2020-01-15
283
Одним из направлений совершенствования нормативной базы применительно к вредоносным программам и спаму является надлежащее обеспечение построения системы информационной безопасности при использовании сертифицированных и лицензионных технических средств с последующей аттестацией системы.
Несмотря на значительное количество действующих нормативных актов в области защиты информации, существует разрыв между реальным уровнем информационных и коммуникационных технологий и нормативным обеспечением, регулирующим их проектирование, внедрение и эксплуатацию. Необходимо, в частности, выпустить документ по терминам и определениям в области вредоносных программ и спама, исключающий неоднозначное толкование соответствующих понятий. Представляется целесообразным проработать вопрос о нормативном закреплении ответственности государственных служащих и работников негосударственных организаций за соблюдение политики безопасности в организациях (в частности, за действия, способные привести к распространению вирусов или снижению устойчивости инфокоммуникационной системы к атакам).
В нормативно-техническом плане необходима разработка набора профилей защиты от вредоносных программ, в соответствии со стандартом ГОСТ/ИСО МЭК 15408.
В настоящее время нет необходимости в принятии отдельного законодательного акта, предметом регулирования в котором был бы спам; пока было бы достаточным внесение изменений и дополнений в действующие федеральные законы и нормативно-правовые акты иного уровня.
Федеральный закон «О рекламе» необходимо дополнить статьёй о распространении рекламы с использованием электронных средств (включая компьютерные сети и средства связи), установив, что к такому распространению применяется общий режим регулирования рекламной деятельности с особенностями, вытекающими из специфики используемых технических средств.
Кодекс об административных правонарушениях необходимо дополнить статьёй об административной ответственности за распространение незапрошенных электронных и почтовых сообщений рекламного и иного характера.
Федеральный закон «О почтовой связи» необходимо дополнить положением о порядке доставки почтовой корреспонденции в почтовые ящики, абоненты которых явно выразили нежелание получать сообщения рекламного характера. Речь идет не о том, чтобы запретить вообще получать письма и газеты, а том, чтобы, во-первых, все почтовые сообщения проходили бы через почтовые отделения (т.е. были бы запечатаны и с наклеенными знаками почтовой оплаты), и, во-вторых, сообщения, отмеченные как «рекламные», не доставлялись бы в почтовые ящики с наклейками типа «рекламу не опускать!».
Разработка Политики Безопасности
Под политикой безопасности понимается совокупность документированных управленческих решений, направленных на обеспечение информационной безопасности. Политика безопасности определяет стратегию организации в области информационной безопасности, а также ту меру внимания и количество ресурсов, которые руководство организации считает целесообразным выделить как критичную.
Политика безопасности должна включать в себя комплексные решения, охватывающие все аспекты использования инфокоммуникационных систем. В документ, характеризующий политику безопасности организации, представляется целесообразным включать следующие разделы:
· вводный, определяющий роль и место обеспечения информационной безопасности в инфокоммуникационной системе;
· организационный, содержащий описание подразделений, комиссий, групп и т.д., отвечающих за работы в области обеспечения информационной безопасности;
· классификационный, описывающий имеющиеся в организации материальные и информационные ресурсы и необходимый уровень их защиты;
· штатный, характеризующий меры безопасности, применяемые к персоналу (описание должностей с точки зрения информационной безопасности, организацию обучения и переподготовки персонала, порядок реагирования на нарушения режима безопасности и т.п.);
· раздел, освещающий вопросы физической защиты оборудования инфокоммуникаций;
· управляющий раздел, описывающий подход к управлению техническими средствами;
· раздел, описывающий правила разграничения доступа к информационным ресурсам;
· раздел, характеризующий порядок разработки и сопровождения автоматизированных информационных систем;
· раздел, описывающий меры, направленные на обеспечение непрерывной работы организации;
· юридический раздел, подтверждающий соответствие политики безопасности действующему законодательству и внутренней нормативно-распорядительной документации.
Созданная однажды политика безопасности не должна рассматриваться как догма. Ее необходимо постоянно пересматривать и корректировать по мере развития инфокоммуникационных технологий, а также по мере появления новых угроз.
