WWW.DISSERS.RU

БЕСПЛАТНАЯ ЭЛЕКТРОННАЯ БИБЛИОТЕКА

загрузка...
   Добро пожаловать!

Pages:     | 1 | 2 || 4 | 5 |   ...   | 6 |
  • Управление информационными системами - CobiT, BS 150007, Microsoft Operations Framework и ITIL;
  • Управление проектами - PRINCE2 и the PMBOK;
  • Управление безопасностью - ISO 13335, ISO 13569 (банковские и финансовые услуги), ISO 17799/BS 7799-2 (оба локализованы для многих стран), IT Baseline Protection Manual (Германия), ACSI-338(Австралия), множество стандартов National Institute of Standards and Technology9 - NIST Handbook (SP800-12, USA), CobiT® Security Baseline™, ENV12924 (Медицинская информатика) и the Information Security Forum Standard of Good Practice10;
  • Управление качеством—ISO 9001, EFQM и Baldrige National Q- Plan;
  • Программирование—TickIT, Capability Maturity Model Integration (Software Engineering Institute);
  • IT Governance - COBIT, IT Governance Implementation Guide, COSO Internal Control - Integrated Framework и COSO Enterprise Risk Management - Integrated Framework, и недавно разработанный Австралийский стандарт AS 8015-2005 (корпоративное управление информационными и коммуникационными технологиями);
  • Управление рисками - Австралийский стандарт AS/NZS 436011
  • ;
  • BCP (планирование непрерывности бизнеса) - British Standards Institution PAS-56 и Австралийский стандарт HB 221-2004;
  • Аудит ИС - COBIT и ISO 19011;
  • Другие области, косвенно влияющие на информационную безопасность.

Наибольшее и универсальное распространение из процессных стандартов получили стандарты ISO 17799, COBIT, ISO 9001, BS 7799-2 и их сочетания.

Кроме большого числа процессных стандартов, имеется еще большее число эксплуатационных, технических стандартов. Международная Организация по Стандартизации (ISO), Европейский Институт Стандартов Телекоммуникаций и Национальный Институт Стандартов и Технологии (NIST) издали стандарты по таким вопросам, как шифрование (FIPS 197), критерии (технические) оценки безопасности ИТ (ISO 15408), планирование непрерывности бизнеса (FIPS 87), использование паролей (FIPS 112) и др. Стандарты информационной безопасности, качества и управления в обязательном порядке учитываются при проведении сертификации и аудита. Использование стандартов увеличивает ценность продуктов, создаваемую информационными технологиями, но нет таких стандартов, которые охватывали бы все аспекты управления информационной безопасностью. Состояние вопроса в этой области аналогично состоянию вопроса в системном анализе, ибо последний вырабатывает плохие решения по сложным проблемам, по которым другими методами вырабатываются еще худшие решения.

Глава 2. «Применение международного опыта регулирования информационной безопасности в сети Интернет» в равной мере относится как к международной, так и к российской проблематике правового регулирования информационной безопасности, т.е. играет связующую роль между теоретической и практической (реализационной) частями диссертационного исследования.

В параграфе 2.1. « Информационные отношения и угрозы в глобальной сети Интернет» исследуются основные элементы и угрозы информационных отношений в глобальной сети Интернет. К основным элементам информационного правоотношения относятся: субъекты, вступающие в правоотношения при осуществлении информационных процессов; объекты, в связи с которыми субъекты вступают в информационные правоотношения содержание прав и обязанностей субъектов по осуществлению действий над объектами информационного правоотношения. ответственность субъектов при нарушении прав или невыполнении обязанностей по отношению к другим субъектам правоотношения. Субъектами информационных правоотношений являются оператор Интернет-связи, его абонент, другие пользователи Интернет, правоохранительные органы. Содержание прав и обязанностей перечисленных субъектов взаимосвязано с их возможностями совершать определенные действия с объектами информационных правоотношений, в том числе и причиняющие вред. Объектами в информационных отношениях абонента и оператора Интернет-связи являются информация, информационные продукты и услуги, состояние защищенности личности, защищенность информации. Действия субъектов таких отношений, способных повлиять на информационную безопасность личности, являются основанием их ответственности. К возможным действиям абонента относятся: просмотр веб-страниц, получение и отправка электронных сообщений, хостинг. К возможным действиям оператора Интернет-связи относятся: сбор сведений об информационном обмена абонента, воздействие на информационный обмен абонента путем изменения скорости обмена, фильтрации содержимого передаваемой информации, воздействия на информацию опубликованную пользователем на веб-странице размещенной на сервере оператора, сбор персональных данных о пользователе.

Возможные действия правоохранительных органов заключаются в истребовании от оператора Интернет-связи или его абонента необходимой им информации об информационном обмене абонента. К действиям других пользователей Интернета, имеющих значение для и информационной безопасности абонента можно отнести только намеренные действия по получению несанкционированному доступу к его информации на веб-странице, в компьютере, в электронном письме. Просмотр веб-страниц несет в себе две угрозы. Это вредная информация, размещенная непосредственно на странице (фото, видео, аудио, текстовые данные) и вредоносные программные коды запускаемых с различными приложениями, которые обслуживают правильное отображение просматриваемой страницы, способные изменить состояние информации в компьютере пользователя. Вредная информация способна оказывать воздействие на пользователя при посещении веб-страниц, на которых она расположена. Попадание вредной информации на экран монитора пользователя зависит в основном от действий самого пользователя, так как он сам осуществляет передвижение по сети Интернет, и решает какая информация подлежит его вниманию. Ограничение на доступ к вредной информации может быть установлено самим оператором Интернет-связи. Это возможно за счет применения им специальных программных фильтров, позволяющих перекрывать доступ к информации определённого содержания, в том числе и не относящейся к вредной. Большинство операторов Интернет-связи имеют программные фильтры и могут применять их по договорённости с абонентом. Другим видом действий абонента является получение электронных сообщений. В этом случае существуют угрозы: воздействия вредной информации размещенной в электронном сообщении, получение и заражение компьютерными вирусами, получение не запрашиваемой информации (спам). В действиях пользователя по отправке электронных писем существуют следующие угрозы: недоставка отправленного письма до адресата, и нарушение конфиденциальности информации содержащейся в письме. Данные угрозы могут быть реализованы как в результате действий самого пользователя, так и в результате действий или бездействия оператора Интернет-связи. Так при отсутствии соединения или при некачественном соединении с сетью Интернет абонент не сможет отправить электронную корреспонденцию. Кроме того, угроза недоставки электронного письма или нарушения его конфиденциальности может быть реализована в результате неправильной работы почтовых серверов оператора Интернет-связи, в результате использования фильтров на исходящую от абонента информацию, в силу форс-мажорных обстоятельств. Нарушение конфиденциальности электронной переписки абонента может быть в результате несанкционированного доступа третьих лиц к его компьютеру или электронному почтовому ящику. При опубликовании своей веб-страницы в сети Интернет для информационной безопасности пользователя существуют следующие угрозы: несанкционированный доступ к опубликованной информации и, следовательно, нарушение данных аутентификации абонента, изменение или удаление веб-страницы пользователя и ей блокировка, как результат несанкционированного доступа. Источником таких угроз может быть как оператор Интернет-связи, так и другие пользователю Интернет. В первом случае возможность несанкционированного доступа возможна в силу того, что оператор Интернет-связи является хранителем данных аутентификации (пароля и логина) пользователя при доступе к редактированию своей страницы. Во втором случае доступ к странице абонента может быть осуществлен в силу получения другими пользователями Интернет данных аутентификации, необходимыми для управления страницей. Данная информация может быть получена в результате её хищения путем несанкционированного доступа к файлам (взлома) оператора Интернет-связи или любым другим способом. Еще существуют угрозы, возникновение которых не зависит от деятельности абонента в глобальной компьютерной сети. К ним относятся диффамация, нарушение авторских прав, распространение персональных данных.

В параграфе 2.2 «Сравнительно-правовой анализ обеспечения информационной безопасности в сети Интернет» рассмотрены нормы права, определяющие позицию стран Европейского Содружества Соединенных Штатов Америки и Канады. Так, в законе США «Об авторском праве в цифровую эпоху» 1998г.

(Digital Millennium Copyright Act) устанавливается ограниченная ответственность оператора Интернет-связи, запрещающая в определённых случаях нарушения авторских прав применять к ним санкции. Подобным образом обстоят дела и с информацией клеветнического характера. В 1996 году Конгресс США одобрил норму, фактически исключающую возможность возбуждать дела о клевете в Интернет против операторов Интернет-связи. Похожая схема регулирования используется Европейским сообществом. Существенным комплексом нормативных документов, оказывающих решающее влияние на правовые нормы европейских стран в области Интернета, являются нормативные документы Европарламента и Совета Европы. К ним относятся такие документы как: Декларация свободы общения в Интернете, директива 97/66/ЕС «Об обработке персональных данных и защите частных интересов в области телекоммуникации», директива 2000/31/ЕС 2000 г. «Об электронной коммерции», Конвенция Совета Европы по киберпреступности от 2001 г. Эти и другие документы составляют основу европейской законодательной базы в области Интернета. Так в Декларации свободы общения в Интернете определены основные принципы призванные гарантировать соблюдение прав человека в при пользовании глобальной компьютерной сетью. Рассмотрены также нормативные акты, характеризующие политику правового регулирования деятельности операторов Интернет-связи осуществляемую в странах восточной части земного шара: Китай, Япония, Сингапур, Таиланд, Корея и др. Наиболее четкий подход правового регулирования указанной деятельности сформирован Китаем. Основными документами, регулирующими китайский сегмент Интернета, являются такие акты Госсовета КНР, как «Правила защиты безопасности компьютерных систем» (действуют с 1994г.), «Временное положением о контроле над международными соединениями информационных компьютерных сетей» (с 1996г.), «Временное положением о контроле над электронными изданиями» (с 1996 г.), «Правила защиты безопасности международных соединений информационных компьютерных сетей» (с 1997г.). После образования Сетевого информационного центра Китая (CNNIC) были опубликованы «Временный порядок регистрации названий Интернет-страниц» и «Правила контроля за помещением информации в сети». Основные элементы Китайской Интернет-политики, в области защиты публичных и частных интересов – это стремление к осуществлению полного контроля над процессами использования глобальной сети.

В параграфе 2.3. «Инициативы по развитию договорного режима оказания безопасных Интернет-услуг» обоснована и приведена примерная редакция нормативных положений, которые необходимо включать в договор оказания услуг Интернет-связи, заключаемый между оператором Интернет-связи и абонентом, для обеспечения информационной безопасности абонента. Оператор Интернет-связи должен: предоставлять доступ к сети Интернет надлежащего качества в период всего времени указанного в договоре; по заявлению абонента применять специальные программы-фильтры для предотвращения посещения абонентом веб-страниц, содержащих информацию, направленную на разжигание ненависти, вражды и насилия, и непристойную информацию; по заявлению абонента использовать имеющиеся у него программные фильтры для предотвращения попадания в электронный ящик абонента информации незапрашиваемой абонентом (спам), а так же компьютерных вирусов содержащихся в электронных письмах. При возникновении случаев удаления электронного письма адресованного абоненту и содержащего важную для абонента информацию, оператор не несет ответственности за весь ущерб прямо или косвенно причинённый абоненту вследствие таких инцидентов. Оператор Интернет-связи не несёт ответственность за возникновение случаев проникновения компьютерных вирусов в компьютер абонента при получении электронных писем. Оператор Интернет-связи не несет ответственность за недоставку электронных писем абонента вследствие неправильного использования последним программ информационного обмена. Оператор Интернет-связи не несет ответственность за недоставку электронных писем и иной информации абонента, в случае отказа технического оборудования оператора по причинам от него не зависящим к числу которых, относятся: природные техногенные катастрофы, иные аварийные ситуации, возникающие не по вине оператора, умышленное повреждение оборудования оператора третьими лицами, атаки злоумышленников с целью вывода из состояния нормального функционирования оборудования оператора, неработоспособности Интернет-узлов, обеспечивающих доставку письма абонента, расположенными за пределами зоны ответственности оператора, обстоятельства непреодолимой силы в общепринятом смысле.

Pages:     | 1 | 2 || 4 | 5 |   ...   | 6 |






© 2011 www.dissers.ru - «Бесплатная электронная библиотека»