Правовое обеспечение компьютерной безопасности как элемент модели национальной системы противодействия компьютерной преступности
Дата: 13.01.2005Источник: www.crime-research.ru
Автор: Виталий Козлов
... и смежных правах» (1993г.) и др.);
- законы о создании и применении информационных технологий и средств их обеспечения («О сертификации продукции и услуг» (1993г.), «О лицензировании отдельных видов деятельности» (2001г.), «О техническом регулировании» (2002г.), «О связи» (2003г.) и др.);
- законы о средствах массовой информации («О средствах массовой информации» (1991г.), «О рекламе», «О порядке освещения деятельности органов государственной власти в государственных средствах массовой информации» (1995г.) и др.).
В Республике Беларусь действуют аналогичные по сферам применения законы – «Об основах государственной научно-технической политики» (1993г.), «О связи», «О государственных секретах» (1994г.), «Об информатизации», «О сертификации продукции, работ и услуг», «О печати и других средствах массовой информации» (1995г.), «О рекламе» (1997г.), «Об авторском праве и смежных правах» (1998г.), «Об оперативно-розыскной деятельности», «О научно-технической информации» (1999г.), «Об электронном документе» (2000г.), «О техническом нормировании и стандартизации» (2004г.), иные.
Применительно к процессу противодействия компьютерной преступности, базовыми и аналогичными по сфере деятельности являются Законы «Об информации, информатизации и защите информации» (Россия) и «Об информатизации» (Беларусь). Сферой их действия являются общественные отношения, возникающие при формировании и использовании информационных ресурсов, создании и использовании информационных технологий и средств их обеспечения, защите информации, прав субъектов, участвующих в информационных процессах и информатизации.
Ряд общественных отношений в области компьютерной безопасности регулируется Указами Президентов России и Беларуси. Например, в Российской Федерации - № 1607 «О государственной политике в области охраны авторского права и смежных прав», № 2334 «О дополнительных гарантиях прав граждан на информацию» (1993г.), № 170 «Об основах государственной политики в сфере информатизации» (1994г.), № 1203 «Об утверждении перечня сведений, отнесенных к государственной тайне», № 1108 «О межведомственной комиссии по защите государственной тайны» (1995г.), № 71 «Вопросы Межведомственной комиссии по защите государственной тайны» (1996г.), № 188 «Об утверждении перечня сведений конфиденциального характера» (1997г.), № 212 «Положение о Государственной технической комиссии при Президенте Российской Федерации» (1999г.), № 308 «О мерах по совершенствованию государственного управления в области безопасности Российской Федерации» (2003г.), № 611 «О мерах по обеспечению информационной безопасности Российской Федерации в сфере международного информационного обмена» (2004г.).
В Республике Беларусь - № 129 «Перечень сведений, составляющих государственную тайну Республики Беларусь», № 195 «О некоторых вопросах информатизации в Республике Беларусь (1999г.), № 639 «Вопросы Государственного центра безопасности информации при Президенте Республики Беларусь», № 595 «О некоторых мерах по упорядочению обращения с секретной документированной информацией» (2000г.), № 300 «Об утверждении Перечня государственных органов и организаций, наделяемых полномочиями по отнесению сведений к государственным секретам и их защите», № 205 «О концепции совершенствования законодательства Республики Беларусь» (2002г.), № 221 «Об уполномоченном государственном органе по защите государственных секретов», № 359 «О мерах по совершенствованию нормотворческой деятельности» (2003г.).
Важную роль в правовом обеспечении информационной безопасности играют подзаконные акты (см. рис. 1.), издаваемые Правительством и иными субъектами государственного управления, среди которых в России необходимо выделить Государственную техническую комиссию при Президенте РФ (далее Гостехкомиссия). Согласно Указу Президента России № 212 Гостехкомиссия РФ обладает полномочиями представлять руководству страны предложения по нормативному правовому регулированию в области технической защиты информации, а также осуществлять контроль за соблюдением Федерального законодательства и требований руководящих и нормативно-методических документов Гостехкомиссии в этой области своими лицензиатами.
При осуществлении противодействия компьютерной преступности правоохранительным органам зачастую приходится оперировать понятийным аппаратом, изложенным в государственных или отраслевых стандартах, иных нормативных правовых актах и документах. Обращение к стандартам может происходить, например, при квалификации общественно-опасных деяний, при оценке нанесенного ущерба, при профилактике и предупреждении компьютерных преступлений, ряде иных случаев. В качестве примера приведем некоторые из них. Базовыми российскими стандартами в области информационной безопасности являются ГОСТ Р 50739-95. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования. Госстандарт России; ГОСТ Р 50922-96. Защита информации. Основные термины и определения. Госстандарт России; ГОСТ Р 51188-98. Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство. Госстандарт России; ГОСТ Р 51275-99. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения. Госстандарт России; ГОСТ Р ИСО 7498-1-99. Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель. Госстандарт России; ГОСТ Р ИСО 7498-2-99. Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации. Госстандарт России; ГОСТ Р ИСО/МЭК 15408-1-2002. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Ведение и общая модель; ГОСТ Р ИСО/МЭК 15408-2-2002. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности; ГОСТ Р ИСО/МЭК 15408-3-2002. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности.
ГОСТ ИСО/МЭК 15408 известен научной общественности и специалистам как «Общие критерии». В силу особенностей их построения, «Общие критерии представляют собой базовый стандарт, содержащий методологию задания требований и оценки безопасности ИТ, а также систематизированный каталог требований безопасности. В качестве функциональных стандартов, в которых формулируются требования к безопасности определенных типов продуктов и систем информационных технологий, предусматривается использование профилей защиты, создаваемых по методологии «Общих критериев» и на основе каталога требований.
В Республике Беларусь аналогичными по сфере применения стандартами являются СТБ 1176.2-99 «Информационная технология. Защита информации. Процедуры выработки и проверки электронной цифровой подписи». СТБ ГОСТ Р 50922-2000 Защита информации. Основные термины и определения. СТБ 34.101.1-2001. Информационная технология. Методы и средства безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель; СТБ 34.101.2-2001. Информационная технология. Методы и средства безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности; СТБ 34.101.3-2001. Информационная технология. Методы и средства безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Гарантийные требования безопасности; иные.
Совершенствуя действующее национальное законодательство, субъекты компьютерной безопасности активно взаимодействуют со специалистами правоохранительных органов, осуществляющих выявление, раскрытие и расследование компьютерных преступлений. Анализируя практику подобной деятельности, правоохранительные органы способны эффективно выявлять причины и условия, способствовавшие совершению рассматриваемых общественно-опасных деяний, зачастую недостаточно учитываемые субъектами компьютерной безопасности. Результаты такого анализа способны оказать существенную помощь в процессе разработки новых национальных законов, подготовки подзаконных нормативных правовых актов, устранению «пробелов» в законодательстве. Так, по мнению практических работников российских специализированных подразделений по противодействию компьютерной преступности при совершенствовании национального законодательства в области компьютерной безопасности должны быть определены следующие обстоятельства [6]:
- жесткие условия использования иностранного оборудования, порядок и характер его применения в коммерческой области и особенно и сферах, связанных с обороноспособностью страны;
- финансовые и иные меры по быстрому развитию отечественного телекоммуникационного оборудования;
- права, обязанности и ответственность пользователей информации, передаваемой по мировым сетям;
- перечень информации, не подлежащей передаче по мировым сетям;
- порядок участия национальных представителей в разработке международного законодательства и нормативного правового обеспечения функционирования международных открытых информационных сетей;
- средства защиты персональной и конфиденциальной информации, циркулирующей в национальных сетях, разработка национальных же стандартов защиты информации, совместимых с международными стандартами;
- создание специальных структур для отслеживания ситуации в области безопасности трансграничного обмена информацией;
- разработка министерствами и ведомствами координационных мер по предотвращению угрозы информационной безопасности и организация международного сотрудничества по этим вопросам.
Осуществляя нормотворческую деятельность по совершенствованию национальных законодательств, рабочими группами разрабатываются проекты некоторых Законов, например, в России (приведены...
Добавить комментарий |
Всего 0 комментариев |