- •Суть і поняття інформації, інформаційної безпеки, захисту інформації.
- •Комплексна система захисту інформації (ксзі) підприємства.
- •9.3. Організація та діяльність підрозділу технічного захисту інформації.
- •9.4 Методи і способи захисту інформації
- •6.170103 — Управління інформаційною безпекою;
- •8.1 Сутність недобросовісної конкуренції та її прояви
- •Промислове шпигунство, форми та методи.
- •8.3 Недружнє поглинання підприємств( рейдерство) та захист від нього
Економічна безпека діяльності підприємства Спеціальність
6.170103- Управління інформаційною безпекою;
— Захист інформації в комп’ютерних системах та мережах
Тема Інформаційна безпека та система захисту інформації на підприємстві.
Лекція 9
Інформаційна безпека та система захисту інформації на підприємстві.
Зміст
Суть і поняття інформації, інформаційної безпеки, захисту інформації.
Комплексна система захисту інформації на підприємстві.
Організація та діяльність підрозділу технічного захисту інформації.
Методи і способи захисту інформації.
Суть і поняття інформації, інформаційної безпеки, захисту інформації.
Найбільш повну характеристику поняття «інформація» подано у визначеннях нормативно-правових актів. Основу правового статусу інформації визначає ЗУ «Про інформацію»
Під інформацією цей Закон розуміє документовані або публічно оголошені відомості про події та явища, що відбуваються у суспільстві, державі та навколишньому природному середовищі.
Режим доступу до інформації - це передбачений правовими нормами порядок одержання, використання, поширення і зберігання інформації.
За режимом доступу інформація поділяється на відкриту інформацію та інформацію з обмеженим доступом.
Держава здійснює контроль за режимом доступу до інформації.
Право власності на інформацію - це врегульовані законом суспільні відносини щодо володіння, користування і розпорядження інформацією.
Інформація є об'єктом права власності громадян, організацій (юридичних осіб) і держави. Інформація може бути об'єктом права власності як у повному обсязі, так і об'єктом лише володіння, користування чи розпорядження.
Учасниками інформаційних відносин є громадяни, юридичні особи або держава, які набувають передбачених законом прав і обов'язків у процесі інформаційної діяльності.
Основними учасниками цих відносин є: автори, споживачі, поширювачі, зберігачі (охоронці) інформації.
Інформація не може бути використана для закликів до повалення конституційного ладу, порушення територіальної цілісності України, пропаганди війни, насильства, жорстокості, розпалювання расової, національної, релігійної ворожнечі, вчинення терористичних актів, посягання на права і свободи людини.
Не підлягають розголошенню відомості, що становлять державну або іншу передбачену законодавством таємницю.
Не підлягають розголошенню відомості, що стосуються лікарської таємниці, грошових вкладів, прибутків від підприємницької діяльності, усиновлення (удочеріння), листування, телефонних розмов і телеграфних повідомлень, крім випадків, передбачених законом.
Порушення законодавства України про інформацію тягне за собою дисциплінарну, цивільно-правову, адміністративну або кримінальну відповідальність згідно з законодавством України.
Відповідальність за порушення законодавства про інформацію несуть особи, винні у вчиненні таких порушень, як:
необгрунтована відмова від надання відповідної інформації; надання інформації, що не відповідає дійсності; несвоєчасне надання інформації; навмисне приховування інформації;
примушення до поширення або перешкоджання поширенню певної інформації, а також цензура;
поширення відомостей, що не відповідають дійсності, ганьблять честь і гідність
особи;
безпідставна відмова від поширення певної інформації; використання і поширення інформації стосовно особистого життя громадянина без його згоди особою, яка є власником відповідної інформації внаслідок виконання своїх службових обов'язків;
розголошення державної або іншої таємниці, що охороняється законом, особою, яка повинна охороняти цю таємницю;
порушення порядку зберігання інформації; навмисне знищення інформації;
необгрунтоване віднесення окремих видів інформації до категорії відомостей з обмеженим доступом;
порушення порядку обліку, зберігання і використання документів та інших носіїв інформації, які містять конфіденційну інформацію, що є власністю держави.
Ніхто не може бути притягнутий до відповідальності за висловлення оціночних суджень.
Оціночними судженнями, за винятком образи чи наклепу, є висловлювання, які не містять фактичних даних, зокрема критика, оцінка дій, а також висловлювання, що не можуть бути витлумачені як такі, що містять фактичні дані, з огляду на характер використання мовних засобів, зокрема вживання гіпербол, алегорій, сатири. Оціночні судження не підлягають спростуванню та доведенню їх правдивості.
Особа звільняється від відповідальності за розголошення інформації з обмеженим доступом, якщо суд встановить, що ця інформація є суспільно значимою.
У випадках, коли правопорушенням, вчиненим суб'єктом інформаційної діяльності, завдано матеріальної чи моральної шкоди фізичним або юридичним особам, винні особи відшкодовують її добровільно або на підставі рішення суду.
Загроза інформаційній безпеці - сукупність умов і факторів, що створюють небезпеку життєво важливим інтересам особистості, суспільства і держави в інформаційній сфері.
з
Загрози поділяють на випадкові та навмисні.
Джерела ненавмисних загроз:помилки в програмному забезпеченні, вихід із ладу апаратних засобів, неправильні дії користувачів або адміністрації локальної мережі.
Джерела навмисних загроз пов’язані із завданням шкоди і поділяються на пасивні та активні:
Пасивні загрози спрямовані на несанкціоноване використання інформаційних ресурсів (підслуховування). Активні загрози спрямовані на порушення нормального функціонування локальної мережі цілеспрямованим впливом на її апаратні, програмні та інформаційні ресурси (виведення з ладу ЕОМ/операційної системи ЕОМ, перекручування відомостей в користувальних базах даних, програмні віруси та ін.
Поняття "захист інформації" закріплено у Законі України "Про захист інформації в автоматизованих системах" як "сукупність організаційно-технічних заходів і правових норм для запобігання заподіянню шкоди інтересам власника інформації чи автоматизованим системам та осіб, які користуються інформацією". Таке ж визначення виписано і у підзаконних актах.
Поняття "захист інформації" визначається і у деяких міжнародно-правових угодах, зокрема як "комплекс заходів, спрямованих на запобігання небажаним впливам на об'єкт захисту інформації, а також її неконтрольованому поширенню".
Об'єктивно категорія «інформаційна безпека» виникла з появою засобів інформаційних комунікацій між людьми, а також з усвідомленням людиною наявності у людей і їхніх співтовариств інтересів, яким може бути завданий збитку шляхом дії на засоби інформаційних комунікацій, наявність і розвиток яких забезпечує інформаційний обмін між всіма елементами соціуму.
Інформаційна безпека - стан захищеності життєво важливих інтересів людини, суспільства і держави, при якому виключається нанесення шкоди через: неповноту, невчасність та невірогідність інформації, що використовується; негативний інформаційний вплив; негативні наслідки застосування інформаційних технологій; несанкціоноване розповсюдження, використання і порушення цілісності, конфіденційності та доступності інформації.
Характеристика основних властивостей інформації як об'єкта захисту:
Конфіденційність — властивість інформації, яка полягає в тому, що інформація не може бути отримана неавторизованим користувачем
Цілісність — означає неможливість модифікації неавторизованим користувачем
Доступність — властивість інформації бути отриманою авторизованим користувачем, за наявності у нього відповідних повноважень, в необхідний для нього час
Додатково також використовують такі властивості:
Апелювання — можливість доказати, що автором є саме заявлена людина (юридична особа), і ніхто інший.
Підзвітність — властивість інформаційної системи, що дозволяє фіксувати діяльність користувачів, використання ними пасивних об'єктів та однозначно встановлювати авторів певних дій в системі.
Достовірність - властивість інформації, яка визначає ступінь об'єктивного, точного відображення подій, фактів, що мали місце.
Автентичність - властивість, яка гарантує, що суб'єкт або ресурс ідентичні заявленим.
Основними напрямками інформаційної безпеки є фізична й комп’ютерна безпека. Однак, враховуючи наявні відмінності у визначеннях, можна охарактеризувати їх у такий спосіб.
Фізична безпека— забезпечення зберігання самого встаткування, призначеного для функціонування інформаційного середовища, контроль доступу людей до цього встаткування. Додатково сюди може бути включене поняття захисту самих користувачів інформаційного середовища від фізичного впливу зловмисників, а також захисту інформації невіртуального характеру (твердих копій — роздруківок, службових телефонних довідників, домашніх адрес співробітників, зіпсованих зовнішніх носіїв і т.п.).
Комп ’ютерна безпека (мережева безпека, телекомунікаційна безпека, безпека даних) — забезпечення захисту інформації у її віртуальному виді.
Для реалізації захисту інформації підприємства створюється комплексна система захисту інформації (КСЗІ).