Законодавча, нормативно-методична і наукова база функціонування систем захисту інформації

В Україні діють такі Закони і нормативні документи стосовно функціонування систем захисту інформації:

- «Про інформацію»;

- «Про ліцензування деяких видів господарської діяльності»;

- «Про захист інформації в автоматизованих системах»;

- Указ Президента України від 10.04.2000, № 582 «Про заходи по захисту інформаційних ресурсів держави»;

- Положення про порядок здійснення криптографічного захисту інформації в Україні, затверджене указом Президента України від 22.05.98, № 505;

- ліцензійні умови для підприємницької діяльності в галузі розробки, для виробництва, використання, експлуатації, сертифікаційних випробувань, тематичних досліджень, експертизи, імпорту, експорту, торгівлі криптосистемами і пристроями криптографічного захисту інформації. Затверджені наказом Державного Комітету України з питань політики регулювання і підприємництва, Департаменту спеціальних телекомунікаційних систем і захисту інформації Служби безпеки України від 29.12.2000, № 88/66 і зареєстровані в Міністерстві юстиції України 20.01.2001 під № 49/5240;

- положення про порядок контролю над експортом, імпортом і транзитом окремих видів виробів, обладнання, матеріалів, програмного забезпечення і технологій, які можуть застосовуватися для створення озброєнь, військової або спеціальної техніки. Затверджено Постановою Кабінету Міністрів України від 22.08.96, № 1005;

- положення про порядок розробки, виготовлення і експлуатації засобів захисту конфіденційної інформації. Затверджено наказом Департаменту спеціальних телекомунікаційних систем і захисту інформації Служби Безпеки України від 30.11.99, № 53 і зареєстровано в Міністерстві юстиції України 15.12.99 під № 868/4161;

- тимчасова інструкція про порядок постачання і використання ключів до засобів криптографічного захисту інформації. Затверджено сумісним наказом Держстандарту України і Служби Безпеки України від 28.11.97, № 708/156 і зареєстрована в Міністерстві Юстиції України 17.12.97 під № 598/2402;

- положення про державну експертизу в галузі криптографічного захисту інформації. Затверджено наказом Департаменту спеціальних телекомунікаційних систем і захисту інформації Служби Безпеки України від 25.12.2000, № 62 і зареєстровано в Міністерстві юстиції України 12.01.2001 під № 9/5200.

Повний перелік документів можна знайти на сайті ДСТЗИ СБ України – https://www.dstszi.gov.ua/.

Уся законодавча база України міститься на сторінці https://www.rada.gov.ua/laws/pravo/new/.

Основними складовими системи захисту інформації (СЗІ) є:

- законодавча, нормативно-методична і наукова бази;

- структура і завдання органів або підрозділів, які здійснюють комплексний захист інформації.

Нормативно-методична база є однією з основних складових СЗІ. Зміст документів нормативно-методичної бази містить такі питання:

Основи

- структура і завдання органів або підрозділів, які забезпечують захист інформації;

- організаційно-технічні і режимні заходи й методи – політика інформаційної безпеки;

- програмно-технічні способи і засоби.

Напрями

- захист об’єктів корпоративних систем;

- захист процесів, процедур і програм обробки інформації;

- захист каналів зв’язку;

- притлумлювання побічних електромагнітних випромінювань;

- управління системою захисту.

Етапи

- визначення інформаційних і технічних ресурсів, які підлягають захисту;

- виявлення повної сукупності потенційно можливих загроз і каналів витоку інформації;

- проведення оцінювання уразливості і ризиків інформації за наявної сукупності загроз і каналів витоку;

- визначення вимог до системи захисту;

- здійснення вибору засобів захисту інформації та їх характеристики;

- впровадження і організація застосування обраних заходів, способів і засобів захисту;

- здійснення контролю цілісності та управління системою захисту.

На сьогодні законодавча база відстає від потреб практики. Наявні закони та інші нормативно-правові документи мають головним чином заборонний характер. Низка нормативних положень щодо захисту інформації в ІС, розроблених раніше, не відповідає рівневі розвитку сучасних інформаційних технологій. Роботи в цьому напряму помітно відстають від потреб, і, зводяться в основному, до захисту інформації від витоку технічними каналами. У літературі аналізуються правові аспекти захисту інформації, які можуть виникнути за умови недостатньо продуманого чи зловмисного використання ІС.

До них належать:

- правові питання захисту інформації і встановлення юридичної відповідальності за забезпечення її цілісності;

- юридичні й технічні питання захисту інформації від несанкціонованого доступу, які виключають можливість її неправомірного використання;

- встановлення юридично закріплених норм і методів захисту авторських прав і пріоритетів розробників програмного продукту;

- розробка заходів з надання юридичної сили електронним документам і формування юридичних норм, які визначають відповідальність за якість таких документів;

- правовий захист інтересів експертів, які передають свої знання до фондів банків даних;

- встановлення правових норм і юридичної відповідальності за використання ІС в особистих інтересах, які суперечать інтересам інших осіб і суспільства.

Нині відсутня повна нормативно-правова і методична база для побудови інформаційних і обчислювальних систем в захищеному виконанні, придатних для обробки секретної інформації у державних установах і комерційних структурах.

У процесі розробки засобів захисту виникають такі проблеми правового характеру:

- ліцензування діяльності з розробки засобів захисту інформації (система ліцензування спрямована на створення умов, коли право займатися захистом інформації надають тільки організаціям, які мають на цей різновид діяльності відповідний дозвіл);

- сертифікація засобів захисту (система сертифікації спрямована на захист споживача від недобросовісного виконавця);

- відповідність розроблюваних засобів захисту концептуальним вимогам до захисту, стандартам та іншим нормативним документам;

- відсутність нормативно-правового забезпечення для вирішення спірних ситуацій з використанням цифрового підпису в арбітражному суді;

- оцінювання інформації у вартісному вираженні є проблематичним і часто відразу не розв’язується, наприклад під час виникнення загроз інформаційним системам, які обробляють секретну інформацію (при цьому відповідальність встановлюється за аналогії з чинними нормами кримінального права).

Аналіз показує, що в цілому можна вирізнити такі критерії складу зловживань у сфері обробки інформації:

- порушення прав реєстрації інформаційних систем і переліків оброблюваної інформації;

- порушення правил збирання інформації, а саме – отримання інформації без дозволу та її збирання понад дозволений перелік;

- зберігання персональної інформації понад встановлений термін;

- порушення правил зберігання інформації;

- передача третім особам відомостей, які становлять комерційну таємницю чи персональних відомостей;

- несвоєчасне інформування про події, явища й факти, які можуть спричинити шкоду здоров’ю чи матеріальні збитки;

- перевищення меж компетенції облікової діяльності, допущення неповних облікових засівів фальсифікації даних;

- надання зацікавленим особам явно неточної інформації;

- порушення встановленого порядку забезпечення безпеки інформації;

- порушення правил і технології безпечної обробки інформації;

- порушення норм захищеності інформації, встановлених Законом;

- порушення правил доступу до інформації чи технічним засобів;

- порушення механізму захисту інформації і проникнення в систему;

- крадіжка інформації;

- обхід засобів захисту і проникнення в систему;

- несанкціоноване знищення даних в ІС;

- несанкціонована модифікація даних в ІС;

- спотворення (модифікація) програмного забезпечення;

- перехоплення електромагнітних, акустичних чи оптичних випромінювань;

- перехоплення інформації, яка передається лініями зв’язку;

- виготовлення і поширення завідомо непридатного програмного забезпечення (ПЗ);

- поширення комп’ютерних вірусів;

- розголошення парольно-ключової інформації;

- несанкціоноване ознайомлення з даними, які підлягають захисту;

- несанкціоноване копіювання;

- внесення в ПЗ необумовлених змін, в тому числі вірусного характеру.

Підсистема організаційно-правового захисту призначена для регламентації діяльності користувачів ІС і становлять собою впорядковану сукупність організаційних рішень, нормативів, законів і правил, які визначають загальну організацію робіт із захисту інформації в ІС.

Організаційно-правовий захист структурно можна зобразити так:

Організаційно-правові питання

- органи, підрозділи і особи, відповідальні за захист;

- нормативно-правові, методичні та інші матеріали;

- міри відповідальності за порушення правил захисту;

- порядок вирішення спірних питань.