Правовое обеспечение информационной безопасности. Государственная система информационной безопасности

Порядок защиты информационных объектов и ответственность за его нарушение должны регламентироваться правовыми актами. Все правовые документы, регулирующие вопросы информационной безопасности, можно разделить на общегосударственные документы (законы и кодексы, указы Президента РБ, постановления Совета Министров РБ) и ведомственные документы (внутриведомственные и межведомственные).

Государственное регулирование и управление в области информации, информатизации и защиты информации осуществляются Президентом РБ, Советом Министров РБ, Национальной академией наук Беларуси, Оперативно-аналитическим центром при Президенте РБ, Министерством связи и информатизации РБ, иными государственными органами в пределах их компетенции.

В соответствии с Законом РБ «Об информации, информатизации и защите информации» от 10 ноября 2008 г. № 455-3защите подлежит информация, неправомерные действия в отношении которой могут причинить вред ее обладателю, пользователю или иному лицу. При этом выделяется информация общедоступная и та, распространение и/или предоставление которой ограничено. К последней относятся информация о частной жизни физического лица и персональные данные; сведения, составляющие государственные секреты; информация, составляющая коммерческую и профессиональную тайну; информация, содержащаяся в делах об административных правонарушениях, материалах и уголовных делах органов уголовного преследования и суда до завершения производства по делу; иная информация, доступ к которой ограничен законодательными актами РБ.

Информация, распространение и/или предоставление которой ограничено, а также информация, содержащаяся в государственных информационных системах, должны обрабатываться в информационных системах с применением системы защиты информации, аттестованной в порядке, установленном Советом Министров РБ.

В соответствии с Законом РБ «О государственных секретах» от 19 июня 2010 г. № 170-З государственные секреты – сведения, отнесенные в установленном порядке к государственным секретам, защищаемые государством в соответствии с настоящим Законом и другими актами законодательства Республики Беларусь.  Государственные секреты РБ подразделяются на две категории: государственная тайна и служебная тайна.

Государственная тайна – государственные секреты, разглашение или утрата которых может повлечь тяжкие последствия для национальной безопасности, обороноспособности, экономических и политических интересов РБ, а также создать реальную угрозу безопасности либо правам и свободам граждан.

Служебная тайна – государственные секреты, разглашение или утрата которых может нанести ущерб национальной безопасности, обороноспособности, политическим и экономическим интересам РБ, а также правам и свободам граждан. Сведения, составляющие служебную тайну, как правило, имеют характер отдельных данных, входящих в состав сведений, являющихся государственной тайной, и не раскрывают ее в целом.

В соответствии со степенью секретности носителям сведений, составляющих государственную тайну, присваиваются ограничительные грифы: «Особой важности» и «Совершенно секретно», а носителям сведений, составляющих служебную тайну, – «Секретно».

В зависимости от степени секретности сведений, составляющих государственные секреты, устанавливаются три формы допуска к государственным секретам, соответствующие степени секретности этих сведений.

В Постановлении Совета Министров РБ «Положение о порядке обращения со служебной информацией ограниченного распространения» от 15 февраля 1999 г. № 237 определен общий порядок обращения со служебной информацией ограниченного распространения.

Согласно Постановлению Совета Министров РБ «О некоторых мерах по защите информации в РБ» от 10 февраля 2000 г. № 186 при обработке информации, отнесенной к информации ограниченного распространения, с использованием средств электронно-вычислительной техники должны применяться защищенные компьютерные системы, изготавливаемые на предприятиях РБ. В обоснованных случаях могут применяться компьютерные системы импортного производства, прошедшие специальные исследования и обеспеченные защитой, необходимый уровень которой подтвержден сертификатом соответствия.

В РБ существует законодательство, регламентирующее отношения в сфере электронного документооборота и защиту электронных документов при их создании, обработке, хранении и передаче. Это Закон РБ «Об электронном документе и электронной цифровой подписи»от 28 декабря 2009 г. № 113-Зи государственные стандарты на функцию хеширования и выработку и проверку электронной цифровой подписи (СТБ 1176.1-99 «Информационная технология. Защита информации. Функция хеширования» иСТБ 1176.2-99 «Информационная технология. Защита информации. Процедура выработки и проверки электронной цифровой подписи»). Подробно об этом см. раздел 3 данного пособия.

Закон РБ «Об органах государственной безопасности РБ» от 3 декабря 1997 г. № 102-З определяет правовые основы, принципы, основные задачи и направления деятельности органов государственной безопасности РБ.

Указом Президента РБ от 12 мая 2004 г. № 231 «Вопросы Государственного Центра безопасности информации при Президенте РБ» создан Государственный Центр безопасности информации при Президенте РБ (ГЦБИ), который Указом Президента № 229 от
21 апреля 2008 г. преобразован в Оперативно-аналитический центр при Президенте РБ (ОАЦ). ОАЦ назначен специально уполномоченным государственным органом, осуществляющим регулирование деятельности по обеспечению защиты информации, содержащей сведения, составляющие государственные секреты РБ, или иные сведения, охраняемые в соответствии с законодательством, как от утечки по техническим каналам, так и от несанкционированных и непреднамеренных воздействий. На ОАЦ возложены организация и проведение сертификации, аттестации, экспертизы и лицензирования в области технической защиты информации.

Еще одним видом информации, доступ к которой ограничен, является коммерческая тайна. К коммерческой информации относятся сведения по предприятиям и организациям любой формы собственности, направлениям их работ и выпускаемой продукции, о финансовом состоянии, деловых связях, сделках, а также деловые новости, предоставляемые информационными службами. Не все из этой информации должно быть ограничено в использовании, но нарушение конфиденциальности, целостности или доступности части этой информации может навести серьезный ущерб ее собственнику.

В Гражданском кодексе РБ в ст. 140 сказано, что информация составляет служебную или коммерческую тайну в случае, когда она имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании и обладатель информации принимает меры по охране ее конфиденциальности.

ВПостановлении Совета Министров РБ «Положение о коммерческой тайне» от 6 ноября 1992 г. № 670сказано, что коммерческую тайнусоставляют преднамеренно скрываемые экономические интересы и информация о различных сторонах и сферах производственно-хозяйственной, управленческой, научно-технической, финансовой деятельности субъекта хозяйствования, охрана которых обусловлена интересами конкуренции и возможной угрозой экономической безопасности субъекта хозяйствования.

Коммерческой тайной не может стать информация, являющаяся общеизвестной и общедоступной по законодательству РБ, являющаяся государственным секретом, а также защищенная патентным и авторским правом. Такая информация защищается отдельными законодательными актами.

Кроме того, посредством коммерческой тайны организация не имеет права скрывать любую незаконную и противоправную деятельность, способную нанести ущерб интересам государства.

Субъекту хозяйствования не позволяется скрывать информацию о численности и составе рабочих, их заработной плате, условиях труда, наличии свободных рабочих мест – такие сведения могут быть необходимы для защиты прав сотрудников.

Работники субъекта хозяйствования и лица, заключившие гражданско-правовые договоры, имеющие доступ к коммерческой тайне субъекта хозяйствования, принимают обязательство сохранять коммерческую тайну и без разрешения, выданного в установленном порядке, не разглашать сведения, ее составляющие, при условии, что эта информация ранее не была известна работникам или иному лицу, получившему к ней доступ, либо не была получена от третьей стороны без обязательства соблюдать в отношении ее конфиденциальность. Данное обязательство дается в письменной форме при приеме на работу, заключении гражданско-правового договора либо в процессе его исполнения. В случае невыполнения названных обязательств работники несут материальную ответственность.

Права, относящиеся к нематериальным результатам умственной деятельности в области производства, науки, литературы и искусства, относятся к интеллектуальной собственности. Такая информация охраняется Гражданским кодексом РБ, Законом РБ «О патентах на изобретения, полезные модели, промышленные образцы» от 16 декабря 2002 г. № 160-З, Законом РБ «О товарных знаках и знаках обслуживания» от 5 февраля 1993 г. № 2181-XIIиЗаконом РБ «Об авторском праве и смежных правах» от 16 мая 1996 г. № 370-XIII. Объекты авторского права и смежных прав получают охрану в силу самого факта их создания. Не требуется их регистрация или получение какого-либо документа, дающего право на их защиту. Они охраняются правом с момента их создания.

В большинстве составов преступлений против информационной безопасности предметом является информация автоматизированной системы обработки информации [3], хранящаяся в компьютерной сети, автоматизированной системе, на компьютерных носителях либо передаваемая сигналами, распространяемыми по проводам, оптическим волокнам, или радиосигналами.

В Уголовном кодексе РБоговорено наказание за незаконное собирание либо распространение информации о частной жизни (ст. 179), коммерческий шпионаж (ст. 254), разглашение коммерческой тайны (ст. 255), умышленное разглашение сведений, составляющих служебную тайну (ст. 375). К компьютерным преступлениям отнесены: несанкционированный доступ к компьютерной информации (ст. 349), модификация компьютерной информации (ст. 350), компьютерный саботаж (ст. 351), неправомерное завладение компьютерной информацией (ст. 352), изготовление либо сбыт специальных средств для получения неправомерного доступа к компьютерной системе или сети (ст. 353), разработка, использование либо распространение вредоносных программ (ст. 354), нарушение правил эксплуатации компьютерной системы или сети (ст. 355), совершение хищений с использованием компьютерной техники, хищение путем использования компьютерной техники (ст. 212).

Контрольные вопросы

1 Что такое информация?

2 Какие свойства присущи информации?

3 Дайте определения понятиям информационная безопасность и защита информации.

4 Что понимают под угрозой информации?

5 Раскройте содержание понятий искусственных и естественных угроз.

6 Приведите классификацию угроз информационной безопасности.

7 Что такое атака на информационный объект?

8. Дайте определение понятию нарушитель.

9 Приведите классификацию методов защиты информации.

10 Назовите основные нормативно-правовые акты в области информационной безопасности.

11 Какая информация не может быть ограничена в распространении?

12 Назовите особенности защиты государственных тайн и секретов.

13 Раскройте содержание понятий «государственная тайна» и «служебная тайна».

14 Какая информация относится к коммерческой?

15 Назовите особенности защиты коммерческой информации по сравнению с государственными тайнами и секретами.

16 В чем особенности защиты информации, составляющей интеллектуальную собственность?

17 Что такое сертификация? Для чего она проводится?

18 Какие бывают сертификаты? Охарактеризуйте виды сертификатов

19 Что такое лицензия? Каким образом наличие лицензирования влияет на качество обеспечения защиты информации?