2015-05-13
1994
Законодательный уровень — важнейший для обеспечения информационной безопасности. Здесь необходимо понимать значимость проблем ИБ, сконцентрировать ресурсы на основных направлениях исследований, скоординировать образовательную деятельность, создать и поддерживать негативное отношение к нарушителям — все это функции законодательного уровня.
Вот почему интерес к системам безопасности со стороны госсектора продиктован нормативными документами, что позволяет регулирующим органам влиять на динамику развития рынка. Российские правовые акты в большинстве своем имеют ограничительную направленность, регламентируя вопросы использования информационных технологий в деятельности органов государственной власти. Назовем основные из них:
- Федеральный Закон от 20 февраля 1995 г. «Об информации, информатизации и защите информации»;
- Федеральный Закон от 7 июля 2003 г. «О связи»;
- Федеральный Закон от 10 января 2002 г. «Об электронной цифровой подписи»;
- Федеральная программа «Реформирование государственной службы Российской Федерации (2003-2005 годы)», утвержденная Указом Президента Российской Федерации от 19 ноября 2002 г.;
- Доктрина информационной безопасности Российской Федерации, утвержденная Президентом Российской Федерации 9 сентября 2000 г.;
- Федеральная целевая программа «Электронная Россия (2002-2010 годы)», утвержденная постановлением Правительства Российской Федерации от 28 января 2002 г.;
- Федеральный Закон «О персональных данных» от 27 июля 2006 г.
В проектах построения сетей передачи данных, систем обработки данных и других инфраструктурных решений, реализуемых в интересах госкомпаний и органов власти, возникают дополнительные требования, описанные в стандартах Гостехкомиссии и ФСТЭК России. Кроме нормативных документов, регулирующих спрос на решения в области ИБ, существуют отраслевые и международные стандарты. В частности, при построении информационных систем в финансовой сфере применяются стандарты ЦБ России, информационные системы топливно-энергетического комплекса требуют ссылки на ГОСТы Газпрома и т. д. Из международных стандартов можно назвать, в частности, «Оранжевую книгу», рекомендации Х.800 и «Критерии оценки безопасности информационных технологий».
|
|
|
«Оранжевая книга» заложила понятийный базис — в ней даны определения важнейших сервисов безопасности и названы методы классификации информационных систем по требованиям безопасности.
Рекомендации X.800 достаточно глубоко трактуют вопросы защиты сетевых конфигураций и предлагают развитый набор сервисов и механизмов безопасности.
Международный стандарт ISO 15408, известный как «Общие критерии», реализует более современный подход, в нем зафиксирован чрезвычайно широкий набор сервисов безопасности (представленных как функциональные требования). Его принятие в качестве национального стандарта информационной безопасности в нашей стране важно не только из абстрактных соображений интеграции в мировое сообщество. Можно надеяться, что его применение облегчит жизнь владельцам информационных систем, существенно расширив список доступных сертифицированных решений.
|
|
|
Таким образом, для повышения общего уровня безопасности систем, используемых в организациях и на предприятиях госсектора, в соответствии с законодательством необходимо применять исключительно сертифицированные средства защиты. И этих требований придерживаются конкретные исполнители работ — системные интеграторы, работающие в госсекторе.
