Файл: 9_ua_1_.doc

Скачать файл
Заказать решение

ВУЗ: Не указан

Категория: Не указан

Дисциплина: Не указана

Добавлен: 03.05.2024

Просмотров: 23

Скачиваний: 0

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

СОДЕРЖАНИЕ

Інформаційна безпека Законодавчий рівень інформаційної безпеки План

1 Огляд російського законодавства в області інформаційної безпеки

1.1 Правові акти загального призначення, що піднімають питання інформаційної безпеки

1.2 Закон "Про інформацію, інформатизацію і захист інформації"

1.3 Інші закони і нормативні акти

2 Огляд зарубіжного законодавства в області інформаційної безпеки

3 Про поточний стан російського законодавства в області інформаційної безпеки

Список літератури

Тут важко утриматися від риторичного питання: а чи є в Росії інформаційні системи без імпортної продукції? Виходить, що на захисті інтересів споживачів стоїть в даному випадку тільки митниця...

І ще декілька пунктів, тепер із статті 22:

2. Власник документів, масиву документів, інформаційних систем забезпечує рівень захисту інформації відповідно до законодавства Російської Федерації.

3. Ризик, зв’язаний з використанням несертифікованих інформаційних систем і засобів їх забезпечення, лежить на власнику (власнику) цих систем і засобів. Ризик, зв’язаний з використанням інформації, одержаної з несертифікованої системи, лежить на споживачі інформації.

4. Власник документів, масиву документів, інформаційних систем може звертатися в організації, що здійснюють сертифікацію засобів захисту інформаційних систем і інформаційних ресурсів, для проведення аналізу достатності заходів захисту його ресурсів і систем і отримання консультацій.

5. Власник документів, масиву документів, інформаційних систем зобов’язаний оповіщати власника інформаційних ресурсів і (або) інформаційних систем про всі факти порушення режиму захисту інформації.

З пункту 5 виходить, що повинні виявлятися всі (успішні) атаки на ІС. Пригадаємо в зв’язку з цим один з результатів опиту (див. лекцію 1): біля третини респондентів-американців не знали, чи були зламані їх ІС за останні 12 місяців. За нашим законодавством їх можна б було притягати до відповідальності...

Далі, стаття 23 "Захист прав суб’єктів у сфері інформаційних процесів і інформатизації" містить наступний пункт:

2. Захист прав суб’єктів у вказаній сфері здійснюється судом, арбітражним судом, третейським судом з урахуванням специфіки правопорушень і завданого збитку. Дуже важливими є пункти статті 5, що стосуються юридичної сили електронного документа і електронного цифрового підпису:

3. Юридична сила документа, береженого, оброблюваного і передаваного за допомогою автоматизованих інформаційних і телекомунікаційних систем, може підтверджуватися електронним цифровим підписом. Юридична сила електронного цифрового підпису признається за наявності в автоматизованій інформаційній системі програмно-технічних засобів, що забезпечують ідентифікацію підпису, і дотриманні встановленого режиму їх використовування.

4. Право засвідчувати ідентичність електронного цифрового підпису здійснюється на підставі ліцензії. Порядок видачі ліцензій визначається законодавством Російської Федерації.

Таким чином, Закон пропонує дієвий засіб контролю цілісності і рішення проблеми "неотказуемости" (неможливості відмовитися від власного підпису).

Такі найважливіші, на наш погляд, положення Закону "Про інформацію, інформатизацію і захист інформації". На наступній сторінці будуть розглянуті інші закони РФ в області інформаційної безпеки.

1.3 Інші закони і нормативні акти

Слідуючи логіці Закону "Про інформацію, інформатизацію і захист інформації", ми продовжимо наш огляд Законом "Про ліцензування окремих видів діяльності" від 8 серпня 2001 року номер 128-ФЗ (Прийнятий Державною Думою 13 липня 2001 року). Почнемо з основних визначень.

Ліцензія - спеціальний дозвіл на здійснення конкретного виду діяльності при обов’язковому дотриманні ліцензійних вимог і умов, видане ліцензіюючим органом юридичній особі або індивідуальному підприємцю.

Ліцензійований вигляд деятельностиЛицензируемый вид діяльності - вид діяльності, на здійснення якого на території Російської Федерації потрібне отримання ліцензії відповідно до справжнього Федерального закону.

ЛіцензірованієЛіцензірованіє - заходи, пов’язані з наданням ліцензій, переоформленням документів, підтверджуючих наявність ліцензій, припиненням і відновленням дії ліцензій, анулюванням ліцензій і контролем ліцензіюючих органів за дотриманням ліцензіатами при здійсненні ліцензійованих видів діяльності відповідних ліцензійних вимог і умов.

Ліцензіюючі органи - федеральні органи виконавської влади, органи виконавської влади суб’єктів Російської Федерації, що здійснюють ліцензування відповідно до справжнього Федерального закону.Ліцензіюючі органи - федеральні органи виконавської влади, органи виконавської влади суб’єктів Російської Федерації, що здійснюють ліцензування відповідно до справжнього Федерального закону.

Ліцензіат - юридична особа або індивідуальний підприємець, що має ліцензію на здійснення конкретного виду діяльності."Лицензиат - юридична особа або індивідуальний підприємець, що має ліцензію на здійснення конкретного виду діяльності."

Стаття 17 Закону встановлює перелік видів діяльності, на здійснення яких потрібні ліцензії. Нас цікавитимуть наступні види:

  • розповсюдження шифрувальних (криптографічних) засобів;

  • технічне обслуговування шифрувальних (криптографічних) засобів;

  • надання послуг в області шифрування інформації;

  • розробка і виробництво шифрувальних (криптографічних) засобів, захищених з використанням шифрувальних (криптографічних) засобів інформаційних систем, телекомунікаційних систем;

  • видача сертифікатів ключів електронних цифрових підписів, реєстрація власників електронних цифрових підписів, надання послуг, зв’язаних з використанням електронних цифрових підписів і підтвердженням автентичності електронних цифрових підписів;

  • виявлення електронних пристроїв, призначених для негласного отримання інформації, в приміщеннях і технічних засобах (за винятком випадку, якщо вказана діяльність здійснюється для забезпечення власних потреб юридичної особи або індивідуального підприємця);

  • розробка і (або) виробництво засобів захисту конфіденційної інформації;

  • технічний захист конфіденційної інформації;

  • розробка, виробництво, реалізація і придбання в цілях продажу спеціальних технічних засобів, призначених для негласного отримання інформації, індивідуальними підприємцями і юридичними особами, що здійснюють підприємницьку діяльність.

Необхідно враховувати, що, згідно статті 1, дія даного Закону не розповсюджується на наступні види діяльності:

  • діяльність, пов’язана із захистом державної таємниці;

  • діяльність в області зв’язку;

  • освітня діяльність.

Підкреслимо в зв’язку з цим, що даний Закон не перешкоджає організації Інтернет-університетом учбових курсів по інформаційній безпеці (не вимагає отримання спеціальної ліцензії; раніше подібна ліцензія була необхідна). У свою чергу, Федеральний Закон "Про освіту" не містить яких-небудь спеціальних положень, що стосуються освітньої діяльності в області ІБ.

Основними ліцензіюючими органами в області захисту інформації є Федеральне агентство урядового зв’язку і інформації (ФАПСИ) і Гостехкоміссия Росії. ФАПСИ відає всім, що пов’язане з криптографією, Гостехкоміссия ліцензіює діяльність по захисту конфіденційної інформації. Ці ж організації очолюють роботи по сертифікації засобів відповідної спрямованості. Крім того, ввезення і вивіз засобів криптографічного захисту інформації (шифрувальної техніки) і нормативно-технічної документації до неї може здійснюватися виключно на підставі ліцензії Міністерства зовнішніх економічних зв’язків Російської Федерації, видаваної на підставі рішення ФАПСИ. Всі ці питання регламентовані відповідними указами Президента і ухвалами Уряду РФ, які ми тут перераховувати не будемо.

В епоху глобальних комунікацій важливу роль грає Закон "Про участь в міжнародному інформаційному обміні" від 4 липня 1996 року номер 85-ФЗ (прийнятий Державною Думою 5 червня 1996 року). В ньому, як і в Законі "Про інформацію...", основним захисним засобом є ліцензії і сертифікати. Процитуємо декілька пунктів із статті 9.

2. Захист конфіденційної інформації державою розповсюджується тільки на ту діяльність по міжнародному інформаційному обміну, яку здійснюють фізичні і юридичні особи, що володіють ліцензією на роботу з конфіденційною інформацією і використовуючі сертифіковані засоби міжнародного інформаційного обміну. Видача сертифікатів і ліцензій покладається на Комітет при Президенті Російської Федерації по політиці інформатизації, Державну технічну комісію при Президенті Російської Федерації, Федеральне агентство урядового зв’язку і інформації при Президенті Російської Федерації. Порядок видачі сертифікатів і ліцензій встановлюється Урядом Російської Федерації.

3. При виявленні нештатних режимів функціонування засобів міжнародного інформаційного обміну, тобто виникнення помилкових команд, а також команд, викликаних несанкціонованими діями обслуговуючого персоналу або інших осіб, або помилковою інформацією власник або власник цих засобів повинен своєчасно повідомити про це до органів контролю за здійсненням міжнародного інформаційного обміну і власнику або власнику взаємодіючих засобів міжнародного інформаційного обміну, інакше він несе відповідальність за заподіяний збиток.

При бажанні тут можна угледіти обов’язковість виявлення порушника інформаційної безпеки - положення, поза всяких сумнівів, дуже важливе і прогресивне.

Ще одна цитата - тепер із статті 17 того ж Закону.

Стаття 17: "сертифікація інформаційних продуктів, інформаційних послуг, засобів міжнародного інформаційного обміну.

  1. При ввезенні інформаційних продуктів, інформаційних послуг в Російську Федерацію імпортер представляє сертифікат, що гарантує відповідність даних продуктів і послуг вимогам договору. У разі неможливості сертифікації ввозяться на територію Російської Федерації інформаційних продуктів, інформаційних послуг відповідальність за використовування даних продуктів і послуг лежить на імпортері.

  2. Засоби міжнародного інформаційного обміну, які обробляють документовану інформацію з обмеженим доступом, а також засоби захисту цих засобів підлягають обов’язковій сертифікації.

  3. Сертифікація мереж зв’язку проводиться в порядку, визначуваному Федеральним законом "Про зв’язок"."

Читаючи пункт 2, важко утриматися від питання: "а чи потрібно сертифікувати засоби захисту засобів захисту цих засобів?" Відповідь, звичайно, позитивна...

10 січня 2002 року Президентом був підписаний дуже важливий закон "Про електронний цифровий підпис" номер 1-ФЗ (прийнятий Державною Думою 13 грудня 2001 року), що розвиває і конкретизуючий приведені вище положення закону "Про інформацію...". Його роль пояснюється в статті 1.

  1. Метою справжнього Федерального закону є забезпечення правових умов використовування електронного цифрового підпису в електронних документах, при дотриманні яких електронний цифровий підпис в електронному документі признається рівнозначному власноручному підпису в документі на паперовому носії.

  2. Дія справжнього Федерального закону розповсюджується на відносини, що виникають при здійсненні цивільно-правових операцій і в інших передбачених законодавством Російської Федерації випадках. Дія справжнього Федерального закону не розповсюджується на відносини, що виникають при використовуванні інших аналогів власноручного підпису.

Смотрите также файлы