Файл: Система защиты информации в зарубежных странах (Системы защиты информации в зарубежных странах).pdf
Добавлен: 26.05.2023
Просмотров: 122
Скачиваний: 4
Еще один ключевой аспект работы США в контексте обеспечения кибербезопасности – это обучение будущего поколения, которое должно иметь иммунитет к угрозам электронной среды. Этот элемент программы Министерства внутренней безопасности называется Stop–Think–Connect («Остановись, подумай, подключайся»). Соединенные Штаты участвуют в обучении значительного количества будущих высококвалифицированных специалистов, занятых как в частном секторе, так и на государственной службе. Эти люди смогут адекватно противостоять проблемам, связанным с надежностью, безопасностью и отказоустойчивостью Интернета, и смогут защитить информацию, передаваемую посредством его инфраструктуры [12].
Ключевая образовательная инициатива Национального научного фонда – программа Cyber Watch («Электронный дозор»), которая начала свою работу в 2005 году в виде сообщества 10 организаций, действующих на территории Вашингтона, округ Колумбия. Сегодня это федеральная программа, в рамках которой задействовано 29 штатов и сотрудничают 50 муниципальных колледжей и 45 университетов, предлагающих прошедшим обучение возможность получить степень и участвовать в технических и нетехнических соревнованиях, относящихся к электронной среде. Более 40 частных компаний, государственных организаций и ассоциаций задействовано в данной программе, а среди прошедших ее – более 500 преподавателей, работающих в организациях–участниках. В рамках Cyber Watch было разработано несколько учебных программ по обеспечению сохранности информации, предусматривающих сертификацию и получение научных степеней в сфере кибербезопасности на всех уровнях университетских структур. Относительно недавно в рамках Cyber Watch была налажена работа со школами. Cyber Watch – это самая многообещающая американская образовательная программа, призванная подготовить поколение талантливых и высококвалифицированных специалистов для противостояния угрозам киберсреды.
Еще одна очень важная образовательная инициатива выдвинута Агентством национальной безопасности для университетов и колледжей, решивших получить статус Национальных центров передового опыта в сфере кибербезопасности. Данная инициатива имеет жесткие критерии разделения участников по трем направлениям: двухлетняя программа обучения, четырехлетняя программа с получением степени, и участие в научно–исследовательской деятельности в сфере кибербезопасности [12].
Защита информации в КНР
1 июня 2017 в Китае вступил в силу Закон о кибербезопасности КНР, принятый в октябре 2016 года постоянным комитетом Всекитайского собрания народных представителей (ПК ВСНП). Нормативный акт появился на свет спустя три десятилетия после того, как профессор одного из пекинских вузов Цянь Тяньбай впервые вошел в интернет для переписки с зарубежными коллегами.
Закон, состоящий из шести глав и дополнения, затрагивает права и интересы более чем 700 млн пользователей китайского сегмента интернета (т. н. Chinanet), определяя также обязанности провайдеров электронных услуг. В нем изложены общие принципы и меры по поддержке и развитию сетевой безопасности, включая надзор, превентивные меры и реагирование на экстренные ситуации. Упоминается ответственность за нарушения требований закона [1].
«Данный закон разработан в целях обеспечения сетевой безопасности, защиты суверенитета киберпространства и национальной безопасности, отстаивания социальных и общественных интересов, защиты законных прав и интересов граждан, юридических лиц и других организаций в целях содействия здоровому развитию информатизации экономики и общества», – подчеркивается в первой статье документа.
Закон вобрал в себя уже действующие в стране правила и нормы работы в интернете. Вместе с тем, Закон о кибербезопасности КНР создает для этих и последующих актов и нормативов законодательную основу. Несмотря на кажущуюся неполноту и местами расплывчатый характер, закон служит платформой для государственного регулирования информационных технологий (ИТ), встраивания их в общую конструкцию современного китайского социума.
Хотя новые правила предназначены для регулирования вопросов кибербезопасности в КНР и исходят из сугубо китайских реалий, требований национального законодательства, они представляют интерес и для других стран, которые сталкиваются с угрозой кибертерроризма, становятся объектами кибератак и где стоят вопросы взаимоотношений с иностранными производителями оборудования и ПО, провайдерами интернет–услуг [1].
Закон о кибербезопасности «применяется для создания, эксплуатации, обслуживания и использования интернета, а также эксплуатации (социальных) сетей», гласит документ, подчеркивающий важность стандартизации и контроля при доминирующей роли правительства.
«Государство создает и улучшает систему стандартов сетевой безопасности. Отделы стандартизации и другие ведомства при Госсовете КНР в соответствии со своими обязанностями организуют и формулируют, а также пересматривают национальные и отраслевые стандарты для управления сетевой безопасностью и сетевыми продуктами, услугами в сети и нормами безопасности», – говорится в нем. Создатели закона, понимая, что даже самому большому в мире аппарату исполнительной власти не по силам обеспечить полный контроль за интернет–населением, частично передоверяют реализацию систем сетевой безопасности сетевым операторам, которые, в свою очередь, «должны соответствовать требованиям системы защиты уровня безопасности сетей и другим требованиям, выполнять обязательства по сетевой безопасности, обеспечивать работу сетей без вмешательств, препятствовать доступу разрушающих или несанкционированных запросов, утечке данных, их хищению и фальсификации» [4].
Операторы должны создавать внутреннюю систему управления безопасностью, принимать превентивные меры против компьютерных вирусов и сетевых атак. Им предписано обеспечивать мониторинг и запись состояния сети, технических мер по разрешению вопросов сетевой безопасности и хранить отчеты не менее шести месяцев со дня их создания. Первоначальная сортировка данных, шифрование и создание копий важной информации – также среди обязанностей операторов.
Провайдерам сетевых продуктов и услуг запрещается устанавливать «вредоносные программы». При обнаружении в сетевых продуктах и услугах «слабых мест, лазеек и других рисков» они должны «незамедлительно принять меры по исправлению ситуации, своевременно уведомить пользователей и соответствующие уполномоченные органы».
Требования стандартизации и контроля распространяются как на аппаратное, так и на программное обеспечение, в том числе зарубежное. «Критически необходимое сетевое оборудование и продукты сетевой безопасности перед началом продаж должны проверяться на соответствие национальным стандартам и обязательным требованиям, быть сертифицированы институтами или пройти испытания на безопасность», – говорится в законе. Эти функции возлагаются на «ведомства, задействованные в сфере интернета, и Госсовет КНР», которые «составляют и публикуют список ключевого интернет–оборудования и продуктов в сфере интернет–безопасности, а также обеспечивают продвижение сертификатов безопасности и тестирования, предотвращают возможность дублирования этих документов» [4].
Вопросы приватности информации в интернете трактуются в законе в общем виде, сбор персональной информации допускается в рамках «соответствующих законов и правил». «Провайдеры сетевых продуктов и услуг с функцией сбора данных пользователя должны получить разрешение пользователя на сбор информации; сбор персональной информации должен совершаться с соблюдением соответствующих законов и правил о личной информации», – гласит документ. Операторы «не должны разглашать, искажать, наносить ущерб, а также вести сбор личной информации».
«Любые физические лица и организации не имеют права присваивать личную информацию или использовать другие незаконные способы для ее получения». Вместе с тем исключается анонимность пользователей: «При регистрации доступа в интернет, регистрации в социальной сети, подключении стационарного телефона или мобильной связи, предоставлении клиенту услуг публикации информации или ее передачи, при подписании соглашения (об оказании услуг) клиент должен предоставить подлинное удостоверение личности. Если оно не будет предоставлено, то оператор услуг не имеет права на обслуживание клиента». При этом «государство принимает стратегию по разработке технологий и созданию надежных средств удостоверения личности, а также их взаимного признания» [1].
Физическим лицам и организациям не разрешается «на незаконной основе проникать в сети других лиц, нарушать их естественную работу, похищать данные и вести другую деятельность, несущую в себе угрозу для сетевой безопасности». Важную роль в этом также должны играть сами провайдеры.
Китайское государство, гласит Закон о кибербезопасности, «придает особое значение защите общественных систем связи и информационного обслуживания, отраслей энергетики, транспорта, водопользования, финансов, социального обслуживания и электронного правительства, а также других отраслей, вывод из строя или хищение данных которых может подорвать национальную безопасность, экономику страны, интересы общества и ключевую информационную инфраструктуру».
В законе перечисляется ряд ведомств, отвечающих за информационную безопасность по различным направлениям. «Государство обеспечивает систему мониторинга кибербезопасности, раннего предупреждения и оповещения. Ведомства должны координировать работу правительственных учреждений с целью укрепления интернет–безопасности, сбора информации и анализа, а также уведомлений в соответствии с постановлениями». Им также вменяется в обязанность разработка планов реагирования в чрезвычайных ситуациях, регулярное проведение учений [4].
Во второй главе работы рассмотрены системы защиты информации в таких зарубежных странах, как США и КНР. Можно сказать, что, несмотря на противоположность принципов этих систем, и та и другая страна стремится обеспечить максимальную защиту внутренней и внешней информационной среды своего государства.
ЗАКЛЮЧЕНИЕ
При проведении исследования была достигнута поставленная цель, а именно – рассмотрены системы защиты информации в зарубежных странах. Для достижения цели выполнены задачи:
- рассмотрены понятия информации и защиты информации;
- охарактеризованы основные современные виды угроз информационной безопасности;
- приведены современные методы, средства и системы защиты информации;
- проанализированы системы защиты информации в таких показательных зарубежных странах, как США и КНР.
Подводя итоги исследования, можно сказать, что даже во многом противоположные страны объединяет цель – обеспечение максимальной информационной безопасности как внутри, так и снаружи государства. Тем не менее, можно также сделать вывод, что вековые традиции и культурные особенности оказывают значительное влияние на формирование политики информационной безопасности в целом. Так, США, государство относительно молодое, строит всю политику информационной безопасности на принципах свободы, равенства и безопасности. Говоря кратко, руководство страны старается обеспечить максимальную защиту пользователей от угроз информационной безопасности, при этом предоставляя им полную свободу действий в этой сфере. В то же время, КНР, древнее государство, где строгий государственный строй поддерживается многими веками, использует противоположный подход, обеспечивая информационную безопасность пользователей, в том числе, за счет ограничения действий и свободы в Интернете этих же пользователей.
Что же касается внешней политики, то в целом подходы этих разных государств схожи и направлены на максимальную защиту страны от внешних информационных и других угроз.
При этом остается важным, что ни одну из рассмотренных систем защиты информации нельзя назвать правильной или неправильной. Так или иначе, опираясь на требования общества и внешние для страны условия, руководства государств делают все возможное, чтобы обезопасить информационную среду. Таким образом, можно сделать окончательный вывод о значимости различных социальных и исторических факторов государства на формирование адекватной и надежной системы защиты информации.
Как США, так и КНР являются наглядными примерами обеспечения надежной информации безопасности, так что опыт рассмотренных государственных систем может стать примером для построения максимально эффективной системы защиты информации в России при условии соблюдения внутренних социокультурных факторов.
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ
- Баранова, Е. К. Информационная безопасность и защита информации: Учебное пособие / Е. К. Баранова, А. В. Бабаш. – М.: Риор, 2017. – 400 c.
- Бузов, Г. А. Защита информации ограниченного доступа от утечки по техническим каналам / Г. А. Бузов. – М.: ГЛТ, 2016. – 586 c.
- Бутакова, Н. Г. Криптографическая защита информации / Н. Г. Бутакова, В. А. Семененко, Н. В. Федоров. – М.: МГИУ, 2016. – 316 c.
- Громов, Ю. Ю. Информационная безопасность и защита информации: Учебное пособие / Ю. Ю. Громов, В. О. Драчев, О. Г. Иванова. – Ст. Оскол: ТНТ, 2015. – 384 c.
- Деднев, М. А. Защита информации в банковском деле и электронном бизнесе / М. А. Деднев. – М.: Кудиц–образ, 2014. – 512 c.
- Емельянова, Н. З. Защита информации в персональном компьютере: Уч.пос / Н. З. Емельянова, Т. Л. Партыка, И.И. Попов. – М.: Форум, 2017. – 352 c.
- Жук, А. П. Защита информации: Учебное пособие / А. П. Жук, Е. П. Жук, О. М. Лепешкин, А. И. Тимошкин. – М.: Риор, 2017. – 480 c.
- Камский, В. Защита личной информации в интернете, смартфоне и компьютере / В. Камский. – СПб.: Наука и техника, 2017. – 272 c.
- Краковский, Ю. М. Защита информации: Учебное пособие / Ю. М. Краковский. – Рн/Д: Феникс, 2015. – 416 c.
- Крамаров, С. О. Криптографическая защита информации: Учебное пособие / С. О. Крамаров, Е. Н. Тищенко, С. В. Соколов и др. – М.: Риор, 2019. – 112 c.
- Малюк, А. А. Защита информации в информационном обществе: Учебное пособие для вузов / А. А. Малюк. – М.: ГЛТ, 2015. – 230 c.
- Мельников, В. П. Защита информации: Учебник / В. П. Мельников. – М.: Академия, 2019. – 320 c.
- Москвитин, Г. И. Комплексная защита информации в организации / Г. И. Москвитин. – М.: Русайнс, 2017. – 400 c.
- Северин, В. А. Правовая защита информации в коммерческих организациях / В. А. Северин. – М.: Academia, 2017. – 126 c.
- Сергеева, Ю. С. Защита информации. Конспект лекций / Ю.С. Сергеева. – М.: А–Приор, 2016. – 128 c.
- Хорев, П. Б. Программно–аппаратная защита информации: Учебное пособие / П. Б. Хорев. – М.: Форум, 2017. – 448 c.
- http://www.wired.com/threatlevel/2011/02/dhs–op–ed/
- Публикацию Николь Блейка Джонсона «Support for Info Sharing Could Speed Cyber Law» («Поддержка обмена информацией может ускорить принятие закона о кибербезопасности), C4ISR Journal, июнь 2013 г., стр. 9
- http://www.osce.org/cio/77482
- www.un.org/disarmaments/topics/informationsecurity
- Washington Post, материал от 18 июня 2013 г., стр. 10.