- •1. Система інформації
- •2. Реальна, нереальна й невизначена інформація
- •3. Псевдоінформація, параінформація та метаінформація
- •Список використаної літератури
- •Джерела
- •1. Комерційна таємниця
- •1.1 Поняття комерційної таємниці
- •1.2 Промислове шпигунство
- •2. Аналіз системи безпеки інформації в туристичній фірмі тов «Ді-Тревел»
- •2.1 Коротка характеристика підприємства
- •2.2 Методи і способи захисту комерційної таємниці на тов «Ді-Тревел»
- •3. Недоліки діючого механізму захисту комерційної таємниці та шляхи його вдосконалення
- •Комерційна таємниця: контроль, захист, відповідальність
- •Види інформації з обмеженим доступом за законодавством україни: проблемні питання
- •Введение режима коммерческой тайны и конфиденциальной информации
- •Коммерческая тайна и конфиденциальная информация - не совсем одно и то же
- •Разглашение и ответственность
- •Режим коммерческой тайны - психологическая защита
- •Построение защите - шаг за шагом
- •Примерные формы Приказа по предприятию и Положения о коммерческой тайне и конфиденциальной информации
- •Положение о коммерческой тайне и конфиденциальной информации ооо "х"
- •Содержание
- •1. Общие положения
- •2. Определение перечня сведений, которые составляют коммерческую тайну и конфиденциальную информацию ооо "х"
- •3. Порядок защиты коммерческой тайны и конфиденциальной информации ооо "х"
- •4. Ответственность за разглашение сведений, которые составляют коммерческую тайну и конфиденциальную информацию
- •Обязательствоо о неразглашении коммерческой тайны и конфиденциальной информации ооо "х"
- •Статья 231. Незаконный сбор с целью использования или использования сведений, которые составляют коммерческую или банковскую тайну
- •Статья 232. Разглашение коммерческой или банковской тайны
- •Производственный опыт - способы либо алгоритмы выполнения производственных операций.
- •Iso/iec 27006:2011 "Информационные технологии. Методы и средства обеспечения безопасности. Требования для органов, обеспечивающих аудит и сертификацию систем менеджмента информационной безопасности"
- •Iso/iec 9798-6:2010 "Информационные технологии. Методы защиты. Аутентификация объектов. Часть 6. Механизмы с применением ручной передачи данных"
- •Теорія економічного аналізу - Купалова г.І.
- •1.1. Зародження економічного аналізу в умовах первісної доби і стародавніх цивілізацій
- •1.2. Економічний аналіз у добу Середньовіччя
- •1.3. Становлення та розвиток економічного аналізу в індустріальну та постіндустріальну епохи
- •1.4. Основні етапи розвитку вітчизняного економічного аналізу
- •1.5. Внесок українських вчених у розвиток економічного аналізу
- •6.1. Поділ та характеристика інформації за режимом доступу
- •6.2. Віднесення інформації до державної таємниці
- •6.3. Державна політика щодо державної таємниці та її охорона
- •6.4. Контроль за забезпеченням охорони державної таємниці та нагляд за додержанням законодавства про державну таємницю
- •6.5. Відповідальність за порушення законодавства про державну таємницю
- •Розділ 7. Комерційна таємна інформація
- •7.1. Розвиток, значення та сутність комерційної таємниці
- •7.2. Охорона комерційної таємниці органами державної влади
- •7.3. Правовий захист комерційної таємниці
- •7.4. Відповідальність за порушення законодавства про комерційну таємницю
- •Базилевич в. Д. Інтелектуальна власність: Підручник. — к.: Знання, 2006. — 431 с.
- •7.2. Концепції інформаційного суспільства та інтелектуальної економіки
- •7.3. Інформація та знання як визначальні чинники постіндустріального розвитку
- •7.4. Види та результати інтелектуальної діяльності
- •7.5. Специфіка інтелектуального капіталу
- •7.6. Структура інтелектуального капіталу та специфіка його прояву
- •Д. О. Гетманцев, н. Г. Шукліна Банківське право України. Навчальний посібник. – к.:Центр учбової літератури. – 2007. - 360 стр. Банківська таємниця як окремий вид інформації з обмеженим доступом
- •Особливості роботи з документами, що містять комерційну таємницю підприємства
- •Комерційна таємниця у змі
- •Положення про інформаційну систему, інтелектуальну власність, конфіденційну інформацію та комерційну таємницю
- •Положення
- •Акціонерного товариства “***” розділ 1. “Загальні вимоги та мета Положення”
- •Розділ 2. “Визначення інформаційної системи Підприємства”
- •Що таке комерційна таємниця
- •Інформація, що не може бути визначена підприємством комерційною таємницею
- •Доступ державних органів влади до комерційної таємниці
- •Затверджений перелік відомостей, що є комерційною таємницею, - необхідна умова успішної діяльності підприємства
- •Відповідальність за незаконні дії щодо комерційної таємниці підприємства
- •Висновок
- •Про перелік відомостей, що не становлять комерційної таємниці
- •Нормативна база
- •Особливості захисту інформації в бізнесі
- •Дослідження змісту категорій інформації з обмеженим доступом відповідно до чинного законодавства Укр
- •14.1. Правовий режим інформації з обмеженим доступом
- •Тема 14 Правові основи безпеки господарської діяльності
- •Тема 14 Правові основи безпеки господарської діяльності
- •14.2. Основні види правопорушень та відповідальність у сфері відносин, пов'язаних з комерційною таємницею
- •Інформація як предмет злочину
- •Таємна інформація
- •Про доступ до публічної інформації Стаття 8. Таємна інформація
- •1. Поняття, сутність, завдання комерційної діяльності
- •2. Комерційна інформація, її захист
- •Управління соціальними системами: інформація з обмеженим доступом. Реферат у рефераті розкрито поняття інформації з обмеженим доступом як виду інформаційного ресурсу управління соціальними системами
- •Комерційна таємниця Вступ
- •1. Огляд законодавства України з питань комерційної таємниці
- •2. Захист комерційної таємниці в Україні
- •3. Аналіз проекту Закону України «Про комерційну таємницю»
- •Комерційна таємниця
- •Організаційно-правові форми засекречування інформації, віднесеної до державної таємниці
- •Організаційно-правові форми засекречування інформації, віднесеної до комерційної таємниці
- •Розсекречення інформації
- •Висновок
- •Список літератури
- •Комерційна таємниця і ноу-хау
- •Список літератури
- •Юридичні методи захисту ноу-хау
- •2.1 Патентування
- •2.2 Ліцензування
- •1. Злочини проти конфіденційності, цілісності і доступності
- •2. Злочини, пов'язані з використанням комп'ютерів.
- •3. Злочини, пов'язані з порушенням авторських і суміжних прав з
- •4. Злочин, пов'язані зі змістом даних.
- •Термінологія
- •Історія криптографії
- •Найдавніші часи - Стародавній Рим
- •Арабський період
- •Відродження
- •Новий час
- •19 Століття
- •Початок 20-го століття
- •Початок комп'ютерної ери
- •Асиметричні системи
- •Посилання
- •Джерела інформації
- •Застосування бази знань
- •Відношення
- •Спеціалізовані й загальні онтології
- •Мови опису онтологій
- •Бази знань в інтелектуальній системі
- •Класифікація ііс
- •Класифікація завдань, вирішуваних ііс
- •Типова схема функціонування інтелектуальної системи
- •Література
- •Імовірнісний пошук
- •Алгоритми прийняття рішень
- •Пошук з використанням алгоритмів розвитку
- •Рівні документації в установі
- •Дсту 2732:2004 .Діловодство й архівна справа: "Документ - інформація, зафіксована на матеріальному носії, основною функцією якого є зберігати та передавати її в часі та просторі.".
- •Складові частини документа Інформаційна складова
- •Матеріальна складова
- •Структура документа
- •Текст документа
- •Документування
- •Строки зберігання документів
- •Походження
- •Властивості документа
- •Н. М. Кушнаренко вважає
- •Функції документа
- •Загальні функції
- •Спеціальні функції
- •Список використаних джерел
- •I. Загальні положення
- •II. Структура Переліку і порядок його застосування
- •Список скорочень
- •2. Реальна, нереальна й невизначена інформація 3
- •3. Псевдоінформація, параінформація та метаінформація 4
- •14.1. Правовий режим інформації з обмеженим доступом 218
- •14.2. Основні види правопорушень та відповідальність у сфері відносин, пов'язаних з комерційною таємницею 222
- •Основні принципи
- •Історія
- •Завдання інформатики
- •Інформація, дані, знання
- •Консолідована інформація і промислове шпигунство
- •Процес консолідації інформації
- •Продукти консолідації інформації
- •Проблеми підготовки фахівців з консолідованої інформації
- •Примітки
- •Джерела
- •Посилання
- •Функції «першого відділу» в установах срср
- •«Перші відділи» в Україні
- •Примітки
- •Що охороняє наукова цензура?
- •Читайте також
- •Що каже законодавство?
- •Що каже здоровий глузд і досвід міжнародного наукового співробітництва?
- •Як це відбувається
- •Що каже адміністрація?
- •Учені заперечили основну версію походження людини
- •У Китаї знайшли останки невідомого предка людини (фото)
- •Класифікація знань За природою
- •За ступенем науковості
- •За місцем знаходження
- •Особливі характеристики знання
- •Управління знаннями
- •Безпосереднє знання
- •Проблеми розуміння
- •Етимологія терміну
- •Визначення
- •Від середньовіччя до сучасності
- •Античні часи
- •Різні види досліджень
- •Загальна характеристика
- •Розробка завдання на проведення патентних досліджень
- •Розробка регламенту пошуку
- •Визначення предмету пошуку
- •Визначення країн пошуку інформації
- •Визначення глибини пошуку
- •Визначення класифікаційних рубрик
- •Вибір джерел інформації
- •Збирання первинної інформації
- •Збирання вторинної інформації
- •Емпіричне знання
- •Теоретичне знання
- •Література
- •Історичний огляд
- •Види (методи) пізнання
- •Типи пізнання
- •Джерела
- •Поняття і питання гносеології
- •Властивості свідомості
- •Функції свідомості
- •Властивості
- •Закономірності при відчутті
- •Види людських відчуттів
- •Дистантні відчуття
- •Контактні відчуття
- •Глибинні відчуттяЧуттєвість від внутрішніх органів , м'язова чуттєвість, Вестибулярна чуттєвість
- •Види істини
- •Етимологія
- •Розвиток скептицизму
- •Структура практики
- •Види практики
- •Види програмних документів
- •Поняття ноу-хау в світовій торгівлі
- •1. Особливості торгівлі «ноу-хау» 5
- •2. Способи оплати «ноу-хау» 9
- •1. Особливості торгівлі «ноу-хау»
- •2. Способи оплати «ноу-хау»
- •Економічна ефективність обміну ліцензіями і ноу-хау
- •§ 6. Інформація як об'єкт цивільних прав
- •Таємна інформація
- •Види на які поділяється інформація згідно чинного законодавства
- •Яка буває інформація в Україні?
- •Стадник в.П.
- •Сутність і значення комерційної інформації. Комерційна таємниця підприємства
- •Список використаних джерел:
- •Прозорість влади: доступ до інформації та участь у прийнятті рішень
4. Злочин, пов'язані зі змістом даних.
Правопорушення, пов'язані з дитячою порнографією (порнографічними матеріала-
ми, що візуально відображають участь неповнолітньої чи удаваної повнолітньою особи в
сексуально відвертих діях, а також реалістичні зображення, що представляють неповноліт-
ніх, які беруть участь у сексуально відвертих діях), а саме:
- виробництво з метою поширення через комп'ютерні системи;
- пропозиція чи надання через комп'ютерні системи;
- розповсюдження чи передача через комп'ютерні системи;
- придбання через комп'ютерну систему для себе чи для іншої особи;
- володіння дитячою порнографією, що знаходиться в комп'ютерній системі або в
середовищі для збереження комп'ютерних даних.
Суб'єктом кіберзлочинів може бути фізична особа, яка скоїла зазначені вище дії.
Виходячи з практики, що складається в різних країнах, норми Конвенції вимагають
установлення відповідальності юридичних осіб за правопорушення, передбачені нею. Умо-
вами настання відповідальності юридичної особи є: (1) здійснення дії (2) з метою одер-
жання вигоди на користь юридичної особи (3) його посадовою особою, що займає керівну
посаду, (4) з використанням його повноважень по представленню юридичної особи, прий-
няттю рішень або здійсненню контролю за його діяльністю.
Крім того, Конвенція наказує установлювати відповідальність юридичних осіб також
у випадках здійснення протиправних дій іншим працівником під керівництвом особи, що
займає керівну посаду, з метою одержання вигоди на користь юридичної особи.
Суб'єктивна сторона кіберзлочинів. Усі злочини, згадані в нормах Конвенції, пере-
дбачають відповідальність тільки у випадку їх здійснення навмисне. У деяких статтях
Конвенції, що встановлюють злочинність “традиційних” злочинів, вчинених з використан-
ням комп'ютера чи комп'ютерної інформації, передбачено, що навмисна форма провини
має характеризувати не лише саме діяння, а й протиправне їх використання, хоч це і є
кваліфікуючою ознакою таких злочинів (приміром, ст. 8 – шахрайство з використанням
комп'ютера). Поряд зі вчиненими злочинами в Конвенції передбачається необхідність уста-
новлення відповідальності за замах, співучасть чи підбурювання до його здійснення.
Відповідно до норм Конвенції встановлення конкретних санкцій за здійснення зазна-
чених діянь віднесено до ведення держав країн-членів, що підписали Конвенцію. На їх
розсуд може встановлюватися кримінальна відповідальність для фізичних осіб, а також
карна, цивільно-правова або адміністративна відповідальність юридичних осіб.
Передбачені внутрішньодержавним законодавством санкції мають бути ефективними,
пропорційними і переконливими.
Карно-процесуальні аспекти Конвенції. Однієї з головних особливостей Конвенції
є те, що в ній запропоновано виходити з того положення, що головна роль у регулюванні
карного процесу розслідування злочинів у сфері комп'ютерної злочинності належить
національному законодавству. У силу цього Конвенція включає гл. 2 “Заходи, що слід
прийняти на національному рівні”, якою передбачено включення в національний карний
процес норм щодо процесуальних дій, специфічних для розслідування і судового розгляду
по справах про комп'ютерні злочини.
У коло процесуальних норм, запропонованих у Конвенції для включення в
національне законодавство, входять, насамперед, відомі слідчі дії, доповнені певними особ-
ливостями, пов'язаними зі специфікою, властивостями доказової інформації у формі
комп'ютерних даних.
У силу цього, насамперед, коло процесуальних інститутів пропонується доповнити
новим видом обшуку і виїмки - обшук і виїмка збережених комп'ютерних даних.
Конвенція містить розпорядження про те, що:
обшукові чи іншій подібній до слідчої дії, що забезпечує безпосереднє одержання
доказової інформації, можуть бути піддані (а) комп'ютерні системи чи їхні частини, а також
комп'ютерні дані, що зберігаються там та (b) середовище для збереження комп'ютерних
даних, у якому можуть зберігатися шукані комп'ютерні дані;
якщо під час обшуку є підстави думати, що шукані дані зберігаються в іншій
комп'ютерній системі чи її частині і коли такі дані доступні з першої системи або можуть
бути отримані з її допомогою, компетентні органи вправі негайно “поширити” вироблений
обшук на цю іншу систему;
при виявленні шуканих комп'ютерних даних компетентні органи вправі: (а) зробити
виїмку обчислювальної системи, її частини чи середовища для збереження комп'ютерних
даних або іншим подібним чином накласти арешт на них; (b) виготовити і зберегти копії
відповідних комп'ютерних даних; (с) забезпечити збереження цілісності стосовних до спра-
ви збережених комп'ютерних даних; (d) зробити ці комп'ютерні дані в комп'ютерній
системі, доступ до якої був отриманий, недоступними або видалити їх з неї;
означає будь-які комп'ютерні дані, що належать до передачі інформації за посеред-
ництвом обчислювальної системи та генеруються обчислювальною системою, як складовою
відповідного комунікаційного ланцюжка, і вказують на джерело, призначення, шлях чи
маршрут, час, дату, розмір, тривалість чи тип відповідного мережного сервісу.
Для забезпечення виїмки необхідних комп'ютерних даних компетентні органи вправі
зобов'язати будь-яку особу, яка володіє знаннями про функціонування відповідної
комп'ютерної системи чи застосовувані заходи захисту, надати відповідну допомогу.
Поряд з цим у Конвенції передбачається необхідність формування на
внутрішньодержавному рівні правових основ нових процесуальних дій. До них також
належать:
По-перше, негайне забезпечення схоронності збережених комп'ютерних даних,
зокрема дані про потоки інформації, що були генеровані і збережені за допомогою
комп'ютерної системи, коли маються підстави вважати, що ці дані особливо піддано ризику
втрати чи модифікації. Воно має здійснюватися на підставі розпорядження компетентних
органів, відданого будь-якій особі, у володінні чи під контролем якої знаходяться
комп'ютерні дані. Конкретний термін збереження Конвенцією не встановлений, але позна-
чений як “адекватний період часу, що дозволить компетентним органам домогтися розкрит-
тя цих комп'ютерних даних”. Це означає, що запропонований процесуальний інститут не
дає правових підстав для прямого доступу органів влади до комп'ютерної інформації, а ли-
ше створює передумови для нього, будучи мірою попереднього характеру. При цьому під
схоронністю даних слід розуміти залишення їх у тому вигляді, в якому вони вже
зберігаються в ЕОМ, захистивши від будь-яких зовнішніх впливів;
По-друге, негайне забезпечення схоронності і часткове розкриття даних про по-
токи інформації. Воно відрізняється від попереднього тим, що підлягає застосуванню у
випадках, коли йдеться про необхідність збереження зведень щодо повідомлення
електрозв'язку, переданих по комп'ютерним мережам. Це має дозволити негайно зберігати
дані про потоки інформації “незалежно від того, один чи більше число постачальників по-
слуг були втягнуті в передачу відповідного повідомлення”, а з іншого - негайно розкривати
ці дані компетентним органом в обсягах, достатніх, щоб “ідентифікувати постачальників
послуг і шлях, яким передавалося повідомлення”, тобто фактично для того, щоб оператив-
но відстежити проходження комп'ютерної інформації в мережах від місця введення до
кінцевого адресата;
По-третє, віддача розпорядження про пред'явлення. Таке розпорядження може
бути віддано (1) особі – про пред'явлення комп'ютерних даних, підконтрольних особі, що
зберігаються в комп'ютерній системі або в іншому середовищі для збереження
комп'ютерних даних, (2) постачальнику послуг – зведень про його абонентів. До останнього
належить будь-яка наявна у постачальникові послуг інформація про користувачів, виражена
як у формі комп'ютерних даних, так і в будь-якій іншій формі (за винятком даних про пото-
ки чи зміст інформації), за допомогою якої можна установити: тип використаного зв'язку,
його технічні умови і час здійснення; особистість користувача, його адреса, номери
телефонів та інших засобів доступу, зведення про виставлені йому рахунки і зроблені їм
платежі; будь-які інші зведення про місце установки комунікаційного устаткування. Слід
зазначити, що норми Конвенції допускають застосування даного виду нових повноважень
строго на індивідуальній основі для вирішення завдань розслідування конкретних
кримінальних справ. У зв'язку з цим слід розуміти, що ці нові повноваження не повинні ви-
користовуватися з метою змусити всіх постачальників послуг постійно накопичувати і
зберігати зведення про всіх своїх абонентів, усю передану ними комп'ютерну інформацію
тощо;
По-четверте, збір і запис із застосуванням технічних засобів у режимі реального ча-
су даних про потоки інформації, передані через комп'ютерні системи.
Нормами Конвенції передбачено наділення повноваженнями здійснювати цю
діяльність як компетентними органами держави, так і за їх указівкою постачальників по-
слуг. Даний вид діяльності розрахований на застосування тощо зведень про повідомлення,
переданих мережами електрозв'язку, що формуються (створюються) безпосередньо в мо-
мент реалізації таких повноважень. При цьому здійснюється передача нематеріальних
об'єктів (наприклад, у формі електромагнітних імпульсів), а їх збір і запис не заважають
проходженню самого повідомлення мережами електрозв'язку до адресата.
По-п'яте, перехоплення (збирання і запис) даних про зміст повідомлень, переда-
них за допомогою комп'ютерних систем, здійснюване як компетентними органами дер-
жави, так і постачальниками послуг за їх указівкою. Даний інститут аналогічний поперед-
ньому, але стосується безпосередньо змістовної частини повідомлень, переданих мережами
електрозв'язку.
Хоча в нормах Конвенції детально і не прописано механізм правового регулювання
реалізації двох останніх способів збирання комп'ютерної інформації, наявний досвід і
співвіднесеність з нормами законодавства інших країн дозволяють стверджувати, що вони,
імовірно, у даний час підлягають використанню шляхом проведення оперативно-
розшукових заходів.
Запропонована концепція безпеки комп'ютерних даних і систем за рекомендаціями
Конвенції Ради Європи та її тлумачення можуть бути корисними для фахівців при створенні
захищених комп'ютерних систем, а також для гармонізації законодавчих актів України як
країни-учасниці щодо сумлінного виконання рекомендацій цієї Конвенції та їх впроваджен-
ня у практичну діяльність органів внутрішніх справ України для їх інформаційного забезпе-
чення.
В 1992р. Держтехкомісія (ДТК) при Президенті Російської федерації опублікувала
п’ять Керівних документів щодо захисту від несанкціонованого доступу до інформації [1].
Ці документи чинні і в Україні. Ідейною основою цих документів є "Концепція захисту
засобів обчислювальної техніки від несанкціонованого доступу до інформації (НСД)". З
точки зору розробників цих документів основна задача засобів безпеки – це забезпечення
захисту від несанкціонованого доступу до інформації. Документи ДТК встановлюють
дев’ять класів захищеності автоматизованих систем (АС) від НСД (3Б, 3А, 2Б, 2А, 1Д, 1Г,
1В, 1Б, 1А), кожний з яких характеризується певною сукупністю вимог до засобів захисту.
Класи поділяються на три групи (1, 2, 3), що відрізняються специфікою обробки
інформації в АС. Група АС визначається на основі наступних ознак або вимог: наявність в
АС інформації різного рівня конфіденційності; рівень повноважень користувачів АС на
доступ до конфіденційної інформації; режим обробки даних в АС (колективний чи
індивідуальний).
Третя група включає АС, в яких працює один користувач, допущений до всієї
інформації АС, яка розміщена на носіях одного рівня конфіденційності (класи 3Б, 3А).
Друга група включає АС, в яких користувачі мають однакові повноваження доступу
до всієї інформації, що оброблюється та/або зберігається в АС на носіях різного рівня
конфіденційності (класи 2Б, 2А).
Перша група включає багато користувачеві АС, в яких одночасно оброблюється
та/або зберігається інформація різних рівнів конфіденційності (класи 1Д, 1Г, 1В, 1Б, 1А).
На розробку Керівних документів Російської Федерації найбільший вплив здійснили
критерії TCSEC США, але цей вплив в основному стосується орієнтації цих документів на
обчислювальні системи військового призначення та використання універсальної шкали сту-
пеню захищеності інформації.
На рис. 2 наведено структурно-функціональний склад системи захисту інформації АС
від загроз несанкціонованого доступу. Так, система захисту інформації від
несанкціонованого доступу (СЗІ НСД) містить чотири типових (базових) підсистеми з на-
ступними основними функціями захисту:
1. Підсистема управління доступом (ідентифікація, перевірка справжності, кон-
троль доступу, управління потоками інформації);
2. Підсистема реєстрації та обліку (реєстрація та облік; облік носіїв інформації;
очищення областей пам’яті, що звільнюються; сигналізація щодо спроб порушення захис-
ту);
3. Підсистема криптографічна (шифрування конфіденційної інформації; шифру-
вання інформації, що належить різним суб’єктам доступу або групам доступу з різними
ключами);
4. Підсистема забезпечення цілісності (забезпечення цілісності програмних засобів
та інформації, що оброблюється; фізична охорона засобів обчислювальної техніки та носіїв
інформації; наявність адміністратора безпеки інформації; періодичне тестування системи
захисту інформації від НСД; засоби відновлення системи захисту інформації від НСД; ви-
користання сертифікованих засобів захисту).
До недоліків даного стандарту Російської Федерації відносяться відсутність вимог до
захисту від загроз працездатності, орієнтація на протидію загрозам НСД і відсутність вимог
до адекватності реалізації політики безпеки. Поняття “політика безпеки” трактується винят-
ково як підтримка режиму таємності і відсутність НСД, що принципово не вірно.
Але системна Концепція захисту інформації в АС від НСД Російської Федерації
принципово та обґрунтовано визначає типовий (базовий) підсистемний склад СЗІ НСД. Та-
кого підходу доцільно дотримуватись при створенні КСЗІ і в Україні.
Незважаючи на зазначені недоліки, документи ДТК заповнили правовий вакуум в
області стандартів інформаційної безпеки і в нашій країні і на визначеному етапі оператив-
но вирішили актуальну проблему захисту інформації від загроз НСД до появи наших
вітчизняних НД ТЗІ.
Таким чином, системну концепцію захисту інформації від несанкціонованого досту-
пу Російської Федерації можна використати для формування політики безпеки інформації
комп’ютерних систем від загроз несанкціонованого доступу шляхом створення системи
захисту від НСД, яка по своєму складу має містити функціонально окремі чотири базових
підсистеми зі своїми типовими функціями захисту. Ця системна концепція фахівцями з пи-
тань технічного захисту інформації вважається досить довгостроковою і перспективною.
По-перше, вона системна щодо базового складу підсистем зі своїми базовими
функціями захисту від загроз НСД.
По-друге, вона гармонічно поєднує до єдиного цілого часом суперечливі та
функціонально самостійні функції технічного і криптографічного захисту інформації в
комп’ютерних системах від загроз НСД.
І нарешті, вона підказує та орієнтує вітчизняних розробників та власників
комп’ютерних систем щодо системних шляхів створення системи захисту від загроз НСД
(СЗІ НСД), але в іншій постановці задачі і включно за вимогами вітчизняних НД ТЗІ. Так,
обов’язковими підсистемами повинні бути підсистема управління доступом, підсистема
реєстрації та обліку, підсистема забезпечення цілісності, криптографічна підсистема,
підсистема функціональних послуг безпеки, підсистема гарантійних послуг безпеки,
підсистема профільних послуг безпеки тощо [1, 11]. Всі ці підсистеми доцільно визначати
обов’язковими складовими комплексної системи захисту інформації.
В Україні в 1999р. було вперше введено в дію вітчизняний пакет із п’яти норматив-
них документів НД ТЗІ з питань технічного захисту інформації комп’ютерних систем від
несанкціонованого доступу.
1. НД ТЗІ 1.1-002-99 "Загальні положення щодо захисту інформації в комп’ютерних
системах від несанкціонованого доступу" (далі Загальні положення). В цьому нормативно-
му документі визначаються та регламентуються:
постановка проблеми захисту інформації в комп’ютерних системах від
несанкціонованого доступу за основними напрямами захисту;
концепція забезпечення захисту інформації: основні загрози інформації; політика
безпеки інформації; комплекс засобів захисту і об’єктів комп’ютерної системи; визначення
несанкціонованого доступу; модель порушника.
основні принципи забезпечення захисту інформації: планування захисту і керування
системою захисту; основні принципи керування доступом (безперервний захист, атрибути
доступу, довірче й дміністративне керування доступом, забезпечення персональної
відповідальності); послуги безпеки; гарантії безпеки.
основні принципи реалізації програмно-технічних засобів: функції і механізми за-
хисту; реалізація комплексу засобів захисту; концепція диспетчера доступу.
2. НД ТЗІ 2.5-004-99 "Критерії оцінки захищеності інформації в комп’ютерних сис-
темах від несанкціонованого доступу" (далі Критерії). В цьому нормативному документі
визначаються та регламентуються:
побудова та структура критеріїв захищеності інформації;
критерії конфіденційності (довірча конфіденційність, адміністративна
конфіденційність, повторне використання об’єктів, аналіз прихованих каналів,
конфіденційність при обміні);
критерії цілісності (довірча цілісність, адміністративна цілісність, відкат, цілісність
при обміні);
критерії доступності (використання ресурсів, стійкість до відмов, гаряча заміна,
відновлення після збоїв);
критерії состереженості (реєстрація, ідентифікація і автентифікація, достовірний ка-
нал, розподіл обов’язків, цілісність комплексу засобів захисту, самотестування,
ідентифікація й втентифікація при обміні, автентифікація відправника, автентифікація от-
римувача);
критерії гарантій (архітектура, середовище розробки, послідовність розробки, сере-
довище функціонування, документація, випробування комплексу засобів захисту);
функціональні послуги за окремим Додатком А;
гарантії і процес оцінки за окремим Додатком Б.
Додаток А визначає принципові положення та обґрунтування критеріїв
конфіденційності, цілісності, доступності, спостереженості.
Додаток Б визначає принципові положення та обґрунтування критеріїв гарантії без-
пеки рівнів Г-1…Г-7 і процес їх оцінки. Цей додаток має принципове значення для визна-
чення і порозуміння фахівцями практичних шляхів забезпечення рівнів гарантії безпеки Г-
1…Г-7 за трьома їх ознаками: показ послуги безпеки (послуга є чи ні), демонстрація по-
слуги безпеки (послуга працює чи ні), доказ послуги безпеки (послуга ефективна чи ні).
3. НД ТЗІ 2.5-005-99 "Класифікація автоматизованих систем і стандартні
функціональні профілі захищеності оброблюваної інформації від несанкціонованого досту-
пу". В цьому нормативному документі визначаються та регламентуються:
класифікація автоматизованих систем за трьома їх класами (клас 1 -персональна
ЕОМ, клас 2 - локальна обчислювальна мережа), клас 3 – глобальна обчислювальна мере-
жа);
функціональні профілі захищеності (визначення і призначення, семантика профілю,
стандартні профілі);
стандартні функціональні профілі захищеності для АС класу 1, 2, 3;
додаток А для вибору профілю захищеності АС залежно від їх призначення - для
автоматизації діяльності органів державної влади, для автоматизації банківської діяльності,
для керування технологічними процесами, для довідково-пошукових систем.
4. НД ТЗІ 3.7-001-99 "Методичні вказівки щодо розробки технічного завдання на
створення комплексної системи захисту інформації в автоматизованій системі" (далі
Класифікація АС). В цьому нормативному документі визначаються та регламентуються:
загальні вимоги до розробки технічного завдання на створення комплексної системи
захисту інформації в автоматизованій системі (порядок розробки і зміст технічного завдан-
ня);
вимоги до змісту розділів технічного завдання (загальні відомості, мета і призначен-
ня КСЗІ, загальна характеристика автоматизованої системи і умов її функціонування, вимо-
ги до КСЗІ в частині захисту від НСД та в частині захисту від витоку інформації технічними
каналами);
вимоги до складу проектної та експлуатаційної документації;
етапи виконання робіт;
порядок внесення змін і доповнень до технічного завдання;
порядок проведення випробувань КСЗІ.
5. НД ТЗІ 1.1-003-99 "Термінологія в галузі захисту інформації в комп’ютерних сис-
темах від несанкціонованого доступу". В цьому нормативному документі визначаються та
регламентуються основні терміни і поняття: властивості інформації і загрози; створення і
експлуатація захищених систем; принципи, послуги і механізми забезпечення безпеки.
Приємно вказати, що для практичної реалізації та апробації вимог цих нормативних
документів НД ТЗІ, а також для практичного їх використання в навчальному процесі
Національної академії внутрішніх справ України, фахівцями НДІ НАВСУ було розроблено
програмний Delphi-продукт у вигляді Експертної системи "Торсіон-1" в рамках планової
НДР "Базова модель експертної системи оцінки безпеки інформації в комп’ютерних систе-
мах органів внутрішніх справ України" [1]. На Експертну систему “Торсіон-1" одержано
Свідоцтво Державного департаменту інтелектуальної власності Міносвіти і науки України
про реєстрацію авторського права на твір № 14446 від 20.11.2005 та позитивний висновок
НАВСУ на використання Експертної системи в навчальному процесі академії.
Таким чином, за кращим міжнародним і вітчизняним досвідом можна зробити висно-
вок, що при формуванні політики безпеки комп’ютерних систем одним із пріоритетних і
магістральних напрямків був, є і буде захист від загроз несанкціонованого доступу (НСД).
Таким чином, ми розглянули основні положення системної концепції захисту
інформації від несанкціонованого доступу в засобах обчислювальної техніки та автомати-
зованих системах Російської Федерації. Основна прикладна цінність розглянутих концепту-
альних підходів полягає у визначенні чотирьох базових (типових) підсистем будь-якої сис-
теми захисту інформації від несанкцінованого доступу: підсистемиа управління доступом,
підсистеми реєстрації та обліку, криптографічної підсистеми та підсистема забезпечення
цілісності. Ці системні підходи лягли в основу побудови будь-якої системи захисту
інформації в комп’ютерних, автоматизованих системах від несанкціонованого доступу. Але
цього вже не достатньо, необхідна більш детальна та більш універсальна декомпозиція
підсистемних сладових СЗІ НСД.
За результатами проведених досліджень вперше пропонується нова та більш істотно
і багатофактоно декомпозована концепція побудови системи захисту інформації в
комп’ютерних, автоматизованих системах від несанкціонованого доступу. Основними пе-
ревагами цієї концепції є наступні чинники.
По-перше, відповіднсть вимогам вітчизняних нормативних документів з питань за-
хисту інформації в комп’ютерних, автоматизованих системах від несанкціонованого досту-
пу.
По-друге, визначення вимог до реалізації профільних послуг безпеки КС, АС
підкласів К, Ц, Д, Ц, КД, ЦД, КЦД.
По-третьє, визначення як істотних і типових не тільки технчних, але й
організаційних заходів захисту КС, АС від загроз НСД.
На рис. 3 вперше пропонується концептуальа модель системи захисту інформації в
комп’ютерних системах від загроз несанкціонованого доступу.
Підсистема профільних послуг безпеки визначає наступні послуги:
підвищені вимоги до конфіденційності інформації, тобто реалізація КС, АС підкласу
К;
підвищені вимоги до цілісності інформації, тобто реалізація КС, АС підкласу Ц;
підвищені вимоги доступності інформації, тобто реалізація КС, АС підкласу К;
підвищені вимоги до конфіденційності і цілісності інформації, тобто реалізація КС,
АС підкласу КЦ;
підвищені вимоги до конфіденційності і доступності інформації, тобто реалізація КС,
АС підкласу КД;
підвищені вимоги до цілісності і доступності інформації, тобто реалізація КС, АС
підкласу ЦД;
підвищені вимоги до конфіденційності, цілісності і доступності інформації, тобто
реалізація КС, АС підкласу КЦД..
Підсистема гарантійних послуг безпеки визначає наступні послуги:
множину послуг безпеки рівня гарантії безпеки Г-1;
множину послуг безпеки рівня гарантії безпеки Г-2;
множину послуг безпеки рівня гарантії безпеки Г-3;
множину послуг безпеки рівня гарантії безпеки Г-4;
множину послуг безпеки рівня гарантії безпеки Г-5;
множину послуг безпеки рівня гарантії безпеки Г-6;
множину послуг безпеки рівня гарантії безпеки Г-7.
Підсистема цілісності інформації і ресурсів визначає наступні послуги безпеки:
програмні засоби забепечення цілісності інформації і ресурсів КС, АС;
фізична безпека засобів обчислювальної техніки;
оброблювана інформація без дублювання функціональних Ц-послг безпеки;
адміністрування дотримання обраної політики безпеки;
періодичні тести політики безпеки;
засоби відновлення послуг безпеки;
сертифіковані засоби захисту.
Підсистема закриття сервісної інформації визначає наступні послуги безпеки щодо
таких чинників:
оброблювана інформація ІзОД;
суб’єкти доступу;
групи суб’єктів доступу;
адміністратор безпеки;
Підсистема антивірусної безпеки займає окреме місце. Вона визначає послуги безпе-
ки щодо захисту від комп’ютерних вірусів, а також надає можливість прогнозувати стан
антивірусної безпеки новим методом AVS-правил [11].
Підсистема організаційних послуг безпеки включає в себе:
захист від неконтрольованого і несанкціонованого ознайомлення з інформацією;
захист від неконтрольованого і несанкціонованого розмноження інформації;
захист від неконтрольованого і несанкціонованого розповсюдження інформації;
захист від неконтрольованого і несанкціонованого копіювання інформації;
захист від неконтрольованого і несанкціонованого відновлення інформації;
захист від неконтрольованої і несанкціонованої модифікації інформації;
облік дій усіх користувачів;
контроль облікованих подій;
своєчасний доступ користувачів;
реквізити носіїв інформації.
Висновки
Таким чином, необхідність та актуальність запропонованої Концепції зумовлена на-
ступними чинниками.
1. Реалізація і впровадження нових науково-практичних положень нормативного до-
кументу НД ТЗІ 2.5-005-99 щодо необхідності визначення окрім класів 1, 2, 3 ще підкласів
автоматизованих комп’ютерних систем типу К, Ц, Д, КЦ, КД, ЦД, КЦД.
2. Надання можливості кількісної експертної і тендерної оцінки профільних послуг
безпеки автоматизованих комп’ютерних систем підкласів К, Ц, Д, КЦ, КД, ЦД, КЦД.
3. Необхідність гармонізації кваліфікаційних ознак злочинів у сфері використання
ЕОМ (комп’ютерів), комп’ютерних систем і мереж та мереж електрозв’язку за ст.ст. 361-
363 з примами КК України з рекомендаціями Конвенції Ради Європи про кіберзлочинність
щодо боротьби зі злочинами проти конфіденційності, цілісності та доступності
комп’ютерних даних і систем, а також зі злочинами, пов’язаними з використанням
комп’ютерів.
4. Необхідність гармонізації послуг безпеки комп’ютерних систем з вимогами
міжнародного стандарту ISO 17799 (Практичні правила управління інформаційною безпе-
кою) щодо пріоритетності формування та дотримання положень обраної політики безпеки.
5. Основна увага в Концепції при побудові системи захисту інформації в інформацій-
но-телекомунікаційних системах акцентується на дотриманні, перш за все, рекомендацій
Конвенції Ради Європи щодо боротьби зі злочинами проти конфіденційності, цілісності і
доступності комп’ютерних даних і систем та зі злочинами, пов’язаними з використанням
комп’ютерів, а також на дотриманні вимог першого вітчизняного пакету 1999 року з п’яти нормативних документів з питань захисту інформації від несанкціонованого доступу в
комп’ютерних й автоматизованих системах різних класів і підкласів.
Література
1. А.Ю. Ільніцький, В.В.Шорошев, І.Л.Близнюк. Монографія “Базова модель експертної сис-
теми оцінки безпеки інформації в комп‘ютерних системах органів внутрішніх справ України” (шифр
“Торсіон-1”). Свідоцтво Державного департаменту інтелектуальної власності Міносвіти і науки
України про реєстрацію авторського права на твір № 14446 від 20.11.2005 у вигляді програмного
продукту “Торсіон-1”. – К.: Видавництво НАВСУ, 2003р. – 316с.
2. Шорошев В.В., Домарев В.В. Рекомендации по обеспечению безопасности конфиденци-
альной информации согласно европейским "Критериям оценки безопасности информационных тех-
нологий ITSEC" (Information Technology Security Evaluation Crіteria). Журнал “Бизнес и безопасность”
№ 3, 1998г.
3. Шорошев В.В., Ильницкий А.Е. Журнал “Бизнес и безопасность” № 1 1999г. Рекомендации
по основам информационной безопасности согласно Единых критериев ССITSE (Common Criteria
for Information Technology Security Evaluation), 1996-1997 г.г.
4. Стандарт ISO/IEC 17799:2000 (BS 7799). Практичні рекомендації з керування
інформаційною безпекою.
5. Стандарт ISO/1EC 15408:2000. Information technology - Security techniques -Evaluation criteria
for IT security. - Part 1: Introduction and general model.
6. Стандарт ISO/IEC 15408:2000. Information technology - Security techniques Evaluation criteria
for IT security. - Part 2: Security functional requirements.
7. Стандарт ISO/IEC 15408:2000. Information technology - Security techniques -Evaluation criteria
for IT security. - Part 3: Security assurance requirements.
8. Шорошев В.В. Модель угроз для локальних вычислительных сетей по рекомендаціям Кон-
венции Сонета Европы о кибеопреступности. Науково-виробничий журнал Державної адміністрації
зв’язку та інформатизації України “Зв’язок” № 4, 2005. С. 37-42.
9. Шорошев В.В., Близнюк И.Л., Балина С.Н. Классификация угроз для компьютерніх данных
и систем по рекомендациям Конвенции о киберпреступности Сонета Европы. Бизнес и безопасность
№ 1, 2005. С.36-39.
10. Шорошев В.В., Близнюк І.Л. Моделі загроз комп’ютерним даним і системам за Конвенцією
Ради Європи про кіберзлочинність. // Науковий вісник НАВСУ. – К., 2005. - № 6.- С.119-128.
11. Шорошев В.В. Основи формування політики безпеки комп’ютерних систем. Наукове ви-
дання – К.: Бизнес и безопасность, 2006. – 141с.
Статтю подано 23.10.2009
Криптогра́фія (від грецького kryptós — прихований і gráphein — писати) — наука про математичні методи забезпечення конфіденційності (неможливості прочитання інформації стороннім) і автентичності (цілісності і справжності авторства) інформації. Розвинулась з практичної потреби передавати важливі відомості найнадійнішим чином. Для математичного аналізу криптографія використовує інструментарій абстрактної алгебри.
Для сучасної криптографії характерне використання відкритих алгоритмів шифрування, що припускають використання обчислювальних засобів. Відомо більше десятка перевірених алгоритмів шифрування, які, при використанні ключа достатньої довжини і коректної реалізації алгоритму, роблять шифрований текст недоступним для криптоаналізу. Широко використовуються такі алгоритми шифрування як Twofish, IDEA, RC4 та ін.
У багатьох країнах прийняті національні стандарти шифрування. У 2001 році в США прийнятий стандарт симетричного шифрування AES на основі алгоритму Rijndael з довжиною ключа 128, 192 і 256 біт. Алгоритм AES прийшов на зміну колишньому алгоритмові DES, який тепер рекомендовано використовувати тільки в режимі Triple-DES (3DES).