125 Кібербезпека / Фаховий екзамен (Бакалавр) / Нормативно-правове забезпечення інформаційної безпеки
.pdf
Нормативно-правове забезпечення інформаційної безпеки
1.Властивості інформації з погляду її захисту. Презумпція відкритості інформації.
Зáхист інформáції (англ. Data protection) — сукупність методів і засобів, що забезпечують цілісність, конфіденційність і доступність інформації за умов впливу на неї загроз природного або штучного характеру, реалізація яких може призвести до завдання шкоди власникам і користувачам інформації.
Інформаційна безпека має велике значення для забезпечення життєво важливих інтересів будь-якої держави. Створення розвиненого і захищеного середовища є неодмінною умовою розвитку суспільства та держави, в основі якого мають бути найновіші автоматизовані технічні засоби.
Наскільки актуальна проблема захисту інформації від різних загроз, можна побачити на прикладі даних, опублікованих Computer Security Institute (СанФранциско, штат Каліфорнія, США), згідно з якими порушення захисту
комп'ютерних систем відбувається з таких причин:
несанкціонований доступ — 2 %
укорінення вірусів — 3 %;
технічні відмови апаратури мережі — 20 %;
цілеспрямовані дії персоналу — 20 %;
помилки персоналу (недостатній рівень кваліфікації) — 55%.
Таким чином, однією з потенційних загроз для інформації в інформаційних системах слід вважати людський фактор.
Захист інформації ведеться для підтримки таких властивостей інформації
як:
Цілісність — неможливість модифікації інформації неавторизованим користувачем.
Конфіденційність — інформація не може бути отримана неавторизованим користувачем.
Доступність — полягає в тому, що авторизований користувач може використовувати інформацію відповідно до правил, встановлених політикою безпеки не очікуючи довше заданого (прийнятного) інтервалу часу.
Відповідно до властивостей інформації виділяють такі типи загроз:
загрози цілісності:знищення;модифікація;
загрози доступності:блокування;знищення;
загрози конфіденційності:
несанкціонований доступ (НСД);
витік;
розголошення.
2.Державна таємниця. Порядок віднесення інфорамції до державної таємниці.
Держа́вна таємни́ця — інформація техніки, зовнішніх відносин, державної розголошення якої може завдати шкоди спеціально охороняється державою.
у сфері оборони, економіки, науки і безпеки та охорони правопорядку, національній безпеці держави і яка
Державна таємниця — це відомості, які не підлягають розголошуванню, оскільки це може заподіяти шкоду безпеці та життєвим інтересам держави.
Перелік відомостей, які відносяться до державної таємниці, визначається державними експертами з таємниць і затверджується наказом Служби безпеки України у формі Зводу відомостей, що становлять державну таємницю.
Вiднесення iнформацiї до державної таємницi здiйснюється мотивованим рiшенням державного експерта з питань таємниць за його власною iнiцiативою, за зверненням керiвникiв вiдповiдних органiв державної влади, органiв мiсцевого самоврядування, пiдприємств, установ, органiзацiй чи громадян.
Державний експерт з питань таємниць вiдносить iнформацiю до державної таємницi з питань, прийняття рiшень з яких належить до його компетенцiї згiдно з посадою. У разi, якщо прийняття рiшення про вiднесення iнформацiї до державної таємницi належить до компетенцiї кiлькох державних експертiв з питань таємниць, воно за iнiцiативою державних експертiв або за пропозицiєю Служби безпеки України приймається колегiально та ухвалюється простою бiльшiстю голосiв. При цьому кожен експерт має право викласти свою думку.
Iнформацiя вважається державною таємницею з часу опублiкування Зводу вiдомостей, що становлять державну таємницю, до якого включена ця iнформацiя, чи змiни до нього у порядку, встановленому цим Законом.
3. Відповідальність за порушення законодавства про інформацію.
Порушення законодавства України про iнформацiю тягне за собою дисциплiнарну, цивiльно-правову, адмiнiстративну або кримiнальну вiдповiдальнiсть згiдно з законодавством України.
Вiдповiдальнiсть за порушення законодавства про iнформацiю несуть особи, виннi у вчиненнi таких порушень, як:
необгрунтована вiдмова вiд надання вiдповiдної iнформацiї;
надання iнформацiї, що не вiдповiдає дiйсностi;
несвоєчасне надання iнформацiї;
навмисне приховування iнформацiї;
примушення до поширення або перешкодження поширенню чи безпiдставна вiдмова вiд поширення певної iнформацiї;
поширення вiдомостей, що не вiдповiдають дiйсностi, ганьблять честь i гiднiсть особи;
використання i поширення iнформацiї стосовно особистого життя громадянина без його згоди особою, яка є власником вiдповiдної iнформацiї внаслiдок виконання своїх службових обов'язкiв;
розголошення державної або iншої таємницi, що охороняється законом, особою, яка повинна охороняти цю таємницю;
порушення порядку зберiгання iнформацiї;
навмисне знищення iнформацiї;
необгрунтоване вiднесення окремих видiв iнформацiї до категорiї вiдомостей з обмеженим доступом.
4.Загальні вимоги та організаційні засади забезпечення захисту державних інформаційних ресурсів або інформації, вимога щодо захисту якої встановлена законом, в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах.
Найбільш широко загрози інформаційним ресурсам можна розглядати як потенційно можливі випадки природного, технічного або антропогенного характеру, які можуть спричинити небажаний вплив на інформаційну систему, а також на інформацію, що зберігається в ній. Виникнення загрози, тобто віднаходження джерела актуалізації певних подій у загрози характеризується таким елементом як уразливість. Саме за наявності вразливості як певної характеристики системи і відбувається активізація загроз. Безперечно, що самі загрози за своєю суттю відповідно до теорії множин є невичерпними, а отже й не можуть бути піддані повному описові у будь-якому дослідженні.
Відповідно до Закону України "Про основи національної безпеки України" до загроз національним інтересам і національній безпеці в інформаційній сфері відносять наступні:
прояви обмеження свободи слова та доступу громадян до інформації;
поширення засобами масової інформації культу насильства, жорстокості, порнографії;
комп'ютерна злочинність та комп'ютерний тероризм;
розголошення інформації, яка становить державну та іншу, передбачену законом, таємницю, а також конфіденційної інформації, що е власністю держави або спрямована на забезпечення потреб та національних інтересів суспільства і держави;
намагання маніпулювати суспільною свідомістю, зокрема, шляхом поширення недостовірної, неповної або упередженої інформації.
До загроз інформаційній безпеці системі управління національною безпекою належать: розкриття інформаційних ресурсів; порушення їх цілісності; збій в роботі самого обладнання.
Ці Правила визначають загальні вимоги та організаційні засади забезпечення захисту державних інформаційних ресурсів або інформації, вимога щодо захисту якої встановлена законом, в інформаційних, телекомунікаційних та інформаційно-
телекомунікаційних системах. Слід зазначити, що: захисту в системі підлягає:
відкрита інформація, яка належить до державних інформаційних ресурсів, а також відкрита інформація про діяльність суб'єктів владних повноважень, військових формувань, яка оприлюднюється в Інтернеті, інших глобальних інформаційних мережах і системах або передається телекомунікаційними мережами (далі - відкрита інформація);
конфіденційна інформація, яка перебуває у володінні розпорядників інформації, визначених частиною першою статті 13 Закону України "Про доступ до публічної інформації" ( 2939-17 ) (далі - конфіденційна інформація);
службова інформація;
інформація, яка становить державну або іншу передбачену законом таємницю (далі - таємна інформація);
інформація, вимога щодо захисту якої встановлена законом.
Контроль за забезпеченням захисту інформації в системі полягає у перевірці виконання вимог з технічного та криптографічного захисту інформації та здійснюється у порядку, визначеному Адміністрацією Держспецзв'язку України.
5. Публічна інформація. Порядок доступу до публічної інформації.
Публічна інформація - це відображена та задокументована будь-якими засобами та на будь-яких носіях інформація, що була отримана або створена в процесі виконання суб'єктами владних повноважень своїх обов'язків, передбачених чинним законодавством, або яка знаходиться у володінні суб'єктів владних повноважень, інших розпорядників публічної інформації, визначених Законом.
Доступ до інформації забезпечується шляхом:
систематичного та оперативного оприлюднення інформації:
в офіційних друкованих виданнях;
на офіційних веб-сайтах в мережі Інтернет;
на єдиному державному веб-порталі відкритих даних;
на інформаційних стендах;
будь-яким іншим способом.
Доступ до публічної інформації відповідно до Закону здійснюється на принципах:
прозорості та відкритості діяльності суб'єктів владних повноважень;
вільного отримання, поширення та будь-якого іншого використання інформації, що була надана або оприлюднена відповідно до цього Закону, крім обмежень, встановлених закономю.
6. Інформація: поняття, види (за змістом, за режимом доступу).
Інформа́ція — абстрактне поняття, що має різні значення залежно від контексту. Cпроби формального визначення поняття перераховані нижче — їх багато, і вони різні в різних областях людської діяльності. На інтуїтивному рівні інформація означає зміст того, про що отримувач довідався.
Властивості інформації
Цінність інформації визначається корисністю та здатністю її забезпечити суб'єкта необхідними умовами для досягнення ним поставленої мети.
Достовірність — здатність інформації об'єктивно відображати процеси та явища, що відбуваються в навколишньому світі. Як правило достовірною вважається насамперед інформація, яка несе у собі безпомилкові та істинні дані. Під безпомилковістю слід розуміти дані які не мають, прихованих або випадкових помилок. Випадкові помилки в даних обумовлені, як правило, неумисними спотвореннями змісту людиною чи збоями технічних засобів при переробці даних в інформаційній системі. Тоді як під істинними слід розуміти дані зміст яких неможливо оскаржити або заперечити.
Актуальність — здатність інформації відповідати вимогам сьогодення (поточного часу або певного часового періоду).
Часові властивості
Часові властивості визначають здатність даних передавати динаміку зміни ситуації (динамічність). При цьому можна розглядати або час запізнення появи в даних відповідних ознак об'єктів, або розходження реальних ознак об'єкта і тих же ознак, що передаються даними. Відповідно можна виділити:
Актуальність — властивість даних, що характеризує поточну ситуацію;
Оперативність — властивість даних, яка полягає в тому, що час їхнього збору та переробки відповідає динаміці зміни ситуації;
Ідентичність — властивість даних відповідати стану об'єкта.
Види інформації
Інформацію можна поділити на види за кількома ознаками:
За способом сприйняття
Для людини інформація поділяється на види залежно від типу рецепторів, що сприймають її.
Візуальна — сприймається органами зору. Ми бачимо все довкола.
Аудіальна — сприймається органами слуху. Ми чуємо звуки довкола нас.
Тактильна — сприймається тактильними рецепторами.
Нюхова — сприймається нюховими рецепторами. Ми відчуваємо аромати довкола.
Смакова — сприймається смаковими рецепторами. Ми відчуваємо смак.
За формою подання
За формою подання інформація поділяється на такі види:
Текстова — що передається у вигляді символів, призначених позначати лексеми мови;
Числова — у вигляді цифр і знаків, що позначають математичні дії;
Графічна — у вигляді зображень, подій, предметів, графіків;
Звукова — усна або у вигляді запису передачі лексем мови аудіальним шляхом.
За призначенням
Масова — містить тривіальні відомості і оперує набором понять, зрозумілим більшій частині соціуму
Спеціальна — містить специфічний набір понять, при використанні відбувається передача відомостей, які можуть бути не зрозумілі основній масі соціуму, але необхідні і зрозумілі в рамках вузької соціальної групи, де використовується дана інформація
Особиста — набір відомостей про яку-небудь особистість, що визначає соціальний стан і типи соціальних взаємодій всередині популяції.
7. Державна експертиза в сфері технічного захисту інформації.
Державна експертиза у сфері технічного захисту інформації (далі - експертиза) проводиться з метою дослідження, перевірки, аналізу та оцінки об'єктів експертизи щодо їх відповідності вимогам нормативних документів із технічного захисту інформації та можливості їх використання для забезпечення технічного захисту інформації (далі - ТЗІ).
Дія цього Положення поширюється на всіх юридичних та фізичних осіб, які є суб'єктами експертизи.
Суб'єктами експертизи є:
юридичні та фізичні особи - власники (розпорядники) інформаційних, телекомунікаційних, інформаційно-телекомунікаційних систем, технічних і програмних засобів, які реалізують функції ТЗІ, - замовники експертизи (далі
-Замовники);
Адміністрація Держспецзв’язку;
територіальні органи Адміністрації Держспецзв'язку, які проводять експертизу шляхом аналізу декларацій про відповідність комплексних систем захисту інформації (далі - КСЗІ) вимогам нормативних документів із ТЗІ (далі
-декларація);
навчальні заклади, науково-дослідні, науково-виробничі установи Державної служби спеціального зв'язку та захисту інформації України, підприємства, установи та організації, які проводять експертизу (далі - Організатори);
державні органи, які проводять експертизу у сфері свого управління;
фізичні особи, які на постійній або професійній основі здійснюють діяльність, пов’язану з наданням експертних послуг, - виконавці експертних робіт з ТЗІ (далі - Експерти).
Об'єктами експертизи є:
КСЗІ, які є невід'ємною складовою інформаційної, телекомунікаційної або інформаційно-телекомунікаційної системи (далі - ІТС);
технічні та програмні засоби, які реалізують функції ТЗІ та/або оцінки стану захисту інформації (далі - засоби ТЗІ);
організаційно-технічне рішення на розгортання типової складової компоненти КСЗІ в ІТС - задокументоване уніфіковане рішення для багаторазового
розгортання складових КСЗІ в ІТС або КСЗІ типової складової компоненти КСЗІ в ІТС, самодостатньої для вирішення певного завдання, що включає проектні рішення програмно-технічного комплексу, організаційно-технічні рішення щодо регламенту функціонування типової компоненти ІТС та опис (алгоритм) процедури впровадження (далі - ОТР КСЗІ).
8.Ліцензування господарської діяльності з надання послуг у галузі технічного захисту інформації.
Ліцензійними умовами визначені кваліфікаційні, організаційні, технологічні та інші вимоги длпровадженнягосподарської діяльності у галузі криптографічного захисту інформації (крім послуг електронного цифрового підпису) (далі – КЗІ) та технічного захисту інформації (далі – ТЗІ).
Суб’єкт господарювання, який має намір провадити ліцензований вид діяльності у галузі КЗІ та/або КЗІ та відповідаєЛіцензійним умовам подає до Адміністрації Держспецзв’язку заяву про отриманняліцензії разом з підтвердними документами.
У заяві про отримання ліцензії відомості щодо юридичної особи або фізичної особи-підприємця повинні відповідати даним наведеним у Єдиному державному реєстру юридичних осіб та фізичних осіб – підприємців.
Спеціалісти, яких планується залучати для виконання робіт, за ліцензією повинні відповідати кваліфікаційним вимогам, що визначені у Ліцензійних умовах.
З питань підготовки на курсах перепідготовки та підвищення кваліфікації фахівців з питань ТЗІ суб’єктигосподарювання повинні звертатися до навчальних закладів, підприємств та установ, що мають відповідні дозволи на проведення цих навчань, в тому числі, до вищих навчальних закладів, в яких проводиться підвищення кваліфікації в галузізнань “Інформаційна безпека” по програмам підготовки, що погоджені Адміністрацією Держспецзв’язку.
Прийняття рішення про видачу ліцензії або відмову у її видачі проводиться протягом 10 робочих днів з дати надходження до Адміністрації Держспецзв’язку заяви про отримання ліцензії та документів, що додаються до заяви.
У разі відсутності підстав для відмови у видачі ліцензії Адміністрація Держспецзв’язку приймає рішення про видачу ліцензії про що повідомляє суб’єкта господарювання (здобувача ліцензії) протягом 3 робочих днів.
9.Правові та організаційні засади технічного захисту важливої для держави, суспільства і особи інформації, охорона якої забезпечується державою.
Технічний захист інформації здійснюється щодо органів державної влади, органів місцевого самоврядування, органів управління Збройних Сил України та інших військових формувань,
утворених згідно із законодавством України, |
відповідних підприємств, |
|||
установ, організацій. |
|
|
|
|
Державна політика технічного захисту інформації формується згідно |
із |
|||
законодавством і реалізується Державною службою |
спеціального |
зв'язку |
та |
|
захисту інформації України (далі - Держспецзв'язку |
України) у |
взаємодії |
з |
|
органами, щодо яких здійснюється ТЗІ. |
|
|
|
|
Організація технічного захисту інформації в органах, щодо яких здійснюється |
||||
ТЗІ, покладається на їх керівників. |
|
|
|
|
Організаційно-технічні принципи, порядок здійснення |
заходів |
з |
||
технічного захисту інформації, порядок контролю у цій сфері, характеристики загроз
для інформації, норми та вимоги |
з технічного |
захисту |
інформації, порядок |
атестації та експертизи комплексів |
технічного |
захисту |
інформації |
визначаються нормативно-правовими актами, |
прийнятими в установленому |
||
порядку відповідними органами. |
|
|
|
У разі порушення вимог щодо забезпечення технічного захисту інформації посадові особи та громадяни несуть відповідальність згідно із законодавством України.