Общая методология и структура организационного обеспечения информационной безопасности на уровне государств

date image 2014-02-24
views image 1262
Поделись с друзьями: 
45678910

Поскольку потенциальные угрозы безопасности информации весьма многообразны, цели защиты информации могут быть достигнуты только путем создания комплексной системы защиты информации, под которой понимается совокупность методов и средств, объединенных единым целевым назначением и обеспечивающих необходимую эффективность защиты информации в КС.

Итоги

Для решения основных задач в сфере информационной безопасности действуют все основные органы государственной власти и управления: судебные, органы исполнительной власти, правоохранительные органы, организации и предприятия, которые контролируются государством и имеют доступ к информации, составляющей государственную тайну, и другие.

Для обеспечения информационной безопасности государственные органы выполняют следующие основные функции:

  • создают законодательную базу, обеспечивающую защиту базовых прав частных лиц, предприятий и государства, таких как право на защиту частной информации, право на защиту коммерческой и банковской тайны, право на беспрепятственный доступ к информации и т.п. Данная функция осуществляется законодательными органами в сотрудничестве с органами исполнительной власти, общественными организациями, научно-исследовательскими учреждениями и другими заинтересованными участниками;
  • осуществляют правоприменительную деятельность, непосредственно реализуют меры по защите информационных ресурсов государственного управления, а также выполняют все функции, необходимые для реализации требований законодательства;
  • выполняют судебные функции в отношении лиц, которые допустили правонарушения, связанные с использованием информационных ресурсов, и участвуют в хозяйственных спорах, связанных с нарушениями информационной безопасности.

Функции создания и постоянного совершенствования законодательно-правовой базы, обеспечивающей защиту законных частных, коммерческих, общественных и государственных интересов, реализуются законодательными органами (парламентами) государств. Как правило, все законодательные функции в данной сфере в большинстве стран осуществляются центральными (федеральными) органами законодательной власти, а местные (региональные) органы таких полномочий не имеют. Для создания и поддержания в актуальном состоянии законодательства в сфере информационной безопасности в законодательных органах могут создаваться профильные комитеты и комиссии, которые состоят из членов данного законодательного органа, имеющих некоторые базовые знания и навыки в сфере информационных технологий и правового регулирования вопросов информационного обмена. Кроме того, вопросы совершенствования законодательства в сфере обеспечения информационной безопасности также могут решаться в различных профильных комитетах, подкомитетах и рабочих группах, специализирующихся на смежных проблемах государственного управления и социально-экономического регулирования, таких как:
  • оборона;
  • национальная безопасность;
  • политика в сфере связи, информации и информатизации;
  • промышленная и экономическая политика;
  • наука и образование
  • и других.

Для разработки соответствующих нормативно-правовых актов подразделения (комитеты и подкомитеты) органов законодательной власти могут привлекать для совместной работы ответственных специалистов, руководителей, аналитиков и экспертов, работающих в:

  • органах исполнительной власти (министерствах, отвечающих за научное и техническое развитие, т.н. "силовых" министерствах и ведомствах, юридических ведомствах и т.п.);
  • частных компаниях, а также общественных и профессиональных организациях, которые занимаются оказанием информационных услуг, поставкой информационно-технических продуктов, специализирующихся на развитии информационных технологий и т.п.;
  • научно-исследовательских организациях, специализирующихся на соответствующих проблемах информационных технологий и управления.

Процедуры согласования, принятия и утверждения законодательных актов, а также процедуры контроля за действиями органов исполнительной власти в каждой стране определяются в соответствии с действующим законодательством (конституцией).

Деятельность исполнительных органов государственной власти в сфере обеспечения информационной безопасности направлена на реализацию действующих в государстве законов и непосредственную защиту интересов государственной власти, гражданских прав и прав компаний, осуществляющих хозяйственную деятельность.

Конкретная работа органов исполнительной власти в сфере информационной безопасности, как правило, осуществляется по нескольким относительно самостоятельным направлениям.

  • Установление конкретных правил производства, продажи, экспорта, импорта и использования средств защиты информации, а также организация системы контроля за соблюдением действующих законов и установленных правил.
  • Лицензирование и сертификация предприятий и организаций, занимающихся производством, продажей установкой и настройкой программных и аппаратных средств защиты информации.
  • Осуществление правоохранительной деятельности в сфере защиты информации (уголовного преследования лиц и преступных группировок, совершающих противоправные действия, содержащие признаки уголовных преступлений в соответствии с действующим уголовным законодательством).
  • Непосредственное осуществление функций защиты информации в государственных учреждениях и службах (правительство, вооруженные силы, органы внутренних дел и т.п.).
  • Разработка государственных стандартов, относящихся к организации и технологиям защиты информации (программным и аппаратным средствам, средствам криптографии и т.п.).
  • Поддержка образования и подготовки кадров, а также регулирование деятельности образовательных учреждений (включая установку образовательных стандартов).
  • Поддержка научных исследований в сфере информационной безопасности.
  • Осуществление международного сотрудничества в сфере защиты информации (взаимодействие с правительствами и правоохранительными органами других стран) как в целях общего развития инфраструктуры информационной безопасности, так и для разрешения отдельных инцидентов (раскрытия преступлений и т.п.).

Судебные функции, как правило, реализуются судами общей юрисдикции, так же как и для всех остальных гражданских и уголовных дел. Специальных судебных инстанций, которые были бы предназначены для рассмотрения дел, связанных с информационной безопасностью (таких как, например, суды по правам человека или военные суды), не существует. При этом могут создаваться судебные лаборатории, специализирующиеся на проведении экспертиз, анализов и исследований различных элементов информационных систем в связи с расследованиями и судебными разбирательствами по делам о нарушениях в сфере информационной безопасности.

Основой организации государственной деятельности в сфере информационной безопасности является национальная политика (доктрина, национальный план, национальная стратегия) информационной безопасности. Этот документ, издаваемый, как правило, главой исполнительной ветви власти (президентом страны) отражает:

  • признание государственной властью существенной значимости проблем защиты информации для общества, личности, экономики и самого государства;
  • современное понимание общего ландшафта информационной безопасности на национальном уровне: потенциально уязвимые информационные объекты, источники угроз и др.;
  • основные направления, в которых государство намерено осуществлять активные действия с целью повышения уровня информационной безопасности на национальном уровне (создание систем безопасности, упорядочивание взаимоотношений различных субъектов, пресечение правонарушений, развитие инфраструктуры и технологий безопасности и т.п.).

В рамках утвержденной государственной доктрины информационной безопасности:

  • создаются специализированные правительственные организации, отвечающие за реализацию политики информационной безопасности и решение отдельных задач в этой сфере;
  • отдельные правительственные учреждения наделяются специфическими функциями и полномочиями, связанными с управлением информационной безопасностью (как в общегосударственном масштабе, так и в рамках определенных сфер ответственности), а также создаются специальные структурные подразделения, отвечающие за решение вопросов защиты информации и информационной инфраструктуры;
  • создается система локальных правовых актов, регулирующих отношения в сфере защиты информации, а также система государственных стандартов, относящихся к технологиям и организации защиты информации.

Специализированные органы, создаваемые в структуре исполнительной власти для решения задач информационной безопасности на государственном уровне, как правило, подчиняются непосредственно главе исполнительной ветви власти, носят статус федеральных агентств, комитетов или комиссий и наделены правом самостоятельно издавать нормативные акты в рамках имеющихся полномочий, установленных действующим законодательством. Издаваемые таким образом локальные нормативные акты (указы, постановления, инструкции, порядки, правила и т.п.) непосредственно регулируют отношения в сфере создания, распространения и использования средств автоматизации и защиты информации.

Государственная стандартизация технологий и методов, используемых в процессах защиты информации, осуществляется уполномоченными государственными органами с целью упорядочивания знаний о современном состоянии технологий и методов защиты и установления универсальных критериев надежности и функциональности для определенных технологий. Государственная стандартизация позволяет достичь универсальности при оценке используемых технологий и методов и, таким образом, до определенной степени упорядочить многие взаимоотношения, связанные с использованием таких технологий и методов. Стандартизация, осуществляемая отдельными государственными органами, как правило, опирается на существующую систему имеющихся международных стандартов, а национальные органы, занимающиеся стандартизацией, могут принимать участие в разработке международных стандартов. Основными объектами государственной и международной стандартизации могут выступать:

  • методы шифрования и криптографической защиты данных;
  • технологии идентификации пользователей информационных систем;
  • методы аутентификации;
  • методы тестирования (проверки) и оценки информационных систем на предмет их защищенности;

а также некоторые другие элементы систем обеспечения информационной безопасности.

Понравилась статья? Добавь ее в закладку (CTRL+D) и не забудь поделиться с друзьями:  

45678910

double arrow
Сейчас читают про:
article image
Индукция и дедукция. Анализ и синтез
article image
Анализ актива баланса
article image
Правовое положение сословий в Российском государстве в XVIII веке
article image
Калибры, виды и назначение. Контроль параметров макрогеометрии деталей калибрами
article image
Классификация методов обучения
article image
Примеры решения задач. Определите рентабельность продукции по следующим данным: количество выпущенных изделий за квартал - 1 500 штук
article image
Самый сильный аргумент, почему эволюция человека не могла быть

Теория – командир, практика – солдаты. © Леонардо да Винчи ==> читать все изречения...
like icon 6476
like icon 6197
Понравился сайт? Поделись им с друзьями: