КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Правовые аспекты защиты информации с использованием
|
|
|
|
ТЕХНИЧЕСКИХ СРЕДСТВ
ПЛАН
1. Технико-математические аспекты правового обеспечения
2. Электронная цифровая подпись
3. Электронный документ как доказательство
4. Процедура разрешения конфликтов
5. Лицензирование и сертификация в области систем обеспечения безопасности информации
Вопрос №1: Технико-математические аспекты правового обеспечения
Технико-математические аспекты правового обеспечения представляют совокупность технических средств, математических методов, моделей, алгоритмов и программ, обеспечивающих условия, необходимые для юридического разграничения прав и ответственности относительно регламентов обращения с защищаемой информацией. При этом основными условиями являются:
1) фиксация на документе персональных идентификаторов («подписей») лиц, изготовивших документ и (или) несущих ответственность за него;
2) фиксация (при любой необходимости) на документе персональных идентификаторов (подписей) лиц, ознакомившихся с содержанием соответствующей информации;
3) фиксация фактов несанкционированного доступа с любой целью к конфиденциальной информации и средствам ее защиты;
4) невозможность незаметного (без оставления следов) изменения содержания информации даже лицами, имеющими к нему санкции на доступ;
5) применение криптографических методов и специальных средств защиты, что позволяет ограничить круг лиц, производящих обработку конфиденциальной информации.
Реализация рассмотренных технико-математических средств защиты информации также требует правового обеспечения. Решение этой задачи осуществляется в рамках существующего информационного законодательства.
|
|
|
Вопрос №2: Электронная цифровая подпись
Документ выполняет две основные функции: информационную и доказательственную. С точки зрения информационной безопасности определяющей является доказательственная функция — именно она обеспечивает защиту документа от подделки и фальсификации.
В последнее время значительные массивы данных передаются, обрабатываются и хранятся в электронной форме в автоматизированных информационных системах. Поэтому важное значение имеет определение правового статуса электронного документа с точки зрения возможности его применения наряду с традиционным бумажным документом.
Определение электронного документа в российском законодательстве впервые введено в Федеральном законе «Об электронной цифровой подписи».
Электронный документ - документ, в котором информация представлена в электронно-цифровой форме. Следовательно, к электронному документу предъявляются те же требования, что и к традиционному документу на бумажном носителе. В частности, это касается соблюдения требований, обеспечивающих доказательственную функцию документа, т.е. придающих ему юридическую силу.
Возможность использования ЭЦП прописана в Законе «Об информации, информатизации и защите информации»: юридическая сила документа, хранимого, обрабатываемого и передаваемого с помощью автоматизированных информационных и телекоммуникационных систем, может подтверждаться электронной цифровой подписью. Юридическая сила электронной цифровой подписи признается при наличии в автоматизированной информационной системе программно-технических средств, обеспечивающих идентификацию подписи, и соблюдении установленного режима их использования.
Электронная цифровая подпись – набор знаков и символов для подтверждения подлинности электронных документов.
Цифровую подпись практически невозможно подделать. Проверить подлинность подписи может любой участник электронного документооборота (ЭДО), знающий открытый ключ. Подписанное сообщение можно, не опасаясь фальсификаций, передавать по любым открытым каналам связи. Если сообщение будет искажено, то подпись окажется недействительной.
|
|
|
Цифровая подпись обеспечивает высокий уровень защиты документа от несанкционированных изменений. Единственный ее недостаток по сравнению с обычной подписью — по ней нельзя определить, кто именно подписал документ.
Вопрос №3: Электронный документ как доказательство
С точки зрения правового режима важным является вопрос о возможности использования электронного документа в качестве доказательства. В 1979г. Государственный арбитраж СССР принял Инструктивные указания № И-1-4. В соответствии с этим документом, данные на машинном носителе информации могут быть использованы в качестве доказательств по арбитражному делу. Для этого они должны быть преобразованы в форму, пригодную для обычного восприятия и хранения в деле.
Очевидно, что не существует препятствий для использования электронных документов в качестве доказательств, если соблюден ряд условий.
Во-первых, представляемые документы, подготовленные с помощью электронно-вычислительной техники, должны быть надлежащим образом оформлены.
Во-вторых, документы, подготовленные с помощью электронно-вычислительной техники и представляемые в арбитраж в качестве доказательств по делу, должны быть представлены в таком виде, который позволял бы уяснить их содержание.
С учетом того, что бумажная копия и подлинник электронного документа имеют одинаковую юридическую силу, остается открытым только вопрос о процедуре создания традиционной копии документа.
Проблема частично решена в Письме Высшего арбитражного суда РФ от 19 августа 1994 г. Согласно этому, письменные доказательства представляются в подлиннике или в заверенной надлежащим образом копии.
Если же учесть, что в ГК РФ и Законе «Об информации, информатизации и защите информации» признается возможность использования электронно-цифровой подписи для удостоверения электронных документов и существует процедура создания бумажных копий, которые имеют одинаковую юридическую силу с подлинником, то электронные документы подпадают под традиционное понятие «письменные доказательства».
|
|
|
Вопрос №4: Процедура разрешения конфликтов
Для нормального функционирования систем электронного документооборота (ЭДО) необходимо разработать процедуры разрешения возможных конфликтов. Стороной таких конфликтов, кроме участников ЭДО и фирмы-провайдера, может быть и фирма – разработчик программного обеспечения.
Предполагается, что договор с фирмой-разработчиком учитывает наличие эталонного образца программного обеспечения, который может храниться только у фирмы-провайдера или у всех участников ЭДО. Для этого требуется выполнение двух основных условий:
• должно быть документально подтверждено, что каждому участнику системы ЭДО (включая фирму-провайдера) установлено программное обеспечение, соответствующее эталонному образцу;
• хранение эталонных образцов организуется таким образом, чтобы исключить возможность изменения эталонного образца программного обеспечения без ведома сторон.
Вопрос №5: Лицензирование и сертификация в области систем обеспечения безопасности информации
Сегодня, когда современные информационные технологии интенсивно внедряются во все сферы жизни и деятельности общества, национальная и (как ее часть) экономическая безопасность государства начинает напрямую зависеть от обеспечения информационной безопасности. Именно поэтому с целью создания гарантий по обеспечению необходимой стойкости средств защиты информации государство берет на себя ответственность за лицензирование деятельности организаций, занимающихся защитой информации, и сертификацию соответствующих технических средств.
Одной из проблем в области защиты информации в России является отсутствие официальных документов с подробными рекомендациями по построению безопасных информационных систем.
Лицензирование и сертификация в области систем обеспечения безопасности информации могут снизить остроту этой проблемы Необходимо создание пользователю гарантий того, что используемые им средства защиты информации способны обеспечивать необходимый уровень защиты. Именно лицензирование может способствовать тому, что проблемой защиты информации будут заниматься только высококвалифицированные специалисты в этой области, а создаваемые ими продукты будут находиться на соответствующем уровне и смогут пройти сертификацию.
|
|
|
Без проведения сертификации невозможно оценить, содержит ли то или иное средство потенциально вредные недокументированный возможности, наличие которых особенно характерно для большинства зарубежных продуктов, способные в определенный момент привести к сбоям в работе системы и даже к необратимым для нее последствиям.
В соответствии с установленным законодательством, функции контроля и регулирования разработки, эксплуатации, сертификации программных и технических средств защиты информации от несанкционированного доступа, а также лицензирования предприятий на право деятельности в области защиты информации возложены на Государственную техническую комиссию при Президенте Российской Федерации (Гостехкомиссия).
Гостехкомиссией России разработана необходимая нормативная база в области защиты информации от несанкционированного доступа. И имеет следующую структуру основных руководящих документов:
1. «Защита от несанкционированного доступа к информации. Термины и определения» - устанавливает единый терминологический стандарт в области защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации, являющийся обязательным для применения во всех видах документации.
2. «Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации» - описывает основные принципы, на которых базируется проблема защиты информации от несанкционированного доступа и ее отношение к общей проблеме безопасности информации.
3. «Средства защиты информации. Защита информации в контрольно-кассовых машинах и автоматизированных кассовых системах. Классификация контрольно-кассовых машин, автоматизированных кассовых систем и требования по защите информации» — устанавливаем классификацию контрольно-кассовых машин, автоматизированных кассовых систем, информационных технологий и требования по защите информации, связанной с налогообложением.
4. «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» - регламентирует требования защищенности средств вычислительной техники от несанкционированного доступа, применяемые к общесистемным программным средствам и операционным системам.
5. «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» - классифицирует автоматизированные системы в зависимости от наличия в них информации различного уровня конфиденциальности, уровней полномочий субъектов доступа, режимов обработки данных по девяти классам и оговаривает совокупность требований к каждому из них.
6. «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» - декларирует требования к различным классам межсетевых экранов.
|
|
|
|
Дата добавления: 2014-01-20; Просмотров: 1781; Нарушение авторских прав?; Мы поможем в написании вашей работы!