УкраїнськЕ законодавство в галузі інформаційної безпеки
Відповідно до ст. 41 “Конституції” інформація є предметом державної охорони, яка забезпечується Законом України “Про інформацію”, Законом України “Про захист інформації в автоматизованих системах” та ст. 361-363 Кримінального Кодексу України. Крім цих документів до нормативно-правової бази, яка регулює інформаційні правовідносини, належать наведені нижче положення та інструкції.
“Положення про технічний захист в Україні”затверджено постановою Кабінету Міністрів України від 09.09.94 р. № 632.
Положення визначає об’єкт захисту та мету технічного захисту інформації (ТЗІ), структуру та основні завдання складових частин системи ТЗІ, порядок та організацію комплексного технічного захисту інформації з обмеженим доступом на об’єктах різного призначення і організацію контролю за ефективністю ТЗІ.
Постанова Кабінету Міністрів України від 13.01.95 р. № 24 “Про заходи щодо виконання постанови Верховної Ради України від05.07.94 р. №80”, “Про введення в дію Закону України “Про захист інформації в автоматизованих системах”та статті34Закону України“Про Державну таємницю”.
“Положення про порядок видачі суб’єктам підприємницької діяльності спеціальних дозволів (ліцензій) на здійснення окремих видів діяльності” затверджено постановою Кабінету Міністрів України від 17.05.94 р. № 316.
Положення визначає види діяльності, на які передбачено законодавчими актами України видачу спеціальних дозволів (ліцензій), в тому числі виробництво та сервісне обслуговування систем і засобів виконання робіт, надання послуг, що забезпечують технічний захист інформації. Положення також визначає умови і правила одержання ліцензій.
“Інструкція щодо умов і правил здійснення діяльності у галузі технічного захисту інформації та контролю за її дотриманням”затверджена наказом ДСТСЗІ від 26.05.94 р. №46, зареєстровано в Мінюсті України 01.06.94 р. №120\329.
Інструкція визначає умови і правила здійснення діяльності у галузі ТЗІ з виробництва та сервісного обслуговування систем і засобів, виконання робіт, надання послуг, що забезпечують технічний захист інформації.
“Положення про порядок опрацювання, прийняття, перегляду та скасування міжвідомчих нормативних документів системи технічного перегляду та скасування міжвідомчих нормативних документів системи технічного захисту інформації”затверджено наказом ДСТСЗІ від 01.07.96 р. № 44, зареєстровано в Мінюсті України 18.07.96 р. № 366\1391.
Положення визначає порядок розроблення, погодження, затвердження, реєстрацію та виконання нових, перегляду та скасування чинних міжвідомчих нормативних документів технічного характеру (норми, методики, положення, інструкції тощо) системи технічного захисту інформації, що не належать до нормативних документів із стандартизації, але є обов’язковими для виконання всіма центральними місцевими органами виконавчої влади, Урядом Автономної Республіки Крим, органами місцевого самоврядування, військовими частинами всіх військових формувань, створених відповідно до законодавства, підприємствами, установами й організаціями незалежно від форм власності, діяльність яких пов’язана з технічним захистом інформації.
До загальнодержавних нормативних актів з питань захисту інформації відносяться такі стандарти.
Державний стандарт України. ДСТУ 3396.0-96. Захист інформації. Технічний захист інформації. Основні поняття. Затверджено наказом Держстандарту України від 11.10.96 р. № 423, введено в дію 01.01.97 р.
Стандарт установлює об’єкт захисту, мету, основні організаційно-технічні поняття технічного захисту інформації (ТЗІ), неправомірний доступ до якої може завдати шкоди громадянам, організаціям (юридичним особам) та державі, а також етапи побудови системи захисту інформації та категорії нормативних документів з ТЗІ.
Вимоги стандарту обов’язкові для підприємств та установ усіх форм власності та підпорядкування, громадян – суб’єктів підприємницької діяльності, органів державної влади, органів місцевого самоврядування, військових частин всіх формувань, представництв України за кордоном, які володіють, користуються та розпоряджаються інформацією, що підлягає технічному захисту.
Державний стандарт України. ДСТУ 3396.1-96.Захист інформації. Технічний захист інформації. Порядок проведення робіт.Затверджено наказом Держстандарту України від 19.12.96 р. № 51, введено в дію 01.01.97 р.
Цей стандарт установлює вимоги до порядку проведення робіт з технічного захисту інформації, який за наказом керівника підприємства передбачає:
організацію проведення обстеження;
організацію розроблення системи захисту інформації;
реалізацію організаційних заходів захисту;
реалізацію первинних технічних заходів захисту;
реалізацію основних технічних заходів захисту;
прийняття, визначення повноти та якості робіт.
Для участі в роботах, надання методичної допомоги, оцінювання повноти та якості реалізації заходів захисту можуть залучатися спеціалісти з ТЗІ сторонніх організацій, які мають ліцензію органу, уповноваженого Кабінетом Міністрів України.
Державний стандарт України. ДСТУ 3396.2-97. Захист інформації. Технічний захист інформації. Терміни та визначення.Затверджено наказом Держстандарту України від 11.04.97 р. № 200, введено в дію 01.01.98 р.
Цей стандарт установлює терміни та визначення понять у сфері технічного захисту інформації.
Терміни, регламентовані у цьому стандарті, обов’язкові для використання в усіх видах організаційної та нормативної документації, а також для робіт зі стандартизації і рекомендовані для використання у довідковій та навчально-методичній літературі, що належить до сфери технічного захисту інформації.
Терміни стандарту є обов’язковими для використання підприємствами та установами усіх форм власності і підпорядкування, громадянами – суб’єктами підприємницької діяльності, міністерствами (відомствами), центральними і місцевими органами державної виконавчої влади, військовими частинами всіх військових формувань, представництвами України за кордоном, які володіють, використовують та розпоряджаються інформацією, що становить державну чи іншу передбачену законом таємницю або є конфіденційною інформацією, яка належить державі.
Державний стандарт України. ДСТУ 1.3-93. Порядок розроблення, побудови, оформлення, узгодження, затвердження, позначення та реєстрації технічних умов. Затверджено та введено в дію наказом Держстандарту України від 29.07.93 р. № 116.
Стандарт установлює порядок розроблення, побудови, викладу, оформлення, узгодження, затвердження, позначання та державної реєстрації технічних умов на продукцію (послуги), що виготовляються в усіх галузях народного господарства України, крім розроблюваної та виготовленої на замовлення Міністерства оборони, а також змін до них.
Вимоги цього стандарту є обов’язковими для підприємств, установ і організацій, що діють на території України, а також для громадян – суб’єктів підприємницької діяльності незалежно від форм власності і видів діяльності.
Державні будівельні норми України. ДБН А.2.2-2-96. Проектування. Технічний захист інформації. Загальні вимоги до організації проектування та документації для будівництва. Затверджено наказом Держкоммістобудування України від 02.09.96 р. № 156 і введено в дію 01.01.97 р.
Стандарт установлює норми та вимоги до організації проектування, проектної документації для нового будівництва, розширення, реконструкції підприємств та капітального ремонту будівель і споруд об’єктів, де є необхідність проведення робіт з ТЗІ. Заходи з ТЗІ можуть виконуватися організаціями, які мають відповідні ліцензії Держкоммістобудування України або іншими організаціями, які мають ліцензії Держкомсекретів України відповідно до завдання замовника. Положення норм обов’язкові для застосування суб’єктами інвестиційної діяльності України та представництвами України за кордоном при виконанні проектних та будівельних робіт з урахуванням вимог технічного захисту інформації, які містять відомості, що становлять державну або іншу передбачену законодавством України таємницю, а також конфіденційну інформацію, що є державною власністю.
Норми можуть бути використані суб’єктами, професійна діяльність яких пов’язана з захистом конфіденційної інформації, що не є власністю держави.
Цілу низку нормативних документів підготовлено Департаментом спеціальних телекомунікаційних систем і захисту інформації (ДСТСЗІ) Служби безпеки України, який у 2007 році перетворено у Державну службу спеціального зв’язку і захисту інформації.
Нормативний документ системи ТЗІ. ТРЕОТ-95. “Тимчасові рекомендації з технічного захисту інформації у засобах обчислювальної техніки, автоматизованих системах і мережах від витоку каналами побічних електромагнітних випромінювань і наводок”затверджено наказом ДСТСЗІ від 09.06.96 р. № 25.
Нормативний документ системи ТЗІ. ТРАС-96. “Тимчасові рекомендації щодо розроблення розділу із захисту інформації в технічному завданні на створення автоматизованої системи” затверджено наказом ДСТСЗІ від 03.07.96 р. № 47.
Нормативний документ системи ТЗІ. НД ТЗІ 1.6-001-96. “Правила побудови, викладення, оформлення та позначення нормативних документів системи ТЗІ” затверджено наказом ДСТСЗІ від 26.07.96 р. № 51.
Нормативний документ системи ТЗІ. “Інструкція про порядок надання дозволу на використання імпортних засобів ТЗІ а також продукції, яка містить їх у своєму складі”затверджено наказом ДСТСЗІ від 31.05.95 р. № 13 і зареєстровано в Мінюсті України 12.07.95 р. № 215\751.
- Поняття інформаційної безпеки
- Основні задачі інформаційної безпеки
- Важливість і складність проблеми інформаційної безпеки
- Об’єктно-орієнтований підхід до інформаційної безпеки
- Основні положення системи зАхисту інформації
- Поняття системи захисту інформації
- Вимоги до захисту інформації
- Вимоги до системи захисту інформації
- Види забезпечення системи захисту інформації
- Основні поняття
- Загрози безпеці інформації
- Основні поняття і класифікація загроз
- Основні загрози доступності
- Основні загрози цілісності
- Основні загрози конфіденційності
- Шкідливе програмне забезпечення
- Інформація, що підлягає захисту
- Основні поняття
- Сфери розповсюдження державної таємниці на інформацію
- Комерційна таємниця
- Персональні дані
- Дії, що призводять до неправомірного оволодіння конфіденційною інформацією
- Перехоплення даних та канали витоку інформації
- Порушники інформаційної безпеки
- Модель поводження потенційного порушника
- Класифікація порушників
- Методика вторгнення
- Умови, що сприяють неправомірному оволодінню конфіденційною інформацією
- Основні поняття законодавчого рівня інформаційної безпеки
- Система забезпечення інформаційної безпеки України
- Правові актИ
- Структура правових актів
- Нормативно-правові документи
- Форми захисту інформації
- Правові норми забезпечення безпеки і захисту інформації на підприємстві
- УкраїнськЕ законодавство в галузі інформаційної безпеки
- Зарубіжне законодавство в галузі інформаційної безпеки
- Стандарти і специфікації в галузі безпеки інформаційНих систем
- “Помаранчева книга” як оцінний стандарт
- Класи безпеки інформаційних систем
- Технічна специфікація X.800
- Стандарт iso/iec 15408
- Поняття політики безпеки
- Розробка політики безпеки
- Програма реалізації політики безпеки
- Синхронізація програми безпеки з життєвим циклом систем
- Управління ризиками
- Основні класи заходів організаційного рівня
- Управління персоналом
- Фізичний захист
- Заходи щодо захисту локальної робочої станції
- Підтримка працездатності
- Реагування на порушення режиму безпеки
- Планування відновлювальних робіт
- Служба безпеки підприємства
- Поняття інженерно-технічного захисту
- Фізичні засоби захисту
- Види фізичних засобів
- Охоронні системи
- Охоронне телебачення
- Охоронне освітлення та засоби охоронної сигналізації
- Захист елементів будинків і приміщень
- Апаратні засоби захисту
- Програмні засоби захисту
- Криптографічні засоби захисту
- Основні поняття криптографії
- Методи шифрування
- Криптографічні протоколи
- Контроль цілісності
- Технологія шифрування мови
- Стеганографічні засоби захисту
- Особливості сучасних інформаційних систем з погляду безпеки
- Принципи Архітектурної безпеки
- Ідентифікація та автентифікація
- Логічне управління доступом
- Протоколювання та аудит
- Основні поняття
- Активний аудит
- Склад засобів активного аудиту
- Екранування
- Аналіз захищеності
- Забезпечення високої доступності
- Тунелювання
- Управління інформаційними системами
- Афоризми і постулати інформаційної безпеки
- Список літератури
- Додаткова
- 1 Галузь використання
- 2 Нормативні посилання
- 3 Загальні положення
- 4 Побудова системи захисту інформації
- 4.1 Визначення й аналіз загроз
- 4.2 Розроблення системи захисту інформації
- 4.3 Реалізація плану захисту інформації
- 4.4 Контроль функціювання та керування системою захисту інформації
- 5 Нормативні документи системи тзі
- 21021, М. Вінниця, Хмельницьке шосе, 95, внту
- 21021, М. Вінниця, Хмельницьке шосе, 95, внту