(в том числе
аутентичности) данных, что разработка и использование шифровальных технологий
должны происходить на основании требований рынка, а не распоряжений
правительства. Кроме того, здесь отмечается, что за пределами
США имеются сопоставимые
и общедоступные криптографические технологии, и это следует учитывать при
выработке экспортных ограничений, чтобы не снижать конкурентоспособность
американских производителей аппаратного и программного обеспечения.
Для
защиты федеральных ИС рекомендуется более широко применять технологические
решения, основанные на разработках частного сектора. Кроме того, предлагается
оценить возможности общедоступных зарубежных разработок.
Очень
важен раздел 3, в котором от НИСТ требуется по запросам частного сектора
готовить добровольные стандарты, руководства, средства и методы для инфраструктуры
открытых ключей (см. выше Закон РФ об ЭЦП), позволяющие сформировать негосударственную
инфраструктуру, пригодную для взаимодействия с федеральными ИС.
В
разделе 4 особое внимание обращается на необходимость анализа средств и методов
оценки уязвимых мест других продуктов частного сектора в области ИБ.
Приветствуется
разработка правил безопасности, нейтральных по отношению к конкретным техническим
решениям, использование в федеральных ИС коммерческих продуктов, участие в
реализации шифровальных технологий, позволяющее в конечном итоге сформировать
инфраструктуру, которую можно рассматривать как резервную для федеральных ИС.
Важно,
что в соответствии с разделами 10 и далее предусматривается выделение
конкретных (и немалых) сумм, называются точные сроки реализации программ
партнерства и проведения исследований инфраструктуры с открытыми ключами,
национальной инфраструктуры цифровых подписей. В частности, предусматривается,
что для удостоверяющих центров должны быть разработаны типовые правила и
процедуры, порядок лицензирования, стандарты аудита.
В
2001 году был одобрен Палатой представителей и передан в Сенат новый вариант
рассмотренного законопроекта - Computer Security Enhancement Act of 2001 (H.R.
1259 RFS). В этом варианте примечательно как то, что, по сравнению с предыдущей
редакцией, было убрано, так и то, что добавилось.
За
четыре
года (1997-2001 гг.) на
законодательном и других уровнях информационной
безопасности США было сделано многое. Смягчены экспортные ограничения на
криптосредства (в январе 2000 г.). Сформирована инфраструктура с открытыми
ключами. Разработано большое число стандартов (например, новый стандарт
электронной цифровой подписи - FIPS 186-2, январь 2000 г.). Все это позволило
не заострять более внимания на криптографии как таковой, а сосредоточиться на
одном из ее важнейших приложений - аутентификации, рассматривая ее по
отработанной на криптосредствах методике. Очевидно, что, независимо от судьбы
законопроекта, в США будет сформирована национальная инфраструктура электронной
аутентификации.
Главная / безопасность пк / методы защиты информации 