Что такое законодательный уровень информационной безопасности и почему он важен
Риск, связанный с использованием несертифицированных информационных систем и средств их обеспечения, лежит на собственнике (владельце) этих систем и средств.
Риск, связанный с использованием информации, полученной из несертифицированной системы, лежит на потребителе информации.4.
Собственник документов, массива документов, информационных систем может обращаться в организации, осуществляющие сертификацию средств защиты информационных систем и информационных ресурсов, для проведения анализа достаточности мер защиты его ресурсов и систем и получения консультаций.5.
Владелец документов, массива документов, информационных систем обязан оповещать собственника информационных ресурсов и (или) информационных систем о всех фактах нарушения режима защиты информации.Из пункта 5 следует, что должны обнаруживаться все (успешные) атаки на ИС.
Вспомним в этой связи один из результатов опроса (см.
лекцию 1): около трети респондентов-американцев не знали, были ли взломаны их ИС за последние 12 месяцев.
По нашему законодательству их можно было бы привлечь к ответственности.Далее, статья 23 “Защита прав субъектов в сфере информационных процессов и информатизации” содержит следующий пункт:2.
Защита прав субъектов в указанной сфере осуществляется судом, арбитражным судом, третейским судом с учетом специфики правонарушений и нанесенного ущерба.
Очень важными являются пункты статьи 5, касающиеся юридической силы электронного документа и электронной цифровой подписи:3.
Юридическая сила документа, хранимого, обрабатываемого и передаваемого с помощью автоматизированных информационных и телекоммуникационных систем, может подтверждаться электронной цифровой подписью.
Юридическая сила электронной цифровой подписи признается при наличии в автоматизированной информационной системе программно-технических средств, обеспечивающих идентификацию подписи, и соблюдении установленного режима их использования.4.
Право удостоверять идентичность электронной цифровой подписи осуществляется на основании лицензии.
Порядок выдачи лицензий определяется законодательством Российской Федерации.Таким образом, Закон предлагает действенное средство контроля целостности и решения проблемы “неотказуемости” (невозможности отказаться от собственной подписи).Таковы важнейшие, на наш взгляд, положения Закона “Об информации, информатизации и защите информации”.