Опубликован: 01.04.2003 | Доступ: свободный | Студентов: 51256 / 22798 | Оценка: 4.36 / 4.11 | Длительность: 14:11:00
ISBN: 978-5-9556-0052-9
Лекция 4:

Законодательный уровень информационной безопасности

< Лекция 3 || Лекция 4: 123456 || Лекция 5 >
Аннотация: Эта лекция посвящена российскому и зарубежному законодательству в области ИБ и проблемам, которые существуют в настоящее время в российском законодательстве.
Ключевые слова: комплексный подход, субъект информационных отношений, законодательный уровень, меры ограничительной направленности, направляющие и координирующие меры, право на информацию, право на личную и семейную тайну, средства защиты информации, банковская тайна, уголовный кодекс, телекоммуникационная сеть, государственная тайна, качество данных, коммерческая тайна, служебная тайна, информация ограниченного доступа, персональные данные, оператор, Обработка персональных данных, Автоматизированная обработка персональных данных, Распространение персональных данных, Предоставление персональных данных, Блокирование персональных данных, Уничтожение персональных данных, Обезличивание персональных данных, Информационная система персональных данных, Трансграничная передача персональных данных, Общедоступные ПД, Специальные категории ПД , Биометрические ПД , лицензия, лицензируемый вид деятельности, лицензирование, лицензирующие органы, лицензиат, электронная подпись, сертификат ключа проверки электронной подписи, квалифицированный сертификат ключа проверки электронной подписи, владелец сертификата ключа проверки электронной подписи, ключ электронной подписи, ключ проверки электронной подписи, удостоверяющий центр, простая электронная подпись, усиленная электронная подпись, неквалифицированная электронная подпись, квалифицированная электронная подпись, очередь, computer security, information security, management, FISMA, операции, активы, NIST, информационная безопасность, закон о защите данных, federation, data protection, amend, law, защита персональных данных, права, ответственность, субъекта данных, добровольные стандарты, программа безопасности, глобальная сеть, вторжение, плоскость, нормативные документы, целый, безопасность, встраивания, опыт

Что такое законодательный уровень информационной безопасности и почему он важен

В деле обеспечения информационной безопасности успех может принести только комплексный подход. Мы уже указывали, что для защиты интересов субъектов информационных отношений необходимо сочетать меры следующих уровней:

  • законодательного;
  • административного (приказы и другие действия руководства организаций, связанных с защищаемыми информационными системами);
  • процедурного (меры безопасности, ориентированные на людей);
  • программно-технического.

Законодательный уровень является важнейшим для обеспечения информационной безопасности. Большинство людей не совершают противоправных действий не потому, что это технически невозможно, а потому, что это осуждается и/или наказывается обществом, потому, что так поступать не принято.

Мы будем различать на законодательном уровне две группы мер:

  • меры, направленные на создание и поддержание в обществе негативного (в том числе с применением наказаний) отношения к нарушениям и нарушителям информационной безопасности (назовем их мерами ограничительной направленности );
  • направляющие и координирующие меры, способствующие повышению образованности общества в области информационной безопасности, помогающие в разработке и распространении средств обеспечения информационной безопасности (меры созидательной направленности).

На практике обе группы мер важны в равной степени, но нам хотелось бы выделить аспект осознанного соблюдения норм и правил ИБ. Это важно для всех субъектов информационных отношений, поскольку рассчитывать только на защиту силами правоохранительных органов было бы наивно. Необходимо это и тем, в чьи обязанности входит наказывать нарушителей, поскольку обеспечить доказательность при расследовании и судебном разбирательстве компьютерных преступлений без специальной подготовки невозможно.

Самое важное (и, вероятно, самое трудное) на законодательном уровне - создать механизм, позволяющий согласовать процесс разработки законов с реалиями и прогрессом информационных технологий. Законы не могут опережать жизнь, но важно, чтобы отставание не было слишком большим, так как на практике, помимо прочих отрицательных моментов, это ведет к снижению информационной безопасности.

< Лекция 3 || Лекция 4: 123456 || Лекция 5 >
Александр Солошенко
Александр Солошенко

В курсе "Основы информационной безопасности" в лекции 3 "Наиболее распространенные угрозы", разделе "Вредоносное программное обеспечение" мне непонятно значение термина "интерпретируемые компоненты документа" в следующем контексте:

"Как уже говорилось, пассивные объекты отходят в прошлое; так называемое активное содержимое становится нормой. Файлы, которые по всем признакам должны были бы относиться к данным (например, документы в форматах MS-Word или Postscript, тексты почтовых сообщений), способны содержать интерпретируемые компоненты, которые могут запускаться неявным образом при открытии файла. Как и всякое в целом прогрессивное явление, такое "повышение активности данных" имеет свою оборотную сторону (в рассматриваемом случае - отставание в разработке механизмов безопасности и ошибки в их реализации). Обычные пользователи еще не скоро научатся применять интерпретируемые компоненты "в мирных целях" (или хотя бы узнают об их существовании), а перед злоумышленниками открылось по существу неограниченное поле деятельности. Как ни банально это звучит, но если для стрельбы по воробьям выкатывается пушка, то пострадает в основном стреляющий."

Что такое интерпретируемые компоненты по своей сути? Какие есть примеры?

Галина Касимова
Галина Касимова