Информационная безопасность в сша реферат

Обновлено: 03.07.2024

ОБОРОНА: ПОДГОТОВКА К ПРОБЛЕМАМ БЕЗОПАСНОСТИ В 21-М ВЕКЕУчитывать возрастающую потребность военных в надежных и безопасных сетях и адаптироваться к ней. Создавать и усиливать существующие военные альянсы с целью борьбы с потенциальными угрозами в киберпространстве. Расширять сотрудничество с союзниками и партнерами в киберпространстве для усиления коллективной безопасности. РЕГУЛИРОВАНИЕ… Читать ещё >

Государственная система обеспечения информационной безопасности США ( реферат , курсовая , диплом , контрольная )

Содержание

  • Введение
  • Основные понятия Политика США в киберпространстве Вопросы защиты киберпространства требующие решения в будущем Приоритеты политики США в киберпространстве
  • Заключение
  • Список литературы

Так же необходимо поддерживать динамичные международные исследовательские сообщества, способные бороться с угрозами кибербезопасности следующего поколения. Создание политических отношений — США рассматривают свое содействие в наращивании мощностей как инвестицию, как обязательство и как важную возможность для диалога и партнерства. По мере того, как другие страны начинают принимать участие в обсуждении проблем киберпространства, США планирует продолжить диалог не только о наращивании мощностей, но и об активном сотрудничестве в области экономики, техники, правопорядка, обороны и дипломатии по беспокоящим всех вопросам. Приоритеты политики США в киберпространстве

Соединенные Штаты намереваются продолжать предпринимать действия для создания и поддержания открытых, совместимых, безопасных и надежных сетей внутри страны и за рубежом, как для граждан, так и для других членов мирового сообщества. Чтобы в полной мере воплотить в жизнь такое будущее, при котором киберпространство реализует свой потенциал для всех, Соединенные Штаты предпринимают действия в семи взаимосвязанных сферах деятельности, каждая из которых требует сотрудничества внутри правительства, с международными партнерами и с частным сектором. В целом, они создают руководство к действию в рамках нашей стратегии. ЭКОНОМИКА: ПОДДЕРЖКА МЕЖДУНАРОДНЫХ СТАНДАРТОВ И ИННОВАЦИОННЫХ, ОТКРЫТЫХ РЫНКОВПоддерживать среду свободной торговли, которая поощряет технические инновации в доступных, глобально связанных сетях. Защищать интеллектуальную собственность, включая коммерческие торговые секреты, от кражи. Гарантировать превосходство совместимых и безопасных технических стандартов, установленных техническими экспертами. ЗАЩИТА СЕТЕЙ: УСИЛЕНИЕ БЕЗОПАСНОСТИ, НАДЕЖНОСТИ И ОТКАЗОУСТОЙЧИВОСТИСпособствовать сотрудничеству в киберпространстве, особенно по вопросам норм поведения государств и безопасности, как в двустороннем порядке, так и в рамках многосторонних организаций и партнерств. Сокращать вмешательство в работу американских сетей и нарушения в их работе. Обеспечить оперативное реагирование на происшествия, устойчивость и возможность восстановления информационной инфраструктуры. Повышать безопасность цепочки высокотехнологичных поставок, опираясь на консультации с соответствующей отраслью промышленности.

ОРГАНЫ ПРАВОПОРЯДКА: РАСШИРЕНИЕ СОТРУДНИЧСЕТВА И НОРМ ПРАВАПринимать активное участие в разработке международной политики по киберпреступлениям. Согласовать законы по киберпреступности на международном уровне, увеличивая количество подписантов Будапештской конвенции. Сосредоточить законы по киберпреступности на борьбе с незаконными видами деятельности, не ограничивая доступ к Интернету. Лишить террористов и других преступников возможности эксплуатировать Интернет для планирования своих операций, финансирования или атак.

Поддерживать и укреплять многосторонние форумы по обсуждению проблем регулирования Интернета. МЕЖДУНАРОДНОЕ РАЗВИТИЕ: СОЗДАНИЕ ПОТЕНЦИАЛА, БЕЗОПАСНОСТИ И ПРОЦВЕТАНИЯПредоставить странам, стремящимся создать технический потенциал и потенциал кибербезопасности, необходимые знания, обучение и другие ресурсы. Постоянно развивать наилучшие инициативы международной кибербезопасности и регулярно делиться ими с другими государствами. Повышать способность государств бороться с киберпреступностью, в том числе путем обучения персонала правоохранительных органов, криминалистов, юристов и законодателей. Развивать отношения с высшими должностными лицами для наращивания технического потенциала, обеспечивая постоянные и продолжительные контакты с экспертами и их коллегами в правительстве Соединенных Штатов.

СВОБОДА ИНТЕРНЕТА: ПОДДЕРЖКА ФУНДАМЕНТАЛЬНЫХ СВОБОД И КОНФИДЕНЦИАЛЬНОСТИПомогать гражданскому обществу создавать надежные и безопасные платформы для свободы слова и объединений. Сотрудничать с гражданским обществом и неправительственными организациями для создания мер предосторожности, защищающих их деятельность в Интернете от незаконных компьютерных атак. Способствовать международному сотрудничеству в области эффективной защиты конфиденциальных коммерческих данных. Обеспечить полную совместимость Интернета, доступного для всех. Заключение

Целью данного реферата является рассмотрение вопросов обеспечения информационной безопасности США. В ходе реферата рассмотрены основы предметной области. Рассмотрена политика США для киберпространства. Рассмотрены вопросы защиты киберпространства, требующие решения в будущем. Описаны приоритеты внешней политики США для киберпространства. В заключении хотелось бы сделать вывод о том, что политика США направлена на интеграцию государств в вопросах формирования единого информационного пространства и ведения единой политики в отношении нарушителей общепризнанных норм поведения участников информационного обмена. Стратегия США в области обеспечения безопасности киберпространства говорит о высокой роли данного государства в области формирования единого мирового информационного пространства.

Список литературы

— М.: 2008. — 324 с. Стандарт Payment Card Industry Data Security Standart (PCI DSS);Белов Е. С. Основы информационной безопасности. ;

В настоящее время ФБР совместно с АНБ ведут работы по созданию системы контроля за электронной почтой в Интернет. На программу технического перевооружения АНБ "GroundBreaker" Конгресс выделил свыше 5 млрд. долл. и еще около 1 млрд. долл. дополнительно на переоснащение многоцелевой атомной подводной лодки класса "Sea wolf" для прослушивания подводных кабелей связи с помощью специальной аппаратуры. Названная в честь президента США Джими Картера новая субмарина SSN-23 должна была быть спущена на воду в декабре этого года, но по настоянию АНБ было принято решение провести ее переоборудование, а спуск лодки отложить до июня 2009 г. По сведениям, просочившимся в печать, после ввода в строй новой субмарины АНБ рассчитывает прослушивать не только обычные электрические кабели связи, что оно делало и раньше, но и … волоконно-оптические! Как это удастся сделать американцам - пока не ясно: для бесконтактного перехвата экранированного светового луча еще не придуман способ. Между тем, подводная лодка-шпион будет нести на своем борту специальный контейнер-камеру, из которой может быть осуществлен беспрепятственный доступ к любым подводным объектам[5].

Ежегодно США расходуют на информационные технологии только из федерального бюджета порядка 38 млрд. $, из которых около 20 млрд. $ (более 50%) составляют расходы военного ведомства. И это без учета десятков млрд. $. затрачиваемых на бортовые системы управления спутников, ракет, самолетов, танков и кораблей. Сегодня Пентагон это не только один из крупнейших владельцев, арендаторов и пользователей информационных и телекоммуникационных ресурсов, ведущих заказчиков программного обеспечения, компьютерного оборудования и средств цифровой связи, но и, по сути дела, законодатель государственной политики и промышленных стандартов в области информационной безопасности. Только в 2007 г. на защиту национальных информационных ресурсов в США было выделено 1,5 млрд. $, в то время как Пентагон истратил на защиту военных информационных систем 1,1 млрд. $.

В определенной степени это сказывается и на самих понятиях, связанных с защитой информации, которые постепенно трансформируясь из чисто военных терминов приобретают характер общегосударственных и промышленных стандартов. Производители оборудования и разработчики программных продуктов, заинтересованные в крупных государственных и военных заказах, начинают прислушиваться к тому, что говорят в коридорах Пентагона об информационной безопасности[6].

Осознав на собственном опыте бессмысленность защиты информационных ресурсов без участия всех заинтересованных сторон, каковыми в США являются фактически не только все государственные структуры, промышленность, частный капитал, но и рядовые граждане, военное ведомство в буквальном смысле пошло в народ, активно пропагандируя свое видение общенациональной проблемы №1. Одним из примеров такого новаторского подхода является программа DIAP (Defense Information Assurance Program), в рамках которой с участием таких ведущих фирм как Lucent Technologies, IBM, Microsoft, Intel, Cisco, Entrust, HP, Sun, GTE, Bay Networks, Axent, Network Associates, Motorola закладывается фундамент информационной безопасности не только военной инфраструктуры, но и всего американского общества в целом на ближайшие 10 лет.

Тем самым классическое понятие информационной безопасности (INFOSEC - information security) как состояние информационных ресурсов было расширено и дополнено гарантированием их надлежащего использования даже в том случае, если эти ресурсы будут подвергнуты деструктивному воздействию как извне, так и изнутри. Иными словами в политике информационной безопасности четко обозначился сдвиг в сторону активных организационно-технических мероприятий защиты информационных ресурсов. Похоже, что американцы взяли за основу пропаганды знаний в области информационной безопасности советскую систему гражданской обороны 60-х, 70-х годов, когда население учили не только тому как надевать индивидуальные средства защиты и укрываться в бомбоубежищах, но и как вести радиационный, химический и бактериологический контроль и восстанавливать объекты народного хозяйства после применения оружия массового поражения.

Заметим, что это не единственное нововведение Пентагона в лексиконе информационных технологий, которое стало достоянием общественности не смотря на гриф секретности первоисточника. К числу таковых можно отнести следующие: "информационное противоборство", "информационное превосходство", "информационные операции (общие и специальные)", "информационная среда", "атака на компьютерные сети", "вторжение в информационные системы" и др. С некоторых пор американское военное ведомство считает полезным публиковать отдельные несекретные фрагменты из своих засекреченных официальных нормативных документов (директив, инструкций, меморандумов, уставов и наставлений), повышая информированность общества о потенциальных угрозах национальной безопасности. Военные терпеливо и настойчиво приучают все слои населения к своей терминологии, постепенно стирая грань между государством и обществом, обороной и производством, разведкой и предпринимательством, учебой и досугом[8].

Профессиональная подготовка персонала в соответствии с новыми требованиями в области информационной безопасности является ключевым направлением реализации программы DIAP, в рамках которой на учебный процесс выделяется в общей сложности около 80 млн. $ на период до 2005 г.. При этом предполагается открыть специализированные курсы дистанционного обучения (свыше 20) в так называемом "виртуальном университете информационной безопасности" на базе сайтов в Интернете, в которых будут обучаться основам "стратегии глубокой эшелонированной защиты информационных ресурсов" администраторы (2 недели) и специалисты (3-5 дней) практически из всех федеральных ведомств, включая ЦРУ, ФБР, НАСА, Минфина, Минюста, Минэнерго и др. Ожидается, что за 5 лет будет подготовлено в общей сложности не менее 100 тыс. дипломированных специалистов в области информационной безопасности, готовых к любым неожиданностям в киберпространстве.

В каждом штате на период чрезвычайных условий (землетрясений, ураганов, наводнений, катастроф, террористических актов) создаются так называемые резервные центры обработки информации, в которых периодически собирается, накапливается и обновляется наиболее важная информация, необходимая для организации управления всех жизненно важных служб (полиции, скорой помощи, пожарной охраны и др.) в случае выхода из строя основных центров обработки информации и телекоммуникационных систем. Как правило такие центры оснащаются автономными источниками энергоснабжения (дизель - генераторами), способными поддерживать нормальный режим функционирования резервных информационных центров в течение нескольких суток до восстановления стационарной системы энергоснабжения. В повседневных условиях работу таких центров обеспечивает ограниченный по численности технический персонал, имеющий все необходимые навыки для организации работы центра в чрезвычайных условиях[9].

Краткий обзор только некоторых наиболее важных и дорогостоящих программ развития информационных технологий в США на примере Пентагона показывает, что проблема информационной безопасности отдельно взятого ведомства по своему масштабу уже давно является общенациональной и для своего решения требует пересмотра устоявшихся подходов, принятия единых стандартов как в промышленности, так и в бизнесе, создания национальной системы подготовки специалистов соответствующего профиля, широкого информирования населения об угрозах и мерах по их предотвращению.

По ряду экспертных оценок, изменение акцента в американской внешней политике на проблемы борьбы с терроризмом, уменьшило внешнеполитическое давление на Китай, открыв новые возможности по усилению его позиций не только в регионе, но и во всем мире. Отвечая на изменение военно-политической ситуации в мире, военно-политическое руководство КНР, по мнению рядя экспертов, ускорило темпы проведения реформы и модернизации вооруженных сил, направленных на скорейшее решение тайваньской проблемы.

В то же время целый ряд действий американских вооруженных сил, предпринятых в последнее время (вторжение в Афганистан, размещение вооруженных сил США в Средней Азии, углубление отношений в области военного сотрудничества между США с одной стороны и Пакистаном, Индией и Японией, с другой), привели к осознанию руководством Китая того факта, что основная цель проводимой США кампании состоит в скорейшем окружении Китая, обеспечения возможности его блокады и изоляции от внешнего мира[10].

Как отмечается в ряде прогнозных исследований, выполненных за последние годы в аналитических центрах США, Китай становится главным экономическим и военным конкурентом Соединенных Штатов в наступившем столетии. Однако, несмотря на наличие такого серьезного противника, американское понимание стратегического наследия Китая, его Великой стратегии и роли информационной войны в поддержке этой стратегии, по мнению американских экспертов, серьезно недооценены. Существующий сегодня в США уровень развития приемов и методов анализа и прогнозирования не позволяет полностью постичь то сильное и глубокое воздействие, которое восточное стратегическое наследие имеет в действиях Китая.

Вместе с тем, как подчеркивают эксперты, несмотря на то, что за последние годы Китай добился существенного роста военного потенциала за счет поставок в войска новых систем вооружения, совершенствования боевой подготовки войск и изменения основных положений военной стратегии, в настоящее время Китай не имеет достаточно возможностей для проецирования необходимой военной силы вне национальных границ, что не позволяет говорить о возможности силового решения тайваньской проблемы в ближайшие годы[11].

Таким образом, полагают американские военные эксперты, фокус краткосрочных и среднесрочных мероприятий по трансформации сил общего назначения НОАК будет сосредоточен на активной подготовке к возможной эскалации напряженности в Тайваньском проливе с учетом возможного вмешательства в конфликт и Соединенных Штатов. При этом в качестве целей ставится на только завоевание превосходства над вооруженными силами Тайваня, но и склонение США к скорейшему выходу из конфликта путем нанесения существенных потерь. Основной акцент при этом будет сделан на развитии ассиметричных методов вооруженной борьбы.

Эксперты особо отмечают, что отсутствие баланса между глобальными интересами Пекина и его низкой способностью проецировать силу для защиты своих интересов, как в региональном, так и глобальном масштабах создает ощущение уязвимости для самого Китая, что в свою очередь продолжает создавать напряженность между Китаем и Соединенными Штатами[12].

1. Авинова Н.Н. Исторические аспекты информационных войн. – М, 2005. – 276 с.

2. Социально-экономическая география мира/Под ред. В. В. Вольского. – М.: КРОН-ПРЕСС, 2007. – 592 с.

3. Страны мира 2007: Справочник//под ред. Лаврова С.Б. – М.: Республика, 2008. – 532 с.

4. Шакиров А. Р. Экономика США в 2007 г. // Мировая экономика и международные отношения. – 2008. – №1.

5. Шацкий М.Ю. Мировые информационные войны и конфликты. – М, 2007. – 432 с.

6. Щеголев Б.Н. США: экономическое развитие и проблемы внешней торговли. – М, 2006. – 138 с.

7. Юриш И.Р. Экономические системы мира. – М, 2006. – 445 с.

8. Ярунов И.И. Информация как мировая ценность. – М, 2006. – 177 с.

[1] Авинова Н.Н. Исторические аспекты информационных войн. – М, 2005. – 276 с.

[3] Социально-экономическая география мира/Под ред. В. В. Вольского. – М.: КРОН-ПРЕСС, 2007. – 592 с.

[5] Страны мира 2007: Справочник//под ред. Лаврова С.Б. – М.: Республика, 2008. – 532 с.

[6] Щеголев Б.Н. США: экономическое развитие и проблемы внешней торговли. – М, 2006. – 138 с.

[8] Щеголев Б.Н. США: экономическое развитие и проблемы внешней торговли. – М, 2006. – 138 с.

[9] Ярунов И.И. Информация как мировая ценность. – М, 2006. – 177 с.

[10] Авинова Н.Н. Исторические аспекты информационных войн. – М, 2005. – 276 с.

[11] Социально-экономическая география мира/Под ред. В. В. Вольского. – М.: КРОН-ПРЕСС, 2007. – 592 с.

Раздел: Международные отношения
Количество знаков с пробелами: 20931
Количество таблиц: 0
Количество изображений: 0

1. ВВЕДЕНИЕ

Защита информации в современном мире занимает одну из главенствующих ролей: разглашение государственных се­кретов может нести угрозу Национальной безопасности госу­дарства; разглашение коммерческой тайны (КТ) - привести к банкротству организации; разглашение персональных данных (ПДн) - к нарушению интересов личности в информационной сфере.

Основополагающим направлением обеспечения инфор­мационной безопасности (ИБ) является правовая защита информации. Изучение правовых основ информационной безопасности ведущих зарубежных стран позволяет проана­лизировать текущее состояние защищённости информации в этих странах и в будущем сравнить его с уровнем защищен­ности, обеспечиваемом отечественным законодательством, с целью возможного совершенствования последнего.

Рассмотрим защиту информации в Соединенных Штатах Америки. В настоящее время в законодательстве данного го­сударства существует около 500 нормативно-правовых актов, регламентирующих вопросы информационной безопасности, среди них можно выделить:

Преследование ведется только за разглашение опреде­ленных типов секретной информации и то лишь при опре­делённых обстоятельствах, что довольно часто приводит к необходимости проверки судом корректности отнесения со­держимого каждого документа к тому или иному типу секрет­ной информации.

В США выделяется 3 уровня секретности ГТ:

Среди основных законов США касательно защиты ГТ можно выделить:

В США выделяют и другие категории информации, до­ступ к которым ограничивается, среди них:

Таким образом, защита ГТ в США осуществляется не самым надежным образом, отсутствие перечня конкретной информации, относимой к ГТ, создает трудности и для опре­деления факта нарушения законодательства для лиц, разгла­сивших ГТ.

  1. АНАЛИЗ ПРАВОВОЙ ЗАЩИТЫ КОММЕРЧЕСКОЙ ТАЙНЫ В США

Таким образом, относимая к КТ информация не должна быть представлена в общедоступных источниках, быть очевид­ной для специалистов, поскольку законодательство США не обеспечивает защиту КТ, в случае ее хорошей известности в соответствующих отраслях науки и промышленности. Исклю­чением является уникальное экономически ценное сочетание общеизвестных сведений.

Раскрытие КТ контрагенту в рамках лицензионного дого­вора на условиях конфиденциальности, либо государственным органам не является основанием прекращения отнесения пре­доставленной информацией к КТ. Коммерческим секретом не могут являться запатентованные технологии и устройства, од­нако дополнения, которые не следуют с очевидностью из опу­бликованных сведений, могут быть отнесены к КТ. Нарушение КТ лицом, осведомленным о том, что такое нарушение нано­сит ущерб обладателю КТ, влечет уголовную ответственность.

Защита КТ в США осуществляется по нижеприведенно­му алгоритму:

Таким образом, законодательство США обеспечивает за­щиту КТ на довольно высоком уровне, позволяя ее владель­цам защищать конфиденциальность информации, имеющей экономическую ценность в силу своей неизвестности третьим лицам, умышленное нарушение которой влечет уголовную от­ветственность.

  1. АНАЛИЗ ПРАВОВОЙ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ В США

Также вышеуказанным законом установлены правила раскрытия и использования личной информации, предусмо­трены средства правовой защиты, Федеральные служащие, не выполняющие требования закона, могут быть привлечены к уголовной ответственности в виде лишения свободы на срок до 1 года и штрафа на сумму на 1 тыс. долларов.

В числе нормативно-правовых актов в США, регулирую­щих защиту ПДн также можно выделить:

Последний устанавливает, что не должны существовать системы, тайно накапливающие ПДн. А также, что каждый человек должен иметь возможность контроля информации, хранимой в системе, возможность контроля ее использования и предотвращения использования ПДн в целях, отличных от начальных целей сбора, а также корректировать информацию о себе; каждая организация должна использовать ПДн только в целях, в которых они были собраны.

Таким образом, защита ПДн в США находится на высо­ком уровне, законодательство позволяет субъектам ознакам- ливаться и редактировать информацию о себе, ограничивает организации в использовании ПДн только в соответствии с из­начально определёнными целями, не допускает ведение тай­ных баз данных с ПДн.

Таким образом, были проанализированы правовые осно­вы защиты информации в Соединённых Штатах Америки, а именно правовая защита государственных секретов, коммер­ческой тайны, персональных данных в США.

В целом, защита коммерческих секретов и персональных данных на наш взгляд логична, справедлива и находится на должном уровне, однако защита государственной тайны, бази­рующаяся на распределенных по различным нормативно-пра­вовым актам положениях, даже в комплексе не обладающих свойством полноты, при отсутствии единого закона, конкрет­ного перечня информации, относимой к государственной тай­не, создает огромную брешь в правовой защите последней. Ре­комендуется разработка единого нормативно-правового акта, обеспечивающего в полной мере защиту государственной тай­ны, разработка перечня информации относимой к государ­ственной тайне.

ШАМСУТДИНОВ Ринат Рустемович
магистрант 2-го года обучения Уфимского государственного авиационного технического университета

Ключевую роль в правовом регулировании информационной безопасности США играет американский "Закон об информационной безопасности" [20]. Его цель - реализация минимально достаточных действий по обеспечению безопасности информации в федеральных компьютерных системах, без ограничений всего спектра возможных действий.

Характерно, что уже в первом разделе закона называется конкретный исполнитель - Национальный институт стандартов и технологий (НИСТ), отвечающий за выпуск стандартов и руководств, направленных на защиту от уничтожения и несанкционированного доступа к информации, а также от краж и подлогов, выполняемых с помощью компьютеров. Таким образом, имеется в виду, как регламентация действий специалистов, так и повышение информированности всего общества.

Согласно закону, все операторы федеральных информационных систем, содержащих конфиденциальную информацию, должны сформировать планы обеспечения ИБ. Обязательным является и периодическое обучение всего персонала таких ИС. НИСТ, в свою очередь, обязан проводить исследования природы и масштаба уязвимых мест, вырабатывать экономически оправданные меры защиты. Результаты исследований рассчитаны на применение не только в государственных системах, но и в частном секторе.

Закон обязывает НИСТ координировать свою деятельность с другими министерствами и ведомствами, включая Министерство обороны, Министерство энергетики, Агентство национальной безопасности (АНБ) и т.д., чтобы избежать дублирования и несовместимости.

Помимо регламентации дополнительных функций НИСТ, Закон предписывает создать при Министерстве торговли комиссию по информационной безопасности, которая должна:

· выявлять перспективные управленческие, технические, административные и физические меры, способствующие повышению ИБ;

· выдавать рекомендации Национальному институту стандартов и технологий, доводить их до сведения всех заинтересованных ведомств.

С практической точки зрения, важен раздел 6 закона, обязывающий все правительственные ведомства сформировать план обеспечения информационной безопасности, направленный на то, чтобы компенсировать риски и предотвратить возможный ущерб от утери, неправильного использования, несанкционированного доступа или модификации информации в федеральных системах. Копии плана направляются в НИСТ и АНБ.

В 1997 году появилось продолжение описанного закона - законопроект "О совершенствовании информационной безопасности" (Computer Security Enhancement Act of 1997), направленный на усиление роли Национального института стандартов и технологий и упрощение операций с криптосредствами [20].

В законопроекте констатируется, что частный сектор готов предоставить криптосредства для обеспечения конфиденциальности и целостности (в том числе аутентичности) данных, что разработка и использование шифровальных технологий должны происходить на основании требований рынка, а не распоряжений правительства. Кроме того, здесь отмечается, что за пределами США имеются сопоставимые и общедоступные криптографические технологии, и это следует учитывать при выработке экспортных ограничений, чтобы не снижать конкурентоспособность американских производителей аппаратного и программного обеспечения.

Для защиты федеральных информационных систем рекомендуется более широко применять технологические решения, основанные на разработках частного сектора. Кроме того, предлагается оценить возможности общедоступных зарубежных разработок.

Очень важен раздел 3, в котором от НИСТ требуется по запросам частного сектора готовить добровольные стандарты, руководства, средства и методы для инфраструктуры открытых ключей, позволяющие сформировать негосударственную инфраструктуру, пригодную для взаимодействия с федеральными ИС.

В разделе 4 особое внимание обращается на необходимость анализа средств и методов оценки уязвимых мест других продуктов частного сектора в области ИБ.

Приветствуется разработка правил безопасности, нейтральных по отношению к конкретным техническим решениям, использование в федеральных ИС коммерческих продуктов, участие в реализации шифровальных технологий, позволяющее в конечном итоге сформировать инфраструктуру, которую можно рассматривать как резервную для федеральных ИС.

Важно, что в соответствии с разделами 10 и далее предусматривается выделение конкретных (и немалых) сумм, называются точные сроки реализации программ партнерства и проведения исследований инфраструктуры с открытыми ключами, национальной инфраструктуры цифровых подписей. В частности, предусматривается, что для удостоверяющих центров должны быть разработаны типовые правила и процедуры, порядок лицензирования, стандарты аудита.

В 2001 году был одобрен Палатой представителей и передан в Сенат новый вариант рассмотренного законопроекта - Computer Security Enhancement Act of 2001. В этом варианте примечательно как то, что, по сравнению с предыдущей редакцией, было убрано, так и то, что добавилось.

За четыре года (1997-2001 гг.) на законодательном и других уровнях информационной безопасности США было сделано многое. Смягчены экспортные ограничения на криптосредства, сформирована инфраструктура с открытыми ключами, разработано большое число стандартов (например, новый стандарт электронной цифровой подписи - FIPS 186-2, январь 2000 г.). Все это позволило не заострять больше внимание на криптографии как таковой, а сосредоточиться на одном из ее важнейших приложений - аутентификации, рассматривая ее по отработанной на криптосредствах методике. На базе этих законов в США сформирована общенациональная инфраструктура электронной аутентификации.

Программа безопасности, предусматривающая экономически оправданные защитные меры и синхронизированная с жизненным циклом ИС, упоминается в законодательстве США неоднократно. Согласно пункту 3534 ("Обязанности федеральных ведомств") подглавы II ("Информационная безопасность") главы 35 ("Координация федеральной информационной политики") рубрики 44 ("Общественные издания и документы"), такая программа должна включать:

§ периодическую оценку рисков с рассмотрением внутренних и внешних угроз целостности, конфиденциальности и доступности систем, а также данных, ассоциированных с критически важными операциями и ресурсами;

§ правила и процедуры, позволяющие, опираясь на проведенный анализ рисков, экономически оправданным образом уменьшить риски до приемлемого уровня;

§ обучение персонала с целью информирования о существующих рисках и об обязанностях, выполнение которых необходимо для их (рисков) нейтрализации;

§ периодическую проверку и (пере)оценку эффективности правил и процедур;

§ действия при внесении существенных изменений в систему;

§ процедуры выявления нарушений информационной безопасности и реагирования на них; эти процедуры должны помочь уменьшить риски, избежать крупных потерь, организовать взаимодействие с правоохранительными органами.

Помимо этого, в законодательстве США имеются в достаточном количестве и положения ограничительной направленности, и директивы, защищающие интересы таких ведомств, как Министерство обороны, АНБ, ФБР, ЦРУ.

Читайте также: