ВУЗ:
Составители:
3.1.2. ЗАКОНОДАТЕЛЬНАЯ БАЗА В ОБЛАСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ
Законодательный уровень является важнейшим для обеспечения информационной
безопасности. Большинство людей не совершают противоправных действий не потому,
что это технически невозможно, а потому, что это осуждается и/или наказывается обще-
ством. Различают на законодательном уровне две группы мер:
1) меры, направленные на создание и поддержание в обществе негативного (в том
числе карательного) отношения к нарушениям и нарушителям информационной безопас-
ности;
2) направляющие и координирующие меры, способствующие повышению образо-
ванности общества в области информационной безопасности, помогающие в разработке
и распространении средств обеспечения информационной безопасности.
К первой группе следует отнести, в первую очередь, главу 28 «Преступления в сфе-
ре компьютерной информации» раздела IX новой редакции Уголовного кодекса. Эта гла-
ва достаточно полно охватывает основные угрозы информационным системам, однако
обеспечение практической реализуемости соответствующих статей пока остается про-
блематичным.
Закон «Об информации, информатизации и защите информации» можно причислить
к этой же группе. Правда, положения этого закона носят весьма общий характер, а ос-
новное содержание статей, посвященных информационной безопасности, сводится к не-
обходимости использовать исключительно сертифицированные средства, что, в общем,
правильно, но далеко не достаточно.
В Государственной Думе подготовлены законы «О праве на информацию», «О ком-
мерческой тайне», «О персональных данных», которые охватывают все категории субъектов
информационных отношений.
К группе направляющих и координирующих законов и нормативных актов относит-
ся целая группа документов, регламентирующих процессы лицензирования и сертифика-
ции в области информационной безопасности. Главная роль здесь отведена Государствен-
ной технической комиссии (Гостехкомиссии) при Президенте Российской Федерации.
В области информационной безопасности законы реально преломляются и работают
через нормативные документы, подготовленные соответствующими ведомствами. В этой
связи очень важны Руководящие документы Гостехкомиссии, определяющие требования
к классам защищенности средств вычислительной техники и автоматизированных сис-
тем. Необходимо выделить утвержденный в июле 1997 г. Руководящий документ по
межсетевым экранам, вводящий в официальную сферу один из самым современных клас-
сов защитных средств. Как уже указывалось, самое важное на законодательном уровне –
создать механизм, позволяющий согласовать процесс разработки законов с реалиями и
прогрессом информационных технологий. Конечно, законы не могут опережать жизнь,
но важно, чтобы отставание не было слишком большим, так как на практике, помимо
прочих отрицательных моментов, это ведет к снижению информационной безопасности.
Пока только Гостехкомиссия России демонстрирует способность динамично развивать
нормативную базу.
В современном мире глобальных сетей нормативно правовая база должна быть со-
гласована с международной практикой. Хотелось бы обратить особое внимание на жела-
тельность приведения российских стандартов и сертификационных нормативов в соот-
ветствие с международным уровнем информационных технологий вообще и информаци-
онной безопасности в частности. Есть много причин, по которым это должно быть сдела-
но. Одна из них – необходимость защищенного взаимодействия с зарубежными органи-
зациями и зарубежными филиалами российских организаций. Вторая – доминирование
аппаратно–программных продуктов зарубежного производства.
На законодательном уровне должен получить реалистичное решение вопрос об от-
ношении к таким изделиям. Здесь необходимо разделить два аспекта: независимость в
области информационных технологий и информационную безопасность.
Использование зарубежных продуктов в некоторых критически важных системах (в
первую очередь военных) в принципе может представлять угрозу национальной безопас-
ности (в том числе информационной), поскольку нельзя исключить вероятности встраи-
вания закладных элементов. В то же время, в подавляющем большинстве случаев потен-
циальные угрозы информационной безопасности носят исключительно внутренний ха-
рактер. В таких условиях незаконность использования зарубежных разработок (ввиду
сложностей с их сертификацией) при отсутствии отечественных аналогов затрудняет
(или вообще делает невозможной) защиту информации без серьезных на то оснований.
Проблема сертификации аппаратно программных продуктов зарубежного производства
Страницы
- « первая
- ‹ предыдущая
- …
- 19
- 20
- 21
- 22
- 23
- …
- следующая ›
- последняя »
