- •Поняття інформаційної безпеки
- •Основні задачі інформаційної безпеки
- •Важливість і складність проблеми інформаційної безпеки
- •Об’єктно-орієнтований підхід до інформаційної безпеки
- •Основні положення системи зАхисту інформації
- •Поняття системи захисту інформації
- •Вимоги до захисту інформації
- •Вимоги до системи захисту інформації
- •Види забезпечення системи захисту інформації
- •Основні поняття
- •Загрози безпеці інформації
- •Основні поняття і класифікація загроз
- •Основні загрози доступності
- •Основні загрози цілісності
- •Основні загрози конфіденційності
- •Шкідливе програмне забезпечення
- •Інформація, що підлягає захисту
- •Основні поняття
- •Сфери розповсюдження державної таємниці на інформацію
- •Комерційна таємниця
- •Персональні дані
- •Дії, що призводять до неправомірного оволодіння конфіденційною інформацією
- •Перехоплення даних та канали витоку інформації
- •Порушники інформаційної безпеки
- •Модель поводження потенційного порушника
- •Класифікація порушників
- •Методика вторгнення
- •Умови, що сприяють неправомірному оволодінню конфіденційною інформацією
- •Основні поняття законодавчого рівня інформаційної безпеки
- •Система забезпечення інформаційної безпеки України
- •Правові актИ
- •Структура правових актів
- •Нормативно-правові документи
- •Форми захисту інформації
- •Правові норми забезпечення безпеки і захисту інформації на підприємстві
- •УкраїнськЕ законодавство в галузі інформаційної безпеки
- •Зарубіжне законодавство в галузі інформаційної безпеки
- •Стандарти і специфікації в галузі безпеки інформаційНих систем
- •“Помаранчева книга” як оцінний стандарт
- •Класи безпеки інформаційних систем
- •Технічна специфікація X.800
- •Стандарт iso/iec 15408
- •Поняття політики безпеки
- •Розробка політики безпеки
- •Програма реалізації політики безпеки
- •Синхронізація програми безпеки з життєвим циклом систем
- •Управління ризиками
- •Основні класи заходів організаційного рівня
- •Управління персоналом
- •Фізичний захист
- •Заходи щодо захисту локальної робочої станції
- •Підтримка працездатності
- •Реагування на порушення режиму безпеки
- •Планування відновлювальних робіт
- •Служба безпеки підприємства
- •Поняття інженерно-технічного захисту
- •Фізичні засоби захисту
- •Види фізичних засобів
- •Охоронні системи
- •Охоронне телебачення
- •Охоронне освітлення та засоби охоронної сигналізації
- •Захист елементів будинків і приміщень
- •Апаратні засоби захисту
- •Програмні засоби захисту
- •Криптографічні засоби захисту
- •Основні поняття криптографії
- •Методи шифрування
- •Криптографічні протоколи
- •Контроль цілісності
- •Технологія шифрування мови
- •Стеганографічні засоби захисту
- •Особливості сучасних інформаційних систем з погляду безпеки
- •Принципи Архітектурної безпеки
- •Ідентифікація та автентифікація
- •Логічне управління доступом
- •Протоколювання та аудит
- •Основні поняття
- •Активний аудит
- •Склад засобів активного аудиту
- •Екранування
- •Аналіз захищеності
- •Забезпечення високої доступності
- •Тунелювання
- •Управління інформаційними системами
- •Афоризми і постулати інформаційної безпеки
- •Список літератури
- •Додаткова
- •1 Галузь використання
- •2 Нормативні посилання
- •3 Загальні положення
- •4 Побудова системи захисту інформації
- •4.1 Визначення й аналіз загроз
- •4.2 Розроблення системи захисту інформації
- •4.3 Реалізація плану захисту інформації
- •4.4 Контроль функціювання та керування системою захисту інформації
- •5 Нормативні документи системи тзі
- •21021, М. Вінниця, Хмельницьке шосе, 95, внту
- •21021, М. Вінниця, Хмельницьке шосе, 95, внту
Зарубіжне законодавство в галузі інформаційної безпеки
Законодавчий рівень інформаційної безпеки найбільше забезпечений у США, де нараховується близько 500 законодавчих актів.
Ключову роль грає “Закон про інформаційну безпеку” (Computer Security Act of 1987, Public Law 100-235 (H.R. 145), January 8, 1988). Його мета – реалізація мінімально достатніх дій щодо забезпечення безпеки інформації у федеральних комп’ютерних системах, без обмежень всього спектра можливих дій.
На початку Закону називається конкретний виконавець – Національний інститут стандартів і технологій (NІST), що відповідає за випуск стандартів і положень, спрямованих на захист від знищення і несанкціонованого доступу до інформації, а також від крадіжок і фальсифікацій, що здійснюються за допомогою комп’ютерів. Таким чином, увага приділяється як регламентації дій фахівців, так і підвищенню інформованості всього суспільства.
Згідно із Законом, всі оператори федеральних ІС, що містять конфіденційну інформацію, повинні сформувати плани забезпечення ІБ. Обов’язковим є періодичне навчаннявсього персоналу таких ІС. NІST, у свою чергу, зобов’язаний проводити дослідження природи і масштабу вразливих місць, виробляти економічно виправдані заходи захисту. Результати досліджень розраховані на застосування не тільки в державних системах, але й в приватному секторі.
Для захисту федеральних ІС рекомендується ширше застосовувати технологічні рішення, засновані на розробках приватного сектора. Крім того, пропонується оцінити можливості загальнодоступних зарубіжних розробок.
Вітається розробка правил безпеки, нейтральних стосовно конкретних технічних рішень, використання у федеральних ІС комерційних продуктів, які реалізують шифрувальні технології, що дозволяє зрештою сформувати інфраструктуру, яку можна розглядати як резервну для федеральних ІС.
У 2001 році був схвалений законопроект – Computer Security Enhancement Act of 2001 (H.R. 1259 RFS), який дозволив не загострювати більше увагу на криптографії в цілому, а зосередитися на одному з її найважливіших додатків – автентифікації, розглядаючи її за відпрацьованою на криптозасобах методикою.
Програма безпеки, що передбачає економічно виправдані захисні заходи і синхронізована з життєвим циклом ІС, згадується в законодавстві США неодноразово.
Звичайно, в законодавстві США є в достатній кількості і положення обмежувальної спрямованості, і директиви, що захищають інтереси таких відомств, як Міністерство оборони, ФБР і ЦРУ.
У законодавстві ФРН основним є “Закон про захист даних” (Federal Data Protection Act of December 20, 1990 (BGBl.I 1990 S.2954), amended by law of September 14, 1994 (BGBl. I S. 2325). Він цілком присвячений захисту персональних даних. Як і у всіх інших законах аналогічної спрямованості, в даному випадку встановлюється пріоритет інтересів національної безпеки над збереженням таємниці приватного життя. В іншому права особи захищені вельми ретельно. Наприклад, якщо співробітник фірми обробляє персональні дані на користь приватних компаній, він дає підписку про нерозголошення, яка діє і після переходу на іншу роботу.
Державні установи, що зберігають і обробляють персональні дані, несуть відповідальність за порушення таємниці приватного життя “суб’єкта даних”, як мовиться в Законі. У матеріальному виразі відповідальність обмежена верхньою межею в 250 тисяч німецьких марок.
У законодавстві Великобританіїє сімейство так званих добровільних стандартівBS 7799, що допомагають організаціям на практиці сформувати програми безпеки.
У сучасному світі глобальних мереж законодавча база повинна бути узгоджена з міжнародною практикою. В цьому плані повчальний приклад Аргентини.
В 1996 році в Аргентині був заарештований системний оператор електронної дошки оголошень. Йому ставилися в провину систематичні вторгнення в комп’ютерні системи ВМС США, НАСА, а також у комп’ютерні системи Бразилії, Чилі, Кореї, Мексики і Тайваню. Проте, його відпустили без офіційного висування звинувачень, оскільки за аргентинським законодавством вторгнення в комп’ютерні системи не вважається злочином.