Правовые аспекты защиты информации наиболее тесно связаны с вопросами организации работ и процедурами технологического процесса обработки информации.
Зарубежные исследования показывают, что несмотря на успехи отдельных хакеров в проникновении в компьютерные системы и сети, большую опасность представляют законные пользователи этих систем и сетей, которые повинны в 80 % правонарушений.
Учитывая то обстоятельство, что терминалами автоматизированных систем (АС), узлами сетей и даже отдельными ПЭВМ в нашей действительности пользуется большое количество официально допущенных к работе пользователей, задача поиска правонарушителя серьезно затрудняется.
Хотя в состав программного обеспечения АС, не говоря уже о современных системах защиты информации от несанкционированного доступа (НСД), входят средства контроля и протоколирования действий пользователя и посторонних лиц, доказать вину конкретного субъекта, предъявляя ему в качестве улики его идентификатор или пароль, достаточно сложно по двум причинам:
1) юридически очень сложно доказать, что эти атрибуты сохраняются в надлежащей тайне, к тому же пароли часто бывают групповыми;
2) такие улики и способ их нахождения не зафиксированы законодательно.
Указанными причинами и объясняется рост компьютерной преступности как со стороны хакеров, так и законных пользователей АС. Положение с организацией противодействия компьютерной преступности в настоящее время очень сложное, что обусловлено рядом причин:
– отсутствие опыта применения законодательства, предусматривающего административную, гражданскую, материальную и уголовную ответственность за компьютерные правонарушения;
– отсутствием должной координации деятельности по борьбе с компьютерной преступностью правоохранительных органов, специальных служб, органов суда и прокуратуры;
– отсутствием в системе правоохранительных органов, органах суда и прокуратуры специально подготовленного состава, способного осуществлять выявление, предупреждение и пресечение компьютерных преступлений;
– отсутствием учета правонарушений, совершаемых с использованием средств информатизации;
– отсутствием необходимого технического и методического инструментария и опыта выявления и пресечения данного рода правонарушений;
– низким уровнем информационной и правовой культуры общества.
Любой закон будет действовать только при наличии механизма его реализации в виде организационных структур, обеспечивающих выполнение положений этого закона на всех уровнях управления.
Иерархическая структура управления деятельностью по обеспечению безопасности информации предусмотрена в Законе "Об информации, информатизации и защите информации" для координации, организационно-методического руководства деятельностью в этой области, контроля защищенности информации, осуществления других связанных с этим функций.
3.2. Административное регулирование вопросов защиты информации
Административное регулирование и практическая деятельность в области защиты информации в нашей стране была связана, в основном, с защитой государственных секретов в традиционной сфере обращения документов и в меньшей степени их защите при автоматизированной обработке.
В результате к концу 80-х годов сложилась ситуация, когда на государственном уровне отсутствовали утвержденные нормативно-технические требования по защите информации от НСД.
Единственным официальным документом, в очень общем виде определявшим требования в этой области, была инструкция по секретному делопроизводству, в ряде разделов которой содержались некоторые рекомендации по вопросам организации автоматизированной обработки информации. Это не означало, что в стране не занимались вопросами защиты от НСД, но организована эта работа была и координировалась на отраслевом уровне.
