Лекція 3. Законодавча база ІБ

Лекція 3. Законодавча база ІБ

Лекція присвячена розгляду українського і закордонного законодавства ІБ.

 

Законодавчий рівень ІБ. 2

Огляд російського законодавства по ІБ. 3

Правові акти загального призначення. 3

Громадянський кодекс. 3

Кримінальний кодекс. 4

Закон "Про державну таємницю" (зі змінами і доповненнями до 22.08.2004). 5

Закон "Про інформацію, інформаційні технології і про захист інформації" 6

Інші закони і нормативні акти. 13

Закон «Про ліцензування окремих видів діяльності». 13

Закон "Про участь в міжнародному інформаційному обміні" 15

Закон "Про електронний цифровий підпис" 17

Огляд законодавства західноєвропейських країн та США по ІБ. 23

американський "Закон про інформаційну безпеку" 23

"Про удосконалення інформаційної безпеки" 25

Закон про захист даних. 29

стандарти BS 7799. 30

Нормативно-правова база України. 32

Законодавча і нормативна база захисту інформації в Україні 32

Закон України «Про інформацію». 33

Закон України «Про захист інформації в інформаційно-телекомунікаційних системах». 33

Нормативні документи системи технічного захисту інформації 34

Висновки. 36

Законодавчий рівень ІБ

Для забезпечення ІБ досягти успіху можна лише комплексно використовуючи заходи

· законодавчого;

· адміністративного (накази, розпорядження керівництва, пов’язані з захистом інформації);

· процедурного (заходи безпеки, які орієнтовані на співробітників);

· програмно-технічного рівнів.

Законодавчий – один з найважливіших рівнів. Головне – створити на законодавчому рівні механізм
узгодження процесу розробоки законів з реаліями і прогресом інформаційних технологій. Законодавчий рівень – це вплив на мотивацію.

Другою частиною законодавчої бази є стандарти. При побудові захисту важливо досягти розумного компроміс у між захищеністю, функціональністю, зручністю в експлуатації та вартістю системи. Потрібно точно визначити висунуті до системи вимоги, що і яким чином вона має забезпечувати, а також в який спосіб це можна перевірити і оцінити.

Викорінення вад захисту — це лише тактичний крок – «підхід знизу». Він позбавляє систему від окремих уразливостей і підвищує її захищеність, але не дозволяє оцінити, якою мірою було виконано це завдання і чи було досягнуто необхідного рівня захисту. Безпека системи — характеристика якісна, яку неможливо виміряти. Єдиний спосіб оцінити захищеність систем і узгодити думки різних фахівців щодо цього — розробити стандарт, який би регламентував

концепції інформаційної безпеки,

методи її досягнення,

вимоги до систем і

шляхи їх реалізації,

а також надавав систему критеріїв і

процедури оцінювання систем за цими критеріями.

Фактично, стандарти визначають стратегічний підхід до створення захищених систем.

Огляд російського законодавства по ІБ

Правові акти загального призначення

Основний закон РФ – Конституція.

Стаття 23 гарантує право на особисту і сімейну таємницю, таємницю переписки, телефонних переговорів, поштових, телеграфних і інших повідомлень

Стаття 24 – органи державної влади і місцевого самоуправління... зобов’язані забезпечити кожному можливість ознайомлення з документами і матеріалами, які безпосередньо зачіпають його права і свободи, якщо інше не передбаченне законом.

Стаття 29 - право вільно шукати, отримувати, передавати, створювати і розповсюджувати інформацію довільним законним методом.

Сучасна інтерпретація цих положень включає забезпечення конфіденційності даних, враховуючи процес передачі комп’ютерними мережами, а також доступ до засобів захисту інформації.

Стаття 41 гарантує право на знання фактів і обставин, що створюють загрозу для життя і здоров’я людей.

Стаття 42 – право на знання достовірної інформації про стан оточуючого середовища.

 

Громадянський кодекс

РФ (редакція 15.05.2001)

Тут знайдемо поняття банківської, комерційної і службової таємниці.

Стаття 139 – інформація становить службову або комерційну таємницю у випадку, якщо інформація має
дійсну або потенційну комерційну цінність за умови недоступності до неї третіми особами, до неї
нема вільного доступу законним шляхом, і її власник застосовує засоби охорони її конфіденційності.

 

Під цим розуміється компетентність в питаннях ІБ і наявність доступних і законних засобів забезпечення конфіденційності.

Кримінальний кодекс

 

РФ (редакція 14.03.02) – його можна вважати достатньо прогресивним в плані ІБ.

Глава 28 - "Злочини в сфері комп’ютерної інформації" – містить три статті:

 

· стаття 272. Неправомірний доступ до комп’ютерної інформації;

· стаття 273. Створення, використання і розповсюдження шкідливих програм для ЕОМ;

· стаття 274. Порушення правил експлуатації ЕОМ, систем ЕОМ або їх мереж.

Перша – загрози конфіденційності,

друга – шкідливе ПЗ і

третя – відповідальність за порушення доступу і цілісності, що призвели до знищення, блокування або модифікацію захищеної законом інформації.

 

Стаття 138 КК РФ, захищаючи конфіденційність персональних даних передбачає покарання за порушення таємниці переписки, телефонних переговорів...

 

Аналогічну роль для банківської або комерційної таємниці відіграє стаття 183 КК РФ.

Закон "Про державну таємницю" (зі змінами і доповненнями до 22.08.2004).

Забезпечує захист державних інтересів.

Державна таємниця визначається, як відомості, які захищає держава в області

військової,

зовнішньополітичної,

економічної діяльності,

розвіддані і

дані контррозвідки,

оперативно-пошукової діяльності,

розголошення яких може принести шкоду безпеці РФ.

 

Там же дається означення засобів захисту інформації – це

технічні,

криптографічні,

програмні і

інші засоби, призначені для захисту відомостей, які містять державну таємницю;

засоби їх реалізації і контролю ефективності захисту інформації.

Закон "Про інформацію, інформаційні технології і про захист інформації"

27.07.2006, № 149-ФЗ

Можна вважати основоположним законом про інформацію. В ньому дано основні означення, визначено основні напрямки розвитку законодавства, яке б регулювало відношення при:

1. здійсненні права на пошук, отримання, передачу, створення і розповсюдження інформації;

2. застосування інформаційних технологій;

3. забезпечення захисту інофрмації.

основні терміни:

1. інформація - відомості (повідомлення, дані) незалежно від форми їх представлення;

2. інформаційні технології – процеси, методи пошуку, збору, зберігання, обробки, представлення, розповсюдження інформації і способи здійснення таких процесів і методів;

3. інформаційна система - сукупність інформації, яка міститься в базах даних, інформаційних технологій і технічних засобів, що забезпечують її обробку;

4. інформаційно-телекомунікаційна мережа – технологічна система, призначена для передачі інфорамації лініями зв’язку, доступ до якої здійснюється з використанням засобів обчислювальної техніки;

5. Власник (обладатель) інформації - особа, яка самостійно створила інформацію або отримала на підставі закону або договору право дозволяти чи обмежувати доступ до неї за певними ознаками;

6. доступ до інформації – можливість отримання і використання інформації;

7. конфіденційність інформації – обов’язкова для виконання особою, яка отримала доступ до певної інформації, вимога не передавати таку інформацію третім особам без згоди її власника;

8. надання інформації – дії, спрямовані на отримання або передачу інформації певній групі осіб;

9. розповсюдження інформації – дії, спрямовані на отримання або передачу інформації не визначеній групі осіб;

10. електроне повідомлення – інформація, яка передана або отримана користувачем інформаційно-телекомунікаційною мережею;

11. задокументована інформація – зафіксована на материільному носієві шляхом документування інформація з реквізитами, які дозволяють визначити таку інформацію або у встановлених законодавством РФ випадках її матеріальний носій;

12. оператор інформаційної системи – громадянин або юридична особа, яка здійснює діяльність по експлуатації інформаційної системи, включно з обробкою інформації, що міститься в її ьазах Даних.

Варто звернути увагу на нетрадиційне визначення конфіденційності інформації – воно прирівнює конфіденційність до нерозголошення.

В статті 3 Закона сформульовано принципи правового регулювання відносин в сфері інформації, інформаційних технології і захисту інформації:

1. свобода поиска, получения, передачи, производства и распространения информации любым законным способом;

2. установление ограничений доступа к информации только федеральными законами;

3. открытость информации о деятельности государственных органов и органов местного самоуправления и свободный доступ к такой информации, кроме случаев, установленных федеральными законами;

4. равноправие языков народов Российской Федерации при создании информационных систем и их эксплуатации;

5. обеспечение безопасности Российской Федерации при создании информационных систем, их эксплуатации и защите содержащейся в них информации;

6. достоверность информации и своевременность ее предоставления;

7. неприкосновенность частной жизни, недопустимость сбора, хранения, использования и распространения информации о частной жизни лица без его согласия;

8. недопустимость установления нормативными правовыми актами каких-либо преимуществ применения одних информационных технологий перед другими, если только обязательность применения определенных информационных технологий для создания и эксплуатации государственных информационных систем не установлена федеральными законами.

В цих принципах явним чином фігурують цілісність (достовірність) і доступність (своєчасне нардання) інформації.

В статті 9 Закону містяться такі положення:

1. Ограничение доступа к информации устанавливается федеральными законами в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

2. Обязательным является соблюдение конфиденциальности информации, доступ к которой ограничен федеральными законами.

3. Защита информации, составляющей государственную тайну, осуществляется в соответствии с законодательством Российской Федерации о государственной тайне.

4. Федеральными законами устанавливаются условия отнесения информации к сведениям, составляющим коммерческую тайну, служебную тайну и иную тайну, обязательность соблюдения конфиденциальности такой информации, а также ответственность за ее разглашение.

Зроблено наголос на властивість конфіденційності інформації.

Стаття 11 "Документування інформації" містить положення про:

3. Электронное сообщение, подписанное электронной цифровой подписью или иным аналогом собственноручной подписи, признается электронным документом, равнозначным документу, подписанному собственноручной подписью, в случаях, если федеральными законами или иными нормативными правовыми актами не устанавливается или не подразумевается требование о составлении такого документа на бумажном носителе.

4. В целях заключения гражданско-правовых договоров или оформления иных правоотношений, в которых участвуют лица, обменивающиеся электронными сообщениями, обмен электронными сообщениями, каждое из которых подписано электронной цифровой подписью или иным аналогом собственноручной подписи отправителя такого сообщения, в порядке, установленном федеральными законами, иными нормативными правовыми актами или соглашением сторон, рассматривается как обмен документами.

Стаття 16 повністю присвячена питанням захисту інформації.

1. Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:

1. обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

2. соблюдение конфиденциальности информации ограниченного доступа;

3. реализацию права на доступ к информации.

2. Государственное регулирование отношений в сфере защиты информации осуществляется путем установления требований о защите информации, а также ответственности за нарушение законодательства Российской Федерации об информации, информационных технологиях и о защите информации.

3. Требования о защите общедоступной информации могут устанавливаться только для достижения целей, указанных в пунктах 1 и 3 части 1 настоящей статьи.

4. Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить:

1. предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;

2. своевременное обнаружение фактов несанкционированного доступа к информации;

3. предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;

4. недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;

5. возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;

6. постоянный контроль за обеспечением уровня защищенности информации.

5. Требования о защите информации, содержащейся в государственных информационных системах, устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий. При создании и эксплуатации государственных информационных систем используемые в целях защиты информации методы и способы ее защиты должны соответствовать указанным требованиям.

6. Федеральными законами могут быть установлены ограничения использования определенных средств защиты информации и осуществления отдельных видов деятельности в области защиты информации.

В процитированной статье Закона фигурируют все три основных аспекта информационной безопасности: доступность, целостность и конфиденциальность. Кроме того, обязательным является отслеживание нарушений безопасности и постоянный контроль за обеспечением уровня защищенности информации.Явным образом не упомянуты такие меры, как аккредитация, сертификация и лицензирование, но в пунктах 5 и 6 они, конечно, подразумеваются.

Висновки

1. Відповідно до закону України «Про інформацію», всю інформацію поділено на відкриту та інформацію з обмеженим доступом. Такий розподіл за режимами доступу до інформації здійснюють виключно на підставі ступеня її конфіденційності.

2. Основним законом, який регламентує відносини суб'єктів, що пов'язані із захистом інформації в комп'ютерних системах, є Закон України «Про захист інформації в інформаційно-телекомунікаційних системах», що набув чинності з 5 липня 1994 року.

3. Доступ користувачів до інформації, яка є власністю держави, або до інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, та їхні повноваження стосовно цієї інформації визначено законодавством. Таку інформацію слід обробляти в системі із застосуванням КСЗІ, підтвердження відповідності якої здійснено за результатами державної експертизи. Власник системи, в якій обробляється така інформація, має утворити службу захисту інформації або призначити осіб, які б відповідали за забезпечення захисту та здійснювали контроль.

4. Критерії оцінювання комп'ютерних систем визначено в НД ТЗІ 2.5-004-99. Функціональні вимоги до засобів захисту подано у вигляді специфікацій послуг безпеки, які чітко структуровані за ознакою протидії певним загрозам: конфіденційності, цілісності, доступності та спостережності. Вимоги до гарантій реалізації КЗЗ дають змогу визначити ступінь довіри до засобів забезпечення безпеки.

5. Рівень безпеки не можна оцінити за універсальною шкалою, натомість використовують незалежне ранжирування вимог відносно кожної послуги безпеки. Захищеність системи описано за допомогою функціонального профілю (переліку функціональних послуг із досягнутими рівнями безпеки) і досягнутого рівня гарантій.

6. Окремі нормативні документи визначають вимоги до реалізації КЗЗ інформаційно-телекомунікаційних систем деяких конкретних типів. Такі документи містять опис типових властивостей систем, вимоги до їхніх обчислювальних систем, середовища користувачів, фізичного середовища, інформації разом із технологіями її оброблення. У них наведено мінімальні припустимі функціональні профілі та вимоги до реалізації кожної з функціональних послуг.

 

Лекція 3. Законодавча база ІБ

Лекція присвячена розгляду українського і закордонного законодавства ІБ.

 

Законодавчий рівень ІБ. 2

Огляд російського законодавства по ІБ. 3

Правові акти загального призначення. 3

Громадянський кодекс. 3

Кримінальний кодекс. 4

Закон "Про державну таємницю" (зі змінами і доповненнями до 22.08.2004). 5

Закон "Про інформацію, інформаційні технології і про захист інформації" 6

Інші закони і нормативні акти. 13

Закон «Про ліцензування окремих видів діяльності». 13

Закон "Про участь в міжнародному інформаційному обміні" 15

Закон "Про електронний цифровий підпис" 17

Огляд законодавства західноєвропейських країн та США по ІБ. 23

американський "Закон про інформаційну безпеку" 23

"Про удосконалення інформаційної безпеки" 25

Закон про захист даних. 29

стандарти BS 7799. 30

Нормативно-правова база України. 32

Законодавча і нормативна база захисту інформації в Україні 32

Закон України «Про інформацію». 33

Закон України «Про захист інформації в інформаційно-телекомунікаційних системах». 33

Нормативні документи системи технічного захисту інформації 34

Висновки. 36

Законодавчий рівень ІБ

Для забезпечення ІБ досягти успіху можна лише комплексно використовуючи заходи

· законодавчого;

· адміністративного (накази, розпорядження керівництва, пов’язані з захистом інформації);

· процедурного (заходи безпеки, які орієнтовані на співробітників);

· програмно-технічного рівнів.

Законодавчий – один з найважливіших рівнів. Головне – створити на законодавчому рівні механізм
узгодження процесу розробоки законів з реаліями і прогресом інформаційних технологій. Законодавчий рівень – це вплив на мотивацію.

Другою частиною законодавчої бази є стандарти. При побудові захисту важливо досягти розумного компроміс у між захищеністю, функціональністю, зручністю в експлуатації та вартістю системи. Потрібно точно визначити висунуті до системи вимоги, що і яким чином вона має забезпечувати, а також в який спосіб це можна перевірити і оцінити.

Викорінення вад захисту — це лише тактичний крок – «підхід знизу». Він позбавляє систему від окремих уразливостей і підвищує її захищеність, але не дозволяє оцінити, якою мірою було виконано це завдання і чи було досягнуто необхідного рівня захисту. Безпека системи — характеристика якісна, яку неможливо виміряти. Єдиний спосіб оцінити захищеність систем і узгодити думки різних фахівців щодо цього — розробити стандарт, який би регламентував

концепції інформаційної безпеки,

методи її досягнення,

вимоги до систем і

шляхи їх реалізації,

а також надавав систему критеріїв і

процедури оцінювання систем за цими критеріями.

Фактично, стандарти визначають стратегічний підхід до створення захищених систем.