ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 03.05.2024
Просмотров: 19
Скачиваний: 0
СОДЕРЖАНИЕ
Інформаційна безпека Законодавчий рівень інформаційної безпеки План
1 Огляд російського законодавства в області інформаційної безпеки
1.1 Правові акти загального призначення, що піднімають питання інформаційної безпеки
1.2 Закон "Про інформацію, інформатизацію і захист інформації"
1.3 Інші закони і нормативні акти
2 Огляд зарубіжного законодавства в області інформаційної безпеки
3 Про поточний стан російського законодавства в області інформаційної безпеки
За чотири роки (1997-2001 рр.) на законодавчих і інших рівнях інформаційної безпеки США було зроблено багато що. Пом’якшені експортні обмеження на криптосредства (в січні 2000 р.). Сформована інфраструктура з відкритими ключами. Розроблено велике число стандартів (наприклад, новий стандарт електронного цифрового підпису - FIPS 186-2, січень 2000 р.). Все це дозволило не загострювати більш уваги на криптографії як такий, а зосередитися на одному з її найважливіших додатків - аутентифікації, розглядаючи її по відпрацьованій на криптосредствах методиці. Очевидно, що, незалежно від долі законопроекту, в США буде сформована національна інфраструктура електронної аутентифікації. В даному випадку законотворча діяльність йде в ногу з прогресом інформаційних технологій.
Програма безпеки, що передбачає економічно виправдані захисні заходи і синхронізована з життєвим циклом ІС, згадується в законодавстві США неодноразово. Згідно пункту 3534 ("обов’язки федеральних відомств") підрозділу II ("інформаційна безпека") розділу 35 ("координація федеральної інформаційної політики") рубрики 44 ("суспільні видання і документи"), така програма повинна включати:Программа безпеки, передбачаюча економічно виправдані захисні заходи і синхронізована з життєвим циклом ІС, згадується в законодавстві США неодноразово. Згідно пункту 3534 ("обов’язки федеральних відомств") підрозділу II ("інформаційна безпека") розділу 35 ("координація федеральної інформаційної політики") рубрики 44 ("суспільні видання і документи"), така програма повинна включати:
-
періодичну оцінку ризиків з розглядом внутрішніх і зовнішніх загроз цілісності, конфіденційності і доступності систем, а також даних, асоційованих з критично важливими операціями і ресурсами;
-
правила і процедури, що дозволяють, спираючись на проведений аналіз ризиків, економічно виправданим чином зменшити ризики до прийнятного рівня;
-
навчання персоналу з метою інформування про існуючі ризики і про обов’язки, виконання яких необхідне для їх (ризиків) нейтралізації;
-
періодичну перевірку і (пері) оцінку ефективності правил і процедур;
-
дії при внесенні істотних змін в систему;
-
процедури виявлення порушень інформаційної безпеки і реагування на них; ці процедури повинні допомогти зменшити ризики, уникнути крупних втрат; організувати взаємодію з правоохоронними органами.
Звичайно, в законодавстві США є в достатній кількості і положення обмежувальної спрямованості, і директиви, що захищають інтереси таких відомств, як Міністерство оборони, АНБ, ФБР, ЦРУ, але ми на них не зупинятимемося. Охочі можуть прочитати розділ "Законодавча база в області захисту інформації" в чудовій статті О. Беззубцева і А. Ковалева "Про ліцензування і сертифікацію в області захисту інформації" (Jet Info, 1997, 4).
В законодавстві ФРН виділимо вельми розгорнений (44 розділи) Закон про захист даних (Federal Data Protection Act December 20, 1990 (BGBl.I 1990 S.2954), amended law September 14, 1994 (BGBl. I S. 2325)). Він цілком присвячений захисту персональних даних.
Як, ймовірно, і у всіх інших законах аналогічної спрямованості, в даному випадку встановлюється пріоритет інтересів національної безпеки над збереженням таємниці приватного життя. В іншому права особи захищені вельми ретельно. Наприклад, якщо співробітник фірми обробляє персональні дані на користь приватних компаній, він дає підписку про нерозголошування, яка діє і після переходу на іншу роботу.
Державні установи, що бережуть і оброблювальні персональні дані, несуть відповідальність за порушення таємниці приватного життя "суб’єкта даних", як мовиться в Законі. В матеріальному виразі відповідальність обмежена верхньою межею в 250 тисяч німецьких марок.
Із законодавства Великобританії згадаємо сімейство так званих добровільних стандартів BS 7799, що допомагають організаціям на практиці сформувати програми безпеки. В подальших лекціях ми ще повернемося до розгляду цих стандартів; тут же відзначимо, що вони дійсно працюють, не дивлячись на "добровільність" (або завдяки ній?).
В сучасному світі глобальних мереж законодавча база повинна бути злагоджена з міжнародною практикою. В цьому плані повчальний приклад Аргентини. В кінці березня 1996 року компетентними органами Аргентини був арештований Хуліо Цезар Ардіта, 21 роки, житель Буенос-айреса, системний оператор електронної дошки оголошень "Крик", відомий в комп’ютерному підпіллі під псевдонімом "El Griton". Йому ставилися у вину систематичні вторгнення в комп’ютерні системи ВМС США, НАСА, багатьох найбільших американських університетів, а також в комп’ютерні системи Бразилії, Чилі, Кореї, Мексики і Тайваню. Проте, не дивлячись на тісну співпрацю компетентних органів Аргентини і США, Ардіта був відпущений без офіційного пред’явлення звинувачень, оскільки за аргентинським законодавством вторгнення в комп’ютерні системи не вважається злочином. Крім того, через принцип "подвійної кримінальності", діючий в міжнародних правових відносинах, Аргентина не може видати хакера американським властям. Справа Ардіта показує, яким може бути майбутнє міжнародних комп’ютерних вторгнень за відсутності загальних або хоча б двосторонніх угод про боротьбу з комп’ютерною злочинністю.
3 Про поточний стан російського законодавства в області інформаційної безпеки
Як вже наголошувалося, найважливіше (і, ймовірно, найважче) на законодавчому рівні - створити механізм, що дозволяє погоджувати процес розробки законів з реаліями і прогресом інформаційних технологій. Поки такого механізму немає і, на жаль, не передбачається. Зараз безглуздо задаватися питанням, чого не вистачає російському законодавству в області ІБ, це все одно що цікавитися у пунктирного відрізка, чого тому не вистачає, щоб покрити всю площину. Навіть чисто кількісне зіставлення із законодавством США показує, що наша законодавча база явно неповна.
Справедливості ради необхідно відзначити, що обмежувальна складова в російському законодавстві представлена істотно краще, ніж координуюча і направляюча. Розділ 28 Кримінального кодексу достатньо повно охоплює основні аспекти інформаційної безпеки, проте забезпечити реалізацію відповідної статі поки що складно.
Положення базового Закону "Про інформацію, інформатизації і захисту інформації" носять вельми загальний характер, а основний зміст статі, присвяченої інформаційній безпеці, зводиться до необхідності використовувати виключно сертифіковані засоби, що, загалом, правильно, але далеко не достатньо. Характерний, що Закон роз’яснює питання відповідальності у разі використовування несертифікованих засобів, але що робити, якщо порушення ІБ відбулося в системі, побудованій строго за правилами? Хто відшкодує збиток суб’єктам інформаційних відносин? Повчальний в цьому відношенні розглянутий вище закон ФРН про захист даних.
Законодавством визначені органи, що відають ліцензуванням і сертифікацією. (Відзначимо в зв’язку з цим, що Росія - одна з небагатьох країн (в список ще входять В’єтнам, Китай, Пакистан), що зберегли жорсткий державний контроль за виробництвом і розповсюдженням усередині країни засобів забезпечення ІБ, особливо продуктів криптографічних технологій.) Але хто координує, фінансує і направляє проведення досліджень в області ІБ, розробку вітчизняних засобів захисту, адаптацію зарубіжних продуктів? Законодавством США визначена головна відповідальна організація - НІСТ, яка справно виконує свою роль. У Великобританії є змістовні добровільні стандарти ІБ, що допомагають організаціям всіх розмірів і форм власності. У нас поки нічого такого немає.
В області інформаційної безпеки закони реально заломлюються і працюють через нормативні документи, підготовлені відповідними відомствами. В зв’язку з цим дуже важливі Керівні документи Гостехкоміссиі Росії, що визначають вимоги до класів захищеності засобів обчислювальної техніки і автоматизованих систем. Особливо виділимо затверджений в липні 1997 року Керівний документ по міжмережевих екранах, що вводить в офіційну сферу один з найсучасніших класів захисних засобів.
В сучасному світі глобальних мереж нормативно-правова база повинна бути злагоджена з міжнародною практикою. Особливу увагу слід звернути на те, що бажано привести російські стандарти і сертифікаційні нормативи у відповідність з міжнародним рівнем інформаційних технологій взагалі і інформаційної безпеки зокрема. Є цілий ряд підстав для того, щоб це зробити. Одне з них - необхідність захищеної взаємодії із зарубіжними організаціями і зарубіжними філіалами російських компаній. Друге (більш істотне) - домінування апаратно-програмних продуктів зарубіжного виробництва.
На законодавчому рівні повинен бути вирішено питання про відношення до таких виробів. Тут необхідно виділити два аспекти: незалежність в області інформаційних технологій і інформаційну безпеку. Використовування зарубіжних продуктів в деяких критично важливих системах (в першу чергу, військових), у принципі, може представляти загрозу національної безпеки (у тому числі інформаційної), оскільки не можна виключити вірогідність вбудовування заставних елементів. В той же час, в переважній більшості випадків потенційні загрози інформаційної безпеки носять виключно внутрішній характер. В таких умовах незаконність використовування зарубіжних розробок (зважаючи на складнощі з їх сертифікацією) за відсутності вітчизняних аналогів утрудняє (або взагалі робить неможливою) захист інформації без серйозних на те підстав.
Проблема сертифікації апаратно-програмних продуктів зарубіжного виробництва дійсно складна, проте, як показує досвід європейських країн, вирішити її можна. Система сертифікації по вимогах інформаційної безпеки, що склалася в Європі, дозволила оцінити операційні системи, системи управління базами даних і інші розробки американських компаній. Входження Росії в цю систему і участь російських фахівців в сертифікаційних випробуваннях в змозі зняти наявну суперечність між незалежністю в області інформаційних технологій і інформаційною безпекою без якого-небудь збитку для національної безпеки.
Підводячи підсумок, можна намітити наступні основні напрями діяльності на законодавчому рівні:
-
розробка нових законів з урахуванням інтересів всіх категорій суб’єктів інформаційних відносин;
-
забезпечення балансу творчих і обмежувальних (в першу чергу переслідуючих мету покарати винних) законів;
-
інтеграція в світовий правовий простір;
-
облік сучасного стану інформаційних технологій.