Прогрессивное развитие глобальной информатизации мирового сообщества вызывает острую необходимость в правовом контроле информационных технологий, выработки стратегии по защите информации от несанкционированного доступа и от возможных повреждений или намеренной порчи. В связи с бурным развитием информационных технологий появляются угрозы нового типа – угрозы информационной безопасности в масштабе страны, соответственно государство должно оперативно реагировать на изменяющуюся обстановку и предпринимать решительные шаги по организации слаженной комплексной системы информационной безопасности.
Понятие «обеспечение информационной безопасности» охватывает часть предметов, явлений и процессов, обозначаемых более широким понятием «обеспечение безопасности», закрепленным в правовых актах, регулирующих отношения в области безопасности [1]. Обозначаемый им круг явлений и процессов во многом определяется содержанием составляющих его более общих понятий: «обеспечение», «безопасность» и «информационная безопасность» как фрагмент «безопасности».
«Думаю, нет необходимости говорить о том, что в век информации, коммуникационных и компьютерных технологий, когда Интернет с каждым днем будет все шире и глубже входить во все сферы нашей жизни и когда борьба за умы и умонастроения людей приобретает решающее значение - все эти задачи сегодня становятся для нашего общества актуальными и приоритетными» [2].
Угрозы информационной безопасности могут реализовываться в самых различных формах, таких, как внесения изменений в информацию на различных этапах ее обработки, порча программного обеспечения, в результате чего нередко удается получать значительные суммы денег, уклоняться от налогообложения, заниматься промышленным шпионажем, уничтожать программы конкурентов, изменять данные о личности, а также в краже информацию, обладающую статусом государственной тайны и др. Соответственно, государством предпринимаются меры по защите как государственной, так и частной информации от вышеперечисленных преступлений. Защита информации требует системного подхода, сочетающего в себе множество приемов и методов. Перечислим наиболее важные способы обеспечения информационной безопасности:
Разработка доктрины обеспечения информационной безопасности, которая должна отражать основные направления распространения, охраны информации и борьбы с соответствующими преступлениями.
Создание нормативно-правовой базы, гарантирующей одновременно свободное распространение информации, ее доступность и в то же время предусматривать методы обеспечения защиты от всевозможных нарушений и меры ответственности за совершенные правонарушения (преступления)
Формирование технической базы и подготовка высококвалифицированных специалистов в сфере информационных технологий.
Отправной точкой к обеспечению информационной безопасности должен являться так называемый принцип "разумной достаточности", который сводится к тому, что стопроцентной защиты не может существовать ни при каких обстоятельствах, поэтому цель состоит не в стремлении к теоретически максимально возможному уровню защиты, а к минимально необходимому в данных конкретных условиях и при данном уровне возможной угрозы. Этот принцип особенно важен с точки зрения демократизации и либерализации общественных отношений и обеспечения принципов свободы и общедоступности информации, который исключает излишнее давление и ограничение в получении данных со стороны государства. Любой нормативно-правовой акт в первую очередь должен служить интересам личности, каждого гражданина страны. Как отмечает Президент Республики Узбекистан И.Каримов: «при создании законодательной базы развития страны, разработке, принятии новых законов и внесении изменений в действующие законы, осуществлении всей нашей законотворческой деятельности необходимо исходить из интересов и еще раз интересов людей, интересов всех наших граждан, независимо от рода их деятельности - будь то фермеры, предприниматели, представители малого бизнеса или деловые люди» [3].
В данной статье мы подробно остановимся на правовом аспекте обеспечения свободы информации и защите данных от незаконных посягательств. По данному вопросу многое в Республике Узбекистан уже сделано, но многое еще предстоит сделать. В настоящее время в Узбекистане нормативным актом, регулирующим вопросы информатизации общества является Закон «О принципах и гарантиях свободы информации» от 12.12.2002 г., определяющий основные понятия в сфере информатизации, основные принципы свободы информации, порядок получения информации и раскрывающий государственную политику в области обеспечения информационной безопасности [1]. Этот закон является фундаментом, своеобразным планом для формирования и развития информационной инфраструктуры и системы противодействия информационным нарушениям. Вторым важным законодательным актом, регулирующим сферу информатизации общества и защиту информации от посягательств является Уголовный Кодекс Республики Узбекистан, в котором глава ХХ1, введенная 25.12.2007г., определяет перечень возможных преступлений в сфере информационных технологий и ответственность за их совершение [4].
Рассмотрим наиболее часто случающееся преступление в сфере информационных технологий – несанкционированный доступ к компьютерной информации и возможные методы защиты.
Несанкционированный доступ - чтение, обновление или разрушение информации при отсутствии на это соответствующих полномочий. Несанкционированный доступ осуществляется, как правило, с использованием чужого имени, изменением физических адресов устройств, использованием информации оставшейся после решения задач, модификацией программного и информационного обеспечения, хищением носителя информации, установкой аппаратуры записи.
Для успешной защиты своей информации пользователь должен иметь абсолютно ясное представление о возможных путях несанкционированного доступа. Перечислим основные типовые пути несанкционированного получения информации:
хищение носителей информации и производственных отходов;
копирование носителей информации с преодолением мер защиты;
маскировка под зарегистрированного пользователя;
мистификация (маскировка под запросы системы);
использование недостатков операционных систем и языков программирования;
использование программных закладок и программных блоков типа "троянский конь";
перехват электронных излучений;
дистанционное фотографирование;
применение подслушивающих устройств;
злоумышленный вывод из строя механизмов защиты и т.д.
Существует система противодействия незаконному доступу к компьютерным данным, включающая
Организационные мероприятия.
Технические мероприятия.
К организационным можно отнести:
Хранение носителей в сейфах;
Жесткий пропускной режим в организации;
Ограниченный доступ лиц к компьютерным помещениям.
К техническим мероприятиям можно отнести:
фильтры, экраны на аппаратуру;
ключ для блокировки клавиатуры;
устройства аутентификации - для чтения отпечатков пальцев, формы руки, радужной оболочки глаза, скорости и приемов печати ;
электронные ключи на микросхемах и т.д.
Также существуют технические способы защиты информации от чтения:
на уровне DOS введением атрибута Hidden (скрытый) для файлов;
шифрованием.
Защита от копирования осуществляется:
установкой атрибута Read Only (только для чтения) для файлов;
запрещением записи через установки BIOS - дисковод не установлен.
Это лишь краткий обзор одного преступления и методов борьбы с возникающими проблемами незащищенности информации. Как видно из вышеперечисленных примеров, лучшее средство защиты – профилактика и обычные организаторские методы, не требующие профессиональной технической подготовки.
Несмотря на описанные нормативные акты, а также Законы «О средствах массовой информации», «Об электронной цифровой подписи», «О защите информации в автоматизированной банковской системе», Положений «О порядке создания информационных систем государственных органов» с каждым месяцем возникает множество новых проблем, новых вопросов, неурегулированных аспектов проблемы обеспечения демократизации законодательства в сфере информационных технологий а также обеспечения безопасности информации в Республике Узбекистан.
Литература:
Закон Республики Узбекистан «О принципах и гарантиях свободы информации» 12 декабря 2002 г., №439- I I, ст. 3,12-15.
Каримов И. А. «Наша главная цель - демократизация и обновление общества, реформирование и модернизация страны» доклад на совместном заседании Законодательной палаты и Сената Олий Мажлиса 2005г.
Каримов И. А. «Укрепление законодательной базы развития страны - основной критерий деятельности» (Речь на пятом пленарном заседании Сената Олий Мажлиса Республики Узбекистан), 24 февраля 2006г
Уголовный Кодекс Республики Узбекистан от 22 сентября 1995 года.