Студопедия
Новини освіти і науки:
МАРК РЕГНЕРУС ДОСЛІДЖЕННЯ: Наскільки відрізняються діти, які виросли в одностатевих союзах


РЕЗОЛЮЦІЯ: Громадського обговорення навчальної програми статевого виховання


ЧОМУ ФОНД ОЛЕНИ ПІНЧУК І МОЗ УКРАЇНИ ПРОПАГУЮТЬ "СЕКСУАЛЬНІ УРОКИ"


ЕКЗИСТЕНЦІЙНО-ПСИХОЛОГІЧНІ ОСНОВИ ПОРУШЕННЯ СТАТЕВОЇ ІДЕНТИЧНОСТІ ПІДЛІТКІВ


Батьківський, громадянський рух в Україні закликає МОН зупинити тотальну сексуалізацію дітей і підлітків


Відкрите звернення Міністру освіти й науки України - Гриневич Лілії Михайлівні


Представництво українського жіноцтва в ООН: низький рівень культури спілкування в соціальних мережах


Гендерна антидискримінаційна експертиза може зробити нас моральними рабами


ЛІВИЙ МАРКСИЗМ У НОВИХ ПІДРУЧНИКАХ ДЛЯ ШКОЛЯРІВ


ВІДКРИТА ЗАЯВА на підтримку позиції Ганни Турчинової та права кожної людини на свободу думки, світогляду та вираження поглядів



НОРМАТИВНО-ПРАВОВА ВАЗА ЗАХИСТУ ІНФОРМАЦІЇ В СИСТЕМАХ ТЕЛЕКОМУНІКАЦІЙ

Нормативна база України. Нормативно-правове забезпечення організації і проведення заходів щодо захисту інформації є сукупність законів, нормативних актів і правил, регламентуючих загальну організацію робіт, а також створення і функціонування конкретних систем захисту. В даний час в Україні нормативно-правова база захисту інформації знаходиться у стадії формування.

При побудові правової бази системи безпеки інформації необхідно вирішити наступні завдання:

розробити як правова основа системи забезпечення безпеки інформації базовий закон, що регламентує відносини і що розмежовує сфери повноважень учасників інформаційних відносин, а також що визначає державні органи, які забезпечують інформаційну безпеку і способи контролю з боку держави за розмежуванням доступу до інформації;

розробити законодавчі акти і правові норми, що всесторонньо охоплюють проблеми захисту інформації і що відображають специфіку підходів до забезпечення безпеки інформації в різних сферах діяльності держави і суспільства;

регламентувати рівні безпеки інформації і адекватні їм методи і засоби захисту.

Одними з найбільш важливих складових частин правового забезпечення системи безпеки інформації є стандартизація і сертифікація, які включають наступні завдання:

створення пакету основоположних стандартів організаційно методичного і термінологічного забезпечення системи захисту інформації;

стандартизація вимог по захисту інформації в засобах обчислювальної техніки, в автоматизованих системах, інформаційних мережах і засобах телекомунікації;

нормативне і метрологічне забезпечення сертифікації і атестації технічних засобів захисту інформації і контролю їх ефективності.

Закон України "Про інформацію" встановлює загальні правові основи отримання, використання, розповсюдження і зберігання інформації. Згідно цьому закону, "інформація — це документовані або такі, що публічно оповістили відомості про події і явища, що відбуваються в суспільстві, державі або навколишньому природному середовищі".

Закон закріплює право особи на інформацію у всіх сферах суспільного і державного життя України, а також систему інформації, і її джерела, визначає статус учасників інформаційних відносин, регулює доступ до інформації і забезпечує її охорону, захищає особу і суспільство від помилкової інформації. Дія Закону розповсюджується на інформаційні відносини, що виникають у всіх сферах життя і діяльності суспільства і держави при отриманні, використанні, розповсюдженні і зберіганні інформації. Суб'єктами інформаційних відносин є громадяни України, юридичні особи, держава Україна, а також інші держави, їх громадяни і юридичні особи, міжнародні організації і особи без громадянства.

В цілях задоволення потреби в інформаційній діяльності створюються інформаційні служби, системи, мережі, бази і банки даних. Закон передбачає створення загальної системи охорони інформації.

Відповідно до Закону основними видами інформації є: статистична, масова, про діяльність державних органів влади і органів місцевого і регіонального самоврядування, про особу, правова, довідково-енциклопедична, соціологічна.

Категорії інформації і режим доступу до неї визначаються наступними статтями Закону.

Стаття 28. Режим доступу до інформації. Режим доступу до інформації — це передбачений правовими нормами порядок отримання, використання, розповсюдження і зберігання інформації.

По режиму доступу інформація ділиться на відкриту інформацію і інформацію з обмеженим доступом. Держава здійснює контроль за режимом доступу до інформації. Завдання контролю за режимом доступу до інформації полягає в забезпеченні дотримання вимог законодавства про інформацію всіма державними органами, підприємствами, установами і організаціями, недопущенні необгрунтованого віднесення відомостей до категорії інформації з обмеженим доступом.

Державний контроль за дотриманням встановленого режиму здійснюється спеціальними органами, які визначаються Верховною Радою України і Кабінетом Міністрів України. У порядку контролю Верховна Рада України може вимагати від урядових установ, міністерств, відомств звіти, що містять відомості про їх діяльність по забезпеченню інформацією зацікавлених осіб (кількість випадків відмови в наданні доступу до інформації з вказівкою мотивів таких відмов; кількість і обгрунтування застосування режиму обмеженого доступу до окремих видів інформації; кількість скарг на неправомірні дії посадовців, що відмовили в доступі до інформації, вжиті до них заходи і т. п.).

Стаття 30. Інформація з обмеженим доступом. Інформація з обмеженим доступом по своєму правовому режиму ділиться на конфіденційну і секретну. Конфіденційна інформація — це відомості, що знаходяться у володінні, користуванні або розпорядженні окремих фізичних або юридичних осіб і поширювані по їх бажанню відповідно до передбачених ними умов.

Громадяни, юридичні особи, що володіють інформацією професійного, ділового, виробничого, банківського, комерційного і іншого характеру, що одержаною на власні засоби або є предметом їх професійного, ділового, виробничого, банківського, комерційного і іншого інтересу і що не порушує передбаченої законом таємниці, самостійно визначають режим доступу до неї, включаючи приналежність її до категорії конфіденційної, і встановлюють для неї систему (способи) захисту.

Виняток становить інформація комерційного і банківського характеру, а також інформація, правовий режим якої встановлений Верховною Радою України з представлення Кабінету Міністрів України (з питань статистики, екології, банківських операцій, податків і т. п.), і інформація, приховування якої представляє загрозу життю і здоров'ю людей. До секретної відноситься інформація, що містить відомості, складові державну і іншу передбачену законом таємницю, розголошування якої завдає збитку особі, суспільству і державі.

Віднесення інформації до категорії секретних відомостей, складових державну таємницю, і доступ до неї громадян здійснюються відповідно до закону про цю інформацію. Порядок звернення секретної інформації і її захисту визначається відповідними державними органами за умови дотримання вимог, встановлених справжнім Законом. Порядок і терміни обнародування секретної інформації визначаються відповідним законом.

Стаття 53. Інформаційний суверенітет. Основою інформаційного суверенітету України є національні інформаційні ресурси. До інформаційних ресурсів України відноситься вся інформація, що належить їй, незалежно від змісту, форм, часу і місця створення. Україна самостійно формує інформаційні ресурси на своїй території і вільно розпоряджається ними, за винятком випадків, передбачених законами і міжнародними договорами.

Стаття 54. Гарантія інформаційного суверенітету України. Інформаційний суверенітет України забезпечується:

винятковим правом власності України на інформаційні ресурси, які формуються за рахунок засобів державного бюджету;

створенням національних систем інформації;

встановленням режиму доступу інших держав до інформаційних ресурсів України;

використанням інформаційних ресурсів на основі рівноправної співпраці з іншими державами.

Закон України "Про захист інформації в автоматизованих системах" встановлює основи регулювання правових відносин по захисту інформації в автоматизованих системах за умови дотримання права власності громадян України і юридичних осіб на інформацію і права доступу до неї, права власника інформації на її захист, а також встановленого чинним законодавством обмеження на доступ до інформації. Дія закону розповсюджується на будь-яку інформацію, що обробляється в автоматизованих системах.

У Законі основні терміни уживаються в наступному значенні:

автоматизована система (АС) — це система, що здійснює автоматизовану обробку даних, до складу якої входять технічні засоби обробки (засоби обчислювальної техніки і зв'язку), а також методи, процедури і програмне забезпечення;

інформація в АС — сукупність даних і програм, використовуваних АС незалежно від способу їх фізичного і логічного уявлення;

обробка інформації — сукупність операцій (збір, введення, запис, перетворення, врахування, збереження, знищення, реєстрація), здійснюваних за допомогою технічних і програмних засобів, включаючи обмін по каналах передачі даних;

захист інформації — сукупність організаційно-технічних заходів і правових норм для попередження спричинення збитку інтересам власника інформації або АС і осіб, що користуються інформацією;

несанкціонований доступ — доступ до інформації, здійснюваний з порушенням встановлених АС правил розмежування доступу;

розпорядник АС — фізична або юридична особа, що має право розпорядження АС за угодою з її власником або за його дорученням;

користувач АС — фізична або юридична особа, що має право використання АС за угодою з її розпорядником;

порушник — фізична або юридична особа, що навмисно або ненавмисно здійснює неправомірні дії по відношенню до АС і інформації в ній;

просочування інформації — результат дій порушника, унаслідок яких інформація стає відомою (доступної) суб'єктам, що не мають права доступу до неї;

втрата інформації — дія, унаслідок якої інформація в АС перестає існувати для фізичних або юридичних осіб, що мають право власності на неї в повному або обмеженому об'ємі;

підробка інформації — навмисні дії, ведучі до спотворення інформації, яка повинна оброблятися або зберігатися АС;

блокування інформації — дії, слідством яких є припинення доступу до інформації.

Згідно Закону України "Про захист інформації в автоматизованих системах" об'єктами захисту є інформація, що обробляється в АС, права власників цієї інформації і власників АС, права користувача. Захисту підлягає будь-яка інформація в АС, необхідність захисту якої визначається її власником або чинним законодавством.

Доступ до інформації, яка зберігається, обробляється і передається в АС, здійснюється лише відповідно до правил розмежування доступу, встановлених власником інформації або уполномоченним їм особою. Без дозволу власника доступ до інформації, яка обробляється в АС, здійснюється лише у випадках, передбачених чинним законодавством.

Власник АС повинен забезпечити захист інформації згідно вимогам і правилам, обумовлюваною угодою з власником інформації або уполномоченним їм особою, і зобов'язаний повідомити його про всі факти порушення її захисту. Власник інформації має право контролювати дотримання вимог по захисту інформації і забороняти або припиняти обробку інформації у разі порушення цих вимог.

Власник інформації і уполномоченниє їм на те особи визначають користувачів інформації, що належить йому, і встановлюють їх повноваження. Власник АС дає користувачам можливість доступу до інформації, що обробляється в АС, згідно повноваженням, встановленим власником інформації. Розпорядник АС інформує власника інформації про технічні можливості захисту в його АС і типових правилах, встановлених для персоналу АС.

Приведемо найбільш важливі статті Закону, обробки, що стосуються умов, і заходів по забезпеченню захисту інформації.

Стаття 10. Забезпечення захисту інформації в АС. Захист інформації в АС забезпечується шляхом:

дотримання суб'єктами правових відносин норм, вимог і правил організаційного і технічного характеру по захисту оброблюваної інформації;

використання засобів обчислювальної техніки, програмного забезпечення, засобів зв'язку і АС в цілому, засобів захисту інформації, що відповідають встановленим вимогам по захисту інформації (що мають відповідний сертифікат);

перевірки відповідності засобів обчислювальної техніки, програмного забезпечення, засобів зв'язку і АС в цілому встановленим вимогам по захисту інформації (сертифікація засобів обчислювальної техніки, засобів зв'язку і АС);

здійснення контролю по захисту інформації.

Стаття 11. Встановлення вимог і правил по захисту інформації. Вимоги і правила по захисту інформації, власністю держави, або інформації, захист якої гарантується державою, що є, встановлюються державним органом, уповноваженим Кабінетом Міністрів України. Ці вимоги і правила є обов'язковими для власників АС, де така інформація обробляється, і носять рекомендаційний характер для інших суб'єктів права власності на інформацію.

Стаття 12. Умови обробки інформації. Інформація, що є власністю держави, або інформація, захист якої гарантується державою, повинні оброблятися АС, захищеності, що має відповідний сертифікат (атестат), в порядку, визначуваному уповноваженим Кабінетом Міністрів України органом.

В процесі сертифікації (атестації) цих АС здійснюються також перевірка і сертифікація (атестація) розроблених засобів захисту інформації.

Інформація, що є власністю інших суб'єктів, може оброблятися у вказаних АС по розсуду власника інформації.

Власник інформації може звернутися в органи сертифікації з клопотанням про проведення аналізу можливостей АС по належному захисту його інформації і отриманні відповідних консультацій.

Стаття 13. Політика у області захисту інформації. Політика у області захисту інформації в АС визначається Верховною Радою України.

Стаття 14. Державне управління захистом інформації в АС. Уполномоченний Кабінетом Міністрів України орган здійснює управління захистом інформації шляхом:

проведення єдиної технічної політики по захисту інформації;

розробки концепції, вимог, нормативно-технічних документів і науково-методичних рекомендацій по захисту інформації в АС;

затвердження порядку організації, функціонування і контролю за виконанням заходів, направлених на захист оброблюваної АС інформації, власністю держави, а також рекомендацій, що є, по захисту інформації — власності юридичних і фізичних осіб;

організації випробувань і сертифікації засобів захисту інформації в АС, в якій здійснюється обробка інформації, власністю держави, що є;

створення відповідних структур для захисту інформації в АС;

проведення атестації сертифікаційних (випробувальних) органів, центрів і лабораторій, видачі ліцензії на право проведення сервісних робіт у області захисту інформації в АС;

здійснення контролю захищеності оброблюваної АС інформації, власністю держави, що є;

визначення порядку доступу осіб і організацій зарубіжних держав до інформації в АС, власністю держави, що є, або до інформації — власності фізичних і юридичних осіб, щодо розповсюдження і використання якої державою встановлені обмеження.

Міністерства, відомства і інші центральні органи державної влади забезпечують рішення питань захисту інформації в АС в межах своїх повноважень.

Стаття 15. Служби захисту інформації в АС- В державних установах і організаціях можуть створюватися підрозділи, служби, які організовують роботу, пов'язану із захистом інформації, підтримкою рівня захисту інформації в АС і несуть відповідальність за ефективність захисту інформації відповідно до вимог справжнього Закону.

Стаття 20. Забезпечення інформаційних прав України. Фізичні і юридичні особи в Україні на підставі Закону України "Про інформацію" можуть встановлювати взаємозв'язки АС інших держав в цілях обробки, обміну, продажу і покупки відкритої інформації.

Такі взаємозв'язки повинні виключати можливість несанкціонованого доступу з боку інших держав або їх представників — резидентів України або осіб без громадянства до інформації, наявної АС України, незалежно від форм власності і підпорядкування, відносно якої встановлені вимоги нерозповсюдження її за межі України без спеціального дозволу.

Іноземні держави, іноземні фізичні і юридичні особи можуть виступати власниками АС в Україні, власниками інформації, яка розповсюджується і обробляється в МС України, або фундирувати спільні з українськими юридичними і фізичними обличчями підприємства з метою створення АС України, обміну інформацією між АС України і АС інших держав. Окремі види такої діяльності здійснюються на підставі спеціального дозволу (ліцензії), що видається уполномоченним на це органом.

Зарубіжний досвід нормативно-правового забезпечення захисту інформації. У розвинених зарубіжних країнах питанням правового забезпечення безпеки інформації приділяється велика увага. Досвід інших держав показує, що нормативно-правова база створюється не тільки для захисту державних інформаційних ресурсів, але і для забезпечення безпеки інформаційних ресурсів незалежного сектора економіки.

Прикладом компромісного дозволу розбіжностей на користь державних структур і приватних фірм у області забезпечення безпеки конфіденційної і комерційної інформації є закон США про безпеку комп'ютерних систем від 1987 р., який визначає відповідальним за захист автоматизованих інформаційних систем і ліній комунікацій Національне бюро стандартів, а не Агентство національної безпеки США. Проте закон зобов'язує бюро стандартів використовувати при необхідності технічні рекомендації і допомогу Агентства.

Для вирішення завдань сертифікації засобів захисту інформації, захищених засобів обчислювальної техніки і телекомунікацій різного призначення створені і функціонують Національний центр комп'ютерної безпеки в США, Центральне агентство по комп'ютеризації і телекомунікаціям у Великобританії, а також аналогічні державні органи в Швеції, Австралії і інших країнах.

У останнє десятиліття в результаті інтенсивного розвитку інформаційно-обчислювальних мереж в США відбулася інтеграція засобів обчислювальної техніки і телекомунікацій. Це зумовило необхідність проведення єдиної політики по захисту інформації як в державних органах, так і в приватному секторі, що привело до злиття служб міністерства оборони і Агентства національної безпеки, забезпечуючих безпеку обчислювальних систем і ліній зв'язку.

Забезпечення безпеки інформації в США розглядається як комплексна проблема, що включає такі приватні завдання, як захист інформації в лініях зв'язку; захист інформації в обчислювальних засобах за допомогою апаратних, програмних і процедурних засобів; придушення побічних електромагнітних випромінювань електронних систем; безпека протоколів передачі даних; фізична безпека устаткування; контроль доступу.

Велика увага в США приділяється законодавчим засобам захисту. Є три види законодавчих актів: закони про професійні таємниці, про авторське право і про патентні права.

Професійною таємницею можуть бути визнані будь-які розробки (пристрої, математичні моделі, методи і т. п.), які не є загальновідомими і використання яких в комерційних цілях дає переваги в порівнянні з тими конкурентами, яким невідомі ці розробки. Будь-яка комп'ютерна програма може бути визнана професійною таємницею. Основна вимога, що пред'являється американським законодавством до професійних таємниць, — не бути загальновідомими. Якщо ж професійна таємниця, що охороняється законом, яким-небудь чином стала загальновідомою, то охоронна дія законів на цю таємницю припиняється. Тому розробник програм повинен тримати у секреті всю ту інформацію, по якій може бути розкрито зміст програми. Закони про професійну таємницю в кожному штаті свої, єдиного федерального закону немає.

З середини шестидесятих років на програмне забезпечення була поширена дія законів про авторські права. Закон про авторське право є федеральним, тобто єдиним для всіх штатів США.

Щоб комп'ютерна програма була прийнята під захист закону про авторські права, необхідно зареєструвати її в Агентстві з авторських прав, для чого повинна бути представлена копія реєстрованої програми. Копія програми або її опис повинні бути представлені також в бібліотеку Конгресу США для загального користування. Після реєстрації всі копії програми, виготовлені будь-яким шляхом, вважаються копіями з авторського екземпляра. Такий спосіб захисту програми вважається вельми простим, оскільки досить просто встановити факт несанкціонованого використання захищених програм. Проте авторське право захищає лише конкретну реалізацію програми. Якщо яка-небудь фірма розробить свою версію, навіть повністю побудовану на цілях і принципах захищеної програми, то це не вважається порушенням авторського права. Більш того, така програма може бути узята під захист закону про авторські права.

Комп'ютерні програми також можуть бути узяті під захист законів про патентне право. Проте такий захист зв'язаний з великими процедурними складнощами. Закони про патентний захист є федеральними, а регулювання професійної таємниці здійснюється законодавством штатів. Для отримання патенту необхідний детальний опис програми, а публікація такого опису автоматично припиняє захист її законами про професійну таємницю. Найбільш раціональною формою комбінованого захисту вважається наступна: основні ідеї і принципи побудови програмних систем патентуються, а їх конкретна програмна реалізація захищається законами про професійну таємницю.

Законопроекти про захист програм розробляються також в Японії; ініціатором їх виступає міністерство зовнішньої торгівлі і промисловості. На відміну від США, в проектах цих законів передбачається захист програм промисловим, а не авторським правом.

Останніми роками в Росії інтенсивно розвиваються мережі передачі даних, призначені для обміну конфіденційною інформацією між абонентами корпоративних (приватних) мереж. З появою поняття "комерційна таємниця" необхідність в закритому зв'язку стала однією з важливих умов ефективної роботи комерційних структур. Основними нормативними актами, що регламентують питання закритого зв'язку, є Закон Російської Федерації (РФ) "Про державну таємницю" і Указ Президента РФ від 30 березня 1994 р. № 614 "Питання захисту державної таємниці".

Відповідно до цих документів Гостехкоміссия Росії і Федеральне агентство урядового зв'язку і інформації при президенті РФ (ФАПСІ) сумісним рішенням від 27 квітня 1994 р. затвердили і ввели в дію Положення про державне ліцензування діяльності у області захисту інформації. Крім того, Держстандарт РФ 15 листопада 1993 р. зареєстрував Систему сертифікації засобів криптографічного захисту інформації (РОС RU.0001.030001). Ліцензуванню підлягає діяльність по розробці і виробництву засобів для криптографічного захисту інформації, а також комплексів телекомунікацій, що містять такі засоби. Крім того, ліцензіюється експлуатація вказаних засобів недержавними підприємствами. Ліцензування діяльності і сертифікація продуктів у області криптографії покладені на ФАПСІ. Підприємство або організація, що претендує на проведення діяльності по захисту інформації, повинні одержати ліцензію ФАПСІ. Федеральне агентство формує вимоги по безпеці до засобів захисту інформації. Обов'язковим вважається застосування криптографічних алгоритмів, затверджених Урядом РФ або ФАПСІ як державні або галузеві стандарти РФ. В даний час в Російській Федерації діють два криптографічні стандарти: на шифрування (ГОСТ 28147—89) і на електронний підпис, введений на початку 1994 р. Алгоритми захисту, що рекомендуються цими стандартами, пройшли багаторічний аналіз у ФАПСІ.

Перехід до регульованого ринку програмних і апаратних засобів захисту інформації зустрічає серйозні утруднення. Належить вирішити, яким фірмам і на підставі яких критеріїв слід видавати ліцензії на виробництво засобів захисту інформації, хто нестиме відповідальність за надійність засобів і безпеку зв'язки і ін. Передбачається, що під тиском різко збільшеного ринку засобів захисту інформації Федеральне агентство урядового зв'язку і інформації Росії видаватиме ліцензії на діяльність і сертифікати на устаткування ряду незалежних фірм, що мають великий досвід роботи і що володіють науковим потенціалом в даній області. Криптографічні продукти, створені на базі нестандартних алгоритмів, навряд чи будуть сертифіковані. Аналіз кожного алгоритму вимагає тривалого часу і величезних матеріальних витрат. Не передбачається сертифікувати і криптографічні продукти, реалізовані на базі стандартів інших країн.

В умовах ринку і технологій зберігання, обробки і передачі інформації, що бурхливо розвиваються, в Росії розгортається програма створення Федеральної інформаційної телекомунікаційної системи спеціального призначення, призначеної для інформаційного забезпечення управління в масштабі держави і створення сучасної інформаційної інфраструктури, сприяючої розвитку ринкових відносин. Загальна кількість користувачів системи на першому етапі досягне 1 млн. абонентів.


Читайте також:

  1. Аварійно-рятувальні підрозділи Оперативно-рятувальної служби цивільного захисту, їх призначення і склад.
  2. Авілум – “син чоловіка” – повноправна людина, охороні його життя, здоров’я, захисту його майнових інтересів присвячена значна частина законника.
  3. Автоматизація водорозподілу на відкритих зрошувальних системах. Методи керування водорозподілом. Вимірювання рівня води. Вимірювання витрати.
  4. Адміністративно-правовий спосіб захисту прав
  5. Адміністративно-правовий спосіб захисту прав
  6. Акустичні засоби|кошти| захисту
  7. Алфавітний підхід до вимірювання кількості інформації.
  8. Аналіз зовнішньої інформації
  9. Аналіз інформації та постановка задачі дослідження
  10. Аналіз та інтерпретація інформації
  11. Аналіз та компонування інформації для проекту
  12. Аналіз та узагальнення отриманої інформації.




Переглядів: 746

<== попередня сторінка | наступна сторінка ==>
ЗАХИСТ ОПЕРАЦІЙНИХ СИСТЕМ | ЕФЕКТИВНІСТЬ СИСТЕМ ЕЛЕКТРОЗВ'ЯЗКУ

Не знайшли потрібну інформацію? Скористайтесь пошуком google:

  

© studopedia.com.ua При використанні або копіюванні матеріалів пряме посилання на сайт обов'язкове.


Генерація сторінки за: 0.011 сек.