Вы здесь

Правовые аспекты системы безопасности. Лекция 2. Правовые вопросы обеспечения безопасности (А. Н. Кришталюк, 2014)

Лекция 2. Правовые вопросы обеспечения безопасности

Учебные вопросы:

1. Основные условия успешного решения проблем правового обеспечения деятельности в области безопасности.

2. Государственная политика обеспечения безопасности.

3. Организационно-правовое обеспечение защиты информации.

Вопрос 1. Основные условия успешного решения проблем правового обеспечения деятельности в области безопасности

Ряд экспертов в области безопасности, исходя из опыта развития ситуации в последние 30–40 лет, пришли к заключению, что в качестве основополагающих предпосылок успеха в решении проблем правового обеспечения деятельности в этой сфере можно выделить следующие три, приведенные ниже.

1. Совершенствование законодательства.

В передовых странах с развитыми системами имущественного страхования большинство людей беспечно относится к вопросам охраны своей собственности в силу того, что уверены в получении страхового возмещения в случае кражи имущества. Это обстоятельство существенным образом облегчает задачу для потенциального преступника. С другой стороны, легкость достижения преступной цели толкает многих на неправедный путь.

На вопрос, над которым ломает голову общественность, кто больше виноват: собственник ли, беспечно и легкомысленно оставивший имущество без присмотра, или воришка, соблазнившийся на легкую добычу, в последнее время юристы склонны отвечать теорией о так называемой обоюдной ответственности. Человек слаб и зачастую не в силах устоять перед искушением, за малым прегрешением следует более серьезное, правонарушитель превращается в преступника, в результате криминогенная ситуация в обществе обостряется.

В настоящее время у специалистов-правоведов не вызывает сомнения, что разработка и принятие законодательных норм, предписывающих обязательное для собственника осуществление минимума мер в области обеспечения безопасности любых объектов собственности, способствовало бы сокращению преступных посягательств против собственности.

Понятие тайны, секрета тесно связано с понятием собственности. В рыночной экономике каждый собственник, в том числе и любой хозяйствующий субъект, обладает естественным правом за свой собственный счет охранять свои имущественные интересы и права (в том числе право на коммерческую тайну), естественно, без ущерба правам и интересам других собственников и общества в целом. Охранять это право – дорогостоящее дело. Обеспечивать безопасность объектов собственности, к примеру, засекречивать информацию "с запасом" объявляя ее коммерческой тайной, просто невыгодно. Коммерческая тайна наряду с рекламой – элемент маркетинга, и никто, кроме самого собственника и управляющего предприятием, отвечающих за получение прибыли и упущенную выгоду, не может определить необходимые объемы информации, требующие защиты, и соответствующие затраты, которые можно себе для этого позволить.

Казалось бы, противоречие неразрешимо? И все же специалисты склоняются к необходимости учитывать универсальный принцип о том, что право вообще и право собственности, в частности, неразрывно связаны и с определенными обязательствами, налагаемыми на их обладателей.

Так, ряд специалистов в нашей стране полагают, что внесение, к примеру, в банковское законодательство положений об обязательности принятия определенного минимума мер безопасности в наиболее уязвимых для преступных имущественных посягательств финансово-кредитных учреждениях, особенно привлекающих средства частных вкладчиков, способствовало бы сокращению преступности в этой сфере бизнеса. Этому способствовало бы и введение обязательного технического аудита систем защиты, без которого было бы нельзя получить лицензию на этот вид деятельности. Более того, корректировка в этом направлении законодательных актов способствовала бы углублению в обществе понимания важности проблемы безопасности вообще.

2. Необходимость регулирования правоотношений в сфере производства систем и средств безопасности.

На Западе общественность уже давно склоняется к тому, чтобы в этой сфере было введено государственное регулирование и лицензирование (как это уже имеет место в Израиле и некоторых штатах США). Одним из элементов государственного регулирования должно быть создание необходимой организационно-правовой и научно-технической базы лицензирования и сертификации, специальных аттестационных и сертификационных центров и лабораторий для проведения тестирования, чтобы пользователь мог иметь возможность отличить хорошее от дурного. Несомненно, что внедрение государственного регулирования в этой области является важным шагом на пути обуздания преступности.

3. Совершенствование систем страхования, связанного с обеспечением безопасности.

Ввиду резкого роста экономических преступлений в настоящее время (и в нашей стране это особенно) имущественное страхование становится все более рискованным и менее прибыльным. Очевидна взаимосвязь между страхованием имущества от всевозможных рисков, в том числе связанных с преступными посягательствами и положением дел в области производства и внедрения эффективных средств и систем защиты. Беспечный и легкомысленный собственник, оставляющий раскрытыми настежь двери и окна пустующего дома, провоцирующий тем самым преступника на совершение противоправных деяний, вряд ли может рассчитывать в случае совершения кражи на автоматическое страховое возмещение в полном объеме. Иначе выплата этого возмещения фактически означала бы прямое субсидирование криминального бизнеса. Процесс страхования поэтому сочетается с мерами, побуждающими собственника-страхователя обеспечивать необходимую безопасность своего имущества.

Размеры страховых взносов (премий), сумм возмещений и другие условия договоров имущественного страхования должны напрямую зависеть от эффективности мер безопасности, предпринимаемых страхователем, разумный обязательный минимум которых было бы целесообразно закрепить законодательно. Кроме того, желательно страхуемому собственнику одновременно с выдачей страхового полиса обеспечить возможность получения специальной подготовки и консультаций (плата за которые входила бы в стоимость полиса), относительно выбора в зависимости от существования тех или иных рисков и угроз подходящего оборудования и систем безопасности, а также их последующего внедрения. В ряде стран (США, Канада, Израиль) такого рода механизм уже запущен, что способствует сдерживанию роста преступлений против личности и собственности.

В условиях нынешней российской действительности, когда страховой рынок лишь формируется, главной заботой многих страховых компаний, к сожалению, является выдача страхового полиса и получение премии. О возможных финансовых последствиях заключенного страхового соглашения страховщики задумываются не всегда, да и порой недосуг, так как подвергать серьезной оценке принимаемые на страхование объекты некогда: того и гляди клиента перехватит менее разборчивый страховщик. Такая ситуация продлится недолго, еще несколько крупных убытков и отечественные страховщики также поймут, что выгоднее прибегнуть заблаговременно к услугам квалифицированных экспертов для оценки страхуемого риска, чем страховать объекты, состояние которых, в том числе эффективность систем обеспечения их безопасности, остается для страховой компании тайной за семью печатями.

Вопрос 2. Государственная политика обеспечения информационной безопасности

2.1. Принципы государственной политики

Информация и информационные ресурсы, как продукты общественного производства, являются объектами права собственности и, следовательно, имеют своих собственников и потребителей (пользователей).

Государственная политика обеспечения информационной безопасности основывается на следующих принципах:

– государство обеспечивает контроль за созданием, сохранностью и использованием национальных информационных ресурсов, а также способствует предоставлению гражданам доступа к мировым информационным ресурсам;

– государство обеспечивает право граждан свободно искать, получать, передавать, производить и распространять информацию любым законным способом;

– засекречивание есть исключение из общего права на доступ к информации; рассекречивание информации осуществляется в установленном законом порядке;

– ответственность за сохранность информации, ее засекречивание и рассекречивание персонифицируется;

– любое юридическое или физическое лицо, собирающее, накапливающее и обрабатывающее персональные и любые другие конфиденциальные данные, несет ответственность перед законом за их сохранность и использование;

– перечни сведений, могущих быть отнесенными к конфиденциальной информации или, наоборот, не могущие быть отнесены к таковым, определяются установленным законом порядком;

– интересы собственников, владельцев и распорядителей информационных ресурсов охраняются законом.

Для претворения в жизнь изложенных принципов необходима соответствующая инфраструктура информационной безопасности.

2.2. Деятельность государства по обеспечению информационной безопасности

Характерной особенностью настоящего этапа развития информационной безопасности является переход от ведомственных, в основном технократических подходов, к комплексному государственному. Возглавляет данную работу Совет Безопасности Российской Федерации. Он поднимает вопрос о разработке конституционных законов в сфере информатизации и информационной безопасности.

Для выработки государственной политики и координации организационно-правовой деятельности в данной сфере в соответствии с Законом РФ "О безопасности" в Совете Безопасности Российской Федерации создана Межведомственная комиссия по информационной безопасности.

Межведомственная комиссия формирует общегосударственный механизм выявления угроз и защиты интересов России в информационной сфере. При этом выделяются три основных направления ее деятельности, а именно обеспечение:

– защищенности системы формирования информационных ресурсов;

– необходимого уровня защищенности применяемых технологий передачи и обработки информации;

– конституционных прав и свобод граждан, законных интересов государства и общества в сфере информатизации.


Таблица 1.

Основные отличия информационного права


Таблица 2.

Классификация защищаемой информации


Межведомственной комиссией принят проект единой концепции информационной безопасности России, правовую основу которой составляют:

1. Конституция Российской Федерации.

2. Законы:

– "О безопасности";

– "О государственной тайне";

– "Об информации, информатизации и защите информации",

– "О коммерческой тайне";

– "О персональных данных".

Ключевым элементом концепции является отказ от взгляда на необходимость защиты только секретной информации и переход к осознанию необходимости защиты любого информационного ресурса, ценного для его владельца или собственника.

По оценке специалистов в сфере информации около 80 % составляет беспатентная неавторизованная часть, т. е. та информация, которая может быть защищена классическими средствами патентного права. В то же время среди информации этого типа существует такая, которую можно, при определенных условиях, использовать во вред законным интересам граждан, субъектов хозяйственной деятельности, государства и общества.

В зависимости от типа защищаемых информационных ресурсов система обеспечения информационной безопасности должна создаваться на соответствующих правовых и организационных основах (рис. 1.).


Рис. 1. Правовое и организационное обеспечение безопасности

Вопрос 3. Организационно-правовое обеспечение защиты информации

3.1. Правовое регулирование и организация работ по защите информации

Вопросы развития и внедрения безопасных информационных технологий тесным образом связаны не только с решением научно-технических проблем, но и с вопросами правового регулирования общественных отношений в процессе информатизации. При этом их решение в большей степени зависит не только от уровня развития вычислительной техники, но и от признания за информацией статуса товара, продукта общественного производства. Установление в законодательном порядке права собственности на информацию является важнейшим аспектом формирования информационной политики государства.

Первым шагом в направлении создания правовых норм, закрепляющих права и обязанности граждан, коллективов и государства на информацию, явилось принятие Закона РФ "Об информации, информатизации и защите информации" (приложение к главе 4). В нем определен правовой режим информации, правила, процедуры и распределение ответственности в области защиты информации в системах ее обработки, установлен порядок правовой защиты и гарантии реализации прав и ответственности субъектов информационных взаимоотношений.

В области информатизации закон разработан как базовый для дальнейшего развития законодательства, разработки подзаконных актов и организационных структур в этой области.

Согласно упомянутому Закону "Об информации, информатизации и защите информации" (ст. 2), собственник информационных ресурсов – субъект, в полном объеме реализующий полномочия владения, пользования и распоряжения ими.

Информационные ресурсы (согласно ст. 6 того же Закона) могут быть государственными и негосударственными и как элемент состава имущества находятся в собственности юридических и физических лиц. Отношения по поводу права собственности на информационные ресурсы регулируются в том числе и гражданским законодательством.

Правовой режим информационных ресурсов (ст. 4) определяется:

– порядком документирования информации;

– правами владения, пользования и распоряжения на отдельные документы и массивы документов в информационных системах;

– категорией информации по уровню доступа к ней;

– порядком правовой защиты информации. Собственник информационных ресурсов (в соответствии с п. 7 ст.6 Закона) имеет закрепленное законодательством РФ право:

– назначать лицо, осуществляющее хозяйственное ведение информационными ресурсами или оперативное управление ими;

– устанавливать в пределах своей компетенции режим и правила обработки, защиты информационных ресурсов и доступа к ним;

– определять условия распоряжения документами при их копировании и распространении.

Формирование рыночных экономических отношений в нашей стране совместно с поддержанием на должном уровне деятельности по обеспечению сохранности государственных секретов требует и усиленного внимания к вопросам промышленной и коммерческой тайны, так как институт коммерческой тайны является одновременно с авторским и патентным правом одной из правовых форм защиты интеллектуальной собственности.

В гл. 6 ГК РФ (ст. 128, 138) среди объектов гражданских прав предусмотрена информация, результаты интеллектуальной деятельности, в том числе исключительные права на них (интеллектуальная собственность), а также защита информации, составляющей служебную или коммерческую тайну (ст. 139).

Согласно ст. 139 действующего ГК РФ, информация составляет служебную или коммерческую тайну в случае, если она имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам; к ней нет свободного доступа на законном основании; обладатель информации принимает меры к охране ее конфиденциальности. Эта статья ГК усиливает возможность запрета отнесения к коммерческой тайне тех или иных сведений, поскольку в ней содержится норма, согласно которой "сведения, которые не могут составлять служебную или коммерческую тайну, определяются законом или иными правовыми актами", то есть и подзаконными в том числе.

Согласно этой же статье ГК РФ, лица, незаконными методами получившие информацию, которая составляет служебную или коммерческую тайну, обязаны возместить причиненные убытки. Такая же обязанность возлагается на работников, разгласивших служебную или коммерческую тайну вопреки трудовому договору, в том числе по контракту, и на контрагентов, сделавших это вопреки гражданско-правовому договору.

Ст. 183 Уголовного кодекса РФ предусматривает уголовную ответственность за "незаконное получение и разглашение сведений, составляющих коммерческую или банковскую тайну". При этом законодателем предусмотрены два состава преступления:

– собирание сведений, составляющих коммерческую или банковскую тайну;

– разглашение или использование указанных сведений без согласия владельца.

Собирание указанных сведений представляет собой формальный состав, т. е. для наступления уголовной ответственности достаточно самого факта собирания сведений, составляющих коммерческую или банковскую тайну независимо от наступления вредных последствий.

Уголовная ответственность за разглашение или использование подобных сведений без согласия владельца наступает в случае причинения указанными действиями крупного ущерба. Субъектами этого преступления являются лица, обладающие соответствующей информацией в связи со служебной или профессиональной деятельностью.

Из упомянутых правовых норм следует, что коммерческой тайной предприятия может быть все, что не запрещено законом или иными правовыми актами, охраняется предприятием и имеет ценность для предпринимательской деятельности, давая преимущество перед конкурентами, не владеющими ею.

Таким образом, фиксируется право собственника охранять свои интересы во взаимоотношениях со всеми субъектами рынка, включая государство. С юридическим закреплением понятия "коммерческая тайна" ко всему действующему массиву секретов в нашей стране, в том числе принадлежащих государству и им защищаемых (государственные секреты), добавился подмассив секретов, принадлежащих предприятию (служебные и коммерческие секреты), которые предприятие имеет право защищать, руководствуясь соображениями экономической безопасности и конкурентной борьбы.

Реализация этого права осуществляется предприятием в соответствии со ст. 139, 421 ГК РФ путем создания и поддержания на договорной основе с другими физическими и юридическими лицами систем безопасности предприятия и защиты коммерческой информации, включающих в себя комплекс правовых, организационных, инженерно-технических, социально-психологических и иных мер, основывающихся на административно-правовых нормах РФ и организационно-распорядительных документах руководства предприятия (см. приложение к главе 5). Введение их в действие на предприятии приказом руководства является необходимым условием функционирования системы защиты коммерческой тайны, поскольку эти документы представляют собой основной пакет нормативных документов, регулирующих правовые отношения в процессе обеспечения безопасности и защиты его коммерческой тайны на предприятии.

Правовые аспекты защиты информации наиболее тесно связаны с вопросами организации работ и процедурами технологического процесса обработки информации.

Зарубежные исследования показывают, что несмотря на успехи отдельных хакеров в проникновении в компьютерные системы и сети, большую опасность представляют законные пользователи этих систем и сетей, которые повинны в 80 % правонарушений.

Учитывая то обстоятельство, что терминалами автоматизированных систем (АС), узлами сетей и даже отдельными ПЭВМ в нашей действительности пользуется большое количество официально допущенных к работе пользователей, задача поиска правонарушителя серьезно затрудняется.

Хотя в состав программного обеспечения АС, не говоря уже о современных системах защиты информации от несанкционированного доступа (НСД), входят средства контроля и протоколирования действий пользователя и посторонних лиц, доказать вину конкретного субъекта, предъявляя ему в качестве улики его идентификатор или пароль, достаточно сложно по двум причинам:

1) юридически очень сложно доказать, что эти атрибуты сохраняются в надлежащей тайне, к тому же пароли часто бывают групповыми;

2) такие улики и способ их нахождения не зафиксированы законодательно.

Указанными причинами и объясняется рост компьютерной преступности как со стороны хакеров, так и законных пользователей АС. Положение с организацией противодействия компьютерной преступности в настоящее время очень сложное, что обусловлено рядом причин:

– отсутствие опыта применения законодательства, предусматривающего административную, гражданскую, материальную и уголовную ответственность за компьютерные правонарушения;

– отсутствием должной координации деятельности по борьбе с компьютерной преступностью правоохранительных органов, специальных служб, органов суда и прокуратуры;

– отсутствием в системе правоохранительных органов, органах суда и прокуратуры специально подготовленного состава, способного осуществлять выявление, предупреждение и пресечение компьютерных преступлений;

– отсутствием учета правонарушений, совершаемых с использованием средств информатизации;

– отсутствием необходимого технического и методического инструментария и опыта выявления и пресечения данного рода правонарушений;

– низким уровнем информационной и правовой культуры общества.

Любой закон будет действовать только при наличии механизма его реализации в виде организационных структур, обеспечивающих выполнение положений этого закона на всех уровнях управления.

Иерархическая структура управления деятельностью по обеспечению безопасности информации предусмотрена в Законе "Об информации, информатизации и защите информации" для координации, организационно-методического руководства деятельностью в этой области, контроля защищенности информации, осуществления других связанных с этим функций.

3.2. Административное регулирование вопросов защиты информации

Административное регулирование и практическая деятельность в области защиты информации в нашей стране была связана, в основном, с защитой государственных секретов в традиционной сфере обращения документов и в меньшей степени их защите при автоматизированной обработке.

В результате к концу 80-х годов сложилась ситуация, когда на государственном уровне отсутствовали утвержденные нормативно-технические требования по защите информации от НСД.

Единственным официальным документом, в очень общем виде определявшим требования в этой области, была инструкция по секретному делопроизводству, в ряде разделов которой содержались некоторые рекомендации по вопросам организации автоматизированной обработки информации. Это не означало, что в стране не занимались вопросами защиты от НСД, но организована эта работа была и координировалась на отраслевом уровне.

Для устранения этого недостатка Межведомственная комиссия осуществляет интеграцию, предусматривающую реализацию единой научно-технической политики по комплексной защите информации на всех уровнях управления силами Гостехкомиссии России. Таким образом, данная государственная система защиты информации осуществляет:

– координацию деятельности органов и организаций в области защиты информации, обрабатываемой техническими средствами;

– организационно-методическое руководство этой деятельностью, включая утверждение нормативно-технической документации;

– разработку и финансирование научно-технических программ по созданию средств защиты информации;

– лицензирование деятельности предприятий по оказанию услуг в этой области;

– функции государственного органа по сертификации продукции по требованиям безопасности информации.

Государственная система защиты информации дополняется системой контроля защищенности информации в лице уполномоченных государством органов (Гостехкомиссией РФ), осуществляющих обязательный контроль за выполнением требований по защите информации, являющейся собственностью государства. Такие контрольные органы могут предоставлять для собственников негосударственной конфиденциальной информации услуги по оценке соответствия уровня защищенности этой информации установленным требованиям, о чем подробно написано в главе 19.

Необходимость существования государственной системы защиты информации и соответствующих организационных структур подтверждается не только в условиях так называемой административно-командной системы, но и в странах с развитыми рыночными отношениями. Зарождающаяся правовая основа защиты информации, приобретающая особенно большое значение в условиях сосуществования различных форм собственности, может опираться только на конкретные организационные структуры, осуществляющие законотворческую деятельность и являющиеся базой механизма реализации законов. Нельзя забывать, что и органы юстиции, являющиеся неотъемлемой принадлежностью любого государства, в случае противоправной деятельности по отношению к информации, должны опираться на определенные организационные структуры.

Важными элементами государственной системы защиты информации являются подсистемы лицензирования деятельности предприятий по оказанию услуг в области защиты информации и сертификации средств защиты информации. Функционирование указанных систем должно стимулировать разработку и внедрение современных, высококачественных технических средств и защитить потребителя продукции и услуг от недобросовестной работы исполнителя.

3.3. Система лицензирования

Система лицензирования направлена на создание условий, при которых право заниматься работами по защите информации для стороннего заказчика предоставлено только организациям, имеющим на этот вид деятельности соответствующее разрешение (лицензию). Это диктуется тем обстоятельством, что государственным и, в конечном счете, коммерческим структурам необходима доброкачественная продукция, действительно обеспечивающая защиту информации.

Система лицензирования в области защиты информации в настоящее время основана на Законе "О государственной тайне"; Положениях "О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны" и "О государственном лицензировании деятельности в области защиты информации".

В Законе "О государственной тайне" (ст. 27) вводится новая правовая норма – обязательное лицензирование деятельности предприятий, учреждений и организаций при их допуске к выполнению работ, связанных с использованием сведений, составляющих государственную тайну; к созданию средств защиты информации, а также к осуществлению мероприятий и оказанию услуг по защите государственной тайны.

Организационную структуру системы государственного лицензирования образуют:

– государственные органы по лицензированию;

– лицензионные центры;

– предприятия, претендующие на получение лицензии;

– предприятия-потребители услуг и продукции.

Следует отметить, что указанный пакет документов предусматривает в качестве обязательного условия функционирование этой системы на предприятиях государственного сектора, которая в то же время может быть использована по желанию потребителя и на предприятиях с другими формами собственности.

Согласно положениям, предприятие-заявитель, претендующее на получение лицензии, может обратиться с соответствующей заявкой в любой из лицензионных центров по отраслевому или региональному признаку и после обследования, проведенного экспертной комиссией, учитывающей техническую оснащенность предприятия-заявителя, опыт практической работы и готовность персонала, наличие нормативно-технических документов в выбранном направлении деятельности, получить лицензию на право оказания услуг сторонним предприятиям в этой области. При этом закрепляется также положение об обязательной государственной аттестации руководителей предприятий, ответственных за защиту сведений, составляющих государственную тайну.

Следует отметить, что на проведение работ по защите информации в собственных нуждах приобретение лицензии не требуется.

3.4. Система сертификации

Под сертификацией продукции на требования безопасности информации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа-сертификата и знака соответствия с определенной степенью достоверности подтверждается, что продукция соответствует требованиям стандартов по безопасности информации или иных нормативно-технических документов, утвержденных органом государственного управления в этой области (в настоящее время Гостехкомиссией РФ).

Система предусматривает сертификацию технических, программно-технических, программных средств, систем, сетей вычислительной техники, как законченной научно-технической продукции, средств защиты и контроля эффективности защиты по требованиям безопасности информации.

Основные принципы, организационная структура системы сертификации продукции по требованиям безопасности информации, а также правила проведения сертификации этой продукции изложены в "Положении о сертификации средств защиты информации".

Положение о сертификации средств защиты определяет.

1) структуру, взаимоотношения и права организаций, специализирующихся в области защиты информации;

2) необходимый комплекс сведений при решении двух практических задач, организации сертификации разработанных средств защиты; целесообразности заключения договоров о разработке и покупке средств защиты информации.

Система сертификации продукции по требованиям безопасности информации направлена на: обеспечение прав собственника и владельца информации (владельца автоматизированной системы); сохранение в тайне информации, обрабатываемой средствами вычислительной техники; исключение несанкционированного ее искажения или уничтожения; поддержание АС в управляемом состоянии. Она призвана обеспечить потребителям средств вычислительной техники (СВТ) и АС безопасную обработку любой конфиденциальной или иной ценной информации.

В то же время при реализации эта система требует объективности и независимости проведения испытаний образцов продукции и экспертизы результатов таких испытаний. Это возможно при выполнении следующих условий: наличия постоянного совершенствования нормативно-технических документов, определяющих требования к характеристикам защищенности продукции, использования в процессе испытаний сертифицированных тестовых средств при строгом соблюдении предписанных правил и процедур.

Следует отметить, что и в вопросах сертификации продукции в целом, в сертификации СВТ по требованиям безопасности информации мы значительно отстали от развитых зарубежных стран. В США, например, для обработки секретной и несекретной информации правительственных ведомств и фирм-подрядчиков Пентагона используется только сертифицированная по требованиям безопасности национальных стандартов программно-техническая продукция. В этих целях публикуются соответствующие каталоги защищенных СВТ, и на рынок поставляются серийные защищенные изделия.

3.5. Страхование информационных систем

Все более широкие слои общества пользуются услугами сберегательного банка, коммерческих банков, инвестиционных фондов, трастовых компаний, финансово-промышленных групп и других государственных и частных финансово-кредитных организаций. Для удовлетворения возрастающих потребностей общества в услугах финансовые учреждения постоянно совершенствуют свою работу в части внедрения современных технических и программных средств вычислительной техники, информационных систем и коммуникационных сетей передачи информации.

Использование эффективных информационных технологий обеспечивает огромные преимущества в процессе передачи, хранения и обработки потоков информации.

Такое положение, связанное с освоением современных информационных технологий, потенциально создает предпосылки для возникновения риска утраты важной государственной информации за счет ошибок, возникающих в технических и программных средствах вычислительной техники, ошибок и неквалифицированных действий обслуживающего персонала, несанкционированного действия третьих лиц, других причин. Имеются случаи воздействия "электронного пиратства" на сферу кредитно-финансовых банковских компьютерных систем.

С ростом и интеграцией компьютерных сетей (масштаба фирмы, банка, предприятия, города, региона), с появлением распределенных кредитно-финансовых сетей электронного межбанковского клиринга, программ типа «Клиент-Банк» и других прикладных коммуникационных систем возможные потери могут возрастать.

Статистика показывает, что среди информационных преступлений 30 % составляют раскрытие пароля, 22 % – несанкционированный доступ, 44 % – программные закладки, включая «вирусы», и 2 % – воздействие извне системы. Утечка только 20 % информации ведет к разорению 65 % фирм и компаний.

По некоторым оценкам, в прошлом году российская компьютерная индустрия потеряла из-за пиратства 75 млн. дол.

Поэтому информационная безопасность компьютерных систем и коммуникаций приобретает особую роль и становится одним из важнейших аспектов деятельности государственных и коммерческих организаций.

Информационная безопасность может быть достигнута в результате использования организационных мер защиты, а также программно-аппаратных комплексов защиты каналов связи, компьютерных систем и данных.

Однако информационную систему нужно не только эффективно защитить, но и убедить в надежности ее пользователей. Очевидно, и опыт это доказывает, достигнуть 100 % безопасности информации практически невозможно. Если система незащищена, риск потери информации составляет 50–60 %. Введение парольной защиты, разграничения доступа, криптографии снижает риск до 30 %, использование технических средств защиты от несанкционированных действий – 10 %. Снижение риска до 1 % (умышленные действия обслуживающего персонала) достигается полной изоляцией информационной системы или компьютера.

Следовательно, имеется реальная возможность наступления непредвиденного события (страхового случая), влекущего за собой потерю работоспособности сложных электронных систем, утрату конфиденциальной информации и потерю дохода.

Исходя из вышеизложенного и предположив, что наступление риска потери информации носит случайный характер, не зависящий от воли владельца информации, закономерно усиливается интерес к страхованию собственников и пользователей информационных систем, информационных ресурсов, технических и программных средств вычислительной техники.

Становление и постепенное расширение рыночных отношений коренным образом меняет место и роль страхования в защите экономических и информационных интересов предприятий и предпринимателей, объективно привязывают предпринимателей к страхованию.

Плата за страхование – страховые взносы есть плата за риск, плата за спокойствие в хозяйственной жизни.

Именно страховая компания, которая покроет риски финансового института, вкладчиков и разработчика информационной системы может стать гарантом информационной безопасности.

Интерес к страхованию усиливается и высокой степенью возникновения пожаров, аварий, нарастанием криминогенной обстановки. Государственная либо коммерческая организация, обеспечивая безопасность информации, в том числе страхованием информационных рисков, привлекает этим клиентов, повышает надежность информационных систем и получает дополнительную прибыль.

В условиях рыночных отношений особенно актуальной становится проблема обязательной и добровольной формы страхования. К приоритетным относятся те объекты (обязательное страхование), гибель которых задевает не только интересы страхователей, но и всего общества.

При обязательном страховании почти на одну треть снижаются размеры страховых выплат в связи со сплошным охватом объектов страхования.

Указом Президента от 6 апреля 1994 г. "Об основных направлениях государственной политики в сфере обязательного страхования" установлено, что при разработке проектов законов РФ по данным вопросам обязательного страхования должно обеспечиваться первоочередное правовое урегулирование видов, непосредственно направленных на защиту прав и свобод человека и гражданина, гарантированных Конституцией РФ.

Одной из форм возмещения ущерба является страховая защита в виде обязательного страхования информационных рисков.

Обязательное страхование становится необходимым тогда, когда наносимый страховыми случаями ущерб задевает интересы не только страхователя, но и государства, всего общества.

При этом и страховщики и страхователи обязаны в силу закона участвовать в проведении соответствующих видов страхования.

Понимая, что интересы граждан только тогда надежно защищены, когда существует механизм возмещения информационных рисков, связанных с информационной безопасностью, можно создать специализированную страховую компанию по страхованию информационных рисков.

К информационным рискам относятся риски, связанные с потерей или искажением информации в компьютерах, сетях и системах в результате:

– отказов, сбоев технических и программных средств;

– внедрения "вирусов";

– неумышленных действий обслуживающего персонала;

– несанкционированных действий;

– утечки информации за счет побочных электромагнитных излучений и наводок.

Субъектами страхования (страхователями) могут выступать Сбербанк России и его филиалы, коммерческие банки, акционерные общества, ассоциации, корпорации, государственные организации, учреждения и пользователи (информационных систем, информационных ресурсов, систем автоматизации банковской деятельности, автоматизации офисов, систем и сетей автоматизации повседневной деятельности, систем обработки документооборота, программных и технических средств вычислительной техники).

Объем страхового поля определяется количеством средств вычислительной техники и программного обеспечения, имеющихся у пользователей. В настоящее время объем страхового поля по компьютерам составляет $3.6 млрд. Учитывая, что стоимость программного обеспечения составляет ориентировочно 50 % и не все компьютеры объединены в сети, объем страхового поля следует увеличить на $1.8 млрд. Общий объем страхового поля составляет $5.4 млрд.

При охвате 5 % страхового поля страховая сумма составит $270 млн. При среднем тарифе 2 % страховой взнос равен $5.4 млн.

Через систему страхования перераспределяется только до 2,8 % валового продукта Российской Федерации, что почти в 4 раза меньше уровня индустриально развитых стран Западной Европы, США и Японии.

Учитывая, что информационные системы охватывают всю территорию России, имеется возможность к неуклонному расширению сферы деятельности, к постоянному увеличению числа страхователей, к расширению территории деятельности, к открытию и функционированию филиалов страховой компании на местах.

Это дает предпосылки для эффективного проведения страховых операций и создания необходимых резервов для осуществления выплат по страховым случаям, а также получения прибыли.


Вывод: в настоящих условиях хаотичного рынка средств защиты информации целесообразно придерживаться следующих правил:

1. Прежде чем заключать деловые контакты о разработке или покупке средств защиты у сторонних организаций необходимо выяснить: имеет ли данная организация лицензию на выполнение работ по защите информации, какой вид деятельности разрешен, и соответствует ли он данной работе, не просрочена ли лицензия.

2. При наличии правильно оформленной лицензии необходимо проанализировать сертификат на средство защиты, определить, кем он выдан, когда и какие проводились испытания средства защиты информации, при каких условиях данное средство защиты будет нормально функционировать.

Выполнение указанных правил позволит избежать возможных неприятностей по обеспечению информационной безопасности и правильно использовать средство защиты.