WWW.DISSERS.RU

БЕСПЛАТНАЯ ЭЛЕКТРОННАЯ БИБЛИОТЕКА

загрузка...
   Добро пожаловать!

Pages:     | 1 |   ...   | 2 | 3 || 5 | 6 |

Оператор Интернет-связи в случае предъявления претензий от пострадавших лиц, или получения требований правоохранительных органов имеет право проверить почтовые ящики абонента, ставшие источником проблем, и заблокировать их в случае необходимости. Оператор Интернет-связи не должен нести ответственность за содержание информационных ресурсов, создаваемых и поддерживаемых абонентом, и осуществлять какой-либо предварительной цензуры, однако в случае, размещения абонентом на своих ресурсах информации, нарушающей права третьих лиц, а также информации запрещенной законодательством в частности, порнографические материалы, призывы к насилию, свержению власти и т.п. оператор оставляет за собой право заблокировать доступ к информационным ресурсам абонента. Оператор Интернет-связи не несет ответственности за изменение удаление или блокирование информации на информационных ресурсах абонента размещенных в сети Интернет вследствие неправомерных действий третьих лиц. Оператор Интернет-связи не несёт ответственность за несанкционированный доступ третьих лиц к информации находящейся в компьютере абонента. Абонент обязан использовать услуги Исполнителя следующим образом: не распространять запрещенную и не запрашиваемую информацию, не осуществлять несанкционированного доступа к закрытой информации и не нарушать своими действиями информационных интересов третьих лиц. Абонент несет ответственность в случае использования сервисов обмена электронной почтой для массовой рассылки информации незапрашиваемой другими пользователями Интернет (спам). Абонент несет ответственность в случае размещения в сети Интернет информации нарушающей права и интересы других пользователей сети Интернет. Абонент несет ответственность в случае осуществления несанкционированного доступа к информации конфиденциального характера, принадлежащей оператору Интернет-связи или другим пользователям сети Интернет. На основании изложенных правил составлена, примерна редакция договоров об оказании услуг Интернет-связи приведенных в приложении

Глава 3. «Применение международного опыта правового регулирования информационной безопасности в Российской Федерации» является реализационной частью исследования.

Параграф 3.1. «Применение международных стандартов в разработках нормативно-правовых актов юридических лиц» обобщает 20-летний опыт теоретических и практических правовых исследований и разработок автора в области защиты информации и информационной безопасности крупномасштабных систем. Именно примат правового обеспечения таких систем сместил научные интересы автора, в то время уже доктора физико-математических наук, профессора в область права. Договорная работа, разработка технических заданий, программ и методик испытаний, положений, инструкций, других юридически значимых и практически необходимых актов регулирования производственных отношений убедили автора в том, что в этой области, требующей согласованных действий большого числа лиц, много белых пятен. В советское время международные стандарты в закрытых учреждениях не применялись, применялись Единая Система Программной Документации (ЕСПД), многочисленные ГОСТы, ОСТы, СТП, ТЮ, другие технические и социотехнические нормы. Вместе с тем, будучи секретарем Генерального конструктора АСУ ВС академика Семенихина В.С. автор готовил по его поручению первые редакции правовых актов союзного уровня таких, как Проект Закона « Об информации, информатизации и защите информации», Положение о ГК ВТИ при СМ СССР, Положение о Межведомственном координационном совете по проблеме защиты информации в АСУ при КП СМ СССР по военно-промышленным вопросам и др. Международные стандарты информационной безопасности автор стал исследовать и применять практически с 1999 года при формировании Дирекции аудита и методологии информационной безопасности крупной многопрофильной финансовой корпорации. Автор лично разработал пакет новых нормативных актов на основе международного стандарта ISO 17799, который использовался также несколько позже при разработке концепций информационной безопасности ГАС «ПРАВОСУДИЕ» и Центрального Банка России. Пакет таких нормативных актов, разработанных автором, в частности включал в свой состав Концепцию информационной безопасности Финансовой корпорации «УРАЛСИБ», Политику информационной безопасности Финансовой корпорации «УРАЛСИБ», Положение о Дирекции аудита и методологи информационной безопасности Финансовой корпорации «УРАЛСИБ», должностные инструкции сотрудников Дирекции аудита и методологи информационной безопасности Финансовой корпорации «УРАЛСИБ» и др. Эти нормативные акты были разработаны на основе международного стандарта информационной безопасности ISO 17799 и его дести ключевых областей в соответствии с общепринятой практикой. Полные тексты некоторых нормативно-правовых актов, разработанных автором с учетом международных стандартов, приведены в Приложении.

Параграф 3.2. «Правовое обеспечении аудита информационной безопасности с учетом международного опыта»

Темпы развития современных информационных технологий значительно опережают темпы разработки рекомендательной и нормативно-правовой базы руководящих документов, действующих на территории России. Поэтому вопрос аудита, «как оценить уровень безопасности корпоративной информационной системы», – обязательно влечет за собой следующие: в соответствии с какими критериями производить оценку эффективности защиты, как оценивать и переоценивать информационные риски предприятия Вследствие этого, в дополнение к требованиям, рекомендациям и руководящим документам Государственной комиссии по техническому и экспортному контролю (ранее Гостехкомисии, далее по тексту Гостехкомиссии по тем подзаконным актам, которые были ею выпущены до Административной реформы) России приходится адаптировать к нашим условиям и применять методики международных стандартов (ISO 17799, 9001, 15408, BSI и пр.), а также использовать методы количественного анализа рисков в совокупности с оценками экономической эффективности инвестиций в обеспечение безопасности и защиту информации. В зарубежных нормативных документах установлен набор требований для различных типов средств и систем информационных технологий – в зависимости от различных условий их применения. Особенности развития отечественной нормативной базы в данной области заключаются в том, что отсутствует комплексный подход к проблеме защиты информации (рассматриваются в основном вопросы несанкционированного доступа к информации и вопросы обеспечения защиты от побочных электромагнитных излучений и наводок) и, кроме того разработанные национальные стандарты и РД Гостехкомиссии России 1992-1996 не принимают во внимание международные стандарты ИСО/МЭК. На сегодняшний день эти недостатки начали устраняться. В целях совершенствования отечественной нормативной базы с 2001 года Гостехкомиссия и Госстандарт России совместно с другими заинтересованными министерствами и ведомствами реализуют новые инициативы в этом направлении. В частности, утверждены три государственных стандарта, определяющих критерии оценки безопасности информационных технологий. Они устанавливают требования к формированию заданий по оценке безопасности в соответствии с положениями международных стандартов. По линии Гостехкомиссии созданы несколько руководящих документов, в том числе «Руководство по разработке профилей защиты», «Руководство по регистрации профилей защиты», «Методология оценки безопасности информационных технологий» и «Автоматизированный комплекс разработки профилей защиты». Перечисленные документы по сути представляют собой прямую трансляцию положений международных стандартов ISO на российскую нормативно-техническую базу. В дополнение к ним создаются еще шесть спецификаций на защитные профили для операционных систем, межсетевых экранов, систем управления базами данных, автоматизированных систем учета и контроля ядерных материалов и др. Утвержден государственный стандарт РФ, определяющий процессы формирования средств проверки ЭЦП, идет работа по переводу данного стандарта в категорию межгосударственного. В 2000-2001 гг. была создана “Программа комплексной стандартизации в области защиты информации на период 2001-2010”, в которой применён комплексный метод стандартизации. ПКС предусматривает появление примерно 40 ГОСТов. Кроме того, ВНИИ «Стандарт» разрабатывает проект «Программы комплексной стандартизации в области защиты информации, составляющей государственную тайну». В ее рамках планируется принятие 42 национальных стандартов и других нормативных документов. В свою очередь, Госстандарт разработал и представил на утверждение в Правительство РФ проект «Программы по разработке технических регламентов на 2003—2010 годы». В ходе ее выполнения создаются следующие документы: «Общий технический регламент безопасности информационных технологий», «Общий технический регламент требований к системам безопасности информационных технологий», «Общий технический регламент требований по защите информации, обрабатываемой на объектах информатизации» и «Специальный технический регламент требований по защите информации в оборонной промышленности». В 2003 году Госстандарт разработал проект классификатора техники и средств защиты информации, требований к контролю за эффективностью средств защиты информации и соответствующих систем управления. Создан проект государственного стандарта, включающего в себя общие положения по формированию системы управления качеством при разработке, изготовлении, внедрении и эксплуатации техники защиты информации. Внедрение этих нормативных документов обеспечит единую классификацию механизмов и техники защиты информации, позволит определить основные характеристики систем качества техники защиты информации. Благодаря этому уменьшится разобщенность разработчиков и изготовителей, повысится уровень координации производителей специальной аппаратуры. Из анализа действующих нормативных документов по стандартизации в данной области следует, что по охвату регулирования аспектов безопасности ИТ, по детализации рассматриваемых в них проблем российские национальные стандарты всё ещё уступают международным. Вопросы стандартизации в сфере IT-безопасности решаются на международном уровне – совместным техническим комитетом СТК1 ИСО/МЭК «Информационные технологии», на региональном – европейскими организациями СЕН, ЕКМА и др., на национальном уровне – АНСИ, НИСТ (США), ДИН (Германия) и др. В некоторых из перечисленных работ принимал участие и автор, в основном как эксперт.

Параграф 3.3. «Проблемы латентности12 и прогнозирования угроз информационной безопасности» посвящен малоисследованным, но весьма актуальным проблемам правовой науки. Проблемы были поставлены и предложены автору для решения более десяти лет назад одним из ведущих криминологов С.М.Иншаковым. Их частное решение получено на примере таких информационных угроз, как заведомо ложные сообщения об актах терроризма, предусмотренные ст.207 УК РФ. Решение этой проблемы13, полученное автором совместно Г.Л. Куликовой14

, было оценено криминологами как принципиально новое. Актуальность проблем обусловлена тем, что, с одной стороны, по оценке В.В. Лунеева, латентная преступность ежегодно приближаетсяся к более 80 % от реальной преступности (в европейских странах – около 50 %), с другой стороны, несмотря на комплекс предпринимаемых мер по предупреждению заведомо ложных сообщений об акте терроризма, рост количества этих преступлений в России продолжается, причем охватываются регионы, ранее не знающие такого преступления. Так, если в 1997 г. в России было зарегистрировано 1 386 преступлений, предусмотренных ст. 207 УК РФ, то в 2003г. – 7 811. Решение проблем было получено следующим образом. В результате применения методики, основу которой составил комплекс приемов статистического наблюдения, экспертная оценка материалов из прокуратур об отказе в возбуждении уголовных дел, выборочный анкетный опрос экспертов всех категорий, сотрудников правоохранительных органов (Генеральной прокуратуры РФ, МВД России, ФСБ России и др.), установлено, что латентная преступность заведомо ложных сообщений об акте терроризма в 2003г. составила 7 426 преступлений (зарегистрированная преступность – 7 811 преступлений), то есть фактическое количество преступлений достигает 15 237. Таким образом, коэффициент латентности составил 1,95.

Сложнее дело обстояло с прогнозом преступлений этого состава.

Главная задача исследования заключалась в установлении взаимозависимости заведомо ложных сообщений об акте терроризма (ст. 207 УК РФ) и терроризма (ст. 205 УК РФ). Сложность решения этой задачи обусловлена тем, что накопленный объем статистического наблюдения недостаточен для получения состоятельных статистических оценок, поскольку не выполняется закон больших чисел. Вместе с тем, задача заключается в аналитическом описании тенденции (тренда) роста заведомо ложных сообщений об акте терроризма в зависимости от террористических актов. Аналитическое решение этой задачи выходит за рамки правового исследования, однако представляет интерес в криминологическом плане. Отметим, что впервые в правовой науке применяемый метод заимствован из теоретической физики и экономики (так называемый «биржевой прогноз»). В этих областях также решаются задачи открытия естественных законов на основе прогнозирования и ретроспекции. Последняя особенно характерна для фондовых бирж, где результаты прогнозов проверяются немедленно и неотвратимо, в силу чего методика работы с ними непрерывно совершенствуется.

Итак, рассмотрена следующая криминологическая задача Статистические данные по ст.ст. 205, 207 УК РФ за период, например (без ограничения общности), 1999–2003 годы имеют вид, показанный в таблице

Год

cт. 205 УК РФ

xi

cт.207 УК РФ

yi

1999

20

3462

2000

135

4035

2001

324

5323

2002

360

6762

Pages:     | 1 |   ...   | 2 | 3 || 5 | 6 |






© 2011 www.dissers.ru - «Бесплатная электронная библиотека»