Система защиты информации в зарубежных странах (Структура систем защиты информации, применяемых в общемировой практике обеспечения информационной безопасности)

Содержание:

Введение

Актуальность данной темы состоит в том что, в настоящее время стало очевидным, что деятельность по защите информации и обеспечению информационной безопасности является одной из важнейших задач обеспечения суверенитета и обороноспособности Российской Федерации. Серьезную обеспокоенность представляет собой стремление ряда мировых стран к доминированию в мировом информационном пространстве, к вытеснению России с внешнего и внутреннего информационного рынка, которое сочетается с разработкой концепции информационных войн, предусматривающей создание средств опасного воздействия на её информационные сферы, нарушение нормального функционирования информационных и телекоммуникационных систем.

Для построения системы информационной безопасности нашей страны, способной адекватно противодействовать угрозам, определенным в Доктрине информационной безопасности Российской Федерации, необходимо иметь четкое представление о современных концепциях информационных войн развитых зарубежных стран, характерных особенностях, эффективности применения и видах информационного оружия, а также о том, каким образом за рубежом решаются задачи обеспечения информационной безопасности.

Цель курсовой работы: изучить основные аспекты систем информации в зарубежных странах.

Для решения данной цели рассмотрим следующие задачи:

- изучить развитие средств и методов защиты информации;

- описать структуру систем защиты информации, применяемых в общемировой практике обеспечения информационной безопасности;

- проанализировать системы защиты информации в ведущих зарубежных странах;

- рассмотреть международное сотрудничество в области обеспечения информационной безопасности.

Предмет исследования: Система защиты информации в зарубежных странах.

Информационной базой проведенного в курсовой работе изучения поставленной проблемы являются учебные пособия, монографии и публикации отечественных и зарубежных авторов, статистические данные, характеризующие систему защиты информации в разных странах мира, на разных этапах развития.

ГЛАВА 1 История развития систем защиты информации в зарубежных странах

1.1. Развитие средств и методов защиты информации.

Обеспечение защиты информации волновало человечество всегда. В процессе эволюции цивилизации менялись виды информации, для её защиты применялись различные методы и средства.

Процесс развития средств и методов защиты инфор­мации можно разделить на три относительно самостоя­тельных периода (рис. 1). В основе такого деления лежит эволюция ви­дов носителей информации.

Первый период определяется началом создания осмыслен­ных и самостоятельных средств и методов защиты информации и связан с появлением возможности фиксации информацион­ных сообщений на твердых носителях, то есть с изобретением письменности. Вместе с неоспоримым преимуществом сохра­нения и перемещения данных возникла проблема сохранения в тайне существующей уже отдельно от источника конфиденциальной информации, поэтому практически одно­временно с рождением письменности возникли такие методы защиты информации, как шифрование и скрытие.^[1]

Криптография (от греч. κρυπτός— скрытый иγράφω— пишу) — наука о математических методах обеспечения конфиденциальности (невозможности прочтения информации посторонним) и аутентичности (целостности и подлинности авторства, а также невозможности отказа от авторства) информации. Криптография — одна из старейших наук, ее история насчитывает несколько тысяч лет. В документах древних цивилизаций, таких как Индия, Египет, Месопотамия, есть сведения о системах и способах составления шифрованных писем. В древних религиозных книгах Индии указывается, что сам Будда знал несколько десятков способов письма, среди кото­рых присутствовали шифры перестановки (по современной классификации). Один из самых старых шифрованных текстов из Месопотамии (2000 лет до н. э.) представляет собой глиняную табличку, содержащую рецепт изготовления глазури в гончарном произ­водстве, в котором игнорировались некоторые гласные и со­гласные и употреблялись числа вместо имен.

В начале XIX века криптография обогатилась замечательным изобретением. Его автор - государственный деятель, первый государственный секретарь, а затем и президент США Томас Джефферсон. Свою систему шифрования он назвал "дисковым шифром". Этот шифр реализовывался с помощью специального устройства, которое впоследствии назвали шифратором Джефферсона. Конструкция шифратора может быть вкратце описана следующим образом. Деревянный цилиндр разрезается на 36 дисков (в принципе, общее количество дисков может быть и иным). Эти диски насаживаются на одну общую ось таким образом, чтобы они могли независимо вращаться на ней. На боковых поверхностях каждого из дисков выписывались все буквы английского алфавита в произвольном порядке. Порядок следования букв на каждом диске - различный. На поверхности цилиндра выделялась линия, параллельная его оси. При шифровании открытый текст разбивался на группы по 36 знаков, затем первая буква группы фиксировалась положением первого диска по выделенной линии, вторая - положением второго диска и т. д. Шифрованный текст образовывался путем считывания последовательности букв с любой линии параллельной выделенной. Обратный процесс осуществлялся на аналогичном шифраторе: полученный шифртекст выписывался путем поворота дисков по выделенной линии, а открытый текст отыскивался среди параллельных ей линий путем прочтения осмысленного возможного варианта. Шифратор Джефферсона (рис. 2) реализует ранее известный шифр многоалфавитной замены. Частями его ключа являются порядок расположения букв на каждом диске и порядок расположения этих дисков на общей оси.

Второй период (примерно с серединыXIXв.) характеризу­ется появлением технических средств обработки информации и передачи сообщений с помощью электрических сигналов и электромагнит­ных полей (например, телефон, телеграф, радио). В связи с этим возникли про­блемы защиты от так называемых технических каналов утечки (побочных излучений, наводок и др.). Для обеспечения защиты информации в процессе передачи по телефонным и телеграфным каналам связи появились способы и технические средства, позволяющие шифровать сообщения в реальном времени. Также в этот период активно развиваются технические средства разведки, многократно увеличивающие возможности промышленного и государственного шпионажа. Огром­ные, все возрастающие убытки предприятий и фирм способство­вали научно-техническому прогрессу в создании новых и совер­шенствовании старых средств и методов защиты информации.^[2]

Наиболее интенсивное развитие этих методов приходится на период массовой информатизации общества (третий период). Оно связано с внедрением автоматизирован­ных систем обработки информации и измеряется периодом в более чем 40 лет. В 60-х гг. на Западе стало появляться боль­шое количество открытых публикаций по различным аспектам защиты информации. Такое внимание к этой проблеме в пер­вую очередь было вызвано возрастающими финансовыми потерями фирм и государственных организаций от преступле­ний в компьютерной сфере.

В ежегодном докладе ФБР США было сказано, что за 1997 г. от противоправной деятельности иностранных спецслужб амери­канские владельцы интеллектуальной собственности понесли ущерб, превышающий 300 млрд долларов.

Согласно выводам западных экспертов, в сфере информационной безопасности, утечка 20% коммерческой информации в шестидесяти случаях из ста приводит к банкротству фирмы.

Все большие финансовые потери приносят вирусные атаки на компьютерные сети. Так, запущенный через Интернет в мае 2000 г. вирус «Iloveyou» вывел из строя свыше 5 млн компьютеров и нанес ущерб свыше 10 млрд долларов.

1.2. Структура систем защиты информации, применяемых в общемировой практике обеспечения информационной безопасности

Широкое использование в процессе информатизации мирового общества современных методов и средств обработки информации, в том числе вычислительной техники создало не только объективные предпо­сылки повышения эффективности всех видов деятельности личности, общества и государства, но и ряд проблем защиты информации, обеспечивающей требуемое ее качество. Сложность решения этой проблемы обусловлена необходимостью создания целостной системы комплексной защиты информации, базирующейся на стройной организации и регулярном управлении.^[3]

Современное понятие защиты информации находится в центре внимания исследователей в различных странах уже несколько десятков лет и ассоциируется, как правило, с проблемами создания систем защиты информации на различных уровнях её использования. Несмотря на то, что существует еще большое количество неразрешенных и спорных вопросов в теории информационной безопасности, в настоящее время сложилась типовая структура системы защиты информации, используемая большинством развитых стран мира.

Под защитой информации в общем виде понимают соединение в единое целое отдельных элементов, механизмов, процессов, явлений, мероприятий, мер и программ их взаимосвязей, способствующих реализации целей защиты и обеспечению структурного построения системы защиты.

Структурно-типовая система защиты информации представляет собой совокупность отдельных взаимосвязанных элементов, реализующих следующие её виды:

- Правовая защита информации– защита информации, базирующаяся на применении статей конституции и законов государства, положений гражданского и уголовного кодексов и других нормативно-правовых документов в области информатики, информационных отношений и защиты информации. Правовая защита информации регламентирует права и обязанности субъектов информационных отношений, правовой статус органов, технических средств и способов защиты информации и является основой для морально – этических норм в области защиты информации (Приложение 1).

- Организационная защита информации– это комплекс направлений и методов управленческого, ограничительного и технологического характера, определяющих основы и содержание системы защиты, побуждающих персонал соблюдать правила защиты конфиденциальной информации. Организационные меры связаны с установлением режима конфиденциальности в организации.

- Техническая или инженерно-техническая защита, основывающаяся на использовании технических устройств, узлов, блоков, элементов, систем, как в виде отдельных средств, так и встроенных в процессе единого технологического цикла создания средств обработки информации, сооружений и т.д.;

- Программно-аппаратная защита, предполагающая использование программного обеспечения информационных систем, комплексов и систем, а также аппаратных устройств, встроенных в состав технических средств и систем обработки информации.

В качестве отдельного вида наиболее эффективных средств защиты информации выделяются математические или криптографические методы, которые могут быть реализованы в виде технических устройств, программ и программно-аппаратных средств.

Рассмотренные виды в основном обеспечивают надежную защиту информации в различных системах ее обработки и различных условиях их функционирования. Однако опыт практического обеспечения безопасно­сти информации в России и за рубежом показывает, что для надежной защиты, в условиях обязательного участия человека, массовости решения задач защиты необходимо использовать психологические и морально-этические виды, а в ряде случаев и страховые.^[4]

Под психологическими видами защиты понимаются допускаемые нормами права и морали методы и средства изучения психофизиологических особенностей и возможностей людей, а также психологического воздействия на людей с целью оценки соответствия их требованиям для допуска к обработке защищаемой информации.

Под морально-этическими видами защиты понимаются нормы и правила, которые не имеют юридической силы, но их нарушение ведет к потере авторитета, возникновению дополнительных трудностей и другим негативным последствиям для человека и организации.

Страховая защита информации– защита информации, предусматривающая возмещение убытков от её уничтожения или модификации путем получения страховых выплат.

Очевидно, что в ряде стран при построении систем защиты в типовую модель вносят изменения. Так, во Франции элементы правовой и организационной защиты информации рассматривают в едином ракурсе, а в программно-аппаратной защите наоборот выделяют отдельно программные и аппаратные методы и средства защиты информации. Морально-этические и психологические элементы защиты информации практически во всех странах до настоящего времени рассматривались лишь в теории.

Глава 2. Анализ систем защиты информации в ведущих зарубежных странах.

2.1 Организация защиты информации в США

Особенности государственного устройства. Государственная политика облает защиты информации. Организация защиты информации по национальной безопасности (государственных секретов).
Состав и основные функции органов, осуществляющих защиту информации по национальной безопасности. Структура разведывательного сообщества и его роль в осуществлении политики защиты информации по национальной безопасности.
Особенности организации защиты информации в национальной промышленности.
Защита секретной информации, используемой в международных программах.
Защита информации в ходе деловых визитов и встреч. Классификация защищаемой информации. Состав грифов ограничения доступа к документам. Право первоначальной классификации информации. ^[5]

Состав информации, не подлежащей классификации по степени секретности. Порядок изменения степени секретности.
Организация доступа к грифованной информации. Доступ к правительственной информации. Порядок предоставления доступа к информации лицам, не являющимся гражданами США. Обязанности руководителей ведомств, разрешающих доступ служащих к секретным документам. Обязанности служащих, имеющих право на доступ к грифованной информации. Особенности организации работы с секретной научно-технической информацией.
Требования к персоналу. Особенности подбора, проверки, профессиональной подготовки, текущей работы с персоналом, допущенным к информации по национальной безопасности. Правовые основы защиты информации по национальной безопасности. Организация защиты коммерческой тайны.
Функции по защите коммерческой тайны частных охранно-сыскных агентств и служб промышленной и коммерческой безопасности. Государственный контроль за их деятельностью. Координация деятельности частных служб безопасности и правоохранительных органов. Создание системы коллективной безопасности предпринимательской деятельности. Ассоциации частных охранно-сыскных агентств и служб безопасности, особенности их деятельности и функции в области защиты информации.
Организация и основные направления деятельности служб безопасности фирм.
Классификация информации, составляющей коммерческую тайну. Доступ к информации, принадлежащей частным лицам. Разработка программы защиты информации. Обязательный минимум защитных мер. Организация профилактических мероприятий.
Регламентация процедур обеспечения защиты коммерческой тайны. Защита документационного обеспечения деятельности фирмы.
Организация контроля надежности функционирования системы защиты коммерческой тайны фирмы.
Требования к персоналу. Особенности подбора, проверки, подготовки, текущей работы с персоналом, допущенным к информации, составляющей коммерческую тайну фирмы.^[6]

Законодательные и административные меры для регулирования вопросов защиты информации на государственном уровне применяются в большинстве научно-технически развитых стран мира.

Первый закон о защите информации был принят в Соединенных Штатах Америки в 1906 году. В настоящее время в США имеется около 500 законодательных актов по защите информации, ответственности за ее разглашение и компьютерные преступления. Национальная политика США в области защиты информации формируется Агентством национальной безопасности (АНБ). При этом наиболее важные стратегические вопросы, определяющие национальную политику в данной сфере, как правило, решаются на уровне Совета национальной безопасности, а решения оформляются в виде директив Президента США.

В период с 1967 года по настоящее время в США принят целый ряд федеральных законов, создавших правовую основу для формирования и проведения единой государственной политики в области информатизации и защиты информации с учетом интересов национальной безопасности страны. Это законы "О свободе информации" (1967 год), "О секретности" (1974 год), "О праве на финансовую секретность" (1978 год), "О доступе к информации о деятельности ЦРУ" (1984 год), "О компьютерных злоупотреблениях и мошенничестве" (1986 год), "О безопасности компьютерных систем" (1987 год) и некоторые другие.^[7]

8 января 2000 президентом Клинтоном был подписан "Национальный план защиты информационных систем", который был охарактерезован как "всеобъемлющее видение задач по защите ключевых секторов экономики, национальной безопасности, общественного здравоохранения и личной безопасности граждан".

Большое внимание в рамках плана уделяется созданию и вводу в эксплуатацию национальной системы криптографической защиты информации на основе открытых ключей (Public Key Infrastructure, PKI). На следующем этапе предполагается создание национальной системы мониторинга информационной безопасности и обнаружения вторжения (Federal Intrusion Detection Network, FIDNet), позволяющей в кратчайшие сроки оповещать администраторов информационных систем о ставшем известным воздействии.

Большой опыт, полученный в ходе реализации "Программы 2000" по подготовке информационных систем к переходу в новое тысячелетие, позволил ввести комплекс мероприятий по восстановлению их нормального функционирования после чрезвычайных ситуаций.

Особая роль отводится подготовке персонала, отвечающего за обеспечение информационной безопасности.

2.2. Организация защиты информации в Великобритании.

Правительство Великобритании начало заниматься проблемами защиты информации раньше остальных европейских государств. Закон “о государственных документах”, в части ограничений на работы с секретными документами. Закон “о государственной тайне” - ответственность за разглашение тайны, неразглашение коммерческой тайны фиксируется в договорных обязательствах. Основной недостаток - отсутствие закона “о свободе информации” Для обеспечения безопасности остальной информации используются уголовный кодекс и некоторые другие правовые акты. О защите коммерческой тайны каждая организация должна заботиться самостоятельно, используя специальные договоры, которые заключаются с сотрудниками перед предоставлением им доступа к данным.^[8]

В Великобритании существует самая жесткая система органов защиты информации, так как она создавалась в рамках государства и ради его целей. Обеспечение безопасности персональных и коммерческих данных оказалось второстепенной задачей. Все крупные компании имеют собственные службы безопасности. Средний бизнес зачастую пользуется услугами частных фирм, реализующих и поддерживающих корпоративные системы защиты информации. Эти службы часто объединяют усилия и сотрудничают друг с другом и с государственными структурами.

Проблемой организации системы защиты информации в Великобритании является консервативность. Разработанная когда-то система остается неизменной уже достаточно давно. Между тем в области информационных технологий все меняется очень быстро, так что периодически возникает необходимость в определенной коррекции органов защиты данных (Давлетханов, 2004).

2.3. Организация защиты информации в Германии.

В сфере законодательного регулирования персональных данных лидером в Европе, несомненно, является Германия, поскольку первый в мире законодательный акт о защите персональных данных был принят в земле Гессен, в Германии, в 1970 году. За ним последовало принятие в 1977 году Федерального закона о защите персональных данных, который основался на принципе информационного самоопределения: каждый субъект данных может самостоятельно распоряжаться своими личными данными и если он обязан предоставлять необходимую информацию госорганам, то те в свою очередь должны ограничиваться необходимым минимумом такой информации.

Главной целью этого закона явилась “защита индивидуума от посягательств на неприкосновенность его частной жизни путем манипулирования его персональными данными” Федеральный закон Германии «О защите персональных данных» от 21 января 1977 г., который регулирует деятельность, направленную на сбор, обработку и использование персональных данных, собираемых государственными федеральными органами и негосударственными учреждениями, если они обрабатывают и используют персональные данные в коммерческих или профессиональных целях. Федеральный закон Германии «О защите персональных данных» от 21 января 1977 г.

В связи с развитием телекоммуникационных технологий, в частности, урегулировано использование персональных данных средствами массовой информации в 1990 году Федеральный закон «О защите персональных данных» был пересмотрен. Новый закон учитывал практический опыт, полученный от применения на практике своего предшественника, более свежие технические достижения в области обработки и защиты данных и, что самое главное, судебные решения, принятые Федеральным Конституционным судом по вопросам защиты данных. Так, например, были внесены соответствующие дополнения и изменения в ст. 41 “Обработка и использование персональных данных средствами массовой информации”, ст.42 “Ответственность за защиту данных в федеральных телерадиокомпаниях” Федеральный закон Германии «О защите персональных данных» с изменениями от 3 октября 1990 г..^[9]

На федеральном уровне закон 1990 г. регулирует вопросы сбора, обработки и использования персональной информации органами власти федерального правительства, органами власти правительств земель, исполняющими Федеральный закон или действующими в качестве органов правосудия, негосударственными структурами (физическими и юридическими лицами), занимающимися обработкой или использованием данных, полученных из коммерческих баз данных, в профессиональных или коммерческих целях. Контроль за исполнением закона осуществляет на федеральном уровне Федеральная комиссия по защите персональных данных в лице Федеральных уполномоченных по защите данных. В пределах своей компетенции Федеральный уполномоченный осуществляет следующие функции: контрольно-надзорные, регистрационные, экспертно-консультационные.

Однако существуют определенные ограничения деятельности Федеральных уполномоченных. Так, например, федеральные суды подлежат контролю Федерального уполномоченного только в той мере, в какой они занимаются административными делами.

Федеральный уполномоченный независим в рамках исполнения своих должностных обязанностей, что обеспечивается:

- прямым указанием закона;

- процедурой совместного назначения Бундестагом, правительством и федеральным президентом;

- распределением административной подчиненности (федеральному министру внутренних дел) и подотчетности (Бундестагу).

Кроме того, Федеральный уполномоченный по защите данных вправе отказаться давать свидетельские показания о лицах, которые ему в качестве Федерального уполномоченного, доверили какие-либо факты. Это же действительно в отношении сотрудников Федерального уполномоченного по защите данных в той мере, в какой Федеральный уполномоченный определяет границы этого права.

На региональном уровне все 16 земель Германии имеют собственные законы о защите персональных данных, нормы которых (в основном аналогичные федеральному закону) регулируют те же действия, совершаемые: земельными органами власти, местными органами власти, землячествами, другими легальными общественными организациями. Правительства земель (субъектов федерации в ФРГ) назначают Земельных уполномоченных по защите данных для контроля за соблюдением всеми земельными органами управления и подчиненными им структурами, занятыми сбором и обработкой персональных данных, требований земельного закона о защите персональных данных.

В рамках исполнения своих обязанностей Земельные уполномоченные по защите данных осуществляют следующие функции: контрольно-надзорные и регистрационные.

Низовой уровень организации защиты персональных данных, представляет собой любое юридическое лицо, представляющее собой негосударственное предприятие или организацию и занятое:

- автоматизированной обработкой персональных данных и имеет не менее 5 постоянных сотрудников;

- обработкой персональных данных другим способом и имеет не менее 20 постоянных сотрудников, назначает Уполномоченного по защите данных в соответствии со ст. 36(1) Федерального закона 1990 г. о защите данных, который должен в рамках своего предприятия или организации исполнять контрольно-надзорные и кадрово-надзорные функции.^[10]

Особое место в системе уровней по защите персональных данных занимает отраслевой уровень, а именно, уполномоченные по защите данных в учреждениях радиовещания федерального подчинения, чье появление согласно ст. 42 Федерального закона 1990 г было вызвано двумя факторами:

- повсеместным переходом СМИ от картотечно-архивной системы накопления и хранения информации к созданию и ведению собственных компьютерных банков данных;

- пресса по-прежнему остается основным источником таких правонарушений по отношению к персональным данным, как "несанкционированное раскрытие фактов частной жизни", "диффамация" и пр.

Статус этих Уполномоченных по защите данных на радиовещании приравнивается к статусу Федерального уполномоченного по защите данных, и их обязанность направлять свои отчеты Федеральному уполномоченному являются единственным свидетельством какой-либо вертикальной взаимосвязи между Уполномоченными разных уровней. Уполномоченные разных уровней не образуют из себя иерархическую систему с вертикальной подчиненностью, а действуют независимо в рамках своей компетенции. Сфера компетенций Уполномоченных по защите данных в учреждениях радиовещания федерального подчинения достаточно очевидна из названия их должности и определяется ст. 42 Федерального закона. Деятельность их ограничена исключительно контрольно-надзорными функциями.

Кроме указанных уровней контроля, почти все германские законы, которые прямо или через поправки затрагивают проблему обращения с персональными данными физических лиц, содержат либо ссылки на соответствующий закон о защите персональных данных, либо специальные положения о правилах обращения с персональными данными, отражающие право на неприкосновенность частной жизни.

Необходимо упомянуть также о такой важной части Истории Германии как объединение ГДР и ФРГ в единую федерацию, произошедшее 3 октября 1990 г., что, естественно, создало проблемы для защиты данных. В соответствии с Договором об объединении, законы о защите данных бывшей ФРГ должны быть распространены на пять новых Земель, которые были созданы на территории бывшей ГДР.

Согласно Федеральному закону, все данные, которые больше не требуются или которые не разрешено хранить, должны быть уничтожены, если только такие действия не нарушают права субъектов. Для устранения противоречий в 1991 г. германский Бундестаг принял закон, устанавливающий специальные организационные меры для обращения с персональной информацией, содержащейся в машинных данных и документальных архивах службы госбезопасности бывшей ГДР (так называемой "Штази"). Основные положения этого закона таковы:

- граждане имеют право на информацию, если документальные записи и данные Штази содержат любые сведения, относящиеся к ним;

- субъекты данных, т.е. жертвы Штази. наделяются неограниченным правом на информацию и консультации относительно файлов данных, относящихся к ним. В качестве незыблемого принципа законом установлено, что эти файлы данных не могут быть использованы во вред субъектам данных;

- штатные сотрудники службы госбезопасности должны наделяться только ограниченным правом доступа к этим файлам;

- публичным и иным организациям предоставляется доступ к этим файлам только для целей, специально определенных законом с запретом использовать эту информацию для каких-либо иных целей;

- на все учреждения, так же как и на всех частных лиц, законом возлагается обязанность сообщать специальному Федеральному уполномоченному по файлам данных и архивам Штази о любых данных и документальных записях Штази, хранимых ими;

- средствам массовой информации дается санкция на публикацию содержащейся в файлах и архивах Штази информации о тех лицах: кто дал свое согласие, кто был политическим функционером или должностным лицом, из числа ныне живущих современников, за исключением тех случаев, которые относятся к жертвам Штази; которые являются бывшими штатными сотрудниками Штази, за исключением тех, кто был моложе 18 лет, когда работал на Штази, кто пользовался покровительством Штази Иванский В.П. Правовая защита информации о частной жизни граждан. ^[11]

Во всех этих случаях права личности на защиту персональной информации могут быть преодолены правом на публикацию.

2.4. Организация защиты информации во Франции.

Еще со времен первой революции Франция считается республиканским государством. Это наложило свой отпечаток и на организацию системы информационной безопасности этой страны. Дело в том, что во Франции вопросами защиты данных занимаются как государственные структуры, так и негосударственные организации. Интересна реализация местных служб безопасности в этой стране. В каждом региональном французском полицейском управлении существует специальный отдел по борьбе с преступлениями в сфере информационных технологий. Причем в них работают не только программисты, но и профессиональные бухгалтеры, аудиторы и т. п. Причины этого вполне понятны. Электронная коммерция в Западной Европе развивается быстрыми темпами. И чтобы защититься от всевозможных злоумышленников, нужны самые различные специалисты.

Все крупные организации во Франции имеют собственные службы безопасности. Очень популярными остаются частные компании, которые разрабатывают, устанавливают и обслуживают комплексные системы защиты информации. Они, несмотря на свою независимость, очень тесно сотрудничают с соответствующими отделами полиции. Это позволяет правоохранительным органам быстро реагировать на любые правонарушения.

Еще одной особенностью французской организации системы защиты информации является ее правовое обеспечение. Дело в том, что в этой стране нет специальных правовых актов, регулирующих работу людей с различными видами информации. Безопасность государственной тайны гарантируется уголовным, а персональной и коммерческих тайн - уголовным, трудовым и гражданским кодексами.

Таким образом, наиболее старой и неподверженной изменениям является система защиты информации Великобритании, рассчитанная на раскрытие правительственной информации гражданам.

Во Франции и Германия существует наиболее совершенная защита персональных данных и система служб безопасности на предприятиях.

Глава 3 Международное сотрудничество в области обеспечения информационной безопасности.

3.1. Развитие международного сотрудничества в области обеспечения информационной безопасности.

В настоящее время достижения науки и техники в области информационно-телекоммуникационных технологий (ИТК) как никогда прежде начали определять динамику экономического развития, уровень благосостояния и конкурентоспособности государств в мировом сообществе, а также степень их национальной безопасности.

Интенсивное развитие и широкое использование информационно-коммуникационных технологий, основанных на объединении традиционных средств массовой информации и компьютерных систем передачи массовой информации по телекоммуникационным сетям, привело к формированию серьезной зависимости критических национальных инфраструктур от этих технологий и обусловило возникновение принципиально новых угроз. Информатизация, несомненно, способствует более эффективному управлению государством. Однако информатизация не только ускоряет развитие общества, но и порождает новые угрозы национальной и глобальной безопасности, которые Всемирная федерация ученых назвала в числе первых в списке угроз человечеству в XXIвеке. В связи с этим выделяется особая компонента безопасности – информационная безопасность, важность которой постоянно возрастает.^[12]

Традиционно безопасность понимается как состояние, в котором жизненно важные интересы человека, общества, государства защищены от любой внутренней или внешней угрозы. Составляющими информационной безопасности являются [6]:

1) состояние безопасности информационного пространства, при котором обеспечивается его формирование и развитие в интересах личности и общества;

2) состояние безопасности информационной инфраструктуры, при котором информация используется строго по назначению и не оказывает негативного воздействия;

3) состояние безопасности самой информации, при котором исключается или существенно затрудняется нарушение её свойств, таких как конфиденциальность, целостность и доступность.

Международная информационная безопасность сегодня определяется как “состояние международных отношений, исключающее нарушение мировой стабильности и создание угрозы безопасности государств и мирового сообщества в информационном пространстве. “

Таким образом, проблема обеспечения информационной безопасности не является сегодня узко государственной категорией, а переходит в область международных проблем, для решения которых требуется объединение ведущих мировых держав.

Большое внимание проблемам обеспечения международной информационной безопасности в глобальных ИТК было уделено на саммите “Большой восьмерки”, проходившем в июле 2000 года в городе Окинава (Япония). Главы государств и правительств, подписавших Окинавскую хартию глобального информационного общества, признали, что ИТК являются одним из наиболее важных факторов, влияющих на формирование общества XXI века (Окинавская Хартия глобального информационного общества, 2010).^[13]

Одна из главных проблем обеспечения международной информационной безопасности заключается в том, что оно не является объектом регулирования международного права. Осознание этого факта побудили Россию взять на себя инициативу в рамках мирового сообщества об официальной постановке вопроса правового обеспечения международной информационной безопасности. В декабре 2003 года Генассамблея ООН приняла резолюцию по информационной безопасности A/RES/58/32. Это решение переводит общеполитическое обсуждение проблематики международной информационной безопасности в плоскость поиска практических решений и запускает механизм формирования Группы правительственных экспертов государств - членов ООН.

В соответствии с резолюциями ГА ООН в декабре 2003 года в Женеве прошла Всемирная встреча на высшем уровне по вопросам информационного общества. Итогом Всемирной встречи стало принятие двух документов - Декларации принципов и Плана действий. Они охватывают различные аспекты формирования глобального информационного общества и базовые направления межгосударственного взаимодействия в этой сфере, включая создание и развитие информационно-коммуникационной инфраструктуры, безопасность при использовании информационно-телекоммуникационных систем, обеспечение доступа к информации, инфраструктуре и услугам на их базе.

В результате анализа проделанной работы в направлении обеспечения международной информационной безопасности уже можно говорить о формировании международного информационного законодательства. Таким образом, современная ситуация характеризуется появлением нового “измерения” системы международной безопасности.^[14]

Мировой опыт становления и современное состояние защиты информации необходимо использовать и в России с учётом национальных особенностей. Такой опыт необходимо учитывать при разработке планов систем защиты информации в Российской Федерации на различных уровнях обеспечения информационной безопасности.

3.2. Международные организации в области информационной безопасности

Для координации усилий в области обеспечения информационной безопасности в разных государствах образованы десятки коммерческих и некоммерческих объединений и организаций. Далее приведены несколько известных и авторитетных организаций разного рода деятельности, активно развивающих международное сотрудничество в сфере защиты информации.

Ассоциация аудита и контроля информационных систем – ISACA

«Ассоциация аудита и контроля информационных систем» (Information Systems Audit and Control Association, ISACA), к 2006 году объединяющая более 47 000 членов в 110 странах мира, является одним из признанных мировых лидеров в области управления, контроля и аудита информационных технологий. Учрежденная в 1969 году, ISACA выступает организатором международных конференций, присваивает международные квалификации «Сертифицированный аудитор информационных систем» (Certified Information Systems Auditor - CISA) и «Сертифицированный менеджер информационной безопасности» (Certified Information Security Manager - CISM). Обладателями этих квалификаций уже являются более чем 35 000 профессионалов во всем мире. [www.isaca.ru]^[15]

Сегодня ISACA объединяет широкую международную сеть филиалов в более чем 60 странах мира. Входящий в состав ISACA фонд (ISACF) проводит фундаментальные исследования в области разработки стандартов аудита и контроля информационных систем. ISACF активно проводит исследования, результаты которых полезны профессионалам в области аудита, контроля и безопасности информационных систем. Фонд также популяризирует важность контроля за информационными системами предприятий и организаций среди работников информационных технологий и пользователей информационных систем.

В настоящее время ISACFработает над следующими проектами:

• Электронный бизнес: Контроль, аудит, безопасность.
• Частные виртуальные сети.
• Целостность информации.
• Беспроводные сети.
• ERP (SAP).
• OS/390: безопасность и контроль.
• Oracle Database: безопасность и контроль.
• Управление взаимоотношениями с клиентами.
• Практика контроля ИТ.

Средства фонда складываются из средств, выделяемых компаниями, правительствами, членами и подразделениями ISACA, так как все они имеют общие интересы в данной области.^[16]

Центр интернет-безопасности – CIS.

Центр Интернет-безопасности (Center for Internet Security -CIS) - некоммерческое предприятие, задача которого состоит в том, чтобы помочь организациям во всем мире уменьшить риски потерь в электронной коммерции, следующих из неадекватных технических и организационных средств управления безопасностью.CISпредлагает методы эффективного управления организационными рисками, связанными с информационной безопасностью, и предоставляет средства улучшения, измерения и контроля уровня безопасности организации, а также позволяет сравнить его с практикой обеспечения безопасности информационных систем деловых партнеров.

Члены CIS развивают и пропагандируют широкое распространение и использование средств и методик обеспечения безопасности в государственном и частном секторах экономики. Практические рекомендации CIS совместимы с известными стандартами безопасности и детализируют то, как обеспечивать безопасность информационных систем, активно использующих возможности Интернета и включающих большое количество рабочих мест, серверов, сетевых устройств, программных продуктов. Разработанный CIS инструментарий позволяет анализировать степень соответствия информационной системы этим рекомендациям. CIS не привязан ни к какому коммерческому продукту и не оказывает платных услуг. Это способствует ясной формулировке угроз безопасности, непредвзятости рекомендаций и методологий оценки рисков.

Деятельность CISможет представлять интерес для:

• Пользователей сетевых и информационных технологий – частных лиц, компаний, университетов, правительственных служб, некоммерческих организаций, эффективность работы которых зависит от безопасных и надежных информационных систем.
• Аудиторов и консультантов по информационной безопасности, которые нуждаются в конкретных технических рекомендациях и инструментах оценки надежности сетей, а также в обмене опытом в этой области.
• Администраторов безопасности сетей, администраторов межсетевых экранов, специалистов по безопасности информационных систем, заинтересованных в гарантированной конфиденциальности, доступности и целостности доверенных им информационных активов.
• Операторов электронной коммерции, стремящихся к снижению потерь от киберпреступности и отказов в обслуживании.
• Страховых компаний, связанных с оценкой рисков и затрат связанных с нарушениями безопасности информационных систем.
• Инвесторов и потребителей, нуждающихся в информации о компаниях, организациях и сетях, в которых приняты соответствующие меры по обеспечению их безопасности и надежности.

Интернет-союз информационной безопасности – ISAlliance

Интернет-союз информационной безопасности (Internet security alliance, ISAlliance) - коммерческая ассоциация, предлагающая своим членам набор услуг по защите их информационных активов и корпоративной марки, правовой защите интересов в области информационной безопасности. Эти услуги варьируют от технических рекомендаций по безопасности вычислительных систем и сетей до комплексного управления информационными рисками корпорации. Основная цель ISAlliance – обеспечить максимальную отдачу от инвестиций своих членов в информационную безопасность. Членами ISAlliance являются компании многих стран мира, представляющие такие секторы экономики, как промышленность, финансы, развлечения, телекоммуникации, сфера услуг, образование, и других.

Основной сервис, предоставляемый ISAlliance– консультации по работе сCERT(международный центр обработки компьютерных инцидентов), подразумевающее своевременное реагирование на возникающие угрозы и зарегистрированныеCERTновые уязвимости. В результате членыISAllianceимеют возможность принимать меры безопасности на основе предложенных им рекомендаций, например, в случае вирусных эпидемий в Интернете.^[17]

3.3. Правовое регулирование сети Интернет

Существует мнение о том, что Интернет, являясь абсолютно свободной средой общения, не подлежит никакому регулированию, а любые попытки такого регулирования со стороны государств или отдельных организаций часто воспринимаются болезненно, как посягательство на последний оплот свободы. Это заблуждение. Тот факт, что в определенных ситуациях право как важнейший регулятор общественных отношений не дает желаемого результата, еще не говорит о полном отсутствии или невозможности регулирования.

В настоящее время деятельность общества и институтов государства осуществляется с использованием информационных и коммуникационных технологий (ИКТ), включая Интернет. Вместе с тем, во всем мире происходит замена парадигм: от решения задач развития процессов информатизации и внедрения ИКТ мир переходит к решению задачи построения информационного общества. Работает глобальный закон: количество переходит в качество.^[18]

Всемирная встреча на высшем уровне по вопросам информационного общества, состоявшаяся 10-12 декабря 2003г. в Женеве, определила приоритеты и вектор развития законодательства в данной сфере в контексте глобальных процессов становления информационного общества. План действий, принятый на Всемирной встрече, предусматривает, что к 2005 году все страны должны разработать всеобъемлющие, перспективные и устойчивые национальные электронные стратегии. Ведущая роль в этом процессе должна принадлежать органам государственного управления. Частный сектор и гражданское общество в диалоге с органами государственного управления должны сыграть важную консультативную роль в формировании национальных электронных стратегий [«Программа межрегионального международного сотрудничества в области связи и информатизации на 2004-2006 гг», Женева, 2003].

Еще до Всемирной встречи после событий 11 сентября 2001 года США начали разработку, а в 2003 году приняли Национальную стратегию обеспечения безопасности киберпространства, в которой в качестве стратегических целей указаны: предупреждение кибер нападений на критические инфраструктуры США; уменьшение национальных уязвимостей к кибер нападениям; минимизация ущерба и времени восстановления после кибер нападений, если таковые произошли.

В странах Европы подобные стратегии пока не разработаны, но принята Европейская Конвенция по борьбе с киберпреступностью и определены основные направления развития технологий. Так, во Франции среди таких направлений называются: создание электронного правительства, так называемый «административный Интернет», демократизация доступа к праву, включающая информатизацию судов и доступ к правовой информации.

Одним из элементов благоприятной среды для формирования и существования информационного общества в документах Всемирной встречи названа главенствующая роль права.

Правовое регулирование отношений при осуществлении деятельности с использованием Интернета представляет собой глобальную комплексную проблему, требующую согласованных на межгосударственном уровне решений. В связи с этим трудно переоценить сам факт встречи на высшем уровне и вектор действий, который она наметила.

Большую роль в подготовке этой встречи и принятии итоговых документов сыграла ЮНЕСКО, которая в течение нескольких лет приняла ряд важнейших международных актов:

• «Хартия о сохранении цифрового наследия».
• «Рекомендации о развитии и использовании многоязычия и всеобщем доступе к киберпространству».
• «Руководящие принципы политики совершенствования информации, являющейся общественным достоянием, создаваемой государственными органами».
• «Рекомендация о доступе к информации, находящейся в распоряжении государственных ведомств».

Заключение

Рассмотренный учебный курс по дисциплине “Системы защиты информации в ведущих зарубежных странах” является одним из важнейших в специальной подготовке специалистов по защите информации. Успешное освоение данного курса позволяет подробно изучить мировой опыт становления и современное состояние защиты информации с учётом национальных особенностей развитых зарубежных стран. Такой опыт необходимо учитывать при разработке планов систем защиты информации в Российской Федерации на различных уровнях обеспечения информационной безопасности

Содержание предлагаемого учебного пособия не претендует на обобщение всего многообразия вопросов становления и функционирования систем защиты информации в зарубежных странах, но авторы надеются, что их работа будет с благодарностью оценена всеми, кому приходится сталкиваться с решением задач информационной безопасности в рамках профессиональной деятельности.

Построение систем защиты информации в нашей стране становится все более актуальным в условиях активизации внешних угроз, таких как приближение НАТО вплотную к границам России, проведение широкомасштабных операций информационно-психологической войны, агрессивная политика ряда стран СНГ по отношению к РФ и т.д.

Список литературы

1.Федеральный закон РФ от 27 июля 2006 г. № 149-ФЗ "Об информации, информационных технологиях и о защите информации (действующая редакция, 2016) /Собрание законодательства Российской Федерации. – 2006. – № 31 (часть I). – Ст. 3448.

2.Абросимов В.К., Канев С.А. Информационная мощность компании // Бизнес-информатика, №3(13), 2010.

3.Гатчин Ю.А., Жаринов И.О., Коробейников А.Г. Математические модели оценки инфраструктуры системы защиты информации на предприятии // Научно-технический вестник информационных технологий, механики и оптики. № 2 (78). 2012.

4.Петровский В.И, Тумбинская М.В., Петровский М.В. Оптимизация комплексной системы защиты информации на предприятиях различных форм собственности. Монография. – Казань: «Познание», 2014. - 728 с.

5.Троников И.Б. Методы оценки информационной безопасности предприятия на основе процессного подхода: дисс. канд. техн. наук … по спец. 05.13.19. – СПб: СПбГУ ИТМО, 2010. 134 с.

6. Аверченков, В.И. Системы защиты информации в ведущих зарубежных странах.- Брянск: БГТУ, 2013. - 225 с.

7. Анин Б.Ю. Защита компьютерной информации. СПб.: БХВ-Петербург, 2012. 384 с.

8. Гриняев С. США развертывают систему информационной безопасности. - 2000. [Электронный ресурс]. - Режим доступа: http://nvo.ng.ru/concepts/2013-12-08/4_inform.html.

9. Исследовательский центр Агентура.ru [Электронный ресурс]. - Режим доступа: http://www.agentura.ru/dossier/.

10. Окинавская Хартия глобального информационного общества [Электронный ресурс]. - Режим доступа: - http://www.ifap.ru/ofdocs/okinhar.htm.

11. Манойло, А.В. Государственная информационная политика в условиях информационно-психологической войны. -- М.: Горячая линия-Телеком, 2013 г. -- 541 с.

12. Давлетханов М. Защита информации в Европе. -2014. [Электронный ресурс]. - Режим доступа: http://infobez.com/article.asp?ob_no=2284.

13. Столяров Н. В. Организация системы защиты информации в западной Европе [Электронный ресурс]. - Режим доступа: http://www.bre.ru/security/20395.html.

Рисунок 1

Процесс развития методов и средств защиты информации

1 период (С древнейших времён до 40-х г.XIXвека)

2 период (С 50-х г.XIXвека до 60-х г.XXвека)

3 период (С 60-х г.XXвека

до наших дней)

Рисунок 2

Шифратор Джефферсона.

Начало XIXвека

Приложение 1

1. Аверченков, В.И. Системы защиты информации в ведущих зарубежных странах.- Брянск: БГТУ, 2013. - 207 с. ↑

2. Анин Б.Ю. Защита компьютерной информации. СПб.: БХВ-Петербург, 2012. 356 с. ↑

3. Аверченков, В.И. Системы защиты информации в ведущих зарубежных странах.- Брянск: БГТУ, 2013. - 178 с. ↑

4. Давлетханов М. Защита информации в Европе. -2014. [Электронный ресурс]. - Режим доступа: http://infobez.com/article.asp?ob_no=2284. ↑

5. Абросимов В.К., Канев С.А. Информационная мощность компании // Бизнес-информатика, №3(13), 2010. ↑

6. Анин Б.Ю. Защита компьютерной информации. СПб.: БХВ-Петербург, 2012. 284 с. ↑

7. Гриняев С. США развертывают систему информационной безопасности. - 2000. [Электронный ресурс]. - Режим доступа: http://nvo.ng.ru/concepts/2013-12-08/4_inform.html. ↑

8. . Манойло, А.В. Государственная информационная политика в условиях информационно-психологической войны. -- М.: Горячая линия-Телеком, 2013 г. -- 419 с. ↑

9. Давлетханов М. Защита информации в Европе. -2014. [Электронный ресурс]. - Режим доступа: http://infobez.com/article.asp?ob_no=2284. ↑

10. Абросимов В.К., Канев С.А. Информационная мощность компании // Бизнес-информатика, №3(13), 2010. ↑

11. Троников И.Б. Методы оценки информационной безопасности предприятия на основе процессного подхода: дисс. канд. техн. наук … по спец. 05.13.19. – СПб: СПбГУ ИТМО, 2010. 116 с. ↑

12. Анин Б.Ю. Защита компьютерной информации. СПб.: БХВ-Петербург, 2012. 380 с. ↑

13. Окинавская Хартия глобального информационного общества [Электронный ресурс]. - Режим доступа: - http://www.ifap.ru/ofdocs/okinhar.htm. ↑

14. Столяров Н. В. Организация системы защиты информации в западной Европе [Электронный ресурс]. - Режим доступа: http://www.bre.ru/security/20395.html. ↑

15. Давлетханов М. Защита информации в Европе. -2014. [Электронный ресурс]. - Режим доступа: http://infobez.com/article.asp?ob_no=2284. ↑

16. Абросимов В.К., Канев С.А. Информационная мощность компании // Бизнес-информатика, №3(13), 2010. ↑

17. Гатчин Ю.А., Жаринов И.О., Коробейников А.Г. Математические модели оценки инфраструктуры системы защиты информации на предприятии // Научно-технический вестник информационных технологий, механики и оптики. № 2 (78). 2012. ↑

18. Петровский В.И, Тумбинская М.В., Петровский М.В. Оптимизация комплексной системы защиты информации на предприятиях различных форм собственности. Монография. – Казань: «Познание», 2014. - 698 с. ↑