Разумность требований: Регулирование безопасности и шифрования в программном обеспечении

Р. Otto

Reasonableness meets requirements: Regulating security and privacy in software // Duke law journal. - Durham, 2009. - Vol. 59,

N 2. - P. 309-342.

В статье магистра департамента компьютерных наук Университета штата Северная Каролина Поля Отто рассматривается вопрос о регулировании программного обеспечения. Проблемы безопасности программного обеспечения шифрования вызваны опасениями краж данных, а также угроз безопасности. Предлагаемые меры снижения подобных рисков включают разработку и установление строгих инструкций и время от времени позволение вмешиваться рыночным силам. Разработчики программного обеспечения действуют в соответствии с гарантиями безопасности и структурой стандартов, помогающей ее укреплению в интересах общества.

С распространением вычислительных технологий в современном обществе стали появляться соответствующие законы, изобретаться методы регулирования систем программного обеспечения. Эти законы и методы предназначаются для различных типов и аспектов систем программного обеспечения. В данной статье рассматриваются законы и методы, применимые к безопасности данных и защите шифрования.

Идею регулировать программное обеспечение посредством законов назвали формой юридического преимущества. Самая сильная форма юридической защиты - законы либо инструкции, которые устанавливают непосредственные формальные границы или требования к кодексу программного обеспечения. Законы и инст рукции определяют, каким образом следует регулировать программное обеспечение.

Автор описывает обеспечение информационной безопасности в штате Массачусетс. Действующие там инструкции требуют «шифрования всех передаваемых отчетов и судебных архивов, содержащих личную информацию, а также шифрования всех данных, содержащих личную информацию». Кроме того, существуют нормы безопасности информации в программном обеспечении, связанном с персоналом.

Другая форма регулирования - на основе инструкций программного обеспечения. Закон требует от программного обеспечения облегчения совершения сделки, используя его как юридическое средство специфическим способом облегчать сделки, таким образом, используя программное обеспечение как средство для удовлетворения деловых требований. Предыдущие инструкции по разработке программного обеспечения предлагали шифрование, используемое для коммуникаций. Федеральное правительство предложило инструкцию, известную как Стандарт шифрования условного депонирования. Он направлен на шифрование телекоммуникации способом, доступным правоприменителям. Данная инструкция содержит детализированные требования к технической стороне шифрования.

Правовое регулирование устанавливает структуру, в пределах которой должно работать программное обеспечение. Оно включает законы или инструкции, относящиеся к общей области систем программного обеспечения. Стандартизация слабее юридической защиты, подчеркивает автор, так как инструкции диктуют конкретные требования и ограничения, а стандарты могут обеспечить только ограниченное или обобщенное руководство для регулирования программного обеспечения.

Инструкция по шифрованию данных начинается с ключевого принципа: требования ограничения использования или раскрытия «защищенной информации о здоровье», хотя и включает в себя разрешение на использование и раскрытие защищенной информации о здоровье в определенных случаях, связанных со здравоохранением.

Третья форма юридической защиты - наделение программного обеспечения регулирующими функциями. В этом случае программное обеспечение структурирует закон. Сначала допускается саморегуляция рыночных отношений, защита новаций с помощью программного обеспечения, а затем устанавливаются в законе его функции.

С широким распространением программного обеспечения в киберпространстве юристы начали отмечать, как программное обеспечение начинает выполнять юридическую функцию, потеснив фактические законы и инструкции. Профессор Лоренс Лессиг подчеркивал, что программное обеспечение может выполнять регулирующую функцию или, по крайней мере, иметь тот же эффект, что и законодательное регулирование. Особенностью программного обеспечения как регулятора является то, что оно происходит на основе свода правил, управляющих системой программного обеспечения.

Юридическая защита безопасности данных и шифрования в системах программного обеспечения по-прежнему остается развивающейся областью права. Когда разработчики программного обеспечения испытывают недостаток в инструкциях, рынок оказывается не способным обеспечить адекватную защиту безопасности данных и их шифрования. Недавно были одобрены подходы к обеспечению подобной защиты посредством введения стандартов, которые обеспечивают безопасность данных и их шифрование во время быстроразвивающихся технологий и появления новых угроз.

Правильно составленные инструкции не препятствуют разработке программного обеспечения, а разработчики программы -наиболее подходящие люди для создания этих инструкций. Если в ответ на стандарт, предложенный чиновником, инструкцию редактирует разработчик или промышленный эксперт, это позволяет сохранить гибкость на случай, если понадобится изменить устаревшую инструкцию.

И.А. Лисицын-Светланов

 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ   След >