- •Лекція 3. Законодавча база іб
- •Законодавчий рівень іб
- •Огляд російського законодавства по іб Правові акти загального призначення
- •Громадянський кодекс
- •Кримінальний кодекс
- •Глава 28 - "Злочини в сфері комп’ютерної інформації" – містить три статті:
- •Закон "Про державну таємницю" (зі змінами і доповненнями до 22.08.2004).
- •Закон "Про інформацію, інформаційні технології і про захист інформації"
- •Інші закони і нормативні акти Закон «Про ліцензування окремих видів діяльності»
- •Закон "Про участь в міжнародному інформаційному обміні"
- •Закон "Про електронний цифровий підпис"
- •Основні напрямки діяльності на законодавчому рівні:
- •Огляд законодавства західноєвропейських країн та сша по іб
- •Американський "Закон про інформаційну безпеку"
- •"Про удосконалення інформаційної безпеки"
- •Закон про захист даних (Німеччина)
- •Стандарти bs 7799 (Великобританія)
- •Нормативно-правова база України Законодавча і нормативна база захисту інформації в Україні
- •Закон України «Про інформацію»
- •Закон України «Про захист інформації в інформаційно-телекомунікаційних системах»
- •Нормативні документи системи технічного захисту інформації
- •Висновки
Висновки
Відповідно до закону України «Про інформацію», всю інформацію поділено на відкриту та інформацію з обмеженим доступом. Такий розподіл за режимами доступу до інформації здійснюють виключно на підставі ступеня її конфіденційності.
Основним законом, який регламентує відносини суб'єктів, що пов'язані із захистом інформації в комп'ютерних системах, є Закон України «Про захист інформації в інформаційно-телекомунікаційних системах», що набув чинності з 5 липня 1994 року.
Доступ користувачів до інформації, яка є власністю держави, або до інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, та їхні повноваження стосовно цієї інформації визначено законодавством. Таку інформацію слід обробляти в системі із застосуванням КСЗІ, підтвердження відповідності якої здійснено за результатами державної експертизи. Власник системи, в якій обробляється така інформація, має утворити службу захисту інформації або призначити осіб, які б відповідали за забезпечення захисту та здійснювали контроль.
Критерії оцінювання комп'ютерних систем визначено в НД ТЗІ 2.5-004-99. Функціональні вимоги до засобів захисту подано у вигляді специфікацій послуг безпеки, які чітко структуровані за ознакою протидії певним загрозам: конфіденційності, цілісності, доступності та спостережності. Вимоги до гарантій реалізації КЗЗ дають змогу визначити ступінь довіри до засобів забезпечення безпеки.
Рівень безпеки не можна оцінити за універсальною шкалою, натомість використовують незалежне ранжирування вимог відносно кожної послуги безпеки. Захищеність системи описано за допомогою функціонального профілю (переліку функціональних послуг із досягнутими рівнями безпеки) і досягнутого рівня гарантій.
Окремі нормативні документи визначають вимоги до реалізації КЗЗ інформаційно-телекомунікаційних систем деяких конкретних типів. Такі документи містять опис типових властивостей систем, вимоги до їхніх обчислювальних систем, середовища користувачів, фізичного середовища, інформації разом із технологіями її оброблення. У них наведено мінімальні припустимі функціональні профілі та вимоги до реалізації кожної з функціональних послуг.