Информация в безопасности: хранение, доступ, использование

203
Как обеспечить информационную безопасность. Почему соблюдать законодательство выгодно, даже если это недешево. Какими могут быть последствия нарушения информационной безопасности для учреждения культуры, его руководителя и работников.

Современный человек с самого детства погружен в информационную среду — он окружен книгами и журналами, телевизионными и радиоканалами, мобильными телефонами, компьютерными играми и обучающими программами. Информационная среда — это мир информации вокруг человека и мир его информационной деятельности. Если среда защищена от попыток повредить или уничтожить информацию, а также от возможности получить эту информацию теми, для кого на это нет разрешения, то это называется информационной безопасностью.

Безусловно, система информационной безопасности не должна мешать получать информацию тем, кому это разрешено. В зависимости от того, кому принадлежит защищаемая информация, мы можем говорить о личной информационной безопасности, информационной безопасности организации или государства.

Меры по обеспечению информационной безопасности можно разделить на:

технические — различные аппаратные, программные средства и технологии защиты от вредоносных программ, внешних сетевых атак и пр. К ним, в частности, относятся все антивирусные программы;

Рассылка любой информации, в которой отсутствуют точные и достоверные сведения о ее распространителе, незаконна.

правовые, под которыми понимается совокупность нормативных и правовых актов, регулирующих вопросы защиты информации.

Правовые основы информационной безопасности

Основным законом, касающимся вопросов использования и защиты информации, в нашей стране является Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (далее — Закон № 149-ФЗ). Статьи закона регулируют отношения, возникающие при осуществлении права на поиск, получение, передачу, производство и распространение информации, определяют понятия обеспечения безопасности и защиты информации в различных сферах, в т. ч. и государственных, контролируют создание, эксплуатацию информационных систем и защиту содержащейся в них информации, регулируют распространение или предоставление информации и многое другое.

Согласно статье 10 Закона № 149-ФЗ рассылка любой информации, в которой отсутствуют точные и достоверные сведения о ее распространителе, является противозаконной.

К таким сведениям о распространителе относятся:

выходные данные электронного ресурса, свидетельство о регистрации СМИ (если ресурс зарегистрирован в качестве СМИ, т. е. при наличии свидетельства);для организаций — название, юридический адрес, контактная информация;для физических лиц — фамилия и инициалы, электронный адрес для направления юридически значимых сообщений.

Даже при наличии таких сведений пользователь должен иметь возможность отказаться от получения этой информации.

Если вы сами где-либо подписались на электронную рассылку, то ее отправка вам становится законной в соответствии с теми условиями, которые указаны в правилах этой рассылки или в соответствующем публичном договоре. Администрация и технические службы организаций, поддерживающие размещенные в Интернете базы данных, владельцы серверов, размещающие пользовательские сайты, операторы информационных систем и прочие обладатели информации в соответствии с законом должны обеспечивать постоянный контроль за уровнем защищенности информации. Закон определяет дисциплинарную, гражданско-правовую, административную или уголовную ответственность за правонарушения в сфере информации, информационных технологий и защиты информации.

Законом предусмотрены дисциплинарная, гражданско-правовая, административная и уголовная ответственность за «информационные» правонарушения.

Согласно закону преступлением являются любые действия, приводящие к намеренному искажению, повреждению или уничтожению информации, а также стремление получить неправомерный доступ к чужой информации.

Этим занимаются авторы вирусов, «троянов» и других вредоносных программ.

Личную информацию каждого человека защищает Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных». Он дает определение понятию «персональные данные» и говорит о том, что их обработка и распространение могут быть произведены только с согласия того человека, которому они принадлежат1.

Закон о защите личных данных еще раз подчеркивает противозаконность действий, приводящих к несанкционированному доступу и хищению личной информации пользователей, даже если такое хищение не привело к непосредственному материальному ущербу.

Ответственность за пренебрежение информационной безопасностью предусмотрена в Уголовном кодексе РФ (далее — УК РФ). Согласно п. 1 ст. 272 УК РФ, неправомерный доступ к охраняемой законом компьютерной информации, если он повлек уничтожение, блокирование, модификацию либо копирование компьютерной информации, наказывается штрафом в размере до 200 тыс. руб. или исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет.

То же деяние, причинившее крупный ущерб или совершенное из корыстной заинтересованности, наказывается штрафом в размере от 100 тыс. до 300 тыс. руб. или в размере заработной платы, или иного дохода осужденного за период от одного года до двух лет, либо исправительными работами на срок от одного года до двух лет, либо ограничением свободы на срок до четырех лет, либо принудительными работами на срок до четырех лет, либо лишением свободы на тот же срок (п. 2 ст. 272 УК РФ). В статьях главы 28 УК РФ крупным считается ущерб более 1 млн руб.2

Если описанные выше действия были совершены группой лиц по предварительному сговору, организованной группой или лицом с использованием своего служебного положения, то предусмотрены меры ответственности в виде штрафа до 500 тыс. руб. или в размере заработной платы, или иного дохода осужденного за период до трех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет, либо ограничением свободы на срок до четырех лет, либо принудительными работами на срок до пяти лет, либо лишением свободы на тот же срок.

Если любое из деяний, описанных выше, повлекло тяжкие последствия или просто создало угрозу их наступления, то нарушитель рискует лишением свободы на срок до семи лет.

ПРИМЕР

Простой и наглядный пример «бытового» нарушения — размещение персональных данных тех или иных людей на открытых сайтах образовательных учреждений или учреждений культуры. Даже публикации фотографий на этих сайтах возможна только с письменного согласия этих лиц, а если речь идет о несовершеннолетних, то с письменного согласия их родителей. Пример намеренного нарушения — «нарушение назло». В этом случае чьи-либо персональные данные целенаправленно размещают на открытых сетевых ресурсах или в социальных сетях с целью мести за какие-то поступки (например, уволенный сотрудник делает это из желания усложнить жизнь своего бывшего работодателя и т. д.) или для получения коммерческой прибыли (взлом баз данных и продажа их содержимого).

Создание вредоносных программ, несмотря на «виртуальный» характер, является реальным преступлением и карается реальными штрафами или реальными тюремными сроками.

Таким образом, невежественное отношение к персональным данным других людей, их распространения, равно как и создание вредоносных программ, несмотря на «виртуальный» характер, является реальным преступлением и карается реальными штрафами, чаще всего — с конфискацией соответствующего компьютерного оборудования, а в отдельных случаях — реальными тюремными сроками (далеко не всегда условными).

Впрочем, в ряде стран наказание за информационные преступления еще строже. Например, на Филиппинах в настоящее время принят закон, предусматривающий за разработку вирусов смертную казнь.

Основы лицензионной политики в сфере распространения программ и данных

Распространение, доступ и использование информации строго регламентируются законом. Поэтому легальное распространение и использование любых программ, а также информации в составе баз данных, должно осуществляться согласно определенным правилам.

Лицензионная политика рассматривается как комплексный механизм, определяющий всю совокупность условий предоставления той или иной программы пользователям.

Набор правил, устанавливаемый собственником программы — ее создателем или продавцом в рамках, допустимых законом, называют лицензией (пользовательской лицензией).

Лицензионная политика рассматривается как комплексный механизм, определяющий всю совокупность условий предоставления той или иной программы пользователям (система ценовых скидок, оговоренные в лицензии ограничения, специальные условия ее использования и пр.).

Виды программного обеспечения

По принципам распространения и использования согласно соответствующим лицензиям программное обеспечение (далее — ПО) делится на следующие виды:

коммерческое;условно-бесплатное;бесплатное;свободное.

Коммерческое программное обеспечение (commercial software) — это программы, распространяемые только путем продажи.

Возможен вариант, когда сама программа предоставляется бесплатно, а продаже подлежит, например, подписка на осуществляемые при помощи этой программы онлайн или иные услуги.

Также возможен случай, когда плата взимается как за саму программу при ее покупке, так и в виде абонентской платы за некоторый период времени. Примером является «Антивирус Касперского»: после покупки самой программы нужно оплачивать только подписку на услугу по регулярному обновлению антивирусных баз, что необходимо для полноценной работы антивируса.

Разновидностями коммерческого ПО являются пробные версии программ. Как правило, пробные версии программы распространяются бесплатно в рекламных целях, но они имеют ограничение либо по функциям по сравнению с полноценной версией, либо работающие только в течение ограниченного периода времени.

Примером такого вида ПО, или, точнее, способа распространения и рекламы соответствующих коммерческих программ является тот же «Антивирус Касперского»: можно скачать с сайта саму программу, получить к ней «пробный» ключ доступа к обновлениям вирусных баз на один месяц. Если по прошествии месяца пользователь не оформляет подписку на дальнейшее обновление вирусных баз, то программа переходит в ограниченный режим: ее функции по проверке и лечению ранее известных программе вирусов сохранятся, но функции обновления вирусных баз будут отключены. А значит, компьютер станет уязвимым для вирусов, появившихся после даты последнего обновления антивирусной программы.

Условно-бесплатное ПО (shareware) — это программы, как правило, созданные индивидуальными программистами-любителями, которые можно получить и использовать бесплатно, но с определенными ограничениями, указанными в лицензии. Например, разрешается бесплатное использование только в некоммерческих, личных целях или в образовательных учреждениях, либо имеется обращение к пользователю с просьбой о небольшом добровольном денежном пожертвовании в качестве вознаграждения автору в качестве стимула к дальнейшему совершенствованию программы, если она понравилась данному пользователю.

Примером этого класса ПО является антивирус Avira AntiVir PersonalEdition Classic, который можно бесплатно использовать на личном компьютере или в учреждении культуры.

Бесплатное ПО (freeware) — это программы, которые согласно лицензии не требуют никаких денежных выплат автору. Ограничиваются лишь возможные действия пользователя по отношению к этой программе — например, другим лицам разрешено ее использовать, но запрещено что-либо менять в исполняемом коде, переписывать программу и т. д. Как правило, это программы, созданные отдельными энтузиастами, либо написанные начинающими программистами.

В некоторых случаях бесплатное ПО также создают крупные фирмы, если этого требует какая-либо важная цель: например, «Лаборатория Касперского» предлагает посетителям своего сайта целый ряд бесплатных антивирусных утилит, нацеленных на борьбу с отдельными вредоносными программами. Это делается ради того, чтобы как можно быстрее «погасить» ту или иную вирусную эпидемию.

Даже у бесплатной программы есть правообладатель.

Заметим, что все указанные программы относятся к категории так называемого собственнического, или проприетарного, программного обеспечения. Во всех описанных разновидностях предполагается, что программа (даже бесплатная) кому-то принадлежит: пользователь покупает или получает на иных условиях право использовать такую программу, но не имеет права что-либо менять в ней или копировать программу другим лицам.

Противоположностью бесплатному ПО является свободное, или открытое, программное обеспечение. Как правило, оно тоже является бесплатным: оплата может браться только за отладку выполнения русификации программ и пр.

Сами категории свободного и открытого ПО в основном аналогичны и различаются небольшими нюансами:

свободное ПО (free software) предполагает, что пользователю, согласно особой, свободной лицензии, предоставляются права (свободы) на неограниченные установку, запуск, свободное использование, изучение, распространение, изменение и совершенствование таких программ;сторонники открытого ПО (open source software) делают основной акцент на предоставлении вместе с исполняемой программой ее исходного программного кода (листинга), открытого для просмотра, изучения и внесения изменений. Поэтому открытой лицензией не запрещается ни дорабатывать открытую программу, ни использовать фрагменты такого исходного кода для создания собственных программ. Хотя при этом может ставиться условие, что программы, содержащие такой заимствованный исходный код, могут далее распространяться тоже только как открытые. А вот свобода и даже бесплатный характер использования открытых программ необязательны, хотя большинство открытых программ также одновременно являются и бесплатными.

Обратным примером является утилита3 UnRAR — распаковщик RAR-архивов: ее исходный код имеется в открытом доступе для распространения и изменения, но согласно лицензии его нельзя использовать для создания RAR-совместимых архиваторов. Таким образом, эта утилита не является полностью свободной.

>

Лицензионное соглашение

Вопросы использования программы регулируются лицензионным соглашением.

В лицензионном соглашении обычно регулируются важные вопросы использования программы. Рассмотрим некоторые из них.

Авторские права на коммерческое ПО. В большинстве случаев исключительные имущественные авторские права на программное обеспечение и руководство пользователя в печатном и/или электронном виде принадлежат правообладателю (разработчику устанавливаемого ПО). Пользователю ПО передаются только перечисленные в лицензии права на использование этой программы при соблюдении ряда оговоренных условий, а также права на получение обновлений и сервисных услуг.

Для юридического подтверждения соглашения между правообладателем и пользователем достаточно, чтобы пользователь выразил свое согласие, нажав на кнопку «Согласен» и продолжив установку программы. В случае если пользователь не согласен с условиями настоящего соглашения, он должен прекратить установку программы.

В лицензионном соглашении также:

определяется возможность для пользователя изготавливать для себя архивную копию программы, а также полностью передавать свои права, оговоренные лицензией, другому пользователю;указаны действия над программой, которые запрещено производить пользователю;присутствует ряд указаний на ситуации, в случае которых правообладатель снимает с себя ответственность за неправильную работу либо полную неработоспособность самой программы, а также за возможный прямой или косвенный ущерб от ее использования;оговариваются условия использования программы в каких-либо конкретных ситуациях (например, только некоммерческое, только личное, только в образовательных учреждениях);оговариваются количество компьютеров, на которые может быть установлена данная программа с одного приобретенного дистрибутива и т. д.

Кроме лицензии, в некоторых случаях для подтверждения лицензионных прав пользователя предусматривается сертификат подлинности (лицензионный сертификат), на котором указаны наименование программного продукта и «ключ продукта» (Product Key) в виде некоторого серийного номера.

Примеры лицензионных соглашений доступны на сайтах разработчиков или продавцов ПО4.

Открытая лицензия

В отличие от коммерческой, открытая лицензия (GNU General Public License, GNU GPL) удостоверяет, что данное ПО является свободным для всех его пользователей, и гарантирует им свободу использовать и изменять это ПО. Открытая лицензия была создана в рамках проекта GNU в 1988 г., а позже были созданы ее вторая (1991 г.) и третья (2007 г.) версии.

Цель лицензии GNU GPL — предоставить пользователю следующие права:

свободу запуска программы с любой целью;свободу изучения исходного кода программы, принципов ее работы и ее улучшения (модификации);свободу распространения копий программы;свободу улучшений и доработок программы и выпуска новых ее версий в публичный доступ.

Кроме того, лицензия GNU GPL гарантирует, что пользователи всех программ, созданных на основе упомянутого исходного кода, тоже получат все вышеперечисленные права. Например, запрещается создавать на основе свободной программы с лицензией GPL какое-либо другое ПО, в комплекте которого не будет предоставлен открытый исходный листинг5.

Опасности использования нелицензионного ПО

Нелицензионным (пиратским) называют программное обеспечение, полученное и/или используемое незаконным способом.

В этом случае имеет место нарушение правил пользовательской лицензии от третьих лиц или через третьих лиц, не имеющих прав на распространение такой программы. В юридических документах третьим лицом называют кого-либо, кто не является одним из участников заключенного договора, то есть кто-то посторонний.

Когда нелицензионное ПО скачивается из Интернета, речь идет о незаконном получении программы от третьих лиц, которые нарушили чьи-то права на результаты интеллектуальной деятельности и разместили их программу на своем сайте.

К примеру, если нелицензионное ПО было скачано из Интернета, то это означает, что кто-то нарушил требования раздела VII «Права на результаты интеллектуальной деятельности и средства индивидуализации» Гражданского кодекса РФ и разместил эту программу в Интернете: на сайте, в файловой коллекции, сети файлообмена и пр. Поэтому здесь речь идет о незаконном получении программы от третьих лиц.

Ответственность пользователя и возможные последствия использования нелицензионного ПО могут быть юридическими и техническими:

1) согласно ст. 1302 ГК РФ суд может принять соразмерные объему и характеру правонарушения обеспечительные меры, направленные на пресечение неправомерного использования произведений в информационно-телекоммуникационных сетях, в частности на ограничение доступа к материалам, содержащим незаконно используемые произведения. Порядок ограничения доступа к таким материалам устанавливается законодательством Российской Федерации об информации;

2) практически любая современная программа, распространяемая на коммерческой основе, содержит встроенные средства контроля нелицензионного использования, такие как: индивидуальный серийный номер либо специальная процедура «активации», специальный ключевой файл и пр. Конечно, абсолютной защиты, которую невозможно было бы «взломать», практически не существует, однако, «взламывая» подобную защиту, можно повредить остальной программный код. В этом случае работа «взломанной» программы становится нестабильной: она может время от времени аварийно прекращать работу, могут не работать некоторые функции, например, при нелицензионном использовании антивирусной программы становится невозможным своевременное автоматическое обновление ее вирусных баз, из-за чего программа теряет существенную часть своей эффективности. Разумеется, в случае использования пиратской программы изготовитель не несет никакой ответственности за нанесенный ею ущерб;

3) сайты, а зачастую и диски, посредством которых распространяются пиратские программы, бывают заражены вирусами. Всегда следует иметь в виду, что преступники могут использовать «взломанные» программы в качестве своеобразной «приманки», встраивая в них «троянские программы» для своих преступных целей — например, получения пароля от электронной почты компьютера «жертвы» (в дальнейшем возможна рассылка спама с этого ящика) или получение доступа к персональным данным или информации, являющейся коммерческой тайной (например, для передачи заинтересованным лицам или шантажа). Оба сценария чреваты и финансовыми, и правовыми, и репутационными издержками как для учреждения, так и для всех ее работников.

«Взломанная» программа может оказаться «приманкой», с помощью которой преступник получит доступ к важной информации хозяина компьютера.

Таким образом, пользуясь нелицензионным программным обеспечением, вы подвергаете опасности операционную систему, прикладное программное обеспечение, а также все данные, которые хранятся на вашем компьютере. Их потеря может оказаться существенно больше, чем стоимость полноценной коммерческой версии программы.


1Подробнее о персональных данных см.:
Волкова И. В. Как организовать доступ к архивным документам, защищая персональные данные // Справочник руководителя учреждения культуры. 2014. № 9;
Иноземцева З. П. Человек в документах Архивного фонда РФ как объект изучения и информационной защиты // Справочник руководителя учреждения культуры. 2014. № 11;
Дегтярева И. А. Ответственность архива и пользователя за разглашение персональных данных // Справочник руководителя учреждения культуры. 2015. № 1. >>вернуться в текст
2См.: Методические рекомендации по осуществлению прокурорского надзора за исполнением законов при расследовании преступлений в сфере компьютерной информации (утв. Генпрокуратурой России). >>вернуться в текст3Компьютерная программа, расширяющая стандартные возможности оборудования и выполняющая узкий круг специальных задач. — Примеч. авт.>>вернуться в текст4См., например, текст лицензионного соглашения для «Антивируса Касперского». >>вернуться в текст5См. пример текста открытой лицензии GNU GPL http://www.gnu.org/copyleft/gpl.html (исходный английский текст); http://www.citforum.ru/operating_systems/articles/gpl_rus.html (неофициальный русский перевод). >>вернуться в текст

Читайте в ближайших номерах журнала «Справочник руководителя учреждения культуры»
    Читать >>


    Ваша персональная подборка

      Подписка на статьи

      Чтобы не пропустить ни одной важной или интересной статьи, подпишитесь на рассылку. Это бесплатно.

      Рекомендации по теме

      Мероприятия

      Мероприятия

      Проверь свои знания и приобрети новые

      Посмотреть

      Самое выгодное предложение

      Самое выгодное предложение

      Воспользуйтесь самым выгодным предложением на подписку и станьте читателем уже сейчас

      Живое общение с редакцией

      А еще...






      © Актион-МЦФЭР, 2006–2017. Все права защищены.

      Информация на данном сайте предназначена только для работников учреждений культуры.
      Свидетельство о регистрации средства массовой информации ПИ № ФС77-64203 от 31.12.2015, выдано Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций.

      Политика обработки персональных данных

      
      • Мы в соцсетях
      Сайт предназначен для работников учреждений Культуры!

      Чтобы скачать файл на портале CULTMANAGER.RU, пожалуйста, зарегистрируйтесь.
      Это займет всего 57 секунд. Для вас будут доступны:

      — 900 статей
      — 1500 ответов на вопросы
      — видеосеминары
      — множество форм и образцов документов
      — бесплатная правовая база
      — полезные калькуляторы
      — лучшие проекты в области культуры

      Вы также получите подарок — pdf- журнал «Справочник руководителя учреждения культуры»

      У меня есть пароль
      напомнить
      Пароль отправлен на почту
      Ввести
      Я тут впервые
      И получить доступ на сайт Займет минуту!
      Введите эл. почту или логин
      Неверный логин или пароль
      Неверный пароль
      Введите пароль
      Сайт предназначен для работников учреждений культуры!

      Чтобы продолжить чтение статей на портале CULTMANAGER.RU, пожалуйста, зарегистрируйтесь.
      Это займет всего 57 секунд. Для вас будут доступны:

      — 900 статей
      — 1500 ответов на вопросы
      — видеосеминары
      — множество форм и образцов документов
      — бесплатная правовая база
      — полезные калькуляторы
      — лучшие проекты в области культуры

      Вы также получите подарок — pdf- журнал «Справочник руководителя учреждения культуры»

      У меня есть пароль
      напомнить
      Пароль отправлен на почту
      Ввести
      Я тут впервые
      И получить доступ на сайт Займет минуту!
      Введите эл. почту или логин
      Неверный логин или пароль
      Неверный пароль
      Введите пароль
      ×
      Сайт предназначен для работников учреждений Культуры!

      Чтобы продолжить чтение статей на портале CULTMANAGER.RU, пожалуйста, зарегистрируйтесь.
      Это займет всего 57 секунд. Для вас будут доступны:

      — 900 статей
      — 1500 ответов на вопросы
      — видеосеминары
      — множество форм и образцов документов
      — бесплатная правовая база
      — полезные калькуляторы
      — лучшие проекты в области культуры

      Вы также получите подарок — pdf- журнал «Справочник руководителя учреждения культуры»

      У меня есть пароль
      напомнить
      Пароль отправлен на почту
      Ввести
      Я тут впервые
      И получить доступ на сайт Займет минуту!
      Введите эл. почту или логин
      Неверный логин или пароль
      Неверный пароль
      Введите пароль
      ×