- •1Поняття інформаційної безпеки
- •1.1Поняття інформаційної безпеки
- •1.2 Основні складові інформаційної безпеки
- •1.3Важливість і складність проблеми інформаційної безпеки
- •1.4Об'єктно-орієнтований підхід та інформаційна безпека
- •2Основні концептуальні положення системи захисту інформації
- •2.1Визначення інформації, що підлягає захисту
- •2.1.1Сфери розповсюдження державної таємниці на інформацію
- •2.1.2Комерційна таємниця
- •2.2Вимоги до захисту інформації
- •2.3Вимоги до системи захисту інформації
- •2.4Види забезпечення системи захисту інформації
- •2.5Компоненти концептуальної моделі
- •3 Найбільш поширені загрози
- •3.1Основні визначення і критерії класифікації загроз
- •3.2Найбільш поширені загрози доступності
- •3.2.1Класифікація загроз доступності
- •3.2.2Шкідливе програмне забезпечення
- •3.3Основні загрози цілісності
- •3.4Основні загрози конфіденційності
- •3.4.1Дії, що призводять до неправомірного оволодіння конфіденційною інформацією
- •3.4.2Умови, що сприяють неправомірному оволодінню конфіденційною інформацією
- •4Законодавчий рівень інформаційної безпеки
- •4.1Основні поняття законодавчого рівня інформаційної безпеки
- •4.2Українське законодавство
- •4.2.1Структура правових актів
- •4.2.2Страхове забезпечення
- •4.2.3Нормативно-правові документи
- •4.2.4Форми захисту інформації
- •4.2.5Захист комерційної таємниці від розголошення
- •4.2.6Правові норми забезпечення безпеки і захисту інформації
- •4.3Огляд українського законодавства у області інформаційної безпеки
- •4.4Огляд зарубіжного законодавства у області інформаційної безпеки
- •5Стандарти і специфікації у області інформаційної безпеки
- •5.1"Оранжева книга" як оціночний стандарт
- •5.1.1 Основні поняття
- •5.1.2 Механізми безпеки
- •5.1.3Класи безпеки (може в додаток)
- •5.2 Інформаційна безпека розподілених систем. Рекомендації X.800
- •5.2.1Мережеві сервіси безпеки
- •5.2.2Мережеві механізми безпеки
- •5.2.3Адміністрування засобів безпеки
- •5.3Стандарт iso/iec 15408
- •5.3.1 Основні поняття
- •5.3.2Функціональні вимоги
- •5.3.3 Вимоги довіри безпеки
- •6Адміністративний рівень інформаційної безпеки
- •6.1Основні поняття
- •6.2Управління ризиками
- •6.3Політика безпеки
- •6.4Програма безпеки
- •6.5Синхронізація програми безпеки з життєвим циклом систем
- •7Процедурний (Організаційний) рівень інформаційної безпеки. Служба безпеки
- •7.1Основні класи заходів процедурного рівня
- •7.2Управління персоналом
- •7.3Фізичний захист
- •7.4Підтримка працездатності
- •7.5Реагування на порушення режиму безпеки
- •7.6Планування відновних робіт
- •7.7Служба безпеки підприємства
- •8Основні програмно-технічні заходи
- •8.1Основні поняття програмно-технічного рівня інформаційної безпеки
- •8.2Перехоплення даних та канали витоку інформації
- •Шкідливе програмне забезпечення;
- •8.3Сервіси безпеки
- •8.4Особливості сучасних інформаційних систем, з погляду безпеки
- •8.5Архітектурна безпека
- •8.6Ідентифікація і автентифікація
- •8.6.1Основні поняття
- •8.6.2Парольна автентифікація
- •8.6.3Ідентифікація/автентифікація за допомогою біометричних даних
- •8.7Логічне управління доступом
- •8.7.1Основні поняття
- •8.7.2Ролеве управління доступом
- •8.8Протоколювання і аудит
- •8.8.1 Основні поняття
- •8.8.2Активний аудит
- •8.8.3Функціональні компоненти і архітектура
- •8.9Шифрування інформації
- •8.9.1Основні поняття
- •8.9.2Технологія шифрування мови
- •8.10Контроль цілісності
- •8.11Екрануванняі
- •8.11.1Основні поняття
- •8.11.2Архітектурні аспекти
- •8.12Аналіз захищеності
- •8.13Забезпечення високої доступності
- •8.13.1Основні поняття
- •8.13.2Поняття відмовостійкоті
- •8.13.3Основи заходів забезпечення високої доступності
- •8.13.4Відмовостійкість і зона ризику
- •8.13.5Забезпечення відмовостійкості
- •8.13.6Програмне забезпечення проміжного шару
- •8.13.7Забезпечення обслуговуємості
- •8.14Тунелювання
- •8.15Управління інформаційними системами
- •8.15.1Основні поняття
- •8.15.2Можливості типових систем
- •8.16Інженерно-технічні заходи
- •8.17Фізичні засоби захисту
- •8.17.1Охоронні системи
- •8.17.2Охоронне телебачення
- •8.17.3Охоронне освітлення та засоби охоронної сигналізації
- •8.17.4Захист елементів будинків і приміщень
- •8.18Апаратні засоби захисту
- •9Висновки
- •Література
- •21021, М. Вінниця, Хмельницьке шосе, 95, внту
- •21021, М. Вінниця, Хмельницьке шосе, 95, внту
4.4Огляд зарубіжного законодавства у області інформаційної безпеки
Звичайно, зайва амбітність заголовка очевидна. Зрозуміло, ми лише пунктиром обкреслимо деякі закони декількох країн (в першу чергу - США), оскільки тільки в США таких законодавчих актів близько 500.
Ключову роль грає американський "Закон про інформаційну безпеку" (Computer Security Act of 1987, Public Law 100-235 (H.R. 145), January 8, 1988). Його мета - реалізація мінімально достатніх дій по забезпеченню безпеки інформації у федеральних комп'ютерних системах, без обмежень всього спектру можливих дій.
Характерний, що вже на початку Закону називається конкретний виконавець - Національний інститут стандартів і технологій (NYST), що відповідає за випуск стандартів і керівництва, направлених на захист від знищення і несанкціонованого доступу до інформації, а також від крадіжок і фальсифікацій, що виконуються за допомогою комп'ютерів. Таким чином, є на увазі як регламентація дій фахівців, так і підвищення інформованості всього суспільства.
Згідно Закону, всі оператори федеральних ІС, що містять конфіденційну інформацію, повинні сформувати плани забезпечення ІБ. Обов'язковим є і періодичне навчання всього персоналу таких ІС. NYST, у свою чергу, зобов'язаний проводити дослідження природи і масштабу вразливих місць, виробляти економічно виправдані заходи захисту. Результати досліджень розраховані на застосування не тільки в державних системах, але і в приватному секторі.
Для захисту федеральних ІС рекомендується ширше застосовувати технологічні рішення, засновані на розробках приватного сектора. Крім того, пропонується оцінити можливості загальнодоступних зарубіжних розробок.
Вітається розробка правил безпеки, нейтральних по відношенню до конкретних технічних рішень, використання у федеральних ІС комерційних продуктів, участь в реалізації шифрувальних технологій, що дозволяє зрештою сформувати інфраструктуру, яку можна розглядати як резервну для федеральних ІС.
У 2001 році був схвалений законопроект - Computer Security Enhancement Act of 2001 (H.R. 1259 RFS), який дозволив не загострювати більш за увагу на криптографії як такий, а зосередитися на одному з її найважливіших додатків - автентифікації, розглядаючи її за відпрацьованій на криптозасобах методиці.
Програма безпеки, що передбачає економічно виправдані захисні заходи і синхронізована з життєвим циклом ІС, згадується в законодавстві США неодноразово.
Звичайно, в законодавстві США є в достатній кількості і положення обмежувальної спрямованості, і директиви, що захищають інтереси таких відомств, як Міністерство оборони, ANB, ФБР, ЦРУ, але ми на них не зупинятимемося.
У законодавстві ФРН виділимо вельми розгорнений (44 розділи) Закон про захист даних (Federal Data Protection Act of December 20, 1990 (BGBl.I 1990 S.2954), amended by law of September 14, 1994 (BGBl. I S. 2325)). Він цілком присвячений захисту персональних даних.
Як, ймовірно, і у всіх інших законах аналогічної спрямованості, в даному випадку встановлюється пріоритет інтересів національної безпеки над збереженням таємниці приватного життя. У іншому права особи захищені вельми ретельно. Наприклад, якщо співробітник фірми обробляє персональні дані на користь приватних компаній, він дає підписку про нерозголошування, яка діє і після переходу на іншу роботу.
Державні установи, що зберігають і оброблюють персональні дані, несуть відповідальність за порушення таємниці приватного життя "суб'єкта даних", як мовиться в Законі. У матеріальному виразі відповідальність обмежена верхньою межею в 250 тисяч німецьких марок.
Із законодавства Великобританії згадаємо сімейство так званих добровільних стандартів BS 7799, що допомагають організаціям на практиці сформувати програми безпеки. У подальших лекціях ми ще повернемося до розгляду цих стандартів; тут же відзначимо, що вони дійсно працюють, не дивлячись на "добровільність" (або завдяки ній?).
У сучасному світі глобальних мереж законодавча база повинна бути узгоджена з міжнародною практикою. У цьому плані повчальний приклад Аргентини. В 1996 року компетентними органами Аргентини був арештований, системний оператор електронної дошки оголошень. Йому ставилися в провину систематичні вторгнення в комп'ютерні системи ВМС США, НАСА, багатьох найбільших американських університетів, а також в комп'ютерні системи Бразилії, Чилі, Кореї, Мексики і Тайваню. Проте, він був відпущений без офіційного пред'явлення звинувачень, оскільки за аргентинським законодавством вторгнення в комп'ютерні системи не вважається злочином.