Правовое регулирование в области информационной безопасности.
Модель с ролевым разграничением
Модель с прямым разграничением (Unix-модель)
- В качестве субъектов выступают пользователи и группы, находящиеся в отношении «многие ко многим»
- Объекты доступа имеют владельца и принадлежат группе
- Определен некоторый самодостаточный набор типовых права для всех объектов
- Права устанавливаются в контексте объектов и разграничиваются в зависимости от категории субъектов
- Конкретное право доступа к конкретному объекту определяется как логическое «или» прав категорий субъектов, к которым относится субъект применительно к конкретному объекту
| Матрица прав объекта | ||||
| категория субъектов | общий набор прав для объектов | |||
| чтение | запись | выполнение | ||
| владелец | × | × | × | |
| группа | × | × | × | |
| остальные | x | × | × |
- В качестве субъектов выступают пользователи и роли, находящиеся в отношении «многие ко многим»
- Объекты доступа имеют владельца и тип
- Каждый тип объектов имеет некий самодостаточный набор прав
- Права устанавливаются для ролей в контексте типов объектов
- Конкретное право доступа к конкретному объекту определяется как логическое «или» соответствующих прав всех ролей применительно к типу объекта
| Матрица прав типа объекта для роли | ||||
| категория объектов | набор прав для типа объектов | |||
| чтение | запись | выполнение | ||
| свои | × | × | × | |
| чужие | × | × | × |
Правовое обеспечение безопасности информации — это совокупность законодательных актов, нормативно-правовых документов, положений, инструкций, руководств, требования которых обязательны в системе защиты информации.
Основополагающими документами по информационной безопасности в РФ являются Конституция РФ и Концепция национальной безопасности.
Правовое обеспечение безопасности информации любой страны содержит международные, и национальные правовые нормы. В нашей стране правовые или законодательные основы обеспечения безопасности компьютерных систем составляют Конституция РФ, Законы РФ, Кодексы, указы и другие нормативные акты, регулирующие отношения в области информации.
Законодательные меры в сфере информационной безопасности направлены на создание в стране законодательной базы, упорядочивающей и регламентирующей поведение субъектов и объектов информационных отношений, а также определяющей ответственность за нарушение установленных норм.
^ Закон Российской Федерации №149-Ф3 «Об информации, информационных технологиях и защите информации» от 27 июля 2006 г. регулирует отношения, возникающие при:
- осуществлении права на поиск, получение, передачу и производство информации;
- применении информационных технологий;
- обеспечении защиты информации.
Закон РФ № 24-ФЗ "Об информации, информатизации и защите информации" от 20 февраля 1995 года является одним из базовых законов в области защиты информации, он регламентирует отношения, возникающие при формировании и использовании информационных ресурсов РФ на основе сбора, накопления, хранения, распространения и предоставления потребителям документированной информации, а также при создании и использовании информационных технологий, при защите информации и прав субъектов, участвующих в информационных процессах и информатизации.
Основные задачи Закона:
· предотвращение утечки, хищения, утраты, несанкционированного копирования, уничтожения, искажения, модификации (подделки) информации в информационных системах;
- сохранение достоверности, целостности информации, ее массивов и программ, установленных собственником;
- сохранение возможности управления процессом обработки, пользования информацией в соответствии с условиями, установленными собственником;
- обеспечение конституционных прав граждан на сохранение личной тайны и конфиденциальности персональной информации, накапливаемой в банках данных;
- сохранение секретности или конфиденциальности информации в соответствии с правилами, установленными действующим законодательством и другими законодательными или нормативными актами;
- соблюдение авторских прав.
^ Государственная тайна – защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации.
^ Система защиты государственной тайны – совокупность органов защиты государственной тайны, используемых ими средств и методов защиты сведений, составляющих государственную тайну и их носителей, а также мероприятий, проводимых в этих целях.
В 1996 году в Уголовный кодекс был впервые внесен раздел «Преступления в сфере компьютерной информации». Он определил меру наказания за некоторые виды преступлений, ставших распространенными:
- неправомерный доступ к компьютерной информации;
- создание, использование и распространение вредоносных программ для ЭВМ;
- умышленное нарушение правил эксплуатации ЭВМ и сетей.
В 2006 году вступил в силу закон №152-0Ф3 «О персональных данных», целью которого является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни.
^ Правовое регулирование в информационной сфере, в силу ее быстрого развития, всегда будет отставать от жизни.
В настоящее время решение проблемы правового регулирования в сфере формирования и использования информационных ресурсов находится в России на начальной стадии. Чрезвычайно важно и актуально принятие таких правовых актов, которые смогли бы обеспечить: