Основні загрози інформаційній безпеці органів внутрішніх справ. Основні загрози інформаційної безпеки, що у процесі діяльності оперативних підрозділів органів внутрішніх справ. методами, що використовуються у функціях КС
480 руб. | 150 грн. | 7,5 дол. ", MOUSEOFF, FGCOLOR, "#FFFFCC", BGCOLOR, "#393939");" onMouseOut="return nd();"> Дисертація - 480 руб., доставка 10 хвилин, цілодобово, без вихідних та свят
240 руб. | 75 грн. | 3,75 дол. ", MOUSEOFF, FGCOLOR, "#FFFFCC", BGCOLOR, "#393939");" onMouseOut="return nd();"> Автореферат - 240 руб., доставка 1-3 години, з 10-19 (Московський час), крім неділі
Фісун Юлія Олександрівна. Державно-правові засади інформаційної безпеки в органах внутрішніх справ: Дис. ... канд. Юрид. наук: 12.00.02: Москва, 2001 213 c. РДБ ОД, 61:01-12/635-2
Вступ
Глава I. Поняття та правові засади інформаційної безпеки . 14
1. Поняття та сутність інформаційної безпеки 14
2. Основні напрямки діяльності держави щодо забезпечення інформаційної безпеки 35
3. Основні напрями формування законодавства у сфері забезпечення інформаційної безпеки 55
Розділ II. Організаційні засади інформаційної безпеки в органах внутрішніх справ 89
1. Організація діяльності органів внутрішніх справ щодо забезпечення інформаційної безпеки 89
2. Форми та методи забезпечення інформаційної безпеки в органах внутрішніх справ
Висновок 161
Список литературы 166
Додатки 192
Введення в роботу
Актуальність теми дослідження. Інформатизація правоохоронної сфери, заснована на бурхливому розвитку інформаційних систем, Супроводжується істотним зростанням зазіхань на інформацію як з боку іноземних держав, так і з боку кримінальних структур і громадян. Однією з особливостей процесу інформатизації є формування та використання інформаційних ресурсів, що мають відповідні властивості достовірності, своєчасності, актуальності, серед яких важливе значення має їх безпека. Це, у свою чергу, передбачає розвиток безпечних інформаційних технологій, які мають виходити з пріоритетного характеру вирішення проблем забезпечення інформаційної безпеки. Слід зазначити, що відставання у вирішенні названих проблем може суттєво знизити темпи інформатизації правоохоронної сфери.
Таким чином, одним із першочергових завдань, які стоять перед органами внутрішніх справ, є вирішення протиріч між реально існуючою та необхідною якістю захищеності своїх інформаційних інтересів (потреб), тобто забезпечення їх інформаційної безпеки.
Проблема забезпечення інформаційної безпеки в органах внутрішніх справ нерозривно пов'язана з діяльністю держави в інформаційній сфері, що включає сферу інформаційної безпеки. За останній період прийнято велику кількість нормативних правових актів з питань інформаційного законодавства. Їх лише деякі відносяться до сфери інформаційної безпеки і навіть стосуються лише загальних положень забезпечення безпеки (наприклад Закон РФ " Про безпеку " ). Саме визначення "інформаційна безпека" вперше з'явилося у Федеральному законі "Про участь у міжнародному інформаційному обміні". Про захист інформації йдеться і в Федеральному законі "Про інформацію, інформатизацію та захист інформації", але без визначення поняття захисту інформації. Зважаючи на відсутність понять видів інформації, не зовсім ясно, яку інформацію слід захищати.
Прийнята в новій редакції Концепція національної безпеки, пріоритетним завданням якої є не лише вирішення питань державної безпеки, а й її складових, орієнтована насамперед на боротьбу з тероризмом. На жаль, питання, пов'язані з інформаційною безпекою, торкаються лише загрози в інформаційній сфері. Про роль МВС як суб'єкт забезпечення безпеки взагалі нічого не йдеться.
Актуальність обраної теми наголошує на акті прийняття Доктрини інформаційної безпеки Російської Федерації(РФ), у якій вперше було запроваджено визначення інформаційної безпеки РФ, загроз інформаційної безпеки, методів забезпечення інформаційної безпеки РФ тощо.
Що ж до питань інформаційної безпеки в органах внутрішніх справ, то в юридичній літературі вони в основному зводяться до загальних положень: перераховуються загрози безпеці та називаються деякі методи її забезпечення, характерні для всієї правоохоронної сфери. Організаційно- правові аспектизабезпечення інформаційної безпеки органів внутрішніх справ у межах запропонованого поняття інформаційної безпеки розглядаються неповно.
З урахуванням вищесказаного пропонується запровадити поняття інформаційної безпеки органів внутрішніх справ. Інформаційна безпека органів внутрішніх справ є станом захищеності інформаційного середовища, що відповідає інтересам органів внутрішніх справ, при якому забезпечуються їх формування, використання та можливості розвитку незалежно від впливу внутрішніх та зовнішніх інформаційних загроз. При цьому з урахуванням відомих визначень загрози під інформаційною загрозою розумітимемо сукупність умов та факторів, що створюють небезпеку інформаційному середовищу та інтересам органів внутрішніх справ.
Таким чином, актуальність правового регулювання інформаційної безпеки у діяльності органів внутрішніх справ не викликає сумнівів. Для досягнення належного рівня нормативно-правового забезпечення інформаційної безпеки потрібне визначення її предметних областей, регулювання відносин суб'єктів забезпечення з урахуванням особливостей основних об'єктів інформаційної безпеки. Тому, на думку дисертанта, необхідне комплексне дослідження не лише правового регулювання інформаційної безпеки на рівні міністерств та відомств, а й дослідження стану та розвитку нормативної правової бази у сфері інформаційної безпеки.
Ступінь розробленості теми дослідження. Проведений автором аналіз результатів досліджень вчених дозволяє констатувати, що проблеми правового регулювання інформаційних відносин, забезпечення інформаційної безпеки та її компонентів є актуальними для правової науки та практики та потребують подальшого розвитку". Значна кількість публікацій присвячена приватним проблемам та питанням правового регулювання відносин в інформаційній сфері, сфері інформаційної безпеки, забезпечення безпеки інформації, що передбачає її захист від розкрадання, втрати, несанкціонованого доступу, копіювання, модифікації, блокування тощо, що розглядаються в рамках формованого правового інституту таємниці. А. Б. Агапов, В. І. Булавін, Ю. М. Батурін, С. А. Волков, В. А. Герасименко, В. Ю. Гайкович, І. Н. Глєбов, Г. В. Грачов, С. М. Гриняєв, Г. В. Ємельянов, В. А. Копилов, А. П. Курило, В. Н. Лопатін, А. А. Малюк, А. С. Прудніков, С. В. Рибак, А. А. Стрільцов, А. А. Фатьянов, А. П. Фісун, В. Д. Циганков, Д. С. Черешкін, А. А. Шиверський та ін1.
У ході дисертаційного дослідження широко використовувалися новітні досягнення природничих, соціально-економічних та технічних наук, історичний та сучасний досвід забезпечення інформаційної безпеки особистості, суспільства та держави; матеріали різних періодичних наукових видань, наукових, науково-практичних конференцій та семінарів, праці вчених у галузі теорії права та держави, монографічні дослідження у галузі права, інформаційного законодавства, комплексного захисту інформації та інформаційної безпеки.
Об'єкт та предмет дослідження. Об'єктом дослідження є система суспільних відносин, що діє і формується, що склалися в інформаційній сфері та сфері інформаційної безпеки.
Предметом дослідження є міжнародно-правові акти, зміст Конституції Російської Федерації, норми вітчизняного законодавства, що регулюють відносини в галузі забезпечення інформаційної безпеки особистості, суспільства та держави, а також зміст правових норм, що регулюють діяльність органів внутрішніх справ щодо забезпечення інформаційної безпеки.
Цілі та завдання дослідження. На основі аналізу та систематизації чинного законодавства в інформаційній сфері, інформаційній безпеці дисертантом було розроблено основи та впроваджено науково методичні рекомендаціїщодо застосування правового та організаційного інструментарію забезпечення інформаційної безпеки як у діяльності органів внутрішніх справ, так і у навчальному процесі.
У рамках досягнення зазначеної мети було поставлено та вирішено такі теоретичні та науково-практичні завдання: проаналізовано та уточнено основні поняття, види, зміст інформації як об'єкта забезпечення інформаційної безпеки та правовідносин;
2) систематизовано існуючі напрями та пропозиції щодо формування правових та організаційних засад інформаційної безпеки, виявлено та уточнено напрями щодо вдосконалення законодавчої бази в галузі забезпечення інформаційної безпеки, у тому числі і в органах внутрішніх справ;
3) систематизовано нормативні правові акти та сформовано структуру чинного законодавства в інформаційній сфері;
4) визначено зміст організаційних засад діяльності органів внутрішніх справ щодо забезпечення інформаційної безпеки;
5) виявлено організаційно-правові аспекти системи забезпечення інформаційної безпеки та її структури у діяльності органів внутрішніх справ;
6) проаналізовано та обрано форми та методи забезпечення інформаційної безпеки в органах внутрішніх справ у рамках правового регулювання їх застосування та розробки.
Методологічну основу дисертаційного дослідження складають загальні філософські методи та принципи матеріалістичної діалектики; загальнонаукові методи порівняння, узагальнення, індукції; приватно-наукові методи: системно-структурний, системно-діяльнісний, формально-юридичний, порівняльно-правовий та інші методи дослідження.
Нормативну базу дослідження становлять Конституція Російської Федерації, нормативні правові акти Російської Федерації зокрема, міжнародне законодавство, норми різних галузей права, відомчі нормативні акти.
Наукова новизна дисертаційних досліджень:
У дослідженні проблеми розвитку правових та організаційних засад забезпечення інформаційної безпеки в органах внутрішніх справ з позицій випереджального розвитку потреб практики та формування інформаційної сфери в умовах широкого впровадження нових інформаційних технологій та зростання інформаційних загроз;
Осмислення місця та ролі конституційного права у житті російського суспільства, а також подальшої перспективи його розвитку, в рамках державної політики забезпечення інформаційної безпеки;
Уточнення системи законодавства держави у галузі забезпечення інформаційної безпеки;
Здійснення систематизації нормативних правових актів у сфері інформаційної безпеки та формування структури законодавства у сфері інформаційної безпеки особистості, суспільства, держави, у тому числі органів внутрішніх справ;
розроблення пропозицій щодо вдосконалення законодавства у сфері інформаційної безпеки;
розроблення організаційно-правових компонентів системи забезпечення інформаційної безпеки в органах внутрішніх справ;
Розробка науково-методичних рекомендацій щодо використання правового та організаційного інструментарію навчання забезпечення інформаційної безпеки в органах внутрішніх справ та у навчальному процесі при підготовці фахівців з правових засад інформаційної безпеки.
Основні положення, що виносяться на захист:
1. Визначення понятійного апарату з правових основ чинного законодавства в галузі інформаційної безпеки, у тому числі поняття інформаційної безпеки, що дозволяє сформувати уявлення про інформацію як об'єкт забезпечення інформаційної безпеки та правовідносин, а також сформулювати загрози безпеці.
Інформаційна безпека органів внутрішніх справ - це стан захищеності інформаційного середовища, що відповідає інтересам органів внутрішніх справ, при якому забезпечуються їх формування, використання та можливості розвитку, незалежно від впливу внутрішніх та зовнішніх загроз.
2. Проблема забезпечення інформаційної безпеки на державному рівні передбачає більш глибоке теоретичне та практичне осмислення місця та ролі конституційного права у житті російського суспільства, а також подальшої перспективи його розвитку в рамках наступних напрямків:
Удосконалення конституційного законодавства "Про державні стани і режими", зокрема у сфері інформаційної безпеки, та вдосконалення на цій основі законодавства суб'єктів Російської Федерації у цій сфері;
Першочергова реалізація конституційних прав громадян в інформаційній сфері;
Реалізація єдиної державної політики у сфері інформаційної безпеки, що забезпечує оптимальний баланс інтересів суб'єктів в інформаційній сфері та усуває прогалини у конституційному законодавстві.
3. Пропозиції щодо уточнення основних напрямів діяльності держави щодо формування законодавства в інформаційній сфері, що включає сферу інформаційної безпеки, що є шляхами вдосконалення нормативно-правової бази інформаційного законодавства та дозволяють визначити правові основи діяльності органів внутрішніх справ у сфері інформаційної безпеки. Вони виходять із сукупності збалансованих інтересів особистості, нашого суспільства та держави у сфері економіки, соціальної, внутрішньополітичної, міжнародної, інформаційної та інших сферах. Як пріоритетні виділяються такі напрямки:
щодо дотримання інтересів особистості в інформаційній сфері;
Удосконалення правових механізмів регулювання суспільних відносин в інформаційній сфері;
Захист національних духовних цінностей, норм моралі та суспільної моральності.
4. Пропонується вдосконалити структуру законодавства в галузі забезпечення інформаційної безпеки, що є системою взаємопов'язаних елементів, що включають сукупність нормативних та відомчих актів, що дозволяє наочно представити безліч відносин в інформаційній сфері та сфері інформаційної безпеки, складності їх регулювання.
5. Організаційно-правові компоненти системи забезпечення інформаційної безпеки в органах внутрішніх справ, у тому числі зміст організації їх діяльності (з позиції її правового регулювання), представлені структурою необхідних та взаємопов'язаних елементів та включають:
Суб'єкти забезпечення безпеки Російської Федерації;
Об'єкти інформаційної безпеки органів внутрішніх справ;
Організацію діяльності органів внутрішніх справ;
Форми, методи та засоби забезпечення інформаційної безпеки.
6. Зміст організації діяльності органів внутрішніх справ щодо забезпечення інформаційної безпеки (з позиції її правового регулювання), що є цілеспрямованим безперервним процесом у частині, що стосується аналізу, розробки, проведення правових, організаційних, технічних та інших заходів, пов'язаних зі сферою інформаційної безпеки, а також забезпеченням правий і законних інтересів громадян.
Практична значимість дисертаційного дослідження:
У використанні пропозицій щодо розробки нових нормативних актів та вдосконаленні чинного законодавства в інформаційній сфері діяльності органів державної влади суб'єктів Російської Федерації, відомств, міністерств;
Підвищення ефективності діяльності органів внутрішніх справ щодо забезпечення інформаційної безпеки;
Удосконалення підготовки фахівців у системі вищої професійної освіти, підвищення кваліфікації фахівців у галузі комплексного захисту інформації та правового регулювання інформаційної безпеки на користь різних міністерств та відомств на основі розробки варіанта навчально-методичного забезпечення;
Розробка науково-методичних рекомендацій щодо використання правового та організаційного інструментарію навчання забезпечення інформаційної безпеки у навчальному процесі, що дозволяють забезпечити необхідний рівень підготовки фахівців з правових засад інформаційної безпеки.
Апробація, впровадження результатів досліджень та публікації.
Теоретичні положення, висновки, пропозиції та практичні рекомендації, викладені у цьому дослідженні, доповідалися та обговорювалися на 8 та 9 Міжнародні конференціїв Академії управління МВС
Росії "Інформатизація правоохоронних систем" (м. Москва, 1999-2000 рр.), Міжвузівської регіональної конференції "Загальна декларація прав людини: проблеми вдосконалення російського законодавства та практика його застосування" в Академії управління МВС Росії (м. Москва, 1999 р.) , Науковому семінарі "Проблеми федералізму у розвитку російської державності" та Міжнародної науково-практичної конференції "Правоохоронна діяльність на транспорті: підсумки та перспективи", що проводяться на базі Орловського юридичного інституту МВС Росії (м. Орел, 1999 р.). За результатами дослідження було опубліковано вісім наукових працьзагальним обсягом 8 друкованих аркушів.
Структура та обсяг дисертації зумовлені логікою проведеного дослідження та складаються із вступу, двох розділів, висновків списку використаної літератури та додатку.
Поняття та сутність інформаційної безпеки
Складовою частиною предмета науки та наукових досліджень, у тому числі й наукового напряму захисту інформації та правового регулювання інформаційної безпеки, що розвивається, є його понятійний апарат. Природно, що одним із центральних понять у цій предметній галузі є поняття "інформація"1, яке може бути віднесене до абстрактних категорій та первинних понять. Аналіз вищеназваного поняття дає уявлення його розуміння в загальносистемному, філософському сенсі (інформація є відображення матеріального світу) А до найвужчого, технократичного та прагматичного сенсу (інформація є всі відомості, що є об'єктом зберігання, передачі та перетворення).
У ряді робіт під інформацією розуміються певні властивості матерії, які сприймаються керуючою системоюяк із навколишнього зовнішнього матеріального світу, і з процесів, які у самій системі. Існує погляд ототожнюючих понять "інформація" та "повідомлення", в якому інформація визначається як істотна для одержувача частина повідомлення, а повідомлення - як матеріальний носій інформації, один з конкретних елементів кінцевої або нескінченної множини, що передаються каналом зв'язку і сприймаються на приймальному кінці системи зв'язку з деяким одержувачем.
Можна певною мірою звернутися до відомого змісту поняття "інформація", визначеного Р. Шенноном, де інформацією називають кількість непередбачуваного, що міститься в повідомленні. Кількість є мірою того нового, яке дане повідомлення вносить у сферу, що оточує одержувача.
У Федеральному законі "Про інформацію, інформатизації та захист інформації" наводиться досить узагальнена дефініція даного поняття та її похідних. Так, інформація подається як відомості про предмети, об'єкти, явища, процеси, незалежно від форми їх уявлення. Це родове поняття інформації використовується для формування його похідних дефініцій, що використовуються в інших нормативних правових актах1. Розглянемо деякі з них докладніше.
Документована інформація (документи) – зафіксована на матеріальному носії інформація з реквізитами, що дозволяють її ідентифікувати.
Конфіденційна інформація – документована інформація, доступ до якої обмежується відповідно до законодавства.
Масова інформація - призначені для необмеженого кола осіб друковані, аудіоповідомлення, аудіовізуальні та інші повідомлення та матеріали.
Інформаційні ресурси – окремі документи та окремі масиви документів, документи та масиви документів в інформаційних системах (бібліотеках, архівах, фондах, банках даних, інших видах інформаційних систем).
Інформаційні продукти (продукція) - документована інформація, підготовлена відповідно до потреб користувачів та призначена або застосовувана для задоволення потреб користувачів.
Державна таємниця - відомості, що захищаються державою, в галузі його військової, зовнішньополітичної, економічної, розвідувальної, контррозвідувальної та оперативно-розшукової діяльності, поширення яких може завдати шкоди безпеці Російської Федерації.
Комп'ютерна інформація - інформація на машинному носії, в ЕОМ, системі ЕОМ або їх мережі.
У статті 128 Цивільного кодексу інформація визначається як об'єкт цивільних правовідносин. Аналізуючи інформацію з цих позицій, необхідно звертати увагу на аспект, пов'язаний із юридичним захистом інформації як об'єкта права власності5. Такий підхід до інформації пояснюється тим, що, з одного боку, історичним та традиційним об'єктом права власності є матеріальний об'єкт, з іншого - інформація, не будучи матеріальним об'єктом навколишнього світу, нерозривно пов'язана з матеріальним носієм: це мозок людини чи відчужені від людини матеріальні носії (Книга, дискета та ін.)
Розглядаючи інформацію як відображення дійсності об'єктом навколишнього світу, можна говорити про інформацію як про абстрактну субстанцію, яка існує сама по собі, але для нас ні зберігання, ні передача інформації без матеріального носія неможливі. Відомо, що інформація, з одного боку, як об'єкт права власності, що копіюється (тиражується) за рахунок матеріального носія1, з іншого - як об'єкт права власності легко переміщається від одного до наступного суб'єкта права власності без очевидного (помітного) порушення права власності на інформацію. Але переміщення матеріального об'єкта права власності неминуче і, зазвичай, тягне у себе втрату цього об'єкта початковим суб'єктом права власності. При цьому очевидним є порушення його права власності. Слід зазначити, що порушення цього права має місце у разі неправомірного переміщення тієї чи іншої матеріального объекта1. Небезпека копіювання та переміщення інформації посилюється тим, що вона зазвичай відчужується від власника, тобто зберігається та обробляється у сфері доступності великої кількості суб'єктів, які не є суб'єктами права власності на цю інформацію. Сюди належать, наприклад, автоматизовані системи, зокрема й мережі. Виникає складна система взаємовідносин між суб'єктами права власності, що зумовлює способи їх реалізації, і, отже, напрями формування системи правового захисту, які забезпечують запобігання порушенням прав власності на інформацію.
Проаналізувавши особливості інформації як об'єкта права власності, можна дійти невтішного висновку, що у іншому інформація нічим не відрізняється від традиційних об'єктів права власності. Проведений аналіз змісту інформації, у тому числі як об'єкта права, дозволив виділити її основні види, що підлягають правовий захист(Додаток 1): - Відомості, віднесені до державної таємниці уповноваженими органами на підставі Закону РФ "Про державну таємницю"; - конфіденційна документована інформація - власника інформаційних ресурсів або уповноваженої особи на підставі Федерального закону "Про інформацію, інформатизацію та захист інформації"; - персональні дані.
Основні напрямки діяльності держави щодо забезпечення інформаційної безпеки
Тенденції конституційного розвитку такі, що акцентують увагу на проблему природи конституційного законодавства. Поруч із актуальними нині питаннями пріоритету права і свободи людини громадянського суспільства, влади та її організації перше місце виходить проблема " державних режимів і станів " - забезпечення безпеки (інформаційної безпеки як складової частини), оборони, надзвичайного стану тощо. 1
Необхідність конституційного регулювання забезпечення інформаційної безпеки є очевидною. Адже інформаційна безпека особистості – це ніщо інше, як захищеність конституційних прав та свобод людини. А одним із напрямів державної політики у сфері інформаційної безпеки є дотримання та реалізація конституційних прав людини та громадянина у розглянутій сфері. По-перше, згідно із Законом РФ "Про безпеку" безпека досягається проведенням єдиної державної політики в галузі забезпечення безпеки. Вочевидь, як і інформаційна безпека досягається проведенням державної політики у сфері забезпечення інформаційної безпеки РФ. Названа політика в свою чергу визначає основні напрямки діяльності держави в обговорюваній сфері і заслуговує на певну увагу.
По-друге, актуальність дослідження основних напрямів діяльності держави у сфері, що розглядається, обумовлюється наступним: - необхідністю розвитку та вдосконалення конституційного законодавства, що забезпечує оптимальне поєднання пріоритетів інтересів особистості, відомств та в цілому держави в рамках одного з напрямків щодо забезпечення інформаційної безпеки; - удосконаленням діяльності держави щодо реалізації своїх функцій забезпечення безпеки всіх суб'єктів інформаційних відносин; - потребою громадян у захисті своїх інтересів в інформаційній сфері; - необхідністю формування єдиного правового поля у сфері інформаційних відносин. Розвиток державної політики у сфері забезпечення інформаційної безпеки знаходить своє відображення у послідовній розробці та розвитку Концепції національної безпеки Російської Федерації. Її особливостями є такі становища: - жодна сфера життя сучасного суспільства неспроможна функціонувати без розвиненої інформаційної структури; - національний інформаційний ресурс є нині одним із головних джерел економічної та військової могутності держави; - проникаючи у всі сфери діяльності держави, інформація набуває конкретних політичних, матеріальних і вартісних виразів; - все більш актуального характеру набувають питання забезпечення інформаційної безпеки Російської Федерації як невід'ємного елемента її національної безпеки, а захист інформації перетворюється на одне з пріоритетних державних завдань; - система національних інтересів Росії в галузі економіки, соціальної, внутрішньополітичної, міжнародної, інформаційної сфер, у сфері військової, прикордонної та екологічної безпеки визначається сукупністю збалансованих інтересів особистості, суспільства та держави; - державна політика забезпечення інформаційної безпеки Російської Федерації визначає основні напрями діяльності федеральних органів державної влади органів державної влади суб'єктів РФ у цій галузі. Концепція також визначає національні інтереси Росії в інформаційній сфері1, які спрямовані на зосередження зусиль суспільства та держави у вирішенні наступних завдань: - Дотримання конституційних прав і свобод громадян у галузі отримання інформації та обміну нею; - захист національних духовних цінностей, пропаганда національної культурної спадщини, норм моралі та суспільної моральності; - Забезпечення права громадян на отримання достовірної інформації; - Розвиток сучасних телекомунікаційних технологій.
Планомірна діяльність держави щодо реалізації зазначених завдань дозволить Російській Федерації стати одним із центрів світового розвитку та формування інформаційного суспільства, що забезпечує потреби особистості, суспільства, держави в інформаційній сфері, у тому числі їх захист від руйнівного впливу інформації для маніпулювання масовою свідомістю, а також необхідний захист державного інформаційного ресурсу від витоку важливої політичної, економічної, науково-технічної та військової інформації.
З урахуванням перелічених положень можна виділити такі принципи, на яких має ґрунтуватися державна політика забезпечення інформаційної безпеки Російської Федерації:
Дотримання Конституції Російської Федерації, законодавства Російської Федерації, загальновизнаних норм міжнародного права під час здійснення діяльності із забезпечення інформаційної безпеки країни;
Правова рівність усіх учасників процесу інформаційної взаємодіїнезалежно від їх політичного, соціального та економічного статусу, що ґрунтується на конституційному праві громадян на вільний пошук, отримання, передачу, виробництво та розповсюдження інформації будь-яким законним способом;
Відкритість, що передбачає реалізацію функцій федеральних органів державної влади та органів державної влади суб'єктів РФ, громадських об'єднань, що включає інформування товариства про їхню діяльність з урахуванням обмежень, встановлених законодавством Російської Федерації;
Пріоритетність розвитку вітчизняних сучасних інформаційних та телекомунікаційних технологій, виробництва технічних та програмних засобів, здатних забезпечити вдосконалення національних телекомунікаційних мереж, їх підключення до глобальних інформаційним мережамз метою дотримання життєво важливих інтересів Російської Федерації.
Організація діяльності органів внутрішніх справ щодо забезпечення інформаційної безпеки
Для забезпечення інформаційної безпеки потрібна наявність відповідних органів, організацій, відомств та забезпечення їх ефективного функціонування. Сукупність цих органів становить систему безпеки. Для виявлення особливостей організації та діяльності органів внутрішніх справ щодо забезпечення інформаційної безпеки розглянемо систему безпеки загалом.
Відповідно до Закону Російської Федерації "Про безпеку" систему безпеки, а отже та інформаційної безпеки утворюють: - органи законодавчої, виконавчої та судової влади; державні, громадські та інші організації та об'єднання; громадяни, які беруть участь у забезпеченні безпеки; - законодавство, що регламентує відносини у сфері безпеки. Зазначений закон закріплює лише організаційну структуру системи безпеки. Сама ж система забезпечення безпеки набагато ширша. Її розгляд неможливо, оскільки виходить поза рамки дисертаційного дослідження. Тож розглянемо лише організаційну структуру системи безпеки. Аналіз чинних нормативних правових актів дозволив виділити як суб'єкти забезпечення безпеки, які представляють організаційну структуру системи інформаційної безпеки1, такі компоненти: - федеральні органидержавної влади; органи державної влади суб'єктів Російської Федерації; органи місцевого самоврядування, вирішальні завданняу сфері забезпечення інформаційної безпеки у межах своєї компетенції; - державні та міжвідомчі комісії та поради, що спеціалізуються на вирішенні проблем забезпечення інформаційної безпеки; - структурні та міжгалузеві підрозділи захисту конфіденційної інформації органів державної влади Російської Федерації, а також структурні підрозділи підприємств, що здійснюють роботи з використанням відомостей, віднесених до державної таємниці, або що спеціалізуються на проведенні робіт в галузі захисту інформації; - науково-дослідні, проектні та конструкторські організації, які виконують роботи із забезпечення інформаційної безпеки; - навчальні заклади, які здійснюють підготовку та перепідготовку кадрів для роботи в системі забезпечення інформаційної безпеки; - громадяни, громадські та інші організації, які мають права та обов'язки щодо забезпечення інформаційної безпеки в установленому законом порядку;
Основними функціями розглянутої системи інформаційної безпеки Російської Федерації є1: - Розробка та реалізація стратегії забезпечення інформаційної безпеки; - Створення умов для реалізації прав громадян та організацій на дозволену законом діяльність в інформаційній сфері; - Оцінка стану інформаційної безпеки в країні; виявлення джерел внутрішніх та зовнішніх загроз інформаційній безпеці; визначення пріоритетних напрямів запобігання, парирування та нейтралізації цих загроз; - координація та контроль діяльності системи забезпечення інформаційної безпеки; - Організація розробки федеральних та відомчих програм забезпечення інформаційної безпеки та координація робіт з їх реалізації; - проведення єдиної технічної політики у сфері забезпечення інформаційної безпеки; - організація фундаментальних, пошукових та прикладних наукових досліджень у галузі інформаційної безпеки; - забезпечення контролю за створенням та використанням засобів захисту інформації за допомогою обов'язкового ліцензування діяльності в галузі захисту інформації та сертифікації засобів захисту інформації; - Здійснення міжнародного співробітництва у сфері інформаційної безпеки, представлення інтересів Російської Федерації у відповідних міжнародних організаціях.
Аналіз структури та функцій системи інформаційної безпеки, з урахуванням системи поділу влади, що склалася, дозволив виявити наступне: 1) основною метою системи інформаційної безпеки є захист конституційних прав і свобод громадян; 2) держава є головним та основним суб'єктом забезпечення інформаційної безпеки; 3) загальне керівництво суб'єктами забезпечення інформаційної безпеки у межах певних повноважень здійснює Президент Російської Федерації. До його повноважень у сфері забезпечення інформаційної безпеки належать: - Здійснення керівництва та взаємодії органів державної влади; - контроль та координація діяльності органів забезпечення інформаційної безпеки; - Визначення життєво важливих інтересів Російської Федерації в інформаційній сфері; - визначення внутрішніх та зовнішніх загроз цим інтересам; - Визначення основних напрямів стратегії забезпечення інформаційної безпеки. 4) Федеральне Збори Російської Федерації формує з урахуванням Конституції Російської Федерації законодавчу базу у сфері інформаційної безпеки; 5) Уряд Російської Федерації в межах своїх повноважень забезпечує керівництво державними органами забезпечення інформаційної безпеки, організує та контролює розробку та реалізацію заходів щодо забезпечення інформаційної безпеки міністерствами та іншими підвідомчими йому органами; 6) органи судової влади також є суб'єктами забезпечення інформаційної безпеки. Вони забезпечують судовий захист громадян, права яких було порушено у зв'язку з діяльністю щодо забезпечення інформаційної безпеки, здійснюють правосуддя у справах про злочини в інформаційній сфері; 7) особлива роль у забезпеченні безпеки держави, у тому числі й інформаційної безпеки, належить Раді безпеки Російської Федерації. Це конституційний орган, який має статус федерального органу виконавчої, але наділений достатніми повноваженнями у сфері забезпечення безпеки. Рада безпеки є єдиним дорадчим органом за Президента Російської Федерації, створення якого передбачено чинною Конституцією.
Форми та методи забезпечення інформаційної безпеки в органах внутрішніх справ
Розглянуті у попередньому параграфі питання організації системи захисту, у тому числі напрями забезпечення інформаційної безпеки, передбачають уточнення змісту завдань забезпечення інформаційної безпеки, методів, засобів та форм їх вирішення.
Форми, методи та засоби розглядаються через призму правового регулювання діяльності щодо забезпечення інформаційної безпеки, яка нерозривно пов'язана з ними, а отже, потребує уточнення та визначення правових кордонів їх використання. Крім того, рішення будь-якої теоретичної чи практичної задачі неможливе без певних способів - методів та засобів.
Вибір відповідних методів та засобів забезпечення інформаційної безпеки пропонується робити в рамках створення такої системи захисту інформації, яка гарантувала б визнання та захист основних прав і свобод громадян; формування та розвиток правової держави, політичної, економічної, соціальної стабільності суспільства; збереження національних цінностей та традицій.
При цьому така система повинна забезпечувати захист інформації, що включає відомості, що становлять державну, комерційну, службову та інші таємниці, що охороняються законом, з урахуванням особливостей інформації, що захищається в галузі регламентації, організації та здійснення захисту. В рамках цього різноманіття видів інформації, що захищається, на думку автора, можна виділити наступні найбільш загальні ознаки захисту будь-якого виду інформації, що охороняється1: - захист інформації організує і проводить власник або власник інформації або уповноважені ним на те особи (юридичні або фізичні); - організація ефективного захисту інформації дозволяє власнику захистити свої права на володіння та розпорядження інформацією, прагнути захистити її від незаконного володіння та використання на шкоду його інтересам; - захист інформації здійснюється шляхом проведення комплексу заходів щодо обмеження доступу до інформації, що захищається, та створення умов, що виключають або суттєво ускладнюють несанкціонований, незаконний доступ до захищеної інформації та її носіїв.
Для виключення доступу до інформації сторонніх осіб, що захищається, власник інформації, що здійснює її захист, у тому числі її засекречування, встановлює певний режим, правила її захисту, визначає форми та методи захисту. Таким чином, захист інформації є належним забезпеченням звернення інформації, що захищається в спеціальній, обмеженій режимними заходами сфері. Це підтверджується рядом підходів відомих ученых2, які розглядають захист інформації як "регулярне використання засобів і методів, вжиття заходів та здійснення заходів з метою системного забезпечення необхідної надійності інформації
З урахуванням змісту цього визначення, а також інших визначень поняття захисту інформації та виділених у них основних цілей захисту інформації, що включають запобігання знищенню чи спотворенню інформації; попередження несанкціонованого отримання та розмноження інформації можна виділити основне завдання захисту інформації в органах внутрішніх справ. Це збереження секретності інформації, що захищається.
У системі комплексного захисту інформації вирішення цього завдання здійснюється щодо рівнів захисту та дестабілізуючих факторів. А формування щодо безлічі завдань по цих групах здійснюється на основі аналізу об'єктивних можливостей реалізації поставлених цілей захисту, що забезпечують необхідний ступінь інформаційної безпеки. Враховуючи розглянуті положення, завдання можна поділити на дві основні групи:
1) своєчасне та повне задоволення інформаційних потреб, що виникають у процесі управлінської та іншої діяльності, тобто забезпечення спеціалістів органів внутрішніх справ конфіденційною інформацією;
2) захист засекреченої інформації від несанкціонованого доступу до неї інших суб'єктів.
Під час вирішення першої групи завдань - забезпечення фахівців інформацією - необхідно враховувати, що фахівці можуть використовувати як відкриту, і конфіденційну інформацію. Забезпечення відкритою інформацією нічим не обмежується, крім фактичної наявності. При забезпеченні секретної інформацією діють обмеження, що передбачають наявність допуску до інформації відповідного ступеня секретності та дозволу на доступ до конкретної інформації. Аналіз чинної практики та нормативних правових актів, що визначають порядок доступу спеціаліста до відповідної інформації, дозволив виділити низку протиріч. З одного боку, максимальне обмеження доступу до засекреченої інформації зменшує ймовірність витоку цієї інформації, з іншого - для обґрунтованого та ефективного вирішення службових завдань необхідно найповніше задоволення потреб фахівця в інформації. У звичайних, нережимних умовах, фахівець має можливість використовувати з метою вирішення проблеми, що стоїть перед ним, різноманітну інформацію. При забезпеченні його засекреченою інформацією можливості доступу до неї обмежуються двома факторами: його службовим становищем та вирішуваною фахівцем нині проблемою.
Друга група завдань передбачає захист конфіденційної інформації від несанкціонованого доступу до неї сторонніх осіб. Вона є спільною як для органів внутрішніх справ, так і для всіх органів державної влади та включає:
1) захист інформаційного суверенітету країни та розширення можливості держави щодо зміцнення своєї могутності за рахунок формування та управління розвитком свого інформаційного потенціалу;
2) створення умов ефективного використання інформаційних ресурсів суспільства та держави;
3) забезпечення безпеки інформації, що захищається: запобігання розкрадання, втрати, несанкціонованого знищення, модифікації, блокування інформації;
4) збереження конфіденційності інформації відповідно до встановлених правил її захисту, у тому числі попередження витоку та несанкціонованого доступу до її носіїв, запобігання її копіюванню, модифікації та ін.;
5) збереження повноти, достовірності, цілісності інформації та її масивів та програм обробки, встановлених власником інформації або уповноваженими ним особами.
- Додаток. Інструкція з організації захисту персональних даних, що містяться в інформаційних системах органів внутрішніх справ України
Наказ МВС РФ від 6 липня 2012 р. N 678
"Про затвердження Інструкції щодо організації захисту персональних даних, що містяться в інформаційних системах органів внутрішніх справ Російської Федерації"
Зі змінами та доповненнями від:
З метою забезпечення реалізації вимог законодавства Російської Федерації у сфері захисту персональних даних за їх автоматизованої обробки - наказую:
2. Начальникам підрозділів центрального апарату МВС Росії, керівникам (начальникам) територіальних органів МВС Росії, освітніх, наукових, медико-санітарних та санаторно-курортних організацій системи МВС Росії, окружних управлінь матеріально-технічного постачання системи МВС Росії, а також інших організацій та підрозділів , створених для виконання завдань та здійснення повноважень, покладених на органи внутрішніх справ Російської Федерації:
2.1. Організувати вивчення співробітниками, федеральними державними цивільними службовцями та працівниками органів внутрішніх справ Російської Федерації * (2) вимог цієї Інструкції в частині, що їх стосується.
2.3. Затвердити перелік посадових осіб, уповноважених на обробку персональних даних, які містяться в інформаційних системах органів внутрішніх справ*(3).
2.4. Провести протягом 2012-2013 років заходи щодо організації захисту персональних даних, що містяться в інформаційних системах персональних даних, відповідно до вимог Федерального закону від 27 липня 2006 р. N 152-ФЗ "Про персональні дані"*(4) та з урахуванням обсягів асигнувань, що виділяються МВС Росії на державне оборонне замовлення.
2.5. Забезпечити у строк до 30 листопада 2012 року збір та подання в установленому порядку в ДІТСіЗІ МВС Росії відомостей, зазначених у частині 3 статті 22 Федерального закону N 152-ФЗ.
2.6. Вжити заходів щодо подальшого подання в ДІТСіЗІ МВС Росії інформації, зазначеної в підпункті 2.5 цього наказу, у разі її зміни, а також припинення обробки персональних даних не пізніше двох календарних днів з дати виникнення таких змін або з дати припинення обробки персональних даних.
3. ДІТСІЗІ МВС Росії (С.Н. Ляшенко) забезпечити:
3.1. Веде перелік інформаційних систем персональних даних.
3.2. Подання у Федеральну службупо нагляду у сфері зв'язку, інформаційних технологій та масових комунікацій відомостей про оператора у порядку, встановленому Міністерством зв'язку та масових комунікацій Російської Федерації.
4. ДМСК МВС Росії (В.Л. Кубишко) спільно з ДІТСіЗІ МВС Росії (С.М. Ляшенко) забезпечити підготовку проведення курсів підвищення кваліфікації співробітників, федеральних державних цивільних службовців та працівників органів внутрішніх справ у сфері захисту персональних даних на базі федерального державного казенного освітнього закладу вищої професійної освіти "Воронезький інститут Міністерства внутрішніх справ Російської Федерації".
Реєстраційний N 25488
Затверджено інструкцію щодо організації захисту персональних даних, що містяться в інформаційних системах ОВС Росії.
Для забезпечення їхньої безпеки створюється система захисту. Вона повинна забезпечувати конфіденційність, цілісність та доступність даних під час їх обробки. Названа система включає в себе організаційні та технічні заходи, засоби запобігання несанкціонованому доступу, витоку інформації по технічним каналамта ін.
Вибір та реалізація методів та способів захисту інформації здійснюються на основі моделі загроз та залежно від класу інформаційних систем персональних даних. Класифікація проводиться підрозділом-оператором. Для цього створюється спеціальна комісія.
Моделі загроз розробляються кожної інформаційної системи на етапі її створення (модернізації).
Персональні дані обробляються лише після створення системи захисту та введення в експлуатацію інформаційної системи.
ПОНЯТТЯ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ ОВС
Ми вже раніше зупинялися на понятті інформаційної безпеки, яка у найбільш загальному вигляді може бути визначена як стан захищеності потреб особистості, суспільства та держави в інформації, при якому забезпечуються їх існування та прогресивний розвиток незалежно від наявності внутрішніх та зовнішніх інформаційних загроз. Конкретизуємо дане поняття стосовно тих цілей та завдань, які стоять перед правоохоронними органами на сучасному етапі. Для цього передусім звернемося до родового поняття – поняття «безпека».
В даний час безпека є невід'ємною характеристикою прогресу, а поняття безпеки є одним із ключових при дослідженні питань оптимізації людської діяльності, у тому числі діяльності по боротьбі зі злочинністю.
Протягом століть поняття безпеки неодноразово наповнювалося різним змістом та відповідно розумінням його сенсу. Так у давнину розуміння безпеки не виходило за рамки повсякденного уявлення і трактувалося як відсутність небезпеки чи зла для людини. У такому життєвому значенні термін «безпека» вживався, наприклад, давньогрецьким філософом Платоном.
У середні віки під безпекою розуміли спокійний стан духу людини, яка вважала себе захищеною від будь-якої небезпеки. Однак у цьому значенні цей термін не увійшов міцно до лексики народів Європи і до XVII ст. використовувався рідко.
Широкого поширення у наукових та політичних колах західноєвропейських держав поняття «безпека» набуває завдяки філософським концепціям Т. Гоббса, Д. Локка, Ж.Ж. Руссо, Б.Спінози та інших мислителів XVII-XVIII ст., означаючи стан, ситуацію спокою, що виникає внаслідок відсутності реальної небезпеки (як фізичної, і моральної).
Саме цей період робилися перші спроби теоретичної розробки цього поняття. Найцікавішою є версія, запропонована Зонненфельсом, який вважав, що безпека – це такий стан, при якому нікому нема чого побоюватися. Для конкретної людини таке становище означало приватну, особисту безпеку, а стан держави, за якої нема чого побоюватися, становив суспільну безпеку.
В даний час безпека традиційно розуміється як такий стан, у якому життєво важливі інтереси людини, суспільства, держави та міжнародної системи захищені від будь-якої внутрішньої чи зовнішньої загрози. З цієї точки зору безпекаможе бути визначена як неможливість завдання шкоди комусь або чомусь внаслідок прояву загроз, тобто. їх захищеність від загроз.
Слід зазначити, що цей підхід знайшов найбільше визнання як у науковому середовищі, і у сфері законотворчої діяльності.
У загальнометодологічному плані у структурі поняття «безпека» виділяють:
q об'єкт безпеки;
q загрози об'єкту безпеки;
q забезпечення безпеки об'єкта від проявів загроз.
Ключовим елементом визначення змісту поняття «безпека» об'єкт безпеки, тобто. те, що захищається від загроз. Вибираючи як об'єкт безпеки інформацію, що циркулює в органах внутрішніх справ, а також діяльність підрозділів поліції, пов'язану з виробництвом та споживанням інформації, ми можемо говорити про їх інформаційної безпеки – безпеки їхнього «інформаційного виміру».
У чинному російському законодавстві під інформаційною безпекою розуміється «стан захищеності національних інтересів в інформаційній сфері, що визначаються сукупністю збалансованих інтересів особи, суспільства та держави»(Доктрина інформаційної безпеки Російської Федерації). При цьому, під інформаційною сферою суспільства розуміється сукупність інформації, інформаційної інфраструктури, суб'єктів, які здійснюють збирання, формування, поширення та використання інформації, а також системи регулювання громадських відносин, що при цьому виникають..
Виходячи з зазначеного, під інформаційною безпекою органів внутрішніх справ розуміється стан захищеності інформації, інформаційних ресурсів та інформаційних систем ОВС, при якому забезпечується захист інформації (даних) від витоку, розкрадання у грати, несанкціонованого доступу, знищення, спотворення, модифікації, підробки, копіювання, блокування (Концепція забезпечення інформаційної безпеки органів внутрішніх справ Російської Федерації до 2020 року, затверджена наказом МВС Росії від 14.03.2012 № 169). Структура цього поняття наведено на рис. 4. Розглянемо її докладніше.
Мал. 4. Структура поняття «інформаційна безпека ОВС»
Об'єкт інформаційної безпеки ОВС. Як ми вже зазначали, як об'єкт інформаційної безпеки виступають:
q інформаційні ресурси органів внутрішніх справ, які використовуються при вирішенні службових завдань, у тому числі містять інформацію обмеженого доступу, а також спеціальні відомості та оперативні дані службового характеру.
Інформація, що використовується в органах внутрішніх справ, містить відомості про стан злочинності та громадського порядку на території, що обслуговується, про самі органи та підрозділи, їх сили та засоби. У чергових частинах, в оперпрацівників, дільничних інспекторів поліції, слідчих, співробітників експертно-криміналістичних підрозділів, міграційної служби, інших підрозділів на документах первинного обліку, та облікових журналах та інших носіях накопичуються масиви даних оперативно-розшукового та оперативно-довідкового призначення, в яких містяться відомості про:
– правопорушників та злочинців;
- Власниках автомототранспортних засобів;
- Власниках вогнепальної зброї;
– події та факти кримінального характеру, правопорушення;
– викрадених та вилучених речах, предметів антикваріату, а також інша інформація, що підлягає зберіганню.
Служби та підрозділи органів внутрішніх справ характеризуються даними:
– про сили та засоби, які має орган;
– про результати їхньої діяльності.
Наведені вище відомості використовуються при організації роботи підрозділів, при вжитті практичних заходів щодо боротьби зі злочинністю та правопорушеннями.
Крім зазначених відомостей широко використовується наукова та технічна інформація, яка необхідна для вдосконалення діяльності органів внутрішніх справ
Особливо слід виділити інформацію, використовувану органами внутрішніх справ під час розкриття та розслідування злочинів. До таких інформації можна віднести, зокрема:
Усі види доказів у кримінальній справі;
Матеріали кримінальної справи;
Відомості про хід розслідування кримінальної справи (тобто сукупність оперативної та процесуальної інформації про подію, що розслідується, плани проведення оперативно-розшукових і процесуальних дій);
Відомості про правоохоронців, які беруть участь у розслідуванні злочину;
Відомості про підозрюваних та обвинувачених у справі осіб;
Відомості про потерпілих, свідків та інших осіб, які сприяють розслідуванню злочину та ін.
Крім зазначених, захисту також підлягає інформація обмеженого доступу до фізичних та юридичних осіб, до якої посадові особи підрозділів поліції отримують доступ при виконанні службових обов'язків, зокрема при розкритті та розслідуванні злочинів;
q інформаційна інфраструктура органів внутрішніх справ під якою розуміється сукупність методів, засобів і технологій реалізації інформаційних процесів (тобто процесів створення, збору, обробки, накопичення, зберігання, пошуку, розповсюдження та споживання інформації), які необхідно здійснювати в ОВС при виконанні покладених на них законом завдань.
До інформаційної інфраструктури ОВС належать насамперед правоохоронні органи, що використовуються в практичній діяльності. інформаційні системи, мережіі мережі звязку(У тому числі і загального користування).
До інформаційної інфраструктури органів внутрішніх справ безумовно слід віднести і використовувані в практичній діяльності ОВС інформаційні технології– процеси, що використовують сукупність засобів та методів збору, обробки та передачі даних (первинної інформації) для отримання інформації нової якості про стан об'єкта, процесу чи явища (інформаційного продукту).
До об'єктів інформаційної інфраструктури належать і приміщення, у яких протікають інформаційні процеси, здійснювані у ході здійснення службової діяльності, обробки інформації на ЕОМ та ін.
Загрози об'єкту інформаційної безпеки. Організація забезпечення інформаційної безпеки органів внутрішніх справ повинна мати комплексний характер та ґрунтуватися на глибокому аналізі можливих негативних наслідків. При цьому важливо не упустити будь-які суттєві аспекти. Аналіз негативних наслідків передбачає обов'язкову ідентифікацію можливих джерел загроз, факторів, що сприяють їхньому прояву і, як наслідок, визначення актуальних загрозбезпеки інформації.
Виходячи з цього принципу, моделювання та класифікацію джерел загроз інформаційним ресурсам та інформаційній інфраструктурі ОВС доцільно проводити на основі аналізу взаємодії логічного ланцюжка:
Джерела загроз . Теоретично захисту інформації під джерелами загрози конфіденційної інформації розуміють потенційні носії загрози безпеці інформації , які в залежності від природи поділяють на антропогенні(викликані діяльністю людини), техногенніабо стихійні. По відношенню до самого об'єкта безпеки джерела загроз поділяються на зовнішніі внутрішні.
Аналіз положень Доктрини інформаційної безпеки Російської Федерації, і навіть інших нормативно-правових документів у сфері інформаційної безпеки дозволяє виділити такі джерела загроз інформаційної безпеки органів внутрішніх справ.
До основних зовнішніх джерел загроз інформаційній безпеці органів внутрішніх справ належать:
Розвідувальна діяльність спеціальних служб іноземних держав, міжнародних злочинних спільнот, організацій та груп, пов'язана зі збором відомостей, що розкривають завдання, плани діяльності, технічне оснащення, методи роботи та місця дислокації спеціальних підрозділів та органів внутрішніх справ Російської Федерації;
Діяльність іноземних державних та приватних комерційних структур, а також вітчизняних злочинних угруповань та комерційних організацій, які прагнуть отримати несанкціонований доступ до інформаційних ресурсів правоохоронних органів;
Стихійні лиха та природні явища (пожежі, землетруси, повені та ін. непередбачені обставини);
Різного роду техногенні аварії;
Відмови та несправності, збої у роботі елементів інформаційної інфраструктури, спричинених помилками у їх проектуванні та/або виготовленні.
До основних внутрішнім джереламзагроз інформаційної безпеки органів внутрішніх справ належать:
Порушення встановленого регламенту збору, обробки, зберігання та передачі інформації, яка використовується у практичній діяльності ОВС, у тому числі що міститься в картотеках та автоматизованих банках даних та використовується для розслідування злочинів;
Відмова технічних засобів та збої програмного забезпеченняв інформаційних та телекомунікаційних системах;
Використання несертифікованого програмного забезпечення, яке порушує нормальне функціонуванняінформаційних та інформаційно-телекомунікаційних систем, у тому числі систем захисту інформації;
Навмисні дії, а також помилки персоналу, безпосередньо зайнятого обслуговуванням інформаційних систем, що використовуються в органах внутрішніх справ, у тому числі зайнятого формуванням та веденням картотек та автоматизованих банків даних;
Неможливість або небажання обслуговуючого персоналу та/або користувачів інформаційних систем ОВС виконувати свої обов'язки (цивільні заворушення, аварії на транспорті, терористичний акт або його загроза, страйк тощо).
Вразливості . Під вразливістюу контексті розглянутого питання вважаємо за необхідне розуміти причини, що призводять до порушення встановленого режиму захисту інформації в органах внутрішніх справ . До таких причин можна віднести, наприклад:
Несприятлива криміногенна обстановка, що супроводжується тенденціями зрощення державних та кримінальних структур в інформаційній сфері, отримання кримінальними структурами доступу до конфіденційної інформації, посилення впливу організованої злочинності на життя суспільства, зниження ступеня захищеності законних інтересів громадян, суспільства та держави в інформаційній сфері;
Недостатність законодавчого та нормативного регулювання інформаційного обміну у правоохоронній сфері;
Недостатня координація діяльності органів внутрішніх справ та їх підрозділів щодо реалізації єдиної політики у сфері забезпечення інформаційної безпеки;
Недостатня активність в інформуванні суспільства про діяльність ОВС у роз'ясненні прийнятих рішень, у формуванні відкритих державних ресурсів та розвитку системи доступу до них громадян;
Недостатнє фінансування заходів щодо забезпечення інформаційної безпеки органів внутрішніх справ;
Зниження ефективності системи освіти та виховання, недостатня кількість кваліфікованих кадрів у галузі забезпечення інформаційної безпеки;
Відсутність єдиної методології збору, обробки та зберігання інформації оперативно-розшукового, довідкового, криміналістичного та статистичного характеру та ін;
Наявність таких особливостей конструктивного виконання та технічних характеристикелементів інформаційної інфраструктури, які можуть призвести до порушення цілісності, доступності та конфіденційності об'єктів безпеки. Так, наприклад, протокол TCP/IP, що використовується в глобальній електронній мережі Інтернет, спочатку розроблявся без урахування вимог інформаційної безпеки, а більша частина програмного забезпечення, що використовується в практичній діяльності ОВС, містить масу помилок і недокументованих можливостей.
Загрози . Перелічені вразливості породжують відповідні загрози безпеці інформації та інформаційній інфраструктурі органів внутрішніх справ. При цьому під загрозами об'єкту інформаційної безпеки розумітимемо сукупність умов та факторів, що створюють потенційну або реальну небезпеку витоку, розкрадання, втрати, знищення, спотворення, модифікації, підробки, копіювання, блокування інформації та несанкціонованого доступу до неї .
Однак, і це необхідно наголосити, загроза об'єкту безпеки не є чимось існуючим самостійно. Вона суть або прояв взаємодії об'єкта безпеки з іншими об'єктами, здатний завдати шкоди його функціонуванню та властивостям, або подібний прояв взаємодії підсистем та елементів самого об'єкта безпеки.
Безпека інформаційних ресурсів та інформаційної інфраструктури органів внутрішніх справ проявляється через безпеку їх найбільш важливих властивостей, до яких відносять:
q цілісність – властивість інформації та інформаційної інфраструктури, що характеризується здатністю протистояти несанкціонованому чи ненавмисному знищенню та спотворенню інформації;
q доступність - властивість інформації та інформаційної інфраструктури, що характеризується здатністю забезпечувати безперешкодний доступ до інформації суб'єктів, які мають на це належні повноваження;
q конфіденційність - властивість інформації та інформаційної інфраструктури, що характеризується здатністю інформації зберігатися таємно від суб'єктів, які не мають повноважень на право ознайомлення з нею.
Порушення зазначених властивостей об'єктів інформаційної безпеки ОВС і є загрозою інформаційної безпеки органів внутрішніх справ. Прояв цих загроз здійснюється шляхом:
q порушення цілісності інформації внаслідок її:
- втрати (розкрадання).Полягає у «виведенні» інформації та/або її носіїв з інформаційної сфери органів внутрішніх справ, що призводить до неможливості подальшого використання цієї інформації у діяльності ОВС;
- знищення.Знищення – це така дія на циркулюючу в органах внутрішніх справ інформацію та/або її носії, внаслідок якої вони припиняють своє існування або наводяться в такий стан, який зумовлює неможливість їх подальшого використання у практичній діяльності ОВС;
- спотворення (модифікації, підробки), тобто. внаслідок такого впливу на інформацію, що призводить до зміни її (інформації) змістового змісту, створення та/або нав'язування хибних носіїв інформації;
q порушення доступності інформації внаслідок її:
- блокування,тобто. припинення чи перешкоджання доступу до інформації уповноважених на те осіб;
- втрати;
q порушення конфіденційності інформації внаслідок:
- несанкціонованого розголошення інформації.Є навмисними або ненавмисними діями осіб, які мають доступ до інформації, що не підлягає розголошенню, сприяють несанкціонованому ознайомленню з цією інформацією третіх осіб.;
- несанкціонованого ознайомлення з інформацією.Є навмисними або ненавмисними діями осіб, які не мають права доступу до інформації, за ознайомленням з такою.
Забезпечення інформаційної безпеки. Ми вже зазначали, що інформаційна безпека органів внутрішніх справ – це захищеність інформаційних ресурсів та підтримуючої інформаційної інфраструктури ОВС від загроз, тобто. неможливість їм будь-якої шкоди, шкоди. Оскільки й інформаційні ресурси та інформаційна інфраструктура ОВС не існують самі по собі, поза практичною діяльністю органів внутрішніх справ, а власне кажучи є одними із засобів цієї діяльності, то цілком очевидно, що їхня захищеність може бути забезпечена лише шляхом створення таких умов діяльності органів внутрішніх справ, у яких потенційно небезпечні об'єктів безпеки впливу або попереджалися, або зводилися до такого рівня, у якому вони здатні завдати їм шкоди.
Таким чином, забезпечення інформаційної безпеки органів внутрішніх справ – це процес створення таких умов провадження діяльності органів внутрішніх справ, за яких потенційно небезпечні для інформаційних ресурсів та інформаційної інфраструктури ОВС впливи на них або попереджалися, або зводилися до рівня, що не перешкоджає вирішенню завдань, що стоять перед органами внутрішніх справ.
З цього визначення ясно видно, що забезпечення інформаційної безпеки носить допоміжний характер у системі діяльності органів внутрішніх справ, оскільки спрямоване створення умов досягнення основних цілей органів внутрішніх справ – передусім, ефективної боротьби зі злочинністю.
Забезпечення інформаційної безпеки ОВС має свою зовнішнюі внутрішню спрямованість. Зовнішня спрямованістьподібного роду діяльності обумовлена необхідністю забезпечення законних прав та інтересів правовласників інформації, що охороняється законом, залученої у сфері діяльності органів внутрішніх справ.
Внутрішня спрямованістьдіяльність із забезпечення інформаційної безпеки ОВС зумовлена необхідністю реалізації завдань та досягнення цілей, що стоять перед органами внутрішніх справ – насамперед виявлення, розкриття, розслідування та профілактика злочинів. Іншими словами, вона створює передумови для успішного виконання завдань, що стоять перед органами внутрішніх справ.
Діяльність із забезпечення інформаційної безпеки складає основі деякої сукупності найважливіших, ключових ідей і положень, званих принципами. До таких основних принципів слід віднести такі:
Гуманізм;
Об'єктивність;
Конкретність;
Ефективність;
Поєднання гласності та службової таємниці;
Законність та конституційність;
Відповідність обраних засобів та методів мети протидії;
Комплексність.
Принцип гуманізму полягає у забезпеченні прав і свобод людини та громадянина при здійсненні протидії загрозам інформаційній безпеці, у недопущенні протиправних посягань на її особистість, приниження честі та гідності людини, довільного втручання у її приватне життя, особисте та сімейне таємниці, обмеження свободи його інформаційної діяльності, а також у мінімізації збитків цих прав і свобод, коли їх обмеження здійснюється на законних підставах.
Принцип об'єктивності полягає в обліку при здійсненні протидії об'єктивних закономірностей у суспільному розвиткові, взаємодії суспільства з навколишнім середовищем, реальних можливостей суб'єктів забезпечення інформаційної безпеки ліквідувати загрозу або мінімізувати наслідки її реалізації. Цей принцип вимагає комплексного, системного підходу до визначення способів досягнення цілей діяльності за найменших витрат сил і коштів.
Принцип конкретності полягає у забезпеченні безпеки стосовно конкретних життєвих обставин з урахуванням різноманітних форм прояву об'єктивних законів на основі достовірної інформації як про внутрішні та зовнішні загрози, так і про можливості протидії їм. Достовірна інформація дозволяє встановити конкретні форми прояву загроз, визначити відповідно до цього цілі та дії щодо забезпечення безпеки, конкретизувати методи протидії загрозам, необхідні для їх реалізації сили та засоби.
Принцип ефективності полягає у досягненні цілей протидії за найменших витрат сил і коштів. Забезпечення інформаційної безпеки у будь-якій соціальній спільності потребує певних матеріальних, фінансових та людських ресурсів. Виходячи з цього, забезпечення безпеки, як і будь-яка суспільно корисна діяльність людей, має здійснюватися раціонально та ефективно. Зазвичай до критеріїв ефективності, які застосовуються на практиці, відносять відношення розміру запобіганої шкоди від реалізації загроз до витрат на протидію цим загрозам.
Принцип поєднання гласності та таємниці полягає у знаходженні та підтримці необхідного балансу між відкритістю діяльності щодо забезпечення інформаційної безпеки, що дозволяє досягти довіри та підтримки суспільства, а з іншого – у захисті службової інформації ОВС, розголошення якої може знизити ефективність протидії загрозам безпеці.
Принцип законності та конституційності означає здійснення всіх властивих державним організаціям та посадовим особам функцій у суворій відповідності до чинної конституції, законів та підзаконних актів, відповідно до встановленої в законодавчому порядку компетенції. Суворе та неухильне дотримання законності та конституційності має бути неодмінною вимогою, принципом діяльності не лише державних, а й недержавних органів, установ та організацій.
Принцип відповідності обраних засобів та методів мети протидії означає, що ці засоби та методи повинні, з одного боку, бути достатні для досягнення мети, а з іншого – не призводити до небажаних для суспільства наслідків.
Принцип комплексності використання наявних сил та засобів полягає у узгодженій діяльності суб'єктів протидії загрозам інформаційній безпеці та узгодженому застосуванню наявних для цього ресурсів.
Будучи видом забезпечення безпеки, забезпечення інформаційної безпеки має складну структуру, що включає цілі, засоби та суб'єкти цієї діяльності.
Як цілі діяльності щодо забезпечення інформаційної безпеки органів внутрішніх справ можна виділити такі:
q ліквідація (попередження) загроз безпеці;
q мінімізація шкоди від прояву загроз.
Ліквідація (попередження) загрозяк мета забезпечення інформаційної безпеки є такий характер взаємодії об'єкта безпеки і джерела загроз, при якому ці джерела перестають мати властивість породження загрози.
Мінімізація наслідківреалізації загрози як мета діяльності щодо забезпечення інформаційної безпеки виникає тоді, коли ліквідація (попередження) загроз не є можливою. Ця мета являє собою такий характер взаємодії об'єкта безпеки і джерела загроз, при якому загрози, що виявляються, своєчасно виявляються, здійснюється з'ясування і усунення причин, що сприяють цьому процесу, а також ліквідація наслідків прояву загроз.
Засоби забезпечення інформаційної безпеки – це сукупність правових, організаційних та технічних засобів, призначених для забезпечення інформаційної безпеки.
Усі засоби забезпечення інформаційної безпеки можна поділити на дві групи:
q формальні;
q неформальні.
До формальнимналежать такі засоби, які виконують свої функції захисту інформації формально, тобто переважно без участі людини. До неформальнимвідносяться кошти, основу яких є цілеспрямована діяльність людей.
Формальні засобиподіляються на фізичні, апаратніі програмні.
Фізичні засоби –механічні, електричні, електромеханічні, електронні, електронно-механічні тощо пристрої та системи, які функціонують автономно, створюючи різного роду перешкоди на шляху дестабілізуючих факторів.
Апаратні засоби -різні електронні, електронно-механічні тощо пристрої, що схемно вбудовуються в апаратуру системи обробки даних або сполучаються з нею спеціально для вирішення завдань захисту інформації. Наприклад, для захисту від витоку технічних каналів використовуються генератори шуму.
Фізичні та апаратні засоби об'єднуються в клас технічні засоби захисту інформації.
Програмні засоби- спеціальні пакети програм або окремі програми, що включаються до складу програмного забезпечення автоматизованих систем з метою вирішення завдань захисту інформації. Це можуть бути різні програмиз криптографічного перетворення даних, контролю доступу, захисту від вірусів та ін.
Неформальні засобиділяться на організаційні, правові та морально-етичні.
Організаційні засоби –спеціально передбачені у технології функціонування об'єкта організаційно-технічні заходи на вирішення завдань із захисту інформації, здійснювані як цілеспрямованої діяльності людей.
Правові засоби –існуючі в країні або нормативно-правові акти, що спеціально видаються, за допомогою яких регламентуються права та обов'язки, пов'язані із забезпеченням захисту інформації, всіх осіб і підрозділів, що мають відношення до функціонування системи, а також встановлюється відповідальність за порушення правил обробки інформації, наслідком чого може бути порушення захищеності інформації.
Морально-етичні норми –сформовані у суспільстві чи цьому колективі моральні норми чи етичні правила, дотримання яких сприяє захисту інформації, а порушення їх прирівнюється до недотримання правил поведінки у суспільстві чи колективі.
Морально-етичні методи захисту можна віднести до групи тих методів, які, з розхожого висловлювання, що «таємницю зберігають не замки, а люди», грають важливу роль захисту інформації. Саме людина, співробітник підприємства чи установи, допущена до секретів і накопичує у своїй пам'яті колосальні обсяги інформації, зокрема секретної, нерідко стає джерелом витоку цієї інформації, або з його вини суперник отримує можливість несанкціонованого доступу до носіїв інформації, що захищається.
Морально-моральні методи захисту інформації передбачають насамперед виховання співробітника, допущеного до секретів, тобто проведення спеціальної роботи, спрямованої на формування у нього системи певних якостей, поглядів та переконань (патріотизму, розуміння важливості та корисності захисту інформації та для нього особисто), та навчання співробітника, обізнаного про відомості, що становлять таємницю, що охороняється, правилам і методам захисту інформації, прищеплення йому навичок роботи з носіями секретної та конфіденційної інформації.
Суб'єктами забезпечення інформаційної безпеки є органи, організації та особи, уповноважені законом на провадження відповідної діяльності. До них відносяться, насамперед, керівники органів внутрішніх справ, співробітники відповідних підрозділів ОВС, які займаються питаннями забезпечення інформаційної безпеки (наприклад, співробітники технічних відділів, які здійснюють технічний захист об'єктів ОВС), федеральні органи виконавчої влади, які здійснюють наглядові функції в межах їхньої компетенції (наприклад , ФСБ у частині забезпечення збереження відомостей, що становлять державну таємницю) та ін.
Висновок
В органах внутрішніх справ приділяється серйозна увага питанням збереження секретних відомостей, вихованню у працівників високої пильності. Одна з них часто недооцінюється небезпека витоку таких відомостей. Вони виявляють безтурботність, що межує зі злочинною недбалістю при поводженні з секретними документами, що нерідко призводить до розголошення відомостей, що становлять державну таємницю, і навіть до втрати секретних виробів і документів. При цьому деякими працівниками органів внутрішніх справ встановлюються та підтримуються сумнівні небажані зв'язки, розголошуються стороннім особам відомості про методи та форми роботи органів внутрішніх справ. Низькі професійні якості окремих співробітників нерідко ведуть до порушення конспіративності заходів, що проводяться. Мета цього курсу розібратися, що ж таке інформаційна безпека, як і, якими засобами її можна забезпечити і уникнути тих негативних наслідків, які можуть настати для вас, якщо станеться витік конфіденційної інформації.
Кафедра інформатики та математики
Контрольна робота
"Основи інформаційної безпеки в органах внутрішніх справ"
Виконала:
Бичкова Олена Миколаївна
слухач 2 курсу 2 групи
Москва – 2009
План
1. Поняття та цілі проведення спеціальних перевірок об'єктів інформатизації; основні етапи проведення перевірки
2. Вразливість комп'ютерних систем. Концепція несанкціонованого доступу (НСД). Класи та види НСД
2.1 Вразливість основних структурно-функціональних елементів розподілених АС
2.2 Загрози безпеки інформації, АС та суб'єктів інформаційних відносин
2.3 Основні види загроз безпеці суб'єктів інформаційних відносин
Список використаної літератури
1. Поняття та цілі проведення спеціальних перевірок об'єктів інформатизації; основні етапи проведення перевірки
Об'єкт інформатизації - сукупність засобів інформатизації разом з приміщеннями, в яких вони встановлені, призначені для обробки та передачі інформації, що захищається, а також виділені приміщення.
Засоби інформатизації - засоби обчислювальної технікита зв'язку, оргтехніки, призначені для збору, накопичення, зберігання, пошуку, обробки даних та видачі інформації споживачеві.
Засоби обчислювальної техніки - електронні обчислювальні машини та комплекси, персональні електронні обчислювальні машини, у тому числі програмні засоби, периферійне обладнання, пристрої для телеобробки даних .
Об'єкт обчислювальної техніки (ВТ) - стаціонарний або рухомий об'єкт, який є комплексом засобів обчислювальної техніки, призначений для виконання певних функцій обробки інформації. До об'єктів обчислювальної техніки належать автоматизовані системи (АС), автоматизовані робочі місця (АРМ) інформаційно-обчислювальні центри (ІОЦ) та інші комплекси засобів обчислювальної техніки.
До об'єктів обчислювальної техніки можна віднести також окремі засоби обчислювальної техніки, виконують самостійні функції обробки інформації.
Виділене приміщення (ВП)- спеціальне приміщення, призначене для проведення зборів, нарад, бесід та інших заходів мовного характеру із секретних чи конфіденційних питань.
Заходи мовного характеру можуть проводитися у виділених приміщеннях з використанням технічних засобів обробки мовної інформації (ТСОІ) та без них.
Технічний засіб обробки інформації (ТСОІ)- технічний засіб, призначений для прийому, зберігання, пошуку, перетворення, відображення та/або передачі інформації каналами зв'язку.
До ТСОІ відносяться засоби обчислювальної техніки, засоби та системи зв'язку засоби запису, посилення та відтворення звуку, переговорні та телевізійні пристрої, засоби виготовлення та розмноження документів, кінопроекційна апаратура та інші технічні засоби, пов'язані з прийомом, накопиченням, зберіганням, пошуком, перетворенням, відображенням та/або передачею інформації каналами зв'язку.
Автоматизована система (AC)- Комплекс програмних та технічних засобів, призначених для автоматизації різних процесів, пов'язаних з діяльності людини. У цьому людина є ланкою системи.
Спеціальна перевіркаце перевірка технічного засобу обробки інформації, що здійснюється з метою пошуку та вилучення спеціальних електронних заставних пристроїв (апаратних закладок).
Атестат об'єкта захисту- документ, що видається органом із сертифікації або іншим спеціально уповноваженим органом, що підтверджує наявність на об'єкті захисту необхідних та достатніх умов для виконання встановлених вимог та норм ефективності захисту інформації.
Атестат виділеного приміщення- документ, що видається органом з атестації (сертифікації) або іншим спеціально уповноваженим органом, що підтверджує наявність необхідних умов, що забезпечують надійну акустичну захищеність виділеного приміщення відповідно до встановлених норм та правил.
Припис на експлуатацію- документ, що містить вимоги щодо забезпечення захищеності технічного засобу обробки інформації у процесі його експлуатації.
Програма атестаційних випробувань- обов'язковий для виконання, організаційно-методичний документ, що встановлює об'єкт та цілі випробування, види, послідовність та обсяг проведених експериментів, порядок, умови, місце та строки проведення випробувань, забезпечення та звітність за ними, а також відповідальність за забезпечення та проведення випробувань.
Методика атестаційних випробувань- обов'язковий для виконання, організаційно-методичний документ, що включає метод випробувань, засоби та умови випробувань, відбір зразків, алгоритм виконання операцій. За визначенням однієї чи кількох взаємозалежних характеристик захищеності об'єкта форми подання даних та оцінювання точності, достовірності результатів.
Протокол атестаційних випробувань- документ, що містить необхідні відомості про об'єкт випробувань, застосовувані методи, засоби та умови випробувань, а також висновок за результатами випробувань, оформлений у встановленому порядку.
Основні технічні засоби та системи (ОТСС)- технічні засоби та системи, а також їх комунікації, що використовуються для обробки, зберігання та передачі конфіденційної (секретної) інформації.
До ОТСС можуть належати засоби та системи інформатизації (засоби обчислювальної техніки, автоматизовані системи різного рівня та призначення на базі засобів обчислювальної техніки, у тому числі інформаційно-обчислювальні комплекси, мережі та системи, засоби та системи зв'язку та передачі даних), технічні засоби прийому, передачі та обробки інформації (телефонії, звукозапису, звукопідсилення, звуковідтворення переговорні та телевізійні пристрої, засоби виготовлення, тиражування документів та інші технічні засоби обробки мовної, графічної відео-, смислової та буквено-цифрової інформації), що використовуються для обробки конфіденційної (секретної) інформації.
Допоміжні технічні засоби та системи (ВТСС)- технічні засоби та системи, не призначені для передачі, обробки та зберігання конфіденційної інформації, що встановлюються спільно з ОТСС або у виділених приміщеннях.
До них відносяться:
Різного роду телефонні засоби та системи;
Засоби та системи передачі даних у системі радіозв'язку;
Засоби та системи охоронної та пожежної сигналізації;
Засоби та системи оповіщення та сигналізації;
Контрольно-вимірювальна апаратура;
Засоби та системи кондиціювання;
Засоби та системи провідної радіотрансляційної мережі та прийому програм радіомовлення та телебачення (абонентські гучномовці, системи радіомовлення, телевізори та радіоприймачі тощо);
Кошти електронної оргтехніки.
Підготовка документів за підсумками атестаційних випробувань:
За результатами атестаційних випробувань з різних напрямків та компонентів складаються Протоколи випробувань. На підставі протоколів приймається Висновок за результатами атестації з короткою оцінкою відповідності об'єкта інформатизації вимогам безпеки інформації, висновком про можливість видачі "Атестату відповідності" та необхідними рекомендаціями. Якщо об'єкт інформатизації відповідає встановленим вимогам щодо безпеки інформації, на нього видається Атестат відповідності.
Переатестація об'єкта інформатизації проводиться у разі, коли на нещодавно атестованому об'єкті було здійснено зміни. До таких змін може бути віднесено:
Зміна розташування ОТСС чи ВТСС;
Заміна ОТСС чи ВТСС інші;
Заміна технічних засобів захисту;
Зміни в монтажі та прокладанні слаботочних та солових кабельних ліній;
Несанкціоноване відкриття опечатаних корпусів ОТСС або ВТСС;
Виробництво ремонтно-будівельних робіт у виділених приміщеннях та ін.
У разі потреби переатестації об'єкта інформатизації повторна атестація проводяться, за спрощеною програмою Спрощення полягають, у тому, що випробувань піддаються лише елементи, що зазнали змін.
2. Вразливість комп'ютерних систем. Концепція несанкціонованого доступу (НСД). Класи та види НСД
Як показує аналіз, більшість сучасних автоматизованих систем (АС) обробки інформації в загальному випадку є територіально розподіленими системами, що інтенсивно взаємодіють (синхронізуються) між собою за даними (ресурсами) та управління (подіями) локальних. обчислювальних мереж(ЛВС) та окремих ЕОМ .
У розподілених АС можливі всі "традиційні" для локально розташованих (централізованих) обчислювальних систем способи несанкціонованого втручання у їх роботу та доступу до інформації. Крім того, для них характерні й нові специфічні канали проникнення в систему та несанкціонованого доступу до інформації.
Перерахуємо основні з особливостей розподілених АС:
· територіальна рознесеність компонентів системи та наявність інтенсивного обміну інформацією між ними;
· Широкий спектр використовуваних способів подання, зберігання та передачі інформації;
· Інтеграція даних різного призначення, що належать різним суб'єктам, у рамках єдиних баз даних і, навпаки, розміщення необхідних деяким суб'єктам даних у різних віддалених вузлах мережі;
Д.В. Перегудів,
УВС по Липецькій області
Правові аспекти захисту інформації в діяльності підрозділів економічної безпеки органів внутрішніх справ
Забезпечення інформаційної безпеки в рамках системи органів внутрішніх справ є організаційним об'єднанням сил і засобів, механізмів, способів і методів, що функціонують під контролем жорсткого дотримання чинних нормативно-правових актів у галузі захисту інформації. При цьому проблема забезпечення інформаційної безпеки тісно пов'язана не тільки з вирішенням науково-технічних завдань, але і з питаннями правового регулювання відносин інформатизації, розвитком законодавчої бази. У зв'язку з цим, можна зробити висновок про те, що захист інформації - це комплекс правових, організаційних та інженерно-технічних заходів (заходів), спрямованих на запобігання витоку інформації, що охороняється, несанкціонованого доступу до неї. У свою чергу, правові аспекти захисту набувають першочергового значення в блоці заходів захисту. Це пов'язано з тим, що правова регламентація відносин у сфері економічної безпеки визначає існування всіх інших заходів як фундаментальна основа, що поділяє поведінку суб'єктів (користувачів, власників та інших осіб) інформаційних відносин на «можливе (дозволене)» та «заборонене» щодо об'єкта - інформації. Організаційні та технічні заходи лише впорядковуються та узаконюються правовою базою.
У органах внутрішніх справ правове забезпечення інформаційної безпеки будується з урахуванням федерального законодавства Російської Федерації. Нормативно-правова база на відомчому рівні є спадкоємцем Закону РФ «Про державну таємницю», Закону РФ «Про інформацію, інформаційних технологійта про захист інформації», Указу Президента Російської Федерації від 03.04.1995 р. № 334 «Про заходи щодо дотримання законності в галузі розробки, виробництва, реалізації та експлуатації інформаційних засобів, а також надання послуг у галузі шифрування інформації», постанов Уряду Російської Федерації від 15.04.1995 р. № 333 «Про ліцензування діяльності підприємств та організацій з проведення робіт, пов'язаних з використанням відомостей, що становлять державну таємницю, створення засобів захисту інформації, а також із здійсненням заходів та (або) наданням послуг із захисту державної таємниці», від
26.06.1995 р. № 608 «Про сертифікацію засобів захисту інформації», від 15.09.1993 р. № 912-51 «Про державної системизахисту інформації Російської Федерації від іноземних розвідок та від її витоку по технічних каналах», від 05.01.2004 р. № 3-1 «Про затвердження Інструкції щодо забезпечення режиму секретності в Російській Федерації», а також на основі «Спеціальних вимог та рекомендацій щодо захисту інформації, що становить державну таємницю, від витоку технічних каналів», затверджених Рішенням Держтехкомісії України від 23.05.1997 р. № 55, Рішенням Держтехкомісії Росії від 03.10.1995 р. № 42 «Про типові вимоги до змісту та порядку розробки інформації від технічних розвідок та від її витоку по технічних каналах на об'єкті», від 16.07.1996 р. № 49 «Модель іноземних технічних розвідок на період до 2010 року» («Модель ІТП-2010») та ін-
них законодавчих та інших нормативних правових актів у галузі інформаційної безпеки, що регламентують порядок та правила технічного захисту інформації в Російській Федерації.
Особливість інформаційного забезпеченняв органах внутрішніх справ, зокрема у підрозділах економічної безпеки, полягає в тому, що співробітники цих підрозділів здійснюють свою діяльність у рамках роботи та поводження з інформацією, що становить державну таємницю.
Державна таємниця - це відомості, що захищаються державою, в галузі його військової, зовнішньополітичної, економічної, розвідувальної, контррозвідувальної та оперативно-розшукової діяльності, поширення яких може завдати шкоди безпеці Російської Федерації. Підрозділи економічної безпеки органів внутрішніх справ працюють із відомостями у сфері оперативно-розшукової діяльності, тобто, ґрунтуючись на Законі РФ від 12.08.1995 р. № 144-ФЗ «Про оперативно-розшукову діяльність». Віднесення до відомостей, що становлять державну таємницю, провадиться відповідно до Переліку відомостей, віднесених до державної таємниці, затверджених Указом Президента Російської Федерації від
30.11.1995 р. № 1203, і відповідно до правил віднесення відомостей, що становлять державну таємницю, до різних ступенів секретності, затверджених постановою Уряду Російської Федерації від 04.09.1995 р. № 870, а також на підставі переліку відомостей, що підлягають системі МВС Росії, що визначається міністром внутрішніх справ Російської Федерації. При цьому допуск осіб до відомостей, що становлять державну таємницю, провадиться відповідно до інструкції про порядок допуску посадових осіб та громадян Російської Федерації до державної таємниці, затвердженої постановою Уряду Російської Федерації від 28.10.1995 р. № 1050. В органах внутрішніх справ наказом МВС Росії від 02.03.2002 р. № 200 ДСП обумовлюється розгорнутий перелік відомостей, що підлягають засекреченню.
У свою чергу, підрозділи БЕЗ також працюють із відомостями, що становлять службову таємницю. До них відноситься інформація обмеженого поширення, доступ до якої обмежений органами державної влади, щоб уникнути шкоди як органам внутрішніх справ, так і безпеці органів державної влади Російської Федерації. Віднесення інформації до службових відомостей обмеженого поширення провадиться на підставі Приблизного переліку службових відомостей обмеженого поширення та документів, що їх містять, що утворюються у процесі діяльності органів внутрішніх справ, що визначається міністром внутрішніх справ Російської Федерації. Відповідно до Указу Президента Російської Федерації від 06.03.1997 р. № 188 "Про затвердження переліку відомостей конфіденційного характеру" службові відомості обмеженого поширення, що циркулюють у підрозділах БЕЗ, належать до відомостей конфіденційного характеру (конфіденційної інформації).
Основними відомчими нормативними актами у діяльності підрозділів боротьби з економічними злочинами у сфері забезпечення інформаційної безпеки є наказ МВС Росії від 05.07.2001 р. № 029 «Про затвердження Тимчасового настанови щодо технічний захистінформації в органах внутрішніх справ Російської Федерації та внутрішніх військах Міністерства внутрішніх справ Російської Федерації» та наказ МВС Росії від 15.03.2005 р. № 015 «Про затвердження Інструкції щодо забезпечення режиму таємності в органах внутрішніх справ». Перший нормативний документхарактеризує вимоги організаційно-технічного плану захисту інформації, що охороняється законом, у діяльності підрозділів БЕЗ, зокрема, визначає єдині техніко-математичні заходи захисту
інформації у всіх підрозділах органів внутрішніх справ, які здійснюють свою роботу з відомостями, що віднесені до державної та службової таємниць. Наказ МВС Росії №029:
Визначає об'єкти технічного захисту інформації, можливі загрози для цих об'єктів;
Встановлює єдиний та невід'ємний (обов'язковий) порядок реалізації заходів технічного захисту інформації;
Встановлює однакову форму документів, що оформлюються на об'єкт інформаційного захисту, на підставі яких при їх обробці встановлюється режим технічного захисту;
Визначає порядок контролю технічного захисту та ліцензування у цій галузі.
Незважаючи на те, що цей нормативний документ було вироблено ще у 2001 році, наразі у підрозділах економічної безпеки УВС по Липецькій області на районному рівні умови інформаційної діяльності не повною мірою відповідають вимогам цього наказу. Насамперед, це стосується матеріального забезпечення об'єктами, на яких ведеться обробка інформації (електронно-обчислювальна техніка, технічні засоби прийому, передачі та обробки інформації: звукозаписи, звуковідтворення, переговорні та телевізійні пристрої, засоби тиражування документів та інші), згідно з встановленими нормами положення . Навіть якщо такі об'єкти і є в підрозділах БЕЗ, то вони - у поодиноких примірниках та в моральному та технічному плані відстають від сучасних та передових засобів та технологій у цій галузі. У свою чергу, як недолік слід також відзначити про слабкі знання співробітників підрозділів БЕЗ, які експлуатують об'єкти технічного захисту інформації, нормативного законодавства з технічного захисту інформації під час вступу на посаду та протягом усього періоду виконання своїх службових функціональних завдань. При цьому ще й дається взнаки постійна плинність кадрів у цих підрозділах.
Наказ МВС Росії № 029-2001 р. здебільшого пов'язаний з технічним забезпеченням об'єктів інформаційного захисту, що включає:
Встановлення їх відповідності вимогам технічного захисту та документальне закріплення проведених технічних заходів захисту інформації, категорування об'єктів;
Складання технічних паспортів на ці об'єкти;
Розробку інструкції щодо забезпечення організаційних (режимних) та
технічні заходи захисту інформації;
Проведення спеціальних досліджень, спеціальних перевірок та обстежень даних об'єктів;
Оформлення розпорядження про експлуатацію об'єкта;
Проведення атестації об'єкта та заходів щодо контролю технічної
захисту інформації.
Як свідчить практика, в районних відділах внутрішніх справ через нечисленну кількість об'єктів інформаційного захисту робота з технічного захисту інформації, що охороняється, ведеться формально і зводиться лише до оформлення одноманітних документів, про смислове значення яких не мають уявлення працівники, які експлуатують об'єкти, щодо яких повинні діяти технічні. заходи захисту інформації відповідно до наказу МВС Росії №029-2001 р.
Більш предметним та відповідальним кроком у правовому полі стала розробка наказу № 015-2005 р., який включив у себе заходи організаційного та технічного характеруінформаційний захист. Закріплені у цьому наказі вимоги ка-
ються охорони відомостей, що становлять державну таємницю, та секретної службової інформації, що стосується поточної діяльності підрозділів органу внутрішніх справ. Даний відомчий акт встановлює чіткий та жорсткий порядок поводження та використання об'єктів інформаційного захисту – режим, обов'язковий для виконання всіма суб'єктами інформаційних відносин під загрозою настання передбаченої чинним законодавством відповідальності. Наказ МВС Росії № 015-2005 р. регулює відносини, пов'язані з прийомом, обробкою, зберіганням, використанням, передачею значимої та охоронюваної законом інформації в підрозділах БЕЗ, контролем за дотриманням запропонованих норм, визначенням заходів відповідальності за їх порушення, встановлює єдиний порядок у відносинах із суб'єктами інших органів внутрішніх справ - зовнішніми суб'єктами. Таким чином, правова охорона об'єктів інформаційного захисту є основою для розроблення та визначення організаційних та технічних заходів захисту інформації у підрозділах БЕЗ.
p align="justify"> Важливим напрямом у сфері законодавства з питань інформаційної безпеки в органах внутрішніх справ є визначення юридичної відповідальності за вчинення протиправного діяння щодо об'єкта захисту.
У юридичній науці та чинному законодавстві юридична відповідальність може виступати у чотирьох варіаціях:
Громадянська;
Адміністративна;
Дисциплінарна;
Кримінальна.
Враховуючи, що співробітники БЕЗ, які працюють із відомостями, що становлять державну таємницю, є посадовими особами органу виконавчої влади, на них лежить тягар жорсткої відповідальності за розголошення даних або їх втрату. У подібних випадках може бути лише два види відповідальності:
1) дисциплінарна;
2) кримінальна.
Їхнє розмежування залежить лише від характеру вчиненого правопорушення, і відмінність полягає у специфічних заходах покарання та особливому порядку їх застосування.
Дисциплінарна відповідальність полягає у накладенні на співробітника БЕЗ дисциплінарного стягнення повноваженнями начальника органу внутрішніх справ. Дисциплінарними заходами покарання є: попередження, догана, сувора догана, звільнення з органів внутрішніх справ. Однак в органах внутрішніх справ за порушення наказу МВС Росії № 015-2005 передбачена сувора дисциплінарна відповідальність, що виражається в накладенні на співробітника останніх трьох з вищеперелічених видів стягнення.
Дисциплінарна відповідальність може застосовуватися до співробітника економічної безпеки у разі недбалого ставлення до виконання своїх посадових обов'язків, що виявилося у порушенні режиму таємності, правил поводження зі відомостями, що належать до службової таємниці - конфіденційної інформації, не маючи на це будь-якого протиправного наміру.
Найбільш жорсткими заходами впливу характеризується кримінальна відповідальність, яка застосовується в судовому порядку до особи, винної у скоєнні злочину, тобто. винного, суспільно-небезпечного діяння, передбаченого Кримінальним кодексом Російської Федерації. Основні види злочинів у сфері захисту інформації наведено у таблиці.
Види злочинів у сфері захисту інформації
Стаття КК РФ
Диспозиція статті КК РФ
Міра покарання (санкція)
Стаття 272. Неправомірний доступ до комп'ютерної інформації 1. Неправомірний доступ до комп'ютерної інформації, що охороняється законом, тобто інформації на машинному носії, в електронно-обчислювальній машині (ЕОМ), системі ЕОМ або їх мережі, якщо це діяння спричинило знищення, блокування, модифікацію або копіювання інформації , Порушення роботи ЕОМ, системи ЕОМ або їх мережі; Карається штрафом у розмірі до двохсот тисяч рублів або у розмірі заробітної платиабо іншого доходу засудженого за період до вісімнадцяти місяців, або виправними роботами терміном від шести місяців до одного року, або позбавленням волі на строк до двох років;
те саме діяння, вчинене групою осіб за попередньою змовою або організованою групою або особою з використанням свого службового становища, а такою, що має доступ до ЕОМ, системи ЕОМ або їх мережі карається штрафом у розмірі від ста тисяч до трьохсот тисяч рублів або в розмірі заробітної плати або іншого доходу засудженого за період від одного року до двох років, або виправними роботами на строк від одного до двох років, або арештом на строк від трьох до шести місяців, або позбавленням волі на строк до п'яти років
Стаття 273. Створення, використання та розповсюдження шкідливих програмдля ЕОМ 1. Створення програм для ЕОМ або внесення змін до існуючих програм, що свідомо призводять до несанкціонованого знищення, блокування, модифікації або копіювання інформації, порушення роботи ЕОМ, системи ЕОМ або їх мережі, а також використання або розповсюдження таких програм або машинних носіїв з такими програмами; Караються позбавленням волі на строк до трьох років зі штрафом у розмірі до двохсот тисяч рублів або у розмірі заробітної плати чи іншого доходу засудженого за період до вісімнадцяти місяців;
ті ж дії, що спричинили необережність тяжкі наслідки караються позбавленням волі на строк від трьох до семи років
Стаття 274. Порушення правил експлуатації ЕОМ, системи ЕОМ або їх мережі 1. Порушення правил експлуатації ЕОМ, системи ЕОМ або їх мережі особою, яка має доступ до ЕОМ, системи ЕОМ або їх мережі, що спричинило знищення, блокування або модифікацію інформації ЕОМ, що охороняється законом, якщо це діяння завдало істотної шкоди; Карається позбавленням права обіймати певні посади або займатися певною діяльністю терміном до п'яти років, або обов'язковими роботами на строк від ста вісімдесяти до двохсот сорока годин, або обмеженням волі терміном до двох років;
те ж діяння, що спричинило необережність тяжкі наслідки карається позбавленням волі на строк до чотирьох років
Стаття 275. Державна зрада Державна зрада, тобто шпигунство, видача державної таємниці або інше надання допомоги іноземній державі, іноземній організації або їх представникам у провадженні ворожої діяльності на шкоду зовнішній безпеці Російської Федерації, вчинена громадянином Російської Федерації Карається позбавленням волі на строк від дванадцяти до двадцяти років зі штрафом у розмірі до п'ятисот тисяч рублів або у розмірі заробітної плати чи іншого доходу засудженого за період до трьох років або без такого.
Стаття 276. Шпигунство Передача, а також збирання, викрадення або зберігання з метою передачі іноземній державі, іноземній організації або їх представникам відомостей, що становлять державну таємницю, а також передача або збирання за завданням іноземної розвідки інших відомостей для використання їх на шкоду зовнішній безпеці Російської Федерації , якщо ці діяння вчинено іноземним громадянином або особою без громадянства Караються позбавленням волі на строк від десяти до двадцяти років
Стаття 283. Розголошення державної таємниці 1. Розголошення відомостей, що становлять державну таємницю, особою, якій вона була довірена або стала відома по службі або роботі, якщо ці відомості стали надбанням інших осіб за відсутності ознак державної зради; Карається арештом на строк від чотирьох до шести місяців або позбавленням волі на строк до чотирьох років із позбавленням права обіймати певні посади або займатися певною діяльністю на строк до трьох років або без такого;
те ж діяння, що призвело до необережності тяжкі наслідки карається позбавленням волі на строк від трьох до семи років з позбавленням права обіймати певні посади або займатися певною діяльністю на строк до трьох років
Стаття 284. Втрата документів, що містять державну таємницю Порушення особою, яка має допуск до державної таємниці, встановлених правил поводження з документами, що містять державну таємницю, а також з предметами, відомості про які становлять державну таємницю. строк від чотирьох до шести місяців або позбавленням волі на строк до трьох років з позбавленням
державну таємницю, якщо це спричинило з необережності їх втрату та настання тяжких наслідків
права обіймати певні посади або займатися певною діяльністю на строк до трьох років або без такого
З аналізу таблиці видно, що злочином можуть визнаватись дії, пов'язані з порушенням порядку використання відомостей, що становлять державну таємницю. В органах внутрішніх справ такі факти можуть мати місце лише за порушення режиму таємності. І за кожним фактом таких провин проводиться службова перевірка.
Порушенням режиму секретності в органах внутрішніх справ вважається розголошення відомостей, що становлять державну таємницю, тобто оприлюднення співробітником, якому ці відомості були довірені по службі, внаслідок чого вони стали надбанням сторонніх осіб; або втрата носіїв відомостей, що становлять державну таємницю, тобто вихід (зокрема і тимчасовий) носіїв відомостей із володіння співробітника, якому вони були довірені по службі, у результаті стали чи могли стати надбанням сторонніх осіб.
У разі виявлення даних фактів керівник відділу внутрішніх справ зобов'язаний проінформувати вищестояще керівництво, орган безпеки (підрозділ ФСБ) та організувати проведення службової перевірки та розшук носіїв відомостей, що становлять державну таємницю, а також вжити всіх заходів щодо локалізації можливої шкоди. Для проведення службової перевірки керівник має створити комісію, яка протягом місяця має:
1) встановити обставини розголошення відомостей, що становлять державну таємницю, або втрати носіїв, що містять такі відомості;
2) здійснити розшук втрачених носіїв;
3) встановити осіб, винних у розголошенні цих відомостей чи втраті носіїв;
4) встановити причини та умови, що сприяли розголошенню відомостей, що становлять державну таємницю, витоку носіїв, які містять такі відомості, та виробити рекомендації щодо їх усунення.
За результатами роботи цієї комісії оформляється висновок службової перевірки з вжиттям конкретних заходів до осіб, винних у порушенні режиму таємності.
Як свідчить практичний досвід, випадки вчинення оперативними співробітниками злочинів, пов'язаних із розголошенням державної таємниці, вкрай рідкісні. Найчастіше трапляються випадки дисциплінарних провин, що здійснюються співробітниками при недбалому та неналежному виконанні своїх посадових обов'язків щодо дотримання вимог режиму секретності.
Таким чином, аналізуючи правову базу, покликану забезпечити юридичний захист охоронюваних законом інтересів держави, суспільства, юридичних та фізичних осіб у галузі інформаційних відносин, можна зробити висновок про те, що в органах внутрішніх справ вона вкрай слабка. У її смисловому викладі відсутній предметний підхід до гострої та серйозної проблеми захисту державної та службової таємниць, хоча й є вимоги до обов'язкового дотримання режимних заходів інформаційного захисту, однак у практичному плані, особливо в районних підрозділах, контроль за виконанням зобов'язувальних приписів відомчих нормативних актів МВС Росії , територіальних органів внутрішніх справ практично відсутня, робота з технічної захищеності об'єктів інформаційного захисту ведеться формально без урахування конкретних характеристик об'єкта, матеріальне забезпечення технічними засобамизахисту
інформації не задовольняє потреб та умов діяльності оперативних підрозділів БЕЗ. 95% усіх порушень, пов'язаних з недотриманням нормативних актів із забезпечення інформаційного захисту органів внутрішніх справ, виявляються під час проведення перевірок вищими органами.
Викладене дозволяє зробити висновок про необхідність удосконалення правового забезпечення захисту інформації у діяльності як органів внутрішніх справ загалом, так і їхніх підрозділів економічної безпеки зокрема.
