понедельник, 27 марта 2006 г.

Национальные Архивы США выставили в онлайн-доступе 400 тысяч документов Государственного департамента


Национальные Архивы США (NARA) впервые предоставляют доступ в онлайн-режиме к более чем 400 тысячам документов и телеграмм Государственного департамента за период с 1973 по 1974 годы. В число этих документов, - являющихся частью базы данных «Центральный архив по внешней политике» Госдепартамента, - входят исторические телеграммы, индексы бумажных документов, созданных в 1974 году, и карточки-заместители на те телеграммы и документы, которые пока остаются засекреченными из соображений национальной безопасности.

Государственный департамент США приступил к цифровой архивации своих документов с середины 1973 года, начав с официальных телеграмм, поступающих в госдепартамент «с мест».

Документы размещены в системе NARA «Доступ к архивным базам данных», которая дает возможность публике вести онлайн-поиск среди наиболее часто запрашиваемых электронных документов агентства.

Роб Формейер (Rob Thormeyer)

Источник: GCN
http://www.gcn.com/online/vol1_no1/40213-1.html

понедельник, 20 марта 2006 г.

Правительство Евросоюза разочаровано тем, что население игнорирует цифровые подписи


Граждане и деловые организации Евросоюза не спешат использовать средства для электронного подписания документов, несмотря на создание общеевропейской юридической основы, обеспечивающей их юридическую силу – и Правительство Евросоюза (Еврокомиссия, European Commission) опасается, что такое ограниченное внедрение электронных подписей тормозит развитие электронной торговли.

18 марта 2006 года Правительство Евросоюза опубликовало отчет о ходе внедрения Директивы 1999 года об электронной подписи, заложившей юридическую базу для использования в Евросоюзе электронных подписей.

Подписание электронного почтового сообщения путем ввода своего имени простым текстом – тоже форма электронной подписи; однако основной причиной беспокойства Еврокомиссии является медленное внедрение более надежных форм электронной подписи, и в первую очередь -  цифровой подписи (вариант подписи, описанный в Директиве как «усиленная электронная подпись»). Механизм цифровой подписи опирается на использование инфраструктуры открытых ключей PKI (Public Key Infrastructure).

Уполномоченный по вопросам информационного общества и средств массовой информации Вивиан Рединг (Viviane Reding) заявила по этому поводу следующее: «Я не до конца удовлетворена ходом внедрения электронных подписей в Европе. Ещё предстоит проделать большую работу, в частности, чтобы заставить подписи работать невзирая на границы».

Цифровые подписи, в отличие от более простых форм электронных подписей, накладывают на электронный документ «печать», позволяющую получателю удостовериться в личности отправителя, а также убедиться, что с момента подписания в документ не было внесено никаких изменений.
Еврокомиссия предполагала, что такого рода подписи будут способствовать продаже товаров и услуг через Интернет, и в 1999 году через Директиву заложила общеевропейскую юридическую базу для электронных подписей. К настоящему моменту все 25 стран-членов Евросоюза реализовали в своем законодательстве положения этой директивы.

Однако данные отчета, в котором анализируется применение Директивы на практике, показывают, что рынок для усиленных электронных подписей, подтвержденных «квалифицированными сертификатами», выдаваемыми т.н. «поставщиками сертификационных услуг», развивается гораздо медленнее, чем ожидалось.

По мнению Еврокомиссии, причина такого явления скорее всего экономическая. Как сказано в отчете, «поставщики услуг слабо заинтересованы в разработке многоцелевых электронных подписей, и предпочитают предлагать решения, поддерживающие лишь предоставляемые ими услуги (например, решения, ориентированные на банковский сектор). Это замедляет процесс разработки решений, способных взаимодействовать друг с другом».
В то же время отчет написан в оптимистическом ключе, исходя из того, что ширящееся использование электронных идентификационных карт («электронных паспортов»), вероятно, приведет к росту спроса в будущем. Электронные идентификационные карты могут быть использованы и в качестве удостоверения личности. И для получения онлайн-доступа к электронным услугам для граждан. В большинстве случаев эти карты будут применяться для идентификации личности владельца и для аутентификации его подписи, а также для того, чтобы предоставить владельцу возможность поставить подпись.

На этот процесс, согласно отчету, также может повлиять применение электронных подписей при предоставлении услуг «электронного правительства» (таких, как подача через Интеренет налоговых деклараций), в системе государственных закупок и в системе управления удостоверениями личности.

Авторы отчета пришли к выводу о том, что Директива создала юридическую определенность относительно принципиальной возможности представления подписанных электронным образом документов в суды и государственные органы, и продолжает обеспечивать, на данный момент, достаточную базу для использования электронных подписей на международном рынке.

Одновременно Еврокомиссия очень хотела бы и дальше способствовать развитию услуг и приложений, связанных с электронными подписями. Планируется поощрять дальнейшую стандартизацию с целью обеспечения взаимодействия различных систем электронной подписи, как на национальном, так и на общеевропейском уровне, а также с целью использования различных технологий квалифицированной электронной подписи в рамках единого рынка.

Предполагается провести серию встреч с экспертами и заинтересованными сторонами из стран-членов Евросоюза для определения возможных дополнительных мер, направленных на преодоление проблем, связанных с различиями в  национальных законах, реализующих положения европейской Директивы (подобные различия могут привести к фрагментации единого рынка). Эти меры могут включать подготовку разъяснений по отдельных статьям Директивы, а также технические меры и деятельность в области стандартизации, необходимые для улучшения межнационального взаимодействия систем электронной подписи.

Правительство Евросоюза также планирует подготовить в 2006 году отчет о стандартах для электронных подписей, для того, чтобы определить, нужно ли  применение со стороны Евросоюза дополнительных регулятивных мер.

См. также:
Источник: OUT-LAW News, 20/03/2006
http://www.out-law.com/page-6751

воскресенье, 19 марта 2006 г.

BS 7799 вернулся: Опубликован британский стандарт BS 7799-3:2005 по управлению рисками в области информационной безопасности


Без сомнения, британский стандарт BS 7799 можно назвать одним из самых странных стандартов – раз за разом он превращается в другие документы.

Все началось в 1995 году – с переиздания свода хорошей практики по безопасности Министерства торговли и информации DTI. В 1999 году стандарт был модифицирован, и в 2000 по ускоренной процедуре превратился в ISO 17799.

Отказываясь погибать, это имя снова всплыло в 2002 году как BS 7799-2. Новый документ на этот раз фокусировался на системах управления информационной безопасностью. Он также прошел ускоренную процедуру и в октябре 2005 года стал стандартом ISO 27001.

В марте 2006 года BS 7799 снова вернулся. Теперь это BS 7799-3:2005 «Системы управления информационной безопасностью (СУИБ). Руководство по управлению рисками в области информационной безопасности» (BS 7799-3:2005 Information Security Management Systems. Guidelines for Information Security Risk Management). Задача данного документа – дать необходимые разъяснения и указания в отношении сформулированных в ISO 27001 требований, связанных с циклом управления рисками в СУИБ.

Технически, BS 7799-3 заменяет более ранние публикации на ту же тему Британского института стандартов (BSI) PB003 и PD005.

Содержание нового стандарта:
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Риски в области информационной безопасности в контексте деятельности организации
5. Оценка рисков
6. Минимизация рисков и принятие управленческих решений
7. Текущая деятельность по управлению рисками
Приложения A, B и C
Объем стандарта - 48 страниц.

Для обеспечения согласованности, стандарт BS 7799-3 гармонизирован со стандартами ISO 17799 и ISO 27001.

Что будет дальше? Очень вероятно, что стандарт BS 7799-3 ожидает судьба его предшественников, и ему уготовано стать ещё одним стандартом ISO из серии 27000 (ему уже предварительно выделен собственный номер – 27005).

Использованные источники:
http://www.thewindow.to/bs7799/
http://www.thewindow.to/bs7799/bs7799-3.htm
http://www.globaltrust.ru/security/News/BSI_News/BSI_news_1205.htm (на русском языке)

пятница, 3 марта 2006 г.

Реакция руководителя Национальных Архивов США на скандал с повторным засекречиванием ранее рассекреченных документов


Архивист Соединённых Штатов (руководитель Национальных Архивов США, NARA) Алан Вайнштейн (Allen Weinstein) объявил 2 марта 2006 года о мерах и инициативах, предпринятых им в ходе ведущегося расследования по факту изъятия с открытых полок Национальных Архивов ряда ранее рассекреченных документов. Эти меры включают:
  • Мораторий на изъятие для повторного засекречивания каких-либо ранее рассекреченных документов, находящихся в настоящее время в открытом доступе в Национальных Архивах. Мораторий распространяется на сотрудников всех федеральных агентств США и будет действовать до завершения аудита, проводимого Управлением по контролю за информационной безопасностью (Information Security Oversight Office, ISOO – управление в составе NARA, контролирующее исполнение законодательства в отношении работы с секретными документами).

  • Проведение на следующей неделе встречи с представителями заинтересованных спецслужб. Цель такой встречи – обеспечить сбалансированность между правом федеральных агентств восстанавливать, по мере необходимости, секретный статус документов, и обязанностью Архивиста обеспечить максимально свободный доступ к документам в соответствии с законодательно-нормативными требованиями и здравым смыслом.

  • Обращение к заинтересованным федеральным агентствам объединить усилия с Национальными Архивами и выделить необходимые ресурсы для скорейшего возвращения в открытый доступ максимального количества информации, учитывая при этом необходимость защищать от несанкционированного раскрытия действительно конфиденциальную и секретную информацию, относящуюся к вопросам национальной безопасности.

  • Начало работы по пересмотру и улучшению применяемого в Национальных Архивах «внутреннего» порядка реализации решений по установлению/снятию грифов секретности, с тем, чтобы Национальные Архивы были «катализатором» процесса предоставления публике своевременного доступа к документам.

  • Поручение ISOO разработать, консультируясь с заинтересованными агентствами, краткое и ясное стандартизованное руководство в отношении изъятия документов с открытых полок с целью засекречивания, предусматривающее достаточно высокий «порог» для принятия подобных решений. Данное документ будет открытым, и будет введен в действие до того, как будет снят временный мораторий на засекречивание открытых документов.

  • Требование к сравнительно недавно созданному «Комитету по рассекречиванию в интересах общества» (Public Interest Declassification Board, - комитет образован в 2000 году и подчиняется непосредственно Президенту США. В его задачи входит консультирование высших представителей исполнительной власти по вопросам организации полномасштабного, систематического и координированного рассекречивания материалов, представляющих историческую ценность), - в соответствии с его уставом, представить Архивисту независимые рекомендации по данному вопросу.

четверг, 2 марта 2006 г.

Великобритания: первые результаты опроса DTI 2006 года об инцидентах в области информационной безопасности


Опубликованы первые результаты опроса DTI Information Security Breaches Survey 2006 об имевших место инцидентах в области безопасности, проводимого раз в два года Министерством торговли и индустрии Великобритании (DTI). Этот опрос считается наиболее авторитетным исследованием такого рода в стране, и его цель – способствовать лучшему пониманию важности информационной безопасности для организаций как государственного, так и частного секторов экономики. Сбор и обработку данных по поручению DTI проводит компания PricewaterhouseCoopers LLP.

Официально полные результаты опроса будут представлены на выставке Infosecurity Europe, которая пройдет в Лондоне 25-27 апреля 2006 года. В настоящее время на сайтах DTI и PricewaterhouseCoopers опубликованы данные об инцидентах, связанных с вирусами и вредоносными программами (malware).

Заражение вирусами оказалось наиболее частой причиной серьёзных инцидентов, произошедших в английских компаниях за последние два года (примерно половина всех случаев). Две трети из них нанесли заметный ущерб деловой деятельности организаций.

Как показывает анализ собранных данных, при заражении вирусами нарушение нормального хода деятельности организации гораздо более вероятно, чем при любых других инцидентах. И хотя в большинстве случаев последствия были незначительными, тем не менее у четверти тех компаний, у которых наиболее серьёзный инцидент был связан с вирусами, в результате возникли серьёзные проблемы, когда, например, такие важные службы, как электронная почта, не работали более суток.

Риски, связанные с вредоносными программами, сейчас велики как никогда, в первую очередь в связи с тем, что большинство (88%) английских компаний использует высокоскоростной доступ в Интернет. Деловой мир отреагировал на эту опасность, и сейчас практически все организации используют антивирусное программное обеспечение. В итоге, несмотря на возросший уровень угрозы, число пострадавших от вирусов компаний оказалось меньше, чем два года назад. При этом, однако, среднее число заражений у тех, кто пострадал, поднялось примерно до одного случая в день. Ряд организаций сообщили о сотнях случаев инфицирования в день!

Основные результаты телефонного опроса 1000 компаний следующие:
  • Четверть английских компаний не имеет и не использует средств защиты от программ-шпионов (spyware). Как следствие, с ними связан каждый седьмой из инцидентов, вызванных вредоносными программами;

  • Два года назад доминировало небольшое число вирусов. Сейчас ситуация изменилась. За последний год не было случаев широкомасштабного заражения, изменилась как природа вирусов, так и мотивация их создателей.
 Некоторые вирусы (известные как «боты») захватывают контроль над компьютерами и организуют их в сети зараженных машин-зомби, которые часто используются для совершения компьютерных преступлений. Ликвидация последствий подобных инцидентов может потребовать недель работы.
  • Укрепилась дисциплина в части установки обновлений, закрывающих «дыры» в системе безопасности – 9 из 10 компаний устанавливают обновления для ОС в течение недели с момента их выпуска.

  • Компании, устанавливающие критические обновления в течение дня, меньше страдают от вирусных атак по сравнению с теми, кто ждёт месяц и более.

  • Компании, вообще не использующие антивирусной защиты, сообщили о сравнительно небольшом числе инцидентов. По мнению авторов опроса, это можно объяснить тем, что кто серьёзно пострадал от инфекций, тут же устанавливают антивирусы.
В отношении этой группы компаний больше всего беспокоит то, что, в связи с изменившимся поведением вирусов, многие из них могут и не подозревать, что их системы уже заражены.
  • 80% компаний обновляет антивирусные базы в течение дня.

  • Ликвидация последствий вирусных атак требует бóльших усилий, чем при других инцидентах – иногда на это уходит до 50 дней.
По словам руководителя проводящей опрос группы Криса Поттера (Chris Potter), «Приятно наблюдать у английских компаний прогресс в части установки антивирусного ПО и своевременной установки обновлений ОС. Однако тех, кто сегодня продолжает вести вчерашние войны, поджидает опасность. Раньше вирусы были рассчитаны на широкомасштабное причинение ущерба без разбора – обычно путем нарушения работы сетей. Вирусы сегодняшнего дня гораздо более коварны: они прячутся «в глубине» зараженных машин, собирая информацию и охотясь за ценными данными. Киберпреступники используют вирусы в качестве средства для скрытного преодоления систем защиты и кражи конфиденциальной информации.

Ущерб от вирусов не ограничивается компьютерными системами – в конечном итоге могут пострадать клиенты компании, деловые связи и репутация. Уровень опасности никогда не был столь высок, так что бдительность терять нельзя. Битвы завтрашнего дня только начались, и в них наилучшую защиту обеспечит многоуровневая оборона, включающая своевременную установку обновлений операционной системы, использование «свежего» антивирусного ПО и баз, а также использование программного обеспечения, способного предотвращать и детектировать вторжение.»

Источники:
http://continuitycentral.com/news02393.htm
http://www.pwc.com/extweb/pwcpublications.nsf/docid/7FA80D2B30A116D7802570B9005C3D16