Закон украины об информации
Вопросы к экзамену
1. Четыре уровня защиты информации.
четыре уровня:
- законодательный:законы, нормативные акты, стандарты и т. п.;
- административный: действия общего характера, предпринимаемые руководством организации;
- процедурный: конкретные меры безопасности, имеющие дело с людьми;
- программно-технический: конкретные технические меры.
2. Свойства информации. Классификация угроз информации.
Безопасность информации – такое состояние всех компонент компьютерной системы (КС), при котором обеспечивается защита информации от возможных угроз на требуемом уровне.
Угроза безопасности информации – потенциально возможное событие, процесс или явление, которые могут привести к уничтожению, утрате целостности, конфиденциальности или доступности информации.
Свойства информации:
· Целостность – состоит в том, что информация не может быть модифицирована неавторизованным пользователем или процессом.
· Конфиденциальность – состоит в том, что информация не может быть получена неавторизованным пользователем или процессом.
· Доступность – состоит в том, что обладающий соответствующими полномочиями пользователь или процесс может использовать информацию в соответствии с правилами, установленными политикой безопасности, не ожидая дольше заданного времени.
Политика безопасности информации – совокупность законов, правил, ограничений, рекомендаций, инструкций и т.д., регламентирующих порядок обработки информации.
По цели воздействия различают три основных типа угроз:
· Угрозы нарушения конфиденциальности информации – направлены на разглашение конфиденциальной или секретной информации. Имеет место всякий раз, когда получен несанкционированный доступ к некоторой закрытой информации, хранящейся в КС или передаваемой от одной системы к другой;
· Угрозы нарушения целостности информации – направлены на ее изменение или искажение, приводящее к нарушению ее качества или полному уничтожению. Эта угроза актуальна для систем передачи информации – компьютерных сетей и систем телекоммуникаций;
· Угрозы нарушения работоспособности системы (отказы в обслуживании) – направлены на создание таких ситуаций, когда определенные преднамеренные действия либо снижают работоспособность КС, либо блокируют доступ к некоторым ее ресурсам.
Опасные воздействия на КС делятся на случайные и преднамеренные.
Случайные угрозы не связаны с преднамеренными действиями злоумышленников и реализуются в случайные моменты времени:
· Стихийные бедствия и аварии
· Сбои и отказы технических средств
· Ошибки при разработке КС
· Алгоритмические и программные ошибки
· Ошибки пользователей и обслуживающего персонала
Преднамеренные угрозы (класс постоянно пополняется):
· Шпионаж и диверсии. Подслушивание, визуальное наблюдение, хищение документов и машинных носителей информации, хищение программ и атрибутов систем защиты, подкуп и шантаж сотрудников, сбор и анализ отходов машинных носителей информации, поджоги и взрывы.
· Несанкционированный доступ к информации. Доступ к информации, осуществляемый с нарушением правил разграничения доступа (с использованием штатных средств, вычислительной техники и программ).
· Э/м излучения и наводки. Процесс передачи и обработки информации техническими средствами КС сопровождается э/м излучениями в окружающее пространство и наведением электрических сигналов в линиях связи, сигнализации, заземления и других проводниках. С помощью специального оборудования эти сигналы принимаются, выделяются, усиливаются и могут либо записываться в запоминающее устройство, либо просматриваться.
· Несанкционированная модификация структур (НМС) КС. Может осуществляться на любом жизненном цикле КС. На этапах разработки и модернизации НМС – это закладка, они внедряются в специализированную КС, предназначенную для эксплуатации в какой-либо фирме или госучереждении. Программные и аппаратные закладки для неконтролируемого входа в систему, использование привилегированных режимов работы, обходы средств защиты называются «глюки».
Вредительские программы. «Логические бомбы» – активизируются при некоторых событиях, постоянно сидят в системе. «Черви» – выполняются при загрузке программы (каждый раз), обладают способностью перемещаться в ВС и самовоспроизводиться. Лавинообразное размножение программ приводит к перезагрузке системы. «Троянские кони» – программы, полученные путем явного изменения или добавления команд в пользовательские программы. При запуске пользовательских программ выполняются несанкционированные функции наряду с заданными. «Вирусы» – небольшие программы, которые после внедрения самостоятельно распространяются путем создания своих копий. Им присущи все свойства вредительских программ.
3. Случайные угрозы информации. (см. выше)
4. Преднамеренные угрозы информации. (см. выше)
5. Юридическая защита информации.
Юридические меры защиты информации представляют собой совокупность законов, позволяющих применить судебные санкции к лицам или группе лиц, осуществляющих незаконное распространение юридически защищенных программ.
Патентная форма защиты информации основана на конституции США и Федеральном законе и позволяет защищать идеи, алгоритмы и т. п. Согласно законам о патентах производители ПО получают на определенный период времени исключительную лицензию в обмен на нее патентодержатели в своих патентных заявках должны полностью раскрыть все подробности и детали своих изобретений. По истечении периода исключительности любой человек может использовать запатентованные сведения без получения лицензии. Недостатки патентной системы: непроизводительные затраты времени, с которыми встречается разработчик программ, длительное время оформления патента, большие расходы на получение патента, возможность несанкционированного распространения патентной заявки.
Защита авторских прав на ПО обеспечивается федеральным законодательством об авторских правах.
Авторское право защищает выражение идеи, но не саму идею. Авторское право не зависит от какого-либо правительственного акта; оно автоматически приобретается благодаря авторству.
Однако практическое применение закона об авторских правах на ПО связано с трудностями доказательства в суде присвоения авторства кодов программ.
Наиболее популярным в США видом защиты ПО является защита секретов производства. В отличие от патентной защиты и закона авторских прав защиту производственных секретов производитель ПО может осуществлять без их раскрытия. Это достигается заключением лицензионных соглашений между покупателем и продавцом ПО, по которым покупатель лицензии обязуется не раскрывать секретов производства разработчика ПО третьим лицам.
Для того чтобы повысить эффективность применения юридических мер защиты, предлагается применять комбинированные методы: защита патентов и авторских прав, авторских прав и производственных секретов, патентов и производственных секретов.
(коротко о законе – перевод Рута&Плай)
ЗАКОН УКРАИНЫ О защите информации в автоматизированных системах(/г. Киев, 5 июля 1994 года N 80/94-ВР. Вводится в действие Постановлением ВР N 81/94-ВР от 05.07.94/)
Целью этого Закона есть установления основ регулирования правовых отношений относительно защиты информации в автоматизированных системах при условии соблюдения права собственности граждан Украины и юридических лиц на информацию и права доступа к ней, права собственника информации на ее защиту, а также установленного действующим законодательством ограничения на доступ к информации.
Действие Закона распространяется на любую информацию, которая обрабатывается в автоматизированных системах (АСС).
Раздел 1. ОБЩИЕ ПОЛОЖЕНИЯ. (Статья 1. Определения терминов. Статья 2. Объекты защиты. Статья 3. Субъекты отношений. Статья 4. Право собственности на информацию во время ее обработки. Статья 5. Гарантия юридической защиты. Статья 6. Доступ к информации)
Раздел 2. ОТНОШЕНИЯ МЕЖДУ СУБЪЕКТАМИ В ПРОЦЕССЕ ОБРАБОТКИ ИНФОРМАЦИИ В АСС.(Статья 7. Отношения между собственником информации и собственником АСС. Статья 8. Отношения между собственником информации и пользователем. Статья 9. Отношения между собственником АСС и пользователем АСС.)
Раздел 3. ОБЩИЕ ТРЕБОВАНИЯ ОТНОСИТЕЛЬНО ЗАЩИТЫ ИНФОРМАЦИИ.(Статья 10. Обеспечения защиты информации в АСС. Статья 11. Установления требований и правил относительно защиты Информации. Статья 12. Условия обработки информации.)
Раздел 4. ОРГАНИЗАЦИЯ ЗАЩИТЫ ИНФОРМАЦИИ В АСС. (Статья 13. Политика в области защиты информации. Статья 14. Государственное управление защитой информации в АСС. Статья 15. Службы защиты информации в АСС. Статья 16. Финансирование работ.)
Раздел 5. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ЗАКОНА О ЗАЩИТЕ ИНФОРМАЦИИ.(Статья 17. Ответственность за нарушение порядка. Статья 18. Возмещения вреда.)
Раздел 6. МЕЖДУНАРОДНАЯ ДЕЯТЕЛЬНОСТЬ В ОБЛАСТИ ЗАЩИТЫ ИНФОРМАЦИИ В АСС. (Статья 19. Взаимодействие в вопросах защиты информации в АСС. Статья 20. Обеспечения информационных прав Украины.)
ЗАКОН УКРАИНЫ Об информации
Этот Закон закрепляет право граждан Украины на информацию, закладывает правовые основы информационной деятельности.
Опираясь на Декларации о государственном суверенитете Украины (55-12) и Акте провозглашения ее независимости, Закон утверждает информационный суверенитет Украины и определяет правовые формы международного сотрудничества в области информации.