Нормативно-правова база для організації і проведення заходів щодо захисту інформації в системах телекомунікації
ВСТУП
В даний час, в Україні, в зв'язку з входженням у світовий інформаційний простір, швидкими темпами впроваджуються новітні досягнення комп'ютерних і телекомунікаційних технологій. Створюються локальні і регіональні обчислювальні мережі, великі території охоплені мережами сотового зв'язку, факсиміальний зв'язок став доступний для широкого кола користувачів. Системи телекомунікацій активно впроваджуються у фінансові, промислові, торгові і соціальні сфери. У зв'язку з цим різко зріс інтерес широкого кола користувачів до проблем захисту інформації. Захист інформації - це сукупність організаційно-технічних заходів і правових норм для попередження заподіяння збитку інтересам власника інформації. Тривалий час методи захисту інформації розроблялися тільки державними органами, а їхнє впровадження розглядалося як виключне право тієї або іншої держави. Проте в останні роки з розвитком комерційної і підприємницької діяльності збільшилося число спроб несанкціонованого доступу до конфіденційної інформації, а проблеми захисту інформації виявилися в центрі уваги багатьох вчених і спеціалістів із різноманітних країн. Слідством цього процесу значно зросла потреба у фахівцях із захисту інформації.
КОНЦЕПТУАЛЬНІ АСПЕКТИ
Актуальність проблеми забезпечення безпеки в інформаційних системах
Інформаційні технології охоплюють методи збору, обробки, перетворення, зберігання і розподілу інформації. Протягом тривалого часу ці технології розвивалися на мовній і "паперовій" буквено-цифровій основі. У цей час інформаційно-ділова активність людства зміщається в область кібернетичного простору. Цей простір стає реальністю світової спільноти і визначає перехід до "безпаперового, електронного" розвитку інформаційних технологій. Електронний обмін інформацією дешевше, швидше і надійніше "паперового". Наприклад, ціна листа з Каліфорнії в Нью-Йорк складає поштою - USD 0,29 (час доставки 2-3 дні), тоді як плата за факс - USD 1,86, за телекс - USD 4,56 і, нарешті, за E-mail - всього USD 0,16, причому час пересилки - години - хвилини. Здійснюється інформаційна "безпаперова" революція. Завдяки виходу в кібернетичний простір зростання інформаційного обміну відбувається по експонентному. закону.
|
|
|
Інформаційні процеси, що проходять повсюдно у світі, висувають на перший план, поряд із задачами ефективного опрацювання і передача інформації, найважливішу задачу забезпечення безпеки інформації. Це пояснюється особливою значимістю для розвитку держави його інформаційних ресурсів, зростанням вартості інформації в умовах ринку, її високою уразливістю і нерідко значним збитком у результаті її несанкціонованого використання.
|
|
|
У багатьох країнах порушення безпеки в системах опрацювання і передачі інформації приносять великі втрати. Вони найбільше значні в системах телекомунікацій, що обслуговують банківські і торгові заснування. У США, наприклад, збитки від несанкціонованого проникнення в ці системи оцінюються в десятки мільйонів доларів.
Про ступінь небезпеки електронних злочинів можна судити по тим витратам на засоби захисту, що рахуються припустимими і доцільними. По оцінках спеціалістів США, загальні витрати на захист банківського або іншого фінансового заснування можуть скласти усього 510 тис. дол. Проте надійна система захисту значного фінансового заснування, що обслуговує до 80 тис. користувачів, коштує не менше 15 млн. дол., причому в цю суму входить тільки вартість апаратних і програмних засобів.
Наслідки від несанкціонованого одержання інформації мають самий різноманітний масштаб: від необразливої прокази до фінансових утрат великих розмірів.
Найбільше вразливими об’єктами, що страждають від несанкціонованого доступу до даного, є системи автоматизованого перерахування коштів. Останнім часом також різко почастішали випадки розкрадання програм у комп’ютерних мережах. Ці розкрадання прийняли характер епідемії: на кожну законну копію програми, що має скільки-небудь широке поширення, існує декілька копій, отриманих незаконним шляхом.
|
|
|
Оскільки основний інформаційний обмін оснований на інформаційній технології, то важливою умовою безпеки стає безпека в комп’ютерних мережах (КМ). Порушення цієї безпеки називають комп’ютерним злочином. Збиток від комп’ютерних злочинів дуже великий (так крадіжки в INTERNET за 1997 рік привели до збитку USD 8млрд).
Перерахуємо основні загрози для КМ:
1. Читання інформації (порушення конфіденційності).
2. Порушення цілісності (інтегральності) інформації.
3. Блокування доступу до об’єктів і ресурсів КМ.
Загрози діляться на пасивні і активні. До пасивних загроз відноситься підслуховування (зчитування) інформації та аналіз трафіка (ідентифікація користувачів і визначення інтенсивності інформаційного обміну). До активних загроз відноситься модифікація даних, створення фальшивих даних під чужим і’ям, введення вірусів і програмних закладок, блокування доступу до ресурсів КМ.
 |
|
|
|
Мал.1.1. Комп’ютерна мережа.
ГК – головний комп’ютер(host),
Т – термінал (terminal),
В – вузел (node).
Основні можливі місця вторгнення в комп’ютерну мережу показані на мал.1.1, це:
1. Термінали (монітори, принтери, клавіатура, пульти, телефонні апарати).
2. Комутатори у вузлах КМ.
3. Лінії зв’язку (модеми, підсилювачі, ретранслятори).
4. Комп’ютерні процесори.
5. Файли на різноманітних носіях.
6. Додаткові плати, карти.
7. Пластикові карти.
8. Бази даних.
Зауважимо, що протяжність комп’ютерної мережі призводить до її значної вразливості і до трудності відслідкування комп’ютерних злочинів.
Комп’ютерні злочини можуть відбуватися в органах державного і регіонального керування, на оборонних і інших державних підприємствах, у комерційних і промислових структурах. Вони можуть відбуватися приватними особами, у тому числі клієнтами банків. Основними групами правопорушників є: хакери (hackers), крейкери (creakers), терористи й екстремісти, а також комерційні підприємства, що ведуть промислове шпигунство. Ціллю захисту інформації є запобігання приведення до виконання перерахованих вище погроз.
В обчислювальних машинах є велике число лазівок для несанкціонованого доступу до інформації. Ніякий окремо взятий спосіб захисту не може забезпечити адекватну безпеку. Надійний захист може бути гарантований лише при створенні механізму комплексного забезпечення безпеки як засобів опрацювання інформації, так і каналів зв'язку [10].
Технічні засоби являють собою електричні, механічні, електромеханічні або електронні пристрої.
Вся сукупність технічних засобів ділиться на фізичні й апаратні.
Фізичні засоби реалізуються у виді автономних пристроїв і систем і виконують функції загального захисту об'єктів, на яких опрацьовується інформація. До них ставляться, наприклад, устрої захисту територій і будинків, замки на дверях, де розміщені апаратура, грати на вікнах, електронно-механічне устаткування охоронної сигнализації.
Під апаратними технічними засобами прийнято розуміти пристрої, що вбудовуються безпосередньо в обчислювальну техніку, у телекомунікаційну апаратуру, або пристрої, що працюють з подібною апаратурою по стандартному інтерфейсу. З найбільше відомих апаратних засобів можна відзначити схеми контролю інформації з парності, схеми захисту масивів пам'яті по ключу та ін.
Програмні засоби являють собою програмне забезпечення, спеціально призначене для виконання функцій захисту інформації.
Організаційні засоби захисту подають собою організаційно-технічні й організаційно-правові заходи, здійснювані в процесі створення й експлуатації апаратури телекомунікацій для забезпечення захисту інформації. Організаційні заходи охоплюють усі структурні елементи апаратури на всіх етапах їхнього життєвого циклу (будівництво помешкань, проектування системи, монтаж і наладка устаткування, іспити й експлуатація).
Морально-етичні засоби захисту реалізуються у вигляді всіляких норм, що склалися традиційно в даній країні або товаристві. Ці норми здебільшого не є обов'язковими, як законодавчі міри, проте їхнє недотримання веде звичайно до втрати авторитету і престижу співробітника.
Законодавчі засоби захисту визначаються законодавчими актами країни, який регламентуються правила використання, опрацювання і передачі інформації обмеженого доступу і встановлюються міри відповідальності за порушення цих правил.
Необхідно також відзначити, що всі розглянуті засоби захисту діляться на формальні, що виконують захисні функції строго по заздалегідь передбаченій процедурі без особистої участі людини, і неформальні, обумовлені цілеспрямованою діяльністю людини або регламентуючої цієї діяльності.
Нормативно-правова база для організації і проведення заходів щодо захисту інформації в системах телекомунікації
Нормативно-правове забезпечення організації і проведення заходів щодо захисту інформації являє собою сукупність законів, нормативних актів і правил, що регламентують як загальну організацію робіт, так і створення і функціонування конкретних систем захисту інформації. В даний час в Україні, як і в інших країнах СНД, нормативно-правова база захисту інформації знаходиться в стадії формування.
При побудові правової бази системи безпеки інформації в Україні треба буде розв'язати такі задачі.
Розробка в якості правової основи системи забезпечення безпеки інформації базового закону, що регламентує відношення і розмежування сфери повноважень всіх учасників інформаційних відношень, а також визначальні державні органи, що забезпечують інформаційну безпеку і засоби контролю з боку держави за розмежуванням доступу до інформації.
Розробка законодавчих актів і правових норм, що всестороннє охоплюють усі проблеми захисту інформації і підходів, що відбивають специфіку, до забезпечення безпеки інформації в різноманітних сферах діяльності держави і товариства.
Регламентація рівнів безпеки інформації й адекватних їм методів і засобів захисту. Однієї з найбільше важливих складових частин правового забезпечення системи безпеки інформації є стандартизація і сертифікація, що повинні вирішувати такі задачі.
Створення пакета основних стандартів організаційно-методичного і термінологічного забезпечення системи захисту інформації.
Стандартизація вимог по захисту інформації в засобах обчислювальної техніки, в автоматизованих системах, інформаційних мережах і засобах телекомунікації.
Нормативне і метрологічне забезпечення сертифікації й атестації технічних засобів захисту інформації і контролю їхньої ефективності.
Закон України "Про інформацію" [1] установлює загальні правові основи одержання, використання, поширення і збереження інформації.
Відповідно до цього закону:
Інформація – це документовані або привселюдно оголошені відомості про події і явища, що відбуваються в товаристві, державі або навколишньому природному середовищі.
Закон закріплює право особистості на інформацію у всіх сферах суспільного і державного життя України, а також систему інформації, її джерела, визначає статус учасників інформаційних відношень, регулює доступ до інформації і забезпечує її охорону, захищає особистість і товариство від помилкової інформації. Чинність закону поширюється на інформаційні відношення, що виникають у всіх сферах життя і діяльності товариства і держави при одержанні, використанні, поширенні і збереженні інформації. Суб'єктами інформаційних відношень є громадяни України, юридичні особи, держава Україна, а також інші держави, їхні громадяни і юридичні особи, міжнародні організації й особи без громадянства. З метою задоволення потреби в інформаційній діяльності створюються інформаційні служби, системи, мережі, бази і банки даних. Закон передбачає створення загальної системи охорони інформації.
Відповідно до закону основними видами інформації є:
· статистична інформація;
· масова інформація;
· інформація про діяльність державних органів влади й органів місцевого і регіонального самоврядування;
· правова інформація;
· інформація про особистість;
· інформація довідково-енциклопедичного характеру; соціологічна інформація.
Категорії інформації і режим доступу до неї визначаються такими статтями Закону [1].
Стаття 28. Режим доступу до інформації
Режим доступу до інформації це передбачений правовими нормами порядок одержання, використання, поширення і збереження інформації.
По режиму доступу інформація ділиться на відкриту та інформацію з обмеженим доступом.
Держава здійснює контроль за режимом доступу до інформації.
Задача контролю за режимом доступу до інформації складається в забезпеченні дотримання вимог законодавства про інформацію всіма державними органами, підприємствами, заснуваннями й організаціями, недопущенні необгрунтованого віднесення зведень до категорії інформації з обмеженим доступом.
Державний контроль за дотриманням установленого режиму здійснюється спеціальними органами, що визначаються Верховною Радою України і Кабінетом Міністрів України.
У порядку контролю Верховних Рада України може жадати від урядових заснувань, міністерств, відомств звіти, що містять зведення про їхню діяльність по забезпеченню інформацією зацікавлених осіб (кількість випадків відмови в наданні доступу до інформації з указівкою мотивів таких відмов; кількість і обгрунтування застосування режиму обмеженого доступу до окремих видів інформації; кількість скарг на неправомірні дії посадових осіб, що відмовили в доступі до інформації, прийняті до них міри і т.п.).
Стаття 30. Інформація з обмеженим доступом
Інформація з обмеженим доступом по своєму правовому режимі ділиться на конфіденційну і секретну.
Конфіденційна інформація це зведення, що знаходяться у володінні, користуванні або розпорядженні окремих фізичних або юридичних осіб і що поширюються по їхньому бажанню відповідно до передбачених ними умов.
Громадяни, юридичні особи, що володіють інформацією фахового, ділового, виробничого, банківського, комерційного й іншого характеру, отриманої на власні засоби, або яка є предметом їх фахового, ділового, виробничого, банківського, комерційного й іншого інтересу і порушуючи не передбаченої законом таємниці, самостійно визначають режим доступу до неї, включаючи приналежність її до категорії конфіденційної, і встановлюють для неї систему (засоби) захисту.
Виняток складає інформація комерційного і банківського характеру, а також інформація, правовий режим якої установлений Верховною Радою України по уявленню Кабінету Міністрів України (із питань статистики, екології, банківських операцій, податків і т.п.), і інформація, утаювання якої являє загрозу життя і здоров'ю людей.
До секретної інформації відноситься інформація, що містить зведення, що складають державну й іншу передбачену законом таємницю, розголошення якої завдає шкоди особі, товариству і державі,
Віднесення інформації до категорії секретних зведень, що складають державну таємницю, і доступ до неї громадян здійснюється відповідно до закону про цю інформацію.
Порядок обертання секретної інформації і її захист визначається відповідними державними органами за умови дотримання вимог, установлених дійсним Законом.
Порядок і терміни обнародування секретної інформації визначаються відповідним законом.
Стаття 53. Інформаційний суверенітет
Основою інформаційного суверенітету України є національні інформаційні ресурси.
До інформаційних ресурсів України відноситься вся приналежна їй інформація, незалежно від утримання, форм, часу і місця створення.
Україна самостійно формує інформаційні ресурси на своїй території і вільно розпоряджається ними, за винятком випадків, передбачених законами і міжнародними договорами.
Стаття 54. Гарантії інформаційного суверенітету України
Інформаційний суверенітет України забезпечується: виключним правом власності України на інформаційні ресурси, що формуються за рахунок засобів державного бюджету; створенням національних систем інформації;
установленням режиму доступу інших держав до інформаційних ресурсів України;
використанням інформаційних ресурсів на основі рівноправного співробітництва з іншими державами.
Ціллю Закону України "ПРО захист інформації в автоматизованих системах" [2] є встановлення основ регулювання правових відношень по захисті інформації в автоматизованих системах за умови дотримання права власності громадян України і юридичних осіб на інформацію і права доступу до неї, права власника інформації на її захист, а також установленого чинним законодавством обмеження на доступ до інформації.
Чинність Закону поширюється на будь-яку інформацію, оброблювану в автоматизованих системах. У Законі основні терміни вживаються в такому значенні.
Автоматизована система (АС) – система, що здійснює автоматизоване опрацювання даних, до складу якої входять технічні засоби опрацювання (засоби обчислювальної техніки і зв'язку), а також методи, процедури і програмне забезпечення.
Інформація в АС – сукупність усіх даних і програм, використовуваних в АС незалежно від засобу їх фізичного і логічного уявлення.
Опрацювання інформації – сукупність операцій (збір, уведення, запис, перетворення, зчитування, зберігання, знищення, реєстрація), здійснюваних за допомогою технічних і програмних засобів, включаючи обмін по каналах передачі даних.
Захист інформації – сукупність організаційно-технічних заходів і правових норм для попередження заподіяння збитку інтересам власника інформації або АС і осіб, що користуються інформацією.
Несанкціонований доступ до інформації, здійснюваний із порушенням встановлених в АС правил розмежування доступу.
Розпорядник АС – фізична або юридична особа, що має право розпорядження АС за згодою з її власником або по його дорученню.
Користувач АС – фізична або юридична особа, що має право використання АС за згодою з розпорядником АС.
Порушник - фізична або юридична особа, навмисно або ненавмисно здійснюючі неправомірні дії стосовно АС і інформації в ній.
Витік інформації – результат дій порушника, унаслідок яких інформація стає відомою (доступною) суб'єктам, що не мають права доступу до неї.
Втрата інформації – дія, унаслідок якої інформація в АС перестає існувати для фізичних або юридичних осіб, що мають право власності на її в повному або обмеженому обсязі.
Підробка інформації навмисні дії, що ведуть до перекручування інформації, що повинні опрацьовуватися або зберігатися в АС.
Блокування інформації дії, слідством яких є припинення доступу до інформації.
Відповідно до Закону об'єктами захисту є інформація, оброблювана в АС, права власників цієї інформації і власників АС, права користувача. Захисту підлягає будь-яка інформація в АС, необхідність захисту якої визначається її власником або чинним законодавством.
Доступ до інформації, що зберігається, опрацьовується і передається в АС, здійснюється лише відповідно до правил розмежування доступу, установленим власником інформації або уповноваженою їм особою. Без дозволу власника доступ до інформації, що опрацьовується в АС, здійснюється лише у випадках, передбачених чинним законодавством.
Власник АС повинний забезпечити захист інформації відповідно до вимог і правил, що обумовлюється угодою з власником інформації або уповноваженою їм особою, і зобов'язаний повідомити йому про всі факти порушення її захисту. Власник інформації має право здійснювати контроль за дотриманням вимог по захисту інформації і забороняти або припиняти опрацювання інформації у випадку порушення цих вимог.
Власник інформації, уповноважені їм на те особи визначають користувачів приналежної йому інформації і встановлюють їхній повноваження. Власник АС дає користувачам можливість доступу до інформації, оброблюваної в АС, відповідно до повноважень, установленим власником інформації. Розпорядник АС інформує власника інформації про технічні можливості захисту інформації в його АС, типових правилах, установлених для персоналу АС.
Приведемо зведення найбільше важливих статей Закону, що стосуються умов опрацювання і заходів для забезпечення захисту інформації.
Стаття 10. Забезпечення захисту інформації в АС
Захист інформації в АС забезпечується шляхом: дотримання суб'єктами правових відношень норм, вимог і правил організаційного і технічного характеру по захисту оброблюваної інформації; використання засобів обчислювальної техніки, програмного забезпечення, засобів зв'язку й АС у цілому, засобів захисту інформації, що відповідають установленим вимогам по захисту інформації (маючих відповідний сертифікат);
перевірки відповідності засобів обчислювальної техніки, програмного забезпечення, засобів зв'язку й АС в цілому установленим вимогам по захисту інформації (сертифікація засобів обчислювальної техніки, засобів зв'язку й АС);
здійснення контролю по захисту інформації.
Стаття 11. Встановлення вимог і правил по захисту інформації
Вимоги і правила по захисту інформації, що є власністю держави, або інформації, захист якої гарантується державою, установлюються державним органом, уповноваженим Кабінетом Міністрів України. Ці вимоги і правила є обов'язковими для власників АС, де така інформація опрацьовується, і носить рекомендаційний характер для інших суб'єктів права власності на інформацію.
Стаття 12. Умови опрацювання інформації
Інформація, що є власністю держави або інформація, захист якої гарантується державою, повинна опрацьовуватися в АС, що має відповідний сертифікат (атестат) захищеності, у порядку, обумовленому уповноваженим Кабінетом Міністрів України органом.
У процесі сертифікації (атестації) цих АС здійснюються також перевірка, сертифікація (атестація) розроблених засобів захисту інформації.
Інформація, що є власністю інших суб'єктів, може опрацьовуватися в зазначених АС по розсуду власника інформації. Власник інформації може звернутися в органи сертифікації з клопотанням про проведення аналізу можливостей АС по належному захисту його інформації й одержанні відповідних консультацій.
Стаття 13. Політика в області захисту інформації
Політика в області захисту інформації в АС визначається Верховною Радою України.
Стаття 14. Державне керування захистом інформації в АС
Уповноважений Кабінетом Міністрів України орган здійснює керування захистом інформації шляхом: проведення єдиного технічної політики по захисту інформації; розробки концепції, вимог, нормативно-технічних документів і науково-методичних рекомендацій по захисті інформації в АС;
ствердження порядку організації, функціонування і контролю за виконанням мір, спрямованих на захист оброблюваної в АС інформації, що є власністю держави, а також рекомендацій по захисті інформації власності юридичних і фізичних осіб;
організації іспитів і сертифікації засобів захисту інформації в АС, у якій здійснюється опрацювання інформації, що є власністю держави;
створення відповідних структур для захисту інформації в АС;
проведення атестації сертифікаційних (іспитових) органів, центрів і лабораторій, видача ліцензії на право проведення сервісних робіт в області захисту інформації в АС;
здійснення контролю захищеності оброблюваної в АС інформації, що є власністю держави;
визначення порядку доступу осіб і організацій закордонних держав до інформації в АС, що є власністю держави, або до інформації власності фізичних і юридичних осіб, щодо поширення і використання якої державою встановлені обмеження.
Міністерства, відомства й інші центральні органи державної влади забезпечують рішення питань захисту інформації в АС у межах своїх повноважень.
Стаття 15. Служби захисту інформації в АС
У державних заснуваннях і організаціях можуть створюватися підрозділи, служби, що організують роботу, пов'язану з захистом інформації, підтримкою рівня захисту інформації в АС, і відповідають за ефективність захисту інформації відповідно до вимог дійсного Закону.
Стаття 20. Забезпечення інформаційних прав України
Фізичні і юридичні особи в Україні на підставі Закону України "Про інформацію" можуть встановлювати взаємозв'язок з АС інших держав із метою опрацювання, обміну, продажі, покупки відкритої інформації. Такі взаємозв'язки повинні виключати можливість несанкціонованого доступу з боку інших держав або їхніх представників резидентів України або осіб без громадянства до інформації, наявної в АС України, незалежно від форм власності і підпорядкування, у відношенні якої установлені вимоги нерозповсюдження її за межі України без спеціального дозволу.
Іноземні держави, іноземні фізичні і юридичні особи можуть виступати власниками АС в Україні, власниками інформації, що поширюється й опрацьовується в АС України, або учредити спільні з українськими юридичними і фізичними особами підприємства з метою створення АС України, обміну інформацією між АС України й АС інших держав. Окремі види такої діяльності здійснюються на підставі спеціального дозволу (ліцензії), що видається уповноваженим на це органом.
Дата добавления: 2019-07-15; просмотров: 196; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!