Регулирование информационных налоговых ресурсов России

Размещено на http://www.allbest.ru/

Курсовая работа

РЕГУЛИРОВАНИЕ ИНФОРМАЦИОННЫХ НАЛОГОВЫХ РЕСУРСОВ РОССИИ

Содержание

1. Правовое регулирование защиты информации

1.1 Правовая классификация сведений подлежащих защите

1.2 Правовое регулирование на информационном рынке

1.3 Основы правовой защиты конфиденциальной информации

1.4 Совершенствование правовой защиты информационных технологий

2. Государственное регулирование защиты информационных технологий

2.1 Структуры защиты информационных технологий

2.2 Специальные технические требования и рекомендации (СТР-К)

2.3 Стандартизация и качество информационных технологий

2.4 Сертификация программных средств информационных технологий

Список использованной литературы

1. Правовое регулирование защиты информации

Современный этап перехода к информационному обществу ведёт к формированию, так называемого, посткибернетического информационного пространства, впитавшего в себя не только общечеловеческие культурные ценности, но, к сожалению, и все присущие обществу пороки.

Так, пользователь информационной сети может получить рецепты и способы производства наркотиков и взрывных устройств, переписать на свой компьютер изображения из порнографических журналов и тексты доктрин идейных руководителей мирового терроризма, принять участие в электронной конференции хакеров и, наконец, похитить или уничтожить защищаемую в сети служебную тайну.

Данная проблема возникла в конце прошлого века, сначала в Европе, а затем и в Америке. По мере внедрения информационных технологий в финансовые и банковские системы, пресса всё чаще стала сообщать о преступлениях совершаемых с помощью средств ЭВТ или в их отношении.

В начале XXI века с помощью компьютерных технологий было украдено из банков:

- в Италии более 20 млрд. лир в год;

- во Франции более 1 млрд. франков в год;

- в Германии около 4 млрд. марок;

- в Америке свыше 500 млн. долларов.

Количество компьютерных преступлений растёт ежегодно на 30-40%.

Значительные и никем не определенные потери, возникающие от распространения вредоносных программ (вирусов, бомб, “троянских коней” и т.д.), начало которым положил ”Пакистанский вирус”, заразив в США более 18 тыс. компьютеров.

На Российском рынке программных продуктов ежемесячно фиксируются появление от 40 до 70 новых видов вирусов.

В 2000-2007 гг. выявлено и пресечено более 800 попыток не законного проникновения в компьютерную сеть Центрального банка РФ и других коммерческих банков с целью получения денежных средств, незаконным образом.

В настоящее время, ежеквартально, преступники внедряют в компьютерные сети подразделений Банка России фиктивную информацию о платежах на десятки млрд. рублей.

Приведённые данные наглядно характеризуют активный рост компьютерной преступности и возрастания общественной опасности такого вида правонарушений.

Рост информационных преступлений привёл к расширению терминологии и понятий, обозначающих криминальные проявления в информационной области. Появились такие наименования преступлений как “компьютерные”, “коммуникативные”, “кибербандитизм” и т.д. Преступникам присвоены профессиональные имена “хакеров”, “кракеров”, “киберпанков”, “бандитов на информационных супермагистралях” и т.д.

Всё это указывает не только на обеспокоенность общества новой угрозой, но и на отсутствие понимания сути этой угрозы.

1.1 Правовая классификация сведений подлежащих защите

Как в любом суверенном государстве, в России имеется необходимость защищать информацию, которая обеспечивает безопасность её государственных интересов.

Исторически, сложившиеся подходы правового регулирования защиты информации, представляющей государственную или другую ценность, предполагают введения её в особый статус. Защита информация, разглашение которой может нанести государству и его гражданам большой политический, социально-экономический либо военный ущербы, продолжает совершенствоваться согласно извечного противостояния “меча и шлема”.

Традиционно информация, требующая защиты государства или других ведомств, относилась к информации с ограниченным доступом и разделялась на государственную тайну и информацию конфиденциального характера. В связи с тем, что информация, подлежащая защите в налоговых органах, онтносится к конфиденциальной, рассмотрим её подробнее.

Конфиденциальная информация.

В соответствии с Федеральным законом “Об информации, информационных технологиях и о защите информации ” от 27 июля 2006 года N 149-ФЗ России к конфиденциальной информации относятся сведения, которые имеют действительную или потенциальную ценность в силу неизвестности ее третьим лицам. К этой информации нет свободного доступа на законном основании и обладатель информации принимает меры по охране ее конфиденциальности.

Источником конфиденциальной информации является объект, который обладает определёнными охраняемыми сведениями. Учитывая вид, форму и специфику представления, особенности обладания охраняемыми сведениями, указанные источники подразделяются на внутренние и внешние.

К внутренним источникам конфиденциальной информации относятся:

- обладатели информации (ответственные люди и организации);

- пользователи (широкий безответственный класс);

- ресурсы, документы (публикации);

- машинные носители, средства автоматизированных информационных систем (АИС) и автоматизированных систем управления ( АСУ);

- процедуры и технологический процесс (управления, производства и т.д.);

- продукты труда;

- отходы и издержки труда.

К внешним источникам конфиденциальной информации относят:

- административные органы;

- судебные органы;

- налоговые органы;

- банки;

- МВД,

- налогоплательщики (смежники).

В целях совершенствования порядка опубликования конфиденциальной информации Указом Президента Российской Федерации N188 от 6 марта 1997г. утвержден перечень сведений конфиденциального характера.

Конфиденциальные сведения рассмотрим более подробно, так как именно с этими сведениями приходится работать налоговым органам России. Указанные сведения классифицированы по индивидуальным, профессиональным и коммерческим признакам и введены в выше указанный перечень:

- тайна (секрет) физического лица - персональные данные;

- тайна (секрет) профессии - служебная тайна;

- тайна (секрет) предприятия, фирмы - коммерческая тайна.

К личной тайне физического лица - “Персональным данным” необходимо отнести следующие сведения о гражданах:

- фамилия, имя, отчество;

- дата и место рождения;

- пол;

- адрес места жительства;

- данные паспорта или иного документа, удостоверяющего личность гражданина;

- гражданство, а также, иные сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность.

На основании Конвенции Совета Европы о защите личности, в связи с автоматической обработкой персональных данных от 24.01.1981г., ст.2 “Персональные данные” представляют собой информацию, касающуюся конкретной возможности быть идентифицированным лица - “субъекта данных,” и являются личной собственностью (тайной) гражданина, разглашение или хищение которой может нанести ущерб данному физическому лицу.

К профессиональным секретам относят сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом РФ, Конституцией РФ и федеральными законами. Это конфиденциальные сведения составляющие:

- тайну следствия и судопроизводства;

- служебную тайну;

- врачебную, нотариальную и адвокатскую тайну;

- тайну переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и т.д.

К коммерческой тайне относят сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским Кодексом Российской Федерации и федеральными законами.

Сведения о сущности изобретения, полезной модели или промышленного образца, а также методик и технологий научно-технического характера (ноу хау), также защищены законами России..

Запрещено относить к информации с ограниченным доступом:

- документы, содержащие информацию о чрезвычайных ситуациях, экологическую, метеорологическую, демографическую, санитарно-эпидемиологическую и другую информацию, необходимую для обеспечения безопасного функционирования населенных пунктов, производственных объектов, безопасности граждан и населения в целом;

- документы, содержащие информацию о деятельности органов государственной власти и органов местного самоуправления, об использовании бюджетных средств и других государственных и местных ресурсов, о состоянии экономики и потребностях населения, за исключением сведений, отнесенных к государственной тайне;

- документы, накапливаемые в открытых фондах библиотек и архивов, информационных системах органов государственной власти, органов местного самоуправления, общественных объединений, организаций, представляющие общественный интерес или необходимые для реализации прав, свобод и обязанностей граждан.

Остановимся на коммерческой и налоговой тайне, более подробно рассмотрев их компоненты и ответственность за их разглашение.

Объектом коммерческой тайны являются сведения, не являющиеся государственной тайной, связанные с производственной, научно-исследовательской, опытно-конструкторской, технологической и финансовой деятельностью фирмы, а также с другой информацией, предусмотренной “Перечнем конкретных сведений, составляющих коммерческую тайну”, разработанным на фирме, разглашение которых может нанести ущерб её интересам. Коммерческая тайна является собственностью cубъекта (предприятия, коллектива, граждан и др.). Если коммерческая тайна является результатом совместной деятельности с другими предприятиями, основанной на договорных началах, то коммерческая тайна может быть собственностью нескольких обладателей.

Обозначением ограничения доступа к документу, содержащему коммерческую тайну, может быть пометка “Коммерческая тайна”, “Тайна предприятия”, “Для служебного пользования” и др., сделанная в правом верхнем углу документа или брошюры.

Такая ограничительная пометка не является грифом секретности, а лишь указывает на то, что право собственности на данную информацию охраняется законодательством.

Что же имеется в виду, под разглашением коммерческой тайны?

Под разглашением коммерческой тайны имеются в виду противоправные, умышленные или неосторожные действия должностных или иных лиц, приведшие к преждевременному, не вызванному служебной необходимостью оглашению охраняемых сведений, а также передача таких сведений по открытым каналам связи или обработка их на не категорированных средствах ЭВТ.

Вышеуказанная информация, составляющая служебную или коммерческую тайну, защищена Гражданским кодексом РФ и другими законами.

Так, в Гражданском кодексе Российской Федерации, ч.1. введенном в действие с 01.01.95, в статье 139 отмечается:

- лица, незаконными методами получившие информацию, которая составляет служебную или коммерческую тайну, обязаны возместить причиненные убытки. Такая же обязанность возлагается на работников, разгласивших служебную или коммерческую тайну вопреки трудовому договору, в том числе контракту, и на контрагентов, сделавших это вопреки гражданско-правовому договору.

Срок действия коммерческой тайны определяется жизненным циклом защищаемой характеристики объекта.

К коммерческой тайне не могут относится:

- охраняемые государством сведения;

- общеизвестные на законных основаниях сведения;

- общедоступные сведения, патенты, товарные знаки;

- сведения о негативной (противоправной) стороне деятельности субъекта;

- учредительные документы и сведения о финансово-хозяйственной деятельности по установленным государством формам.

Налоговая тайна. Объектом налоговой тайны являются сведения, не являющиеся государственной тайной, связанные с деятельностью налоговых органов, принимающих на себя законную ответственность о неразглашении личной, коммерческой и других тайн налогоплательщиков (физических и юридических лиц), а также личной и служебной тайн работников налоговых органов предусмотренными “Перечнем конкретных сведений, составляющих налоговую тайну”.

Налоговую тайну налоговых органов составляют сведения, имеющие действительную или потенциальную ценность в силу неизвестности ее третьим лицам, к ним нет свободного доступа на законном основании, и обладатель информации принимает меры к охране их конфиденциальности. Разглашение или утрата таких сведений может нанести ущерб здоровью или имуществу работников налоговых органов, членам их семей, налогоплательщикам, а также причинить убытки бюджетам.

К сведениям, составляющим служебную тайну налоговых органов, в соответствии с пунктом 1 статьи 102 части первой НК РФ относятся:

- Сведения, содержащиеся в личных делах работников налоговых органов, за исключением сведений, подлежащих опубликованию в соответствии с установленным порядком;

- Сведения о фактах правонарушений, совершенных работниками налоговых органов, до проверки этих сведений и принятия по ним решения;

- Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, поступившие в налоговые органы, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях;

- Сведения, раскрывающие методы и способы проведения налоговых проверок, содержащиеся в методиках, регламентах, рекомендациях, других документах и направленные на предупреждение нарушений налогового законодательства;

- Сведения о конкретных налогоплательщиках, включаемые налоговыми органами в списки проверок, в документы результатов налоговых проверок, обзоры, обобщения, справки, статистические, отчетные и иные материалы, характеризующие финансово-экономическую деятельность налогоплательщиков;

- Сведения, раскрывающие схемы ухода от уплаты налогов и механизмы их блокирования;

- Сведения, раскрывающие средства и методы защиты конфиденциальной информации в налоговых органах от несанкционированного доступа и утечки ее по каналам связи;

- Сведения, раскрывающие значение (содержание) ключевых данных средств шифрования информации и электронной цифровой подписи;

- Сведения, раскрывающие организацию, силы, средства и методы обеспечения безопасности объектов налоговых органов.

Налоговую тайну (согласно Статьи 102 НК N 24-ФЗ от 20 февраля 1995 года) не составляют сведения:1. Налоговую тайну составляют любые полученные налоговым органом, органами налоговой полиции, органом государственного внебюдж:

- разглашённые налогоплательщиком самостоятельно или с его согласия;

- об идентификационном номере налогоплательщика;

- о нарушениях законодательства о налогах и сборах и мерах ответственности за эти нарушения;

- предоставляемых налоговым (таможенным) или правоохранительным органам других государств, в соответствии с международными договорами (соглашениями), одной из сторон которых является Российская Федерация, о взаимном сотрудничестве между налоговыми (таможенными) или правоохранительными органами (в части сведений, предоставленных этим органам).

Налоговая тайна не подлежит разглашению налоговыми органами, органами внутренних дел, государственными внебюджетными фондами и таможенными органами, их должностными лицами, привлекаемыми специалистами и экспертами, за исключением случаев, предусмотренных федеральным законом.

Требования “Инструкции по делопроизводству документов подлежащих защите в налоговых органах России, ” утверждённой приказом МНС РФ от 20.04.01 № БГ-14-24/43 дсп:

1. Поступившие в налоговые органы, органы внутренних дел, государственных внебюджетных фондов или таможенные органы сведения, составляющие налоговую тайну, имеют специальный режим обработки, хранения и доступа.

2. Доступ к сведениям, составляющим налоговую тайну, имеют должностные лица по перечням, определяемым соответственно Федеральной налоговой службой Росси и другим выше перечисленным органам.

3. Утрата документов, содержащих налоговую тайну, либо разглашение таких сведений предполагает ответственность, предусмотренную федеральными законами.

Во всех налоговых органах установлен единый порядок учёта, хранения, передачи и уничтожения документов (источников информации):

- На носителе информации, содержащем сведения, составляющие служебную тайну налоговых органов, и в сопроводительной к нему документации проставляется пометка "Для служебного пользования";

- Ответственность за применение пометки "Для служебного пользования" возлагается на исполнителя и должностное лицо, подписывающее или утверждающее документ;

- Документы, содержащие сведения о владельце информации (налогоплательщике) и составляющие служебную тайну налоговых органов, предоставляются ему по письменному заявлению под расписку или иным способом, подтверждающим факт и дату их получения владельцем. Пометка "Для служебного пользования" на таких документах не проставляется;

- Доступ к сведениям, составляющим служебную тайну и содержащимся в информационных системах налоговых органов, ограничивается независимо от формы хранения этих сведений.

Что же относится к разглашению налоговой тайны?

К разглашению налоговой тайны относится:

- использование или передача другому лицу производственной или коммерческой тайны налогоплательщика, ставшей известной должностному лицу налогового органа, органа государственного внебюджетного фонда или таможенного органа, привлеченному специалисту или эксперту при исполнении ими своих обязанностей;

- использование или передача другим лицам сведений о работниках налогового органа и его деятельности, подлежащих защите.

1.2 Правовое регулирование на информационном рынке

Создание и расширенное производство персональных компьютеров стало естественным стремлением человечества получить более совершенный доступ к информационным ресурсам.

Возникает информационная индустрия, самостоятельность и перспектива развития которой, целиком и полностью зависит от качества регулирования правоотношений, возникающих при формировании и использовании информационных ресурсов.

Отсутствие правовых ограничений в области информационных отношений, всегда беспокоило представителей технических специальностей, полностью осознающих недопустимость сложившейся ситуации.

“Информационная революция” застигла страну в небывало сложном периоде и потребовала немедленного правового урегулирования возникающих на её пути проблем.

Сейчас, когда создан и принят ряд базовых нормативных актов в области информационных отношений, наступило время эффективно применить их на практике.

Развитие рыночных отношений в информационной деятельности поставило вопрос о защите информации как объекта интеллектуальной собственности и имущественных прав на нее. В Российской Федерации принят ряд указов, постановлений, законов, таких, как:

"Об информации, информационных технологиях и защите информации" [1].

"Об авторском праве и смежных правах"[2].

Рассмотрим основные положения закона "Об информации, информационных технологиях и о защите информации", который является базовым юридическим документом, открывающим путь к принятию дополнительных нормативных законодательных актов для успешного развития информационного общества. С его помощью удалось частично решить проблемы защиты прав и свобод личности от угроз и ущерба, связанных с искажением, порчей и уничтожением "персональной" информации.

В законе определены цели и основные направления государственной политики в сфере информатизации. Информатизация определяется как важное новое стратегическое направление деятельности государства. Определено, что государство должно заниматься формированием и реализацией единой государственной научно-технической и промышленной политики в сфере информатизации.

Закон создает условия для включения России в международный информационный обмен, предотвращает бесхозяйственное отношение к информационным ресурсам и информатизации, обеспечивает информационную безопасность и права юридических и физических лиц на информацию. Кроме того, в закон рассматривает информационные ресурсы в двух аспектах:

- ак материальный продукт, который можно покупать и продавать, а также, как интеллектуальный продукт, на который распространяется право интеллектуальной собственности, авторское право.

Закон закладывает юридические основы гарантий прав граждан на информацию. Он направлен:

- а урегулирование важнейшего вопроса экономической реформы -- права, формы и механизма реализации собственности на накопленные информационные ресурсы и технологии;

- а обеспечение защиты собственности в сфере информационных систем и технологий, что способствует формированию цивилизованного рынка информационных ресурсов, услуг, систем, технологий;

- обеспечение получения государством значительной экономии средств и необходимых условий для устойчивого развития экономики и построения демократического общества в России.

1.3 Основы правовой защиты конфиденциальной информации

Существующие правовые основы защиты информации госгосударственных органов, определяются соответствующими положениями Конституции Российской Федерации, федеральными законами и другими нормативными актами.

Правовая защита госгосударственных органов, их персонала, материальных и экономических интересов обеспечивается на основе норм Уголовного и Уголовно-процессуального кодексов, законов Российской Федерации о государственной службе, о прокуратуре, о федеральной службе безопасности, о милиции, о судьях, об оперативно-розыскной деятельности, о частной детективной и охранной деятельности, об оружии и др.

Вышеуказанные нормативно-правовые акты определяют законодательную основу ответственности граждан России за разглашение сведений, составляющих служебную или коммерческую тайну, а также установливают нормы правовой охраны программ для ЭВМ и БД, отнесенных к объектам авторского права в борьбе с недобросовестными конкурентами.

Кроме того, правовые методы предусматривают, на основе законодательных актов Российской Федерации, разработку министерских и ведомственных руководящих и нормативно-методических документов по защите информации. Нормативно-правовая база определяет перечень охраняемых сведений, степень их значимости, меру ответственности лиц, нарушающих установленный порядок работы с ними, а также права субъектов при проведении мероприятий по обеспечению безопасности информации.

Защиту имущественных, материальных интересов и деловой репутации владельцев информации призваны обеспечивать гражданское и гражданско-процессуальное, а также арбитражное и арбитражно-процессуальное законодательства.

Важное значение в этом деле также имеют такие указы Президента Российской Федерации, как постановления Правительства РФ "0 перечне сведений, которые не могут составлять коммерческую тайну"[3], Статья 102 Налогового кодекса Российской Федерации[4].

Cуществующие правовые условия обеспечения информационной безопасности в основном позволяют государственным, судебным и правоохранительным структурам организовывать противостояние противоправным посягательствам на государственную и частную информацию в различных её аспектах.

Правовой режим защиты информационных ресурсов формируется:

- нормами, определяющими порядок документирования информации;

- право собственности на отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах;

- категорию информации по уровню доступа к ней устанавливается Федеральной службой технического экспортного контроля РФ (СТЭК);

- порядок правовой защиты информации.

Документирование информации является обязательным условием включения информации в информационные ресурсы. Документирование осуществляется в порядке, устанавливаемом органами государственной власти, ответственными за безопасность организации делопроизводства и безопасность Российской Федерации. Установленный порядок предполагает:

-документ, полученный из автоматизированной информационной системы, приобретает юридическую силу после его подписания должностным лицом в порядке, установленном законодательством Российской Федерации;

- юридическая сила документа, хранимого, обрабатываемого и передаваемого с помощью автоматизированных информационных и телекоммуникационных систем, может подтверждаться электронной цифровой подписью;

- юридическая сила электронной цифровой подписи признается при наличии в автоматизированной информационной системе программно - технических средств, обеспечивающих идентификацию подписи, и соблюдении установленного режима их использования.

- право удостоверять идентичность электронной цифровой подписи осуществляется на основании лицензии. Порядок выдачи лицензий определяется законодательством Российской Федерации.

1.4 Совершенствование правовой защиты информационных технологий

Назревшая необходимость в установлении ответственности за правонарушения, совершаемые в области компьютерных технологий, предопределила соответствующие законодательные инициативы и подходы к ним.

Так в Гражданоском Кодексе РФ Ч.4 "Об авторском праве и смежных правах" [4] (далее ГК об АП) целый ряд норм непосредственно затрагивает вопросы правовой охраны программ для ЭВМ и БД, отнесенных к объектам авторского права.

Согласно ст.2 ГК об АП, Закон РФ "О правовой охране для электронных вычислительных машин и баз данных" [5] (далее Закон о ПрЭВМ и БД) входит в законодательство РФ об авторском праве и смежных правах. Таким образом, новые нормы Закона об АП дополняют нормы Закона о ПрЭВМ и БД в тех вопросах, которые не были урегулированы ранее действующими нормами, например, в отношении свободного использования и декомпилирования.

В Законе об АП установлено, что за нарушение авторских и смежных прав "наступает гражданская, уголовная и административная ответственность в соответствии с законодательством РФ". Так при нарушении своих прав “автор программы для ЭВМ или БД” вправе требовать:

- признания прав;

- восстановления положения, существовавшего до нарушения права, и прекращения действий, нарушающих право или создающих угрозу его нарушения;

- возмещения причиненных убытков, в размер которых включается сумма доходов, неправомерно полученных нарушителем;

- выплаты нарушителем компенсации в определенной по усмотрению арбитражного или третейского суда сумме установленного законом размера минимальной месячной оплаты труда.

Кроме того, согласно этого же закона "на экземпляры программы для ЭВМ или БД, изготовленные, воспроизведенные, распространенные, проданные, ввезенные или иным образом использованные, может быть наложен арест в порядке установленном законом".

Законом о ПрЭВМ и БД включены такие формы ответственности как выпуск под своим именем чужой программы для ЭВМ или БД, незаконное воспроизведение или распространение таких произведений влечет за собой уголовную ответственность.

Уголовный Кодекс Российской Федерации [6] содержит принципиально новые для отечественного уголовного законодательства виды преступлений, объединенные в самостоятельную 28-ю главу “Преступления в сфере компьютерной информации”.

Эта глава предусматривает уголовную ответственность за такие виды преступлений в информационньй сфере, как:

- Нарушения авторских и смежных прав, если это деяние повлекло выпуск под своим именем чужого объекта авторского права как программы для ЭВМ и БД (Ст.146 предусмотривает наказание штрафами, обязательными работами, арестом, либо лишением свободы от двух до пяти лет),

- Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети (Ст. 272 предусматривает наказание штрафами, исправительными работами, либо лишением свободы на срок от двух до пяти лет);

- Создание, использование и распространение вредоносных программ для ЭВМ (Ст.273 - наказываются штрафами, либо лишением свободы на срок от трех до семи лет);

- Нарушение правил эксплуатации ЭВМ, системы ЭВМ или сети ЭВМ, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации (Ст. 274 - наказывается лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет, либо обязательными работами на срок, от ста восьмидесяти до двухсот сорока часов, либо лишением свободы на срок от двух до четырёх лет).

Административной ответственности за правонарушения в этой сфере не предусмотрено.

Такие подходы, несомненно, верны и соответствуют мировым правовым тенденциям.

Введение и совершенствование вышеуказанных нормативно-правовых актов определило законодательную основу ответственности граждан России за разглашение сведений, составляющих служебную или коммерческую тайну, а также установило нормы правовой охраны программ для ЭВМ и баз данных, отнесенных к объектам авторского права в борьбе с недобросовестными конкурентами.

В качестве первоочередных мер организацинно-правовой защиты осуществляются:

- разработка нормативно-методических документов по защите информации;

- включение в коллективный договор обязательств и ответственности за сохранение сведений, подлежащих защите;

- дополнение трудовых договоров и контрактов требованиями по обеспечению защиты информации.

Конкретные организационно-правовые методы, приемы и меры по защите информации продолжают разрабатываться в зависимости от условий, возможностей и степени нанесения возможного ущерба в случае ее утечки, разрушения или уничтожения.

В большинстве развитых, зарубежных стран, кроме принятия соответствующих организационно-правовых методов, проводится целый ряд мер, включая специализацию правоохранительных органов. Это подразумевает создание в каждом из таких органов особых подразделений, укомплектованных высококвалифицированными специалистами, обладающими знаниями не только в области права, но и в области вычислительной техники, а также оснащение этих подразделений современным оборудованием.

Помимо указанных мер, принимаемых на государственном уровне, во многих странах возникло множество общественных организаций, в том числе международных (например, BSA - Американская Ассоциация разработчиков программ для ЭВМ, которая действует и на территории Росси). Подобные организации оказывают существенную поддержку пострадавшим от правонарушителей в отношении программных продуктов и информационных ресурсов для ЭВМ и БД.

2. Государственное регулирование защиты информации

Кроме правовой формы регулирования защиты всех видов информации, рассмотренной выше, большую роль в разработке требований по обеспечению защиты информации всех видов, а также осуществления технического контроля за выполнением указанных требований, играют специальные государственные структуры, сформированные государством и обеспечивающие указанную деятельность.

2.1 Государственные структуры технической защиты информационных технологий

В настоящее время в Российской Федерации основу государственных структур технической защиты информационных технологий составляют Федеральная служба безопасности России (далее ФСБ) и Федеральной службой технического экспортного контроля РФ (далее ФСТЭК).

Традиционно ФСБ занимается вопросами защиты государственной тайны во всем её функционале и контролирует качество и законность использования систем криптозащиты, используя для этого свои структурные подразделения.

Вопросами технической защиты объектов, средств, программного продукта и систем коммуникаций, обрабатывающих информацию, содержащую государственную тайну и конфиденциальную информацию занимается ФСТЭК.

Основным федеральным органом исполнительной власти, осуществляющим межотраслевую координацию и функциональное регулирование обеспечения защиты (не криптографическими методами) информации, содержащей сведения составляющие государственную или служебную тайну, является ФСТЭК.

Основным направлением деятельности ФСТЭК является разработка специальных требований (далее Руководящих документов ФСТЭК), обеспечивающих защиту информации от утечки по техническим каналам, от несанкционированного доступа к ней, от специальных воздействий на информацию в целях ее уничтожения.

Деятельность ФСТЭК обеспечивают ее центральный аппарат, инженерно-технические воинские формирования, в состав которых входят головная научная организация по проблемам защиты информации и региональные центры.

Основными задачами ФСТЭК являются:

- проведение и осуществление единой государственной и научно-технической политики в области технической защиты информации;

- прогнозирование развития сил, средств и возможностей технических разведок, выявление угроз безопасности информации;

- противодействие добыванию информации техническими средствами разведки, предотвращение утечки информации по техническим каналам, несанкционированного доступа к ней, специальных воздействий на информацию в целях ее уничтожения, искажения и блокирования;

- контроль в пределах своих полномочий деятельности по технической защите информации во всех государственных органов.

- разрабатывает и согласовывает программу стандартизации и проекты государственных стандартов, а также осуществляет работы по сертификации средств технической защиты информации;

- в случае выявления в ходе проведения контроля нарушений норм и требований, касающихся технической защиты информации - выдавать предписания на приостановление работ на объектах органов исполнительной власти Российской Федерации, предприятий, учреждений и организаций.

2.2 Специальные технические требования и рекомендации (СТР-К)

Основными руководящими документами ФСТЭК, регламентирующими деятельность всех государственных органов по защите служебной тайны налоговых органов являются:

Специальные технические требования и рекомендации по защите конфиденциальной информации (СТР-К) устанавливают порядок организации работ, требования и рекомендации по обеспечению технической защиты конфиденциальной информации на территории Российской Федерации. Они являются основным руководящим документом для федеральных органов государственной власти, субъектов Российской Федерации и органов местного самоуправления, предприятий, учреждений и организаций, независимо от их организационно-правовой формы и формы собственности, должностных лиц и граждан России, взявшим на себя обязательства исполнять требования правовых документов Российской Федерации по защите информации.

Указанные требования распространяются на защиту:

· конфиденциальной информации - информации с ограниченным доступом и являющейся собственностью государства;

· персональные данные.

Требования по защите конфиденциальной информации, содержащейся в негосударственных информационных ресурсах и, составляющей коммерческую тайну, носят рекомендательный характер.

Защита от несанкционированного доступа к информации. Термины и определения.

Защита устанавливает термины и определения понятий в области защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации. Установленные термины обязательны для применения во всех видах документации.

Концепция излагает систему взглядов, основных принципов, которые закладываются в основу проблемы защиты информации от несанкционированного доступа (НСД), являющейся частью общей проблемы безопасности информации. Концепция является методологической базой нормативно-технических и методических документов, направленных на решение проблемы защиты информации от НСД связанное с СВТ и с автоматизированными системами (АС). НСД определяется как доступ к информации, нарушающий установленные правила разграничения доступа, с использованием штатных средств, предоставляемых СВТ или АС.

Автоматизированные системы защиты от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации.

Классификация распространяется на все действующие и проектируемые АС учреждений, организаций и предприятий, обрабатывающие конфиденциальную информацию.

Деление АС на соответствующие классы по условиям их функционирования с точки зрения защиты информации необходимо в целях разработки и применения, обоснованных мер по достижению требуемого уровня защиты информации.

Установлено девять классов защищенности АС от НСД к информации. Каждый класс характеризуется определенной минимальной совокупностью требований по защите. Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС.

В общем случае, комплекс программно-технических средств и организационных (процедурных) решений по защите информации от НСД реализуется в рамках системы защиты информации от НСД (СЗИ НСД), условно состоящей из следующих четырех подсистем:

- управления доступом;

- регистрации и учета;

- криптографической;

- обеспечения целостности.

Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации.

Настоящий Руководящий документ устанавливает классификацию средств вычислительной техники (СВТ) по уровню защищенности от несанкционированного доступа к информации на базе перечня показателей защищенности и совокупности описывающих их требований.

Установлено семь классов защищенности СВТ от НСД к информации. Самый низкий класс - седьмой, самый высокий - первый.

Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа к автоматизированным системам и средствам вычислительной техники.

Временное положение устанавливает единый на территории Российской Федерации порядок исследований, разработок в области программных и технических средств защиты информации от НСД, а также контроля за работоспособностью этих средств при эксплуатации.

Средства вычислительной техники. Межсетевые экраны. Защита защищенности от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации.

Настоящий документ устанавливает классификацию межсетевых экранов (МЭ) по уровню защищенности от несанкционированного доступа к информации на базе перечня показателей защищенности и совокупности описывающих их требований.

Защита информации. Специальные защитные знаки. Классификация и общие требования.

Настоящий документ устанавливает классификацию по классам защиты специальных защитных знаков, предназначенных для контроля доступа к объектам защиты, а также для защиты документов от подделки, которые реализуются в виде рисунка, метки, материала, вещества, обложки, ламината, самоклеящейся ленты, отдельных наклеек, самоклеющихся пломб.

2.3 Стандартизация и качество информационных технологий

Современный этап социально-экономического развития характеризуется возрастанием роли информатизации во всех сферах жизни и, как следствие, увеличением значения информационных технологий, от уровня развития которых зависит степень удовлетворения информационных потребностей общества. Все отчетливее проявляет себя новая экономическая категория - рациональные информационные ресурсы, которые становятся одним из важнейших факторов развития постиндустриального мира.

Качественное становление нового поколения информационных технологий невозможно без одновременного развития программного, программно - аппаратного и коммуникационного обеспечения.

Чтобы иметь правильное представление о месте и роли стандартизации и систем качества в области информационных технологий, необходимо дать определение информационной технологии как объекта стандартизации.

Современная информационная технология - это совокупность информационных и телекоммуникационных систем, программных средств и вычислительной техники, а также методов обработки, передачи, хранения и использования информации. Другими словами, понятие “информационные технологии” распространяется на все средства и методы, которые обеспечивают общество информацией. При этом под методами понимаются современные способы и формы организации эффективного информационного взаимодействия, а под средствами - оборудование, применяемое для реализации функций обработки, хранения, и использования информации (технические средства), и средства связи.

Современная экономика, управление, торговля, производство и т.п. не может нормально функционировать без компьютерных сетей и систем передачи информации, они требуют обширного и разнообразного программного обеспечения, что заставляет развёртывание работ по их стандартизации и контролю качества.

Аппаратное обеспечение в настоящее время в достаточной степени соответствует уровню программного, но для более эффективного использования и контроля программных продуктов необходима стандартизация на международном уровне.

Важнейшей задачей, решаемой организациями международной стандартизации в области информационных технологий, является устранение мешающих торговле технических барьеров из-за несовместимости компьютерной техники. В настоящее время компьютерная техника входит в состав более 50% продукции, выпускаемой электротехнической и электронной промышленностью.

В странах Европейского сообщества (ЕС) работы по стандартизации и обеспечению качества информационных технологий проводятся исследования в области информационных технологий, на выполнение которых выделяются миллионы экю. Страны - члены ЕС утвердили статус стандартов NETs в качестве обязательных к использованию для всех типов государственных телекоммуникационных сетей передачи данных в Европе. Одним из приоритетных направлений деятельности таких международных организаций по приобретению информационной техники является контроль качества приобретаемых средств на основе соблюдения стандартов и правовых основ стандартизации.

Характерной особенностью современного этапа стандартизации является разработка и реализация крупномасштабных международных проектов с учетом глобальной информатизации всех сторон социально-экономической жизни общества. Так, одним из первых результатов сотрудничества между Российскими органами стандартизации стала подготовка нормативно-технического документа, обеспечивающего введение в действие единой системы информационных каталогов. Кроме того, международные программы постепенно вбирают в себя все аналогичные стандарты, действующие в различных сферах производства, и обеспечат, в конечном итоге, возможность прямого обмена данными, представленными в цифровой форме, между системами всевозможных изготовителей и разных поколений техники.

Еще одним примером реализации международных программ стандартизации является разработка серии стандартов, касающихся обмена данными между открытыми информационными системами и их взаимодействия. Стандарт дает рекомендации по общему кодированию информации и классы процедур связи, что помогает системам обработки информации в процессе их взаимодействия. Из-за многообразия средств информационных технологий и их применения стандарты называются сложными (multiple standards). Сложные стандарты используются в различных видах задач, таких как электронная почта и обслуживание удаленных пунктов, цифровых массивов, текстов, графиков, рисунков, акустической информации, а также сетей передачи данных частного, общего пользования, локальных и глобальных, определенной среды (учреждения, промышленные предприятия и т. д.).

Основной задачей Международной ассоциации пользователей стандартов в области информационных технологий является облегчение доступа пользователей к сетям передачи данных. Так как пользователи требуют в современных условиях более качественного обслуживания средств и простоты в эксплуатации. Такие требования заставляют создавать новые или модернизировать традиционные подходы к обеспечению качества в данной области.

Улучшение качества программного обеспечения должно, обязательно предусматривать уменьшение риска. Следует учитывать также, что оценивать качество программного обеспечения можно в основном по таким признакам, как надежность (уверенность потребителя в том, что полученное им программное обеспечение даст ожидаемые результаты), простота в эксплуатации и оперативность, легкость при обучении и пользовании, защищенность от неверных данных, точность и наличие подсистемы самодиагностики.

Одним из эффективных методов управления качеством аппаратных и программных средств является обеспечение их соответствия существующим стандартам. Вопросами сертификации продукции и процессов в данной сфере занимается Руководящий технический комитет по информационным технологиям и его экспертная группа информационных технологий, включающая в сферу своей деятельности следующие вопросы:

- пути и средства развития взаимного признания результатов и сертификатов соответствия;

- стратегия и приоритеты в области сертификации;

- административные структуры на региональном и национальном уровнях;

- техника и средства, необходимые для сертификации продукции и процессов в рамках информационных технологий;

- структура и содержание стандартов, используемых при оценке и подтверждении соответствия и сертификации продукции;

- терминология, классификация и кодирование в области информационных технологий.

Европейским комитетом по сертификации в области информационных технологий готовятся документы по сертификации, в которых указывается сроки работ по сертификации информационных технологий и их зависимость от издания стандартов на международном и региональном уровнях. Кроме того, в указанных документах формируются предложения по разработке специальных стандартов на методы испытаний, а для исключения неточностей при организации сертификации по применению так называемой «техники формального описания», то есть автоматизированную регистрацию протоколов испытаний, данные о которых передаются через современные средства коммуникации. Координацию деятельности национальных систем сертификации осуществляет Европейский комитет по сертификации в области информационных технологий, объединяющий национальных представителей стран - членов ЕС и заключающий договора между испытательными лабораториями и органами по сертификации.

Анализ показывает, что в последние годы развитие нормативной базы в области информационных технологий в России в целом явно отстает от требований широкого круга специалистов, занимающихся созданием и внедрением информационных систем. Так, сегодня в стране действует около 700 государственных стандартов, обеспечивающих применение более 400 международных стандартов, что составляет около 25% от общего числа требуемых стандартов в данной области.

Из выше изложенного следует, что для создания национальной нормативной базы необходимо разработать:

- корпоративную базу данных стандартов;

- аппаратно-программные и инструментальные средства в области открытых систем, определяющих создание «Системы аттестационного тестирования и сертификации в области открытых информационных систем»;

- повышение эффективности управления, информационного и методического обслуживания организаций, предприятий, министерств, ведомств и субъектов РФ за счет внедрения современных информационных и телекоммуникационных технологий, интеграции информационно-вычислительных ресурсов;

- создание объективных условий для развития разработок и производства средств информатизации, формирование рынка информационного обмена, информационных технологий, средств и услуг, обеспечение компьютерной грамотности и обучения широкого круга специалистов и граждан;

- эффективное решение задач обеспечения информационной безопасности систем и сетей различного уровня и назначения;

- обеспечение способности к взаимодействию конкретных информационно-телекоммуникационных систем с другими информационными системами;

- создание основы формирования информационной инфраструктуры страны и ограничение импорта некачественных средств информационных технологий для проведения работ по формированию единого информационного пространства.

защита правовой сертификация стандартизация

2.4 Сертификация программных средств информационных технологий

В последнее время на российском рынке все чаще встречаются программные средства, качество которых вызывает большие сомнения. Процент лицензионных программных средств (ПС), используемых разными государственными организациями, по результатам экспертизы, очень низок и не превышает десяти.

Организации - разработчики ПС вынуждены заботиться не только о качестве своих программных продуктов, но и подтвердить их соответствие установленным требованиям и правилам сертификации. Данная проблема не обошла и ФНС России, которое было вынуждено принять радикальные меры по повышению гарантии качества приобретаемых программных средств. Этими мерами явилось создание при Главном научно-исследовательском вычислительном центре (ГНИВЦ) ФНС России испытательной лаборатории программных средств, аккредитованной в Системе сертификации ГОСТ Р и использование с 2000 года в своей работе только сертифицированные прикладные программные средства не только собственных разработок, но и приобретенные продукты.

Как показало время, указанные меры ФНС России явились довольно успешными. Так за короткий период своего существования, лаборатория провела более 100 добровольных сертификационных испытаний программные средства, из них на половину испытанных программные средства выданы сертификаты соответствия Госстандарта России. Большое внимание уделяется проверке соответствия программных средств требованиям государственных стандартов, регламентирующих оценку программной документации, документирование программного обеспечения и определение понятий в области качества ПС.

Сертификационные испытания проводятся лабораторией только на лицензионном системном программном обеспечении с применением инструментальных средств тестирования. Прошедшие сертификацию программные средства доводятся ГНИВЦ ФНС России до всех налоговых инспекций.

Сертификация ведомственных программных средств осуществляется в ФНС России с целью подтверждения их соответствия требованиям высокого класса и установленным нормативным требованиям. Испытательная лаборатория программных средств ГНИВЦ ФНС России постоянно совершенствует нормативно-методическую базу сертификационных испытаний, повышает уровень качества программных средств, прошедших испытания, а также оказывает реальную помощь в разработке программных средств налогообложения.

Список литературы

Нормативные акты

1. Федеральным законом “Об информации, информационных технологиях и о защите информации ” от 27 июля 2006 года N 149-ФЗ.

2. Гражданском кодексе Российской Федерации, ч.1. введенном в действие с 01.01.2015.

3. Гражданском кодексе Российской Федерации, ч.4. введенном в действие с 01.01.2008 ФЗ “Об авторском праве и смежных правах”.