- •Концепція інформаційної безпеки Основні концептуальні положення системи захисту інформації
- •Концептуальна модель інформаційної безпеки
- •Три етапи побудови:
- •Детальний розгляд моделі
- •Приклади для даної класифікації загроз:
- •Способи доступу до інформації
- •Правовий захист інформації
- •Організаційний захист інформації
- •Технічний захист інформації
- •Охоронні системи
- •Охоронне телебачення
- •Апаратні засоби захисту
- •Захист інформації від нсд (і рівень)
- •Захист від копіювання (іі рівень)
- •Захист від руйнування (ііі рівень)
Приклади для даної класифікації загроз:
І. Природні джерела:
- стихійні лиха (пожежа, повінь, інші причини);
- випадкові (дія магнітного поля, викрадення носіїв);
- помилки процесу підготовки (помилки в ОС, помилки в програмах користувача, помилки введення даних);
- помилки процесу обробки (помилки роботи апаратури, помилки користувачів, помилки оператора).
ІІ. Штучні загрози
загрози з боку користувачів ЕОМ (несанкціонований доступ, перегляд даних і розповсюдження, перегляд сміття);
загрози з боку не користувачів ЕОМ (підключення до каналів зв'язку, за рахунок електромагнітного випромінювання, розкрадання матеріалів, внесення змін до апаратури).
Способи доступу до інформації
Розголошення - це навмисні, або необережні дії з конфіденційними відомостями, що призводять до ознайомлення з ними осіб, які не допущенні до них
Розголошення має вираз в повідомленні, передаванні, представленні, опублікуванні, втраті та в інших формах обміну дії з діловою інформацією
Розголошення реалізується формальними і неформальними каналами обміну інформації. До формальних відноситься ділові зустрічі, наради, переговори, обмін діловими та науковими документами і т.д. Неформальні - це особисті зустрічі: виставки, семінари, конференції і т.д.
Витік - це безконтрольний вихід конфіденційної інформації за межі кола осіб, або організації, яким вона довірена
Витік інформації здійснюється різними технічними каналами. Цей технічний канал залежить від технічної природи каналу, якими вона може здійснюватися. З точки зору фізичної природи можливі такі шляхи переносу інформації:
світлові проміння;
звукові хвилі;
електромагнітні хвилі;
матеріали та речовини.
Відповідно цьому класифікуються і канали витоку інформації:
візуально-оптичні;
акустичні;
електромагнітні;
матеріально-речовинні.
Канал витоку - розуміють фізичний шлях від джерела конфіденційної інформації до зловмисника, за допомогою якого останній отримує доступ до відомостей, які охороняються.
Основними засобами витоку інформації в інформаційних системах є:
людина;
апаратура;
програма.
Несанкціонований доступ - це протиправне навмисне оволодіння конфіденційною інформацією особою, яка не має права доступу до секретів, які зберігаються.
Основні способи НСД до конфіденційної інформації:
ініціативне співробітництво;
схиляння до співробітництва;
розпитування;
підслуховування переговорів різними шляхами;
викрадення, копіювання, підробка, або модифікація інформації;
знищення, або ушкодження;
незаконне підключення до каналів лінії зв'язку та передавання даних;
негласне ознайомлення з відомостями та документами;
перехоплення;
візуальне спостереження, фотографування;
збирання та аналітична обробка.
Правовий захист інформації
Право - це сукупність загальнообов'язкових правил та норм поведінки, встановлених або санкціонованих державою у відношенні певних сфер життя та діяльності, державних органів, підприємств та населення, кожної особистості зокрема.
Правові нормативні акти у державі поділяють на 6 блоків:
І блок - конституційне законодавство (норми, що стосуються питань інформації, інформатизації та захисту інформації, входять в нього, як складові елементи);
ІІ блок - загальні закони та кодекси (про власність, про землю, про права громадян, про податки...);
ІІІ блок - закони про організацію управління, що стосуються окремих структур господарства, економіки, системи державних органів, такі, що визначають їх статус (до них входять окремі норми з питань захисту інформації);
IV блок - спеціальні закони (що повністю відносяться до галузі захисту інформації);
V блок - підзаконні нормативні акти з питань захисту інформації;
VI блок - правоохоронне законодавство (що містить норми про відповідальність за правопорушення в галузі інформатизації та захисту інформації).
Детальний розгляд блоку №4:
Спеціальне законодавство в Україні в галузі інформаційної безпеки може бути представлено сукупністю таких основних законів, як закон "про інформацію", закон "про науково-технічну інформацію", закон "про державну таємницю", закон "про авторське право і суміжні права", закон "про захист інформації в інформаційно-телекомунікаційних системах", закон "про доступ до публічної інформації", закон "про захист персональних даних", закон "про електронний документообіг та цифрове підписування"; концепція (основи державної політики національної безпеки України), концепція технічного захисту інформації в Україні; положення про порядок здійснення криптографічного захисту інформації в Україні.
Відповідальність за правопорушення при роботі з інформацією, комп'ютерами та комп’ютерною інформацією встановлюється:
У США:
законом про безпеку комп’ютерною систем 1987р;
актом про зловживання з використанням ЕОМ 1986р;
законом про викорінення комп’ютерною вірусу 1998 р;
законом про свободу інформації;
законом про додержання таємниці 1974р;
законом про фінансові таємниці;
законом про справедливі кредити;
законом про захист обчислювальних засобів невеликих фірм та освіти;
У Канаді:
законом про комп’ютерні та інформаційні злочини 1985р;
У Франції:
законом про інформатику, картотеки та свободу 1987р;
У Великобританії:
законом про захист інформації 1984р;
У ФРН:
федеральним законом про захист даних 1987 р;
законом про подальший розвиток електронної обробки;
законом про авторське право;
У Росії:
законом про інформацією, інформатизацію та захист інформації;
законом про правову охорону програм для ЕОМ і баз даних;
законом про правову охорону топології інтегральних мікросхем (1992)
законом про державну таємницю
законом про комерційну таємницю;
законом про авторське право та суміжні права;
законом про органи державної безпеки.
При усіх відмінностях національних законодавств є спільне:
- практично в усіх країнах законодавчо установлена відповідальність за порушення порядку обробки та використання персональних даних;
- інформаційні або комп’ютерні злочини розцінюються як ті, що представляють особливу небезпеку для громадян держави та суспільства в цілому і характеризуються значно більш жорсткими мірами покарання, ніж аналогічні злочини , що здійснені без використання комп’ютерної техніки;
- як злочини класифікуються також дії, що створюють лише передумови для нанесення збитків (спроби проникнення в систему, впровадження програми вірус і т.і.).
Детальний розгляд блоку №5:
Крім законів, які приймає ВР, положення, наказів президента в галузі інформаційної безпеки, існує велика кількість нормативних правових законних документів у галузі інформаційної безпеки, які видаються і затверджуються іншими державними структурами.
Основними державними структурами, які регламентують діяльність у галузі інформаційної безпеки в Україні є: Служба Безпеки України та Державна Служба Спеціального зв'язку та захисту інформації (ДССЗЗІ; Держспецзв'язок).
???!!!
Крім стандартів Держстандарту України можуть використовуватись стандарти Росії та СРСР: ГОСТ Р 50739-95 "СВТ. Защита от НСД"; ГОСТ 28147-89 "СВТ. Алгоритмы графического преобразования.”
Залежно від характеру інформації, її доступності для зацікавлених споживачів, а також економічної доцільності конкретних захисних захистів можуть бути обрані такі форми захисту:
патентування;
авторське право;
визнання відомостей конфіденційності (надати інформації якогось грифу);
товарні знаки;
застосування норм, або зв’язкового права.
Між авторським правом та комерційною таємницею існують відмінності: авторське право захищає лише форму виразу ідеї, в той час, як комерційна таємниця відноситься безпосередньо до змісту, а також авторське право застосовують при широкій публікації, а комерційну таємницю тримають в секреті.
Комерційна таємниця - відомості, які не є державними секретами. До неї не відноситься:
відомості, що охороняються державою;
загальновідомі на законній основі відомості;
загальнодоступні відомості (патенти, товарні знаки);
відомості про негативний вид діяльності;
установчі документи;
відомості про господарську діяльність.
Окрім вищенаведених форм правового захисту та правової належності може використовуватись офіційна передача права на використання інформації у вигляді ліцензії.
Ліцензія - дозвіл, що видається державою на проведення певних видів господарської діяльності.
Конфіденційна інформація - документована інформація, доступ до якої обмежується відповідно до законодавства України.
Конфіденційна інформація буває:
особиста (відомості про факти, події та обставини приватного життя громадянина, що дозволяють ідентифікувати його особистість) [персональні документи, за виключенням відомостей, що належать розповсюдженню у засобах масової інформації в установленому порядку];
судово-слідча (відомості, що складають таємницю слідства та судовиробництва);
службова (службові відомості, доступ до яких обмежений органами державної влади) [службова таємниця];
професійна (відомості, що пов'язані з професійною діяльності, доступ до якої обмежений законами) [лікарська, нотаріальна, адвокатська таємниця, таємниця переписки, телефонних переговорів, поштових відправлень, телеграфів..]
комерційна (відомості, що пов'язані з комерційною діяльністю, доступ до якої обмежений законами);
інноваційна (відомості про винахід корисної моделі, або виробничого зразка до офіційної публікації, інформації про них).
Одним з нових напрямків правового захисту інформації є страхове забезпечення, яке призначене для захисту власника інформації і засобів її обробки, як від традиційних загроз (крадіжки, стихійні лиха...), так і від загроз, що виникають в ході роботи з інформацією, зокрема розголошення, витік, НСД до конфіденційної інформації.
Спираючись на державні правові акти та враховуючи відомчі інтереси на рівні конкретного підприємства (фірми чи організації), розробляються власні нормативно-правові документи, що орієнтовані на забезпечення інформаційної безпеки.
До основних таких документів відноситься:
положення про зберігання конфіденційної інформації;
перелік відомостей, що складають конфіденційну інформацію;
інструкції про порядок допуску співробітників до відомостей, що складають конфіденційну інформацію;
положення про спеціальне діловиробництво та документообіг;
перелік відомостей, що дозволений до публікування у відкритих виданнях;
обов'язки співробітника про зберігання конфіденційної інформації;
пам'ятка співробітнику про зберігання комерційної таємниці.
В умові забезпечення безпеки інформації також повинні відображатись в установчих документах підприємства, а саме в статуті, чи в установчому договорі та колективному договорі підприємства.
Вступ працівника на роботу повинен супроводжуватись інструктажем з правил зберігання конфіденційної інформації та комерційної таємниці з оформленням письмових зобов'язань про її нерозголошення: обов'язки про зберігання конфіденційної інформації; посадові інструкції, положення, договір про прийом на роботу.
Вищеперераховані основи захисту інформації спрямовані на те, щоб запобігти неправильних, або протиправних дій з ними.
Реалізацію та виконання правових норм на підприємстві здійснює організаційних захист інформації.