На правах рукописи Крылов Григорий Олегович



страница1/2
Дата18.10.2016
Размер0,51 Mb.
  1   2

На правах рукописи



Крылов Григорий Олегович




МЕЖДУНАРОДНЫЙ ОПЫТ

ПРАВОВОГО РЕГУЛИРОВАНИЯ

ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ И

ЕГО ПРИМЕНЕНИЕ В РОССИЙСКОЙ ФЕДЕРАЦИИ

Специальность 05.13.19 –

методы и системы защиты информации,
информационная безопасность

Автореферат

диссертации на соискание ученой степени
кандидата юридических наук

Москва
2007

Диссертация выполнена на кафедре компьютерного права факультета информационной безопасности Государственного образовательного учреждения высшего профессионального образования Московском инженерно-физическом институте (государственном университете).


Научный руководитель: доктор юридических наук, профессор

Морозов Андрей Витальевич


Официальные оппоненты: доктор юридических наук, профессор
Стрельцов Анатолий Александрович
доктор юридических наук, профессор
Соковых Юрий Юрьевич


Ведущая организация:

Военный университет Министерства обороны Российской Федерации

Защита диссертации состоится 21 мая 2007г. в 16.00 часов на заседании диссертационного Совета ДМ 212.130.08 в МИФИ по адресу: 115409,г. Москва, Каширское шоссе, д. 31, в конференц-зале главного корпуса

С диссертацией можно ознакомиться в библиотеке МИФИ.

Автореферат разослан ____ апреля 2007г.
Просим принять участие в работе совета или прислать отзыв в одном экземпляре, заверенный печатью организации.

Ученый секретарь


диссертационного совета Горбатов В.С.


ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ




Актуальность темы исследования. На протяжении веков достижения естественно-научной культуры порождали проблемы гуманитарной культуры. Техника, будучи усилителем способностей человека, всегда бросала вызов праву, ибо использовалась не только во благо, но и во вред личности, обществу и государству. Единство и борьба противоположностей двух культур особенно усиливается при переходе человечества от эпохи усилителей физических способностей человека в энергетической сфере к эпохе усилителей умственных способностей в информационной сфере. Такими усилителями, как известно, являются средства вычислительной техники и связи, которые существенно меняют пространственно-временные характеристики общественных отношений и порождают новые, ранее неизвестные виды девиантных отношений. Господствующей социальной группой в обществе становятся владельцы информации и ноу-хау технологий, общество трансформируется из постиндустриального в информационное. Изменяется геополитическое информационное противоборство государств, которое все чаще принимает форму планомерных информационных операций под прикрытием принципа свободы информации


Нынешний этап развития информационных технологий характеризуется возможностью массированного информационного воздействия на индивидуальное и общественное сознание вплоть до проведения крупномасштабных информационных войн, в результате чего неизбежным противовесом принципу свободы  информации становится принцип информационной безопасности.

Этот принцип обусловлен глобальной информационной революцией, стремительным развитием и повсеместным внедрением новейших информационных технологий и глобальных средств телекоммуникаций. Проникая во все сферы жизнедеятельности государств, информационная революция расширяет возможности развития международного сотрудничества, формирует планетарное информационное пространство, в котором информация приобретает свойства ценнейшего элемента национального достояния, его стратегического ресурса.

Вместе с тем, становится очевидным, что наряду с положительными моментами такого процесса создается и реальная угроза использования достижений в информационной сфере, в целях, не совместимых с задачами поддержания мировой стабильности и безопасности, соблюдением принципов суверенного равенства государств, мирного урегулирования споров и конфликтов, неприменения силы, невмешательства во внутренние дела, уважения прав и свобод человека.
Имеющаяся в России законодательная база не в полной мере отражает потребности обеспечения информационной безопасности. Системная работа в сфере правового обеспечения информационной безопасности требует научного обоснования дальнейшей разработки таких нормативных актов, в которых бы в полной мере были учтены международные принципы и нормы, направленные на укрепление международной информационной безопасности и вместе с тем максимально учитывались национальные интересы. В связи с изложенным тема исследования представляется актуальной

Цель диссертационного исследования заключалась в обобщении международного опыта правового регулирования информационной безопасности и обосновании концептуальных положений системы правового регулирования в сфере обеспечения информационной безопасности России.

Для достижения сформулированной цели в работе поставлены следующие задачи:

1. Исследовать отечественный и зарубежный понятийный аппарат теории правового обеспечения информационной безопасности с учетом состояния и перспектив развития информационных операций, как источника крупномасштабных массированных информационных угроз и на этой основе внести вклад в основополагающую теорию правового обеспечения информационной безопасности.

2. Систематизировать международные нормы правового регулирования информационной безопасности и соотнести их с международными стандартами информационной безопасности.

3. Обобщить международный опыт практического регулирования информационной безопасности на основе международных стандартов информационной безопасности.

4. Исследовать особенности информационных отношений в сети Интернет, как инфраструктуры глобального информационного общества и перспективных международных отношений, а также особенности сетевых информационных угроз

5. Провести сравнительно–правовой анализ обеспечения информационной безопасности в сети Интернет.

6. Разработать рекомендации по развитию договорного режима оказания безопасных Интернет-услуг в России.

7. Разработать типовые нормативно-правовые акты Службы информационной безопасности кредитной организаци.

8. Разработать рекомендации по нормативному обеспечению аудита информационной безопасности с учетом международного опыта.

9. Исследовать проблемы латентности и прогнозирования угроз информационной безопасности

Объектом исследования являются информационные отношения, возникающие в связи с обеспечением безопасности национальных интересов в глобальной информационной сфере.

Предметом исследования являются международные нормы и стандарты регулирования информационной безопасности в информационных отношениях.

Степень разработанности темы исследования. Опубликованные и проводимые в информационно-правовом поле научные исследования охватывают широкий ряд проблем. Так, изучались вопросы, касающиеся защиты авторских прав на произведения, доступные в сети Интернет, прав на доменное наименование, распространения вредной информации, оказания услуг посредством сети Интернет, ответственности за правонарушения в информационной среде Интернет, а также вопросы электронного документооборота, осуществления безналичных платежей с использованием телекоммуникационных сетей, заключения сделок в электронной форме с использованием электронной подписи и др.

Однако системное исследование международного опыта правого регулирования информационной безопасности и его применения в Российской Федерации с учетом роли информационных операций как источника крупномасштабных массированных угроз информационной безопасности до последнего времени не проводилось, равно как недостаточно полно рассматривались в правовых исследованиях проблемы применения международных стандартов информационной безопасности. Никем и никогда не исследовались проблемы латентности и прогнозирования угроз информационной безопасности.



Эмпирическая база исследования основана на практическом опыте работы автора с 1985 года в качестве начальника отдела защиты информации АСУ ВС РФ, Ученого секретаря Межведомственного координационного совета по проблемам защиты информации ВПК, руководителя Дирекции аудита и методологии финансовой корпорации «УРАЛСИБ», члена докторских диссертационных советов ВАГШ и МИФИ, эксперта Российского фонда фундаментальных исследований и Федерального агентства по науке и инновациям по проблемам информационной безопасности; профессора кафедр компьютерного права информационного права, уголовного процесса, геополитики; главного научного сотрудника Научного центра информационной безопасности Военной академии Генштаба ВС РФ, действительного члена Академии военных наук по отделению национальной безопасности (секция информационной безопасности).

Теоретической основой исследования послужили труды ведущих ученых в области теории государства и права, философии права и в области информационного права, таких, как А.Б. Агапов, С.С. Алексеев, Ю.М. Батурин, И.Л. Бачило, А.Б. Венгеров, В.А. Копылов, Е.А. Лукашева, В.С Маурин, Н.Н.Моисеев, А.В Морозов, В.Б. Наумов, А.И. Ракитов М.М. Рассолов, С.В. Петровский, Ю.Г. Просвирнин, М.М. Рассолов, А.Г.Серго, Ю.Ю.Соковых, А.А.Стрельцов, В.М. Сырых, Ю.А. Тихомиров, Б.Н. Топорнин, А.А. Фатьянов А. В. Шамраев и др.

В исследовании использовались также труды таких зарубежных авторов, как: Ю. Хаяши. И. Масуде, Т. Стоуньер, З. Бжезинский, Д. Белл, О. Тоффлер, Г. Кан и др.



Методологическая основа исследования. В ходе проведения диссертационного исследования автором были использованы такие общенаучные методы исследования, как анализ, синтез, индуктивный и дедуктивный методы, аналогия и моделирование, диалектическая логика и системный подход. В работе применялись и специальные методы: формально-юридический, сравнительно-правового исследования и др.

Нормативно-правовую основу в процессе исследования составили российские и зарубежные правовые акты, действующие в области правового обеспечения информационной безопасности.

Научная новизна работы заключается в том, что автором впервые проведено системное исследование международного опыта правового регулирования информационной безопасности и проблем его применения в Российской Федерации с учетом особенностей национальных интересов и тенденций мирового развития

В ходе исследования получены новые научные результаты:

1. Развита и конкретизирована основополагающая теория правового обеспечения информационной безопасности А.А.Стрельцова. В частности, ключевые понятия этой теории дополнены по открытым источникам Словарем терминов и определений в области информационной безопасности была подготовлена первая редакция словаря1, первичную подготовку которого осуществил лично автор, а также каталогом зарубежных аббревиатур и глоссарием зарубежных терминов в области информационного противоборства. Классификация источников угроз информационной безопасности дополнены информационными операциями, показано их нормативное сопровождение такими правовыми актами, как новый полевой устав Сухопутных войск, по вопросам ведения войсками информационной борьбы – FM-106 "Информационные операции", "Объединенная доктрина информационных операций" Комитета Начальников Штабов (США), инструкция КНШ "О политике в совместных информационных операциях" и "О проведении оборонительных информационных операций", новый устав Сухопутных войск FM-1 «Операции», с объемным разделом «Информационное превосходство», устав ВВС AFD 2-5 «Информационные операции» и ряд других.

2. Разработан раздел 1.2.5. «Проблемы международно-правового регулирования в области информационной безопасности» Основных направлений нормативного правового обеспечения информационной безопасности Российской Федерации, одобренные Межведомственной комиссией Совета Безопасности Российской Федерации по информационной безопасности 27 ноября 2001г. №4.1 в редакции от 6 декабря 2006г. Систематизированы международные нормы правового регулирования информационной безопасности, показана неполнота системы таких норм. Показана роль международных стандартов информационной безопасности в ее практическом обеспечении и роль международного гуманитарного права в информационной сфере при вооруженных конфликтах.

3. Обобщен международный опыт регулирования информационной безопасности. Показано, что практическое регулирование общественных отношений в области использования инфраструктуры информационного общества развивается в направлении повсеместного применения международных стандартов информационной безопасности, таких как ISO 17799. CobiT, BS 7799-2, ISO 9001 и др.

4. Разработана классификация информационных отношений в глобальной сети Интернет по признакам субъектного состава и по признакам информационного процесса, посредством которого удовлетворяются информационные интересы в информационных отношениях. Показано, что всего в сети Интернет может реализоваться 27 видов информационных отношений, из которых 9 видов содержат угрозы ИБ.

5. Показано, что законодательные инициативы правительств стран Европы, Азии и Америки свидетельствует об отсутствии единого подхода по основополагающим принципам правового регулирования информационных отношений субъектов сети Интернет, их правам и обязанностям, пределах правового регулирования информационных отношений субъектов, правовым механизмам защиты субъектов от угроз ИБ. Выделено два подхода к регулированию информационных отношений субъектов Интернет - европейский и азиатский. Показано, что в России подход к регулированию отношений абонента, оператора Интернет и третьих лиц полностью не сформирован, но наметившиеся тенденции соответствуют европейскому подходу.

6. На основании сравнительно-правого исследования для обеспечения информационной безопасности абонента в России в договорном режиме выработаны рекомендации по разграничению прав, обязанностей и ответственности оператора Интернет и абонента

7. Показано, что при разработке Концепции и политики информационной безопасности, положений о структурных подразделениях службы информационной безопасности, должностных инструкций ее сотрудников, других юридически значимых актов, в интересах интеграции Росси в мировое сообщество, в том числе посредством глобальной сети Интернет, необходимо выполнять требования международного стандарта информационной безопасности ISO 17799. Автор впервые в ОАО КБ «НИКойл», ФК «УРАЛСИБ» и в структурных подразделениях этих организаций лично реализовал требования этого стандарта при разработке перечисленных выше актов,

8. Показано, что нормативной основой проведения аудита информационной безопасности в развитых странах и в крупных корпорациях являются в основном стандарты Контроля COBIT и ISO стандарт 17799, которые использовались и автором при проведении аудита информационной безопасности с дополнением их в каждом конкретном случае профилем защиты,

9. Показано, что проблемы латентности и прогнозирования угроз информационной безопасности относятся к фундаментальным проблемам не только в области правового обеспечения информационной безопасности, но и в правовой науке в целом т.к. их решение позволит управлять развитием правотворчества и правоприменения в широком диапазоне конфликтных ситуаций. На примере заведомо ложного сообщения об акте терроризма (ст.207 УК РФ) показана методика решение этих проблем

Положения, выносимые на защиту:

1. Понятийный аппарат основополагающей теории правового обеспечения информационной безопасности (ИБ) расширяется и конкретизируется за счет введения в научно-практический оборот

терминов и понятий современных информационных операций, как источника крупномасштабных массированных угроз ИБ.

2. Систематизация норм правового регулирования ИБ должна исходить не только из норм международного права в информационной сфере, но и учитывать международные стандарты информационной безопасности.

3. Практическое регулирование общественных отношений в области использования инфраструктуры информационного общества осуществляется в развитых странах в направлении применения международных стандартов информационной безопасности, таких как ISO 17799. CobiT, BS 7799-2, ISO 9001 и др.

4. Информационные отношения в глобальной сети Интернет классифицированы автором по признакам субъектного состава и по признакам информационного процесса, посредством которого удовлетворяются информационные интересы в информационных отношениях. Всего в сети Интернет теоретически может реализоваться 27 видов информационных отношений, из которых 9 видов содержат угрозы ИБ.

5. Сравнительно–правовое исследование выявило два подхода к регулированию информационных отношений оператора Интернет, абонента и других лиц (государственных органов). Первый подход – европейский, отличающийся демократичными принципами и свободой пользования сетью Интернет. Второй подход – азиатский, отличающийся характеристиками стремлением установить полный контроль за информационными потоками в национальном сегменте Интернет. В России подход к регулированию отношений абонента, оператора Интернет и третьих лиц полностью не сформирован, но наметившиеся тенденции соответствуют европейскому подходу.

6. На основании выводов сравнительно-правого исследования для обеспечения информационной безопасности абонента в России обоснован механизм его правовой защиты, включающий полный перечень прав, обязанностей и ответственности субъектов сети Интернет

7. При разработке Концепции и политики информационной безопасности, положений о структурных подразделениях службы информационной безопасности, должностных инструкций ее сотрудников, других юридически значимых актов, в интересах интеграции России в мировое сообщество, в том числе посредством глобальной сети Интернет, необходимо выполнять требования международного стандарта информационной безопасности ISO 17799.

8. Нормативной основой проведения аудита информационной безопасности в развитых странах и в крупных корпорациях являются стандарт контроля COBIT и стандарт ISO 17799. Эти стандарты должны использоваться и в России при проведении аудита информационной безопасности с дополнением их в конкретных случаях при необходимости профилем защиты.

9 В работе на примере заведомо ложного сообщения об акте терроризма (ст.207 УК РФ), которое является видом информационной угрозы, показано решение проблем латентности и прогнозирования угроз ИБ на основе методов правовой статистики и регрессионного анализа. Полученные результаты верифицируются ретроспективными прогнозами и последующими статистическими наблюдениями.

Теоретическая значимость работы состоит в том, что результаты применяются при решении других проблем правовой науки и смежных с ней областей. В частности, методика исследования проблем латентности и прогнозирования заведомо ложных сообщений об актах терроризма применятся при исследовании аналогичных проблем по другим составам уголовных преступлений и адмистративных правонарушений.

Практическая полезность работы заключается в том, что ее результаты реализуются на практике с 1985 года в НИОКР народнохозяйственного и оборонного значения, выполненных автором лично в качестве системного аналитика и юриста. Результаты, полученные в ходе диссертационного исследования, использованы в учебном процессе РПА МЮ РФ, МИФИ, ВАГШ, ВУ МО, НИЕВ при разработке учебных курсов и программ, проведении занятий по проблемам информационного права и сети Интернет со студентами юридических вузов, слушателями высших военных учебных заведений и военными юристами, а также на курсах повышения квалификации федеральных судей, при подготовке аспирантов и адъюнктов, при разработке и правовом сопровождении веб-сайта Академического правового колледжа РПА МЮ РФ, при оформлении уголовных и гражданских дел в гипертекстовом и гипермедийном виде, в производственной деятельности ФК«УРАЛСИБ»,ОАО«РОСБАНК»и др.

Апробация результатов исследования. Основные результаты работы докладывались и обсуждались на заседаниях кафедр и межвузовских семинарах, на Международных, Всесоюзных и Всероссийских научно-практических конференциях по проблемам информационной безопасности, на ежегодных Международных Екатерининских чтениях и Международных Державинских чтениях и опубликованы в 50 из 200 научных работах

Структура диссертации состоит из введения, трех глав, заключения, списка литературы из и приложений, содержащих детальные результаты работы, которые в основной текст не попали в силу ограничений на его объем

СОДЕРЖАНИЕ ДИССЕРТАЦИИ
Во введении обосновывается актуальность темы, степень ее разработанности, определяются цель, объект, предмет и задачи исследования, характеризуется теоретическая и методологическая основа работы, обосновываются научная новизна и практическая значимость предпринятого исследования, формулируются основные положения, выносимые на защиту.

Глава 1.«Международный опыт правового регулирования информационной безопасности» является теоретической частью диссертации

В параграфа 1.1. «Информационная безопасность: понятийный аппарат, источники угроз, роль информационных операций» автором в интересах системного и согласованного характера проводимых исследований в составе экспертной группы была подготовлена первая редакция словаря терминов и определений в области информационной безопасности, как отправная точка доказывания результатов исследования, которая затем обсуждалась и дополнялась.

В Словарь вошли термины, отобранные на основе систематизации, обработки, обобщения и дополнения материалов, подготовленных Управлением информационной безопасности Аппарата Совета Безопасности РФ, Главным оперативным управлением Генерального штаба ВС РФ, Центром военно-стратегических исследований Генерального штаба ВС РФ, Государственной технической комиссией при Президенте РФ, Федеральным агентством правительственной связи и информации при Президенте РФ, Федеральной службой безопасности РФ, Службой внешней разведки РФ, Министерством внутренних дел РФ, Министерством юстиции РФ, а также термины действующих нормативных и руководящих документов, государственных и отраслевых стандартов Российской Федерации и открытых публикаций в отечественной печати. Словарь предназначен для специалистов, занимающихся вопросами информационной безопасности и рекомендован для использования в деятельности органов государственного и военного управления при обеспечении мероприятий информационной безопасности, а также при проведении исследований и в учебном процессе. Словарь разработан в Научном центре информационной безопасности Военной академии Генштаба ВС РФ авторским коллективом в составе: ГРИНЯЕВА С.Н., КОМОВА С.А., КоротковА С.В. КРЫЛОВА Г.О.,КузнецовА Ю.В., МелешинА В.Я, ОСТАНКОВА В.И., ПАЛИЯ А.Ф.,Родионова С.Н.

Кроме того, автором был осуществлена систематизация зарубежной терминологии и аббревиатур с использованием официальных веб–сайтов2 авторитетных органов и организаций США, таких как Белый дом, Центр защиты национальной инфраструктуры, Управление защиты критической инфраструктуры, Министерство национальной безопасности, Центральное разведывательное управление, Пентагон, Комитет начальников штабов, Сайт объединенных доктрин Комитета начальников штабов, Электронная библиотека Комитета Начальников Штабов, Агентство перспективных исследований министерства обороны США, Центр информационной борьбы ВВС, Агентство информационных систем министерства обороны США, Программа совместных исследований систем связи, компьютерных систем, разведки и наблюдения, Федеральная комиссия по коммуникациям, Национальный университет обороны, Сайт Федерации американских ученых, Гудзоновский Институт стратегических исследований имени Германа Кана, Корпорация РЭНД, Национальный научный фонд, Координационный центр групп чрезвычайного реагирования на компьютерные инциденты, Глобальная система управления войсками, Бюро международных информационных программ и др.

Далее на основе систематизированного понятийного аппарата, теоретических и методологических основ правового обеспечения информационной безопасности России, разработанных А.А. Стрельцовым3, кратко изложена авторская версия теории правового регулирования информационной безопасности по состоянию на 2007 год. Этот фрагмент работы введен для придания ей системности и целостности. Используются общепринятые термины и определения, такие как информация, информационные ресурсы, информационная инфраструктура, информационная сфера, национальные интересы в информационной сфере, информационная безопасность, угрозы информационной безопасности, источники угроз информационной безопасности и др. На основе исследования открытых документальных источников США предложено использовать понятие информационных операций как источника крупномасштабных массированных угроз информационной безопасности4

В параграфе 1.2. «Международные нормы правового регулирования информационной безопасности» проведена систематизация международных норм регулирования информационной безопасности. В Окинавской хартии глобального информационного общества5 особо отмечено стремление укрепить нормативную базу, регулирующую информационные отношения. Среди методов обеспечения информационной безопасности системообразующими являются методы нормативно-правового регулирования общественных отношений в информационной сфере, при этом в силу глобализации информационного общества весьма существенным является международно-правовой режим информационной безопасности. Такой режим создается нормами международного права. Важную часть международного права в информационной сфере составляют общие нормы, касающиеся прав и свобод человека и защиты информационной инфраструктуры. Главными международным источниками прав человека и его основных свобод, как известно, являются Всеобщая декларация прав человека(1948г.), Конвенция о защите прав человека и основных свобод (1950г.) и Международный пакт о гражданских и политических правах (1966г.). Показано, что их нормы распространяются и на информационную сферу. Кроме этих норм рассмотрены нормы Международного гуманитарного права, регулирующего правила ведения вооруженных конфликтов; Международная телекоммуникационная конвенция; Договор о космосе 1967г; документы Международного союза электросвязи; международные стандарты в области информационных технологий, магнитных и интеллектуальных карт и др.



В параграфе 1.3. «Международный опыт нормативного регулирования информационной безопасности» кратко рассмотрена эволюция противодействия компьютерным преступлениям, которые получили широкое распространением с началом массового освоения персональных компьютеров, а затем и сетевых технологий. На международном уровне первая попытка комплексного рассмотрения проблем компьютерной безопасности в уголовном праве была предпринята Организацией экономического сотрудничества и развития (ОЭСР) в 1986 году, затем аналогичные попытки предпринимались в 1989г. Комитетом Министров стран-членов Совета Европы, в 1996г. был принят Модельный уголовный кодекс для стран-участниц СНГ, а в 2001году Советом Европы была принята Европейская конвенция по информационной безопасности, которая упорядочила составы компьютерных преступлений. Однако трансграничный характер таких преступлений, трудности их локализации и доказывания в судах стимулировали развитие практики комплексного обеспечения информационной безопасности на основе ведомственных, отраслевых, национальных и международных стандартов, которые стали динамично разрабатываться и повсеместно использоваться. Это привело к созданию Международной Электротехнической Комиссии (IEC), а затем и Международной Организация по Стандартизации (ISO)6. Стандарты часто еще называют лучшими практиками. Их количество увеличивается в связи с растущим многообразием обстоятельств, в которых они применяются как стандарты de facto, Стандарты образуют иерархическую систему. По состоянию на апрель 2007г. такая система насчитывает несколько десятков стандартов, применение которых комплексно обеспечивает безопасность и качество функционирования человеко-машинных систем на всех этапах их жизненного цикла. Высокоуровенные стандарты часто называют процессными, процедурными или тактическими, т.к. они описывают процессы, процедуры. К их числу относятся такие, как:

  • Управление информационными системами - CobiT, BS 150007, Microsoft Operations Framework и ITIL;

  • Управление проектами - PRINCE2 и the PMBOK;

  • Управление безопасностью - ISO 13335, ISO 13569 (банковские и финансовые услуги), ISO 17799/BS 7799-2 (оба локализованы для многих стран), IT Baseline Protection Manual (Германия), ACSI-338(Австралия), множество стандартов National Institute of Standards and Technology9 - NIST Handbook (SP800-12, USA), CobiT® Security Baseline™, ENV12924 (Медицинская информатика) и the Information Security Forum Standard of Good Practice10;

  • Управление качеством—ISO 9001, EFQM и Baldrige National Q- Plan;

  • Программирование—TickIT, Capability Maturity Model Integration (Software Engineering Institute);

  • IT Governance - COBIT, IT Governance Implementation Guide, COSO Internal Control - Integrated Framework и COSO Enterprise Risk Management - Integrated Framework, и недавно разработанный Австралийский стандарт AS 8015-2005 (корпоративное управление информационными и коммуникационными технологиями);

  • Управление рисками - Австралийский стандарт AS/NZS 436011;

  • BCP (планирование непрерывности бизнеса) - British Standards Institution PAS-56 и Австралийский стандарт HB 221-2004;

  • Аудит ИС - COBIT и ISO 19011;

  • Другие области, косвенно влияющие на информационную безопасность.

Наибольшее и универсальное распространение из процессных стандартов получили стандарты ISO 17799, COBIT, ISO 9001, BS 7799-2 и их сочетания.

Кроме большого числа процессных стандартов, имеется еще большее число эксплуатационных, технических стандартов. Международная Организация по Стандартизации (ISO), Европейский Институт Стандартов Телекоммуникаций и Национальный Институт Стандартов и Технологии (NIST) издали стандарты по таким вопросам, как шифрование (FIPS 197), критерии (технические) оценки безопасности ИТ (ISO 15408), планирование непрерывности бизнеса (FIPS 87), использование паролей (FIPS 112) и др. Стандарты информационной безопасности, качества и управления в обязательном порядке учитываются при проведении сертификации и аудита. Использование стандартов увеличивает ценность продуктов, создаваемую информационными технологиями, но нет таких стандартов, которые охватывали бы все аспекты управления информационной безопасностью. Состояние вопроса в этой области аналогично состоянию вопроса в системном анализе, ибо последний вырабатывает плохие решения по сложным проблемам, по которым другими методами вырабатываются еще худшие решения.



Глава 2. «Применение международного опыта регулирования информационной безопасности в сети Интернет» в равной мере относится как к международной, так и к российской проблематике правового регулирования информационной безопасности, т.е. играет связующую роль между теоретической и практической (реализационной) частями диссертационного исследования.

В параграфе 2.1. « Информационные отношения и угрозы в глобальной сети Интернет» исследуются основные элементы и угрозы информационных отношений в глобальной сети Интернет. К основным элементам информационного правоотношения относятся: субъекты, вступающие в правоотношения при осуществлении информационных процессов; объекты, в связи с которыми субъекты вступают в информационные правоотношения содержание прав и обязанностей субъектов по осуществлению действий над объектами информационного правоотношения. ответственность субъектов при нарушении прав или невыполнении обязанностей по отношению к другим субъектам правоотношения. Субъектами информационных правоотношений являются оператор Интернет-связи, его абонент, другие пользователи Интернет, правоохранительные органы. Содержание прав и обязанностей перечисленных субъектов взаимосвязано с их возможностями совершать определенные действия с объектами информационных правоотношений, в том числе и причиняющие вред. Объектами в информационных отношениях абонента и оператора Интернет-связи являются информация, информационные продукты и услуги, состояние защищенности личности, защищенность информации. Действия субъектов таких отношений, способных повлиять на информационную безопасность личности, являются основанием их ответственности. К возможным действиям абонента относятся: просмотр веб-страниц, получение и отправка электронных сообщений, хостинг. К возможным действиям оператора Интернет-связи относятся: сбор сведений об информационном обмена абонента, воздействие на информационный обмен абонента путем изменения скорости обмена, фильтрации содержимого передаваемой информации, воздействия на информацию опубликованную пользователем на веб-странице размещенной на сервере оператора, сбор персональных данных о пользователе. Возможные действия правоохранительных органов заключаются в истребовании от оператора Интернет-связи или его абонента необходимой им информации об информационном обмене абонента. К действиям других пользователей Интернета, имеющих значение для и информационной безопасности абонента можно отнести только намеренные действия по получению несанкционированному доступу к его информации на веб-странице, в компьютере, в электронном письме. Просмотр веб-страниц несет в себе две угрозы. Это вредная информация, размещенная непосредственно на странице (фото, видео, аудио, текстовые данные) и вредоносные программные коды запускаемых с различными приложениями, которые обслуживают правильное отображение просматриваемой страницы, способные изменить состояние информации в компьютере пользователя. Вредная информация способна оказывать воздействие на пользователя при посещении веб-страниц, на которых она расположена. Попадание вредной информации на экран монитора пользователя зависит в основном от действий самого пользователя, так как он сам осуществляет передвижение по сети Интернет, и решает какая информация подлежит его вниманию. Ограничение на доступ к вредной информации может быть установлено самим оператором Интернет-связи. Это возможно за счет применения им специальных программных фильтров, позволяющих перекрывать доступ к информации определённого содержания, в том числе и не относящейся к вредной. Большинство операторов Интернет-связи имеют программные фильтры и могут применять их по договорённости с абонентом. Другим видом действий абонента является получение электронных сообщений. В этом случае существуют угрозы: воздействия вредной информации размещенной в электронном сообщении, получение и заражение компьютерными вирусами, получение не запрашиваемой информации (спам). В действиях пользователя по отправке электронных писем существуют следующие угрозы: недоставка отправленного письма до адресата, и нарушение конфиденциальности информации содержащейся в письме. Данные угрозы могут быть реализованы как в результате действий самого пользователя, так и в результате действий или бездействия оператора Интернет-связи. Так при отсутствии соединения или при некачественном соединении с сетью Интернет абонент не сможет отправить электронную корреспонденцию. Кроме того, угроза недоставки электронного письма или нарушения его конфиденциальности может быть реализована в результате неправильной работы почтовых серверов оператора Интернет-связи, в результате использования фильтров на исходящую от абонента информацию, в силу форс-мажорных обстоятельств. Нарушение конфиденциальности электронной переписки абонента может быть в результате несанкционированного доступа третьих лиц к его компьютеру или электронному почтовому ящику. При опубликовании своей веб-страницы в сети Интернет для информационной безопасности пользователя существуют следующие угрозы: несанкционированный доступ к опубликованной информации и, следовательно, нарушение данных аутентификации абонента, изменение или удаление веб-страницы пользователя и ей блокировка, как результат несанкционированного доступа. Источником таких угроз может быть как оператор Интернет-связи, так и другие пользователю Интернет. В первом случае возможность несанкционированного доступа возможна в силу того, что оператор Интернет-связи является хранителем данных аутентификации (пароля и логина) пользователя при доступе к редактированию своей страницы. Во втором случае доступ к странице абонента может быть осуществлен в силу получения другими пользователями Интернет данных аутентификации, необходимыми для управления страницей. Данная информация может быть получена в результате её хищения путем несанкционированного доступа к файлам (взлома) оператора Интернет-связи или любым другим способом. Еще существуют угрозы, возникновение которых не зависит от деятельности абонента в глобальной компьютерной сети. К ним относятся диффамация, нарушение авторских прав, распространение персональных данных.

В параграфе 2.2 «Сравнительно-правовой анализ обеспечения информационной безопасности в сети Интернет» рассмотрены нормы права, определяющие позицию стран Европейского Содружества Соединенных Штатов Америки и Канады. Так, в законе США «Об авторском праве в цифровую эпоху» 1998г. (Digital Millennium Copyright Act) устанавливается ограниченная ответственность оператора Интернет-связи, запрещающая в определённых случаях нарушения авторских прав применять к ним санкции. Подобным образом обстоят дела и с информацией клеветнического характера. В 1996 году Конгресс США одобрил норму, фактически исключающую возможность возбуждать дела о клевете в Интернет против операторов Интернет-связи. Похожая схема регулирования используется Европейским сообществом. Существенным комплексом нормативных документов, оказывающих решающее влияние на правовые нормы европейских стран в области Интернета, являются нормативные документы Европарламента и Совета Европы. К ним относятся такие документы как: Декларация свободы общения в Интернете, директива 97/66/ЕС «Об обработке персональных данных и защите частных интересов в области телекоммуникации», директива 2000/31/ЕС 2000 г. «Об электронной коммерции», Конвенция Совета Европы по киберпреступности от 2001 г. Эти и другие документы составляют основу европейской законодательной базы в области Интернета. Так в Декларации свободы общения в Интернете определены основные принципы призванные гарантировать соблюдение прав человека в при пользовании глобальной компьютерной сетью. Рассмотрены также нормативные акты, характеризующие политику правового регулирования деятельности операторов Интернет-связи осуществляемую в странах восточной части земного шара: Китай, Япония, Сингапур, Таиланд, Корея и др. Наиболее четкий подход правового регулирования указанной деятельности сформирован Китаем. Основными документами, регулирующими китайский сегмент Интернета, являются такие акты Госсовета КНР, как «Правила защиты безопасности компьютерных систем» (действуют с 1994г.), «Временное положением о контроле над международными соединениями информационных компьютерных сетей» (с 1996г.), «Временное положением о контроле над электронными изданиями» (с 1996 г.), «Правила защиты безопасности международных соединений информационных компьютерных сетей» (с 1997г.). После образования Сетевого информационного центра Китая (CNNIC) были опубликованы «Временный порядок регистрации названий Интернет-страниц» и «Правила контроля за помещением информации в сети». Основные элементы Китайской Интернет-политики, в области защиты публичных и частных интересов – это стремление к осуществлению полного контроля над процессами использования глобальной сети.

В параграфе 2.3. «Инициативы по развитию договорного режима оказания безопасных Интернет-услуг» обоснована и приведена примерная редакция нормативных положений, которые необходимо включать в договор оказания услуг Интернет-связи, заключаемый между оператором Интернет-связи и абонентом, для обеспечения информационной безопасности абонента. Оператор Интернет-связи должен: предоставлять доступ к сети Интернет надлежащего качества в период всего времени указанного в договоре; по заявлению абонента применять специальные программы-фильтры для предотвращения посещения абонентом веб-страниц, содержащих информацию, направленную на разжигание ненависти, вражды и насилия, и непристойную информацию; по заявлению абонента использовать имеющиеся у него программные фильтры для предотвращения попадания в электронный ящик абонента информации незапрашиваемой абонентом (спам), а так же компьютерных вирусов содержащихся в электронных письмах. При возникновении случаев удаления электронного письма адресованного абоненту и содержащего важную для абонента информацию, оператор не несет ответственности за весь ущерб прямо или косвенно причинённый абоненту вследствие таких инцидентов. Оператор Интернет-связи не несёт ответственность за возникновение случаев проникновения компьютерных вирусов в компьютер абонента при получении электронных писем. Оператор Интернет-связи не несет ответственность за недоставку электронных писем абонента вследствие неправильного использования последним программ информационного обмена. Оператор Интернет-связи не несет ответственность за недоставку электронных писем и иной информации абонента, в случае отказа технического оборудования оператора по причинам от него не зависящим к числу которых, относятся: природные техногенные катастрофы, иные аварийные ситуации, возникающие не по вине оператора, умышленное повреждение оборудования оператора третьими лицами, атаки злоумышленников с целью вывода из состояния нормального функционирования оборудования оператора, неработоспособности Интернет-узлов, обеспечивающих доставку письма абонента, расположенными за пределами зоны ответственности оператора, обстоятельства непреодолимой силы в общепринятом смысле.

Оператор Интернет-связи в случае предъявления претензий от пострадавших лиц, или получения требований правоохранительных органов имеет право проверить почтовые ящики абонента, ставшие источником проблем, и заблокировать их в случае необходимости. Оператор Интернет-связи не должен нести ответственность за содержание информационных ресурсов, создаваемых и поддерживаемых абонентом, и осуществлять какой-либо предварительной цензуры, однако в случае, размещения абонентом на своих ресурсах информации, нарушающей права третьих лиц, а также информации запрещенной законодательством в частности, порнографические материалы, призывы к насилию, свержению власти и т.п. оператор оставляет за собой право заблокировать доступ к информационным ресурсам абонента. Оператор Интернет-связи не несет ответственности за изменение удаление или блокирование информации на информационных ресурсах абонента размещенных в сети Интернет вследствие неправомерных действий третьих лиц. Оператор Интернет-связи не несёт ответственность за несанкционированный доступ третьих лиц к информации находящейся в компьютере абонента. Абонент обязан использовать услуги Исполнителя следующим образом: не распространять запрещенную и не запрашиваемую информацию, не осуществлять несанкционированного доступа к закрытой информации и не нарушать своими действиями информационных интересов третьих лиц. Абонент несет ответственность в случае использования сервисов обмена электронной почтой для массовой рассылки информации незапрашиваемой другими пользователями Интернет (спам). Абонент несет ответственность в случае размещения в сети Интернет информации нарушающей права и интересы других пользователей сети Интернет. Абонент несет ответственность в случае осуществления несанкционированного доступа к информации конфиденциального характера, принадлежащей оператору Интернет-связи или другим пользователям сети Интернет. На основании изложенных правил составлена, примерна редакция договоров об оказании услуг Интернет-связи приведенных в приложении



Глава 3. «Применение международного опыта правового регулирования информационной безопасности в Российской Федерации» является реализационной частью исследования.

Параграф 3.1. «Применение международных стандартов в разработках нормативно-правовых актов юридических лиц» обобщает 20-летний опыт теоретических и практических правовых исследований и разработок автора в области защиты информации и информационной безопасности крупномасштабных систем. Именно примат правового обеспечения таких систем сместил научные интересы автора, в то время уже доктора физико-математических наук, профессора в область права. Договорная работа, разработка технических заданий, программ и методик испытаний, положений, инструкций, других юридически значимых и практически необходимых актов регулирования производственных отношений убедили автора в том, что в этой области, требующей согласованных действий большого числа лиц, много белых пятен. В советское время международные стандарты в закрытых учреждениях не применялись, применялись Единая Система Программной Документации (ЕСПД), многочисленные ГОСТы, ОСТы, СТП, ТЮ, другие технические и социотехнические нормы. Вместе с тем, будучи секретарем Генерального конструктора АСУ ВС академика Семенихина В.С. автор готовил по его поручению первые редакции правовых актов союзного уровня таких, как Проект Закона « Об информации, информатизации и защите информации», Положение о ГК ВТИ при СМ СССР, Положение о Межведомственном координационном совете по проблеме защиты информации в АСУ при КП СМ СССР по военно-промышленным вопросам и др. Международные стандарты информационной безопасности автор стал исследовать и применять практически с 1999 года при формировании Дирекции аудита и методологии информационной безопасности крупной многопрофильной финансовой корпорации. Автор лично разработал пакет новых нормативных актов на основе международного стандарта ISO 17799, который использовался также несколько позже при разработке концепций информационной безопасности ГАС «ПРАВОСУДИЕ» и Центрального Банка России. Пакет таких нормативных актов, разработанных автором, в частности включал в свой состав Концепцию информационной безопасности Финансовой корпорации «УРАЛСИБ», Политику информационной безопасности Финансовой корпорации «УРАЛСИБ», Положение о Дирекции аудита и методологи информационной безопасности Финансовой корпорации «УРАЛСИБ», должностные инструкции сотрудников Дирекции аудита и методологи информационной безопасности Финансовой корпорации «УРАЛСИБ» и др. Эти нормативные акты были разработаны на основе международного стандарта информационной безопасности ISO 17799 и его дести ключевых областей в соответствии с общепринятой практикой. Полные тексты некоторых нормативно-правовых актов, разработанных автором с учетом международных стандартов, приведены в Приложении.



Параграф 3.2. «Правовое обеспечении аудита информационной безопасности с учетом международного опыта»

Темпы развития современных информационных технологий значительно опережают темпы разработки рекомендательной и нормативно-правовой базы руководящих документов, действующих на территории России. Поэтому вопрос аудита, «как оценить уровень безопасности корпоративной информационной системы», – обязательно влечет за собой следующие: в соответствии с какими критериями производить оценку эффективности защиты, как оценивать и переоценивать информационные риски предприятия? Вследствие этого, в дополнение к требованиям, рекомендациям и руководящим документам Государственной комиссии по техническому и экспортному контролю (ранее Гостехкомисии, далее по тексту Гостехкомиссии по тем подзаконным актам, которые были ею выпущены до Административной реформы) России приходится адаптировать к нашим условиям и применять методики международных стандартов (ISO 17799, 9001, 15408, BSI и пр.), а также использовать методы количественного анализа рисков в совокупности с оценками экономической эффективности инвестиций в обеспечение безопасности и защиту информации. В зарубежных нормативных документах установлен набор требований для различных типов средств и систем информационных технологий – в зависимости от различных условий их применения. Особенности развития отечественной нормативной базы в данной области заключаются в том, что отсутствует комплексный подход к проблеме защиты информации (рассматриваются в основном вопросы несанкционированного доступа к информации и вопросы обеспечения защиты от побочных электромагнитных излучений и наводок) и, кроме того разработанные национальные стандарты и РД Гостехкомиссии России 1992-1996 не принимают во внимание международные стандарты ИСО/МЭК. На сегодняшний день эти недостатки начали устраняться. В целях совершенствования отечественной нормативной базы с 2001 года Гостехкомиссия и Госстандарт России совместно с другими заинтересованными министерствами и ведомствами реализуют новые инициативы в этом направлении. В частности, утверждены три государственных стандарта, определяющих критерии оценки безопасности информационных технологий. Они устанавливают требования к формированию заданий по оценке безопасности в соответствии с положениями международных стандартов. По линии Гостехкомиссии созданы несколько руководящих документов, в том числе «Руководство по разработке профилей защиты», «Руководство по регистрации профилей защиты», «Методология оценки безопасности информационных технологий» и «Автоматизированный комплекс разработки профилей защиты». Перечисленные документы по сути представляют собой прямую трансляцию положений международных стандартов ISO на российскую нормативно-техническую базу. В дополнение к ним создаются еще шесть спецификаций на защитные профили для операционных систем, межсетевых экранов, систем управления базами данных, автоматизированных систем учета и контроля ядерных материалов и др. Утвержден государственный стандарт РФ, определяющий процессы формирования средств проверки ЭЦП, идет работа по переводу данного стандарта в категорию межгосударственного. В 2000-2001 гг. была создана “Программа комплексной стандартизации в области защиты информации на период 2001-2010”, в которой применён комплексный метод стандартизации. ПКС предусматривает появление примерно 40 ГОСТов. Кроме того, ВНИИ «Стандарт» разрабатывает проект «Программы комплексной стандартизации в области защиты информации, составляющей государственную тайну». В ее рамках планируется принятие 42 национальных стандартов и других нормативных документов. В свою очередь, Госстандарт разработал и представил на утверждение в Правительство РФ проект «Программы по разработке технических регламентов на 2003—2010 годы». В ходе ее выполнения создаются следующие документы: «Общий технический регламент безопасности информационных технологий», «Общий технический регламент требований к системам безопасности информационных технологий», «Общий технический регламент требований по защите информации, обрабатываемой на объектах информатизации» и «Специальный технический регламент требований по защите информации в оборонной промышленности». В 2003 году Госстандарт разработал проект классификатора техники и средств защиты информации, требований к контролю за эффективностью средств защиты информации и соответствующих систем управления. Создан проект государственного стандарта, включающего в себя общие положения по формированию системы управления качеством при разработке, изготовлении, внедрении и эксплуатации техники защиты информации. Внедрение этих нормативных документов обеспечит единую классификацию механизмов и техники защиты информации, позволит определить основные характеристики систем качества техники защиты информации. Благодаря этому уменьшится разобщенность разработчиков и изготовителей, повысится уровень координации производителей специальной аппаратуры. Из анализа действующих нормативных документов по стандартизации в данной области следует, что по охвату регулирования аспектов безопасности ИТ, по детализации рассматриваемых в них проблем российские национальные стандарты всё ещё уступают международным. Вопросы стандартизации в сфере IT-безопасности решаются на международном уровне – совместным техническим комитетом СТК1 ИСО/МЭК «Информационные технологии», на региональном – европейскими организациями СЕН, ЕКМА и др., на национальном уровне – АНСИ, НИСТ (США), ДИН (Германия) и др. В некоторых из перечисленных работ принимал участие и автор, в основном как эксперт.

Параграф 3.3. «Проблемы латентности12 и прогнозирования угроз информационной безопасности» посвящен малоисследованным, но весьма актуальным проблемам правовой науки. Проблемы были поставлены и предложены автору для решения более десяти лет назад одним из ведущих криминологов С.М.Иншаковым. Их частное решение получено на примере таких информационных угроз, как заведомо ложные сообщения об актах терроризма, предусмотренные ст.207 УК РФ. Решение этой проблемы13, полученное автором совместно Г.Л. Куликовой14, было оценено криминологами как принципиально новое. Актуальность проблем обусловлена тем, что, с одной стороны, по оценке В.В. Лунеева, латентная преступность ежегодно приближаетсяся к более 80 % от реальной преступности (в европейских странах – около 50 %), с другой стороны, несмотря на комплекс предпринимаемых мер по предупреждению заведомо ложных сообщений об акте терроризма, рост количества этих преступлений в России продолжается, причем охватываются регионы, ранее не знающие такого преступления. Так, если в 1997 г. в России было зарегистрировано 1 386 преступлений, предусмотренных ст. 207 УК РФ, то в 2003г. – 7 811. Решение проблем было получено следующим образом. В результате применения методики, основу которой составил комплекс приемов статистического наблюдения, экспертная оценка материалов из прокуратур об отказе в возбуждении уголовных дел, выборочный анкетный опрос экспертов всех категорий, сотрудников правоохранительных органов (Генеральной прокуратуры РФ, МВД России, ФСБ России и др.), установлено, что латентная преступность заведомо ложных сообщений об акте терроризма в 2003г. составила 7 426 преступлений (зарегистрированная преступность – 7 811 преступлений), то есть фактическое количество преступлений достигает 15 237. Таким образом, коэффициент латентности составил 1,95.

Сложнее дело обстояло с прогнозом преступлений этого состава.

Главная задача исследования заключалась в установлении взаимозависимости заведомо ложных сообщений об акте терроризма (ст. 207 УК РФ) и терроризма (ст. 205 УК РФ). Сложность решения этой задачи обусловлена тем, что накопленный объем статистического наблюдения недостаточен для получения состоятельных статистических оценок, поскольку не выполняется закон больших чисел. Вместе с тем, задача заключается в аналитическом описании тенденции (тренда) роста заведомо ложных сообщений об акте терроризма в зависимости от террористических актов. Аналитическое решение этой задачи выходит за рамки правового исследования, однако представляет интерес в криминологическом плане. Отметим, что впервые в правовой науке применяемый метод заимствован из теоретической физики и экономики (так называемый «биржевой прогноз»). В этих областях также решаются задачи открытия естественных законов на основе прогнозирования и ретроспекции. Последняя особенно характерна для фондовых бирж, где результаты прогнозов проверяются немедленно и неотвратимо, в силу чего методика работы с ними непрерывно совершенствуется.



Итак, рассмотрена следующая криминологическая задача Статистические данные по ст.ст. 205, 207 УК РФ за период, например (без ограничения общности), 1999–2003 годы имеют вид, показанный в таблице


Год

cт. 205 УК РФ

xi

cт.207 УК РФ

yi

1999

20

3462

2000

135

4035

2001

324

5323

2002

360

6762

2003

561

7811

Необходимо найти количественные неслучайные характеристики зависимости преступлений, предусмотренных по ст. 207 УК РФ, в связи с преступлениями, предусмотренными по ст.205 УК РФ.

Поскольку малый объём выборки (N=5) ограничивает выбор метода, будем искать зависимость в виде прямой линии y = b+ax по методу наименьших квадратов (уравнение линейной регрессии).

Задача сводится к исследованию следующего функционала:

, где a и b – искомые величины

Необходимо в общем случае аналитически найти значения характеристик a и b такие, при которых функционал принимает минимальное (экстремальное) значение.

Взяв частные производные по a и b и приравняв их (частные производные) нулю (необходимое условие экстремума функции) с целью нахождения минимума, получим два уравнения с двумя искомыми неизвестными a и b.


Решение этой системы в общем случае имеет вид:

Таким образом, неслучайные параметры a и b прямой (тренда преступности) вычисляются исключительно через статистические данные.

В нашем случае получим параметры a и b по данным таблицы :
; ; ; ; ; ;

;
b = 3117;
Итак, искомая зависимость (естественный локальный закон) имеет вид:




Поделитесь с Вашими друзьями:
  1   2


База данных защищена авторским правом ©grazit.ru 2017
обратиться к администрации

    Главная страница