- •1Поняття інформаційної безпеки
- •1.1Поняття інформаційної безпеки
- •1.2 Основні складові інформаційної безпеки
- •1.3Важливість і складність проблеми інформаційної безпеки
- •1.4Об'єктно-орієнтований підхід та інформаційна безпека
- •2Основні концептуальні положення системи захисту інформації
- •2.1Визначення інформації, що підлягає захисту
- •2.1.1Сфери розповсюдження державної таємниці на інформацію
- •2.1.2Комерційна таємниця
- •2.2Вимоги до захисту інформації
- •2.3Вимоги до системи захисту інформації
- •2.4Види забезпечення системи захисту інформації
- •2.5Компоненти концептуальної моделі
- •3 Найбільш поширені загрози
- •3.1Основні визначення і критерії класифікації загроз
- •3.2Найбільш поширені загрози доступності
- •3.2.1Класифікація загроз доступності
- •3.2.2Шкідливе програмне забезпечення
- •3.3Основні загрози цілісності
- •3.4Основні загрози конфіденційності
- •3.4.1Дії, що призводять до неправомірного оволодіння конфіденційною інформацією
- •3.4.2Умови, що сприяють неправомірному оволодінню конфіденційною інформацією
- •4Законодавчий рівень інформаційної безпеки
- •4.1Основні поняття законодавчого рівня інформаційної безпеки
- •4.2Українське законодавство
- •4.2.1Структура правових актів
- •4.2.2Страхове забезпечення
- •4.2.3Нормативно-правові документи
- •4.2.4Форми захисту інформації
- •4.2.5Захист комерційної таємниці від розголошення
- •4.2.6Правові норми забезпечення безпеки і захисту інформації
- •4.3Огляд українського законодавства у області інформаційної безпеки
- •4.4Огляд зарубіжного законодавства у області інформаційної безпеки
- •5Стандарти і специфікації у області інформаційної безпеки
- •5.1"Оранжева книга" як оціночний стандарт
- •5.1.1 Основні поняття
- •5.1.2 Механізми безпеки
- •5.1.3Класи безпеки (може в додаток)
- •5.2 Інформаційна безпека розподілених систем. Рекомендації X.800
- •5.2.1Мережеві сервіси безпеки
- •5.2.2Мережеві механізми безпеки
- •5.2.3Адміністрування засобів безпеки
- •5.3Стандарт iso/iec 15408
- •5.3.1 Основні поняття
- •5.3.2Функціональні вимоги
- •5.3.3 Вимоги довіри безпеки
- •6Адміністративний рівень інформаційної безпеки
- •6.1Основні поняття
- •6.2Управління ризиками
- •6.3Політика безпеки
- •6.4Програма безпеки
- •6.5Синхронізація програми безпеки з життєвим циклом систем
- •7Процедурний (Організаційний) рівень інформаційної безпеки. Служба безпеки
- •7.1Основні класи заходів процедурного рівня
- •7.2Управління персоналом
- •7.3Фізичний захист
- •7.4Підтримка працездатності
- •7.5Реагування на порушення режиму безпеки
- •7.6Планування відновних робіт
- •7.7Служба безпеки підприємства
- •8Основні програмно-технічні заходи
- •8.1Основні поняття програмно-технічного рівня інформаційної безпеки
- •8.2Перехоплення даних та канали витоку інформації
- •Шкідливе програмне забезпечення;
- •8.3Сервіси безпеки
- •8.4Особливості сучасних інформаційних систем, з погляду безпеки
- •8.5Архітектурна безпека
- •8.6Ідентифікація і автентифікація
- •8.6.1Основні поняття
- •8.6.2Парольна автентифікація
- •8.6.3Ідентифікація/автентифікація за допомогою біометричних даних
- •8.7Логічне управління доступом
- •8.7.1Основні поняття
- •8.7.2Ролеве управління доступом
- •8.8Протоколювання і аудит
- •8.8.1 Основні поняття
- •8.8.2Активний аудит
- •8.8.3Функціональні компоненти і архітектура
- •8.9Шифрування інформації
- •8.9.1Основні поняття
- •8.9.2Технологія шифрування мови
- •8.10Контроль цілісності
- •8.11Екрануванняі
- •8.11.1Основні поняття
- •8.11.2Архітектурні аспекти
- •8.12Аналіз захищеності
- •8.13Забезпечення високої доступності
- •8.13.1Основні поняття
- •8.13.2Поняття відмовостійкоті
- •8.13.3Основи заходів забезпечення високої доступності
- •8.13.4Відмовостійкість і зона ризику
- •8.13.5Забезпечення відмовостійкості
- •8.13.6Програмне забезпечення проміжного шару
- •8.13.7Забезпечення обслуговуємості
- •8.14Тунелювання
- •8.15Управління інформаційними системами
- •8.15.1Основні поняття
- •8.15.2Можливості типових систем
- •8.16Інженерно-технічні заходи
- •8.17Фізичні засоби захисту
- •8.17.1Охоронні системи
- •8.17.2Охоронне телебачення
- •8.17.3Охоронне освітлення та засоби охоронної сигналізації
- •8.17.4Захист елементів будинків і приміщень
- •8.18Апаратні засоби захисту
- •9Висновки
- •Література
- •21021, М. Вінниця, Хмельницьке шосе, 95, внту
- •21021, М. Вінниця, Хмельницьке шосе, 95, внту
4.2.3Нормативно-правові документи
Спираючись на державні правові акти і з огляду на відомчі інтереси на рівні конкретного підприємства (фірми, організації), розробляються власні нормативно-правові документи, орієнтовані на забезпечення інформаційної безпеки. До таких документів належать:
Положення про збереження конфіденційної інформації;
Перелік відомостей, що складають конфіденційну інформацію;
Інструкція про порядок допуску співробітників до відомостей, що складають конфіденційну інформацію;
Положення про спеціальне діловодство і документообіг;
Перелік відомостей, дозволених до опублікування у відкритій пресі;
Положення про роботу з іноземними фірмами і їхніми представниками;
Зобов'язання співробітника про збереження конфіденційної інформації;
Пам'ятка співробітнику про збереження комерційної таємниці.
Зазначені нормативні акти спрямовані на попередження випадків неправомірного оголошення (розголошення) секретів на правовій основі й у випадку їхнього порушення повинні прийматися відповідні заходи впливу.
4.2.4Форми захисту інформації
Залежно від характеру інформації, її доступності для зацікавлених споживачів, а також економічної доцільності конкретних захисних мір можуть бути обрані такі форми захисту інформації:
патентування;
авторське право;
визнання відомостей конфіденційними;
товарні знаки;
застосування норм зобов'язального права.
Існують певні розходження між авторським правом і комерційною таємницею. Авторське право захищає тільки форму вираження ідеї. Комерційна таємниця стосується безпосередньо змісту. Авторське право захищає від копіювання незалежно від конфіденційних відносин із власником. До авторського права прибігають при широкій публікації своєї інформації, у той час як комерційну таємницю тримають у секреті. Очевидно, що в порівнянні з патентом і авторським правом комерційна і виробнича таємниці є найбільш зручними, надійними і гнучкими формами захисту інформації.
Крім вищевикладених форм правового захисту і права приналежності інформації знаходить широке розповсюдження офіційна передача права на користування нею у вигляді ліцензії.
Ліцензія - це дозвіл, що видається державою на проведення деяких видів господарської діяльності, зокрема зовнішньоторговельні операції (ввіз і вивіз) і надання права використовувати захищені патентами винаходи, технології, методики.
Ліцензійні дозволи надаються на визначений час і на визначені види товарів.
4.2.5Захист комерційної таємниці від розголошення
Комерційна таємниця - це відомості, що пов'язані з виробництвом, технологією, управлінням, фінансами й іншою діяльністю, розголошення, витік і несанкціонований доступ до яких може завдати шкоди їхнім власникам.
До комерційної таємниці не належать:
відомості, що охороняються державою;
загальновідомі на законних підставах відомості;
загальнодоступні відомості, патенти, товарні знаки;
відомості про негативну сторону діяльності;
установчі документи і відомості про господарську діяльність.
На всі форми захисту інтелектуальної власності є відповідні закони - закон про патенти, закон про авторське право, проект закону про комерційну таємницю, закон про товарні знаки й ін.
Створюючи систему інформаційної безпеки, необхідно чітко розуміти, що без правового забезпечення захисту інформації будь-які претензії до несумлінного співробітника, клієнта, конкурента і посадової особи будуть необґрунтованими.
Якщо перелік відомостей конфіденційного характеру не доведений вчасно до кожного співробітника (природно, якщо він допущений за посадовими обов'язками) у письмовому вигляді, то співробітник, який вкрав важливу інформацію в порушення встановленого порядку роботи з нею, швидше за все розведе руками: мол, звідки мені це знати! У цьому випадку ніякі інстанції, аж до судових, не зможуть допомогти його покаранню.