 |
Нормативно-правовая база защиты данных
|
|
|
|
Базой для построения системы защиты данных в целом и правовой защиты данных в частности являются информационные законы Российской Федерации. Основным из них является закон РФ «Об информации, информатизации и защите информации», большое значение которого состоит в том, что он ставит защиту данных в область юридического права и относит ее к приоритетным сферам заботы и ответственности государства. С принятием этого правового акта вся защита данных становится правовой, а все остальные формы защиты информации становятся лишь средствами реализации правовой защиты. В то же время любая форма и вид защиты данных должны соответствовать правовой, находиться в рамках закона и не противоречить установленным в ней нормам и стандартам.
Закон отмечает, что правовой (юридической) защите подлежит только документированная информация, оформленная в соответствии с требованиями законодательства РФ. Естественно, недокументированную информацию также можно и нужно защищать всеми доступными средствами, если эта защита не противоречит нормам и правилам ее использования. Правила защиты данных определяются в соответствии с законодательством и разграничением компетенции между различными государственными органами или собственниками этих данных.
Основными целями и направлениями защиты данных провозглашаются предотвращение потери и искажения данных, несанкционированного использования, угрозы безопасности человеку и государству, защита прав субъектов информатизации. Защита должна производиться как в интересах держателей информации (собственников, владельцев, пользователей), так и людей, имеющих непосредственное отношение к ним (авторов, пациентов медицинских учреждений, коммерсантов).
|
|
|
Закон регламентирует отношения различных держателей информации (собственников, владельцев, пользователей), их права и взаимные обязанности по предоставлению и использованию информации.
Закон устанавливает ответственность за нарушение требований и правил защиты информации: административную (наказание, возмещение ущерба), судебную (на уровне арбитражного или третейского суда), уголовную.
Законы РФ «Об авторском праве и смежных правах» и «О правовой охране программ для электронных вычислительных машин и баз данных» определяют:
• субъекты и объекты авторского, имущественного права, а также другого (смежного) права, в том числе, программу, базу данных, авторское право;
• основные положения авторского и смежного с ним права, в том числе, их защиты;
• правила распространения, использования, правовой (официальной) регистрации программ, баз данных.
Данные законы создают правовую базу для официального удостоверения и защиты авторских и имущественных прав на информационные продукты, рассматриваемые как произведения, прав на неприкосновенность программы и базы данных или их частей, защиты «чести и достоинства автора».
Правовая база процессов патентоведения основана в «Патентном Законе Российской Федерации», указах и постановлениях по вопросам патентоведения.
Вопросы лицензирования работ и услуг регламентируются в соответствующих законах, указах президента и постановлениях правительства.
Правовую базу защиты информации составляют также международные документы и соглашения, признаваемые или подписанные Россией. Это, в частности, Всемирная конвенция «Об авторском праве», ратифицированная СССР в 1973 г. (действительная для РФ как правопреемнице СССР), а также Бернская конвенция о защите интеллектуальной собственности зарубежных физических и юридических лиц, ратифицированная нашей страной в 1995 г.
|
|
|
К нормативно-правовым основам информационной безопасности и защиты информации относятся также «Руководящие документы» по защите от несанкционированного доступа, подготовленные Го с т е х -комиссией при Президенте РФ, а также гармонизированные ею «Критерии оценки безопасности информационных технологий» ITSEC, или «Европейские критерии». Данные документы имеют отношение, в основном, к программной и физической формам защиты, занятым практическим формированием ее систем.
Для организации и создания действенной системы информационной безопасности, как на национальном, так и международном уровнях, необходимы единые системы критериев и оценок. В «Европейских критериях» сформулированы общие требования информационной безопасности и критерии ее оценки. Эти требования и система оценок служат ориентиром при построении эффективной системы защиты данных.
Основу системы оценок и критериев составляют следующие понятия.
Гарантированность информационной безопасности - эффективность и корректность средств безопасности. Гарантированность определяется степенью уверенности в безопасности и защите.
Эффективность безопасности - это степень достоинства и пригодности средств защиты. Эффективность определяется мощностью (качеством и надежностью) механизмов защиты. Выделяются базовая, средняя и высокая мощности.
перечень основных функций включены:
• идентификация и аутентификация;
• безопасность обмена данными;
• управление доступом, подотчетность;
• обеспечение точности (целостности) информации;
• надежность обслуживания. Определяются 10 классов функциональности - от низких потребностей защиты и безопасности до высоких.
В «Руководящих документах Гостехкомиссиии» дается правовое описание защиты от несанкционированного доступа (НСД) к данным, обрабатываемым средствами вычислительной техники (СВТ) и автоматизированными системами (АС). Стратегия и задачи защиты формулируются в «Концепции защиты СВТ и АС от НСД к информации».
Автоматизированная система рассматривается как интеграция самой АС, операционной среды функционирования и соответствующего программно-информационного обеспечения, предусматривающая их активное взаимодействие. Поэтому, если защита данных СВТ относится в основном к физической форме защиты (данные статичны и только хранятся), то защита данных АС - это преимущественно программная форма, включающая следующие функции и процедуры:
|
|
|
- проверка полномочий пользователей, регистрация;
- построение модели нарушителя;
- внедрение и создание средств защиты;
- криптография;
- обеспечение целостности данных;
- установление соответствия технологии обработки и системы информационной безопасности.
Данные в АС переменны, взаимосвязаны и взаимодействуют друг с другом при выполнении различных информационных процессов. Основными требованиями защиты данных в АС в «Руководящих документах» являются:
• обеспеченность всеми необходимыми программно-техническими средствами на всех технологических этапах обработки информации и во всех режимах функционирования;
• отсутствие существенного снижения эффективности работы АС, ухудшения ее основных функциональных характеристик.
Построение системы защиты программной и физической защиты данных предусматривает решение следующих задач:
• создание необходимых средств защиты;
• оценку эффективности средств защиты, учитывающей характеристики объектов и средств защиты;
• контроль эффективности средств защиты - периодический, по мере необходимости, контролирующими органами.
Проверка полномочий пользователя, регистрация и защита от НСД должны осуществляться системой разграничения субъектов и объектов доступа и системой учета информации.
В качестве субъекта доступа рассматривается «лицо или процесс, действия которых регламентируются правилами разграничения доступа», объекта доступа - единицы информационного ресурса АС, доступ к которой регламентируется правилами разграничения доступа. Нарушитель - это субъект доступа, осуществляющий несанкционированный доступ к информации.
|
|
|
