Файл: Роль информационного права и информационной безопасности в современном обществе (информационная безопасность в современном мире).pdf

Рис.1. Структурная схема организации разработки международных стандартов в области системной и программной инженерии

Сложившаяся на начало 21-го века структурная организация разработки международных стандартов в области системной и программной инженерии и участие в ней России отражены на рис 1.

3.2. Международная практика информационных отношений и угрозы в глобальной сети Интернет

Наибольший интерес представляет международная практика регулирования информационных отношений и угроз, связанных с использованием глобальной сети Интернет. Субъектами информационных правоотношений являются оператор Интернет-связи, его абонент, другие пользователи Интернет, правоохранительные органы. Содержание прав и обязанностей перечисленных субъектов взаимосвязано с их возможностями совершать определенные действия с объектами информационных правоотношений, в том числе и причиняющие вред. Объектами в информационных отношениях абонента и оператора Интернет-связи являются информация, информационные продукты и услуги, состояние защищенности личности, защищенность информации. Действия субъектов таких отношений, способных повлиять на информационную безопасность личности, являются основанием их ответственности. К возможным действиям абонента относятся: просмотр веб-страниц, получение и отправка электронных сообщений, хостинг.

К возможным действиям оператора Интернет-связи относятся сбор сведений об информационном обмене абонента, воздействие на информационный обмен абонента путем изменения скорости обмена, фильтрации содержимого передаваемой информации, воздействия на информацию, опубликованную пользователем на веб-странице, размещенной на сервере оператора, сбор персональных данных о пользователе. Возможные действия правоохранительных органов заключаются в истребовании от оператора Интернет связи или его абонента необходимой им информации об информационном обмене абонента.

К действиям других пользователей Интернета, имеющих значение для информационной безопасности абонента, можно отнести только намеренные действия по получению несанкционированного доступа к его информации на веб-странице, в компьютере, в электронном письме.

Просмотр веб-страниц несет в себе две угрозы. Это вредная информация, размещенная непосредственно на странице (фото, видео, аудио, текстовые данные), и вредоносные программные коды, запускаемые с различными приложениями, которые обеспечивают правильное отображение просматриваемой страницы, способные изменить состояние информации в компьютере пользователя.

Вредная информация способна оказывать воздействие на пользователя при посещении веб-страниц, на которых она расположена. Попадание вредной информации на экран монитора пользователя зависит, в основном, от действий самого пользователя, так как он сам осуществляет передвижение по сети Интернет, и решает, какая информация подлежит его вниманию. Ограничение на доступ к вредной информации может быть установлено самим оператором Интернет-связи. Это возможно за счет применения им специальных программных фильтров, позволяющих перекрывать доступ к информации определенного содержания, в том числе и не относящейся к вредной. Большинство операторов Интернет-связи имеют программные фильтры и могут применять их по договоренности с абонентом.

Другим видом действий абонента является получение электронных сообщений. В этом случае существуют угрозы воздействия вредной информации, размещенной в электронном сообщении, получение и заражение компьютерными вирусами, получение не запрашиваемой информации (спам).

В действиях пользователя по отправке электронных писем существуют такие угрозы, как недоставка отправленного письма адресату и нарушение конфиденциальности информации, содержащейся в письме. Данные угрозы могут быть реализованы как в результате действий самого пользователя, так и в результате действий или бездействия оператора Интернет-связи. Так, при отсутствии соединения или при некачественном соединении с сетью Интернет абонент не сможет отправить электронную корреспонденцию. Кроме того, угроза недоставки электронного письма или нарушения его конфиденциальности может быть реализована в результате неправильной работы почтовых серверов оператора Интернет-связи, в результате использования фильтров на исходящую от абонента информацию или в силу форс-мажорных обстоятельств. Нарушение конфиденциальности электронной переписки абонента может произойти в результате несанкционированного доступа третьих лиц к его компьютеру или электронному почтовому ящику.

При опубликовании своей веб-страницы в сети Интернет для информационной безопасности пользователя существуют такие угрозы, как несанкционированный доступ к опубликованной информации и, следовательно, нарушение данных аутентификации абонента, изменение или удаление веб-страницы пользователя и ее блокировка как результат несанкционированного доступа. Источником таких угроз может быть, как оператор Интернет-связи, так и другие пользователи Интернет. В первом случае возможность несанкционированного доступа возможна в силу того, что оператор Интернет-связи является хранителем данных аутентификации (пароля и логина) пользователя при доступе к редактированию своей страницы. Во втором случае доступ к странице абонента может быть осуществлен в силу получения другими пользователями Интернет данных аутентификации, необходимыми для управления страницей. Данная информация может быть получена в результате ее хищения путем несанкционированного доступа к файлам (взлома) оператора Интернет-связи или любым другим способом. Еще существуют угрозы, возникновение которых не зависит от деятельности абонента в глобальной сети. К ним относятся диффамация, нарушение авторских прав, распространение персональных данных.

3.3. Применение международного опыта правового регулирования информационной безопасности в Российской Федерации.

Темпы развития современных информационных технологий значительно опережают темпы разработки рекомендательной и нормативно-правовой базы руководящих документов, действующих на территории России. Поэтому проблема аудита «как оценить уровень безопасности корпоративной информационной системы» обязательно влечет за собой следующие вопросы:

• в соответствии с какими критериями производить оценку эффективности защиты?
• как оценивать и переоценивать информационные риски предприятия?

Отсюда, в дополнение к требованиям, рекомендациям и руководящим документам Государственной комиссии по техническому и экспортному контролю (далее по тексту Гостехкомиссии) России приходится адаптировать к нашим условиям и применять методики международных стандартов (ИСО 17799, 9001, 15408, стандартов Британского института стандартов и пр.), а также использовать методы количественного анализа рисков в совокупности с оценками экономической эффективности инвестиций в обеспечение безопасности и защиты информации.

В зарубежных нормативных документах установлен набор требований для различных типов средств и систем информационных технологий, в зависимости от различных условий их применения. Особенности развития отечественной нормативной базы в данной области заключаются в том, что отсутствует комплексный подход к проблеме защиты информации (рассматриваются в основном вопросы несанкционированного доступа к информации и вопросы обеспечения защиты от побочных электромагнитных излучений и наводок) и, кроме того, разработанные национальные стандарты и руководящие документы Гостехкомиссии России 1992-1996 не принимали во внимание международные стандарты ИСО/МЭК.

В настоящее время эти упущения начали устраняться. В этих целях с 2001 года Гостехкомиссия и Госстандарт России совместно с другими заинтересованными министерствами и ведомствами реализуют новые инициативы в этом направлении. В частности, утверждены три стандарта, определяющие критерии оценки безопасности информационных технологий.

Они устанавливают требования к формированию заданий по оценке безопасности в соответствии с положениями международных стандартов. По линии Гостехкомиссии созданы несколько инструктивных документов:

• Руководство по разработке профилей защиты
• Руководство по регистрации профилей защиты,
• Методология оценки безопасности информационных технологий
• Автоматизированный комплекс разработки профилей защиты.

Перечисленные документы, по сути, представляют собой прямую трансляцию положений международных стандартов ИСО на российскую нормативно-техническую базу. В дополнение к ним созданы еще шесть спецификаций на защитные профили для операционных систем, межсетевых экранов, систем управления базами данных, автоматизированных систем учета и контроля ядерных материалов и др. Утвержден государственный стандарт Российской Федерации, определяющий процессы формирования средств проверки электронной цифровой подписи и переводу данного стандарта в категорию межгосударственного.

В 2000-2001 гг. была создана «Программа комплексной стандартизации в области защиты информации на 2001-2010 годы» (ПКС), в которой применен комплексный метод стандартизации. ПКС предусматривает появление примерно 40 ГОСТов. Кроме того, ВНИИ «Стандарт» разрабатывает проект «Программы комплексной стандартизации в области защиты информации, составляющей государственную тайну». В ее рамках планируется принятие 42 национальных стандартов и других нормативных документов. В свою очередь, Госстандарт разработал и представил на утверждение в Правительство РФ проект «Программы по разработке технических регламентов на 2003-2010годы». В ходе ее выполнения создаются следующие документы: «Общий технический регламент безопасности информационных технологий», «Общий технический регламент требований к системам безопасности информационных технологий», «Общий технический регламент требований по защите информации, обрабатываемой на объектах информатизации» и «Специальный технический регламент требований по защите информации в оборонной промышленности».

В 2003 году Госстандарт разработал проект классификатора техники и средств защиты информации, требований к контролю над эффективностью средств защиты информации и соответствующих систем управления. Создан проект государственного стандарта, включающего в себя общие положения по формированию системы управления качеством при разработке, изготовлении, внедрении и эксплуатации техники защиты информации. Внедрение этих нормативных документов обеспечит единую классификацию механизмов и техники защиты информации, позволит определить основные характеристики систем качества техники защиты информации. Благодаря этому уменьшится разобщенность разработчиков и изготовителей, повысится уровень координации производителей специальной аппаратуры. Из анализа действующих нормативных документов по стандартизации в данной области следует, что по охвату регулирования аспектов безопасности ИТ, по детализации рассматриваемых в них проблем российские национальные стандарты все еще уступают международным. Вопросы стандартизации в сфере безопасности ИТ решаются на международном уровне — совместным техническим комитетом СТК1 ИСО/МЭК «Информационные технологии», на региональном — европейскими организациями CEN, ECMA и др., на национальном уровне — ANSI, NIST (США), DIN (Германия) и др.

В общем смысле, информационная безопасность в Российском законодательстве регулируется следующими нормативно – правовыми документами:

• Конституция РФ;
• Гражданский кодек;
• Уголовный кодекс;
• Закон “Об информации, информатизации и защите информации”^[11];
• Другие законы и подзаконные акты.

Информационная безопасность государства, безусловно содержит информационную безопасность предприятий, общества и каждой личности. В этой связи следует остановится на общих принципах разработки политики безопасности предприятия, в разработке соответствующих программ.

Основой программы информационной безопасности является политика безопасности, отражающая подход организации к защите своих информационных активов. Под политикой безопасности понимается совокупность документированных решений, принимаемых руководством организации и направленных на защиту информации и ассоциированных с ней ресурсов.

Обычно, политика безопасности строится на основе анализа рисков, которые признаются реальными для информационной системы организации. При этом, основные классы мер процедурного уровня следующие:

• управление персоналом;
• физическая защита;
• поддержание работоспособности;
• реагирование на нарушения режима безопасности;
• планирование восстановительных работ.

Управление персоналом начинается с приема нового сотрудника на работу и даже раньше – с составления описания должности.

При составлении должностных инструкций персонала, руководствуются двумя принципами:

• разделение обязанностей;
• минимизация привилегий.

Первый принцип определяет, как распределять роли и ответственность, чтобы один человек не мог нарушить критически важный для организации процесс.

Второй принцип предписывает выделять пользователям только те права доступа, которые необходимы им для выполнения служебных обязанностей.

Физическая защита предполагает непосредственную защиту, причем нужно помнить, что она должна быть непрерывна защиты в пространстве и времени.

Для обеспечения сохранности всех необходимых свойств информационных ресурсов естественно нужно наладить и поддерживать работоспособность информационных систем, оперативно реагировать на нарушение режима безопасности и быть готовым проводить, при необходимости соответствующие восстановительные работы.

Информационное законодательство, в свою очередь, представляет собой совокупность правовых норм, обеспечивающих регулирование общественных отношений в информационной сфере. Это законодательство, как комплексная отрасль законодательства Российской Федерации, имеет следующую структуру: