Информационные технологии и право. Рекомендации по организации ИБ в организации. Физическая и экологическая безопасность

Даже самый общий взгляд на регулирование правоотношений в сфере информационных технологий (интернет-сервисов, электронной коммерции, электронного правительства, мобильных платежей и мобильной связи, социальных сетей, разнообразных баз данных и т.д.) показывает, что регулируются эти правоотношения не только традиционными правовыми инструментами, но и с использованием самих этих технологий. Более того, технологии как инструмент регулирования приобретают все большее значение. 

Технологии не только ставят, но и решают правовые проблемы. Прежде всего, когда речь заходит о принуждении к исполнению каких-либо обязательств. Ощутимые результаты достигнуты, к примеру, в области защиты персональных данных в сети Интернет. Об этом свидетельствуют, в частности, доклады, которые выносятся на обсуждение на ежегодный симпозиум по совершенствованию технологии защиты персональной информации (Privacy Enhancing Technologies Symposium).

Судя по всему, запреты на обработку данных о пользователях, введенные на уровне законодательных актов или судебных решений, оказываются менее эффективными в сравнении с технологиями, которые ограничивают возможности провайдеров собирать такие данные с помощью специальных протоколов, шифрования и других программных средств.

Аналогичным образом специальные компьютерные программы используются для защиты детей от интернет-угроз. Такие программы позволяют блокировать доступ к нежелательным сайтам. Этот пример особенно красноречив: в отличие от уговоров родителей, технологии действуют безотказно. Кроме того, технические средства, предназначенные для фильтрации контента, могут использовать различные оценочные стандарты применительно к одному и тому же массиву информации, что позволяет их использовать для различных целей. На одном и том же сайте можно блокировать доступ, например, только к порнографии, но точно так же можно закрыть доступ к информации националистического толка и т.д.

Законодательство об информации, информатизации и защите информации основывается на Конституции Республики Беларусь, включает Закон Республики Беларусь «Об информации, информатизации и защите информации» от 10 ноября 2008 г. № 455-3, акты Президента Республики Беларусь, иные акты законодательства Республики Беларусь: Постановление Совета Министров Республики Беларусь от 16 мая 2009 г. № 637 «О некоторых мерах по реализации Закона Республики Беларусь «Об информации, информатизации и защите информации»», Постановление Министерства связи и информатизации Республики Беларусь от 18 февраля 2015 г. № 6 «Об утверждении инструкции о порядке формирования и хранения сведений о посещаемых пользователями интернет-услуг информационных ресурсах», Постановление Оперативно-аналитического центра при Президенте Республики Беларусь, Министерства связи и информатизации Республики Беларусь, Министерства информации от 3 октября 2018 г. № 8/10/6 «Об утверждении положения о порядке ограничения (возобновления) доступа к интернет-ресурсу», Указ Президента Республики Беларусь от 16 апреля 2013 г. № 196 «О некоторых мерах по совершенствованию защиты информации», Указ Президента Республики Беларусь от 5 января 2015 г. № 4 «Об утверждении Положения о порядке взаимодействия операторов почтовой связи с органами, осуществляющими оперативно-розыскную деятельность».

Законом об информации, информатизации и защите информации регулируются общественные отношения, возникающие при поиске, получении, передаче, сборе, обработке, накоплении, хранении, распространении и (или) предоставлении информации, а также пользовании информацией, создании и использовании информационных технологий, информационных систем и информационных сетей, формировании информационных ресурсов, организации и обеспечении защиты информации. Действие Закона об информации, информатизации и защите информации не распространяется на общественные отношения, связанные с деятельностью средств массовой информации и охраной информации, являющейся объектом интеллектуальной собственности.

Разработка и совершенствование законодательной базы информационной безопасности является необходимой мерой, удовлетворяющей первейшую потребность в защите информации при развитии социально-экономических, политических, военных направлений деятельности каждого государства. 

Приоритетным направлением в обеспечение информационной безопасности в нашей стране было и остается развитие законодательства в этой сфере [1, с. 22]. 

К международным договорам в области информационной безопасности можно отнести: Соглашение о сотрудничестве государств – участников Содружества Независимых Государств в области обеспечения информационной безопасности от 20 ноября 2013 г., постановление Межпарламентской Ассамблеи государств-участников Содружества Независимых Государств от 18 ноября 2005 г. № 26-7 «О гармонизации законодательства государств – участников СНГ в области информатизации и связи», Соглашение между Правительством Республики Беларусь и Правительством Республики Казахстан о сотрудничестве в области защиты информации, Соглашение между Правительством Республики Беларусь и Правительством Российской Федерации о сотрудничестве в области защиты информации, постановление Межпарламентского комитета Республики Беларусь, Республики Казахстан, Кыргызской Республики, Российской Федерации и Республики Таджикистан от 15 октября 1999 г. № 9-9 «О модельном законе «О безопасности»» и т.д. [2, 3, 4, 5, 6]. 

В Основном законе государства – Конституции Республики Беларусь от 15 марта 1994 г. гражданам Республики Беларусь гарантируется право на получение, хранение и распространение полной, достоверной и своевременной информации о деятельности государственных органов, общественных объединений, о политической, экономической, культурной и международной жизни, состоянии окружающей среды; и указывается, что пользование информацией может быть ограничено законодательством в целях защиты чести, достоинства, личной и семейной жизни граждан и полного осуществления ими своих прав. [7, ст. 34] 

В настоящий момент существует большое количество подходов к обеспечению и управлению информационной безопасностью. Наиболее эффективные из них формализованы в стандарты.

Международные стандарты и методологии в области ИБ и управления ИТ являются ориентиром при построении информационной безопасности, а также помогают в решении связанных с этой деятельностью задач всех уровней, как стратегических и тактических, так и операционных. Попробуем разобраться в идеях популярных зарубежных стандартов и в том, как они могут применяться в российской практике.

Каждому специалисту, имеющему отношение к информационной безопасности, желательно ознакомиться с наиболее известными методологиями в области ИБ, а также научиться применять их на практике. Изучение лучших практик дает возможность узнать:

- терминологию в сфере ИБ;

- общие подходы к построению ИБ;

- общепринятые процессы ИБ и рекомендации по их выстраиванию;

- конкретные меры защиты – контроли ИБ;

- роли и зоны ответственности при построении процессов ИБ;

- подходы к измерению зрелости процессов ИБ;

- и многое другое.

Международные ИБ-стандарты развиваются годами, и за это время успели усовершенствоваться и вобрать в себя лучший опыт практикующих специалистов, в том числе лучшие практики в области развития ИТ.

Еще одним преимуществом изучения стандартов является возможность продуктивного взаимодействия в сообществе ИБ-специалистов – общепризнанные стандарты международного уровня позволяют им общаться между собой и с внутренними подразделениями компании на одном языке с использованием устоявшихся терминов и определений. В том числе это помогает обосновывать руководству необходимость тех или иных ИБ-мер формулировками, понятными бизнесу. Стоит отметить, что ИБ всегда идет бок о бок с ИТ, и для повышения эффективности работы очень важно уметь устанавливать коммуникации с ИТ. В этом ИБ-специалисту помогает изучение таких стандартов, как ITIL и COBIT [12].

Задача защиты от несанкционированного доступа информации становится актуальной для многих компаний. Сведения, которые могут заинтересовать третьих лиц, находятся в базах данных и медицинских учреждений, и производственных предприятий, и государственных структур. При этом охрана персональных данных – требование закона, остальные массивы информации охраняются исходя из внутренних политик предприятия, направленных на создание удобной и эффективной системы защиты. 

Обеспечение информационной безопасности активов любой организации является крайне важной задачей для любого предпринимателя, ведь с развитием информатизации и автоматизации, большая часть процессов протекает с использованием информационных систем. Компрометация информационной инфраструктуры, несомненно, приведет к экономическим потерям, причем зачастую довольно серьезным.

Далее мы рассмотрим минимальный набор обязательных мероприятий, для обеспечения информационной безопасности предприятия.

1. Проведение инструктажей

Большая часть нарушителей информационной безопасности – это внутренние нарушители, работники организации. Причем часть из них совершает нарушения неумышленно. Чтобы избежать этого, проводите инструктажи для всех вновь устраивающихся работников, кроме того, ежегодно организовывайте обучения, одного-двух часов в год вполне достаточно.

2. Контроль съемных носителей.

Без комментариев. Внешние носители – это способ как занести вредоносный код в вашу сеть, так и отличный канал утечки конфиденциальных данных. Для контроля используйте специализированные средства.

3. Безопасность на уровне корпоративной сети.

Межсетевое экранирование, защита от сетевых угроз. Безопасное конфигурирование маршрутизаторов и коммутаторов. Система предотвращения вторжений. Тестирование механизмов защиты. Это из обязательного.

4. Система мониторинга событий безопасности.

Используйте технические средства или мониторьте журналы безопасности серверов вручную. Без этого попытки несанкционированного доступа не обнаружить, а меж тем это очень важно.

Процедуры эксплуатации СОИИСС оформляются документально и при изменении характеристик и условий эксплуатации СОИИСС постоянно обновляются, а также являются доступными пользователям

(в части, их касающейся) для изучения.

Изменения в конфигурациях СОИИСС контролируются

и фиксируются в эксплуатационной документации (локальные нормативные правовые акты, журналы регистрации изменения конфигураций).

Для снижения возможности несанкционированного доступа обязанности и сферы ответственности при эксплуатации СОИИСС разграничиваются (например, между системными администраторами

и администраторами безопасности).

Функциональные характеристики производительности СОИИСС контролируются, регулируются и прогнозируются. 

Для внесения изменений в СОИИСС (принятие новых, модернизация старых версий программного обеспечения и другие изменения) разрабатываются критерии, а также проводится тестирование этих изменений (при возможности его проведения).

Реализуются меры по обнаружению, предотвращению проникновения вредоносного кода и восстановлению после

его проникновения, а также устанавливаются процедуры по оповещению персонала о таких инцидентах безопасности в части, его касающейся.

 При использовании мобильного кода определяется и реализуется политика его использования, а использование неавторизованного мобильного кода блокируется.

Устанавливаются и реализуются процедуры резервного копирования информации и программного обеспечения, а также порядок обращения с резервными копиями (хранение, восстановление из резервных копий, физическая защита и другое).

В целях обеспечения безопасности СОИИСС реализуются процедуры управления и контроля информационных сетей, в том числе при передаче через нее информации [14, с. 40].

Создание и управление резервными копиями может быть рутинной и не очень интересной задачей, однако, это один из лучших способов защитить ваши данные, восстановиться после сбоя и вернуть ваш бизнес в обычное русло. Это важно, потому что программы-вымогатели могут зашифровать все ваши данные и заблокировать их до выкупа. Надежный план реагирования, дополненный текущими и поддерживаемыми резервными копиями, является наилучшей защитой при работе с инцидентом по информационной безопасности.

Резервное копирование данных – процесс создания копии данных на носителе, предназначенном для восстановления данных в оригинальном месте их расположения в случае их повреждения или разрушения. Кроме того, система резервного копирования – это один из необходимых методов обеспечения непрерывности бизнеса. Построение централизованной системы резервного копирования позволяет сократить совокупную стоимость владения ИТ-инфраструктурой благодаря оптимальному использованию устройств резервного копирования и сокращению расходов на администрирование (по сравнению с децентрализованной системой).

Централизованная система резервного копирования имеет многоуровневую архитектуру, в которую входят:

- сервер управления резервным копированием, способный также совмещать функции сервера копирования данных;

- один или несколько серверов копирования данных, к которым подключены устройства резервного копирования;

- компьютеры-клиенты с установленными на них программами-агентами резервного копирования;

-консоль администратора системы резервного копирования.

Администратор системы ведет список компьютеров-клиентов резервного копирования, устройств записи и носителей хранения резервных данных, а также составляет расписание резервного копирования. Вся эта информация содержится в специальной базе, которая хранится на сервере управления резервным копированием.

В соответствии с расписанием или по команде оператора сервер управления дает команду программе-агенту, установленной на компьютере-клиенте, начать резервное копирование данных в соответствии с выбранной политикой. Программа-агент собирает и передает данные, подлежащие резервированию, на сервер копирования, указанный ей сервером управления.

Использование технологий в нормативных целях нередко вступает в противоречие с действующим законодательством. Технологические атаки на интеллектуальную собственность (включая пиринговые сети, движение за свободное программное обеспечение и проект Google Books) являются движением против норм интеллектуальной собственности, закрепленных в законодательстве с соблюдением демократической процедуры, что недопустимо, так как «демократия должна превалировать над «технократией». Вопрос о том, всегда ли законодательные нормы принимаются демократически и отвечают интересам всего общества, является, очевидно, спорным. С другой стороны, в контексте обсуждения проблем саморегулирования в Интернете нередко подчеркивается, что правила, установленные без государственного вмешательства, в том числе реализуемые посредством технологий, в отличие от норм закона, не подчиняются каким-либо определенным критериям и процедурам установления и характеризуются, по крайней мере потенциально, так называемым «демократическим дефицитом», т.е. могут быть приняты в интересах узкой группы субъектов, обладают недостаточной прозрачностью, стабильностью и т.п.. В то же время различные формы саморегулирования, использующие в том числе технологические средства, были и остаются серьезным подспорьем в регулировании Интернета как на национальном, так и на международном уровне. Поэтому и в вопросе нормативного использования технологий, и в более широком контексте саморегулирования со стороны государства необходимы не запретительные меры, а сотрудничество и установление сбалансированной системы требований и критериев.

Таким образом, виртуальный и реальный миры должны не противоборствовать, а искать общий язык для коммуникации: "Проблема программного кода как средства регулирования киберпространства и деятельности в нем весьма сложна ввиду принципиальной новизны этого социального регулятора и неясности его соотношения с другими регуляторами. Может ли законодатель устанавливать какие-то нормы, которые должны будут соблюдать создатели кодов? Видимо, может. Однако для этого он должен корректно включить киберпространство в сферу текущего правового регулирования, не противопоставляя реальный и виртуальный миры, а понимая, что эти миры существуют совместно, и то, что происходит в одном, может иметь серьезные последствия в другом.