Міжнародні вимоги щодо забезпечення інформаційної безпеки. Лабораторна робота з Забезпечення інформаційної безпеки держави. Робота № 529341

Перехід до торгівельного партнера Binance

Міжнародні вимоги щодо забезпечення інформаційної безпеки

Інформація про навчальний заклад

ВУЗ:

Національний університет Львівська політехніка

Інститут:

КСС

Факультет:

ЗІ

Кафедра:

Захист інформації

Інформація про роботу

Рік:

2024

Тип роботи:

Лабораторна робота

Предмет:

Забезпечення інформаційної безпеки держави

Завантажити

Частина тексту файла (без зображень, графіків і формул):

МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ НАЦІОНАЛЬНИЙ УНІВЕРСИТЕТ «ЛЬВІВСЬКА ПОЛІТЕХНІКА» кафедра «Захист інформації» З В І Т до лабораторної роботи №1 з курсу: «Забезпечення інформаційної безпеки держави, частина 2» на тему: «Міжнародні вимоги щодо забезпечення інформаційної безпеки» Варіант №5 Мета роботи: Вивчення вимог щодо забезпечення безпеки в провідних країнах світу. Поглибити знання з наступних питань: - аналіз вимог щодо забезпечення безпеки в США; - аналіз вимог щодо забезпечення безпеки в Російській Федерації; - аналіз вимог щодо забезпечення безпеки у Франції. Короткі теоретичні відомості: Вимоги щодо забезпечення інформаційної безпеки в США Вимоги розділені на три групи: стратегія, підзвітність, гарантії. В кожній групі по дві вимоги такого змісту: 1. Стратегія Вимога 1 - стратегія забезпечення безпеки: необхідно мати явну і добре певну стратегію забезпечення безпеки. Вимога 2 - маркування: керуючі доступом мітки повинні бути пов'язані з об'єктами. 2. Підзвітність Вимога 3 - ідентифікація: індивідуальні суб'єкти повинні ідентифікуватися. Вимога 4 - підзвітність: контрольна інформація повинна зберігатися окремо і захищатися так, щоб з боку відповідальної за це групи була можливість відслідковувати дії, що впливають на безпеку. 3. Гарантії Вимога 5 - гарантії: обчислювальна система в своєму складі повинна мати апаратні / програмні механізми, що допускають незалежно оцінку на предмет достатнього рівня гарантій того, що система забезпечує виконання викладених вище вимог з 1-ої по 4-у. Вимога 6 - постійний захист: гарантовано захищені механізми, що реалізують перераховані вимоги, повинні бути постійно захищені від «виламування» та / або несанкціонованого внесення змін. У частині стандартизації апаратних засобів інформаційних систем та телекомунікаційних мереж в США розроблені правила стандарту Transient Electromagnetic Pulse Emanations Standart (TEMPEST). Цей стандарт передбачає застосування спеціальних заходів захисту апаратури від паразитних випромінювань електромагнітної енергії, перехоплення якої може привести до оволодіння охоронюваними відомостями. Стандарт TEMPEST забезпечує радіус контрольованої зони перехоплення порядку 1м. Це досягається спеціальними схемотехнічними, конструктивними та програмно-апаратними рішеннями, у тому числі: • застосуванням спеціальної низько яка споживає малошумлячих елементної бази; • спеціальним конструктивним виконанням плат і розводкою сигнальних і земляних електричних ланцюгів; • використанням екранів і RC-фільтрів, що обмежують спектри сигналів в ланцюгах інтерфейсних з'єднань; • застосуванням спеціальних заходів, що забезпечують захист від НСД (знімний жорсткий диск, магнітні парольні карти, спеціальні замкові пристрої, програмно-апаратні засоби захисту інформації та шифрування). Зниження потужності побічних електромагнітних випромінювань і наведень (ПЕМВН) монітора досягається поруч конструктивно-технологічних рішень, застосованих в ПЕОМ: Вимоги до безпеки інформаційних систем в Росії Аналогічний підхід був реалізований і в керівному документі Державної технічної комісії при Президентові РФ «Класифікація автоматизованих систем і вимоги щодо захисту інформації», випущеному в 1992 р. Вимоги всіх наступних документів є обов'язковими для виконання тільки тих державних або комерційних організацій, обробляють інформацію, що містить державну таємницю. Для інших комерційних структур документи носять рекомендаційний характер. У даному документі виділено 9 класів захищеності автоматизованих систем від несанкціонованого доступу до інформації, а для кожного класу визначений мінімальний склад необхідних механізмів захисту та вимоги до змісту захисних функцій кожного з механізмів в кожному з класів систем. Класи систем розділені на три групи, причому основним критерієм розподілу на групи прийнято специфічні особливості обробки інформації, а саме: третя група - системи, в яких працює один користувач, допущений до всієї оброблюваної інформації, розміщеної на носіях одного рівня конфіденційності, до групи віднесені два класи, позначені 3Б і 3А; друга група - системи, в яких працює декілька користувачів, які мають однакові права доступу до всієї інформації, оброблюваної та / або зберігається на носіях різного рівня конфіденційності; до групи віднесені два класи, позначені 2Б і 2А; перша група - багато користувачів системи, в яких одночасно обробляється і / або зберігається інформація різних рівнів конфіденційності, причому різні користувачі мають різні права на доступ до інформації; до групи віднесені 5 класів: 1Д, 1Г, 1В, 1Б і 1А. Вимоги до захисту ростуть від систем класу ЗБ до класу 1А. Всі механізми захисту розділені на 4 підсистеми наступного призначення: • управління доступом; • реєстрації та обліку; • криптографічного закриття; • забезпечення цілісності. Саботаж в нематеріальній сфері дуже поширений, починаючи з фальсифікації програм і даних до тотального саботажу шляхом застосування логічних бомб і різних вірусів. Цей вид загроз відзначається в усіх обстежених центрах. Збитки головним чином стосуються знищення змісту та форми даних, втрати цілісності, програм і документів. В основному ці погрози направлені на дезорганізацію захисту: атаки на операційну систему, модифікація даних, зміна мови управління даними, стирання даних на магнітних носіях тощо. Дії здійснює в основному в обчислювальних центрах внутрішній персонал, а іноді спостерігаються і поза ОЦ піратські дії в мережі теледоступу. Фізичні загрози визначаються як конфігурацією, так і розташуванням будівель і ускладнюються їх розподіленням, поділом приміщень на окремі кабінети, розосередження засобів пожежогасіння та захисту. Заходи з відновлення залежать від наявності резерву. Що стосується загроз зовнішнього середовища, то вони є фізично небезпечними в частині необхідності створення штучного клімату та захисту електромереж. Наслідки в основному обмежені, проте часто відзначаються досить значні затримки у відновленні поставок деякими матеріалами, особливо для електрообладнання великої потужності, що використовує незвичайні електричні частоти. Загрози телекомунікаційних засобів стосуються внутрішнього телекомунікаційного обладнання: щитів, кабелів, автоматичних комутаторів, з'єднувальних коробок, концентраторів, контролерів ліній зв'язку, модемів і т. п. Серйозну небезпеку становить вихід з ладу вузлів зв'язку. Відзначено максимальну перерву у зв'язку до трьох тижнів. Відновлення визначається можливостями перемикання на інші центри, наявністю резервних ліній і засобів. Порядок виконання лабораторної роботи: 1. Включити ПК. 2. Отримати доступ до Internet. 3. Завдання для виконання лабораторної роботи відповідно з номером варіанту наведено в таблиці. 4. Знайти інформацію відповідно до завдання. 5. Обробити інформацію. 6. Оформити звіт. 7. Зробити висновки. Номер варіанту Завдання 5 Знайти матеріали щодо вимог до забезпечення безпеки в США та Франції. Проаналізувати їх і провести порівняльний аналіз. Порівняння вимог до забезпечення безпеки США та Франції Франція У Франції секретною є інформація оборонного значення, яка за ступенем секретності поділяється на 3 рівні (в міру зростання): Confidentiel Défense («Конфіденційна оборонна»): інформація, розголошення якої вважається потенційно небезпечним для національної оборони, або може призвести до розкриття інформації, віднесеної до вищого рівня безпеки. Secret Défense («Секретна оборонна»): інформація, розголошення якої може завдати істотної шкоди для національної оборони. Така інформація не може поширюватися без дозволу відповідних властей, крім виняткових ситуацій. Très Secret Défense («Надзвичайно секретна оборонна»): інформація, розголошення якої вважається вкрай небезпечним для національної оборони. Ніяка організація не має права здійснювати зберігання, передачу, відображення або знищення інформації цього рівня секретності без дозволу прем'єр-міністра Франції або секретаря національної оборони. Часткове або вибіркове відтворення цієї інформації також строго заборонено. Менш чутлива з точки зору оборони інформація у Франції визначається як «захищена» та підрозділяється на такі рівні в міру зростання: Non Protégé (незахищена) Diffusion restreinte administrateur («поширення обмежене адміністрацією») Diffusion restreinte («поширення обмежене») Confidentiel personnels Sous-Officiers («Конфіденційно, для молодших службовців») Confidentiel personnels Officiers («конфіденційно, для службовців»). Існує також інформація з позначкою «spécial France» («тільки для громадян Франції»), яка не є рівнем секретності. Розсекречення документів у Франції здійснюється незалежним органом — Консультативною комісією із захисту таємниць національної оборони (фр. Commission consultative du secret de la défense nationale, CCSDN). Передача секретних документів здійснюється в подвійних конвертах, зовнішній з яких зроблений із пластику й пронумерований, а внутрішній виготовлений зі щільного паперу. Процедура прийому секретних документів включає в себе вивчення фізичної цілісності контейнера та реєстрацію документів. Пересилання секретних документів у Францію з-за кордону здійснюється спеціальною військовою або дипломатичною поштою. Таке поштове відправлення повинно мати печатку з відміткою «PAR VALISE ACCOMPAGNEE-SACOCHE». У міру закінчення терміну секретності секретні документи передаються до архіву, де вони або зберігаються, або знищуються (шляхом спалювання, дроблення або впливу електричним розрядом). Розголошення секретної інформації у Франції є злочином, передбаченим статтею 413-9 Кримінального кодексу. У разі несанкціонованого витоку секретної інформації проводиться розслідування компетентними органами, до яких належать Міністерство внутрішніх справ Франції, спеціальний слідчий з оборони та безпеки (фр. Haut fonctionnaire de défense et de sécurité) відповідного міністерства, а також генеральний секретар національної оборони. За розголошення секретної інформації Кримінальний кодекс Франції передбачає покарання до 7 років позбавлення свободи і 100 000 євро штрафу, а якщо злочин скоєно з необережності чи недбалості — до 3 років позбавлення волі і 45 000 євро штрафу. Крім захисту секретних документів, уряд Франції також веде достатньо жорстку політику щодо розробки та експорту засобів криптографії. Так, імпорт шифрувальних засобів на територію Франції взагалі заборонений, а експорт шифрувального устаткування можливий лише з особистого дозволу прем'єр-міністра країни, яке він приймає після консультацій зі спеціальним комітетом з військового обладнання. США Система класифікації секретної інформації, діюча в США останнім часом, встановлена Указом 13526 президента США Барака Обами, виданим у 2009 році, що замінив раніше існуючі нормативні акти у сфері засекречування інформації. Указ 13526 встановлює систему класифікації, порядок засекречування, розсекречування та обробки інформації, створеної урядом США, його співробітниками та підрядниками, а також інформації, отриманої від інших органів влади. Для оцінки ступеня секретності інформації в США введений термін «інформаційна чутливість» (англ. Information sensitivity). «Чутливість» інформації оцінюється за ступенем шкоди, яку може нанести національній безпеці США розкриття цієї інформації. У США є три рівні секретності інформації, у міру зростання: «таємно», «цілком таємно» та «особливої важливості». У законодавстві США немає аналога Закону про державну таємницю Великої Британії, в силу чого розголошення секретної інформації не є, взагалі кажучи, незаконним. Представники законодавчої та виконавчої гілок влади, в тому числі президенти США, нерідко організовували «виток» секретної інформації журналістам. Конгрес США неодноразово чинив опір прийняттю закону, який забороняв би в цілому розкриття секретної інформації. Замість цього в США існує «клаптева» система законів про кримінальну відповідальність лише за розголошення певних типів секретної інформації, та й то лише за певних обставин. У судових процесах, в тому числі у справах про шпигунство, були нерідкі ситуації, коли судді приймали рішення по кожному документу — наскільки правомірно його віднести до категорії «секретних». Крім того, за законом, інформація не може бути засекречена для того, щоб покрити незаконну діяльність; інформація може бути засекречена лише в інтересах захисту національної безпеки. Згідно з Указом 13526, інформація є секретною, якщо вона має одну з трьох відміток: «секретно», «цілком секретно» та «особливої важливості». Інформація, яка не має таких позначок, називається «відкритою інформацією» (англ. Unclassified information). Термін «Розсекречена інформація» (англ. declassified), використовується стосовно інформації, з якою знято гриф секретності. Термін «рівень секретності знижений» (англ. downgraded) відноситься до інформації, яка віднесена до більш низького рівня секретності, але продовжує бути засекреченою. Багатьом урядовим документам рівень секретності знижується автоматично, а через деякий час відбувається розсекречення. Стосовно інформації, яка не має грифу таємності, але поширення якої підлягає обмеженню, уряд США використовує також терміни: «чутливо, але розсекречено» (англ. Sensitive But Unclassified (SBU)); «інформація, чутлива для безпеки» (англ. Sensitive Security Information (SSI)); «критична програмна інформація» (англ. Critical Program Information (CPI)); «тільки для службового користування» (англ. For Official Use Only (FOUO)); «поширення обмежене» (англ. Limited Distribution (LIMDIS)); «чутлива для правоохоронних органів» (англ. Law Enforcement Sensitive (LES)). Причини обмежень на поширення інформації можуть включати в себе контроль за експортом військових технологій та технологій подвійного призначення, політику приватності, постанови суду, відкриті кримінальні розслідування, так само як і питання національної безпеки. Інформацію, яка ніколи не була засекречена, фахівці у сфері секретної інформації іноді називають «відкритим джерелом». Термін «чутлива для громадської безпеки» (англ. Public Safety Sensitive (PSS)), за аналогією з «чутливою для правоохоронних органів» відноситься до інформації, яка пов'язана зі службами громадської безпеки (органи правопорядку, пожежники та невідкладна медична допомога). Уряд США засекречує інформацію залежно від ступеня шкоди, що може завдати національній безпеці несанкціоноване розголошення цієї інформації. При цьому допуск до секретної інформації певного рівня не означає, що співробітник, що має допуск, може бути ознайомлений з усіма документами цього рівня секретності. Наприклад, всі американські військові льотчики повинні мати допуск до документів рівня «секретно», але при цьому вони можуть отримати доступ лише до документів, безпосередньо пов'язаних з конкретним завданням. Існує також система додаткових рівнів допуску до секретної інформації. Наприклад, доступ до документа з позначкою «Секретно//COMINT» (S-SI) може отримати лише співробітник з допуском до документів рівня «Таємно» та вище, і має, крім того, додатковий допуск до матеріалів радіоелектронної розвідки. Особливої важливості. Особливої важливості (англ. Top Secret) — вищий рівень секретності, в разі розкриття ця інформація може становити загрозу національній безпеці. За експертними оцінками, в США близько 1,4 мільйона людей мають допуск до інформації рівня Top Secret. Цілком Таємно Цілком Таємно (англ. Secret) — другий рівень секретності. У разі розголошення може заподіяти «серйозної шкоди» національній безпеці. Велика частина документів уряду США відноситься до цього рівня. Секретно Секретно (англ. Confidential) — найнижчий рівень секретності урядової інформації. Завдасть «збитку» національній безпеці, якщо стане надбанням гласності. Відкрита інформація «Відкрита інформація» (англ. Unclassified) не є офіційною категорією секретності, а є такою за замовчуванням. Незасекречена інформація при цьому може іноді бути обмеженою для поширення, як наприклад, інформація категорії «чутливо, але розсекречено» (англ. (SBU)), або «Тільки для службового користування» (англ. FOUO). Наприклад, бюлетені правоохоронних служб США в період, коли Міністерство національної безпеки США підняло рівень терористичної загрози, зазвичай, класифікуються як «U//LES» (англ. "Unclassified — Law Enforcement Sensitive" — «Відкрита інформація — чутлива для правоохоронних органів»). Ця інформація повинна поширюватися лише в правоохоронних органах (шерифи, поліція і т. д.), але, оскільки вона не є секретною, іноді оприлюднюється в ЗМІ. Інформація, яка не є секретною, але щодо якої уряд вважає, що вона не підпадає під дію Закону про свободу інформації США, нерідко класифікується як U//FOUO (англ. Unclassified — For Official Use Only — «Відкрита, лише для службового користування»). На додаток до категорії FOUO, інформація може бути класифікована також залежно від її доступності для поширення (наприклад, інформація «Distribution D» може бути видана лише представникам підрядних організацій, список яких затверджений Міністерством оборони США)). Крім того, маркування NOFORN (що означає «не для іноземних громадян») застосовується до будь-якої інформації, яка не може поширюватися серед осіб, які не є громадянами США. Документи, які підпадають під дію законодавства США про контроль за експортом, також мають певне маркування. Нарешті, рівень секретності інформації може бути підвищений при її агрегуванні. Наприклад, конкретні технічні характеристики системи зброї можуть бути класифіковані як «секретні», але документ, що відображає сукупність всіх технічних характеристик цієї системи, може мати статус «абсолютно таємно». Використання відкритої інформації з додатковими обмеженнями на розповсюдження зростає з плином часу в уряді США. Категорія «обмежений доступ» У період перед Другою світовою війною та протягом війни в США діяла категорія таємності «обмежений доступ», що за рівнем нижче, ніж «таємно». Ця категорія більше не використовується в США, але збережена в ряді інших країн і в НАТО. Уряд США відносить інформацію «обмеженого доступу», яку він отримує від урядів інших країн, до категорії «таємно». Додаткові заходи таємності Указ 13526, який є правовою основою для засекречування інформації в США, констатує, що «інформація може бути засекречена на одному з трьох рівнів», з вищим рівнем «особливої важливості». Водночас цей указ передбачає програми особливого доступу до інформації, що вимагає додаткових заходів безпеки. Законодавство США також має спеціальні положення щодо доступу до інформації, пов'язаної з криптографією (18 USC 798) і атомною енергетикою. Процедура засекречування документів американського уряду При засекречуванні документів орган та особа, наділена урядом США повноваженнями визначати рівень секретності та причину засекречування документів, спочатку визначає відповідний рівень секретності, а також причину, по якій ця інформація повинна бути засекречена. Також визначається, як і коли цей документ буде розсекречено, і на документ наноситься відповідне маркування. Причини засекречування та вимоги до інформації, яка буде засекречена, описані в президентському Указі 13526 (Частина 1). Переважна більшість секретних документів уряду створюються як «похідні засекречені». Наприклад, якщо одна сторінка інформації, взятої з секретного документа, поміщається в документ разом з 100 сторінками несекретной інформації, такий документ в цілому буде секретним. Правила засекречування (часто ігноровані) передбачають, що кожний параграф документа повинен мати маркування: U (Unclassified) — відкрита інформація, C (Confidential) — «секретно», S (Secret) — «цілком таємно», і TS (Top Secret) — «особливої важливості». Таким чином, у наведеному прикладі, лише один параграф повинен мати маркування S. Якщо цей параграф знаходиться з двох сторін аркуша, то сторінка повинна бути відзначена SECRET зверху та знизу. Обмін секретною інформацією з іншими країнами Якщо Сполучені Штати хочуть поділитися секретною інформацією на двосторонній (або багатосторонній) основі з країною, з якою укладено угоду про обмін секретною інформацією, ця інформація маркується «REL TO USA» і трибуквених кодом країни-одержувача. Наприклад, якщо США хочуть передати секретну інформації уряду Канади, це буде документ, маркований «REL TO USA, CAN». Є також секретна інформація, передана організаціям або групам країн, як, наприклад, НАТО або UKUSA. Ці країни/організації повинні підтримувати первісний рівень секретності отриманих документів. Висновки: В даній роботі я ознайомився з вимогами та особливостями захисту інформації в різних країнах світу, зокрема США та Франції. Провів пошук матеріалів та дослідив схожості та відмінності систем захисту інформації та вимог її обробки.

Лабораторна робота Забезпечення інформаційної безпеки держави

LittleFairy

26.04.2017 10:04-

Коментарі

Ви не можете залишити коментар. Для цього, будь ласка, або зареєструйтесь.

Ділись своїми роботами та отримуй миттєві бонуси!

Маєш корисні навчальні матеріали, які припадають пилом на твоєму комп'ютері? Розрахункові, лабораторні, практичні чи контрольні роботи — завантажуй їх прямо зараз і одразу отримуй бали на свій рахунок! Заархівуй всі файли в один .zip (до 100 МБ) або завантажуй кожен файл окремо. Внесок у спільноту – це легкий спосіб допомогти іншим та отримати додаткові можливості на сайті. Твої старі роботи можуть приносити тобі нові нагороди!

поділитись