Организационно правовое обеспечение в организациях. Организационно-правовое обеспечение стоматологической услуги

РЕФЕРАТ

Правовые основы оказания стоматологической помощи ».

Выполнил студент стом. ф-та группы № 570

Пястолов Александр Анатольевич

«…» ………….. 201.. г.

Проверил: …........................................................................................

«….» …………. 201.. г.

Челябинск 2015 г.

Введение.............................................................................................................3 Организационно-правовое обеспечение стоматологической услуги. Правовая природа стоматологических услуг..............................................4

Стандартизация и стандарты качества в стоматологии...........................7

Право на обслуживание в условиях, соответствующих санитарно-гигиеническим требованиям.........................................................................12

Заключение........................................................................................................13

Список использованных источников...........................................................16

Введение

На современном этапе развития российского общества особую актуальность приобретают вопросы правовой охраны главных ценностей человека его жизни и здоровья. Законы и иные нормативные акты представляют весьма важными инструментами, посредством которых может быть реализовано право гражданина на охрану здоровья и медицинскую помощь, закрепленные в Конституции России. Конечно, не все проблемы могут быть решены законами. Однако улучшение в деле охраны здоровья людей невозможно без соответствующей правовой базы Обеспечение конституционного права человека и гражданина на охрану здоровья и медицинскую помощь в условиях происходящих в нашей стране социально-экономических реформ и потрясений последних лет является чрезвычайно сложной проблемой. Это всецело касается и такого массового вида медицинского обслуживания, каковым является стоматологическая помощь. Значение данного сектора охраны здоровья определяется прежде всего высокими, и при этом не имеющими пока тенденции к снижению, показателям стоматологической заболеваемости населения. Болезни зубов и полости рта являются самым распространенным видом патологии человеческого организма. Практически все люди (98-99%) с раннего детства и до глубокой старости нуждаются в тех или иных видах и объемах стоматологической помощи Поэтому как в развитых, так и в развивающихся странах мира стоматологическая служба потребляет примерно 10% и более всех финансовых ресурсов здравоохранения. В России же финансирование стоматологической помощи в основном обеспечивается прямыми платежами самих пациентов, а государство выделяет на эти цели менее 4% от общего объема т.н. консолидированного бюджета здравоохранения. Такое обстоятельство весьма наглядно свидетельствует об имеющей место недооценке проблем практической стоматологии со стороны органов управления здравоохранением. Видимо, в определенной мере это связано с тем, что практически все организационные решения в органах исполнительной власти, как правило, принимаются людьми, не имеющими достаточных знаний в области стоматологии и представляющими в основном иные базовые врачебные квалификации (врачи-лечебники, санитарные врачи, педиатры). Несмотря на то, что любому специалисту с высшим медицинским образованием должно быть известно о роли и значении факторов состояния органов и тканей полости рта для здоровья человеческого организма в целом, представляется маловероятным, что врач другой специальности (не стоматолог) отдаст когда-либо свое предпочтение проблемам организации стоматологической помощи при определении приоритетов развития системы здравоохранения. К сожалению, в нашей стране сегодня есть все основания для констатации факта серьезного отставания уровня правового обеспечения служб охраны здоровья от требований времени. Необходимо согласиться с мнением президента Стоматологической Ассоциации России, главного стоматолога Минздрава РФ профессора В.К.Леонтьева, что серьезная законодательная и распорядительная база, которая могла бы стать основой работы здравоохранения в новых, рыночных условиях хозяйствования, еще не создана. Фактически отечественная система здравоохранения в новых условиях функционирует, зачастую используя старые методы, опираясь на прежние, главным образом подзаконные, нормативные акты, руководствуясь устаревшими подходами и стереотипами. Отчасти это обусловлено тем, что руководство здравоохранением и принятие управленческих решений в основном осуществляется прежней номенклатурой. Видимо, известную долю моральной ответственности за несовершенство нормативной базы здравоохранения наряду с нашими законодателями и чиновниками должны нести и представители отечественной юридической науки, в центре внимания которых зачастую находятся вопросы правового регулирования более конъюнктурных, чем медицина, сфер деятельности, как, например, банковская, внешнеэкономическая или страховая.

Организационно-правовое обеспечение стоматологической услуги. Правовая природа стоматологических услуг.

Существуют различные мнения о правовой природе отношений, возникающих между клиникой и пациентом по поводу медицинской помощи вообще и стоматологической в частности. Между тем, этот вопрос следует признать ключевым для определения правового режима осуществления стоматологической практики.

Есть мнение, что отношения в сфере стоматологического обслуживания имеют преимущественно административно-правовую природу и лишь причинение материального вреда пациенту в стоматологической клинике служит основанием для возникновения юридических обязательств по возмещению причиненного ущерба. Подобные взгляды были широко распространены в эпоху советского здравоохранения, когда медицинская помощь населению рассматривалась как особая государственная функция.
Для такого подхода были характерны следующие черты:

Неравноправное положение участников процесса стоматологической помощи;

Регулирование отношений между ними нормативными актами органов государственного управления;

Рассмотрение споров, как правило, в административном порядке.
В условиях демократизации жизни общества и развития рыночных отношений правильной представляется более обоснованная точка зрения, согласно которой возникающие между клиникой и пациентом отношения по своей сути являются гражданско-правовыми и характеризуются равноправием обеих сторон, а не подчинением одной стороны (пациента) другой стороне (клинике). Такой подход соответствует нормам цивилизованного общества и достаточно убедительно выражен в современной юридической литературе.

Между тем, законодательное закрепление правовой категории услуги за медицинской деятельностью до сих пор вызывает неприятие не только среди врачей, но и среди юристов. Врачам, особенно старой школы, иногда еще не так просто свыкнуться с ролью исполнителей стоматологических услуг в интересах их потребителей (пациентов). Точно так же администрации стоматологических служб, прежде всего в лице главных врачей государственных поликлиник, еще трудно воспринимать стоматологическую помощь в качестве своего рода продукта, подлежащего реализации. В свою очередь юристы пытаются найти точку отсчета, критерии право вой оценки существа медицинской услуги.

Вместе с тем сегодня можно достаточно уверенно констатировать, что медицинская услуга уже обретает свое правовое содержание в новых социально-экономических условиях. Таким образом, к стоматологической практике вполне применимы нормы действующего гражданского законодательства, согласно которым по договору возмездного оказания услуг исполнитель обязуется по заданию заказчика оказать услуги (совершить определенные действия или осуществить определенную деятельность), а заказчик обязуется оплатить эти услуги (статья 779 Гражданского кодекса РФ).
Любая услуга - есть полезное действие, удовлетворяющее потребность того, кто в ней нуждается (это действие, приносящее пользу другому).
Следовательно, стоматологическая услуга есть необходимое и достаточное профессиональное действие, осуществляемое по отношению к пациенту с профилактической, диагностической, лечебной и (или) реабилитационной целью. В связи с этим стоматологической услугой признается мероприятие (или комплекс мероприятий), направленное на профилактику болезней зубов и полости рта, их диагностику и лечение, имеющее самостоятельное законченное значение и определенную стоимость.
Иногда необходимо дифференцировать понятие "стоматологическая услуга" от понятия "стоматологическая помощь". По сути, стоматологическая помощь - это комплекс мероприятий, включающий стоматологические услуги, организационно-техническое, санитарно-противоэпидемическое, лекарственное и другое обеспечение, направленный на удовлетворение потребностей человека в поддержании и восстановлении его стоматологического здоровья. Иными словами, "стоматологическая услуга" и "стоматологическая помощь" - близкие, но не идентичные понятия. Стоматологическая помощь - понятие, несомненно, более широкое, чем стоматологическая услуга.

В развитие темы о многообразии понимания термина "услуга" заслуживает внимания его официальное толкование, принятое Международной организацией по стандартизации (ИСО), согласно которому услуга - это результат непосредственного взаимодействия исполнителя и потребителя, а также собственной деятельности исполнителя по удовлетворению потребностей потребителя (МС ИСО 9004-2; ГОСТ 50646).
Несмотря на большое разнообразие услуг, все они имеют четыре основных признака, отличающих любую услугу от товара.
Этими универсальными отличительными признаками считаются:

Неосязаемость;

Несохраняемость;

Неотделимость от источника;

Непостоянство качества.

Неосязаемость услуги связана с нематериальным характером ее производства и означает, что услугу практически невозможно увидеть или ощутить до момента ее потребления. Однако для повышения ее "осязаемости" в ряде случаев можно дать некоторое представление о характере конкретной услуги. Например, можно продемонстрировать пациенту фотографии с результатами эстетической реставрации зубов. Кроме того, следует учесть, что принцип неосязаемости применим к значительной части стоматологических услуг лишь с определенной долей условности, ввиду появления в процессе их оказания тех или иных вещественных атрибутов.
Услугу невозможно сохранить для дальнейшего предоставления. Оказать услугу можно только тогда, когда есть пациент. Поэтому производство и потребление услуг тесно взаимосвязаны, их нельзя отделить друг от друга. Отсюда несохраняемость услуг и неотделимость их от источника.
Неизбежным следствием неотделимости производства и потребления услуг является неоднородность или изменчивость их исполнения, поэтому качественные характеристики услуг могут варьироваться в достаточно широких пределах. Причем важно учесть, что качество результатов многих стоматологических услуг зависит не только от уровня профессионализма их исполнителя (врача) и обстоятельств их производства (клиники), но и от индивидуальных особенностей организма пациента.

Важной особенностью стоматологических услуг является то, что многие из них имеют вещественные атрибуты, Т.е. конкретные материальные результаты в виде пломб, различных конструкций зубных протезов, имплантантов, ортодонтических аппаратов. Данное обстоятельство существенно отличает стоматологическую помощь от большинства других видов медицинской деятельности, предопределяя возможные особенности договорных отношений при осуществлении стоматологической практики.
Надо отметить, что наряду с указанными вещественными атрибутами предоставление стоматологических услуг зачастую сопровождается рядом дополнительных услуг, обеспечивающих тот или иной уровень общего сервиса. Так, комфортные условия ожидания приема в холле перед кабинетом врача, эстетичный дизайн интерьеров, отсутствие очередей, внимательное отношение и предупредительность со стороны персонала клиники к запросам пациента - все эти сервисные атрибуты хоть и не меняют профессионального медицинского существа стоматологической помощи, все же являются важными элементами ее предоставления.

Стоматологические услуги являются разновидностью профессиональных медицинских услуг, ориентированных на особое благо - здоровье человека. При этом для поддержания, укрепления и восстановления здоровья человека стоматологи осуществляют специальные вмешательства, применяют многочисленные инвазивные и неинвазивные способы воздействия на органы и ткани челюстно-лицевой области.
Необходимо учесть то обстоятельство, что ввиду высокой степени неоднородности стоматологических услуг их абсолютная унификация в значительной степени затруднена. Между тем можно использовать различные подходы к классификации стоматологических услуг. Так, например, по степени сложности стоматологические услуги дифференцируются на простые, сложные и комплексные.
Простая стоматологическая услуга - неделимая услуга, выполняемая по формуле "пациент" + "специалист" = "один элемент профилактики, диагностики или лечения ".

Сложная стоматологическая услуга - набор простых стоматологических услуг, который требует для своей реализации определенного состава персонала, специальных помещений, технического оснащения и Т.Д., отвечающий формуле "пациент" + "комплекс простых услуг" = "этап профилактики, диагностики или лечения".

Комплексная стоматологическая услуга - набор сложных и (или) простых стоматологических услуг, заканчивающихся либо проведением профилактики, либо установлением диагноза, либо окончанием про ведения определенного этапа лечения (например, санация полости рта, протезирование и т.д.) по формуле "пациент" + "простые + сложные услуги" = "проведение профилактики, установление диагноза или окончание проведения определенного этапа лечения". По функциональному назначению стоматологические услуги определяются как:

Лечебно-диагностические - направленные на установление диагноза или лечение заболевания;

Профилактические - направленные на предупреждение заболевания (профессиональная гигиена полости рта, санитарное просвещение);

Реабилитационные - связанные с социальной и медицинской реабилитацией больных (протезирование зубов).

Кроме того, по функциональному признаку среди стоматологических услуг можно выделить:

Материальные услуги - связанные с необходимостью работ по изготовлению или восстановлению (изменению, сохранению) потребительских свойств изделий стоматологического назначения (зубных и челюстно-лицевых протезов, ортодонтических аппаратов и др.);
- нематериальные услуги - обеспечивающие поддержание и восстановление здоровья пациента без необходимости выполнения указанных работ.

2. Анализ зарубежного и отечественного опыта организационно-правового обеспечения защиты информации…………………………………………………..6

2.1. Информирование о существе проблемы защиты, необходимости и путях ее решения……………………………………………………………………………….8

3. Выработка единообразия в терминологии по проблемам защиты……………..8

3.1. Развитие технико-математических основ, необходимых для решения вопросов организационно-правового обеспечения защиты информации………..9

3.2. Разработка и утверждение стандартов в области защиты информации……..9

3.3. Создание законодательной основы, необходимой для обеспечения защиты информации…………………………………………………………………………..10

3.3.1. Защита прав личности на частную жизнь…………………………………...10

3.3.2. Защита государственных интересов…………………………………………11

3.3.3. Защита предпринимательской и финансовой деятельности……………….11

4. Основные подходы к разработке организационно-правового обеспечения Организационно-правовая основа зашиты информации в АС…………………14

4.1. Технико-математические аспекты…………………………………………..17

4.2. Юридические аспекты………………………………………………………..19

5. Стратегия национальной безопасности Российской Федерации…………….22

7. Закон «О государственной тайне»……………………………………………..24

7.1. Основные понятия…………………………………………………………….25

7.2. Перечень сведений, составляющих государственную тайну………………26

7.3. Уголовно-правовая зашита информации, составляющей государственную тайну…………………………………………………………………………………29

8. Закон «О коммерческой тайне»…………………………………………………34

9. Порядок отнесения информации к коммерческой тайне и способы ее получении……………………………………………………………………………35

9.1. Охрана коммерческой тайны…………………………………………………..36

9.2. Ответственность за нарушение требований Федерального закона «О коммерческой тайне»………………………………………………………………..37

10. Закон «О персональных данных»………………………………………………38

Литература……………………………………………………………………………40

1. Общее содержание организационно-правового обеспечения

Вопросы защиты информационных ресурсов самым тесным образом связаны не только с решением научно-технических проблем, но и с вопросами правового регулирования отношений в процесс с информатизации. Необходимость организационно-правового обеспечения защиты информации вытекает из факта признания за информацией статуса товара, продукта общественного производства, установления в законодательном порядке права собственности на информацию.

Такая постановка вопроса приобретает особый смысл и характер в условиях демократизации общества, формирования рыночной экономики, включения нашего государства в мировое экономическое сообщество. Если решение вопросов развития производственной базы создания средств информатики в какой-то мере можно осуществить с использованием рыночных структур и отношений, то разработка и внедрение законодательной базы информатизации невозможны без активной государственной информационной политики, направленной на построение по единому замыслу организационно-правового механизма управления информационными процессами» увязанного с научно-технической базой информатизации.

Организационно-правовое обеспечение является многоаспектным понятием, включающим законы, решения, нормативы и правила. Причем, применительно к защите информации, обрабатываемой в автоматизированной системе, оно имеет ряд принципиальных специфических особенностей, обусловленных следующими обстоятельствами:

представлением информации в непривычной и неудобочитаемой для человека двоичной форме;

использованием носителей информации, записи на которых недоступны для простого визуального просмотри

возможностью многократного копирования информации без оставления каких-либо следов;

легкостью изменения любых элементов информации без оставления следов типа подчисток-, исправления и т.п.;

невозможностью традиционного скрепления документов традиционными подписями со всеми нормативно-правовыми аспектами этих подписей;

наличием большого числа нетрадиционных дестабилизирующих факторов, оказывающих влияние на защищенность информации.

Исходя из приведенных обстоятельств, комплекс вопросов, решаемых организационно-правовым обеспечением, может быть сгруппирован в три класса:

организационно-правовая основа защиты информации в АС;

технико-математические аспекты организационно-правового обеспечения;

юридические аспекты организационно-правового обеспечения защиты.

Из практических соображений ясно, что организационно-правовая основа защиты информации должна включать:

определение подразделений и лиц, ответственных за организацию защиты информации;

нормативно-правовые, руководящие и методические материалы (документы) по защите информации;

меры ответственности за нарушение правил защиты;

порядок разрешения спорных и конфликтных ситуаций по вопросам защиты информации.

Под технико-математическими аспектами организационно-правового обеспечения понимается совокупность технических средств, математических методов, моделей, алгоритмов и программ, с помощью которых ь АС могут быть соблюдены все условия, необходимые для юридического разграничения прав и ответственности относительно регламентов обращения с защищаемой информацией. Основными из этих условий являются следующие:

фиксация на документе персональных идентификаторов ("подписей") лиц, изготовивших документ и (или) несущих ответственность за него;

фиксация (при любой необходимости) на документе персональных идентификаторов (подписей) лиц, ознакомившихся с содержанием соответствующей информации;

невозможность незаметного (без оставления следов) изменения содержания информации даже липами, имеющими санкции на доступ к ней,

т.е. фиксация фактов любого (как санкционированного, так и несанкционированного) изменения информации;

фиксация факта любого (как несанкционированного, так и санкционированного) копирования защищаемой информации.

Под юридическими аспектами организационно-правового обеспечения защиты информации в АС понимается совокупность законов и других нормативно-правовых актов, с помощью которых достигаются следующие цели;

устанавливается обязательность соблюдения всеми лицами, имеющими отношение к АС всех правил защиты информации;

узакониваются меры ответственности за нарушение правил защиты;

узакониваются (приобретаю! юридическую силу) технико-математические решения вопросов организационно-правового обеспечения защиты информации;

узакониваются процессуальные процедуры разрешения ситуаций. складывающихся в процесс: функционирования систем защиты.

Всю совокупность вопросов, возникающих при решении проблем организационно-правового обеспечения, можно представить в виде схемы, приведенной на рис.1.

Организационное обеспечение

Математическое и программное обеспечение

Математическое и программное обеспечение – совокупность математических методов, моделей, алгоритмов и программ для реализации целей и задач информационной системы, а также нормального функционирования комплекса технических средств.

К средствам математического обеспечения относятся:

– средства моделирования процессов управления;

– типовые задачи управления;

– методы математического программирования, математической статистики, теории массового обслуживания и др.

В состав программного обеспечения входят общесистемные и специальные программные продукты, а также техническая документация.

Организационное обеспечение – совокупность методов и средств, регламентирующих взаимодействие работников с техническими средствами и между собой в процессе разработки и эксплуатации информационной системы.

Организационное обеспечение реализует следующие функции:

– анализ существующей системы управления организацией, где будет использоваться ИС, и выявление задач, подлежащих автоматизации;

– подготовку задач к решению на компьютере, включая техническое задание на проектирование ИС и технико-экономическое обоснование её эффективности;

– разработку управленческих решений по составу и структуре организации, методологии решения задач, направленных на повышение эффективности системы управления.

Правовое обеспечение – совокупность правовых норм, определяющих создание, юридический статус и функционирование информационных систем, регламентирующих порядок получения, преобразования и использования информации.

Главной целью правового обеспечения является укрепление законности.

В состав правового обеспечения входят законы, указы, постановления государственных органов власти, приказы, инструкции и другие нормативные документы министерств, ведомств, организаций, местных органов власти. В правовом обеспечении можно выделить общую часть, регулирующую функционирование любой информационной системы, и локальную часть, регулирующую функционирование конкретной системы.

Правовое обеспечение этапов разработки информационной системы включает нормативные акты, связанные с договорными отношениями разработчика и заказчика и правовым регулированием отклонений от договора.

Правовое обеспечение этапов функционирования информационной системы включает:

– статус информационной системы;

– права, обязанности и ответственность персонала;

– правовые положения отдельных видов процесса управления;

– порядок создания и использования информации и др.

Помимо структурной классификации информационные системы классифицируются по другим разным признакам. Рассмотрим наиболее часто используемые способы классификации.

Классификация по масштабу

По масштабу информационные системы подразделяются на следующие группы: одиночные; групповые; корпоративные.

Одиночные информационные системы реализуются на автономном персональном компьютере. Такая система может содержать несколько простых приложений, связанных общим информационным фондом, и рассчитана на работу одного пользователя или группы пользователей, разделяющих по времени одно рабочее место. Подобные приложения создаются с помощью так называемых настольных или локальных систем управления базами данных (СУБД). Среди локальных СУБД наиболее известными являются Clarion, Clipper, FoxPro, Paradox, dBase и Qicrosoft Access.

Групповые информационные системы ориентированы на коллективное использование информации членами рабочей группы и чаще всего строятся на базе локальной вычислительной сети. При разработке таких приложений используются серверы баз данных (называемые также SQL-серверами) для рабочих групп. Существует довольно большое количество различных SQL-серверов, как коммерческих, так и свободно распространяемых. Среди них наиболее известны такие серверы баз данных, как Oracle, DB2, Qicrosoft SQL Server, InterBase, Sybase, Inforqix.

Корпоративные информационные системы ориентированы на крупные компании и могут поддерживать территориально разнесенные узлы или сети. В основном они имеют иерархическую структуру из нескольких уровней. Для таких систем характерна архитектура клиент-сервер со специализацией серверов или же многоуровневая архитектура. При разработке таких систем могут использоваться те же серверы баз данных, что и при разработке групповых информационных систем. Однако в крупных информационных системах наибольшее распространение получили серверы Oracle, DB2 и Qicrosoft SQL Server.

В составе корпоративных информационных систем можно выделить две относительно независимых составляющих:

компьютерную инфраструктуру организации, представляющую собой совокупность сетевой, телекоммуникационной, программной, информационной и организационной инфраструктур.

взаимосвязанные функциональные подсистемы, обеспечивающие решение задач организации и достижение ее целей.

Первая составляющая отражает системно-техническую, структурную сторону любой информационной системы. Требования к компьютерной инфраструктуре едины и стандартизованы, а методы ее построения хорошо известны и многократно проверены на практике.

Вторая составляющая корпоративной информационной системы полностью относится к прикладной области и сильно зависит от специфики задач и целей предприятия.

Для групповых и корпоративных систем существенно повышаются требования к надежности функционирования и сохранности данных. Эти свойства обеспечиваются поддержкой целостности данных, ссылок и транзакций в серверах баз данных.

Классификация по сфере применения

По сфере применения информационные системы обычно подразделяются на четыре группы: системы обработки транзакций; системы принятия решений; информационно-справочные системы; офисные информационные системы.

Системы обработки транзакций, в свою очередь, по оперативности обработки данных, разделяются на пакетные информационные системы и оперативные информационные системы.

Транзакция – это последовательность операций над информационной системой, рассматриваемых системой управления информационной системой как единое целое.

В информационных системах организационного управления преобладает режим оперативной обработки транзакций – OLTP (OnLine Transaction Processing), для отражения актуального состояния предметной области в любой момент времени, а пакетная обработка занимает весьма ограниченную часть. Для систем OLTP характерен регулярный (возможно, интенсивный) поток довольно простых транзакций, играющих роль заказов, платежей, запросов и т.п. Важными требованиями для них являются: высокая производительность обработки транзакций; гарантированная доставка информации при удаленном доступе к БД по телекоммуникациям.

Системы поддержки принятия решений – DSS (Decision Support Systeq) - представляют собой другой тип информационных систем, в которых с помощью довольно сложных запросов производится отбор и анализ данных в различных разрезах: временных, географических и по другим показателям.

При определении возможностей таких систем следует учитывать:

– структурированность решаемых управленческих задач;

– уровень иерархии управления организацией, на котором решение должно быть принято;

– принадлежность решаемой задачи к той или иной функциональной сфере бизнеса;

– вид используемой информационной технологии.

Обширный класс информационно-справочных систем основан на гипертекстовых документах и мультимедиа. Наибольшее развитие такие информационные системы получили в сети Интернет.

Класс офисных информационных систем нацелен на перевод бумажных документов в электронный вид, автоматизацию делопроизводства и управление документооборотом.

Классификация по способу организации

По способу организации групповые и корпоративные информационные системы подразделяются на следующие классы: системы на основе архитектуры файл-сервер; системы на основе архитектуры клиент-сервер; системы на основе многоуровневой архитектуры; системы на основе Интернет/интранет-технологий.

Архитектура файл-сервер позволяет только извлекать данные из файлов, так что дополнительные пользователи и приложения добавляют лишь незначительную нагрузку на центральный процессор. Каждый новый клиент добавляет вычислительную мощность к сети. Однако такая архитектура имеет существенный недостаток: при выполнении некоторых запросов к базе данных клиенту могут передаваться большие объемы данных, загружая сеть и приводя к непредсказуемости времени реакции. Одним из вариантов устранения данного недостатка является удаленное управление файл-серверным приложением в сети. При этом в локальной сети размещается сервер приложений, совмещенный с телекоммуникационным сервером (обычно называемым сервером доступа), в среде которого выполняются обычные файл-серверные приложения.

Архитектура клиент-сервер предназначена для разрешения проблем файл-серверных приложений путем разделения компонентов приложения и размещения их там, где они будут функционировать наиболее эффективно. Особенностью архитектуры клиент-сервер является использование выделенных серверов баз данных, понимающих запросы на языке структурированных запросов SQL (Structured Query Language) и выполняющих поиск, сортировку и агрегирование информации.

Отличительная черта серверов БД – наличие справочника данных, в котором записана структура БД, ограничения целостности данных, форматы и даже серверные процедуры обработки данных по вызову или по событиям в программе. Объектами разработки в таких приложениях помимо диалога и логики обработки являются, прежде всего, реляционная модель данных и связанный с ней набор SQL-операторов для типовых запросов к базе данных.

Создание архитектуры клиент-сервер возможно на основе многотерминальной системы. В этом случае в многозадачной среде сервера приложений выполняются программы пользователей, а клиентские узлы вырождены и представлены терминалами.

В настоящее время архитектура клиент-сервер получила признание и широкое распространение как способ организации приложений для рабочих групп и информационных систем корпоративного уровня. Подобная организация работы повышает эффективность выполнения приложений за счет использования возможностей сервера БД, разгрузки сети и обеспечения контроля целостности данных.

Двухуровневые схемы архитектуры клиент-сервер могут привести к некоторым проблемам в сложных информационных приложениях с множеством пользователей и запутанной логикой. Решением этих проблем может стать использование многоуровневой архитектуры.

Многоуровневая архитектура стала развитием архитектуры клиент-сервер и в своей классической форме состоит из трех уровней:

­ нижний уровень представляет собой приложения клиентов и имеющие программный интерфейс для вызова приложения на среднем уровне;

­ средний уровень представляет собой сервер приложений, на котором выполняются соответствующие приложения и с которого вызываются операции с базой данных;

­ верхний уровень представляет собой удаленный специализированный сервер базы данных, выделенный для услуг обработки данных и файловых операций FS (без риска использования хранимых процедур).

Подобную концепцию обработки данных пропагандируют, в частности, фирмы Oracle, Sun, Borland и др.

Трехуровневая архитектура позволяет еще больше сбалансировать нагрузку на разные узлы и сеть, а также способствует специализации инструментов для разработки приложений и устраняет недостатки двухуровневой модели клиент-сервер. Многоуровневая архитектура распределенных приложений позволяет повысить эффективность работы корпоративной информационной системы и оптимизировать распределение ее программно-аппаратных ресурсов.

В развитии технологии Интернет/интранет основной акцент пока что делается на разработке инструментальных программных средств. В то же время наблюдается отсутствие развитых средств разработки приложений, работающих с базами данных. Компромиссным решением для создания удобных и простых в использовании и сопровождении информационных систем, эффективно работающих с базами данных, стало объединение Интернет/интранет технологии с многоуровневой архитектурой. При этом структура информационного приложения приобретает следующий вид: браузер – сервер приложений – сервер баз данных – сервер динамических страниц – web-сервер. Благодаря интеграции Интернет/интранет технологии и архитектуры клиент-сервер процесс внедрения и сопровождения корпоративной информационной системы существенно упрощается при сохранении достаточно высокой эффективности и простоты совместного использования информации.

Вопросы защиты информационных ресурсов самым тесным образом связаны не только с решением научно-технических проблем, но и с вопросами правового регулирования отношений в процесс с информатизации. Необходимость организационно-правового обеспечения защиты информации вытекает из факта признания за информацией статуса товара, продукта общественного производства, установления в законодательном порядке права собственности на информацию.

Такая постановка вопроса приобретает особый смысл и характер в условиях демократизации общества, формирования рыночной экономики, включения нашего государства в мировое экономическое сообщество. Если решение вопросов развития производственной базы создания средств информатики в какой-то мере можно осуществить с использованием рыночных структур и отношений, то разработка и внедрение законодательной базы информатизации невозможны без активной государственной информационной политики, направленной на построение по единому замыслу организационно-правового механизма управления информационными процессами» увязанного с научно-технической базой информатизации.

Организационно-правовое обеспечение является многоаспектным понятием, включающим законы, решения, нормативы и правила. Причем, применительно к защите информации, обрабатываемой в автоматизированной системе, оно имеет ряд принципиальных специфических особенностей, обусловленных следующими обстоятельствами:

Представлением информации в непривычной и неудобочитаемой для человека двоичной форме;

Использованием носителей информации, записи на которых недоступны для простого визуального просмотри

Возможностью многократного копирования информации без оставления каких-либо следов;

Легкостью изменения любых элементов информации без оставления следов типа подчисток-, исправления и т.п.;

Невозможностью традиционного скрепления документов традиционными подписями со всеми нормативно-правовыми аспектами этих подписей;

Наличием большого числа нетрадиционных дестабилизирующих факторов, оказывающих влияние на защищенность информации.

Исходя из приведенных обстоятельств, комплекс вопросов, решаемых организационно-правовым обеспечением, может быть сгруппирован в три класса:

Организационно-правовая основа защиты информации в АС;

Технико-математические аспекты организационно-правового обеспечения;

Юридические аспекты организационно-правового обеспечения защиты.

Из практических соображений ясно, что организационно-правовая основа защиты информации должна включать:

Определение подразделений и лиц, ответственных за организацию защиты информации;

Нормативно-правовые, руководящие и методические материалы (документы) по защите информации;

Меры ответственности за нарушение правил защиты;

Порядок разрешения спорных и конфликтных ситуаций по вопросам защиты информации.

Под технико-математическими аспектами организационно-правового обеспечения понимается совокупность технических средств, математических методов, моделей, алгоритмов и программ, с помощью которых ь АС могут быть соблюдены все условия, необходимые для юридического разграничения прав и ответственности относительно регламентов обращения с защищаемой информацией. Основными из этих условий являются следующие:

Фиксация на документе персональных идентификаторов ("подписей") лиц, изготовивших документ и (или) несущих ответственность за него;

Фиксация (при любой необходимости) на документе персональных идентификаторов (подписей) лиц, ознакомившихся с содержанием соответствующей информации;

Невозможность незаметного (без оставления следов) изменения содержания информации даже липами, имеющими санкции на доступ к ней,

Т.е. фиксация фактов любого (как санкционированного, так и несанкционированного) изменения информации;

Фиксация факта любого (как несанкционированного, так и санкционированного) копирования защищаемой информации.

Под юридическими аспектами организационно-правового обеспечения защиты информации в АС понимается совокупность законов и других нормативно-правовых актов, с помощью которых достигаются следующие цели;

Устанавливается обязательность соблюдения всеми лицами, имеющими отношение к АС всех правил защиты информации;

Узакониваются меры ответственности за нарушение правил защиты;

Узакониваются (приобретаю! юридическую силу) технико-математические решения вопросов организационно-правового обеспечения защиты информации;

Узакониваются процессуальные процедуры разрешения ситуаций. складывающихся в процесс: функционирования систем защиты.

Таким образом, вся совокупность вопросов, возникающих при решении проблем организационно-правового обеспечения, может быть представлена в виде схемы, приведенной на рис.1.

^ Организационно-правовое обеспечение защиты информации

Организационно-правовая основа

Технико-математические аспекты

Юридические аспекты

Подразделения и лица,

Ответственные

за защиту

Фиксация подписи под документом

Узаконивание правил защиты информации

Нормативно-правовые, руководящие и методические материалы

Фиксация фактов ознакомления с информацией

Узаконивание мер ответственности за нарушения

Меры ответственности за нарушения

Фиксация фактов изменения информации

Узаконивание технико-математических решений

Порядок разрешения спорных ситуаций

Фиксация фактов копирования информации

Узаконивание процессуальных процедур

^ Анализ зарубежного и отечественного опыта организационно-правового обеспечения защиты информации

В ведущих зарубежных странах к настоящему времени накоплен значительный опыт решения обсуждаемых здесь проблем. Существенным при этом является разносторонность разрабатываемых и применяемых мер, которые не сводятся к одним только нормативным и правовым актам, хотя их значение и является превалирующим. С этой точки зрения можно выделить следующие аспекты решения вопросов организационно-правового обеспечения зашиты информации:

Информирование широких масс населения и заинтересованны[ специалистов о существе проблемы защиты информации, необходимости и путях се решения;

Выработка единообразия в определении и интерпретации основных понятий, относящихся к проблеме защиты;

Развитие технико-математических основ, необходимых для решения вопросов организационно-правового обеспечения защиты информации;

Разработка и утверждение стандартов в области защиты информации; - создание законодательной основы, необходимой для обеспечения зашиты информации.

Рассмотрим более подробно суть выделенных аспектов.

^ Информирование о существе проблемы защиты, необходимости и путях ее решения. В зарубежной печати (особенно в США) вопросы обеспечения безопасности информации в информационно-вычислительных системах и сетях освещаются давно, интенсивно и широкомасштабно. Достаточно сказать, что первые публикации по рассматриваемым проблемам появились около *0 пел тому назад они стали уже историей? общее их число в настоящее время измеряется тысячами. Ежегодно проводятся специализированные конференции и семинары, на которых обсуждаются различные теорез ические и практические вопросы защиты информации. В программы подготовки всех специалистов по вычислительной технике и ее использованию непременно входят разделы, относящиеся к защите информации-

Следует отметить, что зарубежные публикации сыграли заметную роль в информировании и отечественных специалистов о существе проблемы и путях ее решения, особенно если учесть, что у нас до недавнего времени все работы по защите информации были закрытыми. Среди зарубежных работ последнего времени выделяется монография "Защита вычислительных машин и сетей. Стратегия 90-х годов". Иными словами, это не просто очередная публикация, а программно-перспективная разработка.

Знакомство с указанной книгой дает достаточные основания для ряда важных выводов, а именно: во-первых, зарубежные специалисты относят проблему защиты информации в вычислительных системах и сетях к числу наиболее актуальных проблем развития и эффективного использования вычислительной техники, во-вторых, зарубежные специалисты относят проблему защиты к числу комплексных и многоаспектных проблем; в-третьих, зарубежные специалисты не удовлетворены нынешним состоянием решения рассматриваемой проблемы, причем наиболее важными направлениями работ на 90-е годы признаются работы системно-организующего плана.

Если говорить об отечественных публикациях в области защиты информации, то начало им было положено серией статей в журнале "Зарубежная радиоэлектроника" за 1975-1976 гт. Статьи носили обзорный характер (по данным зарубежной печати), были объединены тематически и давали общее представление о всей совокупности проблем защиты информации и о подходах к их решению. Они вызвали большой резонанс в среде специалистов и сыграли роль детонатора, инициировав существенное повышение интереса к проблеме, ее исследованиям и разработкам. Появились публикации монографического характера и специализированные журналы.

^ Выработка единообразия в терминологии по проблемам защиты.

При решении любой новой проблемы первостепенное значение имеет обеспечение терминологического единства, т.е. формирование возможно более полного перечня терминов, необходимых для отображения всех основных аспектов проблемы, их определение и интерпретация с тем, чтобы обеспечивалось однозначное понимание каждого из терминов. О сложности и трудоемкости этой проблемы говорит хотя бы тот факт, что у нас в стране данная работа до настоящего времени в полном объеме не выполнена. Необходимо обратить внимание читателей на словарь терминов, подготовленный и изданный в США еще в 1987 г.. В словаре объемом 428 с. содержится около 3000 терминов Несомненным достоинством словаря является также то, что наиболее важные термины не просто определены, а достаточно подробно истолкованы и иллюстрированы схемами и рисунками.

Наличие словаря терминов создает предпосылки для целенаправленного развития всех работ по защите информации, поэтому создание и широкое распространение подобного словаря в России является одной из основных организационных предпосылок реализации системы управления зашитой информации.

^ Развитие технико-математических основ, необходимых для решения вопросов организационно-правового обеспечения защиты информации. Как и следует из рис.1, центральной задачей создания технико-математической базы является разработка эффективных и надежных методов фиксации в памяти ЭВМ такого аналога подписи человека, который, с одной стороны, сравнительно легко мог бы быть реализован современными средствами вычислительной техники, а с другой - выполнял бы все основные функции собственноручной росписи. К настоящему времени практически всеми специалистами признано, что наиболее обнадеживающим путем решения данной задачи является использование специальных методов криптографического преобразования информации, которые чаще всего называют системами цифровой подписи.

Анализируя развитие указанных работ за рубежом, уместным будет отметить, что в ведущих странах, (и особенно в США) работы в области криптографии, предназначенной для всеобщего применения (т.е. не для специальных целей) и удовлетворения всеобщего интереса, ведутся давно и весьма интенсивно. Для подтверждения сказанного приведем хотя бы тот факт, что списки литературы, прилагаемые к журнальным статьям по этой проблеме, нередко содержат до 150 названий совершенно открытых источников. Российские читатели могут составить достаточно объективное представление о характере и уровне разработок по переводу на русский язык тематического выпуска трудов института инженеров по электротехнике и радиоэлектронике.

Из сказанного однозначно вытекает важность и необходимость всемерного развития работ по созданию технико-математических основ организационного обеспечения защиты информации, причем на сегодняшний день особенно для систем коммерческого применения.

^ Разработка и утверждение стандартов в области защиты информации. И за рубежом, и у нас в стране этому вопросу уделяется большее внимание Широко известен, например, национальный стандарт США криптографического закрытия информации DES. Причем здесь в качестве стандарта утвержден не только сам алгоритм шифрования, но также средства его реализации и способы использования. Вопросами стандартизации в области защиты данных занимается целый ряд различных организаций США и европейских стран, а для рассмотрения разработанных стандартов создан специальный подкомитет ТС/8С20 Международной организации по стандартизации.

У нас в стране государственные нормативные документы по направлению зашиты информации, обрабатываемой средствами вычислительной техники и связи, начали создаваться еще в 60-е годы, однако общегосударственный характер они приобрели с образованием Гостехкомиссии СССР в 1973 году.

К настоящему времени разработаны и введены в действие руководящие документы Гостехкомиссии по защите от несанкционированного доступа средств вычислительной техники и автоматизированных систем, описанный в четвертой главе стандарт на алгоритм криптографического преобразования, стандарт на цифровую подпись и хеш-функцию.

^ Создание законодательной основы, необходимой для обеспечения защиты информации. Абсолютная необходимость создания законодательной основы очевидна, поэтому в ведущих западных странах, а теперь и в России этому вопросу уделяется достаточно большое внимание.

Проблема законодательного регулирования процессов обработки информации начала впервые обсуждаться за рубежом в 60-е годы и, в частности, в США в связи с предложением создать общенациональный банк данных. В настоящее время на международном уровне сформировалась устойчивая система взглядов на информацию как на ценнейший ресурс жизнеобеспечения общества, правовое регулирование в сфере которого должно идти по следующим трем направлениям.

^ ЗАЩИТА ПРАВ ЛИЧНОСТИ НА ЧАСТНУЮ ЖИЗНЬ Этот аспект не является новым для мирового сообщества. Основные принципы установления пределов вмешательства в частную жизнь со стороны государства и других субъектов определены основополагающими нормами ООН, а именно Декларацией прав человека. К концу 70-х годов сформулированы два принципа, нашедших впоследствии отражение в национальных законодательствах по информатике ряда стран Запада:

Установление пределов вмешательства в частную жизнь с использованием компьютерных систем;

Введение административных механизмов зашиты граждан от такого вмешательства.

Примерами документов, относящихся к этому направлению являются резолюция Европарламента "О защите прав личности в связи с прогрсссом информатики" (1979 г.) и Конвенция ЕС "О защите лиц при автоматизированной обработке данных персонального характера" (1 980 г.).

^ ЗАЩИТА ГОСУДАРСТВЕННЫХ ИНТЕРЕСОВ. Проблема решается с помощью достаточно разработанных национальных законодательств, определяющих национальные приоритеты в этой области. Интеграция стран -членов ЕС потребовала координации усилий в данной области, в результате чего общие принципы засекречивания информации отражены в Конвенции ЕС по защите секретности.

^ ЗАЩИТА ПРЕДПРИНИМАТЕЛЬСКОЙ И ФИНАНСОВОЙ ДЕЯТЕЛЬНОСТИ. Данный аспект проблемы решается путем создания законодательного механизма, определяющего понятие "коммерческая тайна" и устанавливающего условия для осуществления добросовестной конкуренции, квалификации промышленного шпионажа как элемента недобросовестной конкуренции.

К этому же направлению можно отнести создание механизмов защиты авторских прав, в частности прав авторов программной продукции. Последний аспект отражен в директиве ЕС "О защите программ для ЭВМ и баз данных" (1990 г.).

Разработанные на международном уровне концептуальные основы и принципы защиты информации нашли отражение в национальных законодательствах ведущих стран Запада. Ниже приведены некоторые примеры действующих в них законодательных актов:

Великобритания - Биль о надзоре за данными (1969 г.). Закон о защите информации (1984 г.);

Франция - Закон об информатике, картотеках и свободах (1978 г.);

ФРГ - Закон о защите данных персонального характера от злоупотреблений при обработке данных (1977 г). Закон о защите информации (1978 г.);

США - Закон о тайне частной информации (1974 г.). Акт о злоупотреблениях в использовании ЭВМ (1986 г.), Закон о безопасности компьютерных систем (1987 г.);

Канада Закон о компьютерных и информационных преступлениях (1985 г.).

Наиболее развитое законодательство в этой сфере действует в США (свыше сотни различных законодательных актов). Законодательство США охватывает:

Определение и закрепление государственной политики в области информатизации,

Обеспечение развитого производства, технологий;

Борьбу с монополизмом и стимуляцию приоритетных направлений;

Организацию информационных систем;

Защиту прав потребителя, особенно прав граждан на информацию, защиту информации о гражданах;

Регулирование прав разработчиков программ для ЭВМ.

В большинстве стран в законодательствах установлена ответственность за нарушение порядка обработки и использования персональных данных; компьютерные преступления расцениваются как преступления, представляющие особую опасность для граждан, общества и государства, и влекут значительно более жесткие меры наказания, нежели аналогичные преступления, совершенные без применения компьютерной техники как преступления рассматриваются также действия, создающие угрозу нанесения ущерба, например, попытка проникновения в систему, внедрение программы-вируса и т.п.

Говоря об отечественном опыте правового обеспечения информатизации и защиты информации, мы должны отметить, что вопрос этот был впервые поставлен в нашей стране в 70-х годах в связи с развитием АСУ различных уровней. Однако, нормативная основа в ту пору не вышла за рамки ведомственных актов, нескольких постановлений правительства и аналогичных актов республиканского уровня. Поэтому законодательное регулирование процессов информатизации к: началу 90-х годов нельзя было назвать удовлетворительным. Необходимо было срочно создать правовую основу информатизации России, законодательно обеспечить эффективное использование информационного ресурса общества, урегулировать правоотношения на всех стадиях и этапах информатизации, защитить права личности в условиях информатизации сформировать механизм обеспечения информационной безопасности.

1991 г. может быть отмечен как начало активной законотворческой деятельности в этом направлении. Законодатели при этом справедливо сконцентрировали свое внимание на следующих наиболее острых для России проблемах:

Проблеме права на информацию;

Проблеме собственности на некоторые виды информации;

Проблеме признания информации объектом товарного характера.

На сегодняшний день в "Декларации прав и свобод человека и гражданина", принятой Постановлением Верховного Совета Российской Федерации 22 ноября 1991 года, и в Конституции Российской Федерации, принятой в 1993 году» закреплено общее право граждан на информацию. Ограничения этого права могут устанавливаться законом только в целях

Охраны личной, семейной, профессиональной, коммерческой и государственной тайны, а также нравственности. Перечень сведений, составляющих государственную тайну, устанавливается законом.

Принят базовый закон Российской Федерации "Об информации, информатизации и защите информации", а также специальные законы "О государственной тайне", "О правовой охране программ ЭВМ и баз данных", "О правовой охране топологий интегральных микросхем", «О международном информационном обмене». Вопросы правового обеспечения защиты информации нашли отражение и в законе Российской Федерации "О безопасности", принятом в марте 1992 года.

В Государственной Думе Российской Федерации продолжаются работу кал законодательством в области защиты перекальных дачных. Реальным шагом в направлении укрепления правовой основы предпринимательской деятельности явится законодательное закрепление в России института коммерческой тайны. Одной из целей Закона Российской Федерации "О коммерческой тайне", первое слушание которого в Государственной Думе уже состоялось, является создание со стороны государства необходимых гарантий защиты субъектов путем предоставления им права засекречивать ценную информацию в качестве коммерческой тайны для защиты ее владельца от промышленного шпионажа и недобросовестной конкуренции.

^ Основные подходы к разработке организационно-правового обеспечения Организационно-правовая основа зашиты информации в АС

В качестве центрального звена, реализующего содержание организационно-правовой основы (см. рис.1), выступает специально создаваемая в составе АС служба защиты (безопасности) информации. Организация таких служб предусмотрена как Законом "Об информации, информатизации и защите информации", так и Законом Российской Федерации "О безопасности", где в статье 27 записано:

"... для практической реализации требований и правил по защите информации поддержанию информационных систем в защищенном со стоянии, эксплуатации специальных программно-технических и обеспечению организационных мер защиты информационных систем, обрабатывающих информацию с ограниченным доступом в негосударственных структурах могут создаваться службы безопасности информации.... Предприятия, организации и учреждения, обрабатывающие информацию с ограниченным доступом, являющуюся собственностью государства, создают службы безопасности информации в обязательном порядке."

Исходя из приведенных задач службы зашиты информации, могут быть сформулированы ее основные функции:

Формирование требований к системе защиты в процессе создания АС;

Участие в проектировании системы защиты;

Участие в испытаниях и приемке системы защиты и составляющих ее элементов;

Планирование, организация и обеспечение функционирования системы защиты информации в процессе функционирования АС;

Распределение между пользователями необходимых реквизитов защиты: паролей, дополнительной идентифицирующей информации, ключей защиты и т.п.;

Организация генерирования и установки кодов-идентификаторов технических средств;

Организация и введение в память АС служебных массивов системы защиты;

Наблюдение за функционированием системы защиты и ее элементов;

Организация превентивных проверок надежности функционирования системы защиты;

Обучение пользователей и персонала АС правилам обработки защищаемой информации;

Контроль за соблюдением пользователями и персоналом АС правил обращения с защищаемой информацией в процессе ее автоматизированной обработки;

Принятие мер при попытках несанкционированного доступа к информации и при нарушениях правил функционирования системы защиты.

Второй по значимости проблемой создания организационно-правовой основы является комплектование системы руководящих и методических документов по защите информации. Здесь с практической точки зрения можно было бы руководствоваться следующим;

Все существующие в стране документы, регламентирующие правила обращения с информацией, имеющей ограничительный гриф, в полном объеме распространяются также и на информацию, циркулирующую в процессе функционирования АС;

С целью учета специфических особенностей накопления, хранения и обработки данных в АС разрабатываются и утверждаются специальные руководящие и методические материалы, которые должны иметь юридическую силу;

С целью интерпретации и детализации положений и требований указанных материалов применительно к конкретным условиям в каждой АС должны быть разработаны и в установленном порядке утверждены

Инструкции пользователям, операторам АС, дежурным сменам администрации банка данных, службе защиты, а также техническая документация системы защиты.

При решении вопроса об ответственности за нарушение правил защиты прежде всего следует установить, привело ли оно к утечке защищаемых данных. В этом случае виновные несут ответственность в соответствии с существующими законами. За нарушение правил защиты, не повлекших за собою утечку данных, устанавливаются административные меры ответственности, предусмотренные трудовым законодательством.

Разрешение спорных и конфликтных ситуаций, связанных с вопросами распределения и использования реквизитов системы защиты {паролей, ключей и т.п.), должно входить в компетенции: службы защиты информации, а ситуаций, связанных с интерпретацией документов по защите, - в компетенцию органов и лиц, утвердивших соответствующие документы.

^ Технико-математические аспекты. Проведенные исследования показывают, что все проблемы, связанные с решением рассматриваемых задач фиксации различных фактов взаимодействия с защищаемой информацией (как санкционированного, так и несанкционированного), могут быть разделены на две группы - общие и специфические. При этом под общими понимаются такие проблемы, решение которых может быть осуществлено общими средствами разграничения доступа. К специфическим же относятся проблемы фиксации подписи под документом, представленным в АС в электронном виде. Такая подпись получила название электронной или цифровой.

Углубленные исследования данной проблемы как у нас в стране, так и за рубежом показывают, что наиболее перспективным способом реализации электронной (цифровой) подписи является использование криптографических методов преобразования данных. Область применения цифровой подписи чрезвычайно широка - от проведения финансовых и банковских безбумажных операций до контроля за выполнением международных договоров и охраны авторских прав.

Особо важное значение имеет проблема подписи при передаче сообщений по телекоммуникационным сетям. При этом потенциально возможными являются следующие злонамеренные действия: отказ, когда абонент-отправитель по прошествии времени отказывается от переданного сообщения; фальсификация, когда абонент-получатель подделывает сообщение; изменение когда абонент-получатель вносит изменения в сообщение; маскировка, когда абонент-отправитель маскируется под другого абонента. В этих условиях обеспечение защиты каждой из сторон, участвующих в обмене, осуществляется с помощью ведения специальных протоколов. Для верификации сообщения протокол должен содержать следующие обязательные положения:

Отправитель вносит в передаваемое сообщение свою цифровую подпись, представляющую собой дополнительную информацию, зависящую от передаваемых данных, имени получателя сообщения и некоторой закрытой информации, которой обладает только отправитель;

Получатель должен иметь возможность удостовериться, что полученная в составе сообщения подпись есть правильная подпись отправителя;

Получение правильной подписи отправителя возможно только при использовании закрытой информации, которой обладает отправитель;

Для исключения возможности повторного использования устаревших сообщений подпись должна зависеть от времени.

^ Юридические аспекты. Правовое обеспечение защиты информации охватывает отношения, возникающие при формировании и использовании информационных ресурсов на основе создания, сбора, обработки, накопления, хранения, поиска, распространения и предоставления потребителю документированной информации, при создании и использовании информационных технологий и средств их обеспечения, при защите прав субъектов, участвующих в информационных процессах и информатизации. Основой построения концепции правового обеспечения является подразделение всех информационных ресурсов на категории открытого и ограниченного доступа, причем информация ограниченного доступа по условиям ее правового режима в свою очередь подразделяется на отнесенную к государственной тайне и конфиденциальную.

В системе правового обеспечения безопасности информации вид-нос место занимает правоохранительное законодательство, включающее нормы об ответственности за нарушения в области информатизации и логически завершающее комплекс организационно-правовых и технических мер и средств зашиты информации и систем ее обработки. Оно должно быть направлено не только и не столько на наказание за преступные посягательства на информацию и информационные системы скот ко на их предупреждение.

В целях комплексного подхода к формированию законодательства по проблемам информации и информатизации в России в апреле 1992 г. была утверждена "Программа подготовки законодательного и нормативного обеспечения работ в области информатизации". В соответствии с этой Программой была намечена разработка базового Закона Российской Федерации "Об информации, информатизации и защите информации", а также специальных законов "О государственной тайне", "О коммерческой тайне", "Об ответственности за злоупотребления при работе с информацией" и др.

Базовый Закон "Об информации, информатизации и защите информации" занимает центральное место во всей системе правового обеспечения безопасности информации. Закон впервые в законодательной практике Росс ни.

Определяет обязанности государства в сфере формирования информационных ресурсов и информатизации, основные направления государственной политики в этой сфере;

Закрепляет права граждан, организаций, государства на информацию;

Устанавливает правовой режим информационных ресурсов на основе применения в этой области порядка документирования, права собственности на документы и массивы документов к информационных системах, деления информации по признаку доступа на открытую и с ограниченным доступом порядка правовой зашиты информации;

Развивает правовой режим признания за документами, полученными из автоматизированной информационной системы, юридической силы, в том числе на основе подтверждения электронной цифровой подписью;

Определяет информационные ресурсы как элемент состава имущества и объект права собственности;

Устанавливает основные права и обязанности государства, организаций, граждан в процессе создания информационных систем, создания и развития научно технической. производственной базы информатизации, формирования рынка информационной продукции, услуг в этой сфере;

Разграничивает права собственности и права авторства на информационные системы, технологии и средства их обеспечения;

Устанавливает правила и общие требования ответственности за нарушение норм законодательства в области информатизации и защиты информации в системах ее обработки гарантии субъектов в процессе реализации права на информацию, гарантии безопасности в области информатизации.

В Законе предусмотрена специальная глава, посвященная защите информации. В этой главе устанавливается, что защите подлежит вся документированная информация, обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю или иному лицу. Режим защиты устанавливается:

в отношении сведений, отнесенных к государственной тайне, уполномоченными органами на основании Закона Российской Федерации "О государственной тайне";

в отношении конфиденциальной документированной информации собственником информационных ресурсов или уполномоченным лицом на основании настоящего закона;

в отношении персональных данных - отдельным федеральным законом.

На официальном уровне государственная система защиты информации в России была сформирована в 1973 г. в рамках действия государственной ко­миссии СССР по противодействию иностранным техническим разведкам. На­чиная с 1992 г., проблемы информационной безопасности в новых экономиче­ских и правовых условиях вышли из круга оборонной тематики и обусловили тем самым создание в общегосударственном масштабе более совершенной сис­темы информационной безопасности. Создание такой системы, прежде всего, потребовало разработать необходимую нормативно-правовую базу: Концепцию национальной безопасности Российской Федерации, Доктрину информацион­ной безопасности Российской Федерации и ряд других документов.

^ Стратегия национальной безопасности Российской Федерации

Указом Президента от 12 мая 2009 г. № 537 утверждена Стратегия нацио­нальной безопасности Российской Федерации (Стратегия) до 2020 года.

В связи с этим признана утратившей силу прежняя Концепция нацио­нальной безопасности Российской Федерации, утвержденная в декабре 1997 г. и модифицированная в январе 2000 г.

Стратегия национальной безопасности - это система взглядов на обеспе­чение в Российской Федерации безопасности личности, общества и государства от внешних и внутренних угроз в экономической, политической, социальной, международной, духовной, информационной, военной, оборонно-промышленной, экологической сферах, а также в сфере науки и образования.

Национальные интересы России в информационной сфере заключаются в соблюдении конституционных нрав и свобод граждан в области получения ин­формации и пользования ею, в развитии современных телекоммуникационных технологий, в защите государственных информационных ресурсов от несанк­ционированного доступа.

Состояние отечественной экономики, несовершенство системы организа­ции государственной власти и гражданского общества, социально-политическая поляризация общества и криминализация общественных отноше­ний, рост организованной преступности и увеличение масштабов терроризма, обострение межнациональных и осложнение международных отношений соз­дают широкий спектр внутренних и внешних угроз национальной безопасности нашей страны.

Угрозы национальной безопасности Российской Федерации в информа­ционной сфере проявляются в стремлении ряда стран к доминированию в ми­ровом пространстве, вытеснению с внешнего и внутреннего информационного рынка; в разработке рядом государств концепции информационных войн, пре­дусматривающей создание средств опасного воздействия на информационные сферы других стран мира; в нарушении нормального функционирования ин­формационных и телекоммуникационных систем, а также сохранности инфор­мационных ресурсов путем получения несанкционированного доступа к ним.

В ходе реализации настоящей Стратегии угрозы информационной безо­пасности предотвращаются за счет совершенствования безопасности функцио­нирования информационных и телекоммуникационных систем критически важных объектов инфраструктуры и объектов повышенной опасности в Рос­сийской Федерации, повышения уровня защищенности корпоративных и инди­видуальных информационных систем, создания единой системы информацион­но-телекоммуникационной поддержки нужд системы обеспечения националь­ной безопасности.

Важнейшими задачами в области обеспечения информационной безопас­ности Российской Федерации являются:

Реализация конституционных прав и свобод граждан Российской Феде­рации в сфере информационной деятельности;

Совершенствование и защита отечественной информационной инфра­структуры, интеграция России в мировое информационное пространство;

Противодействие угрозе развя

Организационно правовое обеспечение как компонент СЗИ, представляет собой организованные совокупности, организационно-технических мероприятий и организационно-правовых актов. Организационно-технические мероприятия, с одной стороны участвуют в непосредственном решении задач защиты, т.е. чисто организационными средствами или совместно с другими средствами защиты, а с другой стороны объединяет все средства в единые комплексы ЗИ. Организационно- правовые акты являются правовой основой, регламентирующей и регулирующей функционирование всех элементов СЗИ. В целом же организационно – правовое обеспечение служит для объединения всех компонентов в единую систему защиты.

Типизация и стандартизация систем защиты имеет важное значение, как с точки зрения надежности, так и с точки зрения экономичности защиты. Типизация – это разработка типовых конструкций или технологических процессов на основе общих для ряда изделий, технологических характеристик. Типизация рассматривается, как один из методов стандартизации. Стандартизация- это процесс установления и применения стандартов, которые в свою очередь определяются как образцы, эталоны, модели, принимаемые за исходные, для сопоставления с ними других объектов. Т.о. конечной целью типизации и стандартизации является разработка, утверждение и повсеместное применение стандартов. Первым шагом на пути к конечной цели должна быть максимальная типизация основных решений в соответствующей области. Анализ концепции ЗИ и анализ подходов к архитектурному построению СЗИ в частности показывает, что с целью создания наилучших предпосылок для оптимизации системы ЗИ целесообразно выделить 3 уровня типизации и стандартизации:

1.Высший уровень-это уровень системы ЗИ в целом.

2.Средний уровень- это уровень составных компонентов системы ЗИ.

3.Низший уровень- это уровень проектных решений по средствам и механизмам защиты.

С целью создания необходимых предпосылок для типизации и стандартизации (ТиС) прежде всего, необходимо осуществить системную классификацию СЗИ. При этом основными критерия классификации должны быть такие показатели, с помощью которых все необходимые системы ЗИ делились бы на такие элементы структуры, т.е. классы, группы, подклассы, каждый из которых был бы адекватен определенным потребностям по ЗИ, вся совокупность таких элементов охватывала бы все потенциальные возможные варианты, потребностей в защите. Изложим один из эмпирических подходов типизации СЗИ: В рамках данного подхода система защиты классифицируется по уровню защиты, который обеспечивает система и по активности реагирования СЗИ на несанкционированные действия (НСД).

Критерии:

1. По уровню обеспечиваемой защиты. Все СЗИ целесообразно разделить на следующие 4 категории. Во-первых, системы слабой защиты, они рассчитаны на такие АСОД, в которых обрабатывается информация, имеющая низкий уровень по конфиденциальности. Во-вторых, системы сильной защиты рассчитаны на АСОД, в которой обрабатывается информация, подлежащая защите от НСД, но объемы этой информации не очень велики, обрабатывается она эпизодически. В-третьих, системы очень сильной защиты рассчитаны на АСОД, в которых регулярно обрабатываются большие объемы конфиденциальной информации, которые подлежат защите. В-четвертых, системы особой защиты, они рассчитаны на АСОД, в которых регулярно обрабатывается информация повышенной секретности.

2. По активности реагирования на НСД. Пассивные, в них не предусматривается ни сигнализация о НЗД, ни воздействие системы на нарушителя. Полуактивные СЗИ, в них предусматривается сигнализация о НЗД, но не предусматривается воздействие системы на нарушителя. Активные СЗИ, в которых предусматривается, как сигнализация о НЗД, так и воздействие системы на нарушителя.

СЗИ каждой категории по уровню защиты могут относиться к разным типам активности реагирования, нецелесообразно строить активные СЗИ слабой защиты, но системы особой защиты обязательно должны быть активными. В классификационной структуре определяются следующие СЗИ.: НЦ- нецелесообразные, Д-Допустимые, НД-недопустимые Ц-Целесообразные.

Для формирования полного множества потенциально необходимых СЗИ, должен быть принят во внимание ещё один критерий, т.е. типа АСОД для которой предназначена СЗИ. В настоящее время выделяют следующие типы АСОД:

1.Персоональное ЭВМ, которое используется локально.

2.Группы ЭВМ, которые используются локально.

3.Вычислительная сеть предприятия, учреждения или организации.