- •Закон України "Про інформацію". Основна мета та призначення.
- •Закон України "Про інформацію". Поняття інформації. Класифікація інформації відповідно до зу. Порядок віднесення інформації до державної таємниці.
- •Закон України "Про державну таємницю". Рішення державного експерта з питань таємниць. Засекречування та розсекречування матеріальних носіїв інформації.
- •Закон України "Про державну таємницю". Порядок проведення діяльності, пов'язаної з державною таємницею. Режим секретності. Права режимно-секретних відділів.
- •Загрози інформаційній безпеці України згідно Концепції інформаційної безпеки України
- •Зу «Національна система конфіденційного зв’язку». Основна мета та призначення.
- •Основна мета та призначення зу: «Про радіочастотний ресурс».
- •Основна мета та призначення зу: «Про зв’язок ».
- •Основні положення Закону України "Про радіочастотний ресурс України".
- •Закон України "Про радіочастотний ресурс України". Управління у сфері радіочастотного ресурсу України.
- •Основні положення «Концепції технічного захисту інформації в Україні».
- •Задачі та функції «Положення про технічний захист інформації в Україні та контроль за його функціонуванням».
- •Основні положення Закону України "Про захист інформації в автоматизованих системах".
- •Відповідальність
- •5 Постановка проблеми захисту інформації в комп'ютерних системах від несанкціонованого доступу
- •5.1 Загальні положення
- •5.2 Основні напрями захисту
- •6.1 Основні загрози інформації
- •Основні положення Закону України "Про електронний цифровий підпис".
- •Порядок здійснення криптографічного захисту інформації в Україні.
- •Положення про порядок розроблення, виготовлення та експлуатації засобів криптографічного захисту конфіденційної інформації. Загальні положення.
- •Мета та напрями ліцензування господарської діяльності у сфері криптографічного захисту інформації (кзі).
- •Нормативно-правові умови надання послуг в сфері торгівлі криптосистемами і засобами криптографічного захисту інформації. Нормативно-правові основи та порядок сертифікації засобів кзі.
- •5. Порядок проведення сертифікації засобів криптографічного захисту інформації
- •1. Галузь використання
- •2. Нормативні посилання
- •3. Терміни та визначення
- •4. Загальні положення
- •Цей документ містить у собі:
- •4 Загальні положення
- •5 Специфікації гарантій безпеки середовища персоналу
- •6 Специфікації гарантій стандартизації технологічного середовища
- •7 Специфікації гарантій забезпечення спостережності
- •4 Загальні положення
- •8 Специфікації гарантій забезпечення конфіденційності і цілісності інформаційних ресурсів технологічного середовища
- •9 Специфікації гарантій якості документації
- •1 Галузь використання
- •4 Загальні положення
Основні положення Закону України "Про захист інформації в автоматизованих системах".
Метою цього Закону є встановлення основ регулювання правових відносин щодо захисту інформації в автоматизованих системах за умови дотримання права власності громадян України і юридичних осіб на інформацію та права доступу до неї, права власника інформації на її захист, а також встановленого чинним законодавством обмеження на доступ до інформації. Дія Закону поширюється на будь-яку інформацію, що обробляється в автоматизованих системах.
Закон визначає:
Відносини між суб'єктами в процесі обробки інформації в АС.
Загальні вимоги щодо захисту інформації в АС.
Організація захисту інформації в АС.
Відповідальність за порушення закону про захист інформації в АС.
Міжнародну діяльність в галузі захисту інформації в АС.
Термінологію
Об'єктами захисту є інформація, що обробляється в АС, права власників цієї інформації та власників АС, права користувача. Захисту підлягає будь-яка інформація в АС, необхідність захисту якої визначається її власником або чинним законодавством.
Суб'єктами відносин, пов'язаних з обробкою інформації в АС, є:
власники інформації чи уповноважені ними особи;
власники АС чи уповноважені ними особи;
користувачі інформації;
користувачі АС.
Захист інформації в АС забезпечується шляхом:
дотримання суб'єктами правових відносин норм, вимог та правил організаційного і технічного характеру щодо захисту оброблюваної інформації;
використання засобів обчислювальної техніки, програмного забезпечення, засобів зв'язку і АС в цілому, засобів захисту інформації, які відповідають встановленим вимогам щодо захисту інформації (мають відповідний сертифікат);
перевірки відповідності засобів обчислювальної техніки, програмного забезпечення, засобів зв'язку і АС в цілому встановленим вимогам щодо захисту інформації (сертифікація засобів обчислювальної техніки, засобів зв'язку і АС);
здійснення контролю щодо захисту інформації.
Встановлення вимог і правил щодо захисту інформації
Вимоги і правила щодо захисту інформації, яка є власністю держави, або інформації, захист якої гарантується державою, встановлюються державним органом, уповноваженим Кабінетом Міністрів України.
Умови обробки інформації
Інформація, яка є власністю держави, або інформація, захист якої гарантується державою, повинна оброблятись в АС, що має відповідний сертифікат (атестат) захищеності, в порядку, який визначається уповноваженим Кабінетом Міністрів України органом.
У процесі сертифікації (атестації) цих АС здійснюються також перевірка, сертифікація (атестація) розроблених засобів захисту інформації.
Закон України "Про захист інформації в автоматизованих системах". Об'єкти захисту. Суб'єкти відносин. Доступ до інформації. Шляхи забезпечення захисту інформації. Умови обробки інформації в автоматизованій системі.
Об'єкти захисту в системі
Об'єктами захисту в системі є інформація, що обробляється в ній, та програмне забезпечення, яке призначено для обробки цієї інформації.
Суб'єкти відносин
Суб'єктами відносин, пов'язаних із захистом інформації в системах, є:
- власники інформації;
- власники системи;
- користувачі;
-уповноважений орган у сфері захисту інформації в системах.
На підставі укладеного договору або за дорученням власник інформації може надати право розпоряджатися інформацією іншій фізичній або юридичній особі - розпоряднику інформації.
На підставі укладеного договору або за дорученням власник системи може надати право розпоряджатися системою іншій фізичній або юридичній особі - розпоряднику системи.
Доступ до інформації в системі
Порядок доступу до інформації, перелік користувачів та їх повноваження стосовно цієї інформації визначаються власником інформації.
Порядок доступу до інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, перелік користувачів та їх повноваження стосовно цієї інформації визначаються законодавством.
У випадках, передбачених законом, доступ до інформації в системі може здійснюватися без дозволу її власника в порядку, встановленому законом.
Забезпечення захисту інформації в системі
Відповідальність за забезпечення захисту інформації в системі покладається на власника системи.
Власник системи, в якій обробляється інформація, яка є власністю держави, або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, утворює службу захисту інформації або призначає осіб, на яких покладається забезпечення захисту інформації та контролю за ним.
Про спроби та/або факти несанкціонованих дій у системі щодо інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, власник системи повідомляє уповноважений орган у сфері захисту інформації.
Умови обробки інформації в системі визначаються власником системи відповідно до договору з власником інформації, якщо інше не передбачено законодавством.
Інформація, яка є власністю держави, або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, повинна оброблятися в системі із застосуванням комплексної системи захисту інформації з підтвердженою відповідністю. Підтвердження відповідності здійснюється за результатами державної експертизи в порядку, встановленому законодавством.
Для створення комплексної системи захисту інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, використовуються засоби захисту інформації, які мають сертифікат відповідності або позитивний експертний висновок за результатами державної експертизи у сфері технічного та/або криптографічного захисту інформації. Підтвердження відповідності та проведення державної експертизи цих засобів здійснюються в порядку, встановленому законодавством.
НД ТЗІ 1.4-001-2000. Типове положення про службу захисту інформації в автоматизованій системі. Мета створення СЗІ. Правова основа для створення і діяльності СЗІ. Завдання служби захисту інформації. Функції СЗІ. Повноваження та відповідальність служби захисту інформації. Завдання захисту інформації в АС.
Метою створення СЗІ є організаційне забезпечення завдань керування комплексною системою захисту інформації в АС та здійснення контролю за її функціонуванням. Правову основу для створення і діяльності СЗІ становлять Закон України “Про захист інформації в автоматизованих системах”, Положення про технічний захист інформації в Україні, Положення про забезпечення режиму секретності під час обробки інформації, що становить державну таємницю, в автоматизованих системах. Завданнями СЗІ є: захист законних прав щодо безпеки інформації організації, окремих її структурних підрозділів та персоналу; дослідження технології обробки інформації в АС з метою виявлення можливих каналів витоку та інших загроз для безпеки інформації; організація та координація робіт, пов’язаних з захистом інформації в АС;
Функції служби захисту інформації
1.Функції під час створення комплексної системи захисту інформації (визначення переліків відомостей, класифікація інформації за вимогами до її конфіденційності або важливості для організації; розробка та коригування моделі загроз і моделі захисту інформації в АС; визначення і формування вимог до КСЗІ; організація і координація робіт з проектування та розробки КСЗІ; підготовка технічних пропозицій, рекомендацій щодо запобігання витоку інформації технічними каналами та попередження спроб несанкціонованого доступу до інформації;)
2.Функції під час експлуатації комплексної системи захисту інформації (організація процесу керування КСЗІ; розслідування випадків порушення політики безпеки, здійснення аналізу причин, що призвели до них; вжиття заходів у разі виявлення спроб НСД до ресурсів АС; забезпечення контролю цілісності засобів захисту інформації; спостереження за функціонуванням КСЗІ та її компонентів; проведення аналітичної оцінки поточного стану безпеки інформації в АС;
3.Функції з організації навчання персоналу з питань забезпечення захисту інформації (розроблення планів навчання і підвищення кваліфікації спеціалістів СЗІ та персоналу АС; розроблення спеціальних програм навчання, які б враховували особливості технології обробки інформації в організації (АС); участь в організації і проведенні навчання користувачів і персоналу АС;
Повноваження та відповідальність служби захисту інформації
ЗІ має право: здійснювати контроль за діяльністю будь-якого структурного підрозділу організації (АС); подавати керівництву організації пропозиції щодо призупинення процесу обробки інформації, заборони обробки, зміни режимів обробки, тощо; проводити службові розслідування у випадках виявлення порушень; отримувати доступ до робіт та документів структурних підрозділів організації (АС);
СЗІ зобов’язана: перевіряти відповідність прийнятих в АС правил, інструкцій щодо обробки інформації; здійснювати контрольні перевірки стану захищеності інформації в АС; брати участь у проведенні вищими органами перевірок стану захищеності інформації в АС; негайно повідомляти керівництво АС про виявлені атаки та викритих порушників;