- •Поняття інформаційної безпеки
- •Основні задачі інформаційної безпеки
- •Важливість і складність проблеми інформаційної безпеки
- •Об’єктно-орієнтований підхід до інформаційної безпеки
- •Основні положення системи зАхисту інформації
- •Поняття системи захисту інформації
- •Вимоги до захисту інформації
- •Вимоги до системи захисту інформації
- •Види забезпечення системи захисту інформації
- •Основні поняття
- •Загрози безпеці інформації
- •Основні поняття і класифікація загроз
- •Основні загрози доступності
- •Основні загрози цілісності
- •Основні загрози конфіденційності
- •Шкідливе програмне забезпечення
- •Інформація, що підлягає захисту
- •Основні поняття
- •Сфери розповсюдження державної таємниці на інформацію
- •Комерційна таємниця
- •Персональні дані
- •Дії, що призводять до неправомірного оволодіння конфіденційною інформацією
- •Перехоплення даних та канали витоку інформації
- •Порушники інформаційної безпеки
- •Модель поводження потенційного порушника
- •Класифікація порушників
- •Методика вторгнення
- •Умови, що сприяють неправомірному оволодінню конфіденційною інформацією
- •Основні поняття законодавчого рівня інформаційної безпеки
- •Система забезпечення інформаційної безпеки України
- •Правові актИ
- •Структура правових актів
- •Нормативно-правові документи
- •Форми захисту інформації
- •Правові норми забезпечення безпеки і захисту інформації на підприємстві
- •УкраїнськЕ законодавство в галузі інформаційної безпеки
- •Зарубіжне законодавство в галузі інформаційної безпеки
- •Стандарти і специфікації в галузі безпеки інформаційНих систем
- •“Помаранчева книга” як оцінний стандарт
- •Класи безпеки інформаційних систем
- •Технічна специфікація X.800
- •Стандарт iso/iec 15408
- •Поняття політики безпеки
- •Розробка політики безпеки
- •Програма реалізації політики безпеки
- •Синхронізація програми безпеки з життєвим циклом систем
- •Управління ризиками
- •Основні класи заходів організаційного рівня
- •Управління персоналом
- •Фізичний захист
- •Заходи щодо захисту локальної робочої станції
- •Підтримка працездатності
- •Реагування на порушення режиму безпеки
- •Планування відновлювальних робіт
- •Служба безпеки підприємства
- •Поняття інженерно-технічного захисту
- •Фізичні засоби захисту
- •Види фізичних засобів
- •Охоронні системи
- •Охоронне телебачення
- •Охоронне освітлення та засоби охоронної сигналізації
- •Захист елементів будинків і приміщень
- •Апаратні засоби захисту
- •Програмні засоби захисту
- •Криптографічні засоби захисту
- •Основні поняття криптографії
- •Методи шифрування
- •Криптографічні протоколи
- •Контроль цілісності
- •Технологія шифрування мови
- •Стеганографічні засоби захисту
- •Особливості сучасних інформаційних систем з погляду безпеки
- •Принципи Архітектурної безпеки
- •Ідентифікація та автентифікація
- •Логічне управління доступом
- •Протоколювання та аудит
- •Основні поняття
- •Активний аудит
- •Склад засобів активного аудиту
- •Екранування
- •Аналіз захищеності
- •Забезпечення високої доступності
- •Тунелювання
- •Управління інформаційними системами
- •Афоризми і постулати інформаційної безпеки
- •Список літератури
- •Додаткова
- •1 Галузь використання
- •2 Нормативні посилання
- •3 Загальні положення
- •4 Побудова системи захисту інформації
- •4.1 Визначення й аналіз загроз
- •4.2 Розроблення системи захисту інформації
- •4.3 Реалізація плану захисту інформації
- •4.4 Контроль функціювання та керування системою захисту інформації
- •5 Нормативні документи системи тзі
- •21021, М. Вінниця, Хмельницьке шосе, 95, внту
- •21021, М. Вінниця, Хмельницьке шосе, 95, внту
Нормативно-правові документи
Нормативні документи поділяються на:
нормативні документи із стандартизації в галузі технічного захисту інформації;
державні стандарти та прирівняні до них нормативні документи;
нормативні акти міжвідомчого значення, що регулюються у Міністерстві юстиції України;
нормативні документи міжвідомчого значення технічного характеру, що реєструються органом, уповноваженим Кабінетом Міністрів України;
нормативні документи відомчого значення органів державної влади та органів місцевого самоврядування.
Спираючись на державні правові акти і з огляду на відомчі інтереси на рівні конкретного підприємства (фірми, організації), розробляються власні нормативно-правові документи,орієнтовані на забезпечення інформаційної безпеки. До таких документів належать:
“Положення про збереження конфіденційної інформації”;
“Перелік відомостей, що складають конфіденційну інформацію”;
“Інструкція про порядок допуску співробітників до відомостей, що складають конфіденційну інформацію”;
“Положення про спеціальне діловодство і документообіг”;
“Перелік відомостей, дозволених до опублікування у відкритій пресі”;
“Положення про роботу з іноземними фірмами та їхніми представниками”;
“Зобов’язання співробітника про збереження конфіденційної інформації”;
“Пам’ятка співробітнику про збереження комерційної таємниці”.
Зазначені нормативні акти спрямовані на попередження випадків неправомірного оголошення (розголошення) секретів на правовій основі та у випадку їхнього порушення повинні вживатися відповідні заходи впливу.
Форми захисту інформації
Залежно від характеру інформації, її доступності для зацікавлених споживачів, а також економічної доцільності конкретних захисних заходів можуть бути обрані такі форми захисту інформації:
патентування;
авторське право;
визнання відомостей конфіденційними;
товарні знаки;
застосування норм зобов’язального права.
Існують певні розходження між авторським правом і комерційною таємницею. Авторське право захищає тільки форму вираження ідеї. Комерційна таємниця стосується безпосередньо змісту. Авторське право захищає від копіювання незалежно від конфіденційних відносин із власником. До авторського права прибігають при широкій публікації своєї інформації, у той час як комерційну таємницю тримають у секреті. Очевидно, що в порівнянні з патентом і авторським правом комерційна і виробнича таємниці є найбільш зручними, надійними і гнучкими формами захисту інформації.
Крім вищевикладених форм правового захисту і права приналежності інформації знаходить широке розповсюдження офіційна передача права на користування нею у вигляді ліцензії.
Ліцензійні дозволи надаються на певний час і на певні види товарів.
Ліцензія – це дозвіл, що видається державою на проведення деяких видів господарської діяльності, зокрема зовнішньоторговельних операцій (ввезення та вивезення) і надання права використовувати захищені патентами винаходи, технології, методики.
На всі форми захисту інтелектуальної власності є відповідні закони – “Закон про патенти”, “Закон про авторське право”, “Закон про комерційну таємницю”, “Закон про товарні знаки” тощо.
Створюючи систему інформаційної безпеки, необхідно чітко розуміти, що без правового забезпечення захисту інформації будь-які претензії до несумлінного співробітника, клієнта, конкурента і посадової особи будуть необґрунтованими.
Якщо перелік відомостей конфіденційного характеру не доведений вчасно до кожного співробітника (природно, якщо він допущений за посадовими обов’язками) у письмовому вигляді, то співробітник, який вкрав важливу інформацію в порушення встановленого порядку роботи з нею, швидше за все розведе руками: звідки мені це знати! У цьому випадку ніякі інстанції, аж до судових, не зможуть допомогти його покарати.
Одним з напрямків правового захисту є страхове забезпечення. Воно призначено для захисту власника інформації і засобів її обробки як від традиційних загроз (крадіжки, стихійні лиха), так і від загроз, що виникають у ході роботи з інформацією. До них належать розголошення, витік і несанкціонований доступ до конфіденційної інформації.
Метою страхування є забезпечення страхового захисту фізичних і юридичних осіб від страхових ризиків у вигляді повного чи часткового відшкодування збитку і втрат, заподіяних стихійними лихами, надзвичайними подіями в різних галузях діяльності, протиправними діями з боку конкурентів і зловмисників шляхом виплат грошової компенсації чи надання сервісних послуг (ремонт, відновлення) при настанні страхової події.
В основі страхового законодавства лежить Закон “Про страхування”, який дає таке визначення терміну “страхування”:
Страхування – це відносини по захисту майнових інтересів фізичних і юридичних осіб при настанні визначених подій (страхових випадків) за рахунок грошових фондів, що формуються зі страхових внесків, які сплачуються ними.
Він покликаний гарантувати захист інтересів страхувальників, визначати єдині положення щодо організації страхування і принципи державного регулювання страхової діяльності.