Архитектура Аудит Военная наука Иностранные языки Медицина Металлургия Метрология
Образование Политология Производство Психология Стандартизация Технологии


Основные направления международной деятельности по правовому регулированию сети Интернет



США начали разработку, а в 2003 году приняли Национальную стратегию обеспечения безопасности киберпространства, в которой в качестве стратегических целей указаны: предупреждение кибернападений на критические инфраструктуры США; уменьшение национальных уязвимостей к кибернападениям; минимизация ущерба и времени восстановления после кибернападений, если таковые произошли.

В странах Европы подобные стратегии пока не разработаны, но принята Европейская Конвенция по борьбе с киберпреступностью и определены основные направления развития технологий. Так, во Франции среди таких направлений называются: создание электронного правительства, так называемый «административный Интернет», демократизация доступа к праву, включающая информатизацию судов и доступ к правовой информации.

Одним из элементов благоприятной среды для формирования и существования информационного общества в документах Всемирной встречи названа главенствующая роль права.

Правовое регулирование отношений при осуществлении деятельности с использованием Интернета представляет собой глобальную комплексную проблему, требующую согласованных на межгосударственном уровне решений. В связи с этим трудно переоценить сам факт встречи на высшем уровне и вектор действий, который она наметила.

Можно выделить основные направления правового регулирования отношений в Интернете:

· защита от вредной и незаконной информации;

· соблюдение авторских и смежных прав;

· вопросы электронного документооборота, доменные имена, правовое регулирование отношений при использовании электронной подписи;

· вопросы киберэкономики (электронные деньги, реклама, маркетинг, электронные публикации, электронные контракты, налог на передачу информации, ЭП)

· ИБ;

· правонарушения в Интернете.

С какой целью разрабатывались международные стандарты ИБ?

Проведение аудита ИБ основывается на использовании многочисленных рекомендаций, которые изложены преимущественно в международных стандартах ИБ. Использование стандартов способствует решению следующих пяти задач.

Во-первых, строго определяются цели обеспечения ИБ компьютерных систем. Во-вторых, создается эффективная система управления информационной безопасностью. В-третьих, обеспечивается расчет совокупности детализированных не только качественных, но и количественных показателей для оценки соответствия ИБ заявленным целям. В-четвертых, создаются условия применения имеющегося инструментария (программных средств) обеспечения ИБ и оценки ее текущего состояния. В-пятых, открывается возможность использования методик управления безопасностью с обоснованной системой метрик и мер обеспечения разработчиков информационных систем.

Основные международные стандарты ИБ

Начиная с начала 80-х годов, были созданы десятки международных и национальных стандартов в области ИБ, которые в определенной мере дополняют друг друга. Наиболее известные стандарты по хронологии их создания:

1. Критерий оценки надежности компьютерных систем «Оранжевая книга» (США);

2. Гармонизированные критерии европейских стран;

3. Рекомендации Х.800;

4. Германский стандарт BSI;

5. Британский стандарт BS 7799;

6. Стандарт ISO 17799;

7. Стандарт «Общие критерии» ISO 15408;

8. Стандарт COBIT

Эти стандарты можно разделить на два вида:

· Оценочные стандарты, направленные на классификацию информационных систем и средств защиты по требованиям безопасности;

· Технические спецификации, регламентирующие различные аспекты реализации средств защиты.

Важно отметить, что между этими видами нормативных документов существует логическая взаимосвязь. Оценочные стандарты выделяют важнейшие, с точки зрения ИБ, аспекты ИС, играя роль архитектурных спецификаций. Другие технические спецификации определяют, как строить ИС предписанной архитектуры. Далее рассмотрены особенности этих стандартов.

Какие критерии определяют степень доверия в стандарте «Оранжевая книга»?

Степень доверия оценивается по двум основным критериям.

1. Политика безопасности – набор законов, правил и норм поведения, определяющих, как организация обрабатывает, защищает и распространяет информацию. В частности, правила определяют, в каких случаях пользователь может оперировать конкретными наборами данных. Чем выше степень доверия системе, тем строже и многообразнее должна быть политика безопасности. В зависимости от сформулированной политики можно выбирать конкретные механизмы обеспечения безопасности. Политика безопасности — это активный аспект защиты, включающий в себя анализ возможных угроз и выбор мер противодействия.

2. Уровень гарантированности – мера доверия, которая может быть оказана архитектуре и реализации ИС. Доверие безопасности может проистекать как из анализа результатов тестирования, так и из проверки (формальной или нет) общего замысла и реализации системы в целом и отдельных ее компонентов. Уровень гарантированности показывает, насколько корректны механизмы, отвечающие за реализацию политики безопасности. Это пассивный аспект защиты. В «Оранжевой книге» рассматривается два вида гарантированности – операционная и технологическая. Операционная гарантированность относится к архитектурным и реализационным аспектам системы, в то время как технологическая – к методам построения и сопровождения.

Назначения и виды классов безопасности в «Оранжевой книге»

В стандарте определены подходы к ранжированию информационных систем по степени надежности. В " Оранжевой книге" рассматривается четыре уровня безопасности (надежности) — D, С, В и А.

Эти классы безопасности обозначают следующее:

D1 – неудовлетворительная безопасность;

С1, С2 – произвольное управление доступом;

В1, В2, В3 – принудительное управление доступом;

А1 – верифицированная защита.

Таким образом, всего практически используются шесть классов безопасности – С1, С2, В1, В2, ВЗ, А1. Чтобы система в результате процедуры сертификации могла быть отнесена к некоторому классу, ее политика безопасности и гарантированность должны удовлетворять требованиям. Поскольку при переходе к каждому следующему классу требования только добавляются, то дополнительно вписываются только новые, что присуще данному классу, группируя требования в согласии с предшествующим изложением.

Каждый класс безопасности включает набор требований с учетом элементов политики безопасности и требований к гарантированности.

Составляющие ИБ в гармозированных критериях Европейских стран

Следуя по пути интеграции, европейские страны приняли согласованные критерии оценки безопасности информационных технологий (Information Technology Security Evaluation Criteria, ITSEC), опубликованные в июне 1991 года от имени соответствующих органов четырех стран – Франции, Германии, Нидерландов и Великобритании.

Европейские критерии включают следующие основные составляющие ИБ:

Конфиденциальность, то есть защиту от несанкционированного получения информации;

Целостность, то есть защиту от несанкционированного изменения информации;

Доступность, то есть защиту от несанкционированного удержания информации и ресурсов.

В критериях проводится различие между системами и продуктами. Система – это конкретная аппаратно-программная конфигурация, построенная с вполне определенными целями и функционирующая в известном окружении. Продукт – это аппаратно-программный " пакет", который можно купить и по своему усмотрению встроить в ту или иную систему. Таким образом, с точки зрения ИБ, основное отличие между системой и продуктом состоит в том, что система имеет конкретное окружение, которое можно определить и изучить сколь угодно детально, а продукт должен быть рассчитан на использование в различных условиях.

Германский стандарт BSI

В 1998 году в Германии вышло " Руководство по защите информационных технологий для базового уровня". В дальнейшем оно было оформлено в виде германского стандарта BSI. В его основе лежит общая методология и компоненты управления информационной безопасностью.

Все виды угроз в стандарте BSI разделены на следующие классы:

  • Форс-мажорные обстоятельства.
  • Недостатки организационных мер.
  • Ошибки человека.
  • Технические неисправности.
  • Преднамеренные действия.

Аналогично классифицированы контрмеры:

  • Улучшение инфраструктуры;
  • Административные контрмеры;
  • Процедурные контрмеры;
  • Программно-технические контрмеры;
  • Уменьшение уязвимости коммуникаций; планирование действий в чрезвычайных ситуациях.

Все компоненты рассматриваются и описываются по следующему плану:

1) Общее описание;

2) Возможные сценарии угроз безопасности (перечисляются применимые к данной компоненте угрозы из каталога угроз безопасности);

3) Возможные контрмеры (перечисляются применимые к данной компоненте угрозы из каталога угроз безопасности);


Поделиться:



Популярное:

Последнее изменение этой страницы: 2017-03-03; Просмотров: 938; Нарушение авторского права страницы


lektsia.com 2007 - 2024 год. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав! (0.014 с.)
Главная | Случайная страница | Обратная связь