стандарти BS 7799 (Великобританія)

Из законодательства Великобритании - семейство так называемых добровольных стандартов BS 7799, помогающих организациям на практике сформировать программы безопасности. отметим, что они действительно работают, несмотря на "добровольность" (или благодаря ей?).

В современном мире глобальных сетей законодательная база должна быть согласована с международной практикой. В этом плане поучителен пример Аргентины. В конце марта 1996 года компетентными органами Аргентины был арестован Хулио Цезар Ардита, 21 года, житель Буэнос-Айреса, системный оператор электронной доски объявлений "Крик", известный в компьютерном подполье под псевдонимом "El Griton". Ему вменялись в вину систематические вторжения в компьютерные системы ВМС США, НАСА, многих крупнейших американских университетов, а также в компьютерные системы Бразилии, Чили, Кореи, Мексики и Тайваня. Однако, несмотря на тесное сотрудничество компетентных органов Аргентины и США, Ардита был отпущен без официального предъявления обвинений, поскольку по аргентинскому законодательству вторжение в компьютерные системы не считается преступлением. Кроме того, в силу принципа "двойной криминальности", действующего в международных правовых отношениях, Аргентина не может выдать хакера американским властям. Дело Ардита показывает, каким может быть будущее международных компьютерных вторжений при отсутствии всеобщих или хотя бы двусторонних соглашений о борьбе с компьютерной преступностью.

Нормативно-правова база України

Законодавча і нормативна база захисту інформації в Україні

Питання захисту інформації в комп'ютерних системах в Україні регламентує низка законів і нормативних актів, серед яких:

Ø Закон України «Про інформацію». (№ 2657-ХII від 02.10.1992. - ВВР, 1992, № 48, ст. 650.)

Ø Закон України «Про захист інформації в інформаційно-телекомунікаційних системах». (від 05.07.1994 № 80/94-ВР (Зі змінами, внесеними згідно із Законом № 1703-IV від 11.05.2004, в редакції Закону № 2594-1V від 31.05.2005, ВВР, 2005, № 26, ст. 347).)

Ø Закон України «Про державну таємницю». (№ 3855-ХII від 21.01.1994, ВВР, 1994, № 16, ст. 93 (остання редакція № 1519-IV від 19.02.2004).

Ø Закон України «Про електронні документи і електронний документообіг». (№ 851-IV від 22.05.2003, ВВР, 2003, № 36, ст. 275 (зі змінами, внесеними згідно із Законом № 2599-IV від 31.05.2005, ВВР, 2005, № 26, ст. 349).

Ø Закон України «Про електронний цифровий підпис». (№ 852-IV від 22.05.2003, ВВР, 2003, № 36, с. 276).

Ø Закон України «Про телекомунікації». (№ 1280-IV, ВВР, 2004, № 12, ст. 155 (остання редакція від 01.02.2007).

Ø Концепція технічного захисту інформації в Україні (Затверджено постановою Кабінету Міністрів України від 08.10.1997, № 1126).

Закон України «Про інформацію»

Відповідно до нього всю інформацію поділяють на відкриту та з обмеженим доступом. Інформацію з обмеженим доступом, у свою чергу, поділяють на конфіденційну та таємну. Належність інформації до таємної регламентовано у «Зводі відомостей, що становлять державну таємницю» (ЗВДТ). Розподіл за режимами доступу до інформації здійснюють виключно на підставі ступеня її конфіденційності. Крім конфіденційності важливими характеристиками інформації є її цілісність і доступність. До інформації, яка не є конфіденційною, вживають поняття інформація, що потребує захисту.

Закон України «Про захист інформації в інформаційно-телекомунікаційних системах»

Є основним законом, який регламентує стосунки між суб'єктами в контексті захисту інформації в комп'ютерних системах. Він набув чинності з 5 липня 1994 року. Згідно з ним порядок доступу до інформації визначає її власник. Для інформації, яка є власністю держави, або інформації з обмеженим доступом, вимогу щодо захисту якої встановлено законом, перелік користувачів та їхні повноваження стосовно цієї інформації визначає законодавство. Захист інформації в системі забезпечує власник системи. Інформація, яка є власністю держави, або інформація з обмеженим доступом, вимогу щодо захисту якої встановлено законом, має оброблятись у системі із застосуванням комплексної системи захисту інформації. Необхідним є підтвердження відповідності Комплексної Системи ЗІ, що здійснюється за результатами державної експертизи. Власнику такої системи необхідно створити службу захисту інформації чи призначити осіб, які б забезпечували захист інформації та контролювали цей процес.

Нормативні документи системи технічного захисту інформації

Крім законів і підзаконних актів впроваджено багато нормативних документів, які регламентують певні аспекти діяльності у сфері захисту інформації. Наприклад

Ø НД ТЗІ 1.1-002-99: Загальні положення по захисту інформації в комп'ютерних системах від несанкціонованого доступу.

Ø НД ТЗІ 1.1-003-99: Термінологія в області захисту інформації в комп'ютерних системах від несанкціонованого доступу.

Ø НД ТЗІ 2.5-004-99: Критерії оцінювання захищеності інформації в комп'ютерних системах від несанкціонованого доступу.

Ø НД ТЗІ 2.5-005-99: Класифікація автоматизованих систем і стандартні функціональні профілі захищеності оброблюваної інформації від несанкціонованого доступу.

Ø НД ТЗІ 3.7-001-99: Методичні вказівки з розробки технічного завдання на створення комплексної системи захисту інформації в автоматизованій системі.

Ø НД ТЗІ 1.4-001-2000:Типове положення про службу захисту інформації в автоматизованій системі.

Ø НД ТЗІ 3.6-001-2000: Технічний захист інформації. Комп'ютерні системи. Порядок створення, впровадження, супроводження та модернізації засобів технічного захисту інформації від несанкціонованого доступу.

Ø НД ТЗІ 2.5-010-03: Вимоги до захисту інформації веб-сторінки від несанкціонованого доступу.

Ø НД ТЗІ 3.7-003-05: Порядок проведення робіт із створення комплексної системи захисту інформації в інформаційно-телекомунікаційній системі.

Положення документів обов'язкові до виконання всіма суб'єктами системи ТЗІ в Україні незалежно від їхньої організаційно-правової форми та форми власності, в ІКС яких обробляється інформація, що є власністю держави, належить до державної чи іншої таємниці або окремих видів інформації, необхідність захисту якої визначено законодавством. Якщо в ІКС обробляються інші види інформації, вимоги нормативних документів системи ТЗІ можна використовувати як рекомендації.

Висновки

1. Відповідно до закону України «Про інформацію», всю інформацію поділено на відкриту та інформацію з обмеженим доступом. Такий розподіл за режимами доступу до інформації здійснюють виключно на підставі ступеня її конфіденційності.

2. Основним законом, який регламентує відносини суб'єктів, що пов'язані із захистом інформації в комп'ютерних системах, є Закон України «Про захист інформації в інформаційно-телекомунікаційних системах», що набув чинності з 5 липня 1994 року.

3. Доступ користувачів до інформації, яка є власністю держави, або до інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, та їхні повноваження стосовно цієї інформації визначено законодавством. Таку інформацію слід обробляти в системі із застосуванням КСЗІ, підтвердження відповідності якої здійснено за результатами державної експертизи. Власник системи, в якій обробляється така інформація, має утворити службу захисту інформації або призначити осіб, які б відповідали за забезпечення захисту та здійснювали контроль.

4. Критерії оцінювання комп'ютерних систем визначено в НД ТЗІ 2.5-004-99. Функціональні вимоги до засобів захисту подано у вигляді специфікацій послуг безпеки, які чітко структуровані за ознакою протидії певним загрозам: конфіденційності, цілісності, доступності та спостережності. Вимоги до гарантій реалізації КЗЗ дають змогу визначити ступінь довіри до засобів забезпечення безпеки.

5. Рівень безпеки не можна оцінити за універсальною шкалою, натомість використовують незалежне ранжирування вимог відносно кожної послуги безпеки. Захищеність системи описано за допомогою функціонального профілю (переліку функціональних послуг із досягнутими рівнями безпеки) і досягнутого рівня гарантій.

6. Окремі нормативні документи визначають вимоги до реалізації КЗЗ інформаційно-телекомунікаційних систем деяких конкретних типів. Такі документи містять опис типових властивостей систем, вимоги до їхніх обчислювальних систем, середовища користувачів, фізичного середовища, інформації разом із технологіями її оброблення. У них наведено мінімальні припустимі функціональні профілі та вимоги до реалізації кожної з функціональних послуг.