- •Курсова робота
- •1.1. Інформаційна безпека
- •1.2. Основні поняття безпеки інформаційних технологій
- •1.3. Законодавчі вимоги і регулювання інформаційної безпеки
- •2.1. Інформаційна безпека в мережах
- •2.2. Класифікація і різновиди шкідливих програм
- •2.3. Методи захисту інформації
- •3.1. Історія розвитку поняття цінності інформації
- •3.2. Приклади і методи шахрайства
- •3.2.1. Афери з картками[4]
- •3.2.2. Афери у мережі Інтернет
- •3.3. Приклади програмного захисту від витікання інформаційних даних
- •Висновок
- •Список використаних джерел
- •Додатки
1.3. Законодавчі вимоги і регулювання інформаційної безпеки
В 1985 році Національним центром комп’ютерної безпеки Міністерства оборони США опублікована, так звана «Оранжева книга» («Критерії оцінки достовірності обчислювальних систем Міністерства оборони»). В ній були приведені основні положення, по яких американське відомство оборони визначало ступінь захищеності інформаційно-обчислювальних систем. В ній у систематизованому вигляді наводились основні поняття, рекомендації і класифікація по видах загроз безпеці інформаційних систем і методи захисту від них. В подальшому книга перетворилась в збірку науково-обгрунтованих норм і правил, що описують системний підхід для забезпечення безпеки інформаційних систем і їх елементів, і стала настільною книгою для спеціалістів в галузі захисту інформації. Запропонована в «Оранжевій книзі» методологія по суті стала загальноприйнятою і в тій чи іншій мірі увійшла в національні стандарти.
Системний підхід згідно з «Оранжевою книгою» вимагає:
- прийняття принципових рішень в галузі безпеки на основі поточного стану інформаційної системи;
- прогнозування можливих загроз і аналізу пов’язаного з ними ризику для інформаційної системи;
- планування заходів по запобіганню виникнення критичних ситуацій;
- планування заходів по виходу з критичних ситуацій на випадок, коли вони виникнуть.
Одне з основних понять, введених в «Оранжевій книзі», це політика безпеки. Політика безпеки – це сукупність норм, правил і методик, на основі яких в подальшому будується діяльність інформаційної системи в галузі обробки, зберігання і розподілення критичної інформації. При цьому під інформаційною системою розуміється не тільки процес-програмний комплекс, але і обслуговуючий персонал[9].
Система забезпечення інформаційної безпеки України створюється і розвивається відповідно до Конституції України та інших нормативно-правових актів, що регулюють суспільні відносини в інформаційній сфері. Основу даної системи складають органи, сили та засоби забезпечення інформаційної безпеки, які вживають систему адміністративно-правових, інформаційно-аналітичних, організаційно-управлінських, та інших заходів, спрямованих на забезпечення стійкого функціонування системи державного управління.
Основними принципами забезпечення інформаційної безпеки України є:
пріоритет прав людини;
верховенство права;
пріоритет договірних (мирних) засобів у вирішенні інформаційних конфліктів;
адекватність заходів захисту національних інтересів України в інформаційній сфері реальним та потенційним загрозам;
громадський контроль за діяльністю органів державної влади, що входять до системи забезпечення інформаційної безпеки України;
додержання балансу інтересів особи, суспільства, держави, їх взаємна відповідальність;
чітке розмежування повноважень та функцій органів державної влади в системі забезпечення інформаційної безпеки України.
Національний банк України визначив галузевий стандарт методів захисту інформаційних технологій щодо системи управління інформаційною безпекою ISO/IEC 27001:2005, MOD. MOD означає що він модифікований і станом на 2010 рік називається ГСТУ СУІБ 1.0/ISO/IEC 27001:2010.
Національний банк України визначив галузевий стандарт методів захисту інформаційних технологій “ Звід правил для управління інформаційною безпекою ” ISO/IEC 27002:2005, MOD. MOD означає що він модифікований і станом на 2010 рік називається ГСТУ СУІБ 2.0/ISO/IEC 27002:2010.
РОЗДІЛ 2