Тема 1. Основные понятия курса «Правовые основы информационной безопасности» 1. Понятие и признаки информации. 2. Информационной сфера и ее элементы. 3. Понятие и структура информационной безопасности.

 1. Термин «информация» происходит от латинского слова «informatio», что означает сообщение, разъяснение, изложение.

ЮНЕСКО определило информацию как универсальную суб­станцию, пронизывающую все сферы человеческой деятельности, служащую проводником знаний и сведений, инструментом обще­ния, взаимопонимания и сотрудничества, утверждения стереотипов мышления и поведения.

В ст. 2. ФЗ «Об информации, информационных технологиях и защите ин­формации» информация определена как сведения (сообщения, данные) независимо от формы их представления.

Из этого определения можно выделить признаки, характеризующие легальную формулу информации.

Первым признаком следует назвать содержательность. Этот признак проявляется через отождествление информации со сведениями, которые выступают некими символами лиц, предметов, фактов, событий, явлений и процессов. Очевидно, что между сведениями и теми объектами, по поводу которых эти сведения возникли, нет взаимно однозначного соответствия. Данные сведения выступают лишь обозначением содержания, полученного из внешнего мира.

Вторым признаком будет являться независимость формы представления сведений. Он проявляется через возможность существования сведений о чем-либо в любой воспринимаемой форме: устной, письменной, визуальной, акустической. Сведения, выраженные в знаках, обычно называют данными.

В теории выделяют следующие основные общие признаки информации.

1. Системность, т. е. информация выступает средством системной организации материи.

2. Неисчерпаемость, которая предполагает отсутствие пределов существования информации.

3. Массовость, которая означает возможность использования информации неограниченным количеством пользователей без изменения ее содержания.

4. Трансформируемость информации - независимость содержания информации от формы фиксации и способа предъявления.

6. Универсальность информации - содержание информации может быть в произвольном объеме о любом событии или действии.

9. Качество, которое рассматривается как совокупность свойств информации, характеризующих степень ее соответствия потребностям. К таким свойствам относятся:

а) адекватность - соответствие информации тому, что автор вложил в ее содержание;

б) достоверность - степень соответствия информации объективной реальности;

в) полнота - достаточность информации для принятия решения;

г) своевременность - получение информации в сроки, необходимые для принятия решения;

е) доступность - мера возможности получить информацию;

ж) актуальность - степень соответствия информации текущему моменту времени;

з) ценность - степень важности информации для принятия решений.

 

Информация в качестве объекта правового регулирования обладает специфическими особенностями и юридическими свойствами, которые во многом определяют и отношения, возникающие при ее обращении между субъектами, и характер их поведения.

В статье 4 Закона сформулированы принципы правового регулирования отношений в сфере информации, информационных технологий и защиты информации:

1.              свобода поиска, получения, передачи, производства и распространения информации любым законным способом;

2.              установление ограничений доступа к информации только федеральными законами;

3.              открытость информации о деятельности государственных органов и органов местного самоуправления и свободный доступ к такой информации, кроме случаев, установленных федеральными законами;

4.              равноправие языков народов Российской Федерации при создании информационных систем и их эксплуатации;

5.              обеспечение безопасности Российской Федерации при создании информационных систем, их эксплуатации и защите содержащейся в них информации;

6.              достоверность информации и своевременность ее предоставления;

7.              неприкосновенность частной жизни, недопустимость сбора, хранения, использования и распространения информации о частной жизни лица без его согласия;

8.              недопустимость установления нормативными правовыми актами каких-либо преимуществ применения одних информационных технологий перед другими, если только обязательность применения определенных информационных технологий для создания и эксплуатации государственных информационных систем не установлена федеральными законами.

Выделяют следующие свойства информации как объекта правового регулирования:

- физической неотчуждаемости- информация практически не можетбыть отчуждена от создателя или иного обладателя, т. е. при передачеинформации другому лицу (лицам) она по-прежнему остается у пер­воначального носителя;

- обособляемости - для включения в оборот информация должна быть овеществлена, т. е. закодирована в виде волн {в т. ч. звуковых), сим­волов, знаков и т. п. Вследствие этого она обособляется от создателя(носителя) и существует независимо от него;

- информационной вещи (информационного объекта)- при овеществлении и включении в оборот информация обычно закрепляется на каком-то материальном носителе и распространяется с его помощью;

- тиражируемости (распространяемости)- информация может тиражи­роваться и распространяться в неограниченном количестве экземпля­ров без изменения ее содержания;

- организационной формы- информация, находящаяся в обороте, как правило, является документированной, т. е. существует в виде доку­мента или массива документов;

- экземплярности- информация распространяется, как правило, не са­ма по себе, а на материальном носителе, вследствие чего возможен учет экземпляров информации через учет носителей, содержащих ин­формацию.

Информация может проявляться в различных формах . Основными фор­мами информации являются:

- документированная;

- недокументированная.

Документированная информация— это информация, закрепленная на материальном носителе. Понятие документированной информации (до­кумента) содержится в ст. 2 Закона об информации и обозначает "зафик­сированную на материальном носителе информацию с реквизитами, по­зволяющими ее идентифицировать"

Электронная информация представляет собой сведения о лицах, предме­тах, фактах, событиях, явлениях и процессах, представленные в форме, по­зволяющей провести их непосредственную машинную обработку.

По роли в правовой системе информация разделяется на правовуюи неправовую.

Нормативная правовая информация создается в порядке правотворческой деятельности и содержится в нормативных правовых актах..

Ненормативная правовая информация создается, как правило, в по­рядке правоприменительной и правоохранительной деятельности. С помощью такой информации реализуются предписания правовых норм. Эта информация создается в объекте управления и движется в контуре обратной связи системы правового управления.

К ненормативной правовой информации относятся:

1) общая информация о состоянии законности и правопорядка;

2) информация о гражданско-правовых отношениях, договорных и иных обязательствах (договоры, соглашения и т.п. документы);

3) информация, представляющая административную деятельность органов исполнительной власти и местного самоуправления по испол­нению нормативных предписаний;

4) информация судов и судебных органов (судебные дела, судебныерешения и т.п.);

5) информация, связанная с раскрытием и расследованием право­нарушений.

По степени доступа информация подразделяется на открытую и информацию ограниченного доступа, распространение которой воз­можно в условиях конфиденциальности или секретности .

Документированная информация может быть подразделена и на другие виды. Так, ее можно разделить по создателям, по владельцам, по способам хранения и т. д.

Вопрос 2

Прежде чем перейти к изучению вопросов правового регулирова­ния общественных отношений, связанных с информацией, нужно хо­рошо исследовать ту сферу, в которой возникают общественные отно­шения, регулируемые информационным правом или подлежащие та­кому регулированию, определить состав объектов, которые наличествуют в этой сфере, выявить и установить особенности поведе­ния субъектов, действующих в информационной сфере и участвующих в информационных процессах.

Согласно п. 3.1.3 Национального стандарта РФ ГОСТ Р 53114-2008 "Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 18 декабря 2008 г. N 532-ст) информационная сфера: совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом общественных отношений.

В Доктрине информационной безопасности РФ под информационной сферой понимается совокупность информации, объектов информатизации, информационных систем, сайтов в информационно-телекоммуникационной сети «Интернет», сетей связи, информационных технологий, субъектов, деятельность которых связана с формированием и обработкой информации, развитием и использованием названных технологий, обеспечением информационной безопасности, а также совокупность механизмов регулирования соответствующих общественных отношений.

Информационная сфера рассматривается как сфера правового ре­гулирования информационных отношений с целью выявления роли и места информации в правовой системе, изучения мотивов и ос­нований производства, преобразования и применения информации разного вида и назначения, исследования особенностей и свойств информации, исследования информационных процессов и возни­кающих при их исполнении информационных отношений, установ­ления институтов информационного права. Информаци­онную сферу (среду) можно рассматривать как сферу деятель­ности субъектов, связанную с созданием, преобразованием и по­треблением информации. Именно в информационной сфере возникают общественные отношения, подлежащие правовому регулированию, при выполне­нии информационных процессов.

Информационная сфера , исходя из видов и способов представле­ния информации, особенностей ее преобразования и обращения, мо­жет быть разделена на две части:

- основную часть или часть собствен­но обращения информации

- и часть, обес­печивающую обращение информации.

Каждая из них в свою очередь подразделяется на области:

- основ­ная часть включает три области:

- Область поиска, получения и потребления информации

- Область производства и распространения исходной и производной информации

- Область формирования информационных ресурсов, подготовки информационных продуктов, предоставления информационных услуг

- обеспечивающая – две:

- Область создания и применения информационных технологий и средств их обеспечения

- Область создания и применения средств и механизмов информационной безопасности

Информационные процессы — процессы создания, сбора, обра­ботки, накопления, хранения, поиска, распространения информа­ции и потребления информации. В результате исполнения инфор­мационных процессов осуществляются информационные права и свободы, выполняются обязанности соответствующими структурами производить и вводить в обращение информацию, затрагивающую права и интересы граждан, а также решаются вопросы защиты лич­ности, общества, государства от ложной информации и дезинфор­мации, защиты информации и информационных ресурсов ограни­ченного доступа от несанкционированного доступа.

Информационные отношения — это те общественные отношения, которые возникают в информационных процессах. Они составляют основной предмет информационного права, предмет его правового регулирования.

Информационная сфера может быть разделена на четыре пред­метных области:

1)  реализации права на поиск, получение, передачу и примене­ние информации;

2)  производства, передачи и распространения исходной и про­изводной информации; формирования информационных ресурсов, подготовки ин­формационных продуктов, предоставления информационных услуг;

3)  создания и применения информационных систем (АИС, БД, баз знаний), других информационно-телекоммуникационных тех­нологий;

4)  создания и применения средств и механизмов информацион­ной безопасности.

Каждая предметная область включает в себя непересекающиеся множества элементов:

-       информация разного вида, назначения, фор­мы представления;

-       информационные процессы производства и об­ращения информации;

-       субъекты — участники и исполнители ин­формационных процессов;

-       общественные отношения, возникающие при исполнении информационных процессов, т.е. информацион­ные отношения.

3. Понятие и структура информационной безопасности

 

Информационная безопасность Российской Федерации - состояние защищенности личности, общества и государства от внутренних и внешних информационных угроз, при котором обеспечиваются реализация конституционных прав и свобод человека и гражданина, достойные качество и уровень жизни граждан, суверенитет, территориальная целостность и устойчивое социально-экономическое развитие Российской Федерации, оборона и безопасность государства.

Информационная безопасность включает следующие элементы:

-       безопасность  содержательной  части  (смысла)  информа­ции— отсутствие в ней побуждения человека к негатив­ным действиям, умышленно заложенных механизмов нега­тивного воздействия на человеческую психику или нега­тивного воздействия на иной блок информации (например, информация, содержащаяся в программе для ЭВМ, име­нуемой компьютерным вирусом);

-       защищенность информации от внешних воздействий (по­пыток   неправомерного   копирования,   распространения, модификации (изменения смысла) либо уничтожения.

Таким образом защита информации является составной частью информационной безопасности и представляет собой принятие правовых, организационных и технических мер, направленных на:

1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

2) соблюдение конфиденциальности информации ограниченного доступа;

3) реализацию права на доступ к информации.

Структуру правового обеспечения информационной безопасности можно представить следующим образом:

1. Защита интересов личности, общества, государства от угроз воздействия недоброкачественной информации, от нарушения порядка распространения информации включает защиту:

-       чести, достоинства и деловой репутации граждан и организаций;

-       духовности и интеллектуального уровня развития личности;

-       нравственных и эстетических идеалов;

-       стабильности и устойчивого развития общества;

-       информационного суверенитета и целостности государства от угроз воздействия вредной, опасной, недоброкачественной информации, недостоверной, ложной информации, дезинформации, от сокрытия информации об опасности для жизни личности, развития общества и государства, от нарушения порядка распространения.

(Институт массовой информации. Институт документированной информации. Нормы УК РФ. Нормы КоАП РФ)

2. Защита информации, информационных ресурсов и информационных систем от угроз несанкционированного и неправомерного воздействия посторонних лиц включает защиту:

            информации и информационных ресурсов прежде всего ограниченного доступа (все виды тайн, в том числе и личной тайны);

            информационных систем, информационных технологий, средств связи и телекоммуникаций от угроз несанкционированного и неправомерного воздействия посторонних лиц.

            (Институт документированной информации. Институт государственной тайны. Институт коммерческой тайны. Институт персональных данных. Другие виды тайн. Нормы УК РФ. Нормы КоАП РФ. Нормы ГК РФ).

3. Защита прав и свобод в информационной сфере в условиях информатизации включает защиту:

-       права на производство, распространение, поиск, получение, передачу и использование информации;

-       права на интеллектуальную собственность;

-       права собственности на информационные ресурсы и на документированную информацию, на информационные системы и технологии.

            (Институт интеллектуальной собственности. Институт документированной информации. Нормы УК РФ. Нормы КоАП РФ. Нормы ГК РФ).

Основные составляющие информационной безопасности

Информационная безопасность – многогранная, можно даже сказать, многомерная область деятельности, в которой успех может принести только системный, комплексный подход.

Спектр интересов субъектов, связанных с использованием информационных систем, можно разделить на следующие категории: обеспечение доступности, целостности и конфиденциальности информационных ресурсов и поддерживающей инфраструктуры.

Иногда в число основных составляющих ИБ включают защиту от несанкционированного копирования информации, но, на наш взгляд, это слишком специфический аспект с сомнительными шансами на успех, поэтому мы не станем его выделять.

Поясним понятия доступности, целостности и конфиденциальности.

Доступность – это возможность за приемлемое время получить требуемую информационную услугу. Под целостностью подразумевается актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения.

Наконец, конфиденциальность – это защита от несанкционированного доступа к информации.

Информационные системы создаются (приобретаются) для получения определенных информационных услуг. Если по тем или иным причинам предоставить эти услуги пользователям становится невозможно, это, очевидно, наносит ущерб всем субъектам информационных отношений. Поэтому, не противопоставляя доступность остальным аспектам, мы выделяем ее как важнейший элемент информационной безопасности.

Особенно ярко ведущая роль доступности проявляется в разного рода системах управления – производством, транспортом и т.п. Внешне менее драматичные, но также весьма неприятные последствия – и материальные, и моральные – может иметь длительная недоступность информационных услуг, которыми пользуется большое количество людей (продажа железнодорожных и авиабилетов, банковские услуги и т.п.).

Целостность можно подразделить на статическую (понимаемую как неизменность информационных объектов) и динамическую (относящуюся к корректному выполнению сложных действий (транзакций)). Средства контроля динамической целостности применяются, в частности, при анализе потока финансовых сообщений с целью выявления кражи, переупорядочения или дублирования отдельных сообщений.

Целостность оказывается важнейшим аспектом ИБ в тех случаях, когда информация служит "руководством к действию". Рецептура лекарств, предписанные медицинские процедуры, набор и характеристики комплектующих изделий, ход технологического процесса – все это примеры информации, нарушение целостности которой может оказаться в буквальном смысле смертельным. Неприятно и искажение официальной информации, будь то текст закона или страница Web-сервера какой-либо правительственной организации. Конфиденциальность – самый проработанный у нас в стране аспект информационной безопасности. К сожалению, практическая реализация мер по обеспечению конфиденциальности современных информационных систем наталкивается в России на серьезные трудности. Во-первых, сведения о технических каналах утечки информации являются закрытыми, так что большинство пользователей лишено возможности составить представление о потенциальных рисках. Во-вторых, на пути пользовательской криптографии как основного средства обеспечения конфиденциальности стоят многочисленные законодательные препоны и технические проблемы.

Если вернуться к анализу интересов различных категорий субъектов информационных отношений, то почти для всех, кто реально использует ИС, на первом месте стоит доступность. Практически не уступает ей по важности целостность – какой смысл в информационной услуге, если она содержит искаженные сведения?

Наконец, конфиденциальные моменты есть также у многих организаций (даже в упоминавшихся выше учебных институтах стараются не разглашать сведения о зарплате сотрудников) и отдельных пользователей (например, пароли).