Нефть и песок О стали Компрессор - подбор и ошибки Из истории стандартизации резьб Соперник ксерокса - гектограф Новые технологии производства стали Экспорт проволоки из России Прогрессивная технологическая оснастка Цитадель сварки с полувековой историей Упрочнение пружин Способы обогрева Назначение, структура, характеристики анализаторов Промышленные пылесосы Штампованные гайки из пружинной стали Консервация САУ Стандарты и качество Технология производства Водород Выбор материала для крепежных деталей Токарный резец в миниатюре Производство проволоки Адгезия резины к металлокорду Электролитическое фосфатирование проволоки Восстановление корпусных деталей двигателей Новая бескислотная технология производства проката Синие кристаллы Автоклав Нормирование шумов связи Газосварочный аппарат для тугоплавких припоев
Главная страница / Архитектура отрасли

ЗАЩИТА ИНФОРМАЦИИ В ЭЛЕКТРОННЫХ ДОКУМЕНТАХ

– Не могли бы Вы уточнить понятия «информационная безопасность», «безопасность информации» и «защита информации».

Семантический анализ этих понятий – довольно сухая материя, при обсуждении которой приходится цитировать формулировки официальных документов. Из названных четырех понятий официальную трактовку имеют только два. Первое – «информационная безопасность» (Федеральный закон «Об участии в международном информационном обмене», действующий с 1996 года).

Понятие «безопасность информации» встречается также в нормативных правовых актах, ГОСТах, но

не приводится его определение.

Исключение составляет ведомственный нормативный документ Пенсионного фонда РФ. Причем в данном документе этот термин отождествляется с понятием «информационная безопасность», что, конечно, является ошибкой.

Согласно Госстандарту (ГОСТ

Р 50922-96) защита информации – это деятельность по предотвращению утечки защищаемой информации, по предотвращению несанкционированных и непреднамеренных воздействий на защищаемую информацию.

Последние два определения несовершенны, поскольку содержат неуточняемые понятия («вероятность защиты информации») или допускают расширительное толкование по сравнению с подразумеваемым по умолчанию смыслом («несанкционированные и непреднамеренные воздействия»). Тем не менее они отражают существо дела.

Под «управлением защитой информации», как правило, понимается разработка и реализация определенной политики защиты информации для информационно-телекоммуникационных систем и сетей. Причем политики как в узком смысле (система организационных и технических мероприятий, разработанных для обеспечения защиты информации в конкретных системах и сетях), так и в широком – государственной политики, включающей разработку нормативно-правовой базы сферы информатизации, мероприятия по контролю за деятельностью и качеством услуг операторов связи и провайдеров телематических услуг, а также контроль за использованием ими средств вычислительной техники (СВТ), аппаратуры и оборудования связи, отвечающих нормативным требованиям.

– Охарактеризуйте, пожалуйста, новые нормативно-правовые акты в сфере безопасности информации и прокомментируйте их функции.

Развивать нормативно-правовую базу в сфере информационной безопасности заставляет сама жизнь. Однако отсутствие у правоведов специальных технических знаний, а значит, и возможности вникнуть в суть информационных технологий, так же как и неумение технических специалистов в области информационной безопасности формулировать правовые нормы, обуславливает недостаточно скоординированные действия по развитию нормативно-правовой базы и приводит к определенным

казусам. В частности, признано необходимым лицензирование деятельности, связанной с применением шифрования в интересах государственных органов. Однако к бесплатно распространяемым через Интернет средствам шифрования и услугам по их применению уже есть доступ у всех желающих. Кроме того, как общедоступные, так и кого говоря, не являются таковыми в нашей стране, если они не сертифицированы в России. Между тем такие средства уже достаточно широко применяются.

Закон «Об электронной цифровой подписи» требует использования для постановки ЭЦП сертифицированных в России, причем совершенно определенных, средств и технологий. Однако для подписания документов при международном информационном обмене они могут оказаться неприемлемыми для зарубежных партнеров, а ЭЦП без специальных соглашений могут быть признаны юридически ничтожными. При этом закон «Об электронной цифровой подписи» — одно из обязательных дополнений нормативно-правовой базы, наличие которой необходимо для вступления России в ВТО.

В целом же все перечисленные нормативно-правовые документы, безусловно, полезны для нормального правового регулирования отношений соответствующих субъектов права. Принятые подзаконные акты вполне функциональны и вводят в правовое поле те процедуры и отношения, которые уже фактически используются на практике. Погрешности в принятых законах и подзаконных актах будут устраняться в процессе их повседневного практического использования, то есть методом проб и ошибок, и это нормально.

– Как бы Вы охарактеризовали правовой статус электронного документа?

Позволю себе уточнить вопрос. Правовой статус – это установленное нормами права положение его субъектов, совокупность их прав и обязанностей. Говорить о правах и обязанностях неодушевленного объекта (электронного документа) бессмысленно. Очевидно, Вы имеете в виду характеристику электронного документа как объекта права.

Концептуальная основа была заложена принятым семь лет назад Федеральным законом «Об информации, информатизации и защите информации», согласно которому информационные ресурсы (отдельные документы и массивы документов) признаются элементом состава имущества и объектом права собственности. В законе определяется собственник, владелец и пользователь информационных ресурсов, а следовательно, и отдельного ЭлД. К сожалению, эта норма в последующих законах и законопроектах государственного уровня не только не конкретизировалась, но и фактически была дезавуирована. Отнесение электронного документа к конкретной правовой категории позволило бы выстраивать правоотношения между субъектами на основе известных и общепризнанных правовых норм, отшлифованных многолетней практикой их применения.

Что касается юридической силы электронного документа, то сегодня эта характеристика определяется вторичными документами, договорами между участниками электронного взаимодействия. Если стороны согласились признавать электронный документ (с теми или иными признаками достоверности) основанием для изменения правоотношений, то нарушение определенных электронным документом обязательств рассматривается как нарушение договора между участниками со всеми вытекающими правовыми последствиями.

Федеральный закон «Об электронной цифровой подписи» определяет условия, при которых документ с цифровой подписью признается раличной подписью автора. Существенно сужает эффективность закона то обстоятельство, что его действие распространяется только на документы, подписанные физическими, но не юридическими лицами. Между тем в электронных сделках почти всегда в качестве хотя бы одной из сторон выступает юридическое лицо.

Необходимо отметить, что сложившаяся ситуация с приданием электронному документу юридического значения в настоящее время сдерживает развитие электронного документооборота в стране.

– В каких областях российские разработчики средств обеспечения безопасности информации наиболее сильны?

Когда говорят о типах средств информационной безопасности, в которых российские разработчики предлагают продукты мирового класса, то в первую очередь называют антивирусные пакеты и криптографические системы. Я бы отметил также наши аппаратные средства защиты от несанкционированного доступа (НСД). На Западе аппаратные средства выпускаются только для криптографических систем. В системах защиты от НСД это

несложные изделия, наподобие

e-token. Существующая аппаратура не обеспечивает функции безопасности. У нас же реалии другие – хакеры, например, посильнее, да и общеобразовательный уровень выше, так что идея аппаратной защиты уже проникла в умы и сердца. Потому в части защиты от НСД мы тоже впереди.

Что касается ситуации на рынке, то мы не продаем ничего за пределами страны. Это связано с нехваткой средств на хорошую рекламную кампанию. Да и зачем? Наш рынок и так велик. Нам не хватает мощностей для выполнения отечественных заказов. Производимая продукция раскупается практически с колес. Так что российского рынка вполне достаточно, хотя интерес к нашим изделиям проявляют Индия, Куба, другие страны. Весьма интересуются системами такого класса немцы.

Все, кто вынужден выбирать между российскими и американскими системами, самое серьезное внимание обращают на наши отечественные решения. У нас действительно хорошие разработчики антивирусных программ, которые представляют фирмы по производству «лекарств». Должна же быть у пользователя домашнего ПК «аптечка»! Вот они и выпускают антивирусные пакеты для домашних компьютеров. Однако этого мало: должны быть «поликлиники», «больницы», кто-то должен организовывать «карантин». Можно ли без рецепта продавать «сильнодействующие средства»? Вот это и есть та зона, которая должна регулироваться государством.

– Какие, на Ваш взгляд, факторы, помимо безопасности электронных платежей, сдерживают рост электронной торговли в России?

В настоящее время уровень развития электронной торговли сдерживается комплексом нерешенных проблем, обусловленных следующими факторами:

• отсутствием оперативной и достоверной информации у субъектов рынка о потенциальных возможностях производственных мощностей промышленных предприятий;

• высоким уровнем рисков сетевых торговых и финансовых операций и отсутствием финансовых гарантий возмещения ущерба участникам электронной торговли;

• изменением мехапроизводственных связей, в первую очередь к потере возможности гарантированного размещения производственных заказов и получения продукции;

• несовершенной правовой базой электронной торговли;

• невысоким уровнем развития систем сбора, обработки, хранения торговой информации и обеспечения доступа к ней как товаропроизводителей, так и органов власти и управления;

• низким уровнем информационной безопасности в открытых компьютерных сетях Интернет.

Неэффективное информационное обеспечение — один из основных факторов, сдерживающих развитие электронной торговли, что не позволяет выполнить достоверный анализ рынка сбыта продукции, определить (хотя бы ориентировочно) стоимость товара или услуги в том или ином регионе России или количество продукции, которую можно было приобрести, и соответственно принять решение о расширении объемов производства.

Информационное обеспечение электронной торговли целесообразно создавать в форме сетевых информационно-маркетинговых центров (ИМЦ), которые могли бы предоставлять необходимую для принятия решений информацию как товаропроизводителям, так и потребителям продукции и услуг, а также государственным органам федерального, регионального и муниципального уровней.

Создание ИМЦ и объединение их в общенациональную сеть позволит устранить информационные барьеры между производителями и потребителями продукции и услуг, обеспечить условия для поиска новых рынков сбыта в условиях динамичной конъюнктуры, стимулировать развитие инфраструктуры рынка, оказать положительное влияние на развитие малого и среднего предпринимательства. При этом удастся обеспечить информационное сопровождение планирования производства, реализации продовольственных и промышленных товаров, а также предоставления различных услуг для развития взаимовыгодных экономических связей между субъектами хозяйствования.

Создание сети ИМЦ будет способствовать увеличению объемов производства товаров и услуг, расширению товарообмена на территории не только России, но и стран СНГ. Построение сети ИМЦ осуществляется в рамках реализации Межгосударственной программы создания таких центров для продвижения товаров и услуг на национальные рынки государств — членов СНГ (утвержденной 29.11.2001 решением Совета глав правительств СНГ).

– Не снижают ли средства системы обеспечения оперативно-розыскных мероприятий (СОРМ) уровень безопасности на предприятиях, осуществляющих производственную деятельность через Интернет?

Мне не известны случаи, когда бы электронному магазину был нанесен ущерб из-за использования средств СОРМ. Вопрос в другом – как связан общий уровень информационной безопасности в СОРМ с наличием или отсутствием дополнительных точек входа? На этот вопрос каждый может ответить сам. Что проще защищать – бункер с одной дверью или строение с сотней окон по периметру? Думаю, что во втором случае на окна следует поставить хотя бы решетки.

– Как бы Вы оценили уровень общей культуры сотрудников отечественных компаний в облдготовки?

В целом должен отметить высокий уровень информационной безопасности в ЦБ РФ, в Государственном таможенном комитете и ряде других государственных структур. Заметно повышается уровень информационной безопасности в Пенсионном фонде России, начинаются работы в этом направлении и в Минсвязи России.

Система подготовки кадров в области информационной безопасности оставляет желать лучшего. В качестве положительного примера можно привести факультет информационной безопасности МИФИ, где весьма высокий уровень подготовки специалистов.

Главная страница / Архитектура отрасли