- •1.1 Поняття інформаційної безпеки
- •1.2 Основні задачі інформаційної безпеки
- •Важливість і складність проблеми інформаційної безпеки
- •Основні положення системи захисту інформації
- •Поняття системи захисту інформації
- •1.4.2 Вимоги до захисту інформації
- •Вимоги до системи захисту інформації
- •Види забезпечення системи захисту інформації
- •Концептуальна модель інформаційної безпеки
- •Способи доступу
- •Загрози
- •Загрози безпеці інформації
- •Джерела загроз
- •Загрози сучасним інформаційним системам
- •Основні загрози доступності
- •Основні загрози цілісності
- •Основні загрози конфіденційності
- •Шкідливе програмне забезпечення
- •Комерційна таємниця
- •Банківська таємниця
- •Податкова таємниця
- •1.7.5 Службова таємниця
- •1.7.6 Професійна таємниця
- •Способи неправомірного оволодіння конфіденційною інформацією
- •Фізичні канали витоку інформації
- •1.10 Порушники інформаційної безпеки
- •1.10.1 Модель поводження потенційного порушника
- •1.10.2Класифікація порушників
- •1.10.3 Методика вторгнення
- •1.11 Умови, що сприяють неправомірному володінню конфіденційною інформацією
- •1.12 Інформаційні загрози в галузі економіки
- •Система забезпечення інформаційної безпеки україни
- •2.4 Правові акти
- •2.4.1 Структура правових актів
- •Правові норми забезпечення безпеки і захисту інформації на підприємстві
- •Українське законодавство в галузі інформаційної безпеки
- •Зарубіжне законодавство в галузі інформаційної безпеки
- •Стандарти і специфікації в галузі безпеки інформаційних систем
- •Основні класи організаційних заходів
- •3.1.1 Управління персоналом
- •Фізичний захист
- •Підтримка працездатності
- •Реагування на порушення режиму безпеки
- •Планування відновлювальних робіт
- •3.2 Суб’єкти керування системою корпоративної безпеки
- •3.2.1 Служба персоналу
- •Служба безпеки
- •3.3 Політика безпеки організації
- •Поняття політики безпеки
- •Розробка політики безпеки
- •Синхронізація програми безпеки з життєвим циклом систем
- •Інформаційно-аналітична діяльність підприємства
- •3.4.1 Функції та задачі інформаційно-аналітичного підрозділу служби безпеки підприємства
- •3.4.1 Напрямки інформаційно-аналітичної роботи
- •3.4.2 Основні етапи інформаційно-аналітичної роботи
- •3.4.4 Відомості, що становлять інтерес під час збирання та аналізу інформації
- •3.5 Управління ризиками
- •1Рис. 1.1 – Концептуальна модель безпеки інформації
Українське законодавство в галузі інформаційної безпеки
“Положення про технічний захист в Україні”, затверджено постановою Кабінету Міністрів України від 09.09.94 р. № 632.
Положення визначає об’єкт захисту та мету технічного захисту інформації (ТЗІ), структуру та основні завдання складових частин системи ТЗІ. порядок та організацію комплексного технічного захисту інформації з обмеженим доступом на об’єктах різного призначення і організацію контролю за ефективністю ТЗІ.
Постанова Кабінету Міністрів України від 13.01.95 р. № 24 “Про заходи щодо виконання постанови Верховної Ради України від 05.07.94 р. № 80”, “Яро введення в дію Закону України “Про захист інформації в автоматизованих системах” та статті 34 Закону України “Про Державну таємницю”.
“Положення про порядок видачі суб'єктам підприємницької діяльності спеціальних дозволів (ліцензій) на здійснення окремих видів діяльності”, затверджено постановою Кабінету Міністрів України від 17.05.94 р. № 316.
Положення визначає види діяльності, на які передбачено законодавчими актами України видачу спеціальних дозволів (ліцензій), в тому числі виробництво та сервісне обслуговування систем і засобів виконання робіт, надання послуг, що забезпечують технічний захист інформації. Положення також визначає умови і правила одержання ліцензій.
“Інструкція щодо умов і правил здійснення діяльності у галузі технічного захисту інформації та контролю за її дотриманням”, затверджена наказом ДСТСЗІ від 26.05.94 р. № 46, зареєстровано в Мінюсті України 01.06.94 р. № 120\329.
Інструкція визначає умови і правила здійснення діяльності у галузі ТЗІ з виробництва та сервісного обслуговування систем і засобів, виконання робіт, надання послуг, що забезпечують технічний захист інформації.
“Положення про порядок опрацювання, прийняття, перегляду та скасування міжвідомчих нормативних документів системи технічного перегляду та скасування міжвідомчих нормативних документів системи технічного захисту інформації', затверджено наказом ДСТСЗІ від 01.07.96 р. № 44, зареєстровано в Мінюсті України 18.07.96 р. № 366\1391.
Положення визначає порядок розроблення, погодження, затвердження, реєстрації та виконання нових, перегляду та скасування чинних міжвідомчих нормативних документів технічного характеру (норми, методики, положення, інструкції тощо) системи технічного захисту інформації, що не належать до нормативних документів із стандартизації, але є обов’язковими для виконання всіма центральними місцевими органами виконавчої влади, Урядом Автономної Республіки Крим, органами місцевого самоврядування, військовими частинами всіх військових формувань, створених відповідно до законодавства; підприємствами, установами й організаціями незалежно від форм власності, діяльність яких пов’язана з технічним захистом інформації.
До загальнодержавних нормативних актів з питань захисту інформації відносять такі стандарти.
Державний стандарт України. ДСТУ 3396.0-96. Захист інформації.
Технічніш захист інформації. Основні поняття. Затверджено наказом Держстандарту України від 11.10.96 р. № 423, введено в дію 01.01.97 р.
Стандарт установлює об’єкт захисту, мету, основні організаційно- технічні поняття технічного захисту інформації (ТЗІ), неправомірний доступ до якої може завдати шкоди громадянам, організаціям (юридичним особам) та державі, а також етапи побудови системи захисту інформації та категорії нормативних документів з ТЗІ.
Вимоги стандарту обов’язкові для підприємств та установ усіх форм власності та підпорядкування, громадян - суб’єктів підприємницької діяльності, органів державної влади, органів місцевого самоврядування, військових частин всіх формувань, представництв України за кордоном, які володіють, користуються та розпоряджаються інформацією, що підлягає технічному захисту.
Державний стандарт України. ДСТУ 3396.1-96. Захист інформації Технічний захист інформації. Порядок проведення робіт Затверджено наказом Держстандарту України від 19.12.96 р. № 51, введено в дію 01.01.97р.
Цей стандарт установлює вимоги до порядку проведення робіт з технічного захисту інформації, який за наказом керівника підприємства передбачає:
організацію проведення обстеження;
організацію розроблення системи захисту інформації;
реалізацію організаційних заходів захисту;
реалізацію первинних технічних заходів захисту;
реалізацію основних технічних заходів захисту;
прийняття, визначення повноти та якості робіт.
Для участі в роботах, надання методичної допомоги, оцінюванні повноти та якості реалізації заходів захисту7 можуть залучатися спеціалісти з ТЗІ сторонніх організацій, які мають ліцензію органу, уповноваженого Кабінетом Міністрів України.
Державний стандарт України. ДСТУ 3396.2-97. Захист інформації.
Технічний захист інформації. Терміни та визначення. Затверджено наказом Держстандарту України від 11.04.97 р. № 200, введено в дію 01.01.98р.
Цей стандарт установлює терміни та визначення понять у сфері технічного захисту інформації.
Терміни, регламентовані у цьому стандарті, обов’язкові для використання в усіх видах організаційної та нормативної документації, а також для робіт зі стандартизації і рекомендовані для використання у довідковій та навчально-методичній літературі, що належить до сфери технічного захисту інформації.
Терміни стандарту є обов’язковими для використання підприємствами та установами усіх форм власності і підпорядкування, громадянами - суб’єктами підприємницької діяльності, міністерствами (відомствами), центральними і місцевими органами державної виконавчої влади, військовими частинами всіх військових формувань, представництвами України за кордоном, які володіють, використовують та розпоряджаються інформацією, що становить державну чи іншу передбачену законом таємницю або є конфіденційною інформацією, яка належить державі.
Державний стандарт України. ДСТУ 1.3-93. Порядок розроблення, побудови, оформлення, узгодження, затвердження, позначення та реєстрації технічних умов. Затверджено та введено в дію наказом Держстандарту України від 29.07.93 р. № 116.
Стандарт установлює порядок розроблення, побудови, викладу, оформлення, узгодження, затвердження, позначання та державної реєстрації технічних умов на продукцію (послуги), що виготовляється в усіх галузях народного господарства України, крім розроблюваної та виготовленої на замовлення Міністерства оборони, а також змін до них.
Вимоги цього стандарту є обов’язковими для підприємств, установ і організацій, що діють на території України, а також для громадян - суб’єктів підприємницької діяльності незалежно від форм власності і видів діяльності.
Державні будівельні норми України. ДБН А.2.2-2-96. Проектування. Технічний захист інформації. Загальні вимоги до організації проектування та документації для будівництва. Затверджено наказом Держкоммістобудування України від 02.09.96 р. № 156 і введено в дію 01.01.97 р.
Стандарт установлює норми та вимоги до організації проектування, проектної документації для нового будівництва, розширення, реконструкції підприємств та капітального ремонту будівель і споруд об’єктів, де є необхідність проведення робіт з ТЗІ. Заходи з ТЗІ можуть виконуватися організаціями, які мають відповідні ліцензії Держкоммістобудування України, або іншими організаціями, які мають ліцензії Держкомсекретів України, відповідно до завдання замовника. Положення норм обов’язкові для застосування суб’єктами інвестиційної діяльності України та представництвами України за кордоном при виконанні проектних і будівельних робіт з урахуванням вимог технічного захисту інформації, які містять відомості, що становлять державну або іншу передбачену законодавством України таємницю, а також конфіденційну інформацію, що є державною власністю.
Норми можуть бути використані суб’єктами, професійна діяльність яких пов’язана з захистом конфіденційної інформації, що не є власністю держави.
Цілу низку нормативних документів підготовлено Департаментом спеціальних телекомунікаційних систем і захисту інформації (ДСТСЗІ) Служби безпеки України, який у 2007 році перетворено у Державну службу спеціального зв’язку і захисту інформації.
Нормативний документ системи ТЗІ. ТРЕОТ-95. “Тимчасові рекомендації з технічного захисту інформації у засобах обчислювальної техніки, автоматизованих системах і мережах від витоку каналами побічних електромагнітних випромінювань і наводок”, затверджено наказом ДСТСЗІ від 09.06.96 р. № 25.
Нормативний документ системи ТЗІ. ТРАС-96. “Тимчасові рекомендації щодо розроблення розділу із захисту інформації в технічному завданні на створення автоматизованої системи”, затверджено наказом ДСТСЗІ від 03.07.96 р. № 47.
Нормативний документ системи ТЗІ. НД ТЗІ 1.6-001-96. “Правила побудови, викладення, оформлення та позначення нормативних документів системи ТЗГ, затверджено наказом ДСТСЗІ від 26.07.96 р. №51.
Нормативний документ системи ТЗІ. “Інструкція про порядок надання дозволу на використання імпортних засобів ТЗІ а також продукції, яка містить їх у своєму складГ, затверджено наказом ДСТСЗІ від 31.05.95 р. № 13 і зареєстровано в Мінюсті України 12.07.95 р. № 215\751.