании решаются следующие теоретические и научно-практические задачи:

определить сущность и содержание понятий "конфиденциальная информация служебного характера", "служебная тайна" применительно к органам внутренних дел;

проанализировать точки соприкосновения информации, относящейся к служебной тайне, с другими видами сведений ограниченного доступа для установления отличительных признаков;

исследовать проблемы правовой защиты служебной тайны, учитывая как действующие нормативные правовые акты, так и существующие проекты и предложения;

изучить существующий опыт органов внутренних дел и нормативно-правовые акты, обеспечивающие дисциплинарные меры защиты служебной тайны в ОВД;

рассмотреть актуальные проблемы гражданско-правовых мер защиты служебной тайны в деятельности ОВД;

раскрыть основные направления осуществления административно-правовой охраны служебной тайны в деятельности ОВД;

исследовать нормы уголовного закона, которые на сегодняшний день обеспечивают защиту служебной тайны в деятельности ОВД;

Методологическая и источниковедческая основы исследования. Методологическую основу исследования составляет диалектический метод познания, исторический, системный, комплексный, целевой подходы к изучаемой проблеме, а также специальные методы познания: формальнологический, формально-юридический, сравнительно-правовой, а также методы абстрагирования, аналогии и моделирования.

В ходе работы автором диссертации проанализированы следующие источники: Конституция Российской Федерации, международные правовые акты, административное, гражданское, уголовное законодательство, подзаконные акты федерального уровня, а также иной юридический и технический материал. Изучены материалы статей, докладов, инспекторских проверок, посвященные анализу опыта работы секретариатов, специальных библиотек и других подразделений органов внутренних дел.

Теоретическую основу диссертации составили труды отечественных и зарубежных правоведов по проблемам защиты информации, а также ученых по теории права, конституционного, административного, трудового, уголовного, гражданского права, науки управления и иных научных дисциплин, относящихся к теме исследования. Кроме этого, в работе использованы науч-

9 ные разработки по философии, социологии, политологии, что позволило избежать узкоспециального подхода к изучаемым проблемам. Положения, выносимые на защиту:

1. Исследованные и предложенные автором, имеющие научно-
методологическое значение для развития и совершенствования доктриналь-
ного понимания проблемы, определения научных категорий "конфиденци
альная информация", "служебная тайна", а также установленное соотноше
ние терминов "служебная информация" и "служебная тайна".

Обоснование положения о том, что, формируя балансировочные механизмы между реализацией права граждан на доступ к информации о деятельности органов государственной власти и правом последних на ограничение доступа в интересах обеспечения государственных интересов, следует остановиться на формировании общеведомственных перечней, выработав законодательно лишь общие принципы, общие критерии, по которым доступ к сведениям возможно ограничивать. Но то, что, несомненно, необходимо законодательно закрепить, так это перечень сведений, которые не дозволяется относить к служебной тайне.

Вывод о том, что сведения, полученные сотрудниками органов внутренних дел Российской Федерации в процессе реализации своих полномочий, должны быть признаны конфиденциальной информацией и составлять служебную тайну ОВД. Доступ к такой информации, ее правовой режим и условия защиты необходимо регламентировать нормативно-правовыми актами в разных отраслях законодательства, где неизбежно пересечение с другими видами тайн, в связи чем необходимо четко установить свойства и признаки, отличающие служебную тайну от других видов тайн. Такое разделение юридически необходимо, чтобы окончательно определиться с институтом служебной тайны и исключить путаницу в толковании норм правовых актов.

Заключение о том, что в условиях резкого повышения ценности информации нормотворческая практика государства должна стремиться к тому, чтобы максимальным образом упорядочить отношения в области отнесения

10 сведений к категории конфиденциальных и их защиты. Именно упорядочить, так как в данной области наибольшим образом сталкиваются интересы индивидов, их объединений и государства в лице властных структур по доступу и владению различными сведениями, имеющими имущественную или иную ценность. В силу этого правовой институт служебной тайны в деятельности ОВД следует рассматривать не как очередной механизм ограничения в доступе к интересующим общество сведениям о деятельности государства, но как один из механизмов, направленный на обеспечение законных интересов личности, общества и государства в информационной сфере.

Вывод о том, что использование дисциплинарных мер защиты служебной тайны в ОВД при достаточно значительном ее обороте, где помимо непосредственных ведомственных секретов циркулируют еще и иные виды тайн, должно быть разумным, оправданным и обоснованным с точки зрения права. Чрезмерная защита служебной тайны может повлечь снижение эффективности работы сотрудника вследствие излишней формализации отношений.

Предложение концептуального видения направлений совершенствования гражданско-правовых мер защиты служебной тайны, позволяющее увеличить степень ответственности сотрудников ОВД за информацию, составляющую служебную тайну. Первым шагом должно явится разграничение в Гражданском кодексе РФ (ст. 139) совместного регулирования двух самостоятельных правовых институтов "служебной тайны" и "коммерческой тайны", что позволит избежать имеющуюся на сегодняшний день путаницу в регулируемых правовых отношениях.

Предложения по дополнению глав 13 КоАП РФ "Административные правонарушения в области связи и информации" и 32 УК РФ "Преступления против порядка управления". Сформулированные и предложенные автором составы обладают признаком системности и позволяют в должной мере восполнить правовой вакуум в рассматриваемой сфере, возникший в силу сужения области юридического воздействия уголовно-правовых санкций и неэф-

фективности (а в ряде случаев отсутствия возможности) применения дисциплинарных мер.

Научная новизна исследования. Диссертация является первой монографической работой, в которой исследуются правовые основы отнесения информации к служебной тайне, а также меры, обеспечивающие защиту информации в сфере служебной тайны в деятельности органов внутренних дел. Автором анализируются теоретические положения в сфере юридического регулирования механизмов защиты служебной тайны в ОВД, критически оценивается состояние норм, затрагивающих отношения в данной важной для общества и государства области общественных отношений.

Теоретическая и практическая значимость результатов исследования. В соответствии с поставленными целью и задачами диссертационного исследования все выводы и предложения могут быть использованы при совершенствовании действующего законодательства, регулирующего механизмы защиты конфиденциальной информации служебного характера в деятельности органов внутренних дел, а также при разработке новых нормативно-правовых актов, относящихся к данной сфере.

Автор предлагает свое видение в определении понятия служебная тайна, исходя из которого следует разрабатывать комплекс мер по обеспечению механизмов защиты конфиденциальной информации служебного характера в деятельности органов внутренних дел с использованием юридических норм. В данном исследовании выработаны предложения и рекомендации, которые могут быть использованы при отработке понятийного аппарата нормативно-правовых актов в сфере защиты служебной тайны в ОВД.

Автором предлагается дополнить пятью новыми составами главу 13 Ко-АП РФ "Административные правонарушения в области связи и информации" и двумя составами главу 32 УК РФ "Преступления против порядка управления", а также внести некоторые изменения и дополнения в отдельные статьи ГК РФ, УК РФ и иные федеральные законы, что в комплексе позволит определенным образом повысить уровень обеспечения защиты информации в

12 сфере служебной тайны в деятельности органов внутренних дел с помощью юридических норм. Помимо этого предложены нормативно-правовые акты в целях систематизации законодательства о служебной тайне.

Теоретические и практические выводы диссертационного исследования, его содержательная часть могут быть использованы в системе высшего профессионального образования юридического профиля, повышения квалификации сотрудников правоохранительных органов и специалистов в области обеспечения защиты служебной тайны.

Эмпирическую базу исследования составили анализ изучения результатов анкетирования 140 сотрудников органов внутренних дел из девяти субъектов России, из которых одна республика, два края, пять областей и один город федерального значения (г. Москва), опыт правоприменительной практики кадровой службы ГУВД Воронежской области, личный опыт практической деятельности в ОВД автора исследования.

Апробация работы и внедрение результатов исследования. Основные положения диссертации докладывались и обсуждались на кафедре конституционного и административного права Воронежского института МВД России, на практических занятиях с адъюнктами очной формы обучения, на IV Всероссийской научно-практической конференции "Охрана, безопасность и связь" (г. Воронеж, 2003г.), Всероссийской научно-практической конференции "Государство, право, общество: современное состояние и проблемы развития" (г. Липецк, 2003г.), Всероссийской научно-практической конференции курсантов, адъюнктов и слушателей "Современные проблемы борьбы с преступностью" (г. Воронеж, 2004г.).

Материалы диссертационного исследования опубликованы в семи научных статьях, общий объем публикаций составил 2,1 п.л. Разработанные на основе диссертационного исследования методические рекомендации внедрены в практическую деятельность УУР КМ и УООП ГУВД Воронежской области, а также в учебный процесс Воронежского института МВД России.

Структура диссертации. Диссертация состоит из введения, двух глав (включающих 7 параграфов), заключения, списка использованной литературы и приложения.

Соотношение служебной тайны с другими видами тайн

Определившись в предыдущем параграфе данного исследования с основными понятиями, обеспечивающими юридический процесс регулирования общественных отношений в сфере оборота служебной тайны, следует разграничить служебную тайну с другими видами тайн, которые в той или иной степени пересекаются или связаны правовой нормой со служебной тайной. Как показывает осуществленный анализ, провести четкую границу между служебной тайной и отдельными видами тайн достаточно сложная и непростая задача, так как служебную тайну в отдельных случаях пронизывают другие тайны, однако, такое разделение юридически необходимо, чтобы окончательно определиться с институтом служебной тайны и исключить путаницу в толковании норм правовых актов.

В соответствии со ст. 139 ПС РФ служебная тайна тесно переплетается с коммерческой тайной. Следуя указанной норме, информация составляет служебную или коммерческую тайны в случаях, если эта информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам; если к этой информации нет свободного доступа на законном основании; если обладатель информации принимает надлежащие меры к охране ее конфиденциальности. Из приведенных критериев оценки, определяющих коммерческую и служебную тайны, достаточно сложно отделить один вид тайны от другого. Согласно Указу Президента РФ от 6 марта 1997 г. № 188 разница между служебной и коммерческой тайной состоит в том, что коммерческая тайна - сведения, связанные с коммерческой деятельностью..., а служебная тайна - служебные сведения, доступ к которым ограничен органами государственной власти... Для того чтобы более предметно разобраться в существе служебной тайны, следует назвать Постановление Правительства РФ от 3 ноября 1994 г. № 1233, которое утвердило Положение о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти. Положение направлено на урегулирование вопросов, связанных с обращением информации в федеральных органах исполнительной власти, а также в подведомственных им предприятиях, в учреждениях и организациях. В соответствии с Положением к служебной информации ограниченного распространения относится несекретная информация, касающаяся деятельности организаций, ограничения на распространение которой диктуются служебной необходимостью.

Не могут быть отнесены к служебной информации ограниченного распространения:

Акты законодательства, устанавливающие правовой статус государственных органов, организаций, общественных объединений, а также права, свободы и обязанности граждан, порядок их реализации;

Сведения о чрезвычайных ситуациях, опасных природных явлениях и процессах, экологическая, гидрометеорологическая, гидрогеологическая, демографическая, санитарно-эпидемиологическая и другая информация, необходимая для обеспечения безопасного существования населенных пунктов, граждан и населения в целом, а также производственных объектов;

Описание структуры органа исполнительной власти, его функций, направлений и форм деятельности, а также его адрес;

Порядок рассмотрения и разрешения заявлений, а также обращений граждан и юридических лиц;

Решения по заявлениям и обращениям граждан и юридических лиц, рассмотренным в установленном порядке;

Сведения об исполнении бюджета и использовании других государственных ресурсов, о состоянии экономики и потребностей населения;

Документы, накапливаемые в открытых фондах библиотек и архивов, информационных системах организаций, необходимые для реализации прав, свобод и обязанностей граждан.

По мнению автора, приведенный список ограничений, не является исчерпывающим. В подтверждение тому можно привести суждение А.А. Фать янова, который выражает озабоченность по поводу того, что среди категорий сведений, на которые не могут распространяться ограничения по доступу, не указаны сведения о фактах нарушения законности органами государственной власти и их должностными лицами. Подобное "упущение" позволяет должностным лицам существенно ограничивать доступ к материалам служебных расследований негативной деятельности государственного аппарата и прочим недоработкам. Между тем максимально возможная открытость в данном вопросе является одним из основополагающих моментов оздоровления деятельности органов государственной власти.

В соответствии с Положением руководители федеральных органов исполнительной власти в пределах своей компетенции определяют категорию должностных лиц, уполномоченных относить служебную информацию к разряду ограниченного распространения, обеспечивают организацию защиты служебной информации ограниченного распространения и т.д.

Особенности правовой защиты служебной тайны

Для понимания сущности правового института служебной тайны, прежде всего, как системы тайнообразования (о формировании субинститута отнесения сведений к служебной тайне как законченной схемы говорить пока рано), обратимся к истории его развития в отечественном законодательстве. По большому счету данная система постепенно вычленилась из государственной тайны в связи с тем, что далеко не все сведения, к которым государство по тем или иным причинам ограничивает доступ, являются столь ценными, что ущерб от их распространения должен приводить к возникновению уголовного преследования. Возведение этого в принцип и стало, по мнению автора, тем мерилом, по которому разграничивались государственная и служебная тайны. Окончательное их нормативное разделение произошло уже в 70-е годы XX в. и свое наиболее четкое оформление получило в юридической конструкции, предложенной Инструкцией по обеспечению режима секретности в министерствах и ведомствах СССР, утвержденной постановлением СМ СССР от 12.05.87 № 556-126, которой вводилось интегрированное понятие государственные секреты, которые по степени их важности подразделялись на государственную и служебную тайны. Данная конструкция полностью отражала систему воззрений того периода на роль и место служебной тайны в функционировании механизма государства.

Наиболее ярким преломлением правового института защиты служебной тайны в условиях отдельного ведомства является институт военной тайны. Пункт "г" статьи 259 УК РСФСР 1960 г. содержал, применительно к данному институту, следующую дефиницию: военная тайна - это военные сведения, не подлежащие оглашению, но не являющиеся государственной тайной. Определенные отголоски наличия данного института мы находим в законодательстве и сейчас. Например, в статье 26 Федерального закона "О статусе военнослужащих" среди общих обязанностей военнослужащих наличествует такая, как "быть дисциплинированными, бдительными, хранить государст венную и военную тайну".

Институт военной тайны, как, собственно, и весь институт служебной тайны, нес довольно существенную позитивную нагрузку. Дело в том, что, как мы уже знаем, составляющие государственную тайну сведения чаще всего носят обобщенный характер, т.е. проходят несколько этапов от абсолютно общедоступной информации (первичные, элементарные сведения) до интегрированной. При этом процесс преобразования открытой информации в государственную тайну не может и не должен носить скачкообразный характер. В процессе интеграции наступают такие этапы, когда сведения еще не могут быть отнесены к государственной тайне, но их открытое распространение уже представляет определенную опасность. Приведем такой пример. Согласно п. 4 Перечня сведений, отнесенных к государственной тайне, сведения, описывающие состояние боевой подготовки войск, составляют государственную тайну. Следует ли относить к ним состояние боеготовности отдельного мотострелкового взвода или роты? Вряд ли. А батальона, полка? Тоже есть сомнения. Но в отношении относимости к государственной тайне сведений о боеготовности дивизии сомнений уже не будет. Но в то же время вряд ли кто рискнет распространять информацию о степени боеготовности целого полка. Вот это и есть «ниша» военной тайны.

Разобравшись в первых двух параграфах данного исследования с понятием служебной тайны, критериями относимости сведений к изучаемой конфиденциальной информации, а также свойствами и признаками, отличающими служебную тайну от других видов тайн, следует ответить на принципиальный вопрос о том, что существует ли в современной российской юридической науке правовой институт служебной тайны. В связи с этим, позволим себе напомнить, что государственные секреты в советский период подразделялись на государственную и служебную тайны по следующему критерию: для обозначения сведений, составляющих государственную тайну, использовались грифы "особой важности» " и "совершенно секретно", для обозначения служебной тайны - "секретно". За такой градацией стояла достаточно четкая качественная оценка потенциального ущерба, который мог наступить от их неправомерного распространения: признаком относимости сведений к государственной тайне являлся ущерб, который мог оказать отрицательное воздействие на качественное состояние военно-экономического потенциала страны; применительно к служебной - просто ущерб интересам государства. В принципе логика здесь прослеживается: государство олицетворяют органы государственной власти, следовательно, ущерб их интересам есть ущерб интересам государства.

К сожалению, принятие Закона о государственной тайне, привнеся массу позитивных моментов, повлекло за собой одно существенное негативное последствие - отнесение в соответствии с указанным Законом грифа "секретно" для обозначения исключительно сведений, составляющих государственную тайну, де-факто ликвидировало служебную тайну как институт и заодно создало серьезную правовую неопределенность в вопросе квалификации ранее обозначенных им сведений (то есть, подпадают ли они под режим ограничений государственной тайны либо нет). Логично предположить, что не подпадают. С другой стороны, современный подход при отнесении сведений к государственной тайне, как нам уже известно, резко снижает оценочный порог ущерба при отнесении информации к данной категории до интересов отдельно взятой организации, учреждения, что позволяет сделать и обратный вывод.

Гражданско-правовые меры защиты служебной тайны

Рассмотрение гражданско-правовых мер защиты служебной тайны всеми без исключения авторами80, исследующими область информационного права, сводится к тому, что сравниваются дифиниции служебной и коммерческой тайн, установленные в ст. 139 Гражданского кодекса РФ, и лишь отдельные из них дают некоторый анализ правовых норм защиты изучаемой конфиден о 1 циальной информации. Данное положение дел нельзя считать приемлемым, тем более что ст. 139 ГК РФ в части второй прямо устанавливает как необходимость защиты служебной и коммерческой тайн, так и ее способы. Следуя правовой норме ч. 1 ст. 139 ГК РФ, можно заключить, что законодатель не проводит различия между категориями "служебная тайна" или "коммерческая тайна", полагая под ними информацию, имеющую действительную или потенциальную коммерческую ценность в силу неизвестности третьим лицам, к которой нет доступа на законном основании и обладатель которой принимает меры к охране ее конфиденциальности. В свою очередь часть 2 ст. 139 ГК РФ, провозглашая необходимость защиты рассматриваемых тайн, также не разграничивает ее способы. Как свидетельствуют результаты наше го исследования не все способы защиты, предусмотренные ГК РФ и другими законами, могут быть применены к служебной тайне.

К такому же выводу пришел и Л.А. Трахтенгерц, который указывает, что вызывает сомнение правомерность распространения условий охраны коммерческой тайны на служебную. Это разноплановые понятия. Сохранение в тайне служебной информации, как правило, не обусловлено ее коммерческой ценностью (хотя такая информация и может содержать сведения коммерче-ского характера) .

В связи с этим обстоятельством можно использовать не все способы защиты служебной тайны в ОВД, они должны основываться только лишь на нормах отдельных статей ГК РФ и нормативных правовых актах, прямо устанавливающих ответственность сотрудника ОВД за нарушение режима служебной тайны. При этом надо учитывать, что по общему правилу гражданско-правовая ответственность всегда наступает позже других видов юридической ответственности и поэтому носит лишь компенсационный характер, не во всех случаях воздействуя на уровень защиты служебной тайны в упреждающем плане.

Исходя из нормы части второй ст. 139 ГК РФ, гражданско-правовые меры защиты служебной тайны в ОВД могут быть применены в следующих случаях: - если сотрудник ОВД незаконными методами получил информацию, которая составляет служебную тайну, то он обязан возместить причиненные убытки; - если сотрудник ОВД, разгласил служебную тайну вопреки условиям, изложенным в заключенном с ним контракте, то он обязан возместить причиненные убытки.

Гипотетически предположить, что сотрудник ОВД незаконными методами получил информацию, которая составляет служебную тайну, можно, но как в этой ситуации определить размер причиненных убытков? Вопрос далеко непраздный. Однако, обо всем по порядку. Во-первых, определим, каким образом сотрудник ОВД может незаконно получить информацию, которая составляет служебную тайну. В отношении внутрисистемной информации, содержащей служебную тайну, это может произойти, только если сотрудник ОВД совершит преступное деяние (например, хищение, незаконное проникновение в помещение, применение физической силы к другому сотруднику ОВД, повлекшее уголовно-наказуемые последствия и т.д.). Также нельзя и исключать того факта, что информация, находящаяся в ОВД и защищаемая режимом служебной тайны, может составлять коммерческую тайну. К такому выводу, в частности, приходят и комментаторы ГК РФ83. Так, А.А. Тарасов указывает, что информация, являющаяся коммерческой тайной, может стать служебной тайной и наоборот. Следуя проведенным рассуждениям, гражданско-правовые меры защиты служебной тайны могут быть применены, как в связи с установлением уголовно-правового деяния, так и ввиду определения факта наличия в служебной информации коммерческой тайны.

Во-вторых, определим какие убытки и каким образом сотрудник ОВД должен возместить в случае незаконного получения информации, которая составляет служебную тайну. Исходя из толкования норм ст. 15 и 16 ГК РФ, под убытками понимаются расходы, которые лицо, чье право нарушено, произвело или должно будет произвести для восстановления нарушенного права, утрата или повреждение его имущества (реальный ущерб), а также неполученные доходы, которые это лицо получило бы при обычных условиях гражданского оборота, если бы его право не было нарушено (упущенная выгода). Если лицо, нарушившее право, получило вследствие этого доходы, лицо, право которого нарушено, вправе требовать возмещения наряду с другими убытками упущенной выгоды в размере не меньшем, чем такие доходы.

Административно-правовая охрана служебной тайны

Перенос сведений, составляющих служебную тайну, в компьютерные сети и системы, имеющие выход в информационно-телекоммуникационные сети общего пользования без обеспечения соответствующих мер по защите информации, влечет наложение административного штрафа на должностных лиц - от сорока до пятидесяти минимальных размеров оплаты труда; на юридических лиц - от четырехсот до пятисот минимальных размеров оплаты труда".

Изложив свои предложения по совершенствованию системы защиты отношений, возникающих в сфере служебной тайны, посредством установле ния административной ответственности, автор не может обойти стороной вопрос о видах и величине санкций за данные противоправные деяния.

Какой-то общей теории величины санкции в зависимости от степени опасности наступающих вредных последствий применительно к системе действующего КоАП РФ пока не создано, поэтому автор, формулируя вышеуказанные составы административных правонарушений исходил из следующий соображений.

1. Основным видом санкции, применяемой в действующем КоАП РФ, является административный штраф. В соответствии с частью третьей статьи 3.5. данного законодательного акта "размер административного штрафа, налагаемого на граждан и исчисляемого исходя из минимального размера оплаты труда, не может превышать двадцать пять минимальных размеров оплаты труда, на должностных лиц - пятьдесят минимальных размеров оплаты труда, на юридических лиц - одну тысячу минимальных размеров оплаты труда". Из данного правила, применительно к юридическим лицам, имеется исключение (в сторону увеличения величины штрафа), но оно затрагивает только экономические отношения, когда сумма штрафа должны существенным образом влиять на прекращение противоправной деятельности, делая ее невыгодной.

Исходя из вышеизложенного, автор также в качестве основной административной санкции избрал штраф. Из всех предложенных составов правонарушений наименьшую общественную опасность представляет перенос сведений, составляющих служебную тайну, на неучтенные носители информации. Применение административной санкции носит в данном случае преду-предительно-пресекательный характер. В силу этого, наряду со штрафом, автором был избран самый мягкий из видов наказаний - предупреждение, а также, в качестве альтернативы, административный штраф среднего уровня (для граждан - от 10 до 15 минимальных размеров оплаты труда, для должностных лиц - от 20 до 30 минимальных размеров оплаты труда.

В остальных случаях степень общественной опасности деяния, по мне нию автора, выше, однако при этом не для всех составов предлагается максимальная планка административного штрафа, но только при таких правонарушениях, когда создается реальная угроза утечки сведений, составляющих служебную тайну (утрата носителей, содержащих такие сведения; использование для обработки данной информации компьютерного оборудования без соответствующей проверки; перенос сведений в компьютерные системы, имеющие выход в сети общего пользования; ознакомление лица, которое не прошло процедуры допуска к служебной тайне, с такой информацией).

2. В ряде приведенных выше составов к административной ответствен ности предлагается привлекать юридических лиц. В действующем КоАП РФ традиционно уровень санкций по отношению к данным субъектам является повышенным. В результате анализа норм Кодекса автор пришел к выводу, что обычной практикой конструирования санкций является повышение вели чины штрафа, применяемой к юридическому лицу, в десять раз выше, чем применяемой по отношению к должностному лицу. Именно такой подход и был избран для определения нижней и верхней границ таких мер юридиче ского воздействия.

3. Применительно к рассматриваемому вопросу система наделения юрисдикционными полномочиями ОВД должна несколько отличаться от предусмотренной КоАП РФ по отношению к действующим составам.

В силу отсутствия основополагающего Федерального закона РФ "О служебной тайне", который мог бы внести ясность в установление правомочий и обязанностей органов государственной власти по защите служебной тайны, а также отсутствие таких правомочий в нормативных правовых актах, регулирующих деятельность ОВД, считаем целесообразным, внести дополнение в Закон "О милиции", касающееся правомочий ОВД по защите служебной тайны и соответствующих обязанностей по выполнению установленных требований. Если такие изменения будут внесены, то, по мнению автора, составление протоколов об административных правонарушениях и рассмотрение дел об административных правонарушениях в рамках предложенных выше составов целесообразно отнести к юрисдикции ОВД. А в отношении таких состав административных правонарушений как "Использование для обработки сведений, составляющих служебную тайну, компьютерного оборудования, не прошедшего обязательной проверки" и "Неправомерный перенос сведений, составляющих служебную тайну, в компьютерные системы, имеющие выход в информационно-телекоммуникационные сети общего пользования" право на составление протоколов и рассмотрение дел о данных административных правонарушениях следует возложить на ОВД и органы Гостехкомиссии России в пределах их компетенции.