WWW.KONFERENCIYA.SELUK.RU

БЕСПЛАТНАЯ ЭЛЕКТРОННАЯ БИБЛИОТЕКА - Конференции, лекции

 

Pages:     | 1 |   ...   | 19 | 20 || 22 |

«ИНФОРМАТИЗАЦИЯ И ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ПРАВООХРАНИТЕЛЬНЫХ ОРГАНОВ XXI ВСЕРОССИЙСКАЯ НАУЧНАЯ КОНФЕРЕНЦИЯ 29 - 30 мая 2013 г. г. Москва УДК 351.74 355.72 ББК 66.2 (2 Рос) Инф74 ...»

-- [ Страница 21 ] --

1) персональные данных и носителей таких данных;

2) должностные лица, подразделения и сотрудники ответственные за организацию и проведение работ по защите ПДн;

3) способы, техника и средства защиты ПДн;

4) меры и мероприятия, проводимые в целях защиты ПДн.

1. Персональные данные и носителей таких данных.

К персональным данным, обрабатываемым в органах внутренних дел, относятся сведения о лицах, подозреваемых или обвиняемых в совершении преступления; осужденных за совершение преступления; которые совершили преступление или общественно опасное деяние и в отношении которых судом применены принудительные меры медицинского характера; в отношении которых вынесено постановление о прекращении уголовного преследования за истечением срока давности, в связи с примирением сторон, вследствие акта об амнистии, в связи с деятельным раскаянием; несовершеннолетних, освобожденных от уголовной ответственности либо освобожденных судом от наказания с применением принудительных мер воспитательного воздействия; о несовершеннолетних, совершивших правонарушения и (или) антиобщественные действия, об их родителях или иных законных представителях, не исполняющих своих обязанностей по воспитанию, обучению и (или) содержанию детей и (или) отрицательно влияющих на их поведение либо жестоко обращающихся с ними; в отношении которых до вступления приговора в законную силу был применен акт помилования или акт об амнистии, освобождающие от наказания; в отношении которых совершено преступление; совершивших административное правонарушение; объявленных в розыск; пропавших без вести; находящихся в беспомощном состоянии и неспособных по состоянию здоровья или возрасту сообщить сведения о себе; владельцах транспортных средств; получивших водительское удостоверение; получивших удостоверение частного охранника; получивших лицензию на осуществление частной детективной (сыскной) деятельности; состоящих на профилактическом учете; в отношении которых заведены дела оперативного учета; прошедших государственную дактилоскопическую регистрацию; прошедших государственную геномную регистрацию; подлежащих государственной защите; владеющих оружием; реабилитированных в соответствии с законодательством Российской Федерации; об иностранных гражданах и о лицах без гражданства, в отношении которых принято решение о депортации или об административном выдворении.

Помимо указанных ПДн граждан, в органах внутренних дел обрабатываются и иные ПДн, к таким, в частности, можно отнести ПДн:

сотрудников, федеральных государственных служащих, работников, стажеров системы МВД России;

сотрудников, федеральных государственных служащих, работников и граждан Российской Федерации, О персональных данных: федеральный закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ: в ред. от 25 июля 2011 г. Ч.3 ст. 18.1 // Собр. законодательства Рос. Федерации. - 2006. - № 31, ч. 1, ст.3448.

ГОСТ Р 50922-2006. Защита информации. Основные термины и определения: утв. Приказом Ростехрегулирования от 27.12.2006 № 373-ст // М., Стандартинформ. - 2008.

Об утверждении инструкции по организации защиты персональных данных, содержащихся в информационных системах органов внутренних дел Российской Федерации: приказ МВД России от 6 июля 2012 г. № 678 // Рос. газ. № 230, 2012.

Информационная безопасность, специальная техника и связь которым оказываются медицинские и медико-социальные услуги в медицинских учреждениях МВД России;

сотрудников МВД России, граждан Российской Федерации хранящиеся в кадровых, финансовоэкономических, тыловых подразделениях МВД России;

лиц, не достигших возраста 18 лет, посещающих учебные, культурные или спортивные учреждения системы МВД России и др.

В качестве носителей ПДн используются материальные носители (бумажные, магнитные, оптические и др.), физические поля (акустическое, электромагнитное, электрические сигналы и др.), в которых информация находит свое отображение в виде символов, образов, сигналов 1.

2. Должностные лица, подразделения и сотрудники ответственные за организацию и проведение работ по защите ПДн.

В соответствии с требованиями приказа МВД России 2, руководители (начальники) территориальных органов МВД России, руководители структурных подразделений территориальных органов МВД России, эксплуатирующие ИСПДн, обеспечивают выполнение правовых, организационных и технических мер направленных на обеспечение безопасности ПДн и являются ответственными за соблюдение требований по защите ПДн при их автоматизированной обработке в подчинённом органе внутренних дел.

Кроме указанных выше должностных лиц, ответственными за соблюдение требований по защите ПДн являются:

администраторы ИСПДн;

пользователи ИСПДн, непосредственно обрабатывающие ПДн в ИСПДн;

инженерно-технический персонал, имеющий доступ к элементам ИСПДн.

Координацию и контроль деятельности по защите ПДн, содержащихся в информационных системах органов внутренних дел Российской Федерации, осуществляет Департамент информационных технологий связи и защиты информации МВД России (ДИТСиЗИ МВД России), выполняющий функции головного подразделения МВД России по вопросам защиты ПДн при их автоматизированной обработке 3.

В территориальных органов МВД России, функции защиты ПДн и контроля за проведением мероприятий по защите ПДн в подразделениях органа внутренних дел, при их автоматизированной обработке, возложены на подразделение информационных технологий, связи и защиты информации или на должностные лица, назначенные ответственными за проведение мероприятий по технической защите информации, а также должностные лица, назначенные ответственными за организацию обработки ПДн 4.



Лица ответственные за организацию обработки персональных данных в органе внутренних дел или в структурном подразделении органа внутренних дел, назначаются из числа сотрудников данного органа или подразделения.

3. Способы, методы, техника и средства защиты ПДн.

К способам и методам защиты персональных данных в ИСПДн органов внутренних дел относятся:

способы и методы защиты ПДн, обрабатываемой техническими средствами информационной системы, от несанкционированного доступа к ПДн, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий (методы и способы защиты информации от несанкционированного доступа);

способы и методы защиты речевой информации, а также информации, представленной в виде информативных электрических сигналов, физических полей, от несанкционированного доступа к ПДн (методы и способы защиты информации от утечки по техническим каналам).

Обеспечение безопасности персональных данных достигается, в частности, применением средств защиты информации прошедших процедуру оценки соответствия требованиям по безопасности информации.

В общем виде к средствам защиты ПДн можно отнести технические, криптографические, программные и другие средства, предназначенные для защиты ПДн, средства, в которых они реализованы, а также средства контроля эффективности защиты ПДн.

В целях защиты ПДн обрабатываемых в ИСПДн от несанкционированного доступа, применяются средства управления и разграничения доступа пользователей к ПДн; обеспечения регистрации и учета действий с информацией; обеспечивающие целостность данных; антивирусной защиты; межсетевого экранирования; анализа защищенности; обнаружения вторжений; криптографической защиты ПДн, при их передачи по каналам связи сетей общего и (или) международного обмена.

ГОСТ Р 50922-2006. Защита информации. Основные термины и определения: утв. Приказом Ростехрегулирования от 27.12.2006 № 373-ст // М., Стандартинформ. - 2008.

Об утверждении инструкции по организации защиты персональных данных, содержащихся в информационных системах органов внутренних дел Российской Федерации: приказ МВД России от 6 июля 2012 г. № 678 // Рос. газ. № 230, 2012.

Об утверждения положения о Департаменте информационных технологий, связи и защиты информации МВД России: приказ МВД России от 16 июня 2011 г. № 681 // Документ опубликован не был.

Об утверждении типового Положения о подразделении информационных технологий, связи и защиты информации территориального органа Министерства внутренних дел Российской Федерации: приказ от 2 июля 2012 г. № 660 // Документ опубликован не был.

В целях защиты ПДн обрабатываемых в ИСПДн от утечки по техническим каналам, применяются генераторы активного акустического, виброакустического и электромагнитного маскирующего зашумления, сетевые помехоподавляющие и телефонные фильтры, а также методы экранирования и заземления и др.

Выбор средств защиты информации, для построения системы защиты персональных данных, осуществляется в соответствии с нормативными правовыми актами, принятыми ФСТЭК России и ФСБ России, на основе модели угроз и в зависимости от уровня защищённости ИСПДн.

4. Меры и мероприятия, проводимые в целях защиты ПДн.

Обязанностью оператора обрабатывающего ПДн является применение, в том числе, организационных мер по обеспечению безопасности персональных данных при их обработке в ИСПДн. Законодательством одновременно установлено, что состав и содержание указанных мер устанавливаются ФСТЭК России и ФСБ России.

В настоящее время порядок организации защиты ПДн в органах внутренних дел установлен Приказом МВД России1.

В целях обеспечения безопасности ПДн в органах внутренних дел создается система защиты ПДн, которая должна обеспечивать конфиденциальность, целостность и доступность ПДн при их обработке в ИСПДн.

Необходимо особо обратить внимание на то, что обработка ПДн в ИСПДн органов внутренних дел осуществляется только после завершения работ по созданию системы защиты ПДн и вводу в эксплуатацию ИСПДн. Ввод в эксплуатацию ИСПДн осуществляется на основе приказа руководителя (начальника) территориального органа внутренних дел, после аттестации ИСПДн по требованиям безопасности информации.

Организационные меры, направленные на создание системы защиты и организацию работ по обеспечению безопасности ПДн при их автоматизированной обработке и создание системы защиты ПДн, включают:

1. Направление уведомлений об обработке ПДн в ДИТСиЗИ МВД России.

2. Получение территориальным органом МВД России на региональном уровне лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации.

3. Создание комиссии для определения уровня защищённости ИСПДн. Комиссия создаётся приказом руководителя (начальника) территориального органа МВД России, в состав которой включаются представители структурных подразделений, эксплуатирующих ИСПДн, а также специалисты подразделения (сотрудники) информационных технологий, связи и защиты информации.





4. Планирование и организацию выполнения мероприятий по обеспечению безопасности ПДн.

Работы по обеспечению безопасности ПДн включаются в План основных организационных мероприятий МВД России (планы работ подразделений МВД России).

5. Организацию взаимодействия подразделений, обеспечивающих создание (модернизацию) и эксплуатацию ИСПДн с подразделением по защите ПДн.

6. Определение должностных обязанностей лиц, ответственных за организацию обработки ПДн и за эксплуатацию ИСПДн, с внесением соответствующих положений в должностные регламенты (инструкции) сотрудников.

7. Организацию и осуществление контроля за выполнением установленных требований по обеспечению безопасности ПДн.

Целью такого контроля является соблюдение структурными подразделениями территориального органа МВД России требований по обеспечению безопасности ПДн при их обработке в ИСПДн.

Задачами контроля являются:

установление фактического положения дел в структурном подразделении по обеспечению безопасности ПДн при их обработке в ИСПДн;

выявление проблемных вопросов в организации обеспечения безопасности ПДн;

обеспечение соблюдения законодательства в сфере обработки и защиты ПДн;

выработка мер по оказанию методической и практической помощи структурным подразделениям территориального органа МВД России;

повышение ответственности руководителей за выполнение возложенных задач, соблюдение законности в их деятельности.

Ведомственный контроль по определению достаточности принятых мер по обеспечению безопасности ПДн проводится не реже одного раза в два года и осуществляется ДИСТиЗИ МВД России и подразделением (сотрудниками) информационных технологий, связи и защиты информации.

7. Планирование и организацию проведения занятий по изучению требований нормативных правовых актов и методических документов по вопросам обеспечения безопасности ПДн, а также ежегодной проверки их знаний.

Повышение квалификации сотрудников, федеральных государственных гражданских служащих и работников органов внутренних дел в области защиты ПДн осуществляется на базе ФГОКУ ВПО «Воронежский институт МВД России».

Проведение организационно-технических мероприятий по обеспечению безопасности ПДн при их обработке в ИСПДн (т.е. аттестации ИСПДн) делится на три этапа 1:

Об утверждении инструкции по организации защиты персональных данных, содержащихся в информационных системах органов внутренних дел Российской Федерации: приказ МВД России от 6 июля 2012 г. № 678 // Рос. газ. № 230, 2012.

Информационная безопасность, специальная техника и связь Этап 1. Подготовка ИСПДн к аттестации на соответствие требованиям по безопасности информации:

1. Предпроектное обследование ИСПДн, которое включает в себя определение:

- перечня ПДн, обрабатываемых в ИСПДн органа внутренних дел и подлежащих защите;

- условий расположения ИСПДн относительно границ контролируемой зоны;

- конфигурации и топологи ИСПДн;

- перечня технических средств и систем, используемых или предполагаемых к использованию в ИСПДн;

- общесистемных и прикладных программных средств предполагаемых к использованию в ИСПДн;

- режимов обработки ПДн в ИСПДн;

- уровня защищённости ИСПДн.

2. Разработка модели угроз безопасности ПДн при их обработке в ИСПДн и перечня актуальных угроз.

Этап 2. Разработка технического проекта на систему защиты ИСПДн.

Этап 3. Создание и аттестация ИСПДн по требованиям безопасности информации.

1. Приобретение сертифицированных технических, программных и программно-технических средств защиты информации.

2. Установка и настройка, ввод в эксплуатацию средств защиты ПДн.

3. Подготовка проекта приказа о допуске сотрудников к работам в ИСПДн.

4. Оформление журналов учёта эксплуатирующего персонала, администраторов защиты, администраторов, пользователей непосредственно обрабатывающих ПДн в ИСПДн, и инженерно-технического персонала, имеющего доступ к ИСПДн; учёт машинных носителей ПДн и учёт их выдачи; проведения инструктажей по обеспечению безопасности ПДн; проверки исправности технических средств и технического обслуживания.

5. Подготовка проектов приказов:

- о назначении лиц, ответственных за эксплуатацию ИСПДн;

- о назначении комиссии для определения уровня защищённости ИСПДн.

- Инструкций сотрудникам обрабатывающим ПДн в ИСПДн в части обеспечения безопасности ПДн;

- Технического паспорта на ИСПДн;

- Инструкций по эксплуатации средств защиты информации для пользователей, администраторов ИСПДн и сотрудников.

7. Проверку соответствия организационно-технических мер защиты требованиям нормативно-методических и руководящих документов ФСБ России и ФСТЭК России.

8. Проведение специальных исследований и аттестации ИСПДн, с оформлением документов по результатам аттестационных испытаний и выдача аттестата соответствия ИСПДн требованиям по безопасности информации.

9. Проведение контроля состояния защиты информации в ИСПДн.

В данной статье предпринята попытка описания системы защиты персональных данных, которые обрабатываются в информационных системах органов внутренних дел Российской Федерации с целью дальнейшего совершенствования и развития данной системы. Актуальность рассмотрения данной темы связанно прежде всего с тем, что обеспечение требований законодательства Российской Федерации в области обработки и безопасности ПДн обрабатываемых в информационных системах территориальных органах МВД России является сложной задачей, требующей своего решения в течении 2013 года.

ПРАВОВЫЕ ОСНОВЫ КАТЕГОРИРОВАНИЯ И АНАЛИЗА УЯЗВИМОСТИ ВАЖНЫХ

ГОСУДАРСТВЕННЫХ ОБЪЕКТОВ

К.т.н. Олейник А.С. (Академия управления МВД России) В современных условиях рост терроризма в России представляет собой одну из наиболее реальных угроз для обеспечения стабильного социально-экономического развития страны, повышения качества жизни населения, укрепления национальной безопасности и международного престижа государства.

Негативные последствия проявления терроризма становятся все более масштабными и оказывают ощутимое влияние на социально-экономическое развитие и обеспечение национальной безопасности страны.

Федеральными органами исполнительной власти, органами государственной власти субъектов Российской Федерации, органами местного самоуправления развернуты работы по обеспечению защищенности объектов инфраструктуры и безопасности населения от угроз террористических проявлений.

Вместе с тем, признается, что существующая система государственного управления еще не в полной мере соответствует качественным изменениям спектра угроз национальной безопасности Российской Федерации в рассматриваемой области.

Основными причинами этого являются:

1)нечеткое разграничение сфер ответственности, недостаточный уровень взаимодействия и координации Положение по аттестации объектов информатизации по требованиям безопасности информации: утв. Гостехкомиссией РФ 25 ноября 1994 г. // Документ опубликован не был; Васильев Р. Методика проведения аттестации информационной системы по требованиям защиты персональных данных. «Information Security/ Информационная безопасность» №5, 2011. стр. 20-22.

между федеральными органами исполнительной власти, органами исполнительной власти субъектов Российской Федерации, органами местного самоуправления, а также между собственниками опасных объектов и эксплуатирующими их организациями;

2)несовершенство нормативно-правовой базы, регулирующей вопросы обеспечения защищенности опасных объектов и населения;

3)распределение бюджетных средств по многочисленным и недостаточно увязанным между собой федеральным и региональным целевым программам, неудовлетворительное финансирование этих программ;

4)усиление негативного воздействия антропогенных факторов, в том числе ставшие систематическими нарушения установленных норм и правил эксплуатации опасных объектов, снижение требовательности и персональной ответственности должностных лиц за эти нарушения.

Сложившееся положение требует разработки и реализации неотложных и долгосрочных мер, направленных на решение задачи повышения защищенности объектов и населения, которая на современном этапе является одной из приоритетных задач развития Российской Федерации. Комплекс мер должен опираться на прочную правовую основу, которую составляет взаимоувязанная совокупность законодательных, нормативно-технических и иных документов, регулирующих отношения в сфере обеспечения безопасности объектов.

Для более полного представления об источниках формирования документов, регламентирующих достаточно узкий специфический круг задач, следует обратиться к общей структуре правовых основ деятельности по обеспечению безопасности в Российской Федерации.

Такая структура имеет внутреннюю иерархию и включает в себя правовые акты четырех уровней: международного, федерального, отраслевого (ведомственного) и объектового. Важнейшими задачами совершенствования общих правовых основ в настоящее время являются:

- совершенствование правовой базы всех уровней с учетом возрастания террористических проявлений, изменения методологии и способов реализации террористических угроз;

- приведение правовых основ всех уровней к единым стандартам и создание на этой основе взаимоувязанного комплекса мер, направленных на ограничение всех проявлений терроризма;

- внедрение разработанной правовой базы в жизнь и строгое ее выполнение на всех уровнях иерархии власти.

Возможность решения этих задач определяется большой совокупностью факторов и требует значительных затрат финансовых, научных, технических, людских и других ресурсов. Создание правовых основ категорирования и анализа уязвимости является одной из важных частных задач общего правового обеспечения. Эта задача активно решается в настоящее время.

Международная правовая база категорирования и анализа уязвимости разнотипных объектов, которые могут подвергаться противоправным действиям нарушителей, появилась только в последние годы. Ранее правовые акты касались, прежде всего, общих вопросов борьбы с терроризмом, что послужило основой для решения общих и частных задач настоящего времени.

Основными международными правовыми документами, которые были поддержаны подавляющим большинством государств, входящих в ООН, можно считать Международную конвенцию о борьбе с захватом заложников, принятую 17.12.1979 г. и не потерявшую свою актуальность до настоящего времени. После достаточно длительного перерыва, который характеризовался нарастанием террористических проявлений, 16.12.1997г. Генеральной Ассамблеей ООН была принята Международная конвенция о борьбе с бомбовым терроризмом №52/164. Через два года после этого, 9.12.1999г., Генеральной Ассамблеей ООН была принята Международная конвенция о борьбе с финансированием терроризма. Своеобразным итогом этих трех документов явилась резолюция Совета Безопасности ООН № 1373 о борьбе с международным терроризмом. Резолюция предложила всем странам, входящим в ООН:

- воздержаться от предоставления в любой форме поддержки организациям и лицам, замешанным в терроризме;

- предпринять меры к предотвращению терактов, в том числе за счет раннего взаимного оповещения об их подготовке или проведении;

- отказывать в убежище тем, кто финансирует, планирует или поддерживает теракты;

- не допускать использования своих территорий для подготовки террористов против других государств;

- оказывать друг другу всемерное содействие при проведении расследований или уголовных преследований террористов;

- затруднить передвижение террористов с помощью мер пограничного контроля и контроля за оформлением документов.

Политическая поддержка этой резолюции на высшем уровне была подтверждена лидерами «восьмерки» на их встрече в Канаде (Канаскис) 26.06.2002 г.

В общей сложности в рамках ООН было принято 47 нормативных актов. К сожалению, многие из них не только не подписаны большей частью государств, но и после подписания выполняются не в полной мере. Тем не менее, продекларированные резолюцией № 1373 общегосударственные принципы легли в основу законодательств ряда ведущих государств мира. Первым международным документом, который определил необходимость проведения категорирования безотносительно к терроризму, но в связи с охраной объектов, была «Международная конвенция о защите ядерного материала». Конвенция была ратифицирована СССР 4.05.1983 и действует в настоящее время в четвертой редакции INFCIRC/225/Rev.4. Конвенция определила три категории ядерного материала и предъявила общие качественные требования к СФЗ помещений, в которых они располагаются.

Первым международным правовым документом, определившим необходимость проведения анализа уязвимости (оценки охраны), как составной части процесса создания рациональной СФЗ (системы охраны), стала глава Информационная безопасность, специальная техника и связь XI-2 («Специальные меры по усилению охраны на море») международной Конвенции по охране человеческой жизни на море (СОЛАС-74). Приложением к главе стал Кодекс по охране судов и портовых средств. Кодекс определил содержание и правила проведения анализа уязвимости (оценки охраны) судов и портовых средств. Основными элементами оценки охраны применительно к судну согласно Кодексу являются:

- общее описание судна; перечень угроз судну;

- типы нарушителей, которые могут осуществлять противоправные действия на судне;

- уязвимые места судна, которые должны стать участками ограниченного доступа;

- перечень технических средств охраны;

- должностные обязанности членов экипажа по охране судна. Перечисленные элементы оценки охраны по сути ничем не отличаются от элементов анализа уязвимости, разработанных ранее в ряде государств для других типов объектов.

Национальное (федеральное) законодательство представлено Конституцией РФ и федеральными законами «О безопасности», «О борьбе с терроризмом», «О промышленной безопасности производственных объектов», «О противодействии экстремистской деятельности», Концепцией национальной безопасности Российской Федерации, решениями Совета безопасности РФ и постановлениями Правительства РФ.

Конституция России устанавливает общие основы и приоритеты, определяет главенствующий субъект в рассматриваемой сфере деятельности. В соответствии с п. «е» ст. 114 Конституции, таковым является Правительство Российской Федерации.

Концепция национальной безопасности Российской Федерации уточняет, что важнейшими составляющими национальных интересов России являются защита личности, общества и государства от терроризма, в том числе международного.

Основными задачами в области обеспечения национальной безопасности Российской Федерации согласно Концепции являются:

- своевременное прогнозирование и выявление внешних и внутренних угроз национальной безопасности Российской Федерации;

- реализация оперативных и долгосрочных мер по предупреждению и нейтрализации внутренних и внешних угроз.

По наиболее приоритетным направлениям обеспечения безопасности в развитие Концепции национальной безопасности разрабатываются «Основы государственной политики в области обеспечения безопасности». В настоящее время действуют «Основы государственной политики в области обеспечения ядерной и радиационной безопасности Российской Федерации на период до 2020 г. и дальнейшую перспективу». Основы утверждены Президентом Российской Федерации 4.12.2003 г. (№ Пр-2196).

В частности, в п. 12 Основ указано, что для решения задач по совершенствованию систем физической защиты ядерно- и радиационно-опасных объектов и материалов необходимо:

1. Совершенствовать нормативно-правовую базу в области обеспечения физической защиты и охраны ядерно- и радиационно-опасных объектов и материалов.

2. Разработать перечень угроз ядерно- и радиационно-опасным объектам, а также типовые модели нарушителя с их последующей детализацией в качестве проектных угроз конкретным ядерно- и радиационно-опасным объектам и объектовых моделей нарушителя в целях анализа уязвимости этих объектов и принятия адекватных мер по их физической защите.

3. Разработать критерии оценки эффективности систем физической защиты и охраны ядерно- и радиационно-опасных объектов и материалов, разработать типовые тактико-технические требования к системам защиты таких объектов и материалов, в том числе касающиеся их унификации.

Федеральные законы определяют правоотношения при осуществлении деятельности по обеспечению безопасности в Российской Федерации.

Основополагающим является федеральный закон «О безопасности», который устанавливает, что граждане, общественные и иные организации и объединения являются субъектами безопасности, обладают правами и обязанностями по участию в обеспечении безопасности в соответствии с законодательством Российской Федерации, законодательством республик в составе Российской Федерации и других ее субъектов, принятыми в пределах их компетенции в данной сфере. Государство обеспечивает правовую и социальную защиту гражданам, а также помощь общественным и иным организациям и объединениям, участвующим в обеспечении безопасности в соответствии с законом.

В соответствии с Конституцией РФ Президент Российской Федерации формирует и возглавляет Совет безопасности Российской Федерации, статус которого определяется федеральным законом. Совет безопасности Российской Федерации является конституционным органом, осуществляющим подготовку решений Президента Российской Федерации в области обеспечения безопасности. Совет безопасности Российской Федерации рассматривает вопросы внутренней и внешней политики Российской Федерации в области обеспечения безопасности, стратегические проблемы государственной, экономической, общественной, оборонной, информационной, экологической и иных видов безопасности.

Решения Совета безопасности, утвержденные Президентом РФ, являются законодательными актами в области обеспечения безопасности. В частности, одним из основополагающих документов, определяющих деятельность всех субъектов обеспечения безопасности на ближайшую перспективу, среднесрочный и долгосрочный периоды, является решение Совета безопасности и Президиума Государственного Совета РФ от 13.11.2003 г. (протокол совместного заседания № 4, утвержденный Президентом РФ 4 декабря 2003 г.).

Содержание перечисленных документов, а также материалы введения этой книги позволяют сформулироИнформационная безопасность, специальная техника и связь вать перечень первоочередных задач, которые требуют правового обеспечения федерального уровня. Такими задачами являются:

1. Разработка единого перечня основных терминов и определений в области антитеррористической защищенности объектов;

2.Единое общегосударственное категорирование объектов, которые являются потенциальными целями диверсионно-террористических групп и других типов нарушителей;

3.Первоочередное проведение анализа уязвимости объектов высших категорий и разработка на основе этого планов повышения защищенности объектов;

4.Четкое разграничение обязанностей между силовыми структурами, ведомствами и объектами с точки зрения обеспечения безопасности объектов;

5.Разработка концепции (методики) рационального распределения государственной поддержки на обеспечение необходимой безопасности объектов;

6.Разработка типовых паспортов безопасности объектов. Работа по решению этих важнейших, а также целого ряда других задач ведется в настоящее время с нарастающей интенсивностью. По отношению к вопросам категорирования и анализа уязвимости плановая работа началась с Поручений Правительства РФ от 7.07.2001 г. № К-П4и от 22.08.2001 г. № К-П4-14832. Работа проводилась как на государственном, так и ведомственном уровнях.

К основным ведомственным нормативно-правовым документам на сегодняшний день можно отнести:

1. Концепцию обеспечения безопасности объектов отрасли;

2. Правила физической защиты объектов отрасли: ведомственные методики категорирования;

3. Ведомственные методики анализа уязвимости;

4. Ведомственные перечни объектов с присвоенными им категориями;

5. Перечни качественных требований к СФЗ объектов разных категорий;

6. Положения об организации, признанной в области обеспечения безопасности.

Приведенные документы разрабатываются в ведомствах с учетом требований и рекомендаций федеральных и международных правовых актов. Важнейшие из документов утверждаются постановлениями Правительства РФ.

Непосредственно на объектах предусматривается наличие концептуальных, руководящих и исполнительных документов, определяющих содержание деятельности администрации и служб безопасности объектов, а также результаты этой деятельности, по форме, содержанию и срокам разработки предусмотренные контрольно-надзорными органами.

Такими документами могут быть:

1. Концепции обеспечения безопасности объектов;

2. Планы (программы) модернизации систем физической защиты объектов;

3. Материалы по категорированию и анализу уязвимости объектов;

4. Паспорта безопасности объектов.

Указанные документы разрабатываются администрациями объектов по решению территориальных органов исполнительной власти и антитеррористических комиссий или по предписанию контрольно-надзорных органов. К разработке документов привлекаются организации, специализирующиеся в области научного обоснования и создания систем физической защиты, а также категорирования и анализа уязвимости объектов.

На сегодняшний день задача создания полных комплектов ведомственных правовых документов находится в стадии своего активного решения. Для многих типов объектов задача создания регламентирующих документов находится на начальной стадии своего решения в связи с произошедшими за последнее время кардинальными изменениями форм их собственности.

Исходя из этого, в качестве примера решения задачи разработки ведомственной правовой базы может быть рассмотрена работа Министерства транспорта РФ.

Исполняя упомянутые выше поручения правительства РФ в 2002 году, Минтранс организовал выполнение научно-исследовательской работы (НИР), в рамках которой были созданы теоретические основы анализа уязвимости и категорирования объектов отрасли. В последующем, после принятия в Международной морской организации IMO главы XI-2 договора СОЛАС-74, Минтранс организовал работу по выполнению НИР. В ходе выполнения НИР было разработано более 20 руководящих документов, ставших методологической основой реализации международных требований по обеспечению безопасности судов и портовых средств России от угроз терроризма.

Разработанные документы адаптировали и развивали методики анализа уязвимости (оценки охраны) и категорирования к рассматриваемым специфическим объектам. Кроме того, были разработаны и типовые объектовые документы, важнейшими из которых стали планы охраны судов и портовых средств.

Выполняя решение совместного заседания Совета Безопасности РФ и президиума Государственного Совета РФ от 13.11.2003 г. № 4, Минтранс организовал работу по выполнению НИР, в ходе которой разрабатывалась ведомственная правовая база для объектов железнодорожного транспорта (ЖДТ). Основными из разрабатываемых документов являлись:

1. Методика категорирования объектов ЖДТ;

2. Методика анализа уязвимости объектов ЖДТ;

Организациям и лицам, привлекаемым администрациями объектов для проведения категорирования и анализа уязвимости, следует руководствоваться следующими основополагающими принципами и рекомендациями:

1. Категорирование и анализ уязвимости объекта проводятся в соответствии с международными и национальными правовыми актами, федеральными и ведомственными нормативно-техническими документами, определяющими статус проводимых процедур, их место и роль в комплексе мер по обеспечению безопасности объектов.

Информационная безопасность, специальная техника и связь 2. Категорирование и анализ уязвимости объекта целесообразно проводить по общегосударственным методикам.

Ведомственные методики или методики объектов (типов объектов) разрабатываются в случаях, когда необходимо внести в общегосударственные методики существенные особенности ведомства или отдельных типов объектов.

3. Перечень угроз объектам, на которых выполняется анализ уязвимости, определяется с обязательным участием компетентных силовых государственных органов по месту расположения объекта.

4. Критерии, обеспечивающие категорирование опасных объектов по уровню угроз техногенного, природного и террористического характера и степени их защищенности от этих угроз, а также оценку эффективности мероприятий физической защиты и охраны опасных объектов, разрабатываются компетентными государственными органами.

5. Объект, группа объектов или отрасль (ведомство) могут использовать процедуру подтверждения компетентности привлекаемой специализированной организации путем аккредитации, признания экспертной организацией и т.п.

6. Договорные, режимные и прочие вопросы взаимоотношений администраций объектов анализа и специализированных организаций регулируются действующим законодательством.

Под организацией защиты объектов понимается государственное распределение функций между ведомствами и организациями, в задачи которых входит борьба с противоправными действиями нарушителей всех типов.

Необходимость осуществления общегосударственного распределения функций определяется двумя важнейшими факторами.

Во-первых, потенциальные потери от противоправных действий нарушителей на целом ряде объектов могут быть настолько велики, что даже государство вынуждено будет устранять их последствия в течение нескольких лет или даже десятилетий. Эти потери могут многократно превосходить стоимость самого объекта. При этом даже в случае, когда объект не является собственностью государства, он должен охватываться общегосударственными мерами защиты и быть подконтролен государству в плане выполнения правил своей собственной защиты.

Во-вторых, борьба с нарушителями на объектовом уровне не может быть успешной без реализации общегосударственных направлений защиты. В то же время, реализация общегосударственных направлений зависит в значительной степени от правильного распределения функций между силовыми ведомствами государства, а также ведомствами, к которым относится объект, и собственниками объекта.

Создание правовых основ распределения функций определено на совместном заседании Совета Безопасности РФ и Государственного совета РФ 13 ноября 2003 г. как первоочередная задача. Ранее эта задача не была поставлена в системном плане, а следовательно, и решалась недостаточно эффективно.

Сложность задачи определяется тем, что функции субъектов, участвующих в защите ВГО от нарушителей, зависят от типа объекта, типа нарушителей, собственника объекта и целого ряда других причин.

При распределении функций защиты объектов необходимо рассмотреть, как минимум, следующие субъекты процесса: Федеральную Службу безопасности (ФСБ); Министерство внутренних дел (МВД), с входящими в него внутренними войсками (ВВ) и вневедомственной охраной; Министерство обороны (МО); ведомство, к которому относится объект; с его ведомственной охраной; собственника объекта; объект с его системой физической защиты (инженерно-техническими средствами, силами охраны и службой безопасности).

На сегодняшний день определенная часть объектов уже закреплена по функциям обеспечения защиты между силовыми ведомствами.

Возможна и другая смешанная форма обеспечения защиты, где распределяются не внутри одного ведомства, а между ведомствами, в зависимости от типов нарушителя и объекта.

ИСПОЛЬЗОВАНИЕ МОДЕЛИ КОББА-ДУГЛАСА ДЛЯ ОЦЕНКИ ПРОИЗВОДИТЕЛЬНОСТИ

ПОДРАЗДЕЛЕНИЯ ЗАЩИТЫ ИНФОРМАЦИИ

Д.т.н., профессор Шепитько Г.Е. (МФЮУ) Для обоснования расходов на защиту информации необходимо решить задачу оценки её стоимости. Стоимость покупных информационных ресурсов определяется условиями рынка. В том случае, когда эти ресурсы создаются предприятием для собственных нужд, используется обычно затратный метод для расчёта стоимости информационных ресурсов, который требует знания значений более 10 исходных параметров[1, c.24]. Ещё более важной является задача оценки производительности подразделений защиты информации.

В макроэкономике нашла применение модель кинематической производственной функции американских экономистов К. Кобба и П. Дугласа. Эта модель позволяет при наличии большого объёма статистических данных отслеживать во времени и прогнозировать эффективность не только сил (трудовых ресурсов L), но и средств (производственных фондов K) для повышения дохода предприятия. Однако в области безопасности до сих пор не сформулировано понятие, адекватное производственной функции подразделений охраны и безопасности с учётом редкости во времени инцидентов безопасности и важности ресурсов S управления безопасностью[4].

Целью данной работы является исследование возможности использования модели Кобба-Дугласа для оценки стоимости информационных ресурсов предприятия и производительности подразделения защиты информации.

Особенностью объектов информатизации, содержащих коммерческую тайну, является их разнообразие по степени важности В и весьма ограниченный срок Тст морального старения их коммерческой информации.

Различают следующие степени важности объектов:

В =1 – простые объекты (компьютерные классы коммерческих вузов);

В =2 – важные объекты (компьютеризированные помещения НИИ, КБ);

В =3 – особо важные объекты (аудиторские фирмы, страховые компании);

В =4 – особо важные объекты с повышенной значимостью информационных ресурсов (коммерческие банки) [1, c.38].

Срок морального старения Тст коммерческой информации, чаще всего, пропорционален степени важности В объекта.

Будем считать, что для каждого объекта информатизации известны: стоимость информационных ресурсов Сир, создаваемых одним сотрудником в течение года, степень важности объекта В, средняя стоимость программноаппаратных средств вычислительной техники одного рабочего места сотрудника предприятия К и его средняя месячная зарплата L.

Тогда для приближённой оценки стоимости информационных ресурсов, создаваемых в течение года одним сотрудником, будем использовать производственную функцию Кобба-Дугласа вида где коэффициенты и зависят от В.

Для сбора статистических данных об объектах информатизации была разработана анкета с 154 реквизитами, в целях сокращения трудоёмкости процедуры учёта реализован электронный вариант анкеты на базе СУБД MS Access – 2007[3, c.39]. Применения электронной анкеты для сбора статистических данных о компьютерных нарушениях на 50 объектах информатизации Московского региона позволило получить данные о параметрах Сир, В, К, L этих объектов.

С учётом экспериментальных значений Сир (объём выборки - 50 объектов) методом наименьших квадратов найдены зависимости и от В в виде На рис.1 представлена зависимость оценки стоимости Сирм от стоимости информационных ресурсов Сир.

Линия тренда этой зависимости описывается степенной функцией с показателем степени близкой к 0,5. Погрешность оценки стоимости информационных ресурсов не превышает 30% при стоимости ресурсов более 500 $.

При увеличении степени важности В объекта информатизации увеличивается вклад людских ресурсов в создание новой информации, видимо, из-за повышенного интеллектуального капитала лиц[2], привлекаемых более высокой зарплатой на особо важных объектах. Т.е. на более важных объектах работают более квалифицированные и творческие специалисты на компьютеризированных рабочих местах.

Таким образом, для оценки стоимости информационных ресурсов, создаваемых в течение года, необходимо знание трёх параметров: В, К, L.

Для оценки стоимости информационных ресурсов, накопленных в течение нескольких лет, предположим, что ежегодные затраты остаются неизменными.

Если период морального старения Тст информации больше года, тогда происходит капитализация значений Сирм стоимости информационных ресурсов в течение Т лет по следующей формуле[1, c.25] где значение близко к 1, а значение Сирм практически не меняется в течение периода морального старения Тст.

Рис. 1. Зависимость оценки стоимости от стоимости информационных ресурсов Соотношение (4) может быть использовано для прогнозирования будущей стоимости накапливаемых информационных ресурсов в целях решения задачи инвестирования средств в совершенствование в будущем существующих систем защиты информации.

Для решения второй задачи запишем выражение для стоимости ресурсов, сохранённых благодаря системе защиты информации Информационная безопасность, специальная техника и связь где Цир –стоимость информационных ресурсов предприятия;

Цпас – стоимость программно-аппаратных средств вычислительной техники предприятия – доля ресурсов, которая может быть практически уничтожена, похищена или скопирована при реализации одной угрозы;

0 – частота угроз в год на объекте информатизации предприятия;

Рпр – условная вероятность пропуска угроз системой защиты информации.

Тогда из (6) при = 0,5 и 0 = 1 следует выражение для производственной функции подразделения защиты информации в виде стоимости сохранённых ресурсов, приведённой к одному рабочему месту сотрудника предприятия где Ущ – годовой ущерб предприятию от компьютерных нарушений и инцидентов по вине системы защиты информации;

N – количество рабочих мест сотрудников предприятия.

Для приближённой оценки стоимости сохранённых ресурсов Срс, в течение года, использована производственная функцию Кобба-Дугласа вида где коэффициенты, и зависят от В;

К - средняя стоимость программно-аппаратных средств защиты информации L – стоимость оплаты работы специалиста по защите информации;

S – стоимость оплаты труда начальника подразделения по защите информации;

С учётом экспериментальных значений Срс методом наименьших квадратов найдены значение = 0,5 и зависимости и от В в виде На рис.2 представлена зависимость оценки стоимости Смрс от стоимости сохранённых ресурсов Срс. Линия тренда этой зависимости описывается степенной функцией с показателем степени близкой к 1. Погрешность оценки стоимости сохранённых ресурсов достигает 50%, видимо, из-за субъективной оценки доли времени, затраченного специалистом на обслуживание средств защиты информации и руководителем – на проведение аналитической работы для обоснования и подготовки упреждающих мероприятий.

Рис. 2. Зависимость оценки стоимости от стоимости сохранённых ресурсов Из анализа выражений (8) и (10) следует, что при увеличении степени важности В объекта информатизации уменьшаются затраты на обслуживание средств защиты вследствие их большей автоматизации, но увеличиваются затраты на проведение анализа результатов аудита и формулирование дополнительных мероприятий по защите информации.

Таким образом, в работе впервые на базе модели Кобба-Дугласа установлена экономическая связь между подразделением защиты информации и отделом информационных технологий, которая может быть использована для оптимизации распределения расходов на защиту информации.

1. Шепитько Г.Е. Экономика защиты информации: учебное пособие. – М.: МФЮУ, 2011. – 64 с.

2. Булыга Р.П. Методологические проблемы учёта, анализа и аудита интеллектуального капитала:

монография. – М.: Финансовая академия при Правительстве РФ, 2005. – 400 с.

3. Шепитько Г.Е. Теория информационной безопасности и методология защиты информации: учебнометодическое пособие. – М.: РГСУ, 2012. – 128 с.

4. Шепитько Г.Е. Экономическая модель компьютерных нарушений// www.agpsnarod.ru/konf/2008/sb-2008/sec-1-08/11.1.08.pdf

ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ФУНКЦИОНИРОВАНИЯ РАДИОТЕХНИЧЕСКИХ СИСТЕМ

ОРГАНОВ ВНУТРЕННИХ ДЕЛ

Эсауленко А.В. (Воронежский институт МВД России), к.т.н., доцент Бабкин А.Н. (Воронежский институт МВД России) К радиотехническим системам органов внутренних дел (РТС ОВД) относятся системы связи, использующие радиоканал: безопасности, подвижной радиосвязи, радиорелейные.

Под безопасностью функционирования РТС ОВД понимается комплексный показатель, включающий в себя такие показатели, как показатель защищенности информации и показатель работоспособности.

Можно определить комплексный показатель следующим образом:

Pзи - показатель защищенности информации, Р р - показатель работоспособности.

Показатель защищенности информации отражает возможность РТС ОВД обеспечить её конфиденциальность, целостность и доступность [1].

где - вероятность обеспечения конфиденциальности, вероятность обеспечения доступности.

Конфиденциальность информации в РТС ОВД обеспечивается криптозащитой передаваемых сообщений, которая реализуется организацией режима шифрования: поразрядном сложении по модулю два передаваемых двоичных сообщений с двоичной шифропоследовательностью, вырабатываемой шифратором. При этом в РТС ОВД необходимо обеспечить лучшую помехоустойчивость канала передачи синхропоследовательности шифратора по сравнению с каналом информационного сообщения.

Целостность информации обеспечивается имитозащитой каналов связи РТС ОВД: защитой каналов связи от доступа к ним злоумышленника, применением электронной подписи документов.

Имитозащита передаваемых сообщений также осуществляется криптографическим способом и вероятность формирования ложного сообщения в каналах связи РТС ОВД определяется выражением:

где к – количество избыточных бит, добавляемых в информационные биты.

Доступность информации достигается обеспечением помехоустойчивости и помехозащищенности каналов связи РТС ОВД. Под помехоустойчивостью понимается защищенность информационного сигнала от непреднамеренных воздействий, под помехозащищенностью - защищенность информационного сигнала от преднамеренных воздействий.

ла связи, ш и п - соответственно мощность шумов (непреднамеренных воздействий) и мощность помех (преднамеренных воздействий) на выходе канала связи.

Условием обеспечения помехоустойчивости и помехозащищенности каналов связи РТС ОВД является следующее выражение:

ЗС вых - требуемое значение защищенности информационного сигнала, которое определяется в завигде симости от вида модуляции, применяемого в РТС.

В цифровых РТС ОВД оперируют не выражением (2), а вероятностью ошибочного приема Рош:

Информационная безопасность, специальная техника и связь где S – как правило, имеет значение от 3 и выше.

В таблице 1 приведены значения Рош в зависимости от способа модуляции и защищенности информационного сигнала на выходе канала связи [2].

Безопасность функционирования РТС ОВД обеспечивается также скрытностью работы систем.

Скрытность передачи информационного сигнала подразумевает, что злоумышленник не сможет обнаружить факт передачи сообщений в течение времени работы системы. Скрытность работы РТС ОВД достигается:

1. Энергетической скрытностью.

2. Применением стеганографических способов передачи информационного сигнала.

АТ ЧТ ФТ

Энергетическая скрытность достигается применением широкополосной модуляции, работой с минимально возможным уровнем мощности несущего сигнала на выходе передающего устройства РТС ОВД, снижением уровня излучения несущего колебания боковыми лепестками передающей антенны системы.

Стеганографический способ реализуется организацией работы каналов связи РТС ОВД на фоне мощных маскирующих сигналов с обеспечением защищенности информационного сигнала (3) на выходе системы. Стегоканал должен иметь криптографическую защиту передаваемых сообщений.

Показатель работоспособности отражает способность РТС ОВД выполнять заданные функции с заданными характеристиками в течение требуемого интервала времени [3].

Вероятность работоспособного состояния РТС ОВД оценивается коэффициентом готовности:

Т ср - среднее время наработки на отказ, Т в - среднее время восстановления.

Соответственно коэффициент простоя РТС ОВД равен:

В соответствии с нормативными документами МВД России Одним из основных параметров, определяющих работоспособность РТС ОВД, является вероятность безотказной работы. Под безотказностью понимается свойство РТС ОВД сохранять работоспособность в течение требуемого интервала времени:

где tотк – время наступления первого отказа, tтр – требуемый интервал работоспособности РТС ОВД до наступления первого отказа.

Если вероятность безотказной работы РТС ОВД на интервале tтр не зависит от момента начала работы системы, определяют коэффициент оперативной готовности:

Для обеспечения работоспособности РТС ОВД применяют различные способы резервирования систем.

Как показывает практика эксплуатации систем, наиболее приемлемым решением является раздельное резервирование элементов РТС ОВД (резервирование по группам). При этом вероятность безотказной работы определяется выражением [4]:

где r – количество групп элементов РТС ОВД, i и j – элементы системы, pij (t ) - вероятность безотказной работы элемента с номером j в последовательном соединении и с номером i в параллельном, mk – общее число элементов k-ой группы. Общее количество элементов n.

При r=1 осуществляется общее резервирование системы, при r=n – по элементам.

Таким образом, обеспечение безопасности функционирования РТС ОВД – комплексная задача, включающая проведение различных мероприятий. На рис. 1 представлен обобщенный доступности алгоритм обеспечения безопасности функционирования РТС ОВД.

нию безопасности функционирования РТС ОВД необходимо проводить как на этапе построения ваний по обеспечению безопасности функциониРк-?

рования РТС ОВД является тесное взаимодействие специалистов подразделений связи и защиты ное пособие для вузов – М.: Издательство «Горячая линия – Телеком». - 2006, -544 с.

троля радиоканала. Вестник ВИ МВД России. – ние функциональной живучести радиоканала. Вестник ВИ МВД России. – 2012. – №3. – С.227 – 230.

технических систем: Математические основы.

Информационная безопасность, специальная техника и связь

ПОКАЗАТЕЛИ УРОВНЯ УГРОЗ НАРУШЕНИЯ КОНФИДЕНЦИАЛЬНОСТИ, ЦЕЛОСТНОСТИ И

ДОСТУПНОСТИ ИНФОРМАЦИИ В ИНФОРМАЦИОННЫХ СИСТЕМАХ

Авсентьев А.O. (Воронежский институт МВД России), к.т.н. Герасимов А. А. (МГТУ им. Н.Э. Баумана) При формировании аналитических выражений для показателей уровня угроз нарушения конфиденциальности и целостности информации в информационных системах (ИС) воспользуемся тем обстоятельством, что физической величиной, характеризующей нарушение этих состояний, является объем перехватываемой и искажаемой информации, соответственно.

Представим поток угроз рассматриваемого типа на временном интервале [t(н),t(о)] как стационарный, ординарный и с отсутствием последействия.

В этом случае в качестве показателя уровня угрозы нарушения конфиденциальности информации в ИС на временном интервале [t(н),t(о)] целесообразно использовать вероятность того, что объем v(п) перехватываемой информации превысит его допустимый уровень v(пд). В данном случае объем v(п) интерпретирует информационные потребности нарушителя информационной безопасности. Выражение для определения данной вероятности представляется в виде:

где v п – среднее значение случайной величины v(п);

vпд – среднее значение случайной величины v(пд);

v(пд)min – минимальное значение v(пд).

Аналогичным образом в качестве показателя уровня угрозы нарушения целостности информации в ИС на временном интервале [t(н),t(о)] целесообразно использовать вероятность того, что объем v(и) искажаемой информации превысит его допустимый уровень v(цд). В данном случае объем v(и) интерпретирует информационные потребности нарушителя информационной безопасности. Выражение для определения данной вероятности представляется в виде:

где vи – среднее значение случайной величины v(и);

vцд – среднее значение случайной величины v(цд);

v(цд)min – минимальное значение v(цд).

При формировании аналитического выражения для показателя уровня угрозы нарушения доступности информации в ИС в качестве физической величины, характеризующей нарушение этого состояния, возьмем временя доступа к информации.

Как и в случае показателей нарушения конфиденциальности и целостности информации, в качестве показателя уровня угрозы нарушения доступности информации в ИС на временном интервале [t(н),t(о)] целесообразно использовать вероятность того, что время (д) доступа к информации превысит его допустимый уровень(дд). В данном случае время (д) интерпретирует временной интервал с момента начала действий, предпринятых нарушителем для выполнения процедуры блокирования информации, до момента снятия блокировки. Выражение для определения данной вероятности представляется в виде:

где д – среднее значение случайной величины (д);

дд – среднее значение случайной величины (дд);

ддmin – минимальное значение (дд).

С учетом того, что информационная безопасность нарушается вследствие воздействия любой из угроз нарушения состояния информации, показатель уровня угрозы, как комплексный показатель определяется в соответствии с выражением:

1. Основы системного анализа в защите информации: учебное пособие для студентов высших учебных заведений, обучающихся по специальности 090105 / С.В. Скрыль, А.А. Шелупанов. – М.: Машиностроение, 2008. – 138 с.

ЗАРУБЕЖНЫЙ ОПЫТ ПРАВОВОГО РЕГУЛИРОВАНИЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

Афанасьев А.А.( Академии управления МВД России) Ведущие страны мира активно используют различные информационные технологии для обеспечения работы как в государственном, так и в частном секторе. Это сопровождается ведением различного рода баз и банков данных, большая часть из которых содержит персонифицированную информацию о гражданах.

На международном уровне к проблеме защиты персональных данных первоначально обратилась Организация по экономическому сотрудничеству и развитию (ОЭСР), которая 23 сентября 1980 года приняла Директиву «О защите неприкосновенности частной жизни и международных обменов персональными данными». В данной директиве было сформулировано понятие персональные данные – это любая информация, относящаяся к индивидууму, то есть субъекту данных, чья личность известна, либо может быть установлена.

Принципы, заложенные в директиве ОСЭР 1980 года, были расширены 28 января 1981 в Конвенции Совета Европы «О защите личности в связи с автоматизированной обработкой персональных данных». В частности, под персональными данными понимается информация, которая касается конкретного или могущего быть идентифицированным лица – субъекта персональных данных. Директива Европейского общества от 27 июля 1990 года «О защите граждан в обработки информации личного характера» в свою очередь регламентирует ряд мероприятий международно-правового значения по защите персональных данных.

Директива Европейского Союза и Парламента 95/46/ЕС от 24 октября 1995 года «О защите прав частных лиц применительно к обработке персональных данных и свободном движении таких данных» содержит своё определение персональных данных, в соответствии с которым, это любая информация, связанная с идентифицированным или идентифицируемым физическим лицом. Такой субъект персональных данных может быть установлен прямо или косвенно, в частности, с помощью идентификационного номера или одного или несколько факторов, отражающих специфичные для него факторы: физические, психологические, ментальные, экономические, культурные или социальные.

В 1997 году была утверждена Директива Европейского Союза 97/66/ЕС «По обработке персональных данных, защите, конфиденциальности в сфере телекоммуникаций». В Директиве вводятся новые понятия:

«подписчик» - это физическое или юридическое лицо, выступающее стороной при подписании с провайдером телекоммуникационных услуг договора по предоставлению соответствующих услуг;

«пользователь» - любое лицо (физическое), которое пользуется общедоступными услугами в личных или деловых целях, но нет обязательного условия по предварительной подписке на услуги;

«общедоступная телекоммуникационная сеть» - это передающие системы и, где это возможно, коммутационное оборудование и прочие ресурсы, с помощью которых передаются сигналы по проводам, оптическим, радио или другим электромагнитным каналам, а также используются для оказания общедоступных телекоммуникационных услуг;

«телекоммуникационные услуги» означают услуги, которые полностью или частично состоят в передаче сигналов по телекоммуникационным сетям (в это определение не входят каналы теле и радиовещания).

В данных правовых актах определены основные международные принципы, касающиеся организационных мероприятий при автоматизированной обработке личных данных (персонального характера) и обеспечения права граждан на защиту такого рода информации:

1) персональные данные должны собираться только с определенной целью и в строгом соответствии с законом;

2) сведения должны быть точными, полными и актуальными;

3) все цели обработки такой информации необходимо определить и утвердить до начала ее использования, допускать работу только в этих целях;

4) в информационных системах должны быть средства по предотвращению повреждения и утраты данных, а также их неправомерное использование;

5) деятельность операторов персональных данных должна носить открытый характер;

6) всегда должна существовать возможность контроля за соблюдением оператором персональных данных требований по работе с соответствующей информацией.

Несмотря на существование международных актов, определяющих основные принципы обращения персонифицированной информации, в каждой стране такие вопросы регулируются национальными законодательствами.

В Европе на первом месте по правовому регулированию персональных данных является Германия. Статья десятая Основного закона определяет, что почтовые отправления, письма, и телекоммуникации являются неприкосновенными. Любые ограничительные меры могут вводиться только в рамках соответствующего закона. Если какоелибо ограничение направлено на защиту свободы и демократического строя или безопасности общества и государства, то законодательство может предусматривать, что лицо, на которое распространяются нормы, может не уведомляться о наличии ограничения, а обращение в суд будут заменяться рассмотрением дела органами или иными вспомогательными структурами, которых назначает парламент. Попытки включить в Основной закон положение о защиИнформационная безопасность, специальная техника и связь те информации обсуждались при пересмотре Конституции после воссоединения Западной и Восточной Германии, но были успешно заблокированы консервативно настроенным тогда политическим большинством. Первый закон о защите персональных данных был принят в Германии в земле Гессен в 1970 г. До этого подобных законов нигде в мире не было. За ним последовало принятие в 1977 г. Федерального закона «О защите персональных данных», который в 1990 г. был пересмотрен. Главная цель этого закона — «защищать индивидуума от посягательств на неприкосновенность его частной жизни путем манипулирования его персональными данными». Действие закона распространяется на сбор, обработку и использование персональных данных, собираемых государственными федеральными органами (в отсутствие механизмов государственного регулирования) и негосударственными учреждениями, если они обрабатывают и используют персональные данные в коммерческих или профессиональных целях. В связи с развитием телекоммуникаций в нормативные акты были внесены соответствующие дополнения и изменения. Контроль за исполнением закона осуществляет Федеральная комиссия по защите персональных данных. В частном секторе надзор осуществляется органом, указанным в законе, действующим в каждой из земель (обычно назначается комиссар по защите персональных данных). Кроме того, почти все германские законы, которые прямо или через поправки затрагивают проблему обращения с персональными данными физических лиц, содержат либо ссылки на соответствующий закон о защите персональных данных, либо специальные положения о правилах обращения с персональными данными, отражающие право на неприкосновенность частной жизни.

За последние 30 лет более чем в 20 европейских государствах были приняты нормативные акты по защите персональных данных, в которых были закреплены реальные механизмы правового регулирования оборота персональных данных. Следует отметить, что создание нормативных актов в данной сфере шло самостоятельно наряду с развитием законодательства о защите права на неприкосновенность частной жизни.

С 1998 г. в странах Европейского союза был взят курс на создание унифицированной системы защиты персональных данных. В целом можно выделить следующие общие черты национального законодательства европейских стран, регулирующего отношения, связанные со сбором, хранением, автоматической обработкой и использованием персональных данных:

1) защита персональных данных лиц от несанкционированного доступа к ним со стороны других лиц, в том числе и представителей государственных органов и служб, не имеющих на то необходимых полномочий;

2) обеспечение сохранности, целостности и достоверности данных в процессе работы с ними, в том числе и при передаче по международным телекоммуникациям;

3) обеспечение надлежащего правового режима этих данных при работе с ними для различных категорий субъектов персональных данных;

4) обеспечение контроля за использованием персональных данных со стороны самого субъекта;

5) создание специальной независимой структуры, обеспечивающей эффективный контроль за соблюдением прав субъекта персональных данных (например, Уполномоченный по защите персональных данных).

Германия является членом Совета Европы, подписавшим и ратифицировавшим Конвенцию о защите частных лиц в отношении автоматической обработки персональных данных (ETS№ 108). Она подписала и ратифицировала Европейскую конвенцию о защите прав и основных свобод человека. Германия также является членом Организации по экономическому сотрудничеству и развитию, принявшим Директиву ОЭСР о защите неприкосновенности частной жизни и международных обменов персональными данными.

США. Рассматривая вопрос о правовом регулировании автоматизированной обработки персональных данных в США, следует отметить, что в тексте Конституции США нет отдельного положения, закрепляющего право на неприкосновенность частной жизни. Согласно постановлению Верховного Суда, граждане имеют ограниченное конституционное право на неприкосновенность частной жизни, основанное наряде положений Билля о правах. Речь идет, в частности, о свободе от государственного надзора за теми сферами деятельности индивидуума, которые «в силу очевидных причин принято относить к частной жизни», а также о праве самостоятельно решать вопросы, касающиеся женитьбы, деторождения, контрацепции, семейных отношений, воспитания детей и образования. Однако учетные записи, находящиеся в распоряжении третьих сторон, в том числе книги финансового учета или счета за телефонные переговоры, чаще всего под защиту не подпадают, за исключением тех случаев, когда законодательный орган принимает специальный закон. Суд также признал право на анонимность и право политических организаций не раскрывать имен своих членов государственным органам.

США не имеют закона, обеспечивающего всестороннюю защиту неприкосновенности частной жизни. Закон о неприкосновенности частной жизни, принятый в 1974г., охраняет учетные записи американских государственных ведомств и обязывает эти ведомства придерживаться практики обменов правдивой и объективной информацией.

Действенность этого закона существенно ослабляется административным толкованием положения, разрешающего раскрывать персональные данные в целях «повседневного использования», не противоречащего тем целям, в которых соответствующая информация собиралась первоначально. В последние годы по разным причинам были частично сняты и многие ограничения на использование номера карточки социального обеспечения. Также в США существуют общие принципы, распространенные на все системы обработки персональных данных:

1) не должно существовать секретных баз с персональными данными;

2) должны быть определены механизмы, которые позволили бы отдельным гражданам проверить, какая информация личного характера находится в соответствующих базах данных и как она используется;

3) должны быть определены методы, позволяющие отдельным гражданам предотвратить использование информации, собранной в базах персональных данных для одних целей в других целях без их согласия;

4) должны быть разработаны процедуры, позволяющие индивидуумам скорректировать или отменить информацию о себе в базах с персональными данными;



Pages:     | 1 |   ...   | 19 | 20 || 22 |
Похожие работы:

«МЕЖДУНАРОДНАЯ КОНФЕРЕНЦИЯ ЗАКРЫТЫЕ ЯДЕРНЫЕ ГОРОДА РОССИИ: ПРОБЛЕМЫ, ВОЗМОЖНОСТИ, РЕШЕНИЯ Общественный комитет Рогаланд–Россия, коммуна Ставангер (Норвегия) Государственный Комитет РФ по оборонным вопросам, Совет по внешней и оборонной политике (Москва) Министерство РФ по атомной энергии Ставангер, 17-20 мая, 1992 г. ПОВЕСТКА ДНЯ I. МЕСТНАЯ ДЕМОКРАТИЯ: Развитие — Принципы управления — Права человека • Историческая основа развития местной демократии • Законодательство и организация • Соотношение...»

«МОСКОВСКИЙ ГОСУДАРСТВЕННЫЙ ТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ ГРАЖДАНСКОЙ АВИАЦИИ ТЕЗИСЫ ДОКЛАДОВ студенческой научно-технической конференции 18 апреля 2012 г. Москва 2012 ФЕДЕРАЛЬНОЕ АГЕНТСТВО ВОЗДУШНОГО ТРАНСПОРТА ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ МОСКОВСКИЙ ГОСУДАРСТВЕННЫЙ ТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ ГРАЖДАНСКОЙ АВИАЦИИ (МГТУ ГА) ТЕЗИСЫ ДОКЛАДОВ студенческой научно-технической конференции 18 апреля 2012 г....»

«УВАЖАЕМЫЙ КОЛЛЕГА! ОБЩАЯ ИНФОРМАЦИЯ Межрегиональная общественная организация Ассоциация автомобильных В программе конференции: инженеров (ААИ) совместно с Нижегородским государственным техническим Доклады руководителей и ведущих специалистов Минпромторга, МВД, университетом Минтранса, ОАР, НАМИ, НАПТО, РСА и других приглашенных им. Р.Е. Алексеева (НГТУ) при поддержке: докладчиков; Министерства образования и наук и РФ; Научные сообщения исследователей; Дискуссии участников тематических круглых...»

«ИНСТИТУТ МИРОВОЙ ЭКОНОМИКИ И МЕЖДУНАРОДНЫХ ОТНОШЕНИЙ РОССИЙСКОЙ АКАДЕМИИ НАУК Мировое развитие. Выпуск 8 Россия в системах международных связей: экономика, политика, безопасность Москва ИМЭМО РАН 2012 УДК 327 (470) 339.9(470) ББК 66.4(2Рос) 65.5(2Рос) Росс 76 Серия Библиотека Института мировой экономики и международных отношений основана в 2009 году Редакционный совет продолжающегося издания Мировое развитие: Ф.Г. Войтоловский, Н.И. Иванова, Л.Г. Истягин, А.В. Кузнецов, И.С. Королев, Н.А....»

«Межбанковская конференция Актуальные вопросы обеспечения информационной безопасности банков и защиты информации при осуществлении перевода денежных средств в национальной платежной системе Российской Федерации Сбор и анализ сведений о выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств Толстая Светлана Александровна главный экономист Департамент регулирования расчетов 29 мая 2013 года Отчетность по форме 0403203...»

«CBD Distr. GENERAL UNEP/CBD/BS/COP-MOP/5/10 12 May 2010 RUSSIAN ORIGINAL: ENGLISH КОНФЕРЕНЦИЯ СТОРОН КОНВЕНЦИИ О БИОЛОГИЧЕСКОМ РАЗНООБРАЗИИ, ВЫСТУПАЮЩАЯ В КАЧЕСТВЕ СОВЕЩАНИЯ СТОРОН КАРТАХЕНСКОГО ПРОТОКОЛА ПО БИОБЕЗОПАСНОСТИ Пятое совещание Нагоя, Япония, 11-15 октября 2010 года Пункт 11 предварительной повестки дня* ПРАВА И/ИЛИ ОБЯЗАТЕЛЬСТВА СТОРОН ТРАНЗИТА ЖИВЫХ ИЗМЕНЕННЫХ ОРГАНИЗМОВ Записка Исполнительного секретаря ВВЕДЕНИЕ I. Конференция Сторон, выступающая в качестве совещания Сторон...»

«Министерство образования и наук и Российской Федерации Орский гуманитарно-технологический институт (филиал) федерального государственного бюджетного образовательного учреждения высшего профессионального образования Оренбургский государственный университет Молодежь. Наука. Инновации Материалы Международной научно-практической конференции (18 марта 2014 г.) Орск 2014 1 УДК 656.61.052 Печатается по решению редакционно-издательского ББК 39.4 совета ОГТИ (филиала) ОГУ М75 Редакционная коллегия:...»

«Международная научно-практическая конференция. Москва, 2013. Конференции и семинары. Архивы России. rusarchives.ru /evants/conf erences/conf _2013_programme_management_electronic_documentation.shtml 09- 00 – 10- 00 Регистрация участников конференции. Осмотр выставки. Продажа методической литературы. 10- 00 От крыт ие конференции Приветствия участникам конференции Артизов Андрей Николаевич, Руководитель Федерального архивного агентства, д.и.н. Ряховский Андрей Дмитриевич, директор Департамента...»

«ПРОГРАММНЫЙ КОМИТЕТ ОРГКОМИТЕТ КОНФЕРЕНЦИИ Уважаемые коллеги! Приглашаем Вас принять участие в работе СИТНИКОВ Юрий Михайлович, кандидат технических наук, профес- БАКАНОВ Александр Александрович, кандидат технических наук, I Международной научно-практической конференции сор, генеральный секретарь Международной ассоциации автомобильного директор филиала КузГТУ в г. Новокузнецке – председатель Перспективы развития и безопасность и дорожного образования БОБРОВА Ирина Фёдоровна, заместитель...»

«DCAS Doc No. 17 7/9/10 Revised 9/9/10 МЕЖДУНАРОДНАЯ КОНФЕРЕНЦИЯ ПО ВОЗДУШНОМУ ПРАВУ (Пекин, 30 августа – 10 сентября 2010 года) ЗАКЛЮЧИТЕЛЬНЫЙ АКТ R11/10-3438 DCAS Doc No. 17 -2ЗАКЛЮЧИТЕЛЬНЫЙ АКТ Международной конференции по воздушному праву (Дипломатическая конференция по авиационной безопасности), проводившейся под эгидой Международной организации гражданской авиации в Пекине, Китай, с 30 августа по 10 сентября 2010 года Полномочные представители на Дипломатической конференции по авиационной...»

«СБОРНИК ДОКЛАДОВ И КАТАЛОГ КОНФЕРЕНЦИИ Сборник докладов и каталог III Нефтегазовой конференции ЭКОБЕЗОПАСНОСТЬ – 2012 - вопросы экологической безопасности нефтегазовой отрасли, утилизация попутных нефтяных газов, новейшие технологии и современное ООО ИНТЕХЭКО оборудование для очистки газов от комплексных соединений серы, оксидов азота, сероводорода и аммиака, решения для www.intecheco.ru водоподготовки и водоочистки, переработка отходов и нефешламов, комплексное решение экологических задач...»

«Приложение 1 Научно-технические публикации, в том числе монографии, статьи, учебники, учебные пособия кафедры инженерной экологии и техносферной безопасности № Год Автор(ы) Название работы, ее вид Объем, Издатель стр. 1. 1994 Самигуллина, Г.З., Статья Влияние физической нагрузки 2 Физическое воспитание и здоровье Я.А.Проводников, аэробной и анаэробной направленности на детей Удмуртии: тез. докл. П Респ. С.А., Есаков, И.В. обмен коллагена науч.-практ. конф.— Ижевск Меньшиков, А.С, Проводникова,...»

«Выход российских нанотехнологий на мироВой рынок: опыт успеха и сотрудничестВа, проблемы и перспектиВы Сборник материалов 3-й ежегодной научно-практической конференции Нанотехнологического общества России 5–7 октября 2011 года, Санкт-Петербург Санкт-Петербург Издательство Политехнического университета 2011 Выход российских нанотехнологий на мировой рынок: опыт успеха и сотрудничества, проблемы и перспективы : Сборник материалов. — СПб. : Изд-во Политехн. ун-та, 2011. — 156 с. Сборник содержит...»

«. ПЕРВАЯ РОССИЙСКО-НИДЕРЛАНДСКАЯ АВИАЦИОННАЯ КОНФЕРЕНЦИЯ И ФОРУМ РАЗВИТИЯ ДВУСТОРОННЕГО СОТРУДНИЧЕСТВА При поддержке Правительства Российской Федерации и Правительства Королевства Нидерладнов Москва 19-20 октября 2011 года 19 октября Первая российско – нидерландская авиационная Среда конференция и форум развития двустороннего сотрудничества Тема дня “Безопасность, технологии и инновации в гражданской авиации” Регистрация (2 этаж) Hotel Lotte, Москва 08: Приветственное слово 09: “Гражданская...»

«51-Я ГЕНЕРАЛЬНАЯ КОНФЕРЕНЦИЯ _ ГЕНЕРАЛЬНАЯ КОНФЕРЕНЦИЯ ПЛЕНАРНЫЕ ЗАСЕДАНИЯ И ЗАСЕДАНИЯ КОМИТЕТА Пятница, 21 сентября 2007 года 7-е заседание 10 час. 00 мин. КОМИТЕТ ПОЛНОГО СОСТАВА: Зал заседаний B 9-е и Зал пленарных ПЛЕНАРНОЕ ЗАСЕДАНИЕ: 10-е заседания заседаний Будет показано на мониторах Нерассмотренные вопросы Ядерный потенциал и ядерная угроза Израиля (пункт 22) – документы GC(51)/1/Add.1, GC(51)/24, GC(51)/25 и GC(51)/ Доклад о взятых обязательствах по взносам в Фонд технического...»

«МИНИСТЕРСТВО СЕЛЬСКОГО ХОЗЯЙСТВА РОССИЙСКОЙ ФЕДЕРАЦИИ ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ САРАТОВСКИЙ ГОСУДАРСТВЕННЫЙ АГРАРНЫЙ УНИВЕРСИТЕТ ИМЕНИ Н.И. ВАВИЛОВА ТЕХНОГЕННАЯ И ПРИРОДНАЯ БЕЗОПАСНОСТЬ Материалы II Всероссийской научно-практической конференции САРАТОВ 2013 УДК 331.482:574 ББК 68.9:60.522 Техногенная и природная безопасность: Материалы II Всероссийской научно-практической конференции. / Под ред. Д.А. Соловьева. –...»

«КАТАЛОГ III МЕЖДУНАРОДНОЙ КОНФЕРЕНЦИИ ПЫЛЕГАЗООЧИСТКА-2010 г. Москва, 28-29 сентября 2010 г., ГК ИЗМАЙЛОВО СОДЕРЖАНИЕ Belman Production (Дания) BWF Tec GmbH & Co. KG (Германия) ООО БВФ Энвиротек Dantherm Filtration, ООО Дантерм Фильтрейшн DuPont (США), ООО Дюпон Наука и Технологии FINGO Eco OY (Финляндия) FLSmidth (Дания) ООО ФЛСмидт Рус GEA Process Engineering A/S (Дания) Hascon Engineering SpA (Италия), ООО Воздушные фильтры СПб Kipinfo.ru KRAFTELEKTRONIK AB (Швеция) Koerting Hannover AG...»

«GC(46)/RES/12 October 2002 GENERAL Distr. Международное агентство по атомной энергии RUSSIAN ГЕНЕРАЛЬНАЯ КОНФЕРЕНЦИЯ Cорок шестая очередная сессия Пункт 16 повестки дня (GC(46)/19) ПОВЫШЕНИЕ ДЕЙСТВЕННОСТИ И ЭФФЕКТИВНОСТИ СИСТЕМЫ ГАРАНТИЙ И ПРИМЕНЕНИЕ ТИПОВОГО ДОПОЛНИТЕЛЬНОГО ПРОТОКОЛА Резолюция, принятая 20 сентября 2002 года на десятом пленарном заседании Генеральная конференция, a) ссылаясь на резолюцию GC(45)/RES/13, b) будучи убеждена, что гарантии Агентства способствуют достижению большего...»

«№ 15 (30) Корпоративное издание ОАО Территориальная генерирующая компания № 9 Август 2006 г. Гарантия для инвесторов – В номере новый взгляд на тарифы Фоторепортаж о предприятиях филиала Коми ены дополнительные генерирующие мощности, которые покроют дефицит электроэнергии в регионе. За счет дополнительной эмиссии акций и внешСтр. тр. них заимствований ТГК-9 планирует привлечь на реализацию программы обеспечения энергобезопасности территории Прикамья 8,4 млрд руб. Где взять остальные 12...»

«УДК 02 Сюзан Рейли Роль библиотек в поддержке обмена научными данными Доклад на заседании Роль библиотек в сборе, обработке, обеспечении сохранности научных данных и обслуживании ими, организованном Секцией научно-технических библиотек в ходе 78-й Генеральной конференции ИФЛА (9—16авг. 2012 г., Хельсинки, Финляндия). Публикуется с разрешения автора и одобрения аппарата ИФЛА. Ключевые слова: библиотеки, научные данные, информационное обслуживание, сбор, обработка, сохранность, архивирование,...»









 
2014 www.konferenciya.seluk.ru - «Бесплатная электронная библиотека - Конференции, лекции»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.