Заключая разговор об информационной безопасности, скажем несколько слов и о роли законодательства. Эта роль выражается
· Во-первых, в очерчивании тех прав, которыми обладает гражданин, юридическое лицо или государственный орган в доступе к той или иной информации.
· Во-вторых, в законодательной защите информационных ресурсов, принадлежащих государству, юридическим лицам и частным собственникам.
Перечислим и прокомментируем те места из Российского законодательства, которые, так или иначе относятся к сфере информационной безопасности.
· Конституция Российской Федерации. Особо выделим 23 и 24 статьи конституции. В 23-я статье содержится в частности указание на тайну личной информации – личная и семейная тайна, тайна переписки и телефонных разговоров. В 24-четвертой статье с одной стороны говорится о недопустимости сбора, хранения, использования и распространения информации о частной жизни лиц без их согласия. С другой стороны «Органы государственной власти и органы местного самоуправления, их должностные лица обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом». Следует также обратить внимание на статью 41, где сказано, что «Сокрытие должностными лицами фактов и обстоятельств, создающих угрозу для жизни и здоровья людей, влечет за собой ответственность в соответствии с федеральным законом».
· Гражданский кодекс. Здесь обращаем внимание на статью 138 – «Служебная и коммерческая тайна». В статье выделяется особый вид информации - информации, составляющей служебную и коммерческую тайну. Обладатель такой информации вправе защищать ее от доступа третьими лицами любыми законными мерами. А поскольку в настоящее время к большей части информации мы получаем доступ посредством тех или иных информационных систем, то можно сказать, что данная статья является одной из основополагающих в области безопасности ИС.
· Уголовный кодекс. В первую очередь обратим внимание, что в кодексе содержится глава 28 с названием «Преступления в сфере компьютерной информации». Это важнейшая глава, о которой можно сказать, что наряду с другими средствами она является одним рубежей защиты информационных систем. Статья 272 главы описывает возможные наказания за «неправомерный доступ к компьютерной информации», статья 273 – наказания за «создание, использование и распространение вредоносных программ ЭВМ». И, наконец, статья 274 кодекса предусматривает наказание «нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети». Кроме этого в УК РФ имеется статья 138 «Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений» и статья 183 «Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну».
· Законы «О правовой охране программ для электронных вычислительных машин баз данных» 1992 года и закон «Об авторских и смежных правах» 1993 года являются основой защиты информации и программного обеспечения с точки зрения авторского права. Обратим внимание, что база данных, как и программное обеспечение являются объектами авторского права.
· Закон «О государственной тайне». Закон был введен в действие в 1993 году, а в 1997 в него были внесены существенные поправки. Данный закон регулирует поведение государственных органов (в частности специальных служб) в области информации, относящейся к государственной тайне. В законе дается определение того, что в нем понимается как государственная тайна. Государственная тайна это «защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации». В законе дается определение средств защиты информации: «средства защиты информации - технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации».
· Закон РФ «об информации, информатизации и защите информации». Отметим, что в законе дается ряд определений. В частности дается определение таким понятиям как «информация», «информационный процесс», «информационная система», «информационные ресурсы», «конфиденциальная информация». Глава 5 закона полностью посвящена защите информации. В статье 20 указанной главы перечисляются цели защиты информации. Заметим, что указанные там цели охватывают практически все возможные аспекты защиты доступности, целостности и конфиденциальности информации, о которых мы говорили ранее. К сожалению, в последующих статьях 21-24 упор делается на защиту конфиденциальности информации.
· Закон о лицензировании отдельных видов деятельности. Закон принят в 2001 году. В законе в частности дан полный перечень видов деятельности, на которую требуется получить лицензию. Нас в частности касается:
o деятельность по распространению шифровальных (криптографических) средств;
o деятельность по техническому обслуживанию шифровальных (криптографических) средств;
o предоставление услуг в области шифрования информации;
o разработка, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем;
o деятельность по выявлению электронных устройств, предназначенных для негласного получения информации, в помещениях и технических средствах (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя);
o деятельность по разработке и (или) производству средств защиты конфиденциальной информации;
o деятельность по технической защите конфиденциальной информации;
o разработка, производство, реализация и приобретение в целях продажи специальных технических средств, предназначенных для негласного получения информации, индивидуальными предпринимателями и юридическими лицами, осуществляющими предпринимательскую деятельность.
Заметим, что основными лицензирующими органами в области защиты информации являются в настоящее время Федеральная Служба Безопасности и Гостехкомиссия России.
· Закон об электронной цифровой подписи. Закон принят в 2001 году. Целью данного закона является «обеспечение правовых условий использования электронной цифровой подписи в электронных документах, при соблюдении которых электронная цифровая подпись в электронном документе признается равнозначной собственноручной подписи в документе на бумажном носителе». В законе в частности даны определения следующим понятиям: электронный документ, электронная цифровая подпись, владелец сертификата ключа подписи, средства электронной цифровой подписи, сертификат средств электронной цифровой подписи, закрытый ключ электронной цифровой подписи, открытый ключ электронной цифровой подписи, сертификат ключа подписи. В законе частности дается четкое определение того, когда электронная подпись равнозначна собственноручной подписи в документе. Обратим также внимание на то, что в законе дано определение информационной системе общего пользования. Информационная система общего пользования это «информационная система, которая открыта для использования всеми физическими и юридическими лицами и в услугах которой этим лицам не может быть отказано».
К проблемам безопасности мы еще вернемся в главе 3, когда будем рассматривать принципы проектирования информационных систем и в главе 5, при рассмотрении СУБД.