klevoz.ru страница 1
скачать файл


МЕЖДУНАРОДНЫЕ СТАНДАРТЫ БЕЗОПАСНОСТИ И ЗАКОНОДАТЕЛЬСТВО УКРАИНЫ В ОБЛАСТИ ЗАЩИТЫ ИНФОРМАЦИИ

Заместитель главного конструктора

АО «Институт информационных технологий»

К. т. н., доцент ПОТИЙ Александр Владимирович


Украина 61166, г. Харьков, ул. Бакулина, 12

тел.: 8 (0572)142-205,

e-mail: potiya@iit.kharkov.ua




1. Стратегия обеспечения информационной безопасности предприятия: современный подход





Сохранить
























































2. ИНЖЕНЕРИЯ БЕЗОПАСНОСТИ




ИНЖИНИРИНГ БЕЗОПАСНОСТИ – новое направление практической деятельности, направленной на построение ИТ-систем, являющихся надежными в условиях действия злоумышленников, случайных ошибок пользователей, сбоев оборудования и ПО. Основные цели инжиниринга безопасности:

  • обеспечение глубокого понимания рисков безопасности связанных с практической деятельностью;

  • формулировка потребностей в безопасности в соответствии с идентифицированными рисками;

  • преобразование потребностей в безопасности в решения, руководства, правила по безопасности;

  • формирование доказательств уверенности в корректности и эффективности механизмов безопасности;

  • определение ущерба, остаточного риска и приемлемого уровня риска;

  • интегрирование усилий специалистов при проведении инженерной деятельности по обеспечению безопасности систем.


ИНЖИНИРИНГ СИСТЕМ БЕЗОПАСНОСТИ



УПРАВЛЕНИЕ РИСКАМИ

Практическая деятельность по управлению рисками включает в себя оценку угроз, уязвимостей, ущербов и, как итог, оценку риска.


Информация по риску

ИНЖИНИРИНГ

Инжиниринг систем безопасности – практическая деятельность, которая осуществляется на всех этапах жизненного цикла систем – проектирование, разработка, реализация, проверка, ввод в действие, эксплуатация и утилизация


Информация по рискам

Определение необходимости в безопасности


Контроль состояния безопасности








Координация безопасности




Администрирование средств защиты



Подготовка исходных данных по обеспечению ИБ





Требования,

Политика, и т.д.

Информация по

конфигурации


Решения, руководства и т.д.

ДОКАЗАТЕЛЬСТВО АДЕКВАТНОСТИ


Адекватность (доверие) – степень уверенности в том, что потребности в безопасности удовлетворены. Формирование доверия – один из важнейших элементов инжиниринга систем безопасности

УРОВНИ ЗРЕЛОСТИ ВЫПОЛНЕНИЯ ПРАКТИЧЕСКИХ РАБОТ





3. Характеристика современной национальной и международной нормативной базы в области информационной безопасности.

ИСТОЧНИКИ ТРЕБОВАНИЙ ПО БЕЗОПАСНОСТИ






Конституция Украины

Законы Украины






Указы

Постановления












ОСНОВНІ НАПРЯМКИ НОРМАТИВНО-ПРАВОВОГО

ЗАБЕЗПЕЧЕННЯ ЗАХИСТУ ІНФОРМАЦІЇ В УКРАЇНІ




Правове забезпечення захисту інформації в системах зв’язку та національної системи конфіденційного зв’язку.



Правове забезпечення захисту інформаційних ресурсів держави та безпеки Internet

ЗАКОНЫ УКРАИНЫ





  1. Закон України “Про інформацію” від 02.10.1992 року.

  2. Закон України “Про державну таємницю” від 21.09.1999 року.

  3. Закон України “Про захист інформації у автоматизованих системах” від 05.07.1999 року.

  4. Закон України “Про Національну систему конфіденційного зв’язку” від 10.01.2002 року.

  5. Закон України “Про зв’язок”

  6. Закон України “Про Національну програму інформатизації” від 04.02.1998 року.

  7. Закон України “Про Службу безпеки України” від 25.03.1992

  8. Закон України “Про наукову та науково-технічну діяльність” від 13.12.1991 року.

  9. Закон України “ Про ліцензування певних видів господарської діяльності” від 01.06.2000

  10. Закон України “Про науково-технічну експертизу” від 10.02 1995 року.

  11. Кримінальний кодекс України.

Укази Президента України




  1. Про деякі заходи щодо захисту інтересів держави в інформаційній сфері. Указ президенту України № 346 від 22.04. 1998 року 




  1. Положення про порядок здійснення криптографічного захисту інформації в Україні. Затверджено Указом Президенту України № 505 від 22.05. 1998 року 




  1. Положення про технічний захист інформації в Україні. Затверджено Указом Президенту України № 1229 від 27.09.1999 року 




  1. Про заходи щодо вдосконалення криптографічного захисту інформації в телекомунікаційних та інформаційних системах. Затверджено Указом Президента України від 11.02.1998 р. № 110/98.



  1. Про заходи щодо захисту інформаційних ресурсів держави. Затверджено Указом Президенту України №582 від 10.04 2000 року 




  1. Питання Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби Безпеки України. Затверджено Указом Президенту України № 1120 від 06.10 2000 року 




  1. Про деякі заходи щодо захисту державних інформаційних ресурсів у мережах передачі даних. Затверджено Указом Президенту України № 891 від 24.09.2001 року

Постанови Кабінету Міністрів України




  1. Порядок опрацювання, прийняття, перегляду та скасування міжвідомчих нормативних документів системи технічного захисту інформації. Затверджений постановою КМУ від 26.06.1996, № 677.

  2. Положення про забезпечення режиму секретності під час обробки інформації, що становить державну таємницю, в автоматизованих системах. Затверджено постановою КМУ від 02.1997, №180.

  3. Концепція технічного захисту інформації в Україні. Затверджена постановою КМУ від 08.10.1997, № 1126.

  4. Перелік обов'язкових етапів робіт під час проектування, впровадження та експлуатації систем і засобів автоматизованої обробки та передачі даних. Затверджений постановою КМУ від 04.02. 1998, № 121.

  5. Інструкція про порядок обліку, зберігання і використання документів, справ, видань та інших матеріальних носіїв інформації, які містять конфіденційну інформацію, що є власністю держави. Затверджено постановою КМУ від 27.11.1998 р. № 1893.

  6. Концепція розвитку зв'язку України до 2010 року. Затверджена постановою КМУ від 09.12. 1999, № 2238.

  7. Порядок оприлюднення у мережі Інтернет інформації про діяльність органів виконавчої влади. Затверджений постановою КМУ від 04.01. 2002 р. № 3.

Накази Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України та інших відомств


  1. Положення про контроль за функціонуванням системи технічного захисту інформації. Затверджено наказом ДСТСЗІ СБ України від22.12.1999. № 61.




  1. Звід відомостей, що становлять державну таємницю. Затверджено наказом Голови Служби безпеки України від 01.03. 2001 р. № 52. Зареєстровано у Міністерстві юстиції України від 22.03.2001 р. за № 264/5455




  1. Порядок захисту державних інформаційних ресурсів у інформаційно-телекомунікаційних системах. Затверджено наказом ДСТСЗІ СБУ від 24.12.2001 р. № 76. Зареєстровано у Міністерстві юстиції України від 11.01.2002 р. за № 27/6315.




  1. Положення про дозвільний порядок проведення робіт з технічного захисту інформації для власних потреб. Затверджено наказом ДСТСЗІ СБУ від 23.02.2002 р. № 9. Зареєстровано у Міністерстві юстиції України від 13.03.2002 р. за № 245/6533.


Документи системи технічного захисту інформації (НД ТЗІ)


  1. НД ТЗІ 1.1-002-99. Загальні положення щодо захисту інформації в компютерних системах від несанкціонованого доступу. Затверджено наказом ДСТЗІ СБ України від 24.04.1999 р. № 22 Чинний від 01.07.1999 р.

  2. НД ТЗІ 1.1-003-99. Термінологія в галузі захисту інформації в комп’ютерних системах від несанкціонованого доступу. Затверджено наказом ДСТЗІ СБ України від 28.04.1999 р. № 22 Чинний від 01.07.1999 р.

  3. НД ТЗІ 1.4-001-2000. Типове положення про службу захисту інформації в автоматизованій системі. Затверджено наказом ДСТЗІ СБ України від 04.12.2000 р. № 53 Чинний від 15.12.2000 р.

  4. НД ТЗІ 2.1-001-2001. Створення комплексів технічного захисту інформації. Атестація комплексів. Основні положення. Затверджено наказом ДСТЗІ від 09.02.2001. № 2. Чинний від 20.02.2001.

  5. НД ТЗІ 2.5-004-99. Критерії захищеності інформації компютерних системах від несанкціонованого доступу. Затверджено наказом ДСТЗІ СБ України від 28.04.1999. № 22. Чинний від 01.07.1999.

  6. НД ТЗІ 2.5-005-99. Класифікація автоматизованих систем і стандартні функціональні профілі захищеності оброблюваної інформації від несанкціонованого доступу. Затверджено наказом ДСТЗІ СБ України від 28.04.1999. № 22. Чинний від 01.07.1999.

  7. НД ТЗІ 3.6-001-2000. Технічний захист інформації. Комп’ютерні системи. Порядок створення впровадження, супроводження та модернізації засобів технічного захисту інформації від несанкціонованого доступу. Затверджено наказом ДСТЗІ СБ України від

  8. НД ТЗІ 3.7-001-99. Методичні вказівки щодо розробки технічного завдання та створення комплексної системи захисту інформації в автоматизованій системі. Затверджено наказом ДСТЗІ СБ України від 28.04.1999. № 22. Чинний від 01.07.1999.

ОБЛАСТИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ




Ключевые документы, которые формируют современную методологическую и технологическую основы обеспечения безопасности информации в ИТС

ISO/IEC 7498-2 – Архитектура безопасности ВОС.

ISO/IEC 10181 - Архитектура безопасности открытых систем.

ISO/IEC 13335 – Управление безопасностью.

ISO/IEC 17799 – Практические правила обеспечения безопасности информации (кодекс лучшей практики).

ISO/IEC 21847 – Инжиниринг систем безопасности. Модель зрелости системи обеспечения безопасности.

ISO/IEC 15408 – Общие Критерии оценки защищенности систем информационных технологий.
ОСНОВНЫЕ ГРУППЫ МЕЖДУНАРОДНЫХ СТАНДАРТОВ МЕХАНИЗМОВ БЕЗОПАСНОСТИ



4. ПРАВОВЫЕ ВОПРОСЫ ПРИМЕНЕНИЯ

ЭЛЕКТРОННЫХ ДОКУМЕНТОВ

И ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ

В УКРАИНЕ

ЗАКОН УКРАЇНИ

ПРО ЕЛЕКТРОНІ ДОКУМЕНТИ

ТА ЕЛЕКТРОНИЙ ДОКУМЕНТООБІГ






Електронний документообіг

=

Процеси :

  • створення

  • оброблення

  • відправлення

  • передавання

  • одержання

  • зберігання

  • використання

  • знищення

електронних документів


+

Перевірка цілісності

+

Підтвердження факту одержання










Оригінал документу

=

електронний примірник документу

+

обов‘язкові реквізити документу

+

електронний цифровий підпис

























Електронний документ

=

Документ

на папері


ЮРИДИЧЕСКАЯ СИЛА ЭЛЕКТРОННОГО ДОКУМЕНТА
Эквивалентность электронного и бумажного документов реально существует, если она
- Признается между участниками документооборота

- Признается третьей стороной

- Имеет надлежащий правовой статус

Необходимо обеспечить:
Конфиденциальность

Доступность

целостность
Обеспечение юридической значимости


  1. Технологические аспекты

  2. Организационные аспекти

    • Правовые

    • Договорные


ТЕХНОЛОГИЧЕСКИЕ АСПЕКТЫ

Добавление в электронный документ обязательных реквизитов, которые позволяют установить авторство и целостность документа


ЗАКОН УКРАЇНИ “ПРО ЕЛЕКТРОННІ ДОКУМЕНТИ

ТА ЕЛЕКТРОННИЙ ДОКУМЕНТООБІГ”
Стаття 1. Визначення термінів

обов'язковий реквізит електронного документа - обов'язкові дані в електронному документі, без яких він не може бути підставою для його обліку і не матиме юридичної сили
Стаття 6. Електронний підпис

Електронний підпис є обов'язковим реквізитом електронного документа, який використовується для ідентифікації автора та/або підписувача електронного документа іншими суб'єктами електронного документообігу.


ПРАВОВЫЕ АСПЕКТЫ

На основе норм закона об ЭЦП
Стаття 3. Правовий статус електронного цифрового підпису

Електронний цифровий підпис за правовим статусом прирівнюється до власноручного підпису (печатки) у разі, якщо:

електронний цифровий підпис підтверджено з використанням посиленого сертифіката ключа за допомогою надійних засобів цифрового підпису;

під час перевірки використовувався посилений сертифікат ключа, чинний на момент накладення електронного цифрового підпису;

особистий ключ підписувача відповідає відкритому ключу, зазначеному у сертифікаті.

Електронний підпис не може бути визнаний недійсним лише через те, що він має електронну форму або не ґрунтується на посиленому сертифікаті ключа.



ЗАКОН УКРАЇНИ
ПРО ЕЛЕКТРОННИЙ ЦИФРОВИЙ ПІДПИС

ОСНОВНІ ПОНЯТТЯ (ст. 1)


СУБ’ЄКТИ ПРАВОВИХ ВІДНОСИН (ст. 2)
Підписувач
Користувач
Центр сертифікації ключів
Акредитований центр сертифікації ключів
Центральний засвідчувальний орган
Засвідчувальний центр органу виконавчої влади або іншого державного органу (далі - засвідчувальний центр)

Контролюючий орган


СЕРТИФІКАТ ВІДКРИТОГО КЛЮЧА (ст. 6)


реквізити центру сертифікації ключів

Сертифікат

ключа




Посилений сертифікат



зазначення, що сертифікат виданий в Україні

унікальний реєстраційний номер сертифіката ключа

основні дані (реквізити) підписувача власника особистого ключа

дату і час початку та закінчення строку чинності сертифіката

відкритий ключ

найменування криптографічного алгоритму, що використовується власником особистого ключа

інформацію про обмеження використання підпису







ознака посиленого сертифіката ключа





ПРОЦЕДУРИ, ЩО ПОВЯЗАНІ З

ОБСЛУГОВУВАННЯМ СЕРТИФІКАТІВ



  1. Формування сертифіката – засвідчення чинності відкритого ключа.

  2. Видача (випуск) сертифіката.

  3. Розповсюдження сертифікатів

  4. Скасування сертифіката.

  5. Блокування сертифіката.

  6. Поновлення сертифіката.

  7. Облік чинних сертифікатів.

  8. Перевірка статусу сертифіката.

  9. Зберігання (архівування) сертифікат.


ЖИТТЄВИЙ ЦИКЛ СЕРТИФІКАТУ



ЦЕНТР СЕРТИФІКАЦІЇ КЛЮЧІВ (ст. 9)


Засвідчує свій відкритий ключ у центральному засвідчу вальному органі або засвідчу вальному центрі





Обслуговує фізичні та юридичні особи на договірних засадах

Центр


сертифікації ключів








надавати послуги електронного цифрового підпису та обслуговувати сертифікати ключів;

отримувати та перевіряти інформацію, необхідну для реєстрації підписувача і формування сертифіката ключа безпосередньо у юридичної або фізичної особи чи у її уповноваженого представника.




Фізична особа, суб’єкт підприємницької діяльності

Юридична особа




АКРЕДИТОВАНИЙ ЦЕНТР СЕРТИФІКАЦІЇ КЛЮЧІВ (ст. 10)

Порядок акредитації встановлює Кабінет Міністрів України

Центр

сертифікації ключів



Акредитація

Акредитований Центр

сертифікації ключів



Обов’язкове використання надійних засобів електронного цифрового підпису

надавати послуги електронного цифрового підпису та обслуговувати виключно посилені сертифікати ключів;

отримувати та перевіряти інформацію, необхідну для реєстрації підписувача і формування посиленого сертифіката ключа, безпосередньо у юридичної або фізичної особи чи її представника.





ЗАСВІДЧУВАЛЬНИЙ ЦЕНТР ( ст. 11)

Центральний засвідчувальний орган


Інші державні органи


Центральний орган виконавчої влади



Кабінет Міністрів України
Засвідчувальний центр






Центри сертифікації підпорядкованих підприємств, установ та організацій

Засвідчувальний центр
Центри сертифікації підпорядкованих підприємств, установ та організацій

ІНФРАСТРУКТУРА ВІДКРИТОГО КЛЮЧА




Контроль діяльності

Формування та видача сертифікатів

Акредитація центрів






скачать файл



Смотрите также:
Международные стандарты безопасности и законодательство украины в области защиты информации
169.16kb.
Законодательство Французской республики в области средств массовой информации
841kb.
Курсовая работа на тему: "Современные методы защиты информации в информационно вычислительных системах "
706.59kb.
Международный опыт применения международных стандартов финансовой отчетности
1337.61kb.
Руководство по безопасности производства питания Цели программы безопасности питания участников icqa
1232.36kb.
Концентрация информации в компьютерах аналогично концентрации наличных денег в банках заставляет все более усиливать контроль в целях защиты информации
221.92kb.
Грачев Г. В. Информационно-психологическая безопасность личности: состояние и возможности психологической защиты
1565.56kb.
Положение о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных
1019.52kb.
Евгений Фёдоров 6 августа 2014
27.49kb.
В настоящее время, вследствие интенсивности использования электронных баз данных в налоговой сфере, возникает проблема эффективной защиты хранимой информации
65.89kb.
Закон украины «Об основах государственной языковой политики»
438.34kb.
Свод правил системы противопожарной защиты электрооборудование требования пожарной безопасности
76.28kb.