Студопедия
Новини освіти і науки:
МАРК РЕГНЕРУС ДОСЛІДЖЕННЯ: Наскільки відрізняються діти, які виросли в одностатевих союзах


РЕЗОЛЮЦІЯ: Громадського обговорення навчальної програми статевого виховання


ЧОМУ ФОНД ОЛЕНИ ПІНЧУК І МОЗ УКРАЇНИ ПРОПАГУЮТЬ "СЕКСУАЛЬНІ УРОКИ"


ЕКЗИСТЕНЦІЙНО-ПСИХОЛОГІЧНІ ОСНОВИ ПОРУШЕННЯ СТАТЕВОЇ ІДЕНТИЧНОСТІ ПІДЛІТКІВ


Батьківський, громадянський рух в Україні закликає МОН зупинити тотальну сексуалізацію дітей і підлітків


Відкрите звернення Міністру освіти й науки України - Гриневич Лілії Михайлівні


Представництво українського жіноцтва в ООН: низький рівень культури спілкування в соціальних мережах


Гендерна антидискримінаційна експертиза може зробити нас моральними рабами


ЛІВИЙ МАРКСИЗМ У НОВИХ ПІДРУЧНИКАХ ДЛЯ ШКОЛЯРІВ


ВІДКРИТА ЗАЯВА на підтримку позиції Ганни Турчинової та права кожної людини на свободу думки, світогляду та вираження поглядів



Основні категорії, ключові поняття та визначення теми.

Авторизація – управління рівнями та засобами доступу суб'єкта авторизації до об'єкта, захищеного авторизацією, та ресурсів системи залежно від ідентифікатора і пароля користувача або надання певних повноважень (особі, програмі) на виконання деяких дій у системі обробки даних.

Аутентифікація – перевірка ідентифікатора користувача перед допуском його до ресурсів системи.

Безпека ІС – здатність ІС протидіяти спробам нанести збитки власникам та користувачам системи при появі різноманітних збурюючих (навмисних і ненавмисних) впливів на неї.

Загроза безпеки ІС – потенційні дії або події, які можуть прямо чи опосередковано принести втрати – привести до розладу, спотворення чи несанкціонованого використання ресурсів ІС, включаючи інформацію, що зберігається, передається або обробляється, а також програмні та апаратні засоби.

Захист інформації – сукупність організаційно-технічних заходів і правових норм для запобігання заподіянню шкоди інтересам власника інформації або автоматизованої системи та осіб, які користуються інформацією.

Ідентифікація – процедура розпізнавання користувача в системі, як правило, за допомогою наперед визначеного імені (ідентифікатора) або іншої апріорної інформації про нього, яка сприймається системою.

Комп'ютерна етика ("інформаційна етика", "кіберетика") – сукупність типових для користувачів комп'ютерів цінностей, норм, точок зору та ідей, які свідомо формують зразок їх поведінки.

Комп'ютерний вірус – комп'ютерна програма, здатна без відома користувача і всупереч його бажанню самовільно розмножуватися і поширюватися, порушуючи працездатність програмного забезпечення комп'ютера.

Хакер – користувач обчислювальної системи (частіше мережі), який займається пошуком незаконних способів одержання несанкціонованого (самовільного) доступу до засобів комп'ютерної техніки і даним у сукупності з їх неправомірним використанням у корисливих цілях.

Цифровий підпис – сукупність даних, отримана за допомогою криптографічного перетворення вмісту електронного документа, яка дає змогу підтвердити його цілісність та ідентифікувати особу, яка його підписала.

 

15.4. Текст лекції.

Згідно закону України "Про інформацію" (ст. 28) інформація поділяється на відкриту та інформацію з обмеженим доступом. Інформація з обмеженим доступом, у свою чергу, за своїм правовим режимом поділяється на конфіденційну і таємну.

Конфіденційна інформація - це відомості, які знаходяться у володінні, користуванні або розпорядженні окремих фізичних або юридичних осіб і поширюються за їх бажанням відповідно до передбачених ними умов.

Громадяни, юридичні особи, які володіють інформацією професійного, ділового, виробничого, банківського, комерційного та іншого характеру, одержаною за власні кошти, або такою, яка є предметом їх професійного, ділового, виробничого, банківського, комерційного та іншого інтересу і не порушує передбаченої законом таємниці, самостійно визначають режим доступу до неї, включаючи належність її до категорії конфіденційної, та встановлюють для неї систему (способи) захисту. Виняток становить інформація комерційного та банківського характеру, інформація, правовий режим якої встановлено Верховною Радою України за поданням Кабінету Міністрів України (з питань статистики, екології, банківських операцій, податків тощо), та інформація, приховування якої являє загрозу життю і здоров'ю людей.

До таємної інформації належить інформація, що містить відомості, які становлять державну та іншу передбачену законом таємницю, розголошення якої завдає шкоди особі, суспільству і державі.

Державна таємниця - це вид таємної інформації, що охоплює відомості у сфері оборони, економіки, науки і техніки, зовнішніх відносин, державної безпеки та охорони правопорядку, розголошення яких може завдати шкоди національній безпеці України та які визнані державною таємницею і підлягають охороні державою.

Спеціально уповноваженим органом державної влади у сфері забезпечення охорони державної таємниці є Департамент спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України.

Комерційна таємниця підприємства – відомості, пов'язані з виробництвом, технологічною інформацією, управлінням, фінансами та іншою діяльністю підприємства, що не є державною таємницею, розголошення (передача, витік) яких може завдати шкоди його інтересам (Закон України "Про підприємства в Україні").

В загальному випадку комерційною таємницею можуть бути такі відомості:

- відомості про виробничі можливості підприємства;

- відомості про використовувані і перспективні технології;

- плани розвитку підприємства;

- оригінальні методи вивчення ринку збуту;

- результати маркетингових досліджень;

- ринкова стратегія;

- дані про перспективні проекти та угоди, бізнес-плани;

- дані про використовувані ноу-хау.

В 1985 р. Національним центром комп’ютерної безпеки Міністерства оборони США опублікована, так звана «Оранжева книга» («Критерії оцінки достовірності обчислювальних систем Міністерства оборони»). В ній були приведені основні положення, за якими американське відомство оборони визначало ступінь захищеності інформаційно-обчислювальних систем. В ній у систематизованому вигляді наводились основні поняття, рекомендації і класифікація видів загроз безпеці ІС і методи захисту від них. В подальшому книга перетворилась в збірку науково обґрунтованих норм і правил, що описують системний підхід для забезпечення безпеки ІС і їх елементів, і стала настільною книгою для спеціалістів в галузі захисту інформації. Запропонована в «Оранжевій книзі» методологія по суті стала загальноприйнятою і в тій чи іншій мірі увійшла в національні стандарти.

Під безпекою ІС розуміють її здатність протидіяти спробам нанести збитки власникам та користувачам системи при появі різноманітних збурюючих (навмисних і ненавмисних) впливів на неї.

Загроза безпеки ІС – потенційні дії або події, які можуть прямо чи опосередковано принести втрати – привести до розладу, спотворення чи несанкціонованого використання ресурсів ІС, включаючи інформацію, що зберігається, передається або обробляється, а також програмні та апаратні засоби.

Основні джерела загроз безпеки ІС поділяються на:

1. Випадкові - виникають через помилки в діяльності персоналу, збої обладнання або стихійні лиха (близько 70%).

2. Навмисні - виникають через задумані заборонені дії людей, спрямовані на несанкціонований доступ до інформації, що зберігається в ІС (близько 30%):

Канали розповсюдження загроз безпеки ІС:

1. Зовнішній канал (12%) – безпосередня діяльність недобросовісних конкурентів або злочинних елементів, дії яких можуть бути спрямовані на:

- одержання інформації за допомогою підслуховуючих пристроїв;

- викрадення, копіювання, пошкодження або знищення документів та інших носіїв інформації, що містять комерційну таємницю;

- одержання інформації у процесі її проходження через комунікаційні мережі;

- підкуп, шантаж співробітників підприємства з метою одержання інформації, яка містить комерційну таємницю;

- переманювання провідних спеціалістів на конкуруюче підприємство.

2. Внутрішній канал (88%) – пов'язаний з непорядністю окремих співробітників підприємства, незадоволених платнею або відносинами з керівництвом, або веденням ними службових розмов у невідповідних місцях. Вони можуть видати комерційну таємницю конкурентам або знищити важливу інформацію.

Види загроз безпеки ІС:

1. Загроза конфіденційності - перехоплення інформації.

2. Загроза цілісності - викривлення або руйнування інформації.

3. Загроза доступності - блокування доступу до інформації.

Способи реалізації загроз безпеки ІС:

1. Пасивний спосіб - без порушення цілісності ІС та якогось впливу на її елементи.

2. Активний спосіб - відбувається контакт джерела загроз з елементами ІС.

Захист інформації – сукупність організаційно-технічних заходів і правових норм для запобігання заподіянню шкоди інтересам власника інформації або автоматизованої системи та осіб, які користуються інформацією.

Методи захисту інформації:

1. Організаційні методи – регулювання доступу до всіх ресурсів ІС (технічних, програмних, елементів баз даних).

Порядок надання доступу до ІС:

1. Ідентифікація – процедура розпізнавання користувача в системі, як правило, за допомогою наперед визначеного імені (ідентифікатора) або іншої апріорної інформації про нього, яка сприймається системою.

2. Аутентифікація – перевірка ідентифікатора користувача перед допуском його до ресурсів системи.

3. Авторизація – управління рівнями та засобами доступу суб'єкта авторизації до об'єкта, захищеного авторизацією, та ресурсів системи залежно від ідентифікатора і пароля користувача або надання певних повноважень (особі, програмі) на виконання деяких дій у системі обробки даних.

2. Законодавчі методи – розробка нормативних актів, якими регламентуються правила використання та обробки інформації обмеженого доступу і встановлюється міра відповідальності за їх порушення.

3. Фізичні методи – створення фізичних перешкод на можливих шляхах проникнення і доступу потенційних порушників до захищеної інформації: охорона, сигналізація, створення екранованих приміщень для захисту від витікання інформації по каналам випромінювання, перевірка апаратури, що поставляється, на відповідність її специфікаціям та відсутність апаратних „жучків".

4. Програмні методи – використання програм криптографічного перетворення (шифрування) та програм захисту юридичної значимості документів (цифровий підпис).

Криптографічний захист інформації – вид захисту інформації, що реалізується за допомогою перетворень інформації з використанням спеціальних даних (ключових даних) з метою приховування (або відновлення) змісту інформації, підтвердження її справжності, цілісності, авторства тощо.

З 1 січня 2004 р. набули чинності два закони України: "Про електронний цифровий підпис" і "Про електронні документи, електронний документообіг". Тим самим законодавче запроваджено правові норми захисту інформації і використання засобів безпеки в комп'ютерних мережах.

Цифровий підпис (Digital Signature) – сукупність даних, отримана за допомогою криптографічного перетворення вмісту електронного документа, яка дає змогу підтвердити його цілісність та ідентифікувати особу, яка його підписала. Цифровий підпис дає змогу встановити автентичність людини, яка підписала документ, а також час відправлення і цілісність, тобто перевірити, чи не був змінений текст документа під час його пересилання.

Концепція аутентифікації на основі цифрового підпису полягає у тому, що кожний користувач мережі має свій секретний ключ, необхідний для формування підпису, та відкритий ключ, відповідний цьому секретному ключу, призначений для перевірки підпису, відомий всім іншим користувачам мережі. Основна галузь застосування цифрового підпису – це інформаційні системи, в яких відсутня взаємна довіра сторін (фінансові системи, системи контролю за дотримуванням міжнародних договорів, наприклад, договору про контроль за ядерними випробуваннями і т.д.).

Комп'ютерна етика ("інформаційна етика", "кіберетика") – сукупність типових для користувачів комп'ютерів цінностей, норм, точок зору та ідей, які свідомо формують зразок їх поведінки (з'явилася на рубежі 70-х - 80-х рр. 20 сторіччя).

Комп'ютерна етика являє собою область міждисциплінарного дослідження і включає розгляд технічних, моральних, юридичних, соціальних, політичних і філософських питань.

Проблеми комп'ютерної етики умовно можна розділити на кілька класів:

1) розробка моральних кодексів для комп'ютерних професіоналів і простих користувачів, чия робота пов'язана з використанням комп'ютерної техніки;

2) захист прав власності, авторських прав, права на особисте життя і свободу слова стосовно до області інформаційних технологій;

3) комп'ютерні злочини, визначення статусу, тобто, переважно правові проблеми.

Найбільш яскраве своє втілення комп'ютерна етика одержала в області розробки моральних кодексів. Досить показове відношення до розглянутої проблеми в США, де перший кодекс комп'ютерної етики був розроблений в 1979 році. Прийняття кодексу було продиктовано розумінням того, що інженери, учені й технологи результатами своєї діяльності визначають якість і умови життя всіх людей в інформаційному суспільстві. Тому в преамбулі кодексу підкреслюється життєво важлива необхідність дотримання всіх норм етики при розробці й експлуатації засобів інформаційних технологій. Згодом були розроблені й прийняті кодекси в багатьох інших організаціях США, зв'язаних зі сферою інформаційних технологій, таких як "Асоціація розроблювачів комп'ютерних технологій" (ACM), "Асоціація менеджерів інформаційних технологій" (DPMA), "Асоціація користувачів інформаційних технологій у США" (ІTAA), "Асоціація сертифікованих комп'ютерних професіоналів" (ІCCP).

На основі етичних стандартів, що використовуються у кодексах, "Міжнародна федерація з інформаційних технологій" (ІFІ) рекомендувала прийняти кодекси комп'ютерної етики національним організаціям інших країн з урахуванням місцевих культурних і етичних традицій. Зміст окремих кодексів відрізняється друг від друга, але в їх основі лежить деякий інваріантний набір моральних установок, які умовно можуть бути зведені до наступних:

1) не використовувати комп'ютер з метою нашкодити іншим людям;

2) не створювати перешкод і не втручатися в роботу інших користувачів комп'ютерних мереж;

3) не користуватися файлами, не призначеними для вільного використання;

4) не використовувати комп'ютер для шахрайства;

5) не використовувати комп'ютер для розповсюдження помилкової інформації;

6) не використовувати крадене програмне забезпечення;

7) не привласнювати чужу інтелектуальну власність;

8) не використовувати комп'ютерне обладнання або мережеві ресурси без дозволу або відповідної компенсації;

9) думати про можливі суспільні наслідки програм, які Ви пишете, або систем, які Ви розробляєте;

10) використовувати комп'ютер із самообмеженнями, які показують Вашу люб'язність і повагу до інших людей.

Принципи комп'ютерної етики:

1) таємниця приватного життя (prіvacy) - право людини на автономію і свободу в приватному житті, право на захист від вторгнення в неї органів влади та інших людей;

2) точність (accuracy) - точне виконання інструкцій з експлуатації систем і обробки інформації, чесне і соціально-відповідальне відношення до своїх обов'язків;

3) приватна власність (property) - дотримання права власності на інформацію і норм авторського права;

4) доступність (accessіbіlіty) - право громадян на доступність інформації у будь-який час і в будь-якому місці.

У рамках комп'ютерної етики виділяється особлива область, яка називається "хакерською етикою", підставу якої заклали хакери – піонери, що стояли у джерел сучасних інформаційних технологій. А з розвитком мережі Інтернет у побут входить і поняття "мережевої етики" або "нетикета" (похідне від net - мережа і etіquette - етикет), що позначає сукупність правил, які склалися серед користувачів глобальної мережі.

Масове розповсюдження IBM PC призвело до різкого збільшення людей, які активно займались програмуванням на комп'ютері. З'явились люди, які почали відчувати майже патологічну потребу у комп'ютері. Постійна робота з машиною накладала певний відбиток навіть на лексикон і мислення програмістів-фанатів. У розмовній мові для них стали використовувати термін "хакер" (Hack – рубати, кромсати). Перші хакери і сам феномен хакерства, як певного способу життя і поводження, з'явилися в США в 60-ті рр. 20 ст. у стінах Масачусетського технологічного інституту. Спочатку хакером називали комп'ютерного фанатика, захопленого програмуванням і проблемами комп'ютерних технологій. У 1980-ті роки з появою персональних комп'ютерів та мереж даних даний термін набув негативного відтінку: хакерами почали називати користувачів обчислювальної системи (частіше мережі), які займаються пошуком незаконних способів одержання несанкціонованого (самовільного) доступу до засобів комп'ютерної техніки і даним у сукупності з їх неправомірним використанням у корисливих цілях.

Найнебезпечніші хакери – розробники комп'ютерних вірусів. Комп'ютерні віруси – один з різновидів комп'ютерного вандалізму, який одержав розповсюдження наприкінці 80-х років 20 ст. Історично їх поява пов'язана з ідеєю створення самовідтворюваних програм, яка досліджувалась ще Нейманом, який у 1951 р. запропонував метод створення таких механізмів.

Комп'ютерний вірус – комп'ютерна програма, здатна без відома користувача і всупереч його бажанню самовільно розмножуватися і поширюватися, порушуючи працездатність програмного забезпечення комп'ютера.

Дефекти, викликані вірусами:

- відмова у виконанні тієї чи іншої функції (блокування завантаження програми);

- виконання дій, не передбачених програмою;

- руйнування окремих файлів або всієї файлової системи;

- видача неправдивих або відволікаючих повідомлень;

- створення звукових або візуальних ефектів;

- ініціювання помилок або збоїв у програмі або операційній системі, її перезавантаження або "зависання".

Ознаки зараження вірусом:

- збільшення обсягу використовуваної пам'яті;

- уповільнення роботи комп'ютера;

- затримки при виконанні програм;

- непояснені зміни у виконуваних та інших файлах;

- змінення дати модифікації файлів без очевидної причини;

- непояснимі помилки типу заборони запису (write-protection);

- помилки завантаження Windows або інсталяції програм;

- неможливість збереження інформації.

Ранні ознаки зараження складно виявити, але коли вірус переходить в активну фазу, можна помітити такі зміни:

- зникнення файлів;

- неможливість завантаження комп'ютера;

- зміна інформації;

- неможливість завантаження або виконання деяких файлів;

- незрозумілі системні повідомлення, музичні ефекти тощо.

Збитки можуть мати катастрофічні наслідки – знищення інформації на вінчестері або дрібні ушкодження даних, що важко виявляються, які часто бувають більш небезпечні, ніж масоване руйнування даних.

У ряді заходів по захисту від вірусів має бути:

- оновлення антивірусних засобів;

- централізоване розповсюдження серед працівників інформації про віруси;

- максимально поліпшений доступ до антивірусних засобів серед співробітників;

- регулярні перевірки з метою з'ясування, наскільки послідовно проводяться антивірусні заходи і як виконуються необхідні процедури.

Комп'ютеризація суспільства призвела до появи нового, раніше невідомого різновиду злочинності, пов'язаного з крадіжкою, перекрученням або знищенням комп'ютерної інформації.

Тільки за останні роки кримінальне законодавство доповнено рядом норм, якими передбачена кримінальна відповідальність за злочини, раніше невідомі чинному законодавству. До їх числа відносяться і так звані "злочини в сфері комп'ютерної інформації".

Уперше термін "злочин в сфері комп'ютерної інформації" з'явився в 70-ті роки 20 ст., коли помітно зросло число кваліфікованих фахівців в області електронно-обчислювальної техніки, здатних "проникнути" в комп'ютерні системи і здійснити необхідні маніпуляції з даними і засобами програмування.

Загальноприйнятого визначення злочину в сфері комп'ютерної інформації в українському законодавстві доки не існує. Частіше всього воно трактується як злочин, об'єктом посягання якого є саме технічні засоби (комп'ютери і периферія), - як матеріальні об'єкти, так і програмне забезпечення і бази даних.

Є пропозиції під визначенням комп'ютерної злочинності розуміти всі злочинні дії, при вчиненні яких комп'ютер є їх знаряддям або метою.

Злочини в сфері комп'ютерної інформації умовно можна поділити на три основних види:

- майнові злочини (комп'ютерне шахрайство, комп'ютерний саботаж);

- злочини проти прав особистості, і, передусім, приватних осіб (несанкціоноване копіювання, втручання і перехоплення);

- злочини проти суспільних і соціальних правових цінностей (заміна або пошкодження інформації; злочини, пов'язані з комп'ютерами). Небезпечність злочинів цього виду надзвичайно значна. Вона у багато разів збільшується, коли злочинці отримують доступ до автоматизованих банків даних системи оборони, атомної енергетики.

З метою одноманітного підходу до визначення злочинів в сфері комп'ютерної інформації, відповідно до рекомендацій Комітету з питань законодавства Ради Європи, Генеральним секретаріатом Інтерполу розроблена класифікація комп'ютерної злочинності. Вона рекомендована країнам-членам Інтерполу (в тому числі і Україні) в якості типової.

Всі злочини в сфері комп'ютерної інформації Інтерполом поділені на шість груп:

- "Втручання і перехоплення";

- "Заміна або пошкодження інформації";

- "Комп'ютерне шахрайство";

- "Несанкціоноване копіювання";

- "Комп'ютерний саботаж";

- "Злочини, пов'язані з комп'ютерами".

Різні держави мають неоднакові національні системи законодавчих актів, якими передбачаються заходи юридичної охорони цієї сфери, в тому числі і кримінально-правові.

Так, в Португалії закон про комп'ютерні злочини діє з 1982 р., в США - з 1984 р., в Данії і Канаді - з 1985 р. У Германії законом, прийнятим в 1986 р., був введений ряд статей, які містили спеціально сформульовані склади злочинів в сфері комп'ютерної інформації. У Англії з серпня 1990 р. набрав чинності "Закон про зловживання комп'ютерами".

У ряді країн відповідальність за дані злочини настає за традиційними нормами чинного кримінального законодавства (крадіжка, шахрайство, порушення таємниці листування та ін.).

Спроба криміналізації діянь, пов'язаних із зловживаннями комп'ютерами, була прийнята в Україні в 1994 р., коли в липні був прийнятий Закон "Про захист інформації в автоматизованих системах". У цьому законі були зазначені основні терміни "автоматизована система", "інформація в АС", "захист інформації", "несанкціонований доступ", "просочування інформації" та ін. Визначено, що об'єктами захисту є інформація, яка міститься в автоматизованих системах, власник цієї інформації. У певній мірі врегульовані стосунки, які виникають під час обробки інформації. У третьому і четвертому розділах закону зафіксовані загальні вимоги до організації та заходів захисту інформації.

Відповідно до 5 розділу документу в жовтні 1994 р. Верховною Радою був прийнятий закон, який доповнив Кримінальний кодекс ст. 198-1, що встановила відповідальність за порушення автоматизованих систем.


Читайте також:

  1. I визначення впливу окремих факторів
  2. II. Визначення мети запровадження конкретної ВЕЗ з ураху­ванням її виду.
  3. II. Мотивація навчальної діяльності. Визначення теми і мети уроку
  4. II. Основні закономірності ходу і розгалуження судин великого і малого кіл кровообігу
  5. II. Поняття соціального процесу.
  6. Ocнoвнi визначення здоров'я
  7. V. Поняття та ознаки (характеристики) злочинності
  8. А/. Поняття про судовий процес.
  9. Адвокатура в Україні: основні завдання і функції
  10. Адміністративний проступок: поняття, ознаки, види.
  11. Адміністративні провадження: поняття, класифікація, стадії
  12. Акти застосування юридичних норм: поняття, ознаки, види.




Переглядів: 841

<== попередня сторінка | наступна сторінка ==>
Мета та завдання лекції. | ЛЕКЦІЯ № 1

Не знайшли потрібну інформацію? Скористайтесь пошуком google:

  

© studopedia.com.ua При використанні або копіюванні матеріалів пряме посилання на сайт обов'язкове.


Генерація сторінки за: 0.015 сек.