В.П. Мельников и др. - Информационная безопасность и защита информации (1022816), страница 13
Текст из файла (страница 13)
Но для обеспечения международного сотрудничества в этой сфере важно обеспечить техническую совместимость передающей и принимающей аппаратуры, а также исключить взаимные помехи, что обусловливает важность такого сотрудничества. О незаконченности процесса выделения рассматриваемой отрасли международного права говорит и тот факт, что еще не получило никакого международно-правового осмысления появление сетей Интернет.
Проблема правовой характеристики Интернета нуждается в специальном исследовании и соответствующем документально-правовом оформлении, которое бы отразило всю многогранность его природы, так как данное образование не может рассматриваться только как средство массовой информации в силу своей многофункциональной структуры. 55 По аналогии с теорией права можно вьшелить лва подхода к проблеме правового регулирования в сети Интернет: первый пропагандирует абсолютную свободу, второй — верховенство законодательства в сети. Первый подход базируется на сетевых традициях и имеет очень значительное число приверженцев среди сетевого сообщества, второй подход не так распространен, более того, он встречает резкое неприятие части пользователей сети и организованный протест сторонников «Интернет-анархии» и «Интернет- фундаменталистов».
Существует еше одна тенденция: большинство пользователей Интернета негативно относится к тому, чтобы государство контролировало содержание распространяемых материалов. Россия входит в число стран — лидеров по объему информационного законодательства. Кроме положений Конституции РФ и инкорпорированных во внутреннее право норм международного характера одной из особенностей российской правовой системы является наличие в ней законов, содержащих право массовой информации в чистом виде (Федеральные законы «Об информации, информатизации и защите информации» от 25.01.95 № 24-ФЗ, «Об участии в международном информационном обмене» от 04.07.96 № 85-ФЗ). Существует также большое количество законов, регулирующих разные стороны информационной деятельности применительно к конкретным явлениям: Закон РФ «О средствах массовой информации» от 27.! 2.9! № 2!24-1, Федеральные законы «О госуларственной поддержке средств массовой информации и книгоиздания Российской Федерации» от 01.12.95 М» 191-ФЗ, «О рекламе» от 18.07.95 № !08-ФЗ, Законы РФ «Об авторском праве и смежных правах» от 09.07.93 № 5352-1, «О правовой охране программ для электронных вычислительных машин и баз данных» от 23.09.92 № 3523-1.
Имеется огромное количество указов Президента РФ и постановлений Правительства РФ, принято также значительное количество документов по вопросам телевидения и радиовещания, отдельным средствам массовой информации. Концепция государственной информационной политики 1998 г., одобренная Государственной Думой и Постоянной палатой по государственной информационной политике Политического консультативного совета при Президенте РФ, в разд.
2.б «Информационное право» предусматривает формирование правовой базы информационных отношений. Концепции развития законодательства, осуществляемые с 1995 г., активно влияют на законопроектный процесс в данной области. Формируется законодательная основа регулирования отношений в области информатики, что подразумевает и активное участие страны в формировании международных норм в этой сфере. 2.2. Международные и отечественные правовые и нормативные акты обеспечения ИБ процессов переработки информации Законодательные меры по защите процессов переработки информации заключаются в исполнении существующих в стране или введении новых законов, положений, постановлений и инструкций, регулирующих юридическую ответственность должностных лиц — пользователей и обслуживающего технического персонала— за утечку, потерю или модификацию доверенной ему информации, подлежащей защите, в том числе за попытки выполнить аналогичные действия за пределами своих полномочий, а также в ответственности посторонних лиц за попытку преднамеренного несанкционированного доступа к аппаратуре и информации.
Цель законодательных мер — предупреждение и сдерживание потенциальных нарушителей. Поскольку ИБ должна быль связующим звеном межлу политикой национальной безопасности и информационной политикой страны, то логично было бы проводить ее по единым принципам, выделяя их как общие и для информационной политики. Таким образом государственная информационная политика должна опираться на следующие базовые принципы: ° открытость политики (все основные мероприятия информационной политики открыто обсуждаются обществом, государство учитывает общественное мнение); ° равенство интересов участников (политика в равной степени учитывает интересы всех участников информационной деятельности независимо от их положения в обществе, формы собственности и государственной принадлежности); ° системность (реализация процессов обеспечения ИБ через государственную систему); ° приоритетность отечественного производителя (при равных условиях приоритет отдается конкурентоспособному отечественному производителю информационно-коммуникационных средств, продуктов и услуг); ° социальная ориентация (основные мероприятия государственной информационной политики должны быть направлены на обеспечение социальных интересов граждан России); ° государственная подлержка (мероприятия информационной политики, направленные на информационное развитие социальной сферы, финансируются преимущественно государством); ° приоритетность права — законность (развитие и применение правовых и зкономических методов имеет приоритет передлюбыми формами административных решений проблем информационной сферы); 57 ° сочетание централизованного управления силами и средствами обеспечения безопасности с передачей а соответствии с федеральным устройством России части полномочий в этой области органам государственной власти субъектов Российской Федерации и органам местного самоуправления)„' ° интеграция с международными системами обеспечения ИБ.
2.2.1. Международные правовые и нормативные акты обеспечения ИБ В междунаролной практике обеспечения ИБ основными направлениями являются: ° нормирование компьютерной безопасности по критериям опенки защишенности надежных систем и информационных технологий; ° стандартизация процессов создания безопасных информационных систем. Так, уже в 1983 г.
Агентство компьютерной безопасности Министерства обороны США опубликовало отчет, названный ТСБЕС («Критерии оценки зашишенности надежных систем»), или «Оранжевую книгу» (по цвету переплета), в которой были определены семь уровней безопасности (А1 — гарантированная зашита; В1, В2, ВЗ вЂ” полное управление доступом; С1, С2 — избирательное управление доступом, Р— минимальная безопасность) для оценки зашиты грифованных данных в многопользовательских компьютерных системах.
Для оценки компьютерных систем Министерства обороны США Национальный центр компьютерной безопасности МО США выпустил инструкции ХСЯС-ТО-005 и )л)СБС-ТО-011, известные как «Красная книга» (по цвету переплета). В свою очередь, Агентство информационной безопасности ФРГ подготовило ОКЕЕ(л) ВООК («Зеленая книга»), в которой рассмотрены в комплексе требования к доступности, целостности и конфиденциальности информации как в государственном, так и в частном секторе.
В 1990 г. «Зеленая книга» была одобрена ФРГ, Великобританией, Францией и Голландией и направлена в Европейский Союз (ЕС), где на ее основе были подготовлены 1ТЯЕС («Критерии оценки зашишенности информационных технологий»), или «Белая книга», как европейский стандарт, определяющий критерии, требования и процедуры для создания безопасных информационных систем и имеюший две схемы оценки: по эфФективности (от Е1до Еб) и по функциональности (доступность, целостность системы, целостность данных, конфиденциальность информации и передачи данных). В «Белой книге» названы основные компоненты безопасности по критериям 1ТЯЕС: 1) информационная безопасность; 2) безопасность системы; 3) безопасность продукта; 4) угроза безопасности; 5) набор функций безопасности; 6) гарантированность безопасности; 7) общая оценка безопасности; 8) классы безопасности.
Согласно европейским критериям 1ТБЕС, ИБ включает в себя шесть основных элементов ее детализации: 1) цели безопасности и функции ИБ; 2) спецификация функций безопасности: ° идентификация и аутентификация (понимается не только традиционная проверка подлинности пользователя, но и функции для регистрации новых пользователей и удаления старых, а также функции для изменения и проверки аутентификационной информации, в том числе контроля целостности и функции для ограничения количества повторных попыток аутентификации); ° управление доступом (в том числе функции безопасности, которые обеспечивают временное ограничение доступа к совместно используемым объектам с целью поддержания целостности этих объектов; управление распространением прав доступа; контроль за получением информации путем логического вывода и агрегирования данных); ° подотчетность (протоколирование); ° аудит (независимый контроль); э повторное использование объектов; ° точность информации (полдержка определенного соответствия между разными частями данных (точность связей) и обеспечение неизменности данных при передаче между процессами (точность коммуникации)); ° надежность обслуживания (функции обеспечения, когда действия, критичные по времени, будут выполнены именно тогда, когда нужно; некритичные действия нельзя перенести в разряд критичных; авторизованные пользователи за разумное время получат запрашиваемые ресурсы; функции обнаружения и нейтрализации ошибок; функции планирования для обеспечения коммуникационной безопасности, т.
е. безопасности данных, передаваемых по каналам связи); ° обмен данными; 3) конфиденциальность информации (зашита от несанкционированного получения инФормации); 4) целостность информации (защита от несанкционированного изменения информации); 5) доступность информации (защита от несанкционированного или случайного удержания информации и ресурсов системы); 59 6) описание механизмов безопасности. Для реализации функций идентификации и аутентификации могут использоваться такие механизмы, как специальный сервер КЕКВЕВОЯ, а для защиты компьютерных сетей — фильтруюшие маршрутизаторы, сетевые анализаторы протоколов (экраны) типа Р!ге%ай/Р!аз, Р!ге%ай-1, пакеты фильтруюших программ и т.д. Обшая оценка безопасности системы по 1ТЯЕС состоит из двух компонентов: оценка уровня гарантированной эффективности механизмов (средств) безопасности и оценка уровня их гарантированной корректности.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
