Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
БОГУШ,ЮДИН.doc
Скачиваний:
1480
Добавлен:
19.02.2016
Размер:
3.5 Mб
Скачать

7.1.8 Класифікація актуальних загроз

При проведенні актуальних загроз експертно-аналітичним мето­дом визначаються об'єкти захисту, що піддаються впливу цієї чи ін­шої загрози, характерні джерела цих загроз і уразливості, що спри­яють реалізації загроз.

Потім на основі аналізу складається таблиця взаємозв'язку дже­рел загроз і уразливостей, із яких визначаються можливі наслідки реалізації загроз (атаки) та обчислюється коефіцієнт небезпеки цих атак як добуток коефіцієнтів небезпеки відповідних загроз та дже­рел загроз, визначених раніше. При цьому передбачається, що атаки,

259

Частина II Основи безпеки інформаційних технологій

які мають коефіцієнт небезпеки менше 0,1 (припущення експертів),в подальшому можуть не розглядатися із-за малої ймовірності їх здійснення на об'єкті захисту.

Така матриця складається окремо для кожної загрози. І вже пі­сля виявлення найбільш актуальних загроз приймаються заходи з вибору методів і засобів для відбивання.

7.2 Основні напрями забезпечення безпеки інформації та інформаційних ресурсів

7.2.1 Основні визначення

Напрями забезпечення безпеки інформації — це нормативно-правові категорії, орієнтовані на забезпечення комплексного захисту інформації від внутрішніх та зовнішніх загроз на державному рівні, на рівні підприємства або організації, на рівні окремої особистості.

З урахуванням практики, що склалася на теперішній час, виді­ляють наступні напрями захисту інформації [80]:

  • правовий захист — це спеціальні закони, інші нормативні акти, правила, процедури та заходи, що забезпечують захист інформа­ції на правовій основі;

  • організаційний захист — це регламентація виробничої діяльно­сті та взаємовідносин виконавців на нормативно-правовій основі, яка виключає або послаблює нанесення будь-яких збитків вико­навцям;

  • інженерно-технічний захист — це використання різноманітних те­хнічних засобів, що перешкоджають нанесенню збитків.

Крім того, заходи захисту, орієнтовані на забезпечення безпеки інформації, можуть бути охарактеризовані цілим рядом параметрів, що відображають, окрім напрямів, орієнтацію на об'єкти захисту, характер загроз, способи дій, їх розповсюдження, охоплення та мас­штабність.

Так, за характером загроз заходи захисту орієнтовані на захист інформації від розголошення, витоку та несанкціонованого досту­пу. За способом дії їх можна поділити на попередження, виявлення, припинення та відновлення збитків або інших утрат. За охоплен­ням заходи захисту можуть розповсюджуватися на територію, бу­дівлю, приміщення, апаратуру або окремі елементи апаратури. Мас­штабність заходів захисту характеризується як об'єктовий, груповий або індивідуальний захист.

260

Розділ 7 Основи безпеки інформаційних ресурсів

7.2.2 Правовий захист

Поняття права визначається як сукупність загальнообов'язкових правил і норм поведінки, які встановлені або санкціоновані держа­вою, по відношенню до певних сфер життя та діяльності державних органів, підприємств (організацій) та населення (окремої особисто­сті).

Правовий захист інформації як ресурсу признаний на міждер­жавному, державному рівні та визначається міждержавними дого­ворами, конвенціями, деклараціями та реалізується патентами, ав­торським правом та ліцензіями на їхній захист. На державному рів­ні правовий захист регулюється державними та відомчими актами (рис. 7.5).

У нашій державі такими правилами (актами, нормами) є Кон­ституція України, закони України, цивільне, адміністративне, кри­мінальне право, викладене у відповідних кодексах. Що стосується відомчих нормативних актів, то вони визначаються наказами, ке­рівництвами, положеннями та інструкціями, які видаються відом­ствами, організаціями та підприємствами, що діють у межах певних структур.

Сучасні умови вимагають і визначають необхідність комплексно­го підходу до формування законодавства із захисту інформації, його складу та змісту, співвіднесення його зі всією системою законів та правових актів України.

Вимоги інформаційної безпеки повинні органічно входити до усіх рівнів законодавства, у тому числі й у конституційне законодав­ство, основні загальні закони, закони з організації державної системи управління, спеціальні закони, відомчі правові акти і т.ін. Звичайно використовується наступна структура правових актів, які орієнтова­ні на правовий захист інформації.

Конституційне законодавство. Норми, що стосуються питань інформатизації та захисту інформації, входять до нього як складові елементи.

Загальні закони, кодекси (про власність, про надра, про пра­ва громадян, про громадянство, про податки, про антимонопольну діяльність і т.ін.), які включають норми з питань інформатизації та інформаційної безпеки.

Закони про організацію управління, стосовно окремих стру­ктур господарства, економіки, системи державних органів та визна­чення їхнього статусу. Такі закони включають окремі норми з питань

261

Частина II Основи безпеки інформаційних технологій

Рис. 7.5.Правовий захист інформації

захисту інформації. Поряд із загальними питаннями інформаційно­го забезпечення та захисту інформації конкретного органу ці норми повинні встановлювати його обов'язки з формування, актуалізації та безпеки інформації, що представляє загальнодержавний інтерес.

262

Розділ 7 Основи безпеки інформаційних ресурсів

Спеціальні закони,які відносяться до конкретних сфер відно­син, галузей господарства, процесів. До їхнього числа входять Зако­ни України "Про інформацію", "Про захист інформації в автомати­зованих системах" і т.ін. Власне склад і зміст цього блоку законів і створює спеціальне законодавство як основу правового забезпечення інформаційної безпеки.

Підзаконні нормативні акти із захисту інформації.

Правоохоронне законодавство України, яке містить норми про відповідальність за правопорушення у сфері інформатизації.

Спеціальне законодавство в галузі безпеки інформації може бути представлене сукупністю законів. В їхньому складі особливе місце займають Закони "Про інформацію" та "Про захист інформа­ції в автоматизованих системах", які закладають основи правового визначення всіх найважливіших компонентів інформаційної діяль­ності [31,32]:

  • інформації та інформаційних систем;

  • суб'єктів — учасників інформаційних процесів;

  • правовідносин виробників та споживачів інформаційної проду­кції;

  • власників (джерел) інформації — оброблювачів та споживачів на основі відносин власності при забезпеченні гарантій інтересів гро­мадян та держави.

Ці закони також визначають основи захисту інформації у систе­мах обробки і при її використанні з урахуванням категорій досту­пу до відкритої інформації і до інформації з обмеженим доступом. Ці закони містять, крім того, загальні норми з організації та веден­ня інформаційних систем, включаючи банки даних державного при­значення, порядок державної реєстрації, ліцензування, сертифікації, експертизи, а також загальні принципи захисту та гарантій прав уча­сників інформаційного процесу.

Питання правового режиму інформації з обмеженим доступом ре­алізуються у двох самостійних законах про державну та комерційну (проект) таємниці.

Таким чином, правовий захист інформації забезпечується нормативно-законодавчими актами, сукупність яких за рівнем пред­ставляє ієрархічну систему від Конституції України до функціональ­них обов'язків і контрактів конкретного виконавця, які визначають перелік відомостей, що підлягає охороні, і заходи відповідальності за їх розголошення.

Одним із нових напрямків правового захисту є страхове забезпе-

263

Частина II Основи безпеки інформаційних технологій

чення. Воно призначене для захисту власної інформації та засобівїї оброблення як від традиційних загроз (крадіжки, стихійні лиха), так і від загроз, що виникають у ході роботи з інформацією. До них відносяться розголошення, витік та несанкціонований доступ до кон­фіденційної інформації.

Метою страхування є забезпечення страхового захисту фізи­чних та юридичних від страхових ризиків у вигляді повного або час­ткового відшкодування збитків і втрат, які спричинені стихійними лихами, надзвичайними подіями в різних галузях діяльності, проти­правними діями зі сторони конкурентів та зловмисників шляхом ви­плати грошової компенсація або надання сервісних послуг (ремонт, відновлення) при настанні страхової події.

Дії із захисту інформації від витоку технічними каналами регла­ментуються наступними документами [78,63]:

  • ТР ЕОТ-95 "Тимчасові рекомендації з технічного захисту інфор­мації у засобах обчислювальної техніки, автоматизованих систе­мах і мережах від витоку каналами побічних електромагнітних випромінювань і наводок";

  • ПЕМВН-95 "Тимчасові рекомендації з технічного захисту інфор­мації від витоку каналами побічних електромагнітних випромі­нювань і наводок".

Дії із захисту інформації від несанкціонованого доступу регла­ментують [32,49,50,51,52,53]:

  • Закон України "Про захист інформації в автоматизованих систе­мах";

  • нормативні документи системи технічного захисту інформації в комп'ютерних (автоматизованих системах) від несанкціонованого доступу і т.ін.

Правовими документами є й державні та міждержавні стандарти на інформаційну діяльність з урахуванням забезпечення її безпеки, зокрема [11,12,13,26,27,28]:

  • ДСТУ 3396.0-96. Захист інформації. Технічний захист інформа­ції. Основні положення;

  • ДСТУ 3396.1-96. Захист інформації. Технічний захист інформа­ції. Порядок проведення робіт;

  • ДСТУ 3396.2-97. Захист інформації. Технічний захист інформа­ції. Терміни та визначення;

  • ГОСТ 28147-89 Системы обработки информации. Защита крипто­графическая. Алгоритм криптографического преобразования;

  • ГОСТ 34.310-95. Информационная технология. Криптографиче-

264

Розділ 7 Основи безпеки інформаційних ресурсів

екая защита информации. Процедуры выработки и проверки эле­ктронной цифровой подписи на базе асимметрического крипто­графического алгоритма;

• ГОСТ 34.311-95 Информационная технология.

Криптографическая защита информации. Функция хеширования. Опираючись на державні правові акти та, враховуючи відомчі ін­тереси на рівні конкретного підприємства (фірми, організації), роз­роблюються власні нормативно-правові документи, орієнтовані на забезпечення інформаційної безпеки. До таких документів віднося­ться [75,80]:

  • Положення про збереження конфіденційної інформації;

  • Перелік відомостей, які складають конфіденційну інформацію;

  • Інструкція про порядок допуску співробітників до відомостей, які складають конфіденційну інформацію;

  • Положення про спеціальне діловодство та документообіг;

  • Перелік відомостей, які дозволені до опублікування у відкритому

друці;

  • Положення про роботу з іноземними фірмами та їхніми представ­никами;

  • Зобов'язання співробітника про збереження конфіденційної ін­формації;

• Пам'ятка співробітнику про збереження комерційної таємниці.

Указані нормативні акти спрямовані на попередження випад­ків неправомірного оголошення (розголошення) секретів на право­вій основі — у випадку їх порушення повинні прийматися відповідні заходи впливу.

Залежно від характеру інформації, її доступності для зацікавле­них

споживачів, а також економічної доцільності конкретних захи­сних заходів можуть бути вибрані наступні форми захисту інформа­ції:

  • патентування;

  • авторське право;

  • признання відомостей конфіденційними;

  • товарні знаки;

  • застосування норм зобов 'язувального права.

Існує певна різниця між авторським правом та комерційною та­ємницею. Авторське право захищає тільки форму вираження ідеї. Комерційна таємниця відноситься безпосередньо до змісту. Автор­ське право захищає від копіювання незалежно від конфіденційних

265

Частина II Основи безпеки інформаційних технологій

відносин із власником. До авторського права вдаються при широкійпублікації своєї інформації, у той час як комерційну таємницю три­мають у секреті. Очевидно, що порівняно з патентом та авторським правом комерційна таємниця та виробнича таємниці є найбільш зру­чними, надійними та гнучкими формами захисту інформації.

Окрім вищевикладених форм правового захисту та права нале­жності інформації знаходить широке розповсюдження офіційна пе­редача права на користування нею у вигляді ліцензії.

Ліцензія [license] (від лат. licentia — свобода, право) — це дозвіл, виданий державою на проведення деяких видів господарської діяль­ності, включаючи зовнішньоторговельні операції (ввезення та виве­зення) та надання права використовувати захищені патентами вина­ходи, технології, методики. Ліцензійні дозволи надаються на певний час і на певні види товарів.

Комерційна таємниця [commerce secret] — це відомості, які не є державними секретами, зв'язані з виробництвом, технологією, управлінням, фінансами та іншою діяльністю, розголошення, витік не несанкціонований доступ до якої може призвести до збитків їхнім власникам.

До комерційної таємниці не відносяться:

  • відомості, що охороняються державою;

  • відомості, які є загальновідомими на законній підставі;

  • відомості про негативні сторони діяльності;

• установчі документи та відомості про господарську діяльність.

Створюючи систему інформаційної безпеки, необхідно чітко ро­зуміти, що без правового забезпечення захисту інформації будь-які наступні претензії до несумлінного співробітника, клієнта, конкурен­та та посадової особи будуть просто безпідставними.

Якщо перелік відомостей конфіденційного характеру не доведе­ний своєчасно до кожного співробітника (природно, якщо від допу­щений до виконання посадових обов'язків) у письмовому вигляді, то співробітник, який викрав важливу інформацію при порушенні вста­новленого порядку роботи з нею скоріше всього буде не покараним.

Правові норми забезпечення безпеки та захисту інформації на конкретному підприємстві (фірмі, організації) відображаються у су­купності установчих, організаційних та функціональних документів.

Вимоги забезпечення безпеки та захисту інформації відобража­ються у Статуті (установчому договорі) у вигляді наступних поло­жень:

• підприємство має право визначати склад, обсяги та порядок захи-

266

Розділ 7 Основи безпеки інформаційних ресурсів

сту конфіденційних відомостей, вимагати від своїх співробітниківзабезпечення їх збереження та захисту від внутрішніх та зовні­шніх загроз;

• підприємство зобов'язане забезпечувати збереження конфіден­ційної інформації.

Такі вимоги дають адміністрації підприємства наступні права:

  • створювати організаційні структури із захисту конфіденційної ін­формації;

  • видавати нормативні та розпорядчі документи, які визначають порядок виділення відомостей конфіденційного характеру та ме­ханізми їхнього захисту;

  • включати вимоги із захисту інформації в угоди з усіх видів го­сподарської діяльності;

  • вимагати захисту інтересів підприємства зі сторони державних та судових інстанцій;

  • розпоряджатися інформацією, що є власністю підприємства, з ме­тою вигоди та недопущення економічних збитків колективу під­приємства та власникові засобів виробництва;

• розробляти "Перелік відомостей конфіденційної інформації".

Вимоги правового забезпечення захисту інформації передбачаю­ться у колективному договорі. Колективний договір повинен містити наступні вимоги:

Розділ "Предмет договору".

Адміністрація підприємства (у тому числі й адміністрація само­стійних підрозділів) зобов'язується забезпечити розробку та здійсне­ння заходів із визначення та захисту конфіденційної інформації.

Трудовий колектив приймає на себе зобов'язання з дотримання встановлених на підприємстві вимог із захисту конфіденційної ін­формації.

Адміністрація зобов'язана враховувати вимоги захисту конфіден­ційної інформації у правилах внутрішнього розпорядку.

Розділ "Кадри. Забезпечення дисципліни праці".

Адміністрація зобов'язується:

• порушників вимог із захисту комерційної таємниці притягати до адміністративної та кримінальної відповідальності відповідно до діючого законодавства.

Правила внутрішнього трудового розпорядку для робітників та службовців підприємства доцільно доповнити наступними вимогами

Розділ "Порядок приймання та звільнення робітників та службов­ців".

267

Частина II Основи безпеки інформаційних технологій

При прийманні робітника або службовця на роботу або переве­денні його в установленому порядку на іншу роботу, зв'язану з кон­фіденційною інформацією підприємства, а також при звільненні його з роботи адміністрація зобов'язана проінструктувати робітника або службовця з правил збереження комерційної таємниці з оформлен­ням письмового зобов'язання про її нерозголошення.

Адміністрація підприємства вправі приймати рішення про відсто­ронення від робіт осіб, які порушують встановлені вимоги із захисту конфіденційної інформації.

Розділ "Основні обов'язки робітників та службовців".

Робітники та службовці зобов'язані дотримуватися вимог норма­тивних документів із захисту конфіденційної інформації на підпри­ємстві.

Розділ "Основні обов'язки адміністрації".

Адміністрація підприємства, керівники підрозділів зобов'язані:

  • забезпечувати збереження конфіденційної інформації, по­стійно здійснювати організаторську роботу та виховально-профілактичну роботу, спрямовану на захист секретів підприєм­ства;

  • включати в посадові інструкції та положення обов'язки із збері­гання конфіденційної інформації;

  • неухильно виконувати вимоги Статуту, колективного договору, трудових договорів, правил внутрішнього розпорядку та інших організаційних та господарських документів у частині забезпече­ння економічної та інформаційної безпеки.

Обов'язки конкретного співробітника, робітника або службовця стосовно захисту інформації обов'язково повинні бути обмовлені в трудовому договорі (контракті). Відповідно до КЗоТ при укладанні трудового договору працівник зобов'язується виконувати певні вимо­ги, які діють на даному підприємстві. Незалежно від форми укла­дання договору (усного, чи письмового) підпис працівника на наказі про приймання на роботу підтверджує його згоду з умовами договору.

Вимоги із захисту конфіденційної інформації можуть бути обмов­лені в тексті договору, якщо договір укладається в письмовій формі. Якщо ж договір укладається в усній формі, то діють вимоги із за­хисту інформації, які випливають із нормативно-правових докумен­тів підприємства. При укладанні трудового договору та оформлен­ня наказу про приймання на роботу нового співробітника робиться відмітка про поінформованість його з порядком захисту інформації

268

Розділ 7 Основи безпеки інформаційних ресурсів

підприємства. Це створює необхідний елемент залучення даної особив механізм забезпечення інформаційної безпеки.

Не слід думати, що після підписання такої угоди з новим співробі­тником таємниця буде збережена. Це тільки попередження співробі­тникові, що в справу вступає система заходів із захисту інформації, і правова основа до того, щоб припинити його невірні або проти­правні дії. Подальше завдання — не допустити втрати комерційних секретів.

Реалізація правових норм і актів, орієнтованих на захист ін­формації на організаційному рівні, опирається на ті чи інші організаційно-правові норми, до числа яких відносяться дотрима­ння конфіденційності робіт та дій, договори (угоди) та різноманітні форми зобов'язувального права.

Конфіденційність [confidentiality, privacy] (від лат. confidentia — довір'я) у даному випадку — це форма поводження з відомостями, які складають комерційну таємницю, на основі організаційних захо­дів, які виключають неправомірне оволодіння такими відомостями.

Договір — це угода сторін (двох або більше осіб) про встановле­ння, зміну або припинення взаємний зобов'язань.

Зобов'язання — цивільні правовідносини, у силу яких одна сто­рона (боржник) зобов'язана здійснювати на користь іншої певні дії.

Правове регулювання необхідне для вдосконалення механізму по­передження протиправних дій по відношенню до інформаційних ре­сурсів, для уточнення та закріплення завдань та правомочності окре­мих суб'єктів у сфері попереджувальної діяльності, охорони прав та законних інтересів громадян та організації.

Правові заходи забезпечення безпеки та захисту інформації є основою порядку діяльності та поведінки співробітників підприєм­ства та визначають міру їхньої відповідальності за порушення вста­новлених норм.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]