- •Лекція 3. Законодавча база іб
- •Законодавчий рівень іб
- •Огляд російського законодавства по іб Правові акти загального призначення
- •Громадянський кодекс
- •Кримінальний кодекс
- •Глава 28 - "Злочини в сфері комп’ютерної інформації" – містить три статті:
- •Закон "Про державну таємницю" (зі змінами і доповненнями до 22.08.2004).
- •Закон "Про інформацію, інформаційні технології і про захист інформації"
- •Інші закони і нормативні акти Закон «Про ліцензування окремих видів діяльності»
- •Закон "Про участь в міжнародному інформаційному обміні"
- •Закон "Про електронний цифровий підпис"
- •Основні напрямки діяльності на законодавчому рівні:
- •Огляд законодавства західноєвропейських країн та сша по іб
- •Американський "Закон про інформаційну безпеку"
- •"Про удосконалення інформаційної безпеки"
- •Закон про захист даних (Німеччина)
- •Стандарти bs 7799 (Великобританія)
- •Нормативно-правова база України Законодавча і нормативна база захисту інформації в Україні
- •Закон України «Про інформацію»
- •Закон України «Про захист інформації в інформаційно-телекомунікаційних системах»
- •Нормативні документи системи технічного захисту інформації
- •Висновки
Закон України «Про інформацію»
Відповідно до нього всю інформацію поділяють на відкриту та з обмеженим доступом. Інформацію з обмеженим доступом, у свою чергу, поділяють на конфіденційну та таємну. Належність інформації до таємної регламентовано у «Зводі відомостей, що становлять державну таємницю» (ЗВДТ). Розподіл за режимами доступу до інформації здійснюють виключно на підставі ступеня її конфіденційності. Крім конфіденційності важливими характеристиками інформації є її цілісність і доступність. До інформації, яка не є конфіденційною, вживають поняття інформація, що потребує захисту.
Закон України «Про захист інформації в інформаційно-телекомунікаційних системах»
Є основним законом, який регламентує стосунки між суб'єктами в контексті захисту інформації в комп'ютерних системах. Він набув чинності з 5 липня 1994 року. Згідно з ним порядок доступу до інформації визначає її власник. Для інформації, яка є власністю держави, або інформації з обмеженим доступом, вимогу щодо захисту якої встановлено законом, перелік користувачів та їхні повноваження стосовно цієї інформації визначає законодавство. Захист інформації в системі забезпечує власник системи. Інформація, яка є власністю держави, або інформація з обмеженим доступом, вимогу щодо захисту якої встановлено законом, має оброблятись у системі із застосуванням комплексної системи захисту інформації. Необхідним є підтвердження відповідності Комплексної Системи ЗІ, що здійснюється за результатами державної експертизи. Власнику такої системи необхідно створити службу захисту інформації чи призначити осіб, які б забезпечували захист інформації та контролювали цей процес.
Нормативні документи системи технічного захисту інформації
Крім законів і підзаконних актів впроваджено багато нормативних документів, які регламентують певні аспекти діяльності у сфері захисту інформації. Наприклад
НД ТЗІ 1.1-002-99: Загальні положення по захисту інформації в комп'ютерних системах від несанкціонованого доступу.
НД ТЗІ 1.1-003-99: Термінологія в області захисту інформації в комп'ютерних системах від несанкціонованого доступу.
НД ТЗІ 2.5-004-99: Критерії оцінювання захищеності інформації в комп'ютерних системах від несанкціонованого доступу.
НД ТЗІ 2.5-005-99: Класифікація автоматизованих систем і стандартні функціональні профілі захищеності оброблюваної інформації від несанкціонованого доступу.
НД ТЗІ 3.7-001-99: Методичні вказівки з розробки технічного завдання на створення комплексної системи захисту інформації в автоматизованій системі.
НД ТЗІ 1.4-001-2000:Типове положення про службу захисту інформації в автоматизованій системі.
НД ТЗІ 3.6-001-2000: Технічний захист інформації. Комп'ютерні системи. Порядок створення, впровадження, супроводження та модернізації засобів технічного захисту інформації від несанкціонованого доступу.
НД ТЗІ 2.5-010-03: Вимоги до захисту інформації веб-сторінки від несанкціонованого доступу.
НД ТЗІ 3.7-003-05: Порядок проведення робіт із створення комплексної системи захисту інформації в інформаційно-телекомунікаційній системі.
Положення документів обов'язкові до виконання всіма суб'єктами системи ТЗІ в Україні незалежно від їхньої організаційно-правової форми та форми власності, в ІКС яких обробляється інформація, що є власністю держави, належить до державної чи іншої таємниці або окремих видів інформації, необхідність захисту якої визначено законодавством. Якщо в ІКС обробляються інші види інформації, вимоги нормативних документів системи ТЗІ можна використовувати як рекомендації.