Правовое регулирование программных продуктов и услуг

1) Правовое регулирование программных продуктов и услуг

Производство  услуг, информационных и программных  продуктов приводит в движение огромные финансовые потоки, создает массу  рабочих мест и способствует прогрессу  во всех областях деятельности, не вызывая  проблем в экологии, энергетике и  других сферах. Компьютерная программа  фактически идеальна – можно считать, что в ней нет ничего материального, только одна ее стоимость.

          Информационные ресурсы представляют собой сосредоточенный в компактной форме накопленный потенциал фирмы и имеют соответствующую стоимость. Эти ценности обязательно кому-то принадлежат или, по крайней мере, должны принадлежать. В противном случае они будут использоваться произвольно или неправомерно, по существу расхищаться, как всякие другие ценности в подобных условиях. 
          Производство машинной информации имеет массовый характер, представляет собой настоящую индустрию и нуждается в серьезном правовом обеспечении. В связи с этим всем субъектам этого процесса необходимо иметь четко определенные права и обязательства по отношению как к самой информации, так и к другим субъектам и их правам. 
           В зарубежных странах уже достаточно давно возникла специальная область права – компьютерное право. Постепенно компьютерное право приобрело характер более широкой области – информационного права. Во всех передовых по этому профилю странах существуют правительственные программы развития норм права и определенная политика в сфере защиты национальных информационных ресурсов. 
           Законодательство Российской Федерации по вопросам информатики и информационных ресурсов также отражает постепенное формирование адекватной правовой базы регулирования отношений в сфере информатизации. Принят ряд указов, постановлений, законов, таких, как: 
- "Об информации, информатизации и защите информации"; 
- "Об авторском праве и смежных правах"; 
- "О правовой охране программ для ЭВМ и баз данных"; 
- "О правовой охране топологий интегральных схем". 
         Базовым юридическим документом, открывающим путь к принятию дополнительных нормативных законодательных актов, является закон "Об информации, информатизации и защите информации". В законе определены цели и основные направления государственной политики в сфере информатизации. Закон создает условия для включения России в международный информационный обмен, предотвращает бесхозяйственное отношение к информационным ресурсам и информатизации, обеспечивает информационную безопасность и права юридических и физических лиц на информацию. В нем определяются комплексное решение проблемы организации информационных ресурсов, правовые положения по их использованию и предлагается рассматривать информационные ресурсы в двух аспектах: 
- как материальный продукт, который можно покупать и продавать; 
- как интеллектуальный продукт, на который распространяется право интеллектуальной собственности, авторское право. Закон закладывает юридические основы гарантий прав граждан на информацию. Он направлен на урегулирование важнейшего вопроса экономической реформы – формы, права и механизма реализации собственности на накопленные информационные ресурсы и технологические достижения. Обеспечена защита собственности в сфере информационных систем и технологий, что способствует формированию цивилизованного рынка информационных ресурсов, услуг, систем, технологий, средств их обеспечения. Ценность информационного продукта для пользователей, а, следовательно, и его коммерческий успех зависят от того, насколько он сможет удовлетворить потребности пользователей. При этом получаемая информация воспринимается как первичные данные, которым еще только предстоит стать информацией, будучи воспринятой, в рамках информационных моделей пользователей (представлений пользователей об интересующей их предметной области). 
          Разумеется, производители коммерческих информационных продуктов стараются учесть в своих моделях также и модели пользователей. Тем не менее, информационные модели производителей и пользователей никогда не могут полностью совпасть, так как 
- пользователи часто не оформляют свои достаточно смутные представления о том, какая информация им нужна, в четкие информационные модели, что препятствует учету этих представлений в концепции продукта; 
- если даже эти модели каким-то образом и существуют, то, во-первых, производитель может о них не знать или неверно их воспринимать и, во-вторых, эти модели у разных пользователей могут не совпадать друг с другом, делая тем самым построение абстрактной информационной модели "пользователя вообще" трудноразрешимой, а нередко – и не имеющей практического смысла задачей. 
         Несовпадение информационных моделей производителей и пользователей проявляются главным образом в том, что пользователю нужны данные в другом объеме и в другой структуре по сравнению с тем, как это сделано в информационном продукте. При традиционных информационных технологиях такие несовпадения обычны. 
         Новые информационные технологии, в отличие от традиционных, предполагают предоставление пользователю не только информационного продукта, но и средств доступа к нему (средств поиска, обработки, представления и т.п.). Эти средства позволяют пользователю не только визуализировать содержание компьютерных файлов, в которых воплощен информационный продукт, но и получить информацию в объеме и формате, которые релевантны именно его потребностям. 
         В идеальном случае средства доступа должны обеспечить поиск и представление информации, соответствующей потребностям пользователя, где бы она не находилась. Подобная возможность традиционно связывается с понятием информационная услуга. 
         Появление информационных товаров и услуг расширило спрос на информационные продукты, так как способствовало индивидуализации предложения данных – его приближению к индивидуальным предпочтениям отдельных пользователей, а также сближению информационных моделей производителей и пользователей. Кроме того, пользователю не обязательно уже обладать целиком информационным продуктом, что при прочих равных условиях удешевляет реально полученную информацию.

 

2) Информационная безопасность

То, что  в 60-е годы называлось компьютерной безопасностью, а в 70-е - безопасностью  данных, сейчас более правильно именуется  информационной безопасностью. Информационная безопасность подчеркивает важность информации в современном обществе - понимание  того, что информация - это ценный ресурс, нечто большее, чем отдельные  элементы данных.

Информационной безопасностью  называют меры по защите информации от неавторизованного доступа, разрушения, модификации, раскрытия и задержек в доступе. Информационная безопасность включает в себя меры по защите процессов создания данных, их ввода, обработки и вывода. Целью информационной безопасности является обезопасить ценности системы, защитить и гарантировать точность и целостность информации, и минимизировать разрушения, которые могут иметь место, если информация будет модифицирована или разрушена. Информационная безопасность требует учета всех событий, в ходе которых информация создается, модифицируется, к ней обеспечивается доступ или она распространяется.

Информационная  безопасность дает гарантию того, что  достигаются следующие цели:

- конфиденциальность критической информации

- целостность информации и связанных с ней процессов ( создания, ввода, обработки и вывода)

- доступность информации, когда она нужна

- учет всех процессов, связанных с информацией

Некоторые технологии по защите системы и обеспечению  учета всех событий могут быть встроены в сам компьютер. Другие могут быть встроены в программы. Некоторые же выполняются людьми и являются реализацией указаний руководства, содержащихся в соответствующих  руководящих документах. Принятие решения  о выборе уровня сложности технологий для защите системы требует установления критичности информации и последующего определения адекватного уровня безопасности.

Что же такое критические данные? Под  критическими данными будем понимать данные, которые требуют защиты из-за вероятности нанесения(риска) ущерба и его величины в том случае, если произойдет случайное или умышленное раскрытие, изменение, или разрушение данных. Этот термин включает в себя данные, чье неправильное использование или раскрытие может отрицательно отразиться на способности организации решать свои задачи, персональные данные и другие данные, защита которых требуется указами Президента РФ, законами РФ и другими подзаконными документами.

3.Меры защиты информации.

1. Контролируйте доступ как к  информации в компьютере, так  и к прикладным программам. Вы  должны иметь гарантии того, что  только авторизованные пользователи  имеют доступ к информации  и приложениям.

Идентификация пользователей

 
Требуйте, чтобы пользователи выполняли  процедуры входа в компьютер, и используйте это как средство для идентификации в начале работы. Чтобы эффективно контролировать микрокомпьютер, может оказаться наиболее выгодным использовать его как однопользовательскую систему. Обычно у микрокомпьютера  нет процедур входа в систему, право использовать систему предоставляется  простым включением компьютера.

Аутентификация пользователей

 
Используйте уникальные пароли для  каждого пользователя, которые не являются комбинациями личных данных пользователей, для аутентификации личности пользователя. Внедрите меры защиты при администрировании паролей, и ознакомьте пользователей с  наиболее общими ошибками, позволяющими совершиться компьютерному преступлению..

Другие меры защиты:

Пароли - только один из типов идентификации - что-то, что знает только пользователь. Двумя другими типами идентификации, которые тоже эффективны, являютсячто-то, чем владеет пользователь( например, магнитная карта), или уникальные характеристики пользователя(его голос).

Если  в компьютере имеется встроенный стандартный пароль( пароль, который встроен в программы и позволяет обойти меры по управлению доступом), обязательно измените его.

Сделайте  так, чтобы программы в компьютере после входа пользователя в систему  сообщали ему время его последнего сеанса и число неудачных попыток  установления сеанса после этого. Это  позволит сделать пользователя составной  частью системы проверки журналов.

Защищайте ваш пароль

не  делитесь своим паролем ни с кем

выбирайте пароль трудно угадываемым

попробуйте  использовать строчные и прописные  буквы, цифры, или выберите знаменитое изречение и возьмите оттуда каждую четвертую букву. А еще лучше  позвольте компьютеру самому сгенерировать  ваш пароль.

не используйте пароль, который является вашим адресом, псевдонимом, именем жены, телефонным номером или чем-либо очевидным.

используйте длинные пароли, так как они более безопасны, лучше всего от 6 до 8 символов

обеспечьте  неотображаемость пароля на экране компьютера при его вводе

обеспечьте  отсутствие паролей в распечатках

не  записывайте пароли на столе, стене  или терминале. Держите его в  памяти

Серьезно относитесь к администрированию паролей

периодически  меняйте пароли и делайте это  не по графику

шифруйте  или делайте что-нибудь еще с  файлами паролей, хранящимися в  компьютере, для защиты их от неавторизованного  доступа.

назначайте  на должность администратора паролей  только самого надежного человека

не  используйте один и тот же пароль для всех сотрудников в группе

меняйте пароли, когда человек увольняется

заставляйте людей расписываться за получение  паролей

установите  и внедрите правила работы с паролями и обеспечьте, чтобы все знали  их

Процедуры авторизации

Разработайте  процедуры авторизации, которые  определяют, кто из пользователей  должен иметь доступ к той или  иной информации и приложениям - и  используйте соответствующие меры по внедрению этих процедур в организации.

Установите  порядок в организации, при котором  для использования компьютерных ресурсов, получения разрешения доступа  к информации и приложениям, и  получения пароля требуется разрешение тех или иных начальников.

Защита файлов

Помимо  идентификации пользователей и  процедур авторизации разработайте процедуры по ограничению доступа  к файлам с данными:

используйте внешние и внутренние метки файлов для указания типа информации, который  они содержат, и требуемого уровня безопасности

ограничьте  доступ в помещения, в которых  хранятся файлы данных, такие как  архивы и библиотеки данных

используйте организационные меры и программно-аппаратные средства для ограничения доступа  к файлам только авторизованных пользователей

Предосторожности  при работе

отключайте  неиспользуемые терминалы

закрывайте  комнаты, где находятся терминалы

разворачивайте  экраны компьютеров так, чтобы они  не были видны со стороны двери, окон и тех мест в помещениях, которые  не контролируются

установите  специальное оборудование, такое  как устройства, ограничивающие число  неудачных попыток доступа, или  делающие обратный звонок для проверки личности пользователей, использующих телефоны для доступа к компьютеру

программируйте  терминал отключаться после определенного  периода неиспользования

если  это возможно, выключайте систему  в нерабочие часы

2. Защищайте целостность информации. Вводимая информация должна быть  авторизована, полна, точна и должна  подвергаться проверкам на ошибки.

Целостность информации

Проверяйте  точность информации с помощью процедур сравнения результатов обработки  с предполагаемыми результатами обработки. Например, можно сравнивать суммы или проверять последовательные номера.

Проверяйте  точность вводимых данных, требуя от служащих выполнять проверки на корректность, такие как:

проверки  на нахождение символов в допустимом диапазоне символов(числовом или буквенном)

проверки  на нахождение числовых данных в допустимом диапазоне чисел

проверки  на корректность связей с другими  данными, сравнивающими входные  данные с данными в других файлах

проверки  на разумность, сравнивающие входные  данные с ожидаемыми стандартными значениями

ограничения на транзакции, сравнивающие входные  данные с административно установленными ограничениями на конкретные транзакции

Трассируйте транзакции в системе

Делайте перекрестные проверки содержимого  файлов с помощью сопоставления  числа записей или контроля суммы  значений поля записи.

3. Защищайте системные программы.  Если ПО используется совместно, защищайте его от скрытой модификации при помощи политики безопасности, мер защиты при его разработке и контроле за ним в его жизненном цикле, а также обучения пользователей в области безопасности.

Меры  защиты при разработке программ и  соответствующие политики должны включать процедуры внесения изменений в  программу, ее приемки и тестирования до ввода в эксплуатацию. Политики должны требовать разрешения ответственного лица из руководства для внесения изменений в программы, ограничения  списка лиц, кому разрешено вносить  изменения и явно описывать обязанности  сотрудников по ведению документации.

Должен  быть разработан и поддерживаться каталог  прикладных программ.

Должны  быть внедрены меры защиты по предотвращению получения, изменения или добавления программ неавторизованными людьми через удаленные терминалы.

4. Сделайте меры защиты более  адекватными с помощью привлечения  организаций, занимающихся тестированием  информационной безопасности, при  разработке мер защиты в прикладных  программах и консультируйтесь  с ними при определении необходимости  тестов и проверок при обработке  критических данных. Контрольные  журналы, встроенные в компьютерные  программы, могут предотвратить  или выявить компьютерное мошенничество  и злоупотребление.