Опубликован: 01.04.2003 | Доступ: свободный | Студентов: 51261 / 22801 | Оценка: 4.36 / 4.11 | Длительность: 14:11:00
ISBN: 978-5-9556-0052-9
Лекция 4:

Законодательный уровень информационной безопасности

< Лекция 3 || Лекция 4: 123456 || Лекция 5 >

Обзор зарубежного законодательства в области информационной безопасности

Конечно, излишняя амбициозность заголовка очевидна. Разумеется, мы лишь пунктиром очертим некоторые законы нескольких стран (в первую очередь - США), поскольку только в США таких законодательных актов около 500.

Долгое время ключевую роль в области защиты информации в США играл американский "Закон об информационной безопасности" (Computer Security Act of 1987). Но в 2002 году он был заменен Федеральным законом об управлении информационной безопасностью (Federal Information Security Management Act of 2002) или как его кратко называют – FISMA. В 2014 году FISMA был обновлен президентом Бараком Обамой. Закон доступен на сайте Белого дома - https://www.whitehouse.gov/

FISMA был разработан "в ответ на растущее количество кибератак на федеральное правительство" (в соответствии с Википедией). Закон признает важность информационной безопасности для экономических и национальных интересов США и требует от каждого федерального агентства разработать и внедрить программу по обеспечению безопасности информации и информационных систем, которые поддерживают операции и активы агентства. Для таких агентств, как NIST (Национальный институт стандартов) и OMB (Управление по вопросам управления и бюджета), назначаются конкретные обязанности. Так, NIST отвечает за разработку стандартов, руководств и связанных с ними методов и приемов для обеспечения адекватной информационной безопасности всех агентств, за исключением системы национальной безопасности США.

В соответствии с FISMA термин информационная безопасность означает защиту информации и информационных систем от несанкционированного доступа, использования, раскрытия, нарушения, модификации или уничтожения в целях обеспечения целостности, конфиденциальности и доступности.

Организации должны соответствовать минимальным требованиям безопасности путем выбора соответствующих мер контроля безопасности и требований из NIST 800-53 - "Контроли безопасности и приватности для федеральных информационных систем и организаций". Суть документа заключается в описании контролей безопасности, а также инструкциях о том, как ими грамотно пользоваться. Стоит заметить, что документ очень объёмный и описание контролей занимает почти 250 страниц, а общее их количество насчитывает несколько сотен страниц. Все контроли в стандарте разбиты на семьи, отвечающие различным областям обеспечения ИБ.

В законодательстве ФРГ выделим весьма развернутый (44 раздела) Закон о защите данных (Federal Data Protection Act of December 20, 1990 (BGBl.I 1990 S.2954), amended by law of September 14, 1994 (BGBl. I S. 2325)). Он целиком посвящен защите персональных данных.

Как, вероятно, и во всех других законах аналогичной направленности, в данном случае устанавливается приоритет интересов национальной безопасности над сохранением тайны частной жизни. В остальном права личности защищены весьма тщательно. Например, если сотрудник фирмы обрабатывает персональные данные в интересах частных компаний, он дает подписку о неразглашении, которая действует и после перехода на другую работу.

Государственные учреждения, хранящие и обрабатывающие персональные данные, несут ответственность за нарушение тайны частной жизни "субъекта данных", как говорится в Законе.

Из законодательства Великобритании упомянем семейство так называемых добровольных стандартов BS 7799, помогающих организациям на практике сформировать программы безопасности. В последующих лекциях мы еще вернемся к рассмотрению этих стандартов; здесь же отметим, что они действительно работают, несмотря на "добровольность" (или благодаря ей?).

В современном мире глобальных сетей законодательная база должна быть согласована с международной практикой. В этом плане поучителен пример Аргентины. В конце марта 1996 года компетентными органами Аргентины был арестован Хулио Цезар Ардита, 21 года, житель Буэнос-Айреса, системный оператор электронной доски объявлений "Крик", известный в компьютерном подполье под псевдонимом "El Griton". Ему вменялись в вину систематические вторжения в компьютерные системы ВМС США, НАСА, многих крупнейших американских университетов, а также в компьютерные системы Бразилии, Чили, Кореи, Мексики и Тайваня. Однако, несмотря на тесное сотрудничество компетентных органов Аргентины и США, Ардита был отпущен без официального предъявления обвинений, поскольку по аргентинскому законодательству вторжение в компьютерные системы не считается преступлением. Кроме того, в силу принципа "двойной криминальности", действующего в международных правовых отношениях, Аргентина не может выдать хакера американским властям. Дело Ардита показывает, каким может быть будущее международных компьютерных вторжений при отсутствии всеобщих или хотя бы двусторонних соглашений о борьбе с компьютерной преступностью.

< Лекция 3 || Лекция 4: 123456 || Лекция 5 >
Александр Солошенко
Александр Солошенко

В курсе "Основы информационной безопасности" в лекции 3 "Наиболее распространенные угрозы", разделе "Вредоносное программное обеспечение" мне непонятно значение термина "интерпретируемые компоненты документа" в следующем контексте:

"Как уже говорилось, пассивные объекты отходят в прошлое; так называемое активное содержимое становится нормой. Файлы, которые по всем признакам должны были бы относиться к данным (например, документы в форматах MS-Word или Postscript, тексты почтовых сообщений), способны содержать интерпретируемые компоненты, которые могут запускаться неявным образом при открытии файла. Как и всякое в целом прогрессивное явление, такое "повышение активности данных" имеет свою оборотную сторону (в рассматриваемом случае - отставание в разработке механизмов безопасности и ошибки в их реализации). Обычные пользователи еще не скоро научатся применять интерпретируемые компоненты "в мирных целях" (или хотя бы узнают об их существовании), а перед злоумышленниками открылось по существу неограниченное поле деятельности. Как ни банально это звучит, но если для стрельбы по воробьям выкатывается пушка, то пострадает в основном стреляющий."

Что такое интерпретируемые компоненты по своей сути? Какие есть примеры?

Галина Касимова
Галина Касимова