ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 03.05.2024
Просмотров: 25
Скачиваний: 0
СОДЕРЖАНИЕ
Інформаційна безпека Законодавчий рівень інформаційної безпеки План
1 Огляд російського законодавства в області інформаційної безпеки
1.1 Правові акти загального призначення, що піднімають питання інформаційної безпеки
1.2 Закон "Про інформацію, інформатизацію і захист інформації"
1.3 Інші закони і нормативні акти
2 Огляд зарубіжного законодавства в області інформаційної безпеки
3 Про поточний стан російського законодавства в області інформаційної безпеки
Закон вводить наступні основні поняття:
Електронний документ - документ, в якому інформація представлена в електронно-цифровій формі.
Електронний цифровий підпис - реквізит електронного документа, призначений для захисту даного електронного документа від підробки, одержаний в результаті криптографічного перетворення інформації з використанням закритого ключа електронного цифрового підпису і дозволяючий ідентифікувати власника сертифікату ключа підпису, а також встановити відсутність спотворення інформації в електронному документі.
Власник сертифікату ключа підпису Власник сертифікату ключа підпису - фізична особа, на ім’я якої засвідчуючим центром виданий сертифікат ключа підпису і яка володіє відповідним закритим ключем електронного цифрового підпису, що дозволяє за допомогою засобів електронного цифрового підпису створювати свій електронний цифровий підпис в електронних документах (підписувати електронні документи).
Засоби електронного цифрового підпису - апаратні і (або) програмні засоби, що забезпечують реалізацію хоча б однієї з наступних функцій: створення електронного цифрового підпису в електронному документі з використанням закритого ключа електронного цифрового підпису, підтвердження з використанням відкритого ключа електронного цифрового підпису автентичності електронного цифрового підпису в електронному документі, створення закритих і відкритих ключів електронних цифрових підписів.
Сертифікат засобів електронного цифрового підпису - документ на паперовому носії, виданий відповідно до правил системи сертифікації для підтвердження відповідності засобів електронного цифрового підпису встановленим вимогам.
Закритий ключ електронного цифрового підпису - унікальна послідовність символів, відома власнику сертифікату ключа підпису і призначена для створення в електронних документах електронного цифрового підпису з використанням засобів електронного цифрового підпису.
Відкритий ключ електронного цифрового підпису - унікальна послідовність символів, відповідна закритому ключу електронного цифрового підпису, доступна будь-якому користувачу інформаційної системи і призначена для підтвердження з використанням засобів електронного цифрового підпису автентичності електронного цифрового підпису в електронному документі.
Сертифікат ключа підпису - документ на паперовому носії або електронний документ з електронним цифровим підписом уповноваженого обличчя засвідчуючого центру, які включають відкритий ключ електронного цифрового підпису і видаються засвідчуючим центром учаснику інформаційної системи для підтвердження автентичності електронного цифрового підпису і ідентифікації власника сертифікату ключа підпису.
Підтвердження автентичності електронного цифрового підпису в електронному документі - позитивний результат перевірки відповідним сертифікованим засобом електронного цифрового підпису з використанням сертифікату ключа підпису приналежності електронного цифрового підпису в електронному документі власнику сертифікату ключа підпису і відсутності спотворень в підписаному даним електронним цифровим підписом електронному документі.
Користувач сертифікату ключа підпису - фізична особа, що використовує одержані в засвідчуючому центрі відомості про сертифікат ключа підпису для перевірки приналежності електронного цифрового підпису власнику сертифікату ключа підпису.
Інформаційна система загального користування - інформаційна система, яка відкрита для використовування всіма фізичними і юридичними особами і в послугах якої цим особам не може бути відмовлено.
Корпоративна інформаційна система – інформаційна система, учасниками якої може бути обмеженого коло, визначеного її власником або угодою учасників цієї інформаційної системи осіб.
Переказати такі визначення своїми словами неможливо... Звернемо увагу на неоднозначне використовування терміну "сертифікат", яке, втім, не повинне привести до плутанини. Крім того, дане тут визначення електронного документа слабке, ніж в Законі "Про інформацію...", оскільки немає згадки реквізитів.
Згідно Закону, електронний цифровий підпис в електронному документі рівнозначний власноручному підпису в документі на паперовому носії при одночасному дотриманні наступних умов:
-
сертифікат ключа підпису, що відноситься до цього електронного цифрового підпису, не втратив силу (діє) на момент перевірки або на момент підписання електронного документа за наявності доказів, що визначають момент підписання;
-
підтверджена автентичність електронного цифрового підпису в електронному документі;
-
електронний цифровий підпис використовується відповідно до відомостей, вказаних в сертифікаті ключа підпису.
Закон визначає відомості, які повинен містити сертифікат ключа підпису:
-
унікальний реєстраційний номер сертифікату ключа підпису, дати початку і закінчення терміну дії сертифікату ключа підпису, що знаходиться в реєстрі засвідчуючого центру;
-
прізвище, ім’я і по батькові власника сертифікату ключа підпису або псевдонім власника. У разі використовування псевдоніма запис про це вноситься засвідчуючим центром в сертифікат ключа підпису;
-
відкритий ключ електронного цифрового підпису;
-
найменування засобів електронного цифрового підпису, з якими використовується даний відкритий ключ електронного цифрового підпису;
-
найменування і місцезнаходження засвідчуючого центру, що видав сертифікат ключа підпису;
-
відомості про відносини, при здійсненні яких електронний документ з електронним цифровим підписом матиме юридичне значення.
Цікаво, чи багато Федеральних законів, що містять таку кількість технічної інформації і таких залежних від конкретної технології?
На цьому ми закінчуємо огляд законів РФ, що відносяться до інформаційної безпеки.
2 Огляд зарубіжного законодавства в області інформаційної безпеки
Звичайно, зайва амбітність заголовка очевидна. Зрозуміло, ми лише пунктиром обкреслимо деякі закони декількох країн (в першу чергу - США), оскільки тільки в США таких законодавчих актів близько 500.
Ключову роль грає американський "Закон про інформаційну безпеку" (Computer Security Act 1987, Public Law 100-235 (H.R. 145), January 8, 1988). Його мета - реалізація мінімально достатніх дій по забезпеченню безпеки інформації у федеральних комп’ютерних системах, без обмежень всього спектру можливих дій.
Характерний, що вже на початку Закону називається конкретний виконавець - Національний інститут стандартів і технологій (НІСТ), що відповідає за випуск стандартів і керівництва, направленого на захист від знищення і несанкціонованого доступу до інформації, а також від крадіжок і фальсифікацій, виконуваних за допомогою комп’ютерів. Таким чином, мається на увазі як регламентація дій фахівців, так і підвищення інформованості всього суспільства.
Згідно Закону, всі оператори федеральних ІС, що містять конфіденційну інформацію, повинні сформувати плани забезпечення ІБ. Обов’язковим є і періодичне навчання всього персоналу таких ІС. НІСТ, у свою чергу, зобов’язаний проводити дослідження природи і масштабу вразливих місць, виробляти економічно виправдані заходи захисту. Результати досліджень розраховані на вживання не тільки в державних системах, але і в приватному секторі.
Закон зобов’язав НІСТ координувати свою діяльність з іншими міністерствами і відомствами, включаючи Міністерство оборони, Міністерство енергетики, Агентство національної безпеки (АНБ) і т.д., щоб уникнути дублювання і несумісності.
Крім регламентації додаткових функцій НІСТ, Закон наказує створити при Міністерстві торгівлі комісію по інформаційній безпеці, яка повинна:
-
виявляти перспективні управлінські, технічні, адміністративні і фізичні заходи, сприяючі підвищенню ІБ;
-
видавати рекомендації Національному інституту стандартів і технологій, доводити їх до зведення всіх зацікавлених відомств.
З практичної точки зору важливий розділ 6 Закону, що зобов’язав всі урядові відомства сформувати план забезпечення інформаційної безпеки, направлений на те, щоб компенсувати ризики і запобігти можливому збитку від втрати, неправильного використовування, несанкціонованого доступу або модифікації інформації у федеральних системах. Копії плану прямують в НІСТ і АНБ.
В 1997 році з’явилося продовження описаного закону - законопроект "Про вдосконалення інформаційної безпеки" (Computer Security Enhancement Act 1997, H.R. 1903), направлений на посилення ролі Національного інституту стандартів і технологій і спрощення операцій з криптосредствами.
В законопроекті констатується, що приватний сектор готовий надати криптосредства для забезпечення конфіденційності і цілісності (у тому числі автентичності) даних, що розробка і використовування шифрувальних технологій повинні відбуватися на підставі вимог ринку, а не розпоряджень уряду. Крім того, тут наголошується, що за межами США є зіставні і загальнодоступні криптографічні технології, і це слідує враховувати при виробленні експортних обмежень, щоб не знижувати конкурентоспроможність американських виробників апаратного і програмного забезпечення.
Для захисту федеральних ІС рекомендується більш широко застосовувати технологічні рішення, засновані на розробках приватного сектора. Крім того, пропонується оцінити можливості загальнодоступних зарубіжних розробок.
Дуже важливий розділ 3, в якому від НІСТ вимагається по запитах приватного сектора готувати добровільні стандарти, керівництво, засоби і методи для інфраструктури відкритих ключів (див. вище Закон РФ про ЕЦП), що дозволяють сформувати недержавну інфраструктуру, придатну для взаємодії з федеральними ІС.
В розділі 4 особлива увага звертається на необхідність аналізу засобів і методів оцінки вразливих місць інших продуктів приватного сектора в області ІБ.
Вітається розробка правил безпеки, нейтральних по відношенню до конкретних технічних рішень, використовування у федеральних ІС комерційних продуктів, участь в реалізації шифрувальних технологій, що дозволяє зрештою сформувати інфраструктуру, яку можна розглядати як резервну для федеральних ІС.
Важливо, що відповідно до розділів 10 і далі передбачається виділення конкретних (і чималих) сум, називаються точні терміни реалізації програм партнерства і проведення досліджень інфраструктури з відкритими ключами, національної інфраструктури цифрових підписів. Зокрема, передбачається, що для засвідчуючих центрів повинні бути розроблені типові правила і процедури, порядок ліцензування, стандарти аудиту.
В 2001 році був схвалений Палатою представників і переданий в Сенат новий варіант розглянутого законопроекту - Computer Security Enhancement Act 2001 (H.R. 1259 RFS). В цьому варіанті примітно як те, що, в порівнянні з попередньою редакцією, було прибрано, так і те, що додалося.