ТОР 5 статей: Методические подходы к анализу финансового состояния предприятия Проблема периодизации русской литературы ХХ века. Краткая характеристика второй половины ХХ века Характеристика шлифовальных кругов и ее маркировка Служебные части речи. Предлог. Союз. Частицы КАТЕГОРИИ:
|
Інформаційна безпека як об’єкт інформаційного права: поняття, методи та засоби здійснення.МІНІСТЕРСТВО ВНУТРІШНІХ СПРАВ УКРАЇНИ ОДЕСЬКИЙ ДЕРЖАВНИЙ УНІВЕРСИТЕТ ВНУТРІШНІХ СПРАВ Кафедра кібербезпеки та інформаційного забезпечення
ІНФОРМАЦІЙНЕ ПРАВО
ЗАТВЕРДЖУЮ Начальник кафедри кібербезпеки та інформаційного забезпеченняполковник міліції О.А. Балтовський «» ____________ 201_ р.
Лекція до теми
ІНФОРМАЦІЙНО-КОМП’ЮТЕРНА ЗЛОЧИННІСТЬ ТА ІНФОРМАЦІЙНА БЕЗПЕКА
Напрям підготовки 6.030401 «Правознавство» Юридичний факультет
Рік Лекція до теми «Інформаційно-комп’ютерна злочинність та інформаційна безпека» для студентів 3 курсу денної форми навчання за напрямом підготовки 6.030401 «Правознавство» «___» ________ 2015 року - __ с.
Розробник:доцент кафедри, к.ю.н. Чернишова О.О.
Обговорено та схвалено на засіданні кафедри кібербезпеки та інформаційного забезпечення Протокол від «27» серпня 2015 року № 1
Тема №5 «ІНФОРМАЦІЙНО-КОМП’ЮТЕРНА ЗЛОЧИННІСТЬ ТА ІНФОРМАЦІЙНА БЕЗПЕКА» Мета лекції: 1. Засвоєння загальних понять та особливостей інформаційно-комп’ютерної злочинності; 2. Формування уявлень про засоби здійснення інформаційної безпеки.
План: 1. Інформаційна безпека як об’єкт інформаційного права: поняття, методи та засоби здійснення. 2. Правові засади захисту об’єктів інформаційних правовідносин від посягань в інформаційній сфері. 3. Інформаційно-комп’ютерна злочинність: поняття, генезис, характерні риси. Інформаційна безпека як об’єкт інформаційного права: поняття, методи та засоби здійснення. Питання культури інформаційної безпеки широко висвітлюються у спеціальній літературі. Сьогодні критична маса науково-практичних знань щодо розвитку суспільних інформаційних відносин у такому аспекті дає змогу сформувати на теоретичному рівні елементи загальної теорії організації інформаційної безпеки в умовах формування інформаційного суспільства – захисту інформації в автоматизованих комп’ютерних системах. Зазначений аспект теорії має зворотний зв’язок з культурою практики: формування організаційних підходів, методів, засобів систем захисту комп’ютеризованих соціальних інформаційних систем; формування змісту навчальних дисциплін у навчальних закладах, а також формування комплексу знань фахівців, які спеціалізуються на організації захисту інформації, її безпеки у відповідних соціальних структурах (установах, організаціях, підприємствах тощо). Аналіз наукової думки та емпіричного матеріалу дає змогу визначити такі принципові положення організації захисту інформації в умовах інформатизації у контексті інформаційної безпеки. 1. Культура інформаційної безпеки як наукове явище сьогодні формується на рівні міжгалузевого комплексного соціоінженерного інституту (наукової дисципліни), який утворився на межі поєднання технічних і гуманітарних наук: правової інформатики, інформаційного права та тектології (теорії організації соціальних систем). 2. За природою походження культура інформаційної безпеки в умовах інформаційного суспільства має триєдиний зміст: організаційний, інженерно-технічний (у тому числі програмно-математичний) та правовий. 3. У перспективі сутність інформаційної безпеки, утому числі щодо захисту інформації у соціотехнічних системах, буде доповнюватися спеціальними знаннями з інших галузей, підгалузей, інституцій технічних та суспільних наук. З погляду теорії організації і теорії систем, у науковому синтезі їх – теорії організації систем управління – формування цілеспрямованих, керованих систем (у тому числі будь-яких практичних заходів) передбачає визначення елементів системи та осмислення проблематики предметної галузі (її природу) в цілому. На нашу думку, провідними елементами системи інформаційної безпеки, у тому числі щодо захисту інформації в автоматизованих комп’ютерних системах, є такі найважливіші чинники. Суб’єкти – окремі люди, спільноти їх, різного роду організації, суспільство, держава, інші держави, союзи їх, світове співтовариство. Суб’єктів щодо інформаційної безпеки можна поділити на кілька категорій: - щодо правового статусу регулювання відносин: суб’єкти регулювання відносин та учасників відносин; - щодо мети учасників правовідносин: правомірні учасники та правопорушники тощо. Об’єкт – правовідносини між суб’єктами (суспільні відносини), які визначаються за певними об’єктивно існуючими критеріями. Класифікація суспільних відносин щодо безпеки інформації має багатоаспектнии зміст, який визначається залежно від галузей знань. Але все ж їх можна поділити на такі загальні види: соціальні, технічні та соціотехнічні. Визначальними також є (організаційні) критерії: організаційно-управлінські, організаційно-правові та організаційно-технічні (у числі останніх виокремлюють ще організаційно-технологічні). У суспільно-правовому змісті правовідносини інформаційної безпеки щодо захисту інформації мають сутність організовування нормального (безпечного) функціонування інформаційних систем, у тому числі тих, технічну основу яких становлять засоби комп’ютерної техніки та базовані на них електронні інформаційні технології (у тому числі технології телекомунікації). Провідна системна мета правовідносин – захист суспільних інформаційних відносин від негативних впливів соціальних, техногенних та природних (стихійних) впливів. Провідний предмет суспільних правовідносин – інформація в автоматизованих (комп’ютерних) системах (у тому числі електронних телекомунікаціях, зокрема в Інтернеті). Важливим аспектом загальних положень інформаційної безпеки щодо захисту інформації в автоматизованих системах є наукове визначення і формулювання принципів її реалізації. Зазначені принципи повинні мати чітку ієрархічну структуру і критерії. Виходячи з положень природи інформаційної безпеки як тектологічного явища, пропонується поділ принципів на такі групи першого порядку: організаційно-правові; організаційно-управлінські; організаційно-технічні. Отже, інформаційну безпеку можна розглядати як стан захищеності життєво важливих інтересів особистості, суспільства і держави в інформаційній сфері від зовнішніх і внутрішніх погроз. Інформаційна безпека містить у собі заходу для захисту процесів створення даних, їхнього введення, обробки і висновку. Метою інформаційної безпеки є убезпечити цінності системи, захистити і гарантувати точність і цілісність інформації, і мінімізувати руйнування, що можуть мати місце, якщо інформація буде модифікована чи зруйнована. Інформаційна безпека вимагає обліку всіх подій, у ході яких інформація створюється, модифікується, до неї забезпечується доступ або вона поширюється. Інформаційна безпека дає гарантію того, що досягаються наступні цілі: - конфіденційність інформації; - цілісність інформації і зв’язаних з нею процесів (створення, уведення, обробки і висновку) - приступність інформації, коли вона потрібна - облік усіх процесів, зв’язаних з інформацією При цьому розглядають три об’єкти захисту: Перший - реалізація і захист прав громадян і основних інтересів суспільства в інформаційній сфері. Тут варто виділити чотири основних елементи: створення умов для реалізації громадянином свого права на доступ до інформації; захист права громадянина на недоторканність свого приватного життя (воля одних визначається ступенем волі інших); захист здоров’я громадянина, його психіки від шкідливої інформації, у тому числі і розповсюджуваної по комп’ютерних мережах або з використанням комп’ютерних технологій (прикладом шкідливого впливу цих технологій може служити недавня подія в Японії, коли 700 чоловік, подивившись комп’ютерний “мультик”, потрапили в лікарню з ознаками епілепсії); права на захист інтелектуальної власності, насамперед в інтересах держави. Наше законодавство повинне орієнтуватися на досягнення балансу прав і інтересів громадян, суспільства і держави і забезпечення цього балансу. Другий об’єкт - це захист самої інформації, але не всієї, а лише інформації обмеженого доступу. Державі потрібно в законодавчому порядку установити заборони і визначити ступінь своєї участі в захисті інформації з обмеженим доступом. Очевидно, повинне бути стовідсоткова участь у сфері захисту державної і службової таємниці і часткове - у забезпеченні безпеки іншої конфіденційної інформації: комерційної, банківської, професійної, у дотриманні гарантії недоторканності персональних даних. Ступінь участі визначається прийнятими законами, правовими заборонами, установленими нормами відповідальності за порушення цих заборон. Усе, що не заборонено законом, повинне бути дозволено. Зараз ситуація така: держава говорить - захищайте самі свою інформацію, але запитуйте щораз дозволу в держави. У такому підвішеному стані жоден поважаючий себе власник не зважиться на серйозні інвестиції в розвиток коштів захисту своєї конфіденційної інформації, за якого відповідає він, і тільки він, тому що, по-перше, при відсутності законодавчих обмежень чиновник у будь-який момент може поміняти правила, по-друге, у випадку застосування шифрування держава, маючи в себе на збереженні дублікат ключа, в особі того ж самого чиновника може подивитися, що ж відбувається у власника інформації і скористатися нею без ведена хазяїна. Таке положення змушує користувачів коштів захисту в міру сил протестувати в надії убезпечити свої дані. Третій об’єкт захисту - самі інформаційні системи. Особливе значення для забезпечення інформаційної безпеки має захищеність комп’ютерних систем, мереж і телекомунікацій, використовуваних в інформаційних процесах. Роль цього компонента інформаційної безпеки істотно зростає в зв’язку з погрозою застосування інформаційної зброї. Як основні об’єкти застосування інформаційної зброї, як у мирне, так і у воєнний час виступають: - комп’ютерні системи, і системи зв’язку, використовувані державними органами й організаціями при виконанні своїх управлінських функцій; - військова інформаційна інфраструктура по зборі й обробці інформації, рішенню задач керування військами і бойовими коштами; - інформаційні й управлінські структури банків, транспортних організацій і промислових підприємств; - електронні засоби масової інформації. Проблеми інформаційної безпеки постійно зростають у зв’язку з процесами проникнення практично у всі сфери діяльності суспільства комп’ютерних засобів опрацювання і передача інформації, що дає підставу поставити у рамки науки інформаційного права проблему комп’ютерного права. На нашу думку, інформаційна безпека – це рівень захищеності інформаційної сфери суспільства, який забезпечує її нормальне формування, використання та розви Визначальним у проблематиці теорії організації інформаційної безпеки є з’ясування її напрямків на засадах комплексного підходу щодо методів захисту. Умовно можна визначити такі напрямки організації захисту: правові, управлінські, інженерно-технологічні. У складі останніх як автономні визначаються програмно-математичні (комп’ютерні програмні продукти захисту). На загальнотеоретичному рівні визначимося в таких ключових, особливих проблемах інформаційної безпеки щодо організаційного аспекту захисту інформації в автоматизованих системах: Першу групу утворюють такі проблемні інститути: 1) проблеми організації доступу до інформації; 2) проблеми організації забезпечення цілісності інформації щодо загроз її порушення; 3) проблеми організації комплексного контролю за інформаційними ресурсами у відповідному середовищі функціонування їх відповідно до матеріальних носіїв інформації (людських (соціальних), людино-машинних (людино-технічних, соціотехнічних) та технологічних); 4) проблеми організації сумісності систем захисту інформації в автоматизованих (комп’ютерних) системах з іншими системами безпеки відповідної організаційної структури; 5) проблеми організації виявлення можливих каналів несанкціонованого витоку інформації (фізичних, соціотехнічних, соціальних); 6) проблеми організації блокування (протидії) несанкціонованого витоку інформації; 7) проблеми організації виявлення, кваліфікації, документування порушення інформаційної безпеки (як стану у визначеному просторі, часі і колі осіб); 8) формулювання відповідальності та правове визначення санкцій та організація притягнення винних до відповідальності (дисциплінарної, цивільної, адміністративної, кримінальної). Дослідники вказують на те, що для попередження комп’ютерних злочинів розробники автоматизованих систем, обчислювальної техніки та засобів передачі інформації ще на стадії проектування передбачають різноманітні засоби захисту. До основних засобів захисту відносять організаційні, правові, технічні, програмні та криптографічні методи захисту інформації, комп’ютерів, комп’ютерних систем та мереж. Організаційні заходи захисту інформації та засобів комп’ютерної техніки містять у собі сукупність організаційних заходів щодо підбору, перевірки й інструктажу персоналу, який бере участь у всіх стадіях інформаційного процесу, здійснення режиму таємності при функціонуванні комп’ютерних систем, забезпечення режиму фізичної охорони об’єктів, а саме організацію охорони обчислювальної техніки; створення особливого перепускного режиму в приміщеннях, де знаходиться комп’ютерна техніка або комп’ютерна інформація; ретельного добору персоналу; виключення випадків проведення особливо важливих робіт лише однією людиною; наявності типових планів дій керівників та обслуговуючого персоналу при виявленні порушень у роботі комп’ютерних мереж, спробах несанкціонованого доступу до інформації, пожежах, стихійному лихові тощо; розробки функціональних обов’язків робітників, допущених до роботи та обслуговування комп’ютерної техніки, комп’ютерної інформації; наявності плану відновлення працездатності обчислювального центру після виходу його з ладу; організації обслуговування та контролю за роботою сторонньої організації або особи, запрошених для обслуговування приміщень, техніки, обладнання комп’ютерних центрів; універсальності засобів захисту від усіх користувачів (в тому числі вищих посадових осіб та співробітників контрольних, правоохоронних органів); встановлення відповідальності та її розмежування між особами, які повинні забезпечувати безпеку комп’ютерної інформації; вибору місця розташування обчислювального (комп’ютерного) центру тощо; періодичного обстеження приміщень, в яких розміщена комп’ютерна техніка з метою виявлення встановлених невідомими особами пристроїв, що пристосовані для можливого зняття інформації, доступу до неї тощо. Багатьма спеціалістами, які займаються питаннями безпеки комп’ютерних систем, організаційні заходи розглядаються як найбільш важливі та ефективні з усіх засобів захисту. Це пов’язано з тим, що згідно із дослідженням, проведеним ComputerSecurityInstitute статистика свідчить, що при розподілі комп’ютерних злочинів та інших втрат, майже в 80% причиною є людський фактор. Під правовими заходами захисту комп’ютерної інформації та комп’ютерних технологій слід розуміти комплекс цивільно-правових і кримінально-правових норм, які регулюють суспільні відносини в сфері використання комп’ютерної інформації та передбачають відповідальність за несанкціоноване використання даних програмних та технічних засобів. До правових заходів необхідно також віднести питання суспільного контролю за комп’ютерними розробниками. І нарешті, до правових заходів, на нашу думку, треба віднести: розробку законодавства, яке передбачало б відповідальність за комп’ютерні злочини; захист авторських прав розробників програмного забезпечення; удосконалення адміністративної, кримінальної, цивільної відповідальності в галузі надійного забезпечення функціонування комп’ютерних мереж і комп’ютерної інформації; контроль за розробками комп’ютерних систем певного характеру (правоохоронних, політичних, економічних, освітніх, військових, соціальних тощо). Разом з тим, слід погодитися з думкою фахівців НАВСУ, які вказують, що захист від комп’ютерних злочинів неможливий сьогодні без розробки конкретної національної програми боротьби з комп’ютерною злочинністю. При цьому до складових цієї програми вони відносять розробку законодавства (адміністративного, цивільного, кримінального) про комп’ютерні правопорушення та створення активних механізмів комп’ютерної безпеки, до яких слід віднести вже розглянуті вище організаційні заходи, а також технічні, програмні та криптографічні. Відповідно до положення «Про технічний захист інформації в Україні», затвердженому Указом Президента, технічна захист інформації являє собою “діяльність, спрямований на забезпечення інженерно-технічними коштами конфіденційності, цілісності і приступності інформації”. Комплекс заходів для технічного захисту інформації може здійснюватися тільки в інформаційній чи системі на іншому об’єкті інформаційної інфраструктури. Рівень безпеки інформації, що обробляється в системах і на об’єктах інформаційної інфраструктури, визначається комплексом її властивостей, що включає три компоненти: 1) конфіденційність - властивість інформації бути захищеної від несанкціонованого ознайомлення; 2) цілісність — властивість інформації бути захищеної від несанкціонованого перекручування, злому, знищення; 3) приступність - властивість інформації бути захищеної від несанкціонованого блокування. Тільки забезпечення всіх названих характеристик інформації, що підлягає захисту, є умовою ефективного і безпечного використання інформаційної інфраструктури. Технічні заходи призначені для захисту від неправомірного доступу апаратних засобів та засобів зв’язку комп’ютерної техніки. Апаратні засоби і методи захисту реалізуються шляхом застосування різноманітних технічних пристроїв спеціального призначення. До технічних заходів, на нашу думку, потрібно віднести: захист від несанкціонованого доступу до системи; резервування особливо важливих комп’ютерних підсистем; організація роботи обчислювальних мереж із можливістю перерозподілу ресурсів у разі порушення працездатності окремих ланок; вжиття конструктивних заходів захисту від крадіжок, шантажу тощо; встановлення резервних систем електроживлення; обладнання приміщень, в яких знаходяться комп’ютери та комп’ютерна інформація системами сигналізації; обладнання приміщень технікою захисту від спроб копіювання інформації ззовні або сторонніми особами. При розгляді цього питання необхідно визначити ще одну проблему, яка впливає на латентність комп`ютерної злочинності: більшість технократів забувають чи не знають прописної істини – всі інженерно-технічні засоби захисту, що створені розумом і руками одних, з часом (при бажанні або потребі) обов’язково будуть зруйновані чи подолані іншими, особливо коли за це береться декілька людей, зокрема, об`єднаних у злочинну організацію. Як свідчить практика, отримавши опір технічної системи захисту щодо несанкціонованого доступу до комп`ютерної системи, злочинці шукають нову інформацію для подолання своєї ентропії – нових знань і шляхів вчинення злочину, а зупинити їх може лише державний суд (тобто покарання) чи загроза суду (загроза покарання). Програмні заходи містять в собі розробку спеціального програмного забезпечення, яке не дозволило б сторонній людині отримувати інформацію з системи. Це засоби захисту інформаційних ресурсів, захисту від копіювання та від комп’ютерних вірусів. Серед стандартних захисних засобів персонального комп’ютера найбільше поширення одержали: 1. засоби захисту обчислювальних ресурсів, що використовують парольну ідентифікацію й обмежують доступ несанкціонованого користувача; 2. засоби захисту від копіювання комерційних програмних продуктів; 3. захист від комп’ютерних вірусів і створення архівів. Програмні методи захисту призначаються для безпосереднього захисту інформації з трьох напрямків: а) апаратури; б) програмного забезпечення; в) даних і керуючих команд. Усі програмизахисту, що здійснюють керування доступом до машинної інформації, функціонують за принципом відповіді на питання: хто може виконувати, які операції і над якими даними. Доступ може бути визначений як: - загальний (безумовно наданий кожному користувачу); - відмовлення (безумовне відмовлення, наприклад дозвіл на видалення порції інформації); - залежний від події (керований подією); - залежний від змісту даних; - залежнийвідстану(динамічногостану комп’ютерної системи); - частотно-залежний (наприклад, доступ дозволений користувачу тільки один або визначене число раз); - по чи імені іншою ознакою користувача; - залежний від повноважень; - з дозволу (наприклад, по паролю); - по процедурі. Також до ефективних заходів протидії спробам несанкціонованого доступу відносяться засоби реєстрації. Для цих цілей найбільш перспективними є нові операційні системи спеціального призначення, широко застосовувані в зарубіжних країнах і отримавших назву моніторингу (автоматичного спостереження за можливою комп’ютерною погрозою). Моніторинг здійснюється самою операційною системою (ОС), причому в її обов’язку входить контроль за процесами введення-висновку, обробки і знищення машинної інформації. ОС фіксує час несанкціонованого доступу і програмних засобів, до яких був здійснений доступ. Крім цього, вона робить негайне оповіщення служби комп’ютерної безпеки про зазіхання на безпеку комп’ютерної системи з одночасною видачею на печатку необхідних даних (листинга). При розгляді питань, що стосується програмного захисти інформаційних ресурсів особливо треба наголосити на проблемі захисту їх від комп’ютерних вірусів. Тут необхідно активно використовувати спеціальні програмні антивірусні засоби захисту (як закордонного, так і вітчизняного виробництва). Антивірусні програми вчасно виявляють, розпізнають вірус в інформаційних ресурсах, а також “лікують” їх. Під криптографічними заходами слід розуміти спеціальні методи шифрування, кодування або іншого перетворення інформації, в результаті чого її зміст стає недоступним. У наш час найбільш ефективними методами шифрування інформації є криптографія та стеганографія, які найчастіше застосовуються у сукупності. Мета стеганографії – сховати сам факт існування конфіденційної інформації, а мета криптографії – блокування несанкціонованого доступу до інформації. Криптографічний захист забезпечує захист даних будь-якого типу, що зберігається в будь-якому виді на будь-якому носії, незалежно від операційної системи, формату даних і ін. Це можуть бути файли на диску, повідомлення електронної пошти, запису бази даних і інша інформація. Засоби криптографічного захисту можуть вбудовуватися в додатки (наприклад у програми електронної пошти) чи функціонувати як самостійний додаток, що шифрує файли на комп’ютері користувача. Криптографічні засоби, також можуть використовуватися для формування секретних віртуальних каналів передачі даних, забезпечуючи або апаратне, або програмне шифрування даних, переданих між двома вузлами мережі Internet. Системи криптозахисту реалізують дві основні задачі. · Забезпечують таємність даних, дозволяючи одержати доступ до умісту файлів, повідомлень і ін. тільки особам, що володіють секретними ключами. · Гарантують дійсність авторства інформації і підтвердження того, що інформація не була модифікована ким-небудь іншим після її опублікування. Сучасні системи криптозахисту спираються на три базових алгоритми. Шифрування інформації може здійснюється за допомогою двох алгоритмів: шифруванням за допомогою симетричних ключів і шифруванням асиметричними ключами, також називаним алгоритмом із використанням відкритого ключа. Забезпечення гарантії дійсності інформації й посвідчення авторства здійснюється алгоритмом електронного підпису. Це повязано з тим, що на відміну від рукописного тексту, електронний документ дуже легко може піддатися різним, непомітним для одержувача документа, змінам. Тому часто виявляється необхідним не зашифровувати вміст інформаційного повідомлення, а забезпечити гарантії дійсності авторства і визначити, чи не вносилися несанкціоновані автором зміни в інформацію. Для цих цілей використовується алгоритм цифрового підпису. При використанні цифрового підпису інформація не шифрується й залишається доступної будь-якому користувачу, що має до неї доступ. Для визначення дійсності автора і умісту використовується спеціальна функція, називана "дайджест" чи хэш-функция. Загальний аналіз проблем організовування захисту інформації в автоматизованих комп’ютерних системах дає можливість визначити три агреговані організаційні моделі заходів: 1) організація запобіжних заходів; 2) організація блокування (протидії) реальним загрозам, що реалізуються; 3) організація подолання наслідків загроз, які не вдалося блокувати або запобігти їм. Важливий елемент організації інформаційної безпеки – захисту інформації – поділ заходів на групи щодо протидії. У теорії і практиці майже однозначно виокремлюють три такі групи: активні засоби захисту (наприклад, розвідка, дезінформація, зашумлення тощо); пасивні засоби захисту (наприклад, встановлення екранів несанкціонованому витоку інформації тощо); комплексні засоби захисту (органічне поєднання названих груп). Саме застосування усіх вказаних заходів і методів у комплексі на даному етапі дозволяє здійснювати організацію діяльності органів внутрішніх справ по боротьбі з комп’ютерною злочинністю. 2. Правові засади захисту об’єктів інформаційних правовідносин від посягань в інформаційній сфері. Правовий напрямок теорії охорони та захисту інформації визначається необхідністю формування правил поведінки, відносин у так званому віртуальному або кіберпросторі. У цьому аспекті теорія захисту інформації пов’язана з інформаційним правом та правовою інформатикою. Щодо формування методик виявлення та розкриття злочинів, які вчиняються за допомогою сучасних інформаційних технологій, теорія захисту інформації формує понятійний апарат такої інституції криміналістики, як криміналістична інформатика. У контексті проблематики слід звернути увагу на стан правового регулювання питань захисту інформації, зумовлюваний в Укра’їні такими чинниками: • нормативною невизначеністю понять та категорій, зокрема на рівні юридичних актів (документів); • недосконалістю правового регулювання в інформаційній сфері, зокрема у сфері захисту таємниць (крім державної), конфіденційної інформації та відкритої інформації, важливої для особи, суспільства та держави; • недостатністю нормативно-правових актів і нормативних документів з питань проведення досліджень, розроблення та виробництва засобів забезпечення захисту; • незавершеністю створення системи сертифікації засобів забезпечення технічного захисту інформації (ТЗІ); • недосконалістю системи атестації на відповідність вимогам ТЗІ об’єктів, робота яких пов’язана з інформацією, що підлягає технічному захисту; • недостатньою узгодженістю чинних в Україні нормативно-правових актів та нормативних документів з питань ТЗІ з відповідними міжнародними договорами України. З аналізу нормативно-правової бази захисту інформації в автоматизованих системах впливає, що в сучасних умовах важливе значення щодо захисту інформаційних відносин надається створенню системи технічного захисту Інформації. У публічному праві України під системою ТЗІ розуміють сукупність суб’єктів, об’єднаних цілями та завданнями захисту інформації інженерно- технічними заходами, нормативно-правову та матеріально-технічну базу. З позиції (пізнавального) підходу таке визначення має, на нашу думку, певні недоліки. У нашому розумінні редакцію визначення категорії “система технічного захисту інформації” слід подати, таким чином у двох аспектах. Система організації технічного захисту інформації – це множина комплексних заходів, що здійснюються визначеними в нормативних актах, на основі наявної матеріально-технічної бази, відповідними суб’єктами, об’єднаних цілями та завданнями захисту інформації інженерно-технічними засобами. Система ТЗІ – це множина інженерно-технічних засобів, що визначають заходи на основі наявної матеріально-технічної бази у суб’єктів, об’єднаних цілями та завданнями захисту інформації у порядку, визначеному у відповідних нормативно-правових документах (законах та підзаконних актах). З аналізу чинного законодавства та підзаконних нормативних актів можна зробити узагальнення, що в Україні є національна система правового регулювання захисту інформації в автоматизованих системах. Правову основу забезпечення захисту інформації в Україні як інституції права становлять Конституція України, Концепція (основи державної політики) національної безпеки України, закони України “Про інформацію”, “Про захист інформації в автоматизованих системах”, “Про державну таємницю”, “Про науково-технічну інформацію”, інші нормативно-правові акти, в тому числі міжнародні договори України (які відповідним чином ратифіковані Україною), що стосуються сфери інформаційних відносин. Критичний підхід щодо аналізу Концепції технічного захисту інформації, як нормативно-правового акта (документа) свідчить про невідповідність його назви (форми) та змісту. По суті, цей документ становить собою не систему, а звичайну сукупність норм. У ньому йдеться не стільки про організацію інженерно-технічного захисту (організаційно-технічні заходи), скільки про організаційно-управлінські та організаційно-правові заходи. Не нашли, что искали? Воспользуйтесь поиском:
|