№ 1 январь-февраль 2008 г. Тема номера: ИНЖЕНЕРНО-ТЕХНИЧЕСКИЕ СПОСОБЫ ЗАЩИТЫ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ
		НАША ТАЙНА ГРОМКО ПЛАЧЕТ… А. С. Шубин

Тайна – кто чего не знает, то для него тайна, все сокрытое, неизвестное, неведомое.
В. Даль

Минувший год для руководителей и сотрудников подразделений информационной безопасности организаций ознаменовался значительными сдвигами на соответствующем тематическом правовом поле. Это стало возможным благодаря вводу в действие нескольких федеральных законов, затрагивающих в той или иной степени вопросы обеспечения информационной безопасности. Не претендуя на полный перечень всех принятых и измененных законодательных актов, хотелось бы отметить следующие федеральные законы: от 18.12.2006 N 231-ФЗ «О введении в действие части четвертой Гражданского кодекса Российской Федерации», от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» и от 27.07.2006 № 152-ФЗ «О персональных данных». Будучи ограниченными рамками одной статьи, остановимся в основном на последствиях принятия законодательного акта для защитников информации, учитывая внесение им значительных изменений в федеральный закон от 29.07.2004 № 98-ФЗ «О коммерческой тайне».

Введение

Настоящая статья не претендует на толкование всех юридических тонкостей рассматриваемых проблем – оставим это специалистам в области права. Вопросы, связанные с введением в действие части четвертой Гражданского кодекса Российской Федерации (ГК РФ) и некоторых других законодательных актов, рассматриваются с точки зрения практика по обеспечению информационной безопасности в организациях финансово-кредитной сферы.

Актуальность рассматриваемых вопросов состоит в том, что речь в основном пойдет о правовой основе защиты от злейшего друга защитников информации, так называемого инсайдера – изначально обычного сотрудника, которого в числе прочих легитимных пользователей информационной системы этой организации надо защищать от всяческих информационных напастей, но который затем, в определенный момент времени может нанести эффективный «удар ножом в спину». Мне могут возразить: «Ножом в спину – всегда эффективно». Соглашусь с этим утверждением, уточнив: «Да, но кроме случая, когда ты в бронежилете». Вот мы и постараемся разобраться в этой статье, где этот правовой бронежилет для защищаемой информационной системы взять и какие уязвимые места он имеет.

О том, что сейчас проблема борьбы с инсайдером заняла первую строчку в рейтинге угроз информационной безопасности государственных и коммерческих структур, говорят многочисленные исследования этого вопроса, проводимые как на международном уровне, так и в России. Не станем занимать место освещением широко известных результатов этих исследований, лишь приведем в подтверждение вышеуказанного факта цитату из документа, который ближе к финансово-кредитной сфере, а именно из стандарта Банка России по информационной безопасности СТО БР ИББС-1.0-2006. В нем объединены как основные положения международных стандартов по управлению информационной безопасностью, в частности, ISO/IEC 27001:2005 «Информационные технологии. Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Требования», так и общий подход по управлению операционными рисками соглашения Basel II.

В п. 5.4 ст. 5 стандарта определяется, что «наибольшими возможностями для нанесения ущерба организации банковской системы РФ обладает ее собственный персонал. В этом случае содержанием деятельности злоумышленника является нецелевое использование предоставленного контроля над информационными активами, а также сокрытие следов своей деятельности. Внешний злоумышленник скорее да, чем нет может иметь сообщника(ов) внутри организации».

Вопросы правовой основы расследования инцидентов информационной безопасности, связанных с таинственными (и не очень) «внешними силами», и степени ответственности этих сил оставим за рамками настоящей статьи, определив их как поле деятельности правоохранительных органов, имеющих на вооружении соответствующие конкретному случаю кодексы.

Не будем также покушаться на рассмотрение вопросов правовой основы обеспечения информационной безопасности, связанных с государственной тайной, – себе дороже будет, там «регуляторы» строгие. Разве что пройдем где-то рядом, по старой привычке оглядываясь на всякий случай, и немного «зацепим» служебную тайну.

Определим наши интересы в пределах данной статьи информационными системами, в которых обрабатывается, хранится, передается информация ограниченного доступа или, как сказали бы раньше, конфиденциальная информация.

< ... >

Полную версию статьи смотрите на страницах журнала «Защита информации. Инсайд»

Обращайтесь!!!
e-mail:    magazine@inside-zi.ru
тел.:        +7 (921) 958-25-50, +7 (911) 921-68-24

Предыдущая статья    СОДЕРЖАНИЕ НОМЕРА    Следующая статья

| Начало | О журнале | План выхода | Подписка | Интернет-магазин | Реклама | Координаты |

Copyright © 2004-2013 «Защита информации. Инсайд». Все права защищены
webmaster@inside-zi.ru