Файл: 4. Правовое регулирование Информационного общества в России 8.docx
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 10.11.2023
Просмотров: 457
Скачиваний: 3
СОДЕРЖАНИЕ
3. Структура и основные положения проекта новой Доктрины информационной безопасности 2016
4. Правовое регулирование Информационного общества в России
5. Правовое регулирование Информационного общества в Башкортостане
6. Основные положения формирования и развития информационного общества Окинавской Хартии
7. Европейская Конвенция по киберпреступлениям (Будапешт).
8. Конвенция об обеспечении международной информационной безопасности (Россия).
9. Основные НПА регулирующие ИБ в США
10. Оценочные стандарты и технические спецификации
11. "Оранжевая книга" - уровни доверия и классы безопасности
12. Сетевые сервисы безопасности. (Рекомендации X.800).
13. Классы функциональных требований на основе «Общих критериев»
16. «Инициатива всеобъемлющей национальной кибербезопасности» в США
17. «Международная стратегия для киберпространства» США
18. Правовые аспекты защиты ПД в Европе и США
19. Правовые аспекты защиты персональных данных в России
20. «Великая стена» информационной безопасности Китае
22. Правовое регулирование политики информационной безопасности
23. Порядок создания автоматизированных систем в защищенном исполнении (ГОСТ Р 51583)
24. Система сертификации средств защиты информации по требованиям безопасности информации.
25. Защита от несанкционированного доступа к информации (ГОСТ Р 50739, ГОСТ Р 50922, ГОСТ Р 52069)
27. Защита информации. Обеспечение информационной безопасности в организации (ГОСТ Р 53114)
29. Методология оценки безопасности информационных технологий (ГОСТ Р ИСО/МЭК 18045)
33. Системы менеджмента информационной безопасности (ГОСТ Р ИСО/МЭК 27001).
34. Свод норм и правил менеджмента информационной безопасности (ГОСТ ИСО/МЭК 27002).
36. Менеджмент риска информационной безопасности (ГОСТ Р ИСО/МЭК 27005)
38. Руководство для аудитора СМИБ (ГОСТ ISO/IЕС 27007)
40. Безопасность сетей (ГОСТ Р ИСО/МЭК 27033)
42. ФЗ – 63 «Об электронной подписи»
44. Правовое обеспечение сертификации в России
45. Правовое обеспечение лицензирования в России
49. Правовое регулирование защиты конфиденциальной информации в России
50. Правовое регулирование системы менеджмента информационной безопасности (основные цели и задачи)
51. Правовое регулирование политики информационной безопасности в организации
53. Отнесение сведений к различным видам конфиденциальной информации
54. Отнесение сведений к коммерческой тайне
55. Грифы секретности и реквизиты носителей сведений, составляющих государственную тайну
56. Отнесение сведений к государственной тайне. Засекречивание сведений и их носителей
57. Основания и порядок рассекречивания сведений и их носителей
58. Разрешительная система доступа персонала к конфиденциальной информации
59. Порядок оформления и переоформления допуска к государственной тайне. Формы допуска
60. Основания для отказа лицу в допуске к государственной тайне и условия прекращения допуска
62. Основы работы с персоналом организации
63. Методы работы с персоналом
64. Мотивация деятельности персонала
65. Организация охраны предприятия, учреждения
67. Основные задачи государственной системы защиты информации.
68. Институт государственной тайны в РФ.
69. Порядок засекречивания сведений, документов и продукции в РФ.
70. Конфиденциальная информация. Допуск и доступ к конфиденциальной информации.
72. Организация внутриобъектового и пропускного режима на предприятии.
73. Системы комплексной защиты объекта
74. Лицензирование в системе защиты информации.
75. Сертификация средств защиты информации.
76. Аттестация объектов информатизации в РФ
77. Информационные ресурсы государства. Информация ограниченного и свободного доступа.
78. Методы работы с персоналом, обладающим конфиденциальной информацией.
79. Принципы, методы и средства обеспечения сохранности информации.
80. Построение комплексной системы защиты информации на предприятии.
8. Конвенция об обеспечении международной информационной безопасности (Россия).
Конвенции ООН об обеспечении международной информационной безопасности, предложена Россией в 2011 г. и направлена на решение проблемы недостаточности понятийного аппарата и его несоответствия существующим угрозам. Документ предполагал закрепление на международном уровне ряда понятий – информационная война, информационная безопасность, информационное оружие, терроризм в информационном пространстве. В российском проекте Конвенции были прописаны вопросы сохранения суверенитета государства над его информационным пространством, а также положения, направленные на защиту от «действий в информационном пространстве с целью подрыва политической, экономической и социальной систем другого государства, психологической обработки населения, дестабилизирующей общество».
Российский проект Конвенции явился противовесом Будапештской конвенции. Россия не подписала этот документ, так как не согласна с содержанием некоторых его положений, в частности, статьи 32 о «трансграничном доступе», в соответствии с которой спецслужбы одних стран могут проникать в компьютерные сети других стран и проводить там операции без ведома национальных властей.
Разногласия России и западных стран во главе с США в процессе обсуждения документа были связаны с оценкой информационных угроз и необходимостью выработки обязательных международных средств противодействия им.
Российская сторона считала, что целесообразно предусмотреть весь комплекс мер, связанных с возможным противоправным использованием ИКТ. По мнению США, достаточно ограничиться вопросами киберугроз и кибербезопасности. Такой подход исключал из сферы международно-правового регулирования информационно-психологические операции. США обосновывали свою позицию тем, что это может рассматриваться как «желание оказать давление на гражданское общество, угрожать свободе слова и усиливать авторитарные тенденции».
С такой трактовкой проблемы не согласна не только Россия. Надежным союзником РФ в этом вопросе давно уже является КНР. Немало поддерживающих такой подход и в странах СНГ, Азии, Африки, Латинской Америки.
9. Основные НПА регулирующие ИБ в США
Ключевую роль в правовом регулировании информационной безопасности США играет американский "Закон об информационной безопасности". Его цель - реализация минимально достаточных действий по обеспечению безопасности информации в федеральных компьютерных системах, без ограничений всего спектра возможных действий. В первом разделе закона называется конкретный исполнитель - Национальный институт стандартов и технологий (НИСТ), отвечающий за выпуск стандартов и руководств, направленных на защиту от уничтожения и несанкционированного доступа к информации, а также от краж и подлогов, выполняемых с помощью компьютеров. Согласно закону, все операторы федеральных информационных систем, содержащих конфиденциальную информацию, должны сформировать планы обеспечения ИБ. Обязательным является и периодическое обучение всего персонала. НИСТ, в свою очередь, обязан проводить исследования природы и масштаба уязвимых мест, вырабатывать экономически оправданные меры защиты. Результаты исследований рассчитаны на применение не только в государственных системах, но и в частном секторе.
В 1997 году появилось продолжение описанного закона - законопроект "О совершенствовании информационной безопасности" (Computer Security Enhancement Act of 1997), направленный на усиление роли Национального института стандартов и технологий и упрощение операций с криптосредствами. В законопроекте констатируется, что частный сектор готов предоставить криптосредства для обеспечения конфиденциальности и целостности (в том числе аутентичности) данных, что разработка и использование шифровальных технологий должны происходить на основании требований рынка, а не распоряжений правительства.
В 2001 году был одобрен Палатой представителей и передан в Сенат новый вариант рассмотренного законопроекта - "О совершенствовании информационной безопасности" (Computer Security Enhancement Act of 2001).
За четыре года (1997-2001 гг.) на законодательном и других уровнях информационной безопасности США было сделано многое. Смягчены экспортные ограничения на криптосредства, сформирована инфраструктура с открытыми ключами, разработано большое число стандартов (например,
новый стандарт электронной цифровой подписи - FIPS 186-2, январь 2000 г.). Все это позволило не заострять больше внимание на криптографии как таковой, а сосредоточиться на одном из ее важнейших приложений - аутентификации, рассматривая ее по отработанной на криптосредствах методике. На базе этих законов в США сформирована общенациональная инфраструктура электронной аутентификации.
-
Помимо этого, в законодательстве США имеются в достаточном количестве и положения, защищающие интересы таких ведомств, как Министерство обороны, АНБ, ФБР, ЦРУ.
10. Оценочные стандарты и технические спецификации
Первым оценочным стандартом, оказавшим огромное влияние на базу стандартизации ИБ во многих странах, стал стандарт Министерства обороны США "Критерии оценки доверенных компьютерных систем " 1983 года.
"Оранжевая книга" поясняет понятие безопасной системы, которая "управляет, с помощью соответствующих средств, доступом к информации так, что только должным образом авторизованные лица или процессы, действующие от их имени, получают право использовать информацию".
Абсолютно безопасных систем не существует. Есть смысл оценивать лишь степень доверия, которое можно оказать той или иной системе.
Степень доверия оценивается по двум основным критериям.
-
Политика безопасности - набор законов, правил и норм поведения, определяющих, как организация обрабатывает, защищает и распространяет информацию. -
Уровень гарантированности - мера доверия, которая может быть оказана архитектуре и реализации ИС.
Важным средством обеспечения безопасности является механизм подотчетности (протоколирования). Доверенная система должна фиксировать все события, касающиеся безопасности.
Оценочный стандарт ГОСТ 15408 «Общие критерии»:
Для структуризации пространства требований, в «Общих критериях» введена иерархия класс-семейство-компонент-элемент.
Классы определяют наиболее общую, «предметную» группировку требований.
Семейства в пределах класса различаются по строгости требований.
Компонент – минимальный набор требований, фигурирующий как целое.
Элемент – неделимое требование.
«Общие критерии» позволяют формировать два вида нормативных документов: профиль защиты и задание по безопасности.
Все функциональные требования объединены в группы на основе выполняемой ими роли или обслуживаемой цели безопасности. Всего в «Общих критериях» представлено 11 функциональных классов, 66 семейств, 135 компонентов.