Законодательный уровень информационной безопасности


Законодательный уровень информационной безопасности

Аннотация: Эта лекция посвящена российскому и зарубежному законодательству в области ИБ и проблемам, которые существуют в настоящее время в российском законодательстве.

Ключевые слова: комплексный подход, субъект информационных отношений, законодательный уровень, меры ограничительной направленности, направляющие и координирующие меры, право на информацию, право на личную и семейную тайну, средства защиты информации, банковская тайна, коммерческая тайна, служебная тайна, уголовный кодекс, телекоммуникационная сеть, информационный сервис, государственная тайна, качество данных, информация ограниченного доступа, лицензия, лицензируемый вид деятельности, лицензирование, аннулирование, лицензирующие органы, лицензиат, криптографические средства, предпринимательский, электронный документ, электронная цифровая подпись, закрытый ключ, сертификат ключа подписи, владелец сертификата ключа подписи, удостоверяющий центр, средства электронной цифровой подписи, сертификат средств ЭЦП, открытый ключ, подтверждение подлинности ЭЦП, пользователь сертификата ключа подписи, информационная система общего пользования, корпоративная информационная система, защита персональных данных, случайный доступ, очередь, computationally secure, public, law, исполнитель, подлог, операторы, планы обеспечения ИБ, деятельность, ущерб, enhancement, аутентичность, добровольные стандарты, инфраструктуры открытых ключей, ЭЦП, оценки уязвимых мест, инфраструктура, партнерство, computer, security, FIPS, программа безопасности, информационная безопасность, координация, программа, анализ рисков, нарушение информационной безопасности, info, закон о защите данных, federation, data protection, amend, защита персональных данных, права, персональные данные, ответственность, субъекта данных, глобальная сеть, вторжение, плоскость, нормативные документы, целый, безопасность, встраивания, опыт

В деле обеспечения информационной безопасности успех может принести только комплексный подход. Мы уже указывали, что для защиты интересов субъектов информационных отношений необходимо сочетать меры следующих уровней:

  • законодательного;
  • административного (приказы и другие действия руководства организаций, связанных с защищаемыми информационными системами);
  • процедурного (меры безопасности, ориентированные на людей);
  • программно-технического.

Законодательный уровень является важнейшим для обеспечения информационной безопасности. Большинство людей не совершают противоправных действий не потому, что это технически невозможно, а потому, что это осуждается и/или наказывается обществом, потому, что так поступать не принято.

Мы будем различать на законодательном уровне две группы мер:

  • меры, направленные на создание и поддержание в обществе негативного (в том числе с применением наказаний) отношения к нарушениям и нарушителям информационной безопасности (назовем их мерами ограничительной направленности );
  • направляющие и координирующие меры, способствующие повышению образованности общества в области информационной безопасности, помогающие в разработке и распространении средств обеспечения информационной безопасности (меры созидательной направленности).

На практике обе группы мер важны в равной степени, но нам хотелось бы выделить аспект осознанного соблюдения норм и правил ИБ. Это важно для всех субъектов информационных отношений, поскольку рассчитывать только на защиту силами правоохранительных органов было бы наивно. Необходимо это и тем, в чьи обязанности входит наказывать нарушителей, поскольку обеспечить доказательность при расследовании и судебном разбирательстве компьютерных преступлений без специальной подготовки невозможно.

Самое важное (и, вероятно, самое трудное) на законодательном уровне - создать механизм, позволяющий согласовать процесс разработки законов с реалиями и прогрессом информационных технологий. Законы не могут опережать жизнь, но важно, чтобы отставание не было слишком большим, так как на практике, помимо прочих отрицательных моментов, это ведет к снижению информационной безопасности.

www.intuit.ru

Законодательный уровень иб

Меры:

- ограничительной направленности: меры, направленные на создание и поддержание в обществе негативного отношения к нарушением и нарушителям в том числе с применением наказания;

- меры направляющие и координирующие: меры, способствующие повышению уровня образования граждан, меры созидательной направленности.

На практике важны обе группы мер, особенно для субъектов, самое трудное - создание механизма, согласовывающего разработку законов с реалиями.

Нужно осознавать, что необходимо не только защищаться, но и наказывать нарушителя, то есть обеспечивать доказанность свершения преступления.

Основной закон РФ - Конституция РФ.

24 статья в Конституции РФ: органы власти должны обеспечивать гражданам доступ к документам, где прописаны наши права и свободы.

41 статья в Конституции РФ: об знании фактов об угрозе нашей жизни.

42 статья в Конституции РФ: о знании состояния окружающей среды.

23 статья в Конституции РФ: право на личную тайну, переписку и т.д.

29 статья в Конституции РФ: о свободе распространения данных, информации, право свободно искать, получать, производить, передавать и распространять информацию.

УК РФ 28 глава “Преступления в сфере компьютерной безопасности”

272 статья: Неправомерный доступ к компьютерной и информации.

Имеет дело с посягательством на конфиденциальность.

273 статья: Создание, распространение и использование вредоносного ПО для ЭВМ.

Имеет дело с вредоносным ПО.

274 статья: Нарушение правил эксплуатации ЭВМ, системы ЭВМ, сети.

Имеет дело с посягательством на целостность и доступностью.

//Гостайна вне закона.

Закон об информации, информационных технологиях и защите информации.

Основополагающий среди законов в РФ.

Закон дает понятие ИНФ.

Информация - сведения вне зависимости от форм их преставления.

Закон содержит принципы и обязанности, см. в учебнике.

Делается упор на конфиденциальность.

Закон 128 “О лицензировании вида деятельности”

Лицензия - разрешение на вид деятельности.

Почти все виды деятельности, связанные с шифрованием, криптографией и защитой информации подлежат лицензированию.

Но! Действие закона “О лицензировании вида деятельности” не распространяется на область связи, гостайны, образования.

Закон “Об электронно-цифровой подписи”

Электронно-цифровая подпись - реквизит электронного документа, защита от подделки, получается путем криптографического преобразования информации с помощью закрытого ключа электронно-цифровой подписи, так же позволяет идентифицировать владельца э.ц.п., устанавливает отсутствие искажения информации в документе.

//Закрытый ключ - см. раздел Шифрование.

Цели закона:

1. Обеспечение правовых целей использования э.-ц.п. в электронных документах;

2. Закон распространяется на гражданско-правовые отношения.

Оценочные стандарты

Оценочные стандарты существуют:

1. направленные на классификацию информационных систем и средств защиты по требованиях информационной безопасности;

2. Технические спецификации, регламентирующие различные аспекты реализации средств защиты.

Оранжевая книга - это первый оценочный стандарт, получивнший широкое распространение и оказавший огромное влияние на базу стандартизации информационной безопасности.

Речь идет не о безопасных системах, а о доверенных системах, т.е. о системах, которых можно в оказывать в какой-то мере степень доверия.

studfiles.net

Законодательный уровень информационной безопасности

Аннотация: Эта лекция посвящена российскому и зарубежному законодательству в области ИБ и проблемам, которые существуют в настоящее время в российском законодательстве.

Ключевые слова: комплексный подход, субъект информационных отношений, законодательный уровень, меры ограничительной направленности, направляющие и координирующие меры, право на информацию, право на личную и семейную тайну, средства защиты информации, банковская тайна, коммерческая тайна, служебная тайна, уголовный кодекс, телекоммуникационная сеть, информационный сервис, государственная тайна, качество данных, информация ограниченного доступа, лицензия, лицензируемый вид деятельности, лицензирование, аннулирование, лицензирующие органы, лицензиат, криптографические средства, предпринимательский, электронный документ, электронная цифровая подпись, закрытый ключ, сертификат ключа подписи, владелец сертификата ключа подписи, удостоверяющий центр, средства электронной цифровой подписи, сертификат средств ЭЦП, открытый ключ, подтверждение подлинности ЭЦП, пользователь сертификата ключа подписи, информационная система общего пользования, корпоративная информационная система, защита персональных данных, случайный доступ, очередь, computationally secure, public, law, исполнитель, подлог, операторы, планы обеспечения ИБ, деятельность, ущерб, enhancement, аутентичность, добровольные стандарты, инфраструктуры открытых ключей, ЭЦП, оценки уязвимых мест, инфраструктура, партнерство, computer, security, FIPS, программа безопасности, информационная безопасность, координация, программа, анализ рисков, нарушение информационной безопасности, info, закон о защите данных, federation, data protection, amend, защита персональных данных, права, персональные данные, ответственность, субъекта данных, глобальная сеть, вторжение, плоскость, нормативные документы, целый, безопасность, встраивания, опыт

В деле обеспечения информационной безопасности успех может принести только комплексный подход. Мы уже указывали, что для защиты интересов субъектов информационных отношений необходимо сочетать меры следующих уровней:

  • законодательного;
  • административного (приказы и другие действия руководства организаций, связанных с защищаемыми информационными системами);
  • процедурного (меры безопасности, ориентированные на людей);
  • программно-технического.

Законодательный уровень является важнейшим для обеспечения информационной безопасности. Большинство людей не совершают противоправных действий не потому, что это технически невозможно, а потому, что это осуждается и/или наказывается обществом, потому, что так поступать не принято.

Мы будем различать на законодательном уровне две группы мер:

  • меры, направленные на создание и поддержание в обществе негативного (в том числе с применением наказаний) отношения к нарушениям и нарушителям информационной безопасности (назовем их мерами ограничительной направленности );
  • направляющие и координирующие меры, способствующие повышению образованности общества в области информационной безопасности, помогающие в разработке и распространении средств обеспечения информационной безопасности (меры созидательной направленности).

На практике обе группы мер важны в равной степени, но нам хотелось бы выделить аспект осознанного соблюдения норм и правил ИБ. Это важно для всех субъектов информационных отношений, поскольку рассчитывать только на защиту силами правоохранительных органов было бы наивно. Необходимо это и тем, в чьи обязанности входит наказывать нарушителей, поскольку обеспечить доказательность при расследовании и судебном разбирательстве компьютерных преступлений без специальной подготовки невозможно.

Самое важное (и, вероятно, самое трудное) на законодательном уровне - создать механизм, позволяющий согласовать процесс разработки законов с реалиями и прогрессом информационных технологий. Законы не могут опережать жизнь, но важно, чтобы отставание не было слишком большим, так как на практике, помимо прочих отрицательных моментов, это ведет к снижению информационной безопасности.

www.intuit.ru

Законодательный уровень информационной безопасности

Аннотация: Эта лекция посвящена российскому и зарубежному законодательству в области ИБ и проблемам, которые существуют в настоящее время в российском законодательстве.

Ключевые слова: комплексный подход, субъект информационных отношений, законодательный уровень, меры ограничительной направленности, направляющие и координирующие меры, право на информацию, право на личную и семейную тайну, средства защиты информации, банковская тайна, коммерческая тайна, служебная тайна, уголовный кодекс, телекоммуникационная сеть, информационный сервис, государственная тайна, качество данных, информация ограниченного доступа, лицензия, лицензируемый вид деятельности, лицензирование, аннулирование, лицензирующие органы, лицензиат, криптографические средства, предпринимательский, электронный документ, электронная цифровая подпись, закрытый ключ, сертификат ключа подписи, владелец сертификата ключа подписи, удостоверяющий центр, средства электронной цифровой подписи, сертификат средств ЭЦП, открытый ключ, подтверждение подлинности ЭЦП, пользователь сертификата ключа подписи, информационная система общего пользования, корпоративная информационная система, защита персональных данных, случайный доступ, очередь, computationally secure, public, law, исполнитель, подлог, операторы, планы обеспечения ИБ, деятельность, ущерб, enhancement, аутентичность, добровольные стандарты, инфраструктуры открытых ключей, ЭЦП, оценки уязвимых мест, инфраструктура, партнерство, computer, security, FIPS, программа безопасности, информационная безопасность, координация, программа, анализ рисков, нарушение информационной безопасности, info, закон о защите данных, federation, data protection, amend, защита персональных данных, права, персональные данные, ответственность, субъекта данных, глобальная сеть, вторжение, плоскость, нормативные документы, целый, безопасность, встраивания, опыт

В деле обеспечения информационной безопасности успех может принести только комплексный подход. Мы уже указывали, что для защиты интересов субъектов информационных отношений необходимо сочетать меры следующих уровней:

  • законодательного;
  • административного (приказы и другие действия руководства организаций, связанных с защищаемыми информационными системами);
  • процедурного (меры безопасности, ориентированные на людей);
  • программно-технического.

Законодательный уровень является важнейшим для обеспечения информационной безопасности. Большинство людей не совершают противоправных действий не потому, что это технически невозможно, а потому, что это осуждается и/или наказывается обществом, потому, что так поступать не принято.

Мы будем различать на законодательном уровне две группы мер:

  • меры, направленные на создание и поддержание в обществе негативного (в том числе с применением наказаний) отношения к нарушениям и нарушителям информационной безопасности (назовем их мерами ограничительной направленности );
  • направляющие и координирующие меры, способствующие повышению образованности общества в области информационной безопасности, помогающие в разработке и распространении средств обеспечения информационной безопасности (меры созидательной направленности).

На практике обе группы мер важны в равной степени, но нам хотелось бы выделить аспект осознанного соблюдения норм и правил ИБ. Это важно для всех субъектов информационных отношений, поскольку рассчитывать только на защиту силами правоохранительных органов было бы наивно. Необходимо это и тем, в чьи обязанности входит наказывать нарушителей, поскольку обеспечить доказательность при расследовании и судебном разбирательстве компьютерных преступлений без специальной подготовки невозможно.

Самое важное (и, вероятно, самое трудное) на законодательном уровне - создать механизм, позволяющий согласовать процесс разработки законов с реалиями и прогрессом информационных технологий. Законы не могут опережать жизнь, но важно, чтобы отставание не было слишком большим, так как на практике, помимо прочих отрицательных моментов, это ведет к снижению информационной безопасности.

www.intuit.ru


Смотрите также