Курсовая работа По курсу: «Информационная безопасность На тему: «Обзор зарубежного законодательства в области информационной безопасности»




Скачать 236.83 Kb.
НазваниеКурсовая работа По курсу: «Информационная безопасность На тему: «Обзор зарубежного законодательства в области информационной безопасности»
Дата публикации20.03.2013
Размер236.83 Kb.
ТипКурсовая
odtdocs.ru > Информатика > Курсовая


Министерство общего и профессионального образования РФ
Московский Государственный Университет ///////

Курсовая работа

По курсу: «Информационная безопасность

На тему:

«Обзор зарубежного законодательства в области информационной безопасности»

Выполнил: ст-т гр. 111111111

Водкин В. С.

Проверил: ////////

////////////////////

СОДЕРЖАНИЕ


  1. ПРОБЛЕМА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

    1. Введение

Информационная безопасность сегодня, как самостоятельное направление развития и использования современных технологий, без тени преувеличения, переживает свое второе рождение. Потоки информации, связанные с производством, закупкой и продажей товаров, предоставлением и оказанием услуг, банковскими и финансовыми операциями, нормативно-правовой и законодательной деятельностью, образованием и развлечениями постоянно нарастают. По некоторым оценкам только суммарная стоимость ежедневных финансовых транзакций в Интернете уже достигла отметки 2.8 млрд. долл. На наших глазах глобализация информационных ресурсов становится определяющим фактором существования и выживания современной цивилизации.

    1. Законодательный уровень информационной безопасности

Для защиты интересов субъектов информационных отношений необходимо сочетать меры следующих уровней:

  • Законодательного;

  • Административного (приказы и другие действия руководства организаций, связанных с защищаемыми информационными системами);

  • Процедурного (меры безопасности, ориентированные на людей);

  • Программно-технического.

Законодательный уровень является важнейшим для обеспечения информационной безопасности. Большинство людей не совершают противоправных действий не потому, что это технически невозможно, а потому, что это осуждается и/или наказывается обществом, потому, что так поступать не принято.

На законодательном уровне можно выделить 2 группы мер:

  • меры, направленные на создание и поддержание в обществе негативного (в том числе с применением наказаний) отношения к нарушениям и нарушителям информационной безопасности (назовем их мерами ограничительной направленности);

  • направляющие и координирующие меры, способствующие повышению образованности общества в области информационной безопасности, помогающие в разработке и распространении средств обеспечения информационной безопасности (меры созидательной направленности).

На практике обе группы мер важны в равной степени, но стоило бы выделить аспект осознанного соблюдения норм и правил ИБ. Это важно для всех субъектов информационных отношений, поскольку рассчитывать только на защиту силами правоохранительных органов было бы наивно. Необходимо это и тем, в чьи обязанности входит наказывать нарушителей, поскольку обеспечить доказательность при расследовании и судебном разбирательстве компьютерных преступлений без специальной подготовки невозможно.

Самое важное (и, вероятно, самое трудное) на законодательном уровне - создать механизм, позволяющий согласовать процесс разработки законов с реалиями и прогрессом информационных технологий. Законы не могут опережать жизнь, но важно, чтобы отставание не было слишком большим, так как на практике, помимо прочих отрицательных моментов, это ведет к снижению информационной безопасности.

  1. ^ ЗАРУБЕЖНОЕ ЗАКОНОДАТЕЛЬСТВО В ОБЛАСТИ ИБ

2.1 Описание проблемы.

О защите персональных данных в международном праве задумались уже довольно давно, а первым законом стала европейская Конвенция О защите личности в связи с автоматической обработкой персональных данных (Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data), принятая 28 января 1981 года. На текущий момент подавляющее большинство развитых стран уже внедрили соответствующие законы. Если организация работает на международных рынках, при построении системы защиты информации необходимо учитывать требования этих законов. Решения класса IPC позволяют привести системы внутреннего контроля в полное соответствие приведенным законам и защитить персональные данные от случайных и преднамеренных утечек.

^ 2.2 Краткий список законов и некоторых стандартов с комментариями

Приводится частичный список законов и постановлений Евросоюза, Объединенного Королевства (ОК), Канады и США, которые имеют, или будут иметь значительный эффект на обработку данных и информационную безопасность. Важные стандарты также включены, если они имеют значительный эффект на информационную безопасность:

  • ^ UK Data Protection Act 1998 - Закон о защите данных ОК 1998 г. ввел новые положения для регулирования обработки информации касательно частных лиц, в том числе получения, хранения, использования или раскрытия такой информации;

  • ^ The European Union Data Protection Directive (EUDPD)Директива по защите информации Европейского Союза требует, чтобы все государства-члены ЕС приняли свои национальные правила по защите конфиденциальности информации граждан;

  • ^ The Computer Misuse Act 1990 - Закон о неправомерном использовании компьютерных технолгий 1990 г. предствавляет собой Акт Парламента Великобритании, делающий компьютерные преступления (т. н. «крекинг», иногда некорректно называемый взломом) уголовными преступлениями. Акт стал моделью, по которой несколько других государств включая Канаду и Ирландию, создали свои законы, касающиеся информационной безопасности;

  • ^ EU Data Retention laws - Закон о хранении информации ЕС требует, чтобы интернет-провайдеры и телефонные компании хранили данные об отправленных сообщениях и сделанных звонках от 6 месяцев до 2 лет;

  • ^ The Family Educational Rights and Privacy Act( FERPA) - Акт об образовании и конфиденциальности представляет собой Федеральный закон США, защищающий конфиденциальность записей обучения студентов. Закон распространяется на все школы, которые получают средстава в рамках соответствующей программы Министерства Образования США. Школы должны получать письменное разрешение родителей или обладающего избирательным правом студентом, для того чтобы опубликовать любую информацию из записи обучения студента;

  • HIPAA. Американский закон HIPAA затрагивает учреждения здравоохранения, страховые компании и посредников, хранящих, обрабатывающих и передающих конфиденциальные данные. Закон конкретизируют правила HIPAA, The Security Rule, в которых в частности регламентируется необходимость создания системы внутреннего контроля, написания правил использования рабочих компьютеров и внешних устройств и организации системы контроля доступа к информации;

  • Computer Security Act, Public Law 1987 г. – Закон о Компьютерной Безопасности США 1987 г. Его цель – реализация минимально достаточных действий по обеспечению безопасности в федеральных компьютерных системах, без ограничений всего спектра возможных действий.

  • ^ GBLA & FACTA. Защита непубличной информации клиентов финансовых корпораций регламентируется законами Gramm-Leach-Bliley Act of 1999 и Fair and Accurate Credit Transactions Act of 2003. Стандарт Interagency Guidelines Establishing Information Security Standards вносит дополнительные уточнения в приведенные законы и требует от финансовых институтов США защищать непубличные данные граждан в процессе хранения, использования, пересылки и утилизации от всех прогнозируемых рисков информационной безопасности, а также обеспечить надежный контроль доступа к этой информации;

  • SOX. Sarbanes-Oxley Act of 2002 является обязательным для всех публичных компаний, акции которых котируются на фондовых биржах США. За несоблюдение закона топ-менеджеры компании несут персональную финансовую (штраф до 25 млн долларов) и уголовную ответственность (до 20 лет лишения свободы). Секция 404 закона регламентирует необходимость внедрения системы внутреннего контроля для предотвращения и защиты информационных активов компании от утечек и несанкционированного использования;

  • PCI DSS. Обязательный стандарт для операторов данных платежных карт систем VISA, MasterCard, American Express, JCB, Discover. Во-первых, в стандарте регламентируется необходимость шифрования носителей информации, содержащих данные платежных карт, и надежной защиты ключей шифрования. Также в PCI DSS определена необходимость генерации стойкого ключа и разделение криптографического ключа между несколькими лицами. Во-вторых, согласно стандарту операторы платежных карт должны защищать информацию от утечек по различным каналам, жестко регламентировав использование внешних устройств и перемещение конфиденциальных данных. В-третьих, в PCI DSS определена необходимость использования двухфакторной аутентификации для доступа к данным;

  • ^ State Security Breach and Notification Law (Калифорния и др.) требуют от предприятий, некоммерческих организаций и государственных учреждений уведомлять потребителей, когда не зашифрованная персональная информация может быть скомпрометирована, потеряна или украдена.

  • ^ Personal Information Protection and Electronics Document Act (PIPEDA) — Канадский закон для поддержки и содействия развитию электронной торговли путем защиты персональной информации, которая была собрана, использована или раскрыта в определенных обстоятельствах.

Ниже мы более подробно рассмотрим некоторые из этих законов.

  1. ^ ПОДРОБНЫЙ ОБЗОР НЕКОТОРЫХ ЗАКОНОВ

Начнем с Закона Великобритании о Защите Данных

3.1 UK Data Protection Act

Закон о Защите Данных 1998 г (UK DATA PROTECTION ACT) - это акт Парламента Великобритании, который определяет правила обработки данных об идентифицируемых живых людях. Это основной законодательный акт, который регулирует защиту личных данных в Великобритании. Хотя в самом Законе не упоминается неприкосновенность частной жизни, он был принят для того, чтобы привести законодательство Великобритании в соответствие с европейской директивой от 1995 года, которая требует от государств-участников защиты фундаментальных прав и свобод людей и, в частности, право людей на конфиденциальность вкупе с уважением к обработке персональной информации. На практике он предоставляет возможность для физических лиц управлять информацией о себе. Большая часть закона не распространяется на внутреннее использование, к примеру, на ведение персональной адресной книги. Кто-угодно, хранящий персональные данные для других целей, обязан соблюдать этот закон, с учетом некоторых исключений. Акт определяет 8 принципов защиты информации.

Закон распространяется на какие-либо данные о жизни самостоятельного человека

Анонимные или агрегированные данные не попадают под действие закона, при условии, что анонимизация или агрегация не может быть обратима. Физические лица могут быть идентифицированы различными способами, включая их имя и адрес, электронную почту или номер телефона. Акт применяется только к данным, которые хранятся, или планируются храниться, на компьютерах («оборудование работающее в автоматическом режиме с заданными инструкциями») или в «специальной файловой системе».

В некоторых случаях даже бумажная адресная книга может быть классифицирована как «специальная файловая система», например, дневники использующиеся для поддержки коммерческой деятельности, такие как дневник продавца.
^ Права субъектов

Закон создает права для лиц, информация о которых хранится, и обязанности для тех, кто эту информацию хранит и обрабатывает. Лица, информация о которых хранится, имеют следующие права:

  • Просматривать информацию, которая организация хранит о них, за небольшую плату.

  • Запрашивать, чтобы некорректная информация была исправлена. Если компания игнорирует запрос, то суд может постановить, чтобы данные были исправлены или уничтожены, и, в некоторых случаях, была выплачена компенсация.

  • Требовать, чтобы информация не была использована для причинения ущерба или страданий.

  • Требовать, чтобы информация не использовалась для прямого маркетинга.

Закон определяет следующие принципы защиты данных:
^ Принципы защиты данных

  • Персональные данные должны быть обработаны справедливо и законно, и, в частности, не должны быть обработаны, если:

- по крайней мере одно из условий, включенных в Раздел 2, встретились, и

- в случае конфиденциальных персональных данных, по крайней мере одно из

условий, включенных в Список 3 также встретились;

  • Персональные данные должны быть получены только для одной или более указанных и законных целей, и не должны быть дополнительно обработаны в целях, не совместимых с ними;

  • Персональные данные должны быть адекватными, соответствующими и не чрезмерными по отношению к цели или к целям, для которых они обрабатываются;

  • Персональные данные должны быть точными и, при необходимости, постоянно обновлялись;

  • Личные данные обрабатываемые для любых целей, не должны храниться дольше, чем это необходимо для этих целей;

  • Персональные данные должны быть обработаны в соответствии с правами субъектов данных в соответствии с настоящим Законом;

  • Соответствующие технические и организационные меры должны быть приняты против несанкционированной или незаконной обработки персональных данных и от случайной потери или уничтожения или повреждения личных данных;

  • Личные данные не могут быть переданы на страны или территории, находящиеся за пределами Европейской экономической зоны, если эти страны или территории не обеспечивают адекватный уровень защиты прав и свобод субъектов данных в связи с обработкой персональных данных


^ Условия, имеющие отношение к первому принципу

Персональные данные должны быть обработаны справедливо и законно. Для того, чтобы данные были классифицироваться как "справедливо обработанные», по крайней мере одно из этих шести условий должно быть применимо к этим данным:

  • Субъект данных (физическое лицо, информация о котором собирается) дал согласие (разрешение) на обработку;

  • Обработка необходима для выполнения или заключения договора;

  • Обработка требуется в соответствии с юридическим обязательством (кроме указанных в договоре);

  • Обработка необходима для защиты жизненно важных интересов субъекта данных;

  • Обработка необходима для выполнения каких-то общественных функций;

  • Обработка необходима для того, чтобы преследовать законные интересы "обработки данных" или "третьих лиц" (если это не может принести неоправданный ущерб субъекту данных.


Конфиденциальные персональные данные должны быть обработаны в соответствии с более строгим набором условий, в частности, любые согласие должно быть явным.
Исключения

Акт создан таким образом, чтобы все обработки данных попадали под его действие, но в тоже время, он предоставляет несколько исключений. Самые заметные исключения:

  • Раздел 28 — Национальная безопасность. Любая обработка данных с целью обеспечения национальной безопасности является исключением из всех принципов защиты данных, так же как является исключением из Части II (права субъектов), Части III (уведомление), Части V (принуждение) и Секции 55 (незаконное получение персональной информации);

  • Раздел 29 — Преступления и налогообложение. Данные, обработанные для выявления или предотвращения преступлений, задержания или судебного преследования правонарушителей, для оценки и сбора налогов, освобождаются от первого принципа защиты данных;

  • Раздел 36 — внутренние цели. Обработка данных физическими лицами только для собственного, домашнего или семейного использования освобождаются ото всех принципов защиты данных, также как от Части II (права субъектов) и Части III (уведомление).

Правонарушения

Закон определяет гражданские и уголовные правонарушения, по которым контролеры данных (организации, хранящие и (или) обрабатывающие данные) могут нести ответственность, если контролеры данных не получили соответствующее разрешение от субъекта данных. Однако понятие «согласие» конкретно не определено в законе и является общим.

  • Раздел 21 — этот раздел делает правонарушением обработку персональной информации без регистрации или без соблюдения правил уведомления;

  • Раздел 55 — незаконное получение персональной информации. Этот раздел делает правонарушением для людей (третьих лиц), таких как хакеры и имитаторы, не входящих в организацию, получать несанкционированный доступ к персональным данным;

  • Раздел 56 — этот раздел делает уголовным преступлением требовать лиц сделать субъекту доступ к информации, касающейся персонала или оказания услуг.

Сложности

Закон о защите данных является большим актом, что придает ему репутацию сложности.
В то время, как основные принципы уважают и защищают конфиденциальность, интерпретировать закон не всегда просто.Многие компании, организации и частные лица очень не уверены в целях, содержание и принципах закона. Некоторые прячутся за акт и отказывают в предоставлении даже очень простого, общедоступного материала со ссылкой на закон как ограничение.

Закон также воздействует на способы, которые используют организации для контактов в маркетинговых целях, не только по телефону и по почте, но и в электронном виде и привело к развитию стратегии маркетинга, основанной на разрешениях.

^ Основные положения Закона

  • Информация может быть использована только с конкретной целью, с которой она была собрана;

  • Данные не должны быть разглашены третьим лицам без согласия человека, о котором идет речь, если только это не предписано законодательством или есть другие веские законные основания, чтобы передать информацию (например, выявление и предотвращение преступления). Во всех других случаях это будет являться преступлением для третьих лиц;

  • Физические лица имеют право на доступ к информации, касающейся их, за некоторыми исключениями (например, информации, предназначенной для предотвращения или обнаружения преступления);

  • Личная информация может храниться не дольше, чем это необходимо;

  • Личная информация не может быть отправлена за пределы Европейской экономической зоны без согласия физического лица, о котором эта личная информация, или без адекватной защиты, например, использования установленной формы договора для регулирования передачи данных;

  • С учетом некоторых исключений для организаций, которые делают только очень простую обработку, и для внутреннего использования, все лица, которые обрабатывают личную информацию, должны зарегистрироваться в Офисе Комиссара Информации (Information Commissioner);

  • Организации, хранящие личную информацию, должны иметь адекватные меры безопасности. К ним относятся технические меры (например, сетевые экраны) и организационные меры (такие, как обучение персонала);

  • Субъекты имеют право на исправление фактически неверной информации (примечание: это не распространяется на вопросы, мнения).


Регулирование

Соответствие с законом регулируется и обеспечивается независимым органом — Офисом Комиссара Информации (The Information Commisioner Office).
Далее мы рассмотрим еще один из наиболее важных законов – Закон о неправомерном использовании компьютерных технологий – The Computer Misuse Act.
3.2 The Computer Misuse Act

Закон о неправомерном использовании компьютерных технологий 1990 г. является актом Парламента Великобритании, представленном частично в на случай 1988 года с учатием Роберта Шифрена (Robert Schifreen) и Стефана Голда (Stephen Gold), . Критики законопроекта часто жаловались на то, что он был введен поспешно и плохо продуман. Намерение, по их словам, часто бывает трудно доказать, а закон недостаточно различает «случайных» крекеров как Шифрен и Голд, от серьезных компьютерных преступников. Закон, тем не менее, стал моделью, из которых несколько других стран, включая Канаду и Ирландию, черпали вдохновение при разработке своих законов в области информационной безопасности.

Законопроект, основанный на рекомендациях ELC (English Law Commission), был одобрен правительством и принят в 1990 году. Разделы 1-3 закона представили 3 вида уголовных правонарушений:

  • Несанкционированный доступ к компьютерному материалу , карается 6 месяцами заключения или штрафом «не превосходящим 5 уровень по стандартной шкале» (в настоящий момент около 5000 ф. с.);

  • Несанкционированный доступ с намерением совершения или содействия совершению новых преступлений, карается 6 месяцами/максимальным штрафом по приговору без участия присяжных или 5 годами/штрафом по обвинительному приговору;

  • Несанкционированная модификация компьютерных материалов, карается так же как в разделе 2

Параграфы 2 и 3 предназначены для предотвращения более серьезных преступлений, например, использования компьютеров для оказания помощи в совершении преступлений и действий, препятствующих доступу к данным, хранящимся на компьютере.

Основным правонарушением является попытка получить доступ к компьютеру или к данным, которым он хранит, заставляя компьютер выполнять любые функции, для того чтобы получить доступ. Таким образом, хакеры, которые программируют свой компьютер дл я подбора паролей, попадают под это правонарушение, даже если целевой компьютер отразил все их попытки получить доступ. Единственным условием ответственности является то, чтобы хакер знал что попытка доступа является несанкционированной. Таким образом, использование имени пол пользователя и пароля другого лица без надлежащих полномочий для доступа к данным или программам, или для изменения, копирования, перемещения, удаления и даже простого вывода данных на экран или принтер, или для выдачи себя за другое лицо, используя электронную почту, чат, веб или другие сервисы, является преступлением. Даже если начальный доступ санкционирован, последующее ислледование, если в системе есть иерархия привилегий, может привести к части системы, для которой необходимые привилегии отсутствуют, и преступление будет совершено. Но, например, подсматривание вводимого пароля из-за плеча пользователя или использование сложного электронного оборудования для прослушивания, выходит за рамки данного преступления.

Правонарушения, приведенные в параграфах 2 и 3 — это тяжелые правонарушения, требующие намерения совершить другое правошарушение (для этих целей, правонарушение должно быть наказуемо арестом и , таким образом включается во все основные законы).Так хакер, получивший доступ к системе с намерением перевести деньги или акции, намерен совершить кражу, или получить конфиденциальную информацию для шантажа или вымогательства. Таким образом, параграф 1 нарушен, как только произошла попытка несанкционированного доступа, а параграф 2 нарушается, если доступ получается для преступных целей. Правонарушения, перечисленные в параграфе 3, нацелены на тех, кто пишет или распространяет компьютерные вирусы или черви, неважно, посредством LAN или других сетей. Аналогично, использование фишинговых технологий или троянских коней для получения идентификационных данных или любой другой информации от несанкционированного источника; модифицирование файлов операционной системы или каких-либо аспектов функций компьютера для вмешательства в его работу, включая уничтожение файлов или сознательную генерацию кода для вызова полного сбоя системы, являются уголовными действиями.

Рассмотрим американский Закон о Компьютерной Информации

^ 3.3 Computer Security Act, Public Law

Характерно, что уже в начале Закона называется конкретный исполнитель - Национальный институт стандартов и технологий (НИСТ), отвечающий за выпуск стандартов и руководств, направленных на защиту от уничтожения и несанкционированного доступа к информации, а также от краж и подлогов, выполняемых с помощью компьютеров. Таким образом, имеется в виду как регламентация действий специалистов, так и повышение информированности всего общества.

Согласно Закону, все операторы федеральных ИС, содержащих конфиденциальную информацию, должны сформировать планы обеспечения ИБ. Обязательным является и периодическое обучение всего персонала таких ИС. НИСТ, в свою очередь, обязан проводить исследования природы и масштаба уязвимых мест, вырабатывать экономически оправданные меры защиты. Результаты исследований рассчитаны на применение не только в государственных системах, но и в частном секторе.

Закон обязывает НИСТ координировать свою деятельность с другими министерствами и ведомствами, включая Министерство обороны, Министерство энергетики, Агентство национальной безопасности (АНБ) и т.д., чтобы избежать дублирования и несовместимости.

Помимо регламентации дополнительных функций НИСТ, Закон предписывает создать при Министерстве торговли комиссию по информационной безопасности, которая должна:

  • выявлять перспективные управленческие, технические, административные и физические меры, способствующие повышению ИБ;

  • выдавать рекомендации Национальному институту стандартов и технологий, доводить их до сведения всех заинтересованных ведомств.

С практической точки зрения важен раздел 6 Закона, обязывающий все правительственные ведомства сформировать план обеспечения информационной безопасности, направленный на то, чтобы компенсировать риски и предотвратить возможный ущерб от утери, неправильного использования, несанкционированного доступа или модификации информации в федеральных системах. Копии плана направляются в НИСТ и АНБ.

В 1997 году появилось продолжение описанного закона - законопроект "О совершенствовании информационной безопасности" (Computer Security Enhancement Act of 1997, H.R. 1903), направленный на усиление роли Национального института стандартов и технологий и упрощение операций с криптосредствами.

В законопроекте констатируется, что частный сектор готов предоставить криптосредства для обеспечения конфиденциальности и целостности (в том числе аутентичности) данных, что разработка и использование шифровальных технологий должны происходить на основании требований рынка, а не распоряжений правительства. Кроме того, здесь отмечается, что за пределами США имеются сопоставимые и общедоступные криптографические технологии, и это следует учитывать при выработке экспортных ограничений, чтобы не снижать конкурентоспособность американских производителей аппаратного и программного обеспечения.

Для защиты федеральных ИС рекомендуется более широко применять технологические решения, основанные на разработках частного сектора. Кроме того, предлагается оценить возможности общедоступных зарубежных разработок.

Очень важен раздел 3, в котором от НИСТ требуется по запросам частного сектора готовить добровольные стандарты, руководства, средства и методы для инфраструктуры открытых ключей (см. выше Закон РФ об ЭЦП), позволяющие сформировать негосударственную инфраструктуру, пригодную для взаимодействия с федеральными ИС.

В разделе 4 особое внимание обращается на необходимость анализа средств и методов оценки уязвимых мест других продуктов частного сектора в области ИБ.

Приветствуется разработка правил безопасности, нейтральных по отношению к конкретным техническим решениям, использование в федеральных ИС коммерческих продуктов, участие в реализации шифровальных технологий, позволяющее в конечном итоге сформировать инфраструктуру, которую можно рассматривать как резервную для федеральных ИС.

Важно, что в соответствии с разделами 10 и далее предусматривается выделение конкретных (и немалых) сумм, называются точные сроки реализации программ партнерства и проведения исследований инфраструктуры с открытыми ключами, национальной инфраструктуры цифровых подписей. В частности, предусматривается, что для удостоверяющих центров должны быть разработаны типовые правила и процедуры, порядок лицензирования, стандарты аудита.

В 2001 году был одобрен Палатой представителей и передан в Сенат новый вариант рассмотренного законопроекта - ^ Computer Security Enhancement Act of 2001 (H.R. 1259 RFS). В этом варианте примечательно как то, что, по сравнению с предыдущей редакцией, было убрано, так и то, что добавилось.

За четыре года (1997-2001 гг.) на законодательном и других уровнях информационной безопасности США было сделано многое. Смягчены экспортные ограничения на криптосредства (в январе 2000 г.). Сформирована инфраструктура с открытыми ключами. Разработано большое число стандартов (например, новый стандарт электронной цифровой подписи - FIPS 186-2, январь 2000 г.). Все это позволило не заострять более внимания на криптографии как таковой, а сосредоточиться на одном из ее важнейших приложений - аутентификации, рассматривая ее по отработанной на криптосредствах методике. Очевидно, что, независимо от судьбы законопроекта, в США будет сформирована национальная инфраструктура электронной аутентификации. В данном случае законотворческая деятельность идет в ногу с прогрессом информационных технологий.

Программа безопасности, предусматривающая экономически оправданные защитные меры и синхронизированная с жизненным циклом ИС, упоминается в законодательстве США неоднократно. Согласно пункту 3534 ("Обязанности федеральных ведомств") подглавы II ("Информационная безопасность") главы 35 ("Координация федеральной информационной политики") рубрики 44 ("Общественные издания и документы"), такая программа должна включать:

  • периодическую оценку рисков с рассмотрением внутренних и внешних угроз целостности, конфиденциальности и доступности систем, а также данных, ассоциированных с критически важными операциями и ресурсами;

  • правила и процедуры, позволяющие, опираясь на проведенный анализ рисков, экономически оправданным образом уменьшить риски до приемлемого уровня;

  • обучение персонала с целью информирования о существующих рисках и об обязанностях, выполнение которых необходимо для их (рисков) нейтрализации;

  • периодическую проверку и (пере)оценку эффективности правил и процедур;

  • действия при внесении существенных изменений в систему;

  • процедуры выявления нарушений информационной безопасности и реагирования на них; эти процедуры должны помочь уменьшить риски, избежать крупных потерь; организовать взаимодействие с правоохранительными органами.

Напоследок, рассмотрим еще один закон – Канадский Закон о Защите Информации и Электронных Документов PIPEDA.
^ 3.4 The Personal Information Protection and Electronic Documents Act

The Personal Information Protection and Electronic Documents Act (Закон о защите персональной информации и электронных документов, аббревиатура ^ PIPEDA или PIPED Act) - канадский закон, касающийся конфиденциальности данных. Он управляет тем, как частные организации собирают, используют и раскрывают персональную информацию в ходе коммерческой деятельности. Кроме того, Закон содержит различные положения, облегчающие использование электронных документов. PIPEDA был принят 13 апреля 200 года для развития потребительского доверия к электронной торговле. Этот закон был также призван убедить Европейский союз, что канадский Закон о Конфиденциальности был адекватным для защиты личной информации граждан европейских стран.

PIPEDA включает в себя и делает обязательными положения Типового кодекса Канадской Ассоциации Стандартов по защите личной информации, разработанной в 1995 году.

"Личная информация", как указано в PIPEDA, заключается в следующем: информация об идентифицируемой личности, но она не включает в себя имя, должность, бизнес-адрес или номер телефона сотрудника организации.

^ Закон предоставляет лицам право:

  • Знать, почему организация собирает, использует или раскрывает личную информацию;

  • Ожидать от организации, что она будет собирать, использовать или раскрывать личную информацию разумно и надлежащим образом, и не использовать эту информацию в любых целях, кроме той, на которую они согласились;

  • Знать, кто в организации ответственен за защиту их информации;

  • Ожидать, что организация будет защищать их информацию соответствующими мерами безопасности;

  • Ожидать, что персональная информация, которую организация хранит, является точной, полной и своевременной;

  • Получать доступ к их персональной информации, и просить о внесении изменений в случае необходимости;

  • Жаловаться о том, как организация обращается с их персональной информацией, если они чувствуют что их права на конфиденциальность не были соблюдены.

Закон требует, чтобы организации:

  • Получали разрешение, когда они собирают, используют или раскрывают персональную информацию ;

  • Предоставляли лицам продукты или услуги даже если они отказывают в сборе, использовании или раскрытии персональной информации, если только эта информация не имеет ключевое значение для сделки;

  • Собирали информацию честными и законными методами;

  • Имели личную политику в области информации, которая является четкой, понятной и доступной.


Хотя Закон требует , чтобы пострадавшие организации соблюдали Типовой Кодекс CSA о Защите Персональной Информации (SA Model Code for the Protection of Personal Information), есть ряд исключений из кодекса, когда информация может собираться, использоваться и раскрываться без согласия субъектов информации. Примеры включают расследования правоохранительных органов или случаи чрезывачайной ситуации. Так же есть исключение из основного правила, что человек должен получать доступ к его персональной информации.

ЗАКЛЮЧЕНИЕ

Из обзора важнейших зарубежных законов и актов, так или иначе касающихся информационной безопасности и защиты данных, можно выделить следующие ключевые моменты:

  • Основную роль в этой области играет американский Закон о Компьютерной Безопасности (Computer Security Act, глава 3.3) и британский Закон о Защите Данных (UK Data Protection Act, глава 3.1), которые послужили основой для множества подобных законопроектов других стран.

  • В Европе также важную роль оказывает Директива Евросоюза по защите информации (The European Union Data Protection Directive), которая предписывает всем странам-участникам Евросоюза разработать собственные национальные законопроекты, касающиеся информационной безопасности.

  • Закон о неправомерном использовании компьютерной техники (The Computer Misuse Act, глава 3.2), предписывающий уголовные наказания для серьезных компьютерных преступлений, и послуживший основой для множества подобных законопроектов в других странах, является довольно плохо продуманным, из-за «размытости» и неясности многих формулировок.


ЛИТЕРАТУРА


  1. Методические указания к выполнению курсового проекта.

  2. Wikipedia – http://en.wikipedia.org

  3. Лекции по дисциплине «Информационная безопасность» - http://pki-exam.narod.ru/ib/index.html

  4. www.arguments.su




Добавить документ в свой блог или на сайт

Похожие:

Специальность Компьютерная Безопасность Курсовая работа Название курсовой работы

Курсовая работа Шайдуллиной Алены Альбертовны на тему «Психологические...
Курсовая работа Шайдуллиной Алены Альбертовны на тему «Психологические аспекты любознательности дошкольников 5-7 лет.» может быть...

Курсовая работа По курсу: «Информационная безопасность На тему: «Обзор зарубежного законодательства в области информационной безопасности» iconКурсовая работа «К защите допускаю»
Информационная политика органов государственной и муниципальной власти (на примере Республики Башкортостан)

Информационная безопасность в компьютерных сетях
Обеспечение безопасности информации в пользовательской подсистеме и специализированных коммуникационных компьютерных системах. 4

Отчет по лабораторной работе №1 по дисциплине «Безопасность вычислительных сетей»
Кафедра комплексной информационной безопасности электронно-вычислительных систем (кибэвс)

Практическое задание «Оценка безопасности и тяжести труда на рабочем...
Московский государственный институт электроники и математики (технический университет)

Курсовая работа по дисциплине «Сети ЭВМ и Средства Телекоммуникаций»
Данная курсовая работа посвящена организации потокового вещания видео в браузер средствами html5

Курсовая работа по дисциплине «Сети ЭВМ и Средства Телекоммуникаций»
Данная курсовая работа посвящена организации потокового вещания видео в браузер средствами html5

Работа по выполнению требований законодательства по охране труда в оу
Целью работы является обеспечение безопасности обучающихся, воспитанников во время их трудовой и учебной деятельности путём повышения...

Лабораторная работа по курсу «Безопасность жизнедеятельности» «Защита...
Оценка качества изоляции сети при периодическом контроле под рабочим напряжением 9

Вы можете разместить ссылку на наш сайт:
Школьные материалы


При копировании материала укажите ссылку © 2013
контакты
odtdocs.ru
Главная страница