Заглавная страница Избранные статьи Случайная статья Познавательные статьи Новые добавления Обратная связь КАТЕГОРИИ: АрхеологияБиология Генетика География Информатика История Логика Маркетинг Математика Менеджмент Механика Педагогика Религия Социология Технологии Физика Философия Финансы Химия Экология ТОП 10 на сайте Приготовление дезинфицирующих растворов различной концентрацииТехника нижней прямой подачи мяча. Франко-прусская война (причины и последствия) Организация работы процедурного кабинета Смысловое и механическое запоминание, их место и роль в усвоении знаний Коммуникативные барьеры и пути их преодоления Обработка изделий медицинского назначения многократного применения Образцы текста публицистического стиля Четыре типа изменения баланса Задачи с ответами для Всероссийской олимпиады по праву Мы поможем в написании ваших работ! ЗНАЕТЕ ЛИ ВЫ?
Влияние общества на человека
Приготовление дезинфицирующих растворов различной концентрации Практические работы по географии для 6 класса Организация работы процедурного кабинета Изменения в неживой природе осенью Уборка процедурного кабинета Сольфеджио. Все правила по сольфеджио Балочные системы. Определение реакций опор и моментов защемления |
Захист інформації в інформаційних системах
Нині найбільш актуальним безумовно, є захист інформації, поданої в електронній формі, адже саме цей вид її, з огляду на нематеріальний характер, високу здатність до трансформації й передачі є найбільш вразливим до протиправних дій. Інформація в електронній формі обробляється, передається та розповсюджується за допомогою інформаційно-телекомунікаційних систем, будучи їх основним наповненням. В Україні останнім часом створено достатньо широку нормативно-правову базу для проведення діяльності із захисту цього виду інформації. Причому можна виділити два аспекти захисту інформації в інформаційно-телекомунікаційних системах: 1) встановлення стандартів і вимог щодо характеристик інформаційних систем, які мають забезпечувати дієвість цієї системи; безпосереднє правове регулювання діяльності із захисту інформації. Наприклад, Закон України "Про телекомунікації" (ст. 1) виділяє дві характеристики безпеки інформаційних систем і мереж. 1) інформаційна безпека телекомунікаційних мереж - здатність мереж забезпечувати захист від знищення, перекручування, блокування інформації, її несанкціонованого витоку або від порушення встановленого порядку її маршрутизації. 2)сталість телекомунікаційної мережі - властивості телекомунікаційної мережі зберігати повністю або частково свої функції у разі впливу на неї дестабілізаційних чинників. Ст. 9 Закону України "Про телекомунікації" визначено обов'язки операторів і провайдерів телекомунікацій щодо забезпечення відповідних характеристик і властивостей засобів телекомунікацій. Правовою основою діяльності із захисту інформації є Закон України "Про захист інформації в інформаційно-телекомунікаційних системах". Відповідно до ст. 1 цього Закону, захист інформації в системі - це діяльність, спрямована на запобігання несанкціонованим діям щодо інформації в системі. Сама ж автоматизована система є такою, що виконує автоматизоване оброблення даних і в складі якої є технічні засоби їх оброблення (засоби обчислювальної техніки і зв'язку), а також методи і процедури, програмне забезпечення. Закон визначає п'ять основних видів несанкціонованих дій з ін формацією: 1) блокування інформації в системі - дії, внаслідок яких унеможливлюється доступ до інформації в системі;
2)виток інформації - результат дій, внаслідок яких інформація в системі стає відомою або доступною фізичним та/або юридичним особам, що не мають права доступу до неї; 3)знищення інформації в системі - дії, внаслідок яких інформація в системі зникає; 4)порушення цілісності інформації в системі - несанкціоновані дії щодо інформації в системі, внаслідок яких змінюється її зміст. Важливим аспектом інформаційної безпеки є захист інформації яка передається, зберігається та обробляється за допомогою комунікаційних систем різних типів. Щодо цього в Україні вже створено низку нормативно-правових актів. Об'єктами захисту від неправомірних зазіхань є: - інформація, що обробляється в автоматизованій системі; - права власників цієї інформації та власників автоматизованої системи; - права користувача. Захист інформації полягає у застосуванні сукупності організаційно-технічних заходів і правових норм для запобігання заподіянню шкоди інтересам власника інформації чи автоматизованої системи та особам, які користуються інформацією. Закон України "Про захист інформації в автоматизованих системах" визначає: також відносини між суб'єктами в процесі оброблення інформації в автоматизованих системах, загальні вимоги до захисту інформації в АС і порядок організації цього захисту, відповідальність за порушення норм цього закону та засади міжнародної співпраці України у сфері автоматизованих систем. Зазначимо, що конкретний зміст вимог до захисту інформації залежить насамперед від права власності на конкретну інформації, що обробляється за допомогою автоматизованої системи. Так, за ст. 11 Закону України "Про захист інформації в автоматизованих системах", вимоги і правила захисту інформації, яка є власністю держави, або інформації, захист якої гарантується державою, визначаються відповідними нормативно-правовими актами. Ці вимоги є обов'язковими для власників автоматизованих систем, де така інформація обробляється, а для інших суб'єктів права власності на інформацію такі вимоги мають лише рекомендаційний характер.
Політика із захисту інформації в автоматизованих системах визначається Верховною Радою України, а державне управління в цій сфері здійснює Кабінет Міністрів України. Державне управління у сфері захисту інформації в автоматизованих системах передбачає: - проведення єдиної технічної політики захисту інформації; - розроблення концепції, вимог, нормативно-технічних документів і науково-методичних рекомендацій захисту інформації в автоматизованих системах; - затвердження порядку організації, функціонування та контролю за виконанням заходів захисти оброблюваної в автоматизованій системі інформації, яка є власністю держави, а також рекомендацій щодо захисту інформації - власності юридичних та фізичних осіб; - організації випробувань і сертифікації засобів захисту інформації в автоматизованих системах, в якій здійснюється обробка інформації, що власністю держави; - створення відповідних структур для захисту інформації в автоматизованих системах; - проведення атестації сертифікаційних (випробувальних) органів, центрів і лабораторій, видача ліцензії на право проведення сервісних робіт в галузі захисту інформації в автоматизованих системах;
- здійснення контролю захищеності оброблюваної в автоматизованих системах інформації, яка є власністю держави; - визначення порядку доступу осіб і організацій зарубіжних держав до інформації в автоматизованих системах, яка є власністю держави, або до інформації - власності фізичних та юридичних осіб, щодо поширення і використання якої державою встановлено обмеження. Нормами законодавства встановлено комплексний характер захисту інформації. Зокрема, захист державних інформаційних ресурсів в автоматизованих системах, що належать до інформаційно-телекомунікаційних систем, здійснюється через запровадження комплексної системи захисту інформації (КСЗІ). Ця система складається з комплексу технічних, криптографічних, організаційних та інших заходів і засобів, спрямованих на запобігання блокуванню інформації, несанкціонованому ознайомленню з нею та/або її модифікації. Основними в комплексній системі захисту інформації є технічний та криптографічний захист, а також комплекс заходів організаційного характеру, який передбачає встановлення відповідних режимів діяльності об'єктів інформаційних систем, контроль за дотриманням правил і норм здійснення захисту інформації, контроль за діяльністю суб'єктів захисту інформації тощо.
Технічний захист інформації
Згідно з Положенням "Про технічний захист інформації в Україні", яке було затверджене Указом Президента, технічний захист інформації (ТЗІ) - це діяльність, спрямована на забезпечення інженерно-технічними заходами конфіденційності, цілісності та доступності інформації. Комплекс заходів технічного захисту інформації може бути здійснений лише в інформаційній системі або на іншому об'єкті інформаційної інфраструктури. Рівень безпеки інформації, яка обробляється в системах та на об'єктах інформаційної інфраструктури визначається комплексом таких її властивостей: - конфіденційність - властивість інформації бути захищеною від несанкціонованого ознайомлення;
- цілісність - властивість інформації бути захищеною від несанкціонованого спотворення, руйнування або знищення; - доступність - властивість інформації бути захищеною від несанкціонованого блокування. Лише наявність цих трьох характеристик інформації, що підлягає захисту, є умовою ефективного і безпечного використання суб'єктами інформаційних процесів необхідних об'єктів інформаційної інфраструктури. В Україні введено державне регулювання діяльність із ТЗІ, яке передбачає: - ліцензування та надання дозволів на провадження діяльності із ТЗІ; - сертифікацію та державне експертне оцінювання продукції у сфері ТЗІ. Процедура надання ліцензії або дозволу визначається змістом завдань, які вирішуються в межах діяльності з ТЗІ: 1) організації, які виконують діяльність з ТЗІ з метою надання відповідних послуг іншим фізичним та юридичним особам, повинні отримати ліцензію на право проведення господарської діяльності у галузі ТЗІ; 2) органи державної влади та місцевого самоврядування, які здійснюють роботи з ТЗІ для власних потреб, отримують право на їх проведення у дозвільному порядку. Нині ліцензування діяльності в галузі ТЗІ та контроль за додержанням ліцензійних вимог здійснюють адміністрацією Державної служби спеціального зв'язку та захисту інформації України (Держспецзв'язку). Правила ліцензування цього виду господарської діяльності визначаються "Ліцензійними умовами провадження господарської діяльності, пов'язаної з розробленням, виробництвом, впровадженням, обслуговуванням, дослідженням ефективності систем і засобів технічного захисту інформації, наданням послуг у галузі технічного захисту інформації". Усього в галузі ТЗІ підлягає ліцензуванню 7 видів робіт, а саме: 1) розроблення, впровадження, дослідження ефективності, обслуговування на об'єктах інформаційної діяльності комплексів (систем) технічного захисту інформації, носіями якої є акустичні поля, надання консультативних послуг; 2) розроблення, впровадження, дослідження ефективності, обслуговування на об'єктах інформаційної діяльності комплексів (систем) технічного захисту інформації, носіями якої є електромагнітні поля та електричні сигнали, надання консультативних послуг; 3) розроблення, виробництво, впровадження, дослідження ефективності, супроводження засобів та комплексів технічного захисту інформації в інформаційних системах, інформаційних технологій із захистом інформації від несанкціонованого доступу, надання консультативних послуг;
4) виявлення та блокування витоку мовної та видової інформації через закладні пристрої на об'єктах інформаційної діяльності, надання консультативних послуг; 5) виробництво засобів забезпечення технічного захисту інформації, носіями якої є акустичні поля; 6) виробництво засобів забезпечення технічного захисту інформації, носіями якої є електромагнітні поля та електричні сигнали; 7) розроблення, впровадження, дослідження ефективності, обслуговування на об'єктах інформаційної діяльності комплексів (систем) технічного захисту інформації, носіями якої є хімічні речовини, надання консультативних послуг. Для органів державної влади та органи місцевого самоврядування Держспецзв'язку надає дозволи на проведення робіт з технічного захисту інформації для власних потреб і здійснює контроль за проведенням ними визначених видів робіт. Система оцінювання продукції у сфері ТЗІ, як уже зазначалося, складається з двох процедур - сертифікації засобів ТЗІ та державної експертизи. Об'єктом сертифікації в галузі ТЗІ є окремі засоби ТЗІ. Сертифікації підлягають: - засоби ТЗІ, які виробляються серійно; - одиничні зразки засобів ТЗІ; - засоби ТЗІ імпортного виробництва. Процедура сертифікації полягає наданні споживачеві засобів ТЗІ гарантії відповідності цих засобів нормативним документам. Порядок та вимоги до проведення сертифікації засобів ТЗІ визначаються Наказом Держстандарту України "Про затвердження Порядку проведення робіт з сертифікації засобів забезпечення технічного захисту інформації загального призначення". Сертифікація засобів ТЗІ в Україні здійснюється органами та випробувальними лабораторіями, які є акредитованими в Українській державній системі сертифікації продукції (УкрСЕПРО). Державна експертиза у сфері ТЗІ здійснюється відповідно до Закону України "Про наукову і науково-технічну експертизу" та відповідного "Положення про державну експертизу в сфері технічного захисту інформації". Замовником державної експертизи у сфері ТЗІ є Держспецзв'язком. Організаторами експертизи є фізичні та юридичні особи, які на підставі доручення або договору із замовниками організовують та проводять експертизу і подають експертні висновки. Експертами є фізичні особи, які мають високу кваліфікацію, спеціальні знання і безпосередньо здійснюють наукову чи науково-технічну експертизу та несуть персональну відповідальність за достовірність і повноту аналізу, обгрунтованість рекомендацій відповідно до вимог завдання на проведення експертизи. Організатори експетризи та експерти, яким надано право здійснювати державну експертизу в сфері ТЗІ, підлягають реєстрації у відповідному Реєестрі. Результати проведеної державної екпертизи у сфері ТЗІ оформляються у вигляді експертних висновків, які видаються щодо окремих засобів технічного захисту інформації, та атестатів відповідності, які видаються на комплексні системи захисту інформації в інформаційно-телекомунікаційних системах.
Наявність позитивного експертного висновку щодо засобу ТЗІ є підставою для його включення до Переліку засобів технічного захисту інформації загального призначення, які дозволені до використання з метою ТЗІ. Наявність атестату відповідності є обов'язковою умовою надання власникові інформаційно-телекомунікаційної системи дозволу на оброблення в цій системі інформації, що підлягає захисту, відповідно до вимог законодавства. Отже, система державного регулювання у сфері технічного захисту інформації має комплексний характер і забезпечується встановленням відповідних правил і стандартів, які стосуються як діяльності у сфері ТЗІ, що включають ліцензування та надання відповідних дозволів, так і спеціальними вимогами до засобів ТЗІ та інформаційно-телекомунікаційних систем, які включають стандартизацію, сертифікацію та атестацію.
|
|||||||||
Последнее изменение этой страницы: 2017-01-20; просмотров: 361; Нарушение авторского права страницы; Мы поможем в написании вашей работы! infopedia.su Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Обратная связь - 3.141.24.134 (0.028 с.) |