Все предлагаемые решения обладают высокой степенью масштабирования, что позволяет сначала использовать небольшую и относительно дешевую систему хранения данных и по мере своего развития модернизировать ее в систему хранения данных корпоративного уровня, отвечающую заданным требованиям по надежности хранения и доступности информации.

Структура системы хранения данных имеет несколько уровней.

1. Система хранения данных начального уровня (рис. 1.18).

Строится на основе дисковых массивов с аппаратной реализацией RAID и интерфейсами FC, которые обладают возможностью непосредственного подключения нескольких серверов, а максимальный объем хранимой информации может достигать нескольких терабайт. Для обеспечения резервного копирования информации в рамках предлагаемого решения используются ленточные библиотеки с интерфейсом FC, что позволяет вынести их за пределы вычислительного центра и тем самым обеспечить сохранность данных и возможность их восстановления в случае локальных катастроф, например пожара. Для обеспечения высокого уровня надежности хранения данных у выбираемых моделей дисковых массивов дублированы все основные элементы конструкции.

Рис. 1.18. Система хранения данных начального уровня

Данное решение может быть модернизировано в систему хранения данных среднего уровня.

2. Система хранения данных среднего уровня (рис. 1.19).

Данное решение строится на основе 8- или 16-портовых коммутаторов начального уровня. Они обеспечивают возможность более гибкого распределения дисковых ресурсов между серверами, а также позволяют применять современные технологии резервного копирования данных.

При реализации решения для хранения наиболее важных данных могут использоваться модели дисковых массивов, у которых отсутствует единая точка отказа, что исключает возможность потери доступности данных в случае выхода из строя оборудования.

Рис. 1.19. Система хранения данных среднего уровня

3. Корпоративная система хранения данных (рис. 1.20).

Основная задача, решаемая при построении системы такого уровня, - обеспечение высокой степени доступности данных и защищенности их как от локальных катастроф, так и от глобальных (в пределах страны) технологических катаклизмов.

Первая проблема может быть решена благодаря возможности технологии FC работать на больших расстояниях, что позволяет создать два разнесенных в пространстве вычислительных центра и зеркалировать или синхронно реплицировать наиболее важные данные между ними, защита которых от глобальных катастроф обеспечивается с помощью асинхронного удаленного зеркалирования (remote mirroring) данных через Интернет на дисковые массивы с последующим перенесением информации на ленты. Корпоративная система хранения данных обладает едиными средствами мониторинга и управления.

Рис. 1.20. Система хранения данных корпоративного уровня

1.7 Правовые аспекты информационных технологий

1.7.1 Информация, информационные процессы

и системы как объект правового регулирования

общественных отношений

Информация, т. е. сведения о чем-либо или извещения о событиях и фактах, издревле циркулировала в обществе, являясь одним из средств общения, овладения знаниями, образования, воспитания, сопровождения движения товаров и услуг, свидетельствования о заключенных сделках, разрешения споров, подтверждения событий и фактов. Развитие средств вычислительной техники и связи создало новые возможности для обособления и овеществления информации, включения ее в оборот и распространения на нее статуса товара. Повсеместное внедрение информационных сетей привело к формированию глобального межгосударственного информационного виртуального пространства. Эти реалии настоятельно требуют четкого правового регулирования общественных отношений в информационной сфере, т. е. становления правового фундамента информационного общества. При этом необходимо четко понимать, что такое информационное право, кто его субъекты, каков предмет, принципы и методы регулирования, источники и другие составные части, традиционно характеризующие отрасль права.

Термин "информационное право" все чаще используется специалистами. Существует несколько трактовок данного понятия. Согласно одной из них под содержанием понятия "информационное право" подразумеваются информационные отношения как предмет правового регулирования, субъекты информационных отношений, правовой режим получения, передачи, хранения и использования информации, юридические режимы информации разного содержания, пользования банками и базами данных, информационные правоотношения, ответственность. С другой точки зрения этот термин трактуется как система охраняемых государством социальных норм и отношений, возникающих в информационной сфере - сфере производства, преобразования и потребления информации. Так же информационное право можно определить как совокупность юридических норм и институтов, регулирующих информационные отношения в информационной сфере. Строение информационного права, особенности субъектов-участников обращения информации, принципы и методы регулирования, структура и состав определяются, в первую очередь, особенностями и юридическими свойствами информации - основного объекта этого права.

К основным субъектам информационного права относятся лица, участвующие в создании, преобразовании, передаче, распространении, получении и потреблении информации: создатели (производители), обладатели (информаторы) и потребители. Создатели (производители) - это лица, в результате интеллектуальной деятельности которых появляется информация: авторы, создающие творческую продукцию, и лица (в том числе органы государственной власти, местного самоуправления, юридические лица), не претендующие на авторство по поводу созданной ими информации. Существуют и другие виды информации, не являющиеся результатом творчества, например, обязательно предоставляемая, отчетная информация, персональные данные. Ряд производителей не претендует на защиту своих личных неимущественных прав на созданную информацию, однако заинтересованы в признании этой информации своей собственной. К ним можно отнести производителей открытых справочных информационно-поисковых систем, баз и банков данных и т. п. Обладатели (информаторы) - это посредники между создателями и потребителями информации; лица, приобретающие исключительное право на передачу и распространение информации и обеспечивающие доведение созданной информации до конечного потребителя. Потребители - это лица, нуждающиеся в информации, производящие поиск и получающие ее для удовлетворения своих потребностей (повышения знаний, образования, принятия решений и т. п.). К субъектам информационного права относятся также лица, которые участвуют в создании и применении средств и механизмов программно-технического обеспечения информационных процессов - информационных систем, сетей, информационных технологий и средств их обеспечения (информационных, лингвистических, технических, программных и др.).

Основные объекты правового регулирования - это информационные отношения, возникающие при осуществлении информационных процессов создания, сбора, обработки, накопления, хранения, поиска, распространения и потребления информации.

Информация - объект многофункциональный, она создается, обращается и применяется во всех сферах деятельности и обеспечивает выполнение многочисленных функций и задач, стоящих перед самыми разными субъектами - органами государственной власти, местного самоуправления, физическими и юридическими лицами. При обращении информации в государстве и обществе она может выступать:

- как товар при ее создании, хранении, использовании, пере-даче и распространении;

- средство, с помощью которого осуществляются правовые координация и управление поведением субъектов (через официальные документы и судебные решения);

- источник для принятия решений;

- источник получения знаний в процессе образования и воспитания при осуществлении конституционного права на образование;

- средство извещения общества о происходящих событиях и явлениях (через СМИ) при осуществлении конституционного права на информацию;

- средство отчетности о деятельности юридических и физических лиц (налоговая, бухгалтерская, статистическая отчетности);

- средство реализации прав и свобод личности через предоставление сведений о личности разным структурам (право на жизнь, жилище, медицинское обслуживание, образование; воспитание, труд и т. п.).

Следует обратить внимание на то, что информация одновременно может выступать как источник, несущий определенную функциональную нагрузку, так и товар. Например, нормативные правовые акты, выполняя основную функцию - распространение правовых норм и доведения их до каждого, одновременно выступают и в качестве товара при продаже информационных продуктов и в предоставлении информационных услуг, построенных на их основе.

В отличие от известных, традиционных для права объектов, таких как вещи, информация обладает рядом специфических особенностей и юридических свойств, которые во многом определяют отношения, возникающие при ее обращении между субъектами, и характер их поведения.

Информация при включении в оборот обособляется от ее создателя или обладателя, овеществляется в виде символов или знаков и вследствие этого существует отдельно и независимо от создателя или обладателя. Отсюда возникает юридическое свойство информации - возможность выступать в качестве объекта, передаваемого от одного субъекта к другому и требующего юридического закрепления факта ее принадлежности субъектам, участвующим в таком ее обращении.

После передачи информации (сведений или данных) от одного субъекта к другому одна и та же информация одновременно остается у передающего и появляется у принимающего субъекта, т. е. одна и та же информация одновременно принадлежит двум участникам информационных отношений. Это основное отличие информации от вещи. Юридическое свойство информации в связи с этим есть ее физическая неотчуждаемость от создателя, обладателя и потребителя. Оно требует разработки и применения к информации при ее обращении особых правовых механизмов, заменяющих механизм отчуждения вещи. Это можно сделать, например, устанавливая в договоре правила использования информации после ее передачи как субъектом, ее передавшим, так и субъектом, ее получившим.

Информация при включении в оборот документируется и отображается на материальном носителе. Существуют две группы носителей: жесткие, к ним информация привязана жестко в виде набора букв, символов, знаков и т. п. (бумага, микроносители, нестирающиеся лазерные диски и др.), и виртуальные носители, к которым информацию нельзя привязать жестко, по ним она как бы "скользит" (дискеты с перезаписью, кассеты магнитных лент, ЭВМ и т. п.). Юридическое свойство, вытекающее из этой особенности, заключается в двуединстве информации и материального носителя, на котором эта информация закрепляется. Оно дает возможность ввести для документированной информации понятие "информационная вещь", состоящая из носителя информации и самой информации, отображенной на носителе.

Информация представляется в определенных организационных формах: отдельные данные (сведения), документ, массив (база) данных (документов), библиотека, фонд документов, архив и т. п. Юридическое свойство - возможность относить к информационным вещам как отдельные исходные документы, так и сложные организационные структуры, содержащие информацию (информационные системы, банки данных, информационные сети, библиотеки, архивы), и включать такие вещи в состав имущества. Основной предмет правового регулирования информационного права - информационные отношения.

Основополагающими общественными отношениями информационного права являются отношения, возникающие по поводу признания информации своей, своей собственной, или так называемые отношения информационной собственности. Информационный собственник обладает следующими информационными правомочиями:

знать содержание информации (сведения или данные, содержащиеся в ней);

применять в личной деятельности сведения, данные, содержащиеся в информации;

передавать или распространять информацию с целью доведения ее до потребителя.

Механизм защиты таких прав собственности аналогичен механизму осуществления исключительных прав автора на результат творчества, действующему в законодательстве об авторском праве и смежных правах. Однако понятие "информационная собственность" шире понятия "интеллектуальная собственность на результаты творчества". Оно распространяется на результат практически любой интеллектуальной деятельности, в процессе которой появляется любая открытая информация, представляющая интерес для ее создателя и далеко не всегда являющаяся результатом творчества.

Существуют разновидности информационных собственников (владельцев): собственник-создатель; собственник-обладатель; собственник-потребитель.

В собственности собственника-создателя информационной вещи находится оригинал (подлинник) документа, на котором отображена созданная им в процессе его интеллектуальной деятельности информация. Такой собственник имеет обычные права собствен-ности на эту вещь, т. е. может владеть, пользоваться, распоряжаться ею. Однако в рамках своих информационных правомочий он обладает также исключительными правами в отношении информации, отображенной в этой информационной вещи.

Собственник-обладатель информационной вещи (посредник между создателем и потребителем информации) реализует правомочия собственника с учетом приобретенных им у создателя информационной вещи информационных правомочий. В соответствии с ними он получает в собственность оригинал (подлинник) или копию информационной вещи от собственника-создателя с правом включения информации, отображенной в ней, в оборот, в том числе и с целью извлечения прибыли (аналогия авторскому договору).

Собственник-потребитель информационной вещи приобретает (получает) в собственность копии информационных вещей (например, экземпляры тиража издания). При этом в соответствии с информационными правомочиями потребителя информации он может использовать информацию, содержащуюся в этой информационной вещи, только в личных целях, но не имеет права копировать, тиражировать и распространять копии этой информационной вещи в коммерческих целях, хотя может распорядиться (передать, продать) принадлежащей ему конкретной копией информационной вещи.

1.7.1.1 Принципы информационного права

Под принципами информационного права понимают основные исходные положения, юридически закрепляющие объективные закономерности общественной жизни, проявляющиеся в информационной сфере. Они формируются на основе указанных выше особенностей и юридических свойств информации, а также многофункциональности информации как объекта права. В Концепции правового регулирования применения информационных и коммуникационных технологий (ИКТ) в Российской Федерации приведена система принципов, включающая в себя принципы регулирования ИКТ-сектора в целом и принципы регулирования отдельных отраслей, входящих в ИКТ-сектор.

Общие принципы регулирования:

1. Принцип адекватности мер государственного регулирования. Государство должно принимать только те регулятивные меры, которые необходимы для разрешения сложившихся в секторе ИКТ проблем и создания механизма реализации прав и законных интересов участников ИКТ-сектора.

2. Принцип устранения избыточных административных барьеров. Меры прямого государственного регулирования могут вводиться только в целях защиты важнейших интересов общества и государства, жизни, здоровья и имущества граждан. Приоритет отдается мерам текущего контроля за деятельностью участников рынка перед мерами, ограничивающими доступ на рынок новых участников.

3. Принцип приоритетного использования методов государственного регулирования в секторе ИКТ. Правовые нормы, устанавливающие правила поведения участников ИКТ-сектора, могут применяться только для защиты важнейших прав и законных интересов личности, общества и государства. Приоритет отдается методам регулирования, допускающим свободный выбор участниками форм и способов реализации своих прав и обязанностей и осуществление таких прав и обязанностей собственными инициативными действиями участников ИКТ-сектора.

4. Принцип гарантированности прав граждан и юридических лиц. Государственное регулирование отношений в секторе ИКТ основывается на системе организационно-правовых и материальных гарантий, создающих механизм реализации установленных в законе прав граждан и юридических лиц. Государственные органы и должностные лица должны нести ответственность в случае непринятия установленных в законодательстве мер, направленных на реализацию прав граждан и юридических лиц.

5. Принцип совместимости с мировым информационным пространством. Развитие нормативного регулирования применения ИКТ-технологий направлено на интеграцию с международным информационным пространством, приведение российского сектора ИКТ в соответствие со сложившимися в зарубежной практике подходами.

Государственное регулирование информационного взаимодействия должно основываться на следующих отраслевых принципах:

1. Принцип реальной доступности информации. Основной гарантией соблюдения информационных прав граждан и организаций является законодательно установленная презумпция открытости информации, содержащейся в государственных информационных ресурсах. Однако информация, которая в соответствии с законодательством является открытой, должна быть фактически доступна.

2. Принцип сокращения количества транзакций. Структура информационных ресурсов и информационных процессов с государственными органами должна выстраиваться таким образом, чтобы минимизировать число транзакций, необходимых для реализации тех или иных информационных прав.

3. Принцип консолидации государственных информационных ресурсов. Государственные информационные ресурсы, как предназначенные для публичного доступа, так и создаваемые для собственных нужд отдельных органов, должны быть, с учетом режимов хранения информации и категории доступа, непосредственно доступны для всех государственных органов. Государственный орган, которому для принятия решений требуется определенная информация (в настоящее время она обычно требуется от заявителя), должен иметь доступ к этой информации, в т. ч. к информации, содержащейся в информационных ресурсах других ведомств или территориальных отделений.

4. Принцип единообразия форм представления информации и стандартов ведения государственных информационных ресурсов. Принципы сокращения количества транзакций и гарантии открытости информации предполагают возможность легкого доступа к информации и простоты обмена информацией между различными информационными ресурсами. Это возможно только при условии строгой унификации государственных информационных ресурсов и стандартов вносимой в них информации.

5. Принцип обеспечения сохранности и достоверности информации. Нормативные акты должны предусматривать порядок информационного взаимодействия, однозначно устанавливающий непротиворечивые и недискриминационные процедуры восстановления информации в случае утраты ее в одном из ресурсов, преодоления искажений информации, устранения коллизий между ресурсами.

6. Принцип равноправия форм документов. Документ, представленный в электронной форме, не может быть лишен юридической силы только на том основании, что он составлен в электронной форме. Каждый документ, предусмотренный любым нормативным актом, должен сохранять юридическую силу при переводе из одной формы представления в другую.

1.7.1.2 Методы информационного права

Под методом правового регулирования понимают способы воздействия отрасли информационного права на информационные отношения. Многофункциональность информации приводит к необходимости применять в информационном праве различные методы правового регулирования информационных отношений в зависимости от вида информации и ее назначения в информационных процессах.

При изложении содержания информационно-правовых норм, обеспечивающих регулирование информационных отношений, связанных с созданием такой информации, как нормативные правовые акты, персональные данные, статистическая информация, государственные информационные ресурсы, обязательно представляемая информация, применяются методы конституционного и административного права: при создании информации, представляющей результат творчества, коммерческую тайну, открытую информацию - методы гражданского права.

При регулировании отношений, возникающих при передаче и распространении информации, применяются методы административного и конституционного законодательства, гражданского права, а также новые методы регулирования отношений информационной собственности, основанные на принципах такой собственности, еще только подлежащих разработке в рамках информационного права.

При регулировании отношений, возникающих в процессе применения информации, должны использоваться методы гражданского права и новые методы информационного права; при регулировании отношений по поводу ответственности за допущенные правонарушения в информационной сфере - методы законодательства об административных нарушениях уголовного права.

Таким образом, информационное право является комплексной отраслью, базирующейся, как на двух китах, на публичном и частном праве, и использует при решении задач правового регулирования отношений в информационной сфере практически весь основной арсенал механизмов публичного и частного права.

1.7.2 Информационное законодательство

в сфере информационных технологий

Российское информационное законодательство, формировавшееся во время наиболее динамичного развития информационных технологий, характеризовалось постоянным отставанием от современного уровня ИКТ. Изменения законодательства характеризовались отсутствием каких-либо программных документов, устанавливающих приблизительные правила использования ИКТ.

Одним из наиболее нежелательных следствий отсутствия системного подхода к регулированию сектора ИКТ является снижение конкурентоспособности отечественного сектора ИКТ по отношению к странам с рыночной экономикой. Эта проблема, носящая структурный характер, вызвана рядом проблем:

- отсутствием четких гарантий прав граждан, вызванным системными препятствиями, возникающими на пути к их осуществлению;

- отсутствием гарантий для предпринимателей, неоправданными барьерами выхода на рынок, вызванными часто нехваткой информации о требованиях законодательства к осуществлению той или иной деятельности;

- коррупцией среди чиновников госаппарата, основанной прежде всего на возможности принятия решений с высокой степенью произвольности;

- отсутствием эффективных процедур ответственности госслужащих и государственных органов за нарушения своих обязанностей, в том числе и нарушения в области информационного взаимодействия, низким уровнем успешно осуществленных преследований за такие нарушения и высокой латентностью таких нарушений.

Система правового регулирования ИКТ-сектора должна учитывать особенности предметной области регулирования и строиться в соответствии с принципами, устанавливаемыми концепцией.

Таким образом, правовое регулирование применения информационных и коммуникационных технологий в соответствии с Концепцией правового регулирования применения информационных и коммуникационных технологий в Российской Федерации направлено на достижение следующих целей:

1) обеспечение прав граждан и организаций на доступ к информации из государственных информационных ресурсов;

2) снижение количества барьеров и ограничений, основанных на несовершенстве системы информационного взаимодействия, в реализации законных прав гражданами и организациями;

3) снижение расходов государственного бюджета на содержание органов государственной власти без снижения эффективности осуществления органами государственной власти возложенных на них функций;

4) развитие областей российской экономики, непосредственно связанных с разработкой, применением и активным использованием информационных и коммуникационных технологий.

Необходимо так же определиться с тем, что именно может (или должно) включать в себя понятие "законодательство об информационных технологиях" ("информационное законодательство"). Наиболее очевидный ответ на этот вопрос связан с расширительным толкованием, при котором в сферу регулирования "информационного законодательства" подпадают все, сколько-нибудь имеющие отношение к понятию "информация", правовые институты.

В этом случае под "использованием информационных технологий" следовало бы понимать (в терминах действующего российского законодательства) любые "информационные процессы": сбор, накопление, потребление, хранение и преобразование информации как сведений о фактах, событиях и явлениях окружающего мира. При этом в сферу "информационного права" подпадают, в частности, вопросы:

определения правового статуса информации как объекта гражданских прав;

создания и производства, реализации и приобретения, потребления и использования средств обработки (хранения) информации ("информационных систем", "информационных технологий");

реализации конституционных прав, связанных с информацией (включая вопросы "информационной открытости" органов государственной власти, вопросы свободы слова, тайны переписки и др.), соотношения реализации данных прав с ограничениями, связанными с государственной, коммерческой и служебной тайной, а также информацией персонального характера (с ограниченным доступом), с защитой прав и законных интересов различных субъектов на ограничение доступа к информации;

юридического статуса информации в электронном виде (передача информации в виде сообщений, распространение открытой, в том числе массовой, информации, записи в информационных ресурсах, документы в электронной форме) - проблема соотношения оригинала и копии документа, представления доказательств, а также обеспечения доказательств при совершении процессуальных действий;

охраны результатов интеллектуальной деятельности ("интеллектуальной собственности", "исключительных прав"), зафиксированных в электронной форме;

информационной безопасности ("защиты информации"), включая применение специальных технологических средств и организационных механизмов такой защиты;

выявления, пресечения и расследования антиобщественных деяний (правонарушений и преступлений) в информационной сфере;

правового регулирования телекоммуникационного сектора, составляющего инфраструктурную основу и оказывающего прямое воздействие на развитие информационных и коммуникационных технологий (вопросы обеспечения конкуренции, оптимальных форм государственного регулирования, универсального обслуживания);

применения информационных технологий в качестве средств доказывания и доказательств в процессуальных действиях.

При таком понимании вопросы " информационного законодательства" неизбежно будут "пересекаться" с нормативными актами, традиционно относимыми к иным отраслям права (конституционному, гражданскому, уголовному, административному, о средствах массовой информации и т. п.).

Базовые законы об информации находятся в ведении Минсвязи, вопросы гостайны - Гостехкомиссии и ФСБ; коммерческой тайны - Минпромнауки; служебной тайны и доступа к правительственной информации - Минэкономразвития; охраны интеллектуальной собственности - Роспатента и Минпромнауки; массовой информации (причем не только деятельности средств массовой информации) - Минпечати; распространения информационных сообщений рекламного характера - Министерства по антимонопольной политике и т. п.

Такое распределение нормативных актов (групп актов), "закрепленных" за определенным ведомством федерального уровня, значительно усложняет выработку основанного на едином концептуальном подходе нормативного правового регулирования.

Современный этап развития российского законодательства в области ИКТ характеризуется значительным числом и большим разнообразием источников правовых норм. Только на уровне федеральных законов насчитывается несколько десятков нормативных актов, относящихся как к специфическим вопросам регулирования ("профильное законодательство"), так и к регулированию более общего характера, затрагивающего также и вопросы ИКТ.

Так, к законодательству общего характера, закрепляющему информационные права и свободы, устанавливающему основные права и обязанности соответствующих субъектов по поводу создания и распространения информации определенного вида, а также устанавливающему ограничения в обращении информации в государстве и обществе, относят следующие нормативные акты:

- Конституция РФ (1993 г.) закрепляет права на неприкосновенность частной жизни, личной и семейной тайны, тайну переписки, права на информацию ("свободно искать, получать, передавать, производить и распространять информацию любым законным способом"), свободу мысли и слова, массовой информации и запрет цензуры, свободу творчества, охрану интеллектуальной собственности;

- Закон РФ "О государственной тайне" (1993 г.);

- Закон РФ " О средствах массовой информации" (1991 г.), регулирующий вопросы деятельности средств массовой информации и специфики "массовой" информации;

- Закон РФ "О правовой охране программ для ЭВМ и баз данных" (1992 г.);

- Закон РФ "О правовой охране топологий микросхем" (1992 г.);

- Патентный закон РФ (1992 г.);

- Закон РФ "Об авторском праве и смежных правах" (1993 г.);

- Федеральный закон "Об информации, информатизации и защите информации" (1995 г.);

- Федеральный закон "Об участии в международном информационном обмене" (1995 г.);

- Федеральный закон "Об электронной цифровой подписи" (2002 г.);

- Федеральный закон "О связи" (1995 г., в редакции 2003 г.);

- Федеральный закон "О рекламе" (1995 г.);

- Федеральный закон "О лицензировании отдельных видов деятельности" (2001 г.).

Законодательства, акты которых целиком посвящены вопросам информационного права, подразделяются:

- на законодательство об интеллектуальной собственности, включающее законодательство об авторском праве и смежных правах, патентное законодательство, законодательство о "ноу-хау";

- законодательство о средствах массовой информации и о масс-медиа;

- законодательство о формировании информационных ресурсов, информационных продуктов, предоставлении информационных услуг, подразделяющееся, в свою очередь, на законодательства правовой информации, персональных данных, библиотечном деле, об архивах, статистической информации, международном обмене информацией;

- законодательство о реализации права на поиск, получение, передачу и потребление информации;

- законодательство о создании и применении информационных систем, их сетей, иных информационных технологий и средств их обеспечения;

- законодательство об информационной безопасности.

Перечисленные акты являются примерами соответствующих групп и не являются исчерпывающим списком.

Гражданский, Налоговый, Таможенный, Уголовный кодексы, Кодекс законов о труде также содержат нормы, относящиеся к регулированию ИКТ.

Следует также упомянуть многочисленные подзаконные акты (указы Президента Российской Федерации, постановления Правительства Российской Федерации, нормативные документы федеральных органов исполнительной власти), принятые в развитие перечисленных федеральных законов (например, регулирующие вопросы использования средств защиты информации, порядок и условия лицензирования соответствующей деятельности, экспорта программного обеспечения и т. д.); законодательные акты по профильным вопросам, принятые в субъектах Российской Федерации (например, закон правительства города Москвы "Об информационных ресурсах и информатизации города Москвы", принятый в 2001 г.).

В настоящее время на разных стадиях рассмотрения в федеральных органах государственной власти и Федеральном собрании находится ряд проектов и федеральных законов, относящихся к правоотношениям в сфере ИКТ ("Об электронной торговле", "Об информации персонального характера (персональных данных)", "О служебной тайне", "Об обеспечении прав граждан на информацию о деятельности органов государственной власти", Федеральный закон "О коммерческой тайне" и др.).

Классификация нормативных актов:

1) законодательство общего характера, регламентирующее наиболее фундаментальные принципы регулирования общественных отношений, связанных с использованием информации и ИКТ;

2) законодательство, регламентирующее использование общедоступной информации ("открытого доступа");

3) законодательство, регламентирующее использование конфиденциальной информации ("ограниченного доступа");

4) законодательство, регламентирующее различные прикладные аспекты использования информации и ИКТ;

5) законодательство, относящееся к охране интеллектуальной собственности.

Так, к первому классу могут быть отнесены соответствующие разделы Конституции Российской Федерации и Гражданского кодекса, а также "базовый" Федеральный закон "Об информации, информатизации и защите информации".

Второй класс в российских условиях будут составлять нормы, относящиеся к массовой информации, Закона "О СМИ", а также (после его приятия) законопроект "Об обеспечении прав граждан на информацию о деятельности органов государственной власти".

Третий класс включает Закон "О государственной тайне", а также законопроекты "О коммерческой тайне", "О служебной тайне" и "О персональных данных".

Четвертый класс представлен Федеральными законами "Об ЭЦП", "О связи", законопроектом "Об электронной торговле" и т. п.

В пятом классе сосредоточены все российские законы, связанные с охраной результатов творческой деятельности.

При более глубоком рассмотрении указанных законодательных актов выявляется ряд недостатков, свидетельствующих о неадекватности нынешнего состояния правового регулирования в информационной сфере складывающимся в ней общественным отношениям:

- неопределенность правового статуса информации, вовлеченной в общественные отношения (гражданский оборот);

- неопределенность правовой специфики правоотношений, возникающих в связи с использованием российскими гражданами, организациями и государственными органами глобальной информационной сети Internet (имущественные права на размещаемые в сети информационные объекты, совершение сделок "в электронной форме", идентификация участников сетевых правоотношений, проблемы трансграничной юрисдикции, распространение информации антиобщественного характера, включая несанкционированные рассылки "спам", предупреждение и пресечение правонарушений);

- неоднозначность представления в налоговом и бухгалтерском законодательстве информационных (нематериальных) объектов, приобретаемых и реализуемых налогоплательщиками. К этому примыкает и юридически некорректное закрепление имущественных прав государства на информационные объекты (ресурсы), создаваемые на бюджетные средства (т. е. содержательную информацию, имеющую в том числе и коммерческую ценность);

- терминологическая неоднозначность и концептуальное разнообразие подходов к регулированию информации ограниченного доступа (конфиденциальной информации в целом, государственной, служебной, коммерческой тайны, семейной и личной тайны, персональных данных и т. п.);

- межотраслевые "коллизии" правовых норм, относящихся к использованию ИКТ, но содержащихся в "непрофильных" правовых актах (Налоговом кодексе, Законе "О СМИ" и др.).

Сложившаяся ситуация с неэффективностью федерального законодательства в области использования информационных технологий заставляет исправлять наиболее очевидные его недостатки либо на уровне уточняющих (разъясняющих) подзаконных актов, либо на уровне законов субъектов Российской Федерации.

1.8 Основы защиты информации

1.8.1 Основные понятия, актуальность и основные проблемы защиты информации современных информационных систем

С развитием компьютерных технологий организации переходят на автоматизированные системы сбора, обработки, передачи и хранения информации, а также системы управления организацией. В результате увеличивается объем циркулирующей информации. Однако вероятность того, что данные могут быть уничтожены, скопированы или незаметно изменены, постоянно возрастает. В современном постиндустриальном обществе информация является не только результатом деятельности и необходимым ее обеспечением, но и капиталом, имеющим материальный эквивалент. Здесь выигрывает тот, кто вовремя и правильно успел получить информацию и воспользоваться ею. Успех деятельности организации зависит от соблюдения конфиденциальности или правильной подачи информации, именно поэтому вопросы информационной безопасности становятся как никогда актуальными.

Безопасность - это состояние защищенности (отсутствие опасности) жизненно важных интересов личности, общества, государства от внешних и внутренних угроз.

Информационная безопасность (ИБ) - защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, наносящих ущерб владельцам или пользователям информации и поддерживающей инфраструктуре.

В Положении о государственном лицензировании в области защиты информации, утвержденном решением Государственной технической комиссии при Президенте Российской Федерации и Федерального агентства правительственной связи и информации при Президенте Российской Федерации от 27 апреля 1994 года № 10 даны следующие определения:

"Защита информации это комплекс мероприятий, проводимых с целью предотвращения: утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), несанкционированного копирования, блокирования информации."

"Безопасность информации это состояние информации, информационных ресурсов и информационных систем, при котором с требуемой вероятностью обеспечивается защита информации (данных) от: утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), копирования, блокировки и т. п."

Для качественного и постоянного обеспечения ИБ в организациях и на предприятиях создаются системы информационной безопасности (СИБ), которые должны охватывать весь жизненный цикл информационной системы (ИС) организации, т. е. развиваться, изменяться, приспосабливаться к новым условиям вместе с ИС организации. Поддержание актуальности СИБ и адекватности ее окружающим условиям требует постоянных усилий со стороны администраторов безопасности организации, внимания к новинкам в области информационной защиты и нападения.

Система информационной безопасности - это функционирующая как единое целое совокупность подразделений, средств, мероприятий и методов, используемых этими подразделениями в своей деятельности, направленная на ликвидацию внутренних и внешних угроз интересам субъекта безопасности, создание, поддержание и развитие состояния защищенности его информационной среды.

Современное понятие защиты информации находится в центре внимания исследователей уже несколько десятков лет и ассоциируется, как правило, с проблемами защиты информации в автоматизированных системах обработки данных (АСОД).

Защита информации в АСОД это использование в них средств и методов, принятие мер и осуществление мероприятий с целью обеспечения требуемой защищенности информации.

Однако информатизация социально-экономических и политических процессов общества и развитие ИС требуют рассмотрения понятия и сущности защиты информации с позиций более полного множества классов и подклассов ИС:

класса систем информационного ресурса;

систем информационно-аналитического ресурса;

информационно-телекоммуникационных систем ;

подкласса интегрированных государственных систем конфиденциальной связи страны;

систем связи специального назначения и др.

Таким образом, можно говорить о необходимости и, более того, обязательности комплексного подхода к проблеме защиты информации предприятия или организации.

1.8.2 Классификация угроз современным системам

обработки информации

Широкое использование для обработки информации защищенных технических средств (аппаратуры засекречивания, средств активной и пассивной некриптографической защиты и др.) существенно снижает возможности технической разведки по добыванию информации. Однако существующие способы ведения технической разведки (ТР) позволяют добывать информацию на основе использования непреднамеренного (побочного) излучения и наводок электронных, электрических, электромеханических средств обработки информации, а также акустических, виброакустических и других полей, возникающих при функционировании технических средств обработки, хранении, передаче информации техническими средствами обработки информации (ТСОИ) и ведущихся в служебных помещениях разговорах.

Современные средства позволяют ТР по этим слабым излучениям и физическим полям обнаруживать, классифицировать тщательно замаскированную боевую технику, военные объекты, органы управления, центры обработки информации и другие объекты, а также перехватывать содержание обрабатываемой в них конфиденциальной информации.

Вышеперечисленные особенности информационных технологий по мере своего проявления обусловливают уязвимость информации: подверженностью ее физическому искажению или уничтожению; возможностью несанкционированной (случайной или злоумышленной) модификации; опасностью несанкционированного (случайного или преднамеренного) получения информации лицами, для которых она не предназначалась.

Кроме этого, информационным технологиям присуща подверженность различным видам воздействий, снижающих информационную безопасность. Их принято называть угрозами безопасности информации и информационной безопасности. Вполне очевидно, что понятия таких угроз формируются исходя из соответствующих понятий безопасности, при этом наиболее общие понятия безопасности и угроз сформулированы в Законе РФ "О безопасности".

Угроза безопасности совокупность условий, факторов, создающих опасность жизненно важным интересам личности, общества и государства.

Угроза информационной безопасности реальные или потенциально возможные действия или условия, приводящие к овладению, хищению, искажению, изменению, уничтожению информации, обрабатываемой ИТКС, и сведений о самой системе, а также к прямым материальным убыткам (рис. 1.21, 1.22).

Рис.1.21. Виды угроз безопасности

Таким образом, независимо от вида объекта безопасности угроза безопасности представляет собой совокупность факторов, явлений, условий и действий, создающих опасность для нормального функционирования объектов, реализующих определенные цели и задачи.

Угрозы безопасности информации в современных системах ее обработки обусловлены случайными и преднамеренными разрушающими и искажающими воздействиями внешней среды, надежностью функционирования средств обработки информации, а также преднамеренными корыстными воздействиями несанкционированных пользователей, целью которых является хищение, разглашение, уничтожение, разрушение, несанкционированная модификация и использование обрабатываемой информации.

Рис. 1.22. Классификация угроз информации

В настоящее время принята следующая классификация угроз сохранности (целостности) информации (рис. 1.23).

Основные проявления рассмотренных угроз заключаются в незаконном: владении конфиденциальной информацией, копировании, модификации, уничтожении в интересах злоумышленников, с целью нанесения ущерба как материального, так и морального, непреднамеренных действиях обслуживающего персонала и пользователей.

Основными путями реализации угроз информационным ресурсам безопасности информации являются:

агентурные источники в органах управления и защиты информации;

вербовка должностных лиц органов управления, организаций, предприятий и т. д.;

перехват и несанкционированный доступ к информации, циркулирующей в ТСОИ, с использованием технических средств разведки;

использование преднамеренного программно-технического воздействия на ТСОИ;

Рис. 1.23. Классификация угроз информации

подслушивание конфиденциальных переговоров в служебных помещениях, транспорте и других местах их ведения.

Факторами, обусловливающими информационные потери и различные виды ущерба, являются:

несчастные случаи, вызывающие выход из строя оборудования и информационных ресурсов (пожары, взрывы, аварии, удары, столкновения, падения, воздействия химических и физических сред);

поломки элементов средств обработки информации;

последствия природных явлений (наводнения, бури, молнии, землетрясения и др.);

кража, преднамеренная порча материальных средств;

аварии и выход из строя аппаратуры, программного обеспечения, баз данных;

ошибки накопления, хранения, передачи, использования информации;

восприятие, чтение, интерпретация содержания информации;

неумение, оплошности;

наличие помех, сбои и искажения отдельных элементов и знаков или сообщений;

нарушение защиты;

переполнение файлов;

ошибки при подготовке и вводе информации;

ошибки операционной системы, программирования;

аппаратные ошибки;

концептуальные ошибки внедрения;

злонамеренные действия в материальной сфере: болтливость, разглашение информации;

убытки социального характера (уход, увольнение, забастовка и др.).

С учетом применения в ИТКС микропроцессорной техники особенно опасными считаются ошибки в программах пользователей, которые могут привести к следующим последствиям:

записи в массивы данных искаженной информации вследствие неправильного управления вводом данных;

ошибочной печати выходных документов при неправильном управлении выводом;

сбою программ.

1.8.3 Классификация способов и средств защиты

информации

В настоящее время существует ряд подходов к определению, выбору и классификации средств защиты информации.

Существующие в современных системах обработки информации различные средства ее защиты при определенных условиях обеспечивают требуемый уровень защищенности информации. Их выбор осуществляется в соответствии с принятым или заданным способом защиты, гарантирующим максимальное противодействие дестабилизирующим факторам или порождающим их причинам. Целью такого противодействия должно быть исключение или существенное затруднение получения несанкционированными лицами содержания информации, а также повышение или сохранение прежних значений показателей качества информации. Классификация способов и средств защиты информации, соответствующая основным определениям, приведена на рисунке 1.24.

Защита информации организуется следующими способами:

Препятствие создание на пути возникновения или распространения дестабилизирующего фактора определенного барьера, не позволяющего соответствующему фактору принять опасные размеры. Например, блокировки, исключающие возможность выхода за опасные границы характеристик технических устройств или программ; создание физических препятствий на пути злоумышленников и т. п.

Управление определение и выработка на каждом шаге функционирования системы обработки информации управляющих воздействий на элементы системы, обеспечивающих решение одной или нескольких задач защиты информации.

Маскировка преобразование информации, включающее или существенно затрудняющее доступ к ней злоумышленников.

Регламентация разработка и реализация в процессе функционирования системы обработки информации комплексов мероприятий, создающих условия обработки информации, существенно затрудняющие появление и воздействие дестабилизирующих факторов.

Рис. 1.24. Классификация способов и средств защиты информации

Принуждение соблюдение пользователями и обслуживающим персоналом правил и условий обработки информации под угрозой материальной, административной или уголовной ответственности.

Побуждение способ защиты информации, при котором пользователи и обслуживающий персонал систем обработки информации побуждаются (материально, морально, этически, психологи-чески) к соблюдению всех правил ее обработки.

Реализация рассмотренных способов обеспечения защиты информации осуществляется применением различных средств: формальных и неформальных.

Формальные средства делятся на технические (физические и аппаратные), программные, программно-аппаратные, криптографические, неформальные на организационные, законодательные и морально-этические.

1. Технические (инженерно-технические) средства защиты используют технические устройства, узлы, блоки, элементы, системы как в виде отдельных средств, так и встроенных в процессе единого технологического цикла создания средств обработки информации.

Физические средства механические, электрические, электромеханические, электронные, электронно-механические и тому подобные устройства и системы, которые функционируют автономно, создавая различного рода препятствия на пути дестабилизирующих факторов.

Аппаратные средства различные электронные и электронно-механические и тому подобные устройства, схемно-встраиваемые в аппаратуру системы обработки данных или сопрягаемые с ней специально для решения задач защиты информации.

2. Программные средства специальные пакеты или отдельные программы, включаемые в состав программного обеспечения систем обработки данных с целью решения задач защиты информации.

3. Программно-аппаратная защита использование программного обеспечения ЭВТ, комплексов и систем, а также аппаратных устройств, схемно-встроенных в состав технических средств, и систем обработки информации.

4. Средства криптографической защиты информации (шифровальные) устройства, средства, системы и комплексы, обеспечивающие защиту содержания информации на основе способов ее криптографических преобразований.

Неформальные средства:

1. Организационные средства комплекс мер, основанных на организации и обеспечении органами управления организационных, организационно-технических мероприятий, специально предусмотренных в технологии функционирования информационно-телеком-муникационных систем с целью решения задач защиты информации в соответствии с системой требований нормативных правовых актов по защите информации.

2. Законодательные средства нормативные правовые акты, регламентирующие права и обязанности лиц подразделений и органов, имеющих отношение к функционированию системы защиты информации, а также устанавливающие ответственность за нарушение правил обработки и защиты конфиденциальной информации.

3. Морально-этические средства сложившиеся в обществе или данном коллективе моральные нормы или этические правила, соблюдение которых способствует защите информации, а нарушение приравнивается к несоблюдению правил поведения в обществе или коллективе. Морально-этические нормы формируются в процессе жизнедеятельности общества и, как правило, не имеют юридической силы, но их нарушение ведет к потере авторитета, возникновению дополнительных трудностей и другим негативным последствиям для человека и организации.

4. Психологические виды защиты допускаемые нормами права и морали методы и средства изучения психофизиологических особенностей и возможностей человека, а также психологического воздействия на него с целью оценки соответствия требованиям на допуск к обработке защищаемой информации.