Международные правовые и нормативные акты обеспечения ИБ.
Программа Законодательные меры по защите процессов переработки информации заключаются в исполнении существующих в стране или введении новых законов, положений, постановлений и инструкций, регулирующих юридическую ответственность должностных лиц (пользователей и обслуживающего персонала) за утечку, потерю или модификацию доверенной ему информации, подлежащей защите.
Цель законодательных мер – предупреждение и сдерживание потенциальных нарушителей.
В международной практике обеспечения ИБ основными направлениями являются:
§ нормирование компьютерной безопасности по критериям оценки защищённости надёжных систем и информационных технологий;
§ стандартизация процессов создания безопасных информационных систем.
В 1983 г. Агентство компьютерной безопасности Министерства обороны США опубликовало отчёт, названный TCSEC ("Критерии оценки защищённости надёжных систем") – "Оранжевая книга" (по цвету переплёта).
Для оценки компьютерных систем Министерства обороны США Национальный центр компьютерной безопасности Минобороны США выпустил инструкции NCSC-TG-005 и NCSC-TG-011, известные как «Красная книга». В свою очередь, Агентство информационной безопасности ФРГ подготовило GREEN BOOK («Зелёная книга»), в которой рассмотрены в комплексе требования к доступности, целостности и конфиденциальности информации как в государственном, так и в частном секторе.
В 1990 г. «Зелёная книга» была одобрена ФРГ, Великобританией, Францией и Голландией и направлена в Европейский Союз, где на её основе были подготовлены ITSEC («Критерии оценки защищённости информационных технологий»), или «Белая книга», как европейский стандарт, определяющий критерии, требования и процедуры для создания безопасных информационных систем и имеющий две схемы оценки: по эффективности (от Е1 до Е6) и по функциональности (доступность, целостность системы, целостность данных, конфиденциальность информации и передачи данных).
Ключевую роль играет американский "Закон об информационной безопасности" (Computer Security Act of 1987, Public Law 100-235 (H.R. 145), January 8, 1988). Его цель - реализация минимально достаточных действий по обеспечению безопасности информации в федеральных компьютерных системах, без ограничений всего спектра возможных действий.
Характерно, что уже в начале Закона называется конкретный исполнитель - Национальный институт стандартов и технологий (НИСТ), отвечающий за выпуск стандартов и руководств, направленных на защиту от уничтожения и несанкционированного доступа к информации, а также от краж и подлогов, выполняемых с помощью компьютеров. Таким образом, имеется в виду как регламентация действий специалистов, так и повышение информированности всего общества.
Согласно Закону, все операторы федеральных ИС, содержащих конфиденциальную информацию, должны сформироватьпланы обеспечения ИБ.Обязательным является и периодическое обучение всего персонала таких ИС. НИСТ, в свою очередь, обязан проводить исследования природы и масштаба уязвимых мест, вырабатывать экономически оправданные меры защиты. Результаты исследований рассчитаны на применение не только в государственных системах, но и в частном секторе.
С практической точки зрения важен раздел 6 Закона, обязывающий все правительственные ведомства сформировать план обеспечения информационной безопасности, направленный на то, чтобы компенсировать риски и предотвратить возможный ущерб от утери, неправильного использования, несанкционированного доступа или модификации информации в федеральных системах.
В 1997 году появилось продолжение описанного закона - законопроект "О совершенствовании информационной безопасности" (Computer Security Enhancement Act of 1997, H.R. 1903), направленный на усиление роли Национального института стандартов и технологий и упрощение операций с криптосредствами.
Для защиты федеральных ИС рекомендуется более широко применять технологические решения, основанные на разработках частного сектора. Кроме того, предлагается оценить возможности общедоступных зарубежных разработок.
Очень важен раздел 3, в котором от НИСТ требуется по запросам частного сектора готовить добровольные стандарты, руководства, средства и методы для инфраструктуры открытых ключей, позволяющие сформировать негосударственную инфраструктуру, пригодную для взаимодействия с федеральными ИС.
В разделе 4 особое внимание обращается на необходимость анализа средств и методов оценки уязвимых мест других продуктов частного сектора в области ИБ.
Приветствуется разработка правил безопасности, нейтральных по отношению к конкретным техническим решениям, использование в федеральных ИС коммерческих продуктов, участие в реализации шифровальных технологий, позволяющее в конечном итоге сформировать инфраструктуру, которую можно рассматривать как резервную для федеральных ИС.
В 2001 году был одобрен Палатой представителей и передан в Сенат новый вариант рассмотренного законопроекта - Computer Security Enhancement Act of 2001 (H.R. 1259 RFS).
Программа безопасности, предусматривающая экономически оправданные защитные меры и синхронизированная с жизненным циклом ИС, упоминается в законодательстве США неоднократно. Согласно пункту 3534 ("Обязанности федеральных ведомств") подглавы II ("Информационная безопасность") главы 35 ("Координация федеральной информационной политики") рубрики 44 ("Общественные издания и документы"), такая программа должна включать:
· периодическую оценку рисков с рассмотрением внутренних и внешних угроз целостности, конфиденциальности и доступности систем, а также данных, ассоциированных с критически важными операциями и ресурсами;
· правила и процедуры, позволяющие, опираясь на проведенный анализ рисков, экономически оправданным образом уменьшить риски до приемлемого уровня;
· обучение персонала с целью информирования о существующих рисках и об обязанностях, выполнение которых необходимо для их (рисков) нейтрализации;
· периодическую проверку и (пере)оценку эффективности правил и процедур;
· действия при внесении существенных изменений в систему;
· процедуры выявления нарушений информационной безопасности и реагирования на них; эти процедуры должны помочь уменьшить риски, избежать крупных потерь; организовать взаимодействие с правоохранительными органами.
В законодательстве ФРГ выделяется весьма развернутый (44 раздела) Закон о защите данных (Federal Data Protection Act of December 20, 1990 (BGBl.I 1990 S.2954), amended by law of September 14, 1994 (BGBl. I S. 2325)). Он целиком посвящен защите персональных данных.
Как, вероятно, и во всех других законах аналогичной направленности, в данном случае устанавливается приоритет интересов национальной безопасности над сохранением тайны частной жизни. В остальном права личности защищены весьма тщательно. Например, если сотрудник фирмы обрабатывает персональные данные в интересах частных компаний, он дает подписку о неразглашении, которая действует и после перехода на другую работу.
Из законодательства Великобритании выделяется семейство так называемых добровольных стандартов BS 7799, помогающих организациям на практике сформировать программы безопасности.
В современном мире глобальных сетей законодательная база должна быть согласована с международной практикой.
Самое важное (и, вероятно, самое трудное) на законодательном уровне - создать механизм, позволяющий согласовать процесс разработки законов с реалиями и прогрессом информационных технологий. Пока такого механизма нет.