Реферат: Информация, которая подлежит защите, понятие и виды
Информация с ограниченным доступом по своему правовому режиму разделяется на конфиденциальную и тайную.
Конфиденциальная информация - это сведения, которые находятся во владении, пользовании или распоряжении отдельных физических или юридических лиц и распространяются по их желанию соответственно с предусмотренными ими условиями.
Граждане, юридические лица, которые владеют информацией профессионального, делового, производственного, банковского, коммерческого и другого характера, полученной на собственные средства, или таковой, которая является предметом их профессионального, делового, производственного, банковского, коммерческого и другого интереса и не нарушает предусмотренной законом тайны, самостоятельно определяют режим доступа к ней, включая принадлежность ее к категории конфиденциальной, и устанавливают для нее систему (методы) защиты.
Исключение составляет информация коммерческого и банковского характера, а также информация, правовой режим которой установлен Верховной Радой Украины по представлению Кабинета Министров Украины (по вопросам статистики, экологии, банковских операций, налогов и т.п.), и информация, утаивание которой представляет угрозу жизни и здоровью людей.
К тайной информации принадлежит информация, которая содержит сведения, составляющие государственную и другую предусмотренную законом тайну, разглашение которой наносит ущерб личности, обществу и государству.
Отнесение информации к категории тайных сведений, которые составляют государственную тайну, и доступ к ней граждан осуществляется соответственно закону об этой информации.
Порядок оборота тайной информации и ее защиты определяется соответствующими государственными органами при условии соблюдения требований, установленных этим Законом.
Порядок и сроки обнародования тайной информации определяются соответствующим законом.(Статья 30).
Статья 23 регламентирует доступ к информации о личности, которую можно выделить в особую категорию информации в связи с ее гуманистическим толкованием (вопросы прав и свобод личности).
Информация о личности - это совокупность документированных или публично объявленных сведений о личности.
Основными данными о личности (персональными данными) есть:
- национальность;
- образование;
- семейное положение;
- отношение к религии;
- состояние здоровья,
а также адрес, дата и место рождения.
Источниками документированной информации о личности есть выданные на ее имя документы, подписанные ею документы, а также сведения о личности, собранные государственными органами властей и органами местного и регионального самоуправления в границах своих полномочий.
Запрещается собирание сведений о личности без ее предварительного соглашения, за исключением случаев, предусмотренных законом.
Каждая личность имеет право на ознакомление с информацией, собранной о ней.
Информация о личности охраняется Законом. ( Официальное толкование к статье 23 дано в Решении Конституционного Суда Украины N 5-зп от 30.10.97).
Раздел 2. Защита информации.
Защита информации в сфере современных технологий информационного обмена законодательно регламентирована Законом Украины «О защите информации в автоматизированных системах».
Меры защиты: четыре уровня защиты.
Предотвращение - только авторизованный персонал имеет доступ к информации и технологии.
Обнаружение - обеспечивается раннее обнаружение преступлений и злоупотреблений, даже если механизмы защиты были обойдены.
Ограничение - уменьшается размер потерь, если преступление все-таки произошло несмотря на меры по его предотвращению и обнаружению.
Восстановление - обеспечивается эффективное восстановление информации при наличии документированных и проверенных планов по восстановлению.
Вчера контроль технологии работы был заботой технических администраторов. Сегодня контроль информации стал обязанностью каждого нетехнического конечного пользователя. Контроль информации требует новых знаний и навыков для группы нетехнических служащих. Хороший контроль информациии требует понимания возможностей совершения компьютерных преступлений и злоупотреблений, чтобы можно было в дальнейшем предпринять контрмеры против них.
Когда компьютеры впервые появились, они были доступны только небольшому числу людей, которые умели их использовать. Обычно они помещались в специальных помещениях, удаленных территориально от помещений, где работали служащие. Сегодня все изменилось. Компьютерные терминалы и настольные компьютеры используются везде. Компьютерное оборудование стало дружественным к пользователю, поэтому много людей могут быстро и легко научиться тому, как его использовать.
Число служащих в организации, имеющих доступ к компьютерному оборудованию и информационной технологии, постоянно растет. Доступ к информации больше не ограничивается только узким кругом лиц из верхнего руководства организации. Этот процесс привел к тому, что произошла "демократизация преступления". Чем больше людей получало доступ к информационной технологии и компьютерному оборудованию, тем больше возникало возможностей для совершения компьютерных преступлений.
Трудно обобщать, но теперь компьютерным преступником может быть...
- конечный пользователь, не технический служащий и не хакер
- тот, кто не находится на руководящей должности
- тот, у кого нет судимостей
- умный, талантливый сотрудник
- тот, кто много работает
- тот, кто не разбирается в компьютерах
- тот, кого вы подозревали бы в последнюю очередь
- именно тот, кого вы взяли бы на работу
Признаки компьютерных преступлений.
Обращайте внимание на следующие факты или события:
- неавторизованное использование компьютерного времени
- неавторизованные попытки доступа к файлам данных
- кражи частей компьютеров
- кражи программ
- физическое разрушение оборудования
- уничтожение данных или программ
- неавторизованное владение дискетами, лентами или распечатками
И это только самые очевидные признаки, на которые следует обратить внимание при выявлении компьютерных преступлений. Иногда эти признаки говорят о том, что преступление уже совершено, или что не выполняются меры защиты. Они также могут свидетельствовать о наличии уязвимых мест - указать, где находится дыра в защите - и помочь наметить план действий по устранению уязвимого места. В то время как признаки могут помочь выявить преступление или злоупотребление - меры защиты могут помочь предотвратить его.
Меры защиты - это меры, вводимые руководством, для обеспечения безопасности информации - административные руководящие документы(приказы, положения, инструкции), аппаратные устройства или дополнительные программы - основной целью которых является предотвратить преступления и злоупотребления, не позволив им произойти. Меры защиты могут также выполнять функцию ограничения, уменьшая размер ущерба от преступления.
Информационная безопасность.
То, что в 60-е годы называлось компьютерной безопасностью, а в 70-е - безопасностью данных, сейчас более правильно именуется информационной безопасностью. Информационная безопасность подчеркивает важность информации в современном обществе - понимание того, что информация - это ценный ресурс, нечто большее, чем отдельные элементы данных.
Информационной безопасностью называют меры по защите информации от неавторизованного доступа, разрушения, модификации, раскрытия и задержек в доступе. Информационная безопасность включает в себя меры по защите процессов создания данных, их ввода, обработки и вывода. Целью информационной безопасности является обезопасить ценности системы, защитить и гарантировать точность и целостность информации, и минимизировать разрушения, которые могут иметь место, если информация будет модифицирована или разрушена. Информационная безопасность требует учета всех событий, в ходе которых информация создается, модифицируется, к ней обеспечивается доступ или она распространяется.
Информационная безопасность дает гарантию того, что достигаются следующие цели:
- конфиденциальность критической информации
- целостность информации и связанных с ней процессов (создания, ввода, обработки и вывода)
- доступность информации, когда она нужна
- учет всех процессов, связанных с информацией
Некоторые технологии по защите системы и обеспечению учета всех событий могут быть встроены в сам компьютер. Другие могут быть встроены в программы. Некоторые же выполняются людьми и являются реализацией указаний руководства, содержащихся в соответствующих руководящих документах. Принятие решения о выборе уровня сложности технологий для защиты системы требует установления критичности информации и последующего определения адекватного уровня безопасности.
Что же такое критические данные? Под критическими данными будем понимать данные, которые требуют защиты из-за вероятности нанесения (риска) ущерба и его величины в том случае, если произойдет случайное или умышленное раскрытие, изменение, или разрушение данных. Этот термин включает в себя данные, чье неправильное использование или раскрытие может отрицательно отразиться на способности организации решать свои задачи, персональные данные и другие данные, защита которых требуется указами Президента Украины, законами Украины и другими подзаконными актами.
Признаки информационной уязвимости систем.
Следующие признаки могут свидетельствовать о наличии уязвимых мест в информационной безопасности.
1. Не разработано положений о защите информации или они не соблюдаются. Не назначен ответственный за информационную безопасность.
2. Пароли пишутся на компьютерных терминалах, помещаются в общедоступные места, ими делятся с другими, или они появляются на компьютерном экране при их вводе.
3. Удаленные терминалы и микрокомпьютеры оставляются без присмотра в рабочие и нерабочие часы. Данные отображаются на компьютерных экранах, оставленных без присмотра.
4. Не существует ограничений на доступ к информации, или на характер ее использования. Все пользователи имеют доступ ко всей информации и могут использовать все функции системы.
5. Не ведется системных журналов, и не хранится информация о том, кто и для чего использует компьютер.
6. Изменения в программы могут вноситься без их предварительного утверждения руководством.
7. Отсутствует документация или она не позволяет делать следующее: понимать получаемые отчеты и формулы, по которым получаются результаты, модифицировать программы, готовить данные для ввода, исправлять ошибки, производить оценку мер защиты, и понимать сами данные - их источники, формат хранения, взаимосвязи между ними.
8. Делаются многочисленные попытки войти в систему с неправильными паролями.
9. Вводимые данные не проверяются на корректность и точность, или при их проверке много данных отвергается из-за ошибок в них, требуется сделать много исправлений в данных, не делается записей в журналах об отвергнутых транзакциях.
10. Имеют место выходы из строя системы, приносящие большие убытки
11. Не производился анализ информации, обрабатываемой в компьютере, с целью определения необходимого для нее уровня безопасности
12. Мало внимания уделяется информационной безопасности. Хотя политика безопасности и существует, большинство людей считает, что на самом деле она не нужна.
Уголовная ответственность за информационные преступления.
На сегодняшний день преступления в информационной сфере попадают под действие Криминального кодекса Украины на основании Закона Украины «О внесении изменений и дополнений в Уголовный кодекс Украины и Уголовно-процессуальной кодекс Украины», в котором, в частности сказано:
В связи с принятием Закона Украины "О защите информации в автоматизированных системах" Верховная Рада Украины постановляет:
I. Дополнить Уголовный кодекс Украины статьей 198-1 такого содержания:
"Статья 198-1. Нарушение работы автоматизированных систем
Умышленное вмешательство в работу автоматизированных систем, которое
привело к искажению или уничтожению информации или носителей информации, распространение программных или технических средств, предназначенных для незаконного проникновения в автоматизированные системы и
способных обусловить искажение или уничтожение информации или носителей информации, - наказывается
- лишением свободы на срок до двух лет или
- исправительными работами на тот же срок, или штрафом в размере от ста
до двухсот минимальных размеров заработной платы.
Те же действия, если ими вызван вред в больших размерах, или содеянные повторно или по предварительному сговору группой личностей, - наказываются лишением свободы на срок от двух до пяти лет".
Заключение.
Использование технологий, которые входят в понятие информационная система - залог успешной деятельности любой организации и ее управленческого звена.
Информационные процессы и деятельность, связанная с ними, должны регламентироваться стандартизтрованными нормами. Для упрощения обмена информацией, защиты коммерческой тайны и авторских прав, статистического анализа, планирования и эффективного управления по всем иерерхическим уровням глобальной информационной системы страны необходимо законодательное регулирование информационной деятельности организаций.
Что касается защиты информации, то хотя рассмотренные нами средства не всегда надежны, т.к. на сегодняшний день быстрыми темпами развивается не только техника (в нашем случае компьютерная), постоянно совершенствуется не только сама информация, но и методы, позволяющие эту информацию добывать, этими средствами не следует пренебрегать. Наш век часто называют информационной эпохой и он несет с собой огромные возможности, связанные с экономическим ростом, технологическими новшествами. На данный момент обладание электронными данными, которые становятся наибольшей ценностью информационной эры, возлагает на своих владельцев права и обязанности по контролю их использования. Файлы и сообщения, хранимые на дисках и пересылаемые по каналам связи, имеют иногда большую ценность, чем сами компьютеры, диски. Поэтому перспективы информационного века могут быть реализованы только в том случае, если отдельные лица, предприятия и другие подразделения, владеющие информацией, которая все чаще имеет конфиденциальный характер или является особо важной, смогут соответствующим образом защитить свою собственность от всевозможных угроз, выбрать такой уровень защиты, который будет соответствовать их требованиям безопасности, основанным на анализе степени угрозы и ценности хранимой собственности.
Список использованной литературы.1. Michel L. Kasavana Managing Front Office procedures. Educational institute of Hotel&Motel Association 1992.
2. Jack D. Ninimeier Management of FOOD and BEVERAGES operations. Educational institute of Hotel&Motel Association 1992.
3. Введение в информационный бизнес. Под ред. В.П. Тихомирова, А.В. Хорошилова. Москва, Финансы и статистика, 1996.
4. Информационные системы в экономике. Под ред. проф. В.В. Дика, Москва, Финансы и статистика, 1996.
5. Хоскинг А. Курс Предпринимательства. Москва, Международные отношения, 1994.
6. Блюминау Д. И. Информация и информационный бизнес. Москва, Наука, 1989.
7. Майоров С.И. Информационный бизнес: коммерческое распространение и маркетинг. Москва, Финансы и Статистика, 1993.
8. Митчелл К. “Виртуальный служащий: полцарства за розетку для ПК” BusinessWeek N 7 1996.
9. Лейбман Л. “ Проблемы глобальных коммуникаций “ ComputerWorld N 41 1996.
10. Коваль А.П. Культура ділового мовленняя. Видавниче об’єднання “Вища школа”, К.: 1977.
11. Краткий словарь архивной терминологии. М.: 1968.
12. Уголовно-процессуальный кодекс Украины. Закон Украины от 28 декабря 1960г. Ведомости Верховной Рады Украины. - 1961. - N2. - Ст.15.
13. Заботина Р. “Внутрихозяйственная инфраструктура предприятий” “Экономика Украины”, №3 1994 г.
14. Закон Украины “О предприятиях”.
15. Закон Украины “О предпринимательстве” “Ведомости Верховного Совета УССР”, 1991 г., №14.
16. Закон України “Про внесення змін і доповнень до Кримінального кодексу
України та Кримінально-процесуального кодексу України” “Відомості
Верховної Ради” (ВВР) 1994, N 45, ст.409.
17. Закон України «Про захист інформації в автоматизованих системах» «Відомості Верховної Ради» (ВВР), 1994, N 31, ст.286.
18. Закон України “Про інформацію” “Відомості Верховної Ради” (ВВР), 1992,
N 48, ст.650.
19. Официальное толкование к статье 23 Закона Украины «Об информации» в Решении Конституционного Суда Украины N 5-зп от 30.10.97.
20. Кримінальний кодекс України «Відомості Верховної ради» (ВВР), 1997 р.