Logo GenDocs.ru

Поиск по сайту:  

Загрузка...

Аналіз нормативних документів України у сфері інформаційної безпеки - файл 1.doc


Аналіз нормативних документів України у сфері інформаційної безпеки
скачать (3626.5 kb.)

Доступные файлы (1):

1.doc3627kb.16.11.2011 01:29скачать

1.doc

НАЦІОНАЛЬНИЙ АВІАЦІЙНИЙ УНІВЕРСИТЕТ





Домашнє завдання

з дисципліни " Захист інформації в аеронавігаційних системах "


на тему " Аналіз нормативних документів України у сфері інформаційної безпеки "


Напрям: 070102 "Аеронавігація"

Спеціальність: "Системи аеронавігаційного обслуговування"


Виконав(ла):

студент(ка) ^ 404 , ФІТ, Созонюк Н.В. .

номер групи прізвище ім’я по-батькові


2008 р. ________________

підпис

Перевірив:

доц. Кравець О.І. .


________________ р.

оцінка підпис дата


Київ – 2008

Зміст :


1. Загальні законодавчі документи України щодо інформаційної безпеки.


2. Нормативні документи України щодо технічного захисту інформації.


3. Стандарти інформаційної безпеки.


1. Загальні законодавчі документи України щодо інформаційної безпеки.


Державна політика України у сфері інформаційної безпеки спрямована на накопичення та захист національних інформаційних ресурсів, розробку та впровадження сучасних безпечних інформаційних технологій, побудову захищеної національної інформаційної інфраструктури, формування і розвиток інформаційних стосунків тощо. Вона повинна реалізовуватись шляхом створення і забезпечення ефективного функціонування в Україні цілісної системи інформаційної безпеки, а також вдосконалення існуючої і розробки нової нормативно-правової бази, яка регулює відносини в сфері інформаційної безпеки, встановлює вимоги і правила провадження діяльності у цій сфері.

Відповідно до Білої книги Держспецзв’язку [23] інформаційна безпека (ІБ) включає дві основних складових – гуманітарну та технологічну (рис. 3.1). Але окрім них існують технічна, економічна, функціональна та інші складові щодо результатів захисту інформації. Захищена інформаційна система дозволяє отримати в результаті її використання ефекти різного характеру.




На державному рівні інформаційну безпеку розуміють як складову частину національної безпеки, що характеризує стан захищеності національних інтересів в інформаційній сфері від зовнішніх та внутрішніх загроз. Серед загроз інформації за своїми небезпечними наслідками особливе місце займають:

  • здобування технічними розвідками відомостей у сфері оборони, економіки,науки і техніки, зовнішніх відносин, державної безпеки та охорони правопорядку;

  • несанкціонований доступ до інформації, яка обробляється та циркулює в інформаційних та телекомунікаційних системах, а також спеціальний вплив на інформацію з метою її спотворення, руйнування, знищення, порушення нормального функціонування систем обробки інформації;

  • витік інформації з обмеженим доступом технічними каналами внаслідок виникнення побічних електромагнітних випромінювань і наводок, ведення акустичної та оптико-електронної розвідки в безпосередній близькості від об’єкту інформаційної діяльності.

Для протидії зазначеним загрозам державна політика у сфері інформаційної безпеки передбачає створення, функціонування та розвиток системи технічного захисту інформації [23]. Ця система наведена на рис.3.2 і є сукупністю організаційних структур, поєднаних цілями і завданнями захисту інформації, нормативно-правової та матеріально-технічної бази.




Згідно закону [24] центральним органом України, який відповідає за питання функціонування і розвитку державної системи захисту державних інформаційних ресурсів, є Державна служба спеціального зв’язку та захисту інформації України (Держспецзв’язок). Держспецзв’язок підконтрольний Верховній Раді України, але з питань, пов’язаних із забезпеченням національної безпеки України, Держспецзв’язок підпорядкований і підконтрольний Президентові України.

Для вирішення проблеми безпеки інформаційних ресурсів Україні на Держспецзв’язок перш за все покладені такі характерні завдання:

  • участь у формуванні та реалізація державної політики у сфері захисту
    державних інформаційних ресурсів в інформаційно-телекомунікаційних
    системах, криптографічного та технічного захисту інформації;

  • забезпечення функціонування, безпеки та розвитку державної системи
    урядового зв'язку і Національної системи конфіденційного зв'язку;

  • визначення вимог і порядку створення та розвитку систем технічного та
    криптографічного захисту інформації, яка є власністю держави, або інформації
    з обмеженим доступом, вимога щодо захисту якої встановлена законом;

  • здійснення державного контролю за станом криптографічного та
    технічного захисту інформації, яка є власністю держави, або інформації з
    обмеженим доступом, вимога щодо захисту якої встановлена законом, а також
    за додержанням вимог законодавства у сфері надання послуг електронного

  • цифрового підпису.

Для наукової, організаційно-технічної та методичної підтримки вирішення визначених вище завдань Держспецзв'язок діє у таких напрямках:

  • розроблення та організація виконання наукових і науково-технічних
    програм за напрямами її діяльності Держспецзв'язку;

  • розроблення та супроводження моделей технічних розвідок шляхом
    збору та аналізу інформації про існуючі системи і засоби технічних розвідок,
    тактику та методи їх застосування, а також перспективи розвитку; надання
    рекомендацій органам державної влади, органам місцевого самоврядування,
    військовим формуванням, підприємствам, установам і організаціям для оцінки
    загроз та вжиття відповідних заходів для захисту інформації;

  • накопичення та аналіз даних про вчинення та/або спроби вчинення
    несанкціонованих дій щодо державних інформаційних ресурсів в
    інформаційно-телекомунікаційних системах, а також про їх наслідки,
    інформування правоохоронних органів для вжиття заходів із запобігання та
    припинення злочинів у зазначеній сфері; оцінка стану захищеності державних
    інформаційних ресурсів в інформаційно-телекомунікаційних системах, надання
    відповідних рекомендацій;

  • погодження проектів нормативно-правових актів з питань захисту
    Державних інформаційних ресурсів в інформаційно-телекомунікаційних
    системах, криптографічного та технічного захисту інформації, яка є власністю
    держави, або інформації з обмеженим доступом, вимога щодо захисту якої
    встановлена законом, а також з питань щодо умов здійснення міжнародних
    передач криптографічних систем, засобів криптографічного та технічного
    захисту інформації, зокрема тих, що наявні у складі озброєння, військової та
    спеціальної техніки;

  • розроблення порядку та вимог щодо захисту державних інформаційних
    ресурсів в інформаційно-телекомунікаційних системах, криптографічного та
    технічного захисту інформації, яка є власністю держави, або інформації з
    обмеженим доступом, вимога щодо захисту якої встановлена законом;

  • встановлення порядку і вимог щодо використання інформаційно -
    телекомунікаційних систем, у тому числі загального користування, органами
    державної влади, органами місцевого самоврядування, підприємствами,
    установами і організаціями незалежно від форм власності, які збирають,
    обробляють, зберігають та передають інформацію, яка є власністю держави,
    або інформацію з обмеженим доступом, вимога щодо захисту якої
    встановлена законом;

  • організація та координація разом з центральним органом виконавчої
    влади у сфері стандартизації, метрології та сертифікації робіт з проведення
    сертифікації засобів криптографічного та технічного захисту інформації,
    організація та проведення державної експертизи у сфері криптографічного та
    технічного захисту інформації;

  • методичне керівництво та координація діяльності органів державної
    влади, органів місцевого самоврядування, військових формувань,
    підприємств, установ і організацій незалежно від форм власності у сфері
    криптографічного та технічного захисту інформації, а також з питань,
    пов'язаних із запобіганням вчиненню порушень безпеки інформації в
    інформаційно-телекомунікаційних системах, виявленням та усуненням
    наслідків інших несанкціонованих дій щодо державних інформаційних ресурсів
    в інформаційно-телекомунікаційних системах;

  • здійснення технічного регулювання у сферах захисту державних
    Інформаційних ресурсів в інформаційно-телекомунікаційних системах,
    криптографічного та технічного захисту інформації, організація та проведення
    оцінки відповідності, розроблення в установленому порядку стандартів,
    технічних регламентів, технічних умов.

Закон "Про інформацію" [25] встановлює загальні правові основи одержання, використання, поширення та зберігання інформації, закріплює право особи на інформацію в усіх сферах суспільного і державного життя України, а також систему інформації, її джерела, визначає статус учасників інформаційних відносин, регулює доступ до інформації та забезпечує її охорону, захищає особу та суспільство від неправдивої інформації.

Загальна державна інформаційна політика - це сукупність основних напрямів і способів діяльності держави по одержанню, використанню, поширенню та зберіганню інформації.

Головними напрямами і способами державної інформаційної політики є [25]:

  • забезпечення доступу громадян до інформації;

  • створення національних систем і мереж інформації;

  • зміцнення матеріально-технічних, фінансових, організаційних,
    правових і наукових основ інформаційної діяльності;

  • забезпечення ефективного використання Інформації;

  • сприяння постійному оновленню, збагаченню та зберіганню
    національних інформаційних ресурсів:

  • створення загальної системи охорони інформації;

  • сприяння міжнародному співробітництву в галузі інформації і
    гарантування інформаційного суверенітету України.

Державну інформаційну політику розробляють і здійснюють органи державної влади загальної компетенції, а також відповідні органи спеціальної

компетенції.

Суб'єктами інформаційних відносин є:

  • громадяни України;

  • юридичні особи;

  • держава.

Суб'єктами інформаційних відносин відповідно до цього Закону можуть бути також інші держави, їх громадяни та юридичні особи, міжнародні організації та особи без громадянства.

Об'єктами інформаційних відносин є документована або публічно оголошувана інформація про події та явища в галузі політики, економіки, культури, охорони здоров'я, а також у соціальній, екологічній, міжнародній та

інших сферах.

Закон [26] також встановлює основні принципи інформаційних відносин:

  • гарантованість права на інформацію;

  • відкритість, доступність інформації та свобода її обміну;

  • об'єктивність, вірогідність інформації;

  • повнота і точність Інформації;

  • законність одержання, використання, поширення та зберігання

інформації.

Основними видами інформаційної діяльності є одержання, використання,

поширення та зберігання інформації.

Одержання інформації - це набуття, придбання, накопичення відповідно до чинного законодавства України документованої або публічно оголошуваної інформації громадянами, юридичними особами або державою.

Використання інформації - це задоволення інформаційних потреб громадян, юридичних осіб і держави.

Поширення інформації - це розповсюдження, обнародування, реалізація у встановленому законом порядку документованої або публічно оголошуваної інформації.

Зберігання інформації - це забезпечення належного стану інформації та ЇЇ

матеріальних носіїв.

Одержання, використання, поширення та зберігання документованої або публічно оголошуваної інформації здійснюється у порядку, передбаченому законом [3] та іншими законодавчими актами в галузі інформації. Специфіка встановлення відповідного порядку насамперед пов'язана з обмеженням доступу до інформації.

Відповідно до закону України про "Про державну таємницю" [26] інформація з обмеженим доступом за своїм правовим режимом поділяється на таємну і конфіденційну.

Таємна інформація охоплює відомості щодо чотирьох сфер використання:

  • оборони;

  • економіки, науки і техніки;

  • зовнішніх відносин;

  • державної безпеки та охорони правопорядку.

Розголошення таємних відомостей (наприклад, відомості щодо використання транспорту, зв'язку, потужностей інших галузей та об'єктів інфраструктури держави в інтересах забезпечення її безпеки) може завдати шкоди національній безпеці України. Ця інформація визначається як державна таємниця і підлягає охороні державою.

Віднесення інформації до категорії таємних відомостей які становлять

державну таємницю, і доступ до неї громадян здійснюється відповідно до закону [26]. Звід відомостей, що становлять державну таємницю - це акт, в якому зведено переліки відомостей, що згідно з рішенням державних експертів з питань таємниць становлять державну таємницю у визначених законом сферах. Звід відомостей затверджується Кабінетом Міністрів України. Процедура прийняття державним експертом з питань таємниць рішення про таємниці включає установлення ступеня їх секретності шляхом обґрунтування та визначення можливої шкоди національній безпеці України у разі розголошення цих відомостей.

Органи державної влади, органи місцевого самоврядування, підприємства, установи, організації мають право провадити діяльність, пов’язану з державною таємницею, після надання їм Службою безпеки України спеціального дозволу на провадження діяльності, пов'язаної з державною таємницею.

Доступ до державної таємниці надається дієздатним громадянам України, яким надано допуск до державної таємниці та які потребують його за умовами службової, виробничої, наукової чи науково-дослідної діяльності або навчання. Рішення про надання доступу до конкретної секретної інформації та її матеріальних носіїв приймають у формі наказу або письмового розпорядження керівники органів державної влади, органів місцевого самоврядування, підприємств, установ і організацій, в яких виконуються роботи, пов’язані з державною таємницею, або зберігаються матеріальні носії секретної інформації.

Конфіденційна інформація – це відомості, які знаходяться у володінні, користуванні або розпорядженні окремих фізичних чи юридичних осіб і поширюються за встановленим законом [25] порядком або відповідно до передбачених власниками інформації умов.

Громадяни, юридичні особи, які володіють інформацією професійного, ділового, виробничого, банківського, комерційного та іншого інтересу і не порушує передбаченої законом таємниці, самостійно визначають режим доступу до неї, включаючи належність її до категорії конфіденційної, та встановлюють для неї систему (способи) захисту.

Стосовно інформації офіційних документів, що є власністю держави і знаходиться в користуванні органів державної влади чи органів місцевого самоврядування, підприємств, установ та організацій усіх форм власності, порядок обліку, зберігання і використання її визначається Кабінетом Міністрів України.

Порядок і умови надання громадянам, державним органам, юридичним особам і представникам громадськості відомостей за запитами щодо інформації з офіційних документів встановлюються законом або договорами(угодами), якщо надання інформації здійснюється на договірній основі.

Переважним правом на одержання інформаційних запитів користуються

суб’єкти, яким ця інформація необхідна для виконання своїх професійних обов’язків.

Відповідно до закону [25] не можуть бути віднесені конфіденційної інформації, яка є власністю держави і знаходиться в користуванні органів державної влади чи органів місцевого самоврядування, підприємств, установ та організацій усіх форм власності, відомості:

- про стан довкілля, якість харчових продуктів і предметів побуту;

- про аварії, катастрофи, небезпечні природні явища та інші надзвичайні події, які сталися або можуть статися і загрожують безпеці громадян;

- харчування, одяг, житло, медичне обслуговування та соціальне забезпечення, а також про соціально-демографічні показники, стан правопорядку, освіти і культури населення;

- стосовно стану справ із правами і свободами людини і громадянина, а також фактів їх порушень;

- про незаконні дії органів державної влади, органів місцевого самоврядування, їх посадових та службових осіб;

- інша інформація, доступ до якої відповідно до законів України та міжнародних договорів, згода на обов'язковість яких надана Верховною Радою України, не може бути обмеженим.

Перелічена інформація відноситься до відкритої інформації, доступ до якої забезпечується шляхом:

- систематичної публікації її в офіційних друкованих виданнях (бюлетенях, збірниках);

- поширення її засобами масової комунікації;

- безпосереднього її надання заінтересованим громадянам, державним органам та юридичним особам.

Обмеження права на одержання відкритої інформації забороняється законом. Держава гарантує суб'єктам інформаційних стосунків як право отримання (відкритість, доступність) подібної інформації, так й її об'єктивність, вірогідність, повноту і точність.

Громадяни, юридичні особи, які володіють інформацією професійного, ділового, виробничого, банківського, комерційного та іншого характеру, одержаною на власні кошти, або такою, яка є предметом їх професійного, ділового, виробничого, банківського, комерційного та іншого інтересу і не порушує передбаченої законом таємниці, самостійно визначають режим доступу до неї, включаючи належність її до категорії конфіденційної, та встановлюють для неї систему (способи) захисту.

Таким чином, законодавчі акти України [23-26] встановлюють загальний

організаційно - правовий фундамент забезпечення єдиної державної політики у сфері інформаційної безпеки держави. Вони передбачають залучення компетентних органів центральної влади для регулювання процесів у цій сфері, визначають основні поняття інформаційної безпеки, рівні закритості інформації, відбивають права, обов'язки, порядок взаємовідношень суб'єктів інформаційної взаємодії та їх майнові стосунки відносно інформаційних ресурсів тощо. Ці документи надають загальну основу для подальшої розробки нормативів щодо гарантування безпечних умов розвитку та використання інформаційних ресурсів України.

Система організації повітряного руху України має статус об'єднаної цивільно-військової системи [29]. Інформаційні ресурси цієї системи повинні розглядатися як державні інформаційні ресурси, які включають таємну, конфіденційну, відкриту інформацію. Тому інформаційна діяльність, а також захист інформації у системі організації повітряного руху України, має відповідати вимогам перелічених вище законів. Забезпечення сталого розвитку системи насамперед потребує систематизації її інформаційних ресурсів відповідно до понять наведених вище законодавчих актів. Прояснення кругу задач з технічного захисту інформації подібних автоматизованих систем можна отримати у процесі розгляду відповідних нормативних документів України в цій сфері.


^ 3.2. Нормативні документи України щодо технічного захисту

інформації


Українська база нормативно-правового регулювання в сфері технічного захисту інформації (ТЗІ) включає ряд документів - закони, положення, правила, стандарти [28-33], які визначають термінологію ТЗІ види інформації, яка підлягає ТЗІ, суб'єкти інформаційних відносин, повноваження державних органів, організаційно-технічні вимоги до систем ТЗІ та їх функціонування, порядок проведення робіт з ТЗ тощо. Вимоги цих документів слід брати до уваги при створенні, розвитку та експлуатації систем ТЗІ призначених для автоматизованих систем, збудованих на базі сучасних інформаційно-комунікаційних технологій. Прикладом таких систем є автоматизовані системи організації повітряного руху.

Закон [28] регулює відносини суб'єктів стосовно процесу захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах. Закон вводить до розгляду та упорядковує взаємозв’язок таких основних понять:

- власник інформації ­­­– фізична або юридична особа, якій належить право власності на інформацію; - власник системи – фізична або юридична особа, якій належить право власності на систему;

- користувач інформації в системі (далі - користувач) - фізична або юридична особа, яка в установленому законодавством порядку отримала

право доступу до інформації в системі;

- доступ до інформації в системі - отримання користувачем можливості

обробляти інформацію в системі;

- інформаційна (автоматизована) система - організаційно-технічна
система, в якій реалізується технологія обробки інформації з використанням . ..

технічних і програмних засобів;

- телекомунікаційна система - сукупність технічних і програмних засобів

призначених для обміну інформацією шляхом передавання або приймання її у вигляді сигналів, знаків, звуків, рухомих або нерухомих зображень чи в інший спосіб;

- інформаційно-телекомунікаційна система – сукупність інформаційних та телекомунікаційних систем, які у процесі обробки інформації діють як єдине ціле;

- обробка інформації в системі - виконання однієї або кількох операцій, зокрема: збирання, введення, записування, перетворення, зчитування, зберігання, знищення, реєстрації, приймання, отримання, передавання, які, здійснюються в системі за допомогою технічних і програмних засобів;
- порядок доступу до інформації в системі - умови отримання користувачем можливості обробляти інформацію в системі та правила обробки цієї інформації;

- блокування інформації в системі – дії, внаслідок яких унеможливлюється доступ до інформації в системі;

- виток інформації – результат дій, внаслідок яких інформація в системі стає відомою чи доступною фізичним та/або юридичним особам, що не мають права доступу до неї;

- знищення інформації в системі – дії, внаслідок яких інформація в системі зникає;

- порушення цілісності інформації в системі - несанкціоновані дії, щодо інформації в системі, внаслідок яких змінюється її вміст;

- захист інформації в системі – діяльність, спрямована на запобігання несанкціонованим діям щодо інформації в системі;

- технічний захист інформації - вид захисту інформації, спрямований на забезпечення за допомогою інженерно-технічних заходів та/або програмних і технічних засобів унеможливлення витоку, знищення та блокування інформації, порушення цілісності та режиму доступу до інформації;

- комплексна система захисту інформації - взаємопов'язана сукупність організаційних та інженерно-технічних заходів, засобів і методів захисту інформації.

Суб'єктами відносин, пов'язаних із захистом інформації в системах, є [28]:

  • власники інформації;
    - власники системи;

  • користувачі;

  • уповноважений орган у сфері захисту інформації в системах (Держспецзв'язок).

На підставі укладеного договору або за дорученням власник інформації може надати право розпоряджатися інформацією іншій фізичній або юридичній особі і розпоряднику інформації.

На підставі укладеного договору або за дорученням власник системи може надати право розпоряджатися інформацією іншій фізичній або юридичній особі і розпоряднику системи.

Порядок доступу до інформації, перелік користувачів, та їх повноваження стосовно цієї інформації визначаються власником інформації.

Порядок доступу до інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, перелік користувачів та їх повноваження стосовно цієї інформації визначаються законодавством.

У випадках, передбачених законом, доступ до інформації в системі може здійснюватися без дозволу її власника в порядку, встановленому законом.




Скачать файл (3626.5 kb.)

Поиск по сайту:  

© gendocs.ru
При копировании укажите ссылку.
обратиться к администрации