Подякувати Студентському архіву довільною сумою
Admin
26.02.2023 12:38
Дякуємо, що користуєтесь нашим архівом!
Інформація про навчальний заклад
ВУЗ:
Національний університет Львівська політехніка
Інститут:
Не вказано
Факультет:
Не вказано
Кафедра:
Не вказано
Інформація про роботу
Рік:
2012
Тип роботи:
Інші
Предмет:
Ліцензування
Частина тексту файла (без зображень, графіків і формул):
МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ
НАЦІОНАЛЬНИЙ УНІВЕРСИТЕТ “ЛЬВІВСЬКА ПОЛІТЕХНІКА”
Нормативне забезпечення, ліцензування і сертифікація в галузі
Львів-2012
Основи інформаційної безпеки
Інформація до кінця XX с. перетворилася на самостійний рушійний чинник еволюції людства. Ця обставина вивела інформацію в ранг одного з найбільш ефективних засобів задоволення cуперечливих інтересів людей, що, в свою чергу, пов’язано з виникненням і розвитком всіх можливих інформаційних загроз їх правам і свободам.
В даний час достатньо обґрунтованою і загальноприйнятою є теза про те, що роль інформаційної безпеки в системі національної безпеки не тільки істотно зростає, але і виходить на перший план. У стратегічних інтересах безпеки держави і суспільства необхідне створення розвиненої інформаційної сфери, а також вирішення питань її захисту. Через інформаційну сферу здійснюється загроза безпеці України в найрізноманітніших сферах її діяльності. Тому необхідно забезпечити подальший розвиток інформаційної безпеки як в аспекті законодавства, так і розвитку суспільних інститутів.
Інтенсивний розвиток нових інформаційних технологій дав небачені раніше можливості щодо вдосконалення і підвищення ефективності процесів управління. Бурхливе впровадження і розвиток сучасних інформаційних і телекомунікаційних технологій у всіх найважливіших для людської спільноти інфраструктури значно підвищило уразливість інформації, циркулюючої в державних і комерційних інформаційно-телекомунікаційних системах. Протиборство конкуруючих держав за контроль над світовими інформаційними ресурсами стало в даний час принципово новою областю застосування силової дії – так званої “м’якої” сили. Якщо до теперішнього часу світова спільнота сформувала баланс сил і механізми його підтримки і правового регулювання в області ядерних і звичайних озброєнь, то питання про паритет в області інформаційного протиборства залишається поки що відкритим. Теоретичні і практичні дослідження в області інформаційного протиборства, основані на досягненнях швидко прогресуючих телекомунікаційних і комп’ютерних технологій, показують, що даний вид боротьби може стати якщо не основним, то вирішальним в столітті, що наступило.
Єдиний інформаційний простір світової спільноти вимагає уніфікації інформаційних і телекомунікаційних технологій всіх країн, суб’єктів інформаційного співтовариства. Це дає можливість могутнім індустріальним державам укріпляти свої політичні, економічні і військові переваги за рахунок лідерства в інформатизації і, в принципі, здійснювати глобальний інформаційний контроль над світовим співтовариством, і фактично нав’язувати свої соціокультурні стандарти.
У мирний час і в період воєнних конфліктів застосовуються засоби радіоелектронної боротьби: радіопротидія і радіо-перехоплення, що істотно впливають на ефективність розвідки, зв’язок і управління на полі бою, а також засоби постановки і подавлення перешкод, що впливають на ефективність дії традиційної і новітньої високоточної зброї, що використовує різні види випромінювання. У цьому відношенні характерним прикладом є передові системи ціленаведення ракет на об’єкти ураження. Вони інтегрують в себе три компоненти: геоінформаційні системи, що передають на пункти управління детальні електронні карти місцевості, отримані за допомогою космічних апаратів і інших видів розвідки; електронні “буї”, що визначають об’єкт атаки; системи наведення ракет на ціль. Тільки узгоджений механізм їх інформаційної взаємодії приводить до ураження цілі. Та варто лише одну з складових системи вивести з ладу хоча б на короткий термін, кінцевий ефект її дії не приведе до бажаного результату.
Державна політика забезпечення інформаційної безпеки визначена в законі України “Про основи державної політики в сфері науки і науково-технічної діяльності” (13.12.1991 р). В ст. 19 даного закону констатується, що з метою створення науково-технічної інформації держава забезпечує можливість поширення і підвищення якісного рівня інформаційної продукції. Загальний зміст державної політики інформатизації викладається в законі “Про концепцію національної програми інформатизації України” (04.02.1998 р). В загальних положеннях цього закону констатується нинішнє інформаційне становище України.
У першому розділі визначається, що інформатизація – це сукупність взаємопов’язаних організаційних, правових, політичних, соціально-економічних, науково-технічних, виробничих процесів, що спрямовані на створення умов для задоволення інформаційних потреб, реалізації прав громадян і суспільства на основі створення, розвитку, використання інформаційних систем, мереж, ресурсів та інформаційних технологій, побудованих на основі застосування сучасної обчислювальної та комунікаційної техніки. Обчислювальна та комунікаційна техніка, телекомунікаційні мережі, бази і банки даних та знань, інформаційні технології (ІТ), система інформаційно-аналітичних центрів різного рівня, виробництво технічних засобів інформатизації, систем науково-дослідних установ та підготовки висококваліфікованих фахівців є складовими національної інформаційної інфраструктури й основними чинниками, що забезпечують економічне піднесення. Як показує досвід інших країн, інформатизація сприяє забезпеченню національних інтересів, поліпшенню керованості економікою, розвитку наукоємних виробництв та високих технологій, зростанню продуктивності праці, вдосконаленню соціально-економічних відносин, збагаченню духовного життя та подальшій демократизації суспільства. Національна інформаційна інфраструктура, створена з урахуванням світових тенденцій і досягнень, сприятиме рівноправній інтеграції України у світове співтовариство. Концепція Національної програми інформатизації включає характеристику сучасного стану інформатизації, стратегічні цілі та основні принципи інформатизації, очікувані наслідки її реалізації.
Другий розділ присвячено інформаційній ситуації в Україні. Там зазначається, що “загальна ситуація в Україні інформатизації на сьогодні не може бути визнана задовільною і не лише через кризові явища в економіці. Рівень інформатизації українського суспільства порівняно з розвинутими країнами Заходу становить лише 2–2,5 %. Загальна криза та технологічне відставання поставили в скрутне становище галузі, які займаються створенням і використанням засобів інформатизації та відповідної елементної бази.
Має місце технічне відставання телекомунікаційних систем, мереж передавання даних, які відзначаються недостатньою пропускною здатністю, надійністю зв’язку, низькою якістю та незначним обсягом послуг. Переважна більшість установ користується для передавання даних комутованими каналами загального користування. В Україні існує розвинута мережа аналогових ліній передавання, які на сьогоднішній день вичерпали свої технічні можливості. Сучасні системи зв’язку, що базуються на методах передавання цифрової інформації, забезпечують якісніший та надійніший зв’язок.
Складовою стратегічних ресурсів країни й одночасно національної інфраструктури є державні інформаційні ресурси. За останні роки були створені такі державні інформаційні ресурси: бази даних “Законодавчі та нормативні акти України”, “Податки України”, “Ресурси України”, “Єдиний державний реєстр підприємств та організацій України” та інші.
Важливим фактором подолання відставання України в галузі інформатизації має бути державна політика інформатизації України, відповідна Національна програма інформатизації та ефективні механізми її реалізації.
У третьому розділі подаються загальні принципи державної політики у сфері інформатизації. Державна політика інформатизації формується як складова соціально-економічної політики держави в цілому і спрямовується на раціональне використання промислового та фінансового ресурсів для створення сучасної інформаційної інфраструктури в інтересах вирішення комплексу поточних та перспективних завдань розвитку України як незалежної демократичної держави з ринковою економікою. Для прискорення процесу інформатизації в основу державної політики повинно бути покладене державне регулювання процесів інформатизації на основі поєднання принципів централізації і децентралізації, саморозвитку, самофінансування та самоокупності, державної підтримки.
Державне регулювання має забезпечити системність, комплексність і узгодженість розвитку інформатизації країни з використанням традиційних та нетрадиційних форм і методів супроводу та контролю. Пріоритетними повинно бути:
створення нормативно-правової бази інформації, включаючи систему захисту авторських прав і особистої інформації;
розроблення національних стандартів у галузі інформатизації;
формування телекомунікаційної інфраструктури, перш за все оптимізації діючої мережі магістралей передавання даних, будівництву нових каналів, включаючи волоконно-оптичні та супутникові системи зв’язку;
формування комп’ютерної мережі освіти, науки та культури як частини загальноосвітньої мережі Internet;
здійснення заходів інформаційної безпеки.
Іншим важливим інформаційним законом України є закон “Про національну програму інформатизації України” (04.02.1998 р.). Цей закон визначає загальні засади формування, виконання та коригування Національної програми інформатизації. Незважаючи на труднощі, держава зобов’язана займатися забезпеченням інформаційної безпеки. Найважливішим в цьому напрямку є “Закон про захист інформації в автоматизованих системах”, про який ми нижче зупинимось більш детальніше, а тут лише зауважимо основні поняття та напрямки розвитку захисту інформації в Україні, користуючись системою нормативних документів із захисту інформації
З метою запобігання, парирування і нейтралізації погроз інформаційній безпеці застосовуються правові, програмно-технічні і організаційно-економічні методи.
Правові методи передбачають розробку комплексу нормативно-правових актів і положень, що регламентують інформаційні відносини в суспільстві, керівних і нормативно-методичних документів по забезпеченню інформаційної безпеки.
Основні напрями нормативного правового забезпечення інформаційної безпеки включають: програмно-технічні та організаційно-економічні методи.
Програмно-технічні методи включають запобігання просочуванню опрацьовуваної інформації шляхом виключення несанкціонованого доступу до неї, запобігання спеціальним діям, що викликають руйнування, знищення, спотворення інформації або збої в роботі засобів інформатизації, виявлення програмних або апаратних закладних пристроїв, виключення перехоплення інформації технічними засобами, застосування криптографічних засобів захисту інформації при передаванні каналами зв’язку.
Організаційно-економічні методи передбачають формування і забезпечення функціонування систем захисту секретної і конфіденційної інформації, сертифікації цих систем за вимогами інформаційної безпеки, ліцензування діяльності у сфері інформаційної безпеки, стандартизації способів і засобів захисту інформації, контроль за дією персоналу в захищених інформаційних системах.
Складовими компонентами цих методів є мотивація, економічне стимулювання і психологічна підтримка діяльності персоналу, зайнятого забезпеченням інформаційної безпеки.
Розглянуті методи напрямлені на запобігання, парирування і нейтралізацію погроз інформаційній безпеці, збереження інформації, що складає державну таємницю. Разом з тим слід зазначити, що на регіональному рівні існує низка недоліків у забезпеченні державної таємниці. До цих недоліків можна віднести відсутність єдиної регіональної концепції захисту інформації, а також відсутність необхідної кваліфікації у посадових осіб, відповідальних в регіонах за організацію і захист інформації.
Стандартизація, ліцензування і сертифікація
у галузі захисту інформації
У даний час масове оснащення державних закладів, організацій і приватних осіб засобами обчислювальної техніки і включення їх в світовий інформаційний простір приховує в собі реальну загрозу створення розгалужених систем «технічного контролю» за інформаційними процесами і ресурсами, зловмисного втручання в них. Реальність такої небезпеки зростає прямо пропорціонально розвитку науки і техніки.
Протидія технічним розвідкам і захист інформації є важким і наукоємким процесом, що вимагає постійного науково-методичного і науково-технічного супроводу. Для цього потрібне, по-перше проведення досліджень різних фізичних чинників і полів (їх більше 206), технічних рішень і технологій, які можуть бути використані для ведення розвідувальної діяльності і несанкціонованого збору інформації. На цій основі визначаються загрози інформаційної безпеки, формуються вихідні дані для оцінки можливостей технічних засобів розвідки і їх небезпеки, виявляються потенційні канали просочування інформації. По-друге, на базі наукових досліджень розробляють нормативні і методичні документи (концепції, норми, вимоги, положення, стандарти і ін.).
Питання інформаційної безпеки можуть розглядатися з двох точок зору:
– інформаційна безпека в широкому сенсі, як захищеність життєво важливих інтересів громадян, суспільства і держави в інформаційній сфері, що розглядає всі можливі види і джерела загроз, починаючи від стихійних лих (порушення інформаційних потоків і т. п.) до погроз інформаційного характеру викликаних, наприклад відмовою технічних засобів з найрізноманітніших причин;
– інформаційна безпека у вузькому сенсі, що полягає в збереженні конфіденційності і цілісності інформації, що належить громадянам, різноманітним установам і організаціям, при діях зловмисників.
Розглядаючи інформаційну безпеку в широкому сенсі, проте, торкаючись більшою мірою технічної сторони питання, необхідно акцентувати увагу на загальну організацію робіт щодо забезпечення функціонування системи, включаючи служби з управління:
– технічними засобами, їх резервуванню, діагностиці, обслуговуванню і відновленню після відмов, включивши в «модель порушника» інформаційної безпеки, зокрема модель відмов технічних засобів, що випливають з теорії надійності;
– програмним забезпеченням, шляхом створення еталонних і робочих копій, інсталяції і настройки, розміщенням на зовнішніх носіях, включивши в “модель порушника”, зокрема модель надійності програмних засобів;
– інформаційним забезпеченням, його резервним копіюванням і архівуванням, відновленням після збоїв і відмов технічних засобів, розміщенням на зовнішніх носіях;
потоками, конфігурацією і продуктивністю, шляхом зміни налаштувань, маршрутів, конфігурації обчислювальної системи, що забезпечують високу продуктивність і надійність роботи всієї системи в цілому;
– безпекою по відношенню до інформації, державну, що містить, і іншу, що охороняється законом, таємницю, а також питання проектування систем і засобів захисту, пов’язані із забезпеченням інформаційної безпеки.
Розглядаючи інформаційну безпеку в “вузькому сенсі”, за основу береться тільки забезпечення конфіденційності інформації і протидія зловмисникам, по відношенню до інформації, що містить державну і іншу, таку, що охороняється законом, таємницю, включивши в нього питання:
– розмежування доступу до інформації;
– виявлення і нейтралізації каналів витоку, включаючи контроль середовища на наявність “закладок” в технічних засобах і програмному забезпеченні;
– криптографічний захист інформації при зберіганні і передаванні каналами зв’язку;
– антивірусний захист, що забезпечує виявлення і ліквідацію спроб руйнування обчислювальної системи або окремих програм в заданий час або заданій ситуації;
– забезпечення цілісності при спробах цілеспрямованого знищення і спотворення інформації і програмних засобів, особливо засобів захисту.
Комплексність інформаційної безпеки в “вузькому сенсі” повинна виявлятися:
забезпеченням її на всіх етапах життєвого циклу існування системи: проектування; закупівлі технічних і програмних засобів; проведення випробувань і здача в експлуатацію; проведення дослідної і промислової експлуатації; модернізації, списання і знищення системи і її окремих компонентів;
тим, що в неї включатимуться такі способи захисту, як правовий (закони, нормативні акти, стандарти і т. д.); адміністративний (дії загального характеру, що застосовуються керівництвом організацій); процедурний (конкретні заходи безпеки, що мають справу з людьми); програмно-технічний (конкретні технічні заходи);
тим, що вона повинна розглядатися як для періоду мирного, так і для військового часу.
Правовий захист інформації є найважливішим елементом при вирішенні завдань забезпечення інформаційної безпеки. Більшість людей не здійснюють протиправних дій не тому, що це технічно неможливо, а тому, що так чинити не прийнято, тому що протиправна дія засуджується суспільством і карається державою.
Правовий захист інформації включає дві групи засобів:
– заходи, направлені на попередження і припинення пра-вопорушень, створення і підтримку у суспільстві негативного відношення як до правопорушень взагалі, так і порушникам в області інформаційної безпеки зокрема, із застосуванням заходів адміністративної і кримінальної відповідальності;
– заходи, направлені на підвищення правової свідомості суспільства в області інформаційної безпеки, а також сприяють розробленню і розповсюдженню засобів забезпечення інформаційної безпеки.
До першої групи відносяться, в першу чергу, розділи Кримінального кодексу України, розділи про адміністративні правопорушення, а також закон про інформацію в частині статей, що закріплюють вимоги щодо використання виключно сертифікованих технічних і програмних засобів.
До другої групи заходів відноситься великий перелік нормативних актів, що регламентують процеси ліцензування і сертифікації в області захисту інформації.
Стандартизація – діяльність, що полягає у встановленні положень для загального і багаторазового застосування щодо наявних чи можливих завдань з метою досягнення оптимального ступеня впорядкування у певній сфері, результатом якої є підвищення ступеня відповідності продукції, процесів та послуг їх функціональному призначенню, усуненню бар’єрів у торгівлі і сприянню науково-технічному співробітництву.
Об’єкт стандартизації – предмет (продукція, процес, послуга), який підлягає стандартизації і для якого розробляються ті чи інші вимоги, характеристики, параметри, правила тощо.
Ліцензування – процес видачі спеціальних дозволів — ліцензій на здійснення окремих видів діяльності.
Сертифікація – підтвердження уповноваженим органом співвідношення якісних характеристик стандарту якості.
Норми і вимоги законодавства в області ліцензування і сертифікації включають положення ряду нормативних правових актів України різного рівня.
Першим за часом нормативним правовим актом, який регулював питання обороту засобів криптографічного захисту інформації, є прийнята 28 травня 1991 р. Ухвала Верховної Ради СРСР № 2195-1 “Про види діяльності, якими підприємства мають право займатися тільки на підставі спеціальних дозволів (ліцензій)”. Цим документом був затверджений перелік окремих видів діяльності, якими підприємства на території країни мають право займатися тільки за наявності у них спеціального дозволу або ліцензій. Зокрема до таких видів діяльності віднесені виробництво, ремонт, реалізація і експлуатація шифрувальної техніки.
Атестація системи захисту інформації
Атестація комплексу T3I (далі — атестація) здійснюється за відповідними програмою i методиками випробувань.
На підставі результатів випробувань складається висновок щодо відповідності стану T3I, який забезпечується комплексом, вимогам нормативних документів з T3I.
Атестація може бути первинною, черговою та позачерговою.
Первинна атестація здійснюється після (або під час) приймання робіт із створення комплексу T3I.
Термін проведення чергової атестації визначається технічним пас портом на комплекс T3I або актом попередньої атестації.
Позачергову атестацію проводять у разі змін умов функціонування 0ІД, що призводять до змін загроз для інформації, та за висновками органів, які контролюють стан T3I.
Етапи атестації:
– визначення організації-виконавця атестації та оформлення відповідних організаційних документів;
– аналіз умов функціонування 0ІД, технічної документації на ком плекс T3I та розроблення й оформлення програми i методик атестації (ПМА);
– проведення випробувань відповідно до ПМА та оформлення протоколів випробувань i підсумкового документа – акта атестації.
Суб’єкти атестації:
– Департамент спеціальних телекомунікаційних систем та захисту інформації СБ України (далі – Департамент);
– організації-замовники атестації;
організації-виконавці атестації.
Департамент:
– організує розроблення та вдосконалення нормативних доку ментів з атестації;
– контролює виконання вимог щодо атестації та розглядає апеляції;
– узгоджує вибір організації-виконавця атестації, ПМА та результати атестації на особливо важливих 0ІД.
Витрати на проведення атестації включаються до кошторису на проектування, будівництво та експлуатацію (утримання) 0ІД.
Порядок організації та проведення атестації
Організація-замовник на засадах, передбачених законодавством щодо закупівель послуг за рахунок державних коштів, визначає організацію-виконавця атестації.
Організацією-виконавцем атестації може бути підприємство, установа чи організація, які мають відповідну ліцензію або дозвіл на провадження діяльності в галузі T3I, одержані у встановленому законо давством порядку.
Відносини між організацією-замовником та організацією-виконавцем, яка є ліцензіатом, регламентуються укладеним між ними договором.
У разі проведення атестації на особливо важливих 0ІД визначення організації-виконавця атестації узгоджується з Департаментом.
Організація-виконавець за результатами аналізу відомостей, наданих організацією-замовником, та, при необхідності, за результатами аналізу умов функціонування 0ІД i загроз для інформації безпосередньо на 0ІД, розробляє проект ПМА та подає його на узгодження організації-замовнику.
Узгоджений організацією-замовником проект ПМА затверджує організація-виконавець.
У разі атестації комплексу T3I на особливо важливих 0ІД проект ПМА узгоджується також з Департаментом.
Організація-замовник створює умови проведення атестації, передбачені договором та ПМА.
Організація-виконавець проводить випробування відповідно до ПМА та оформляє акт атестації у двох примірниках (1-й надається організації-замовнику, 2-й – зберігається в організації-виконавця).
До акту атестації додаються протоколи випробувань, передбачених ПМА.
За результатами атестації заповнюється технічний паспорт на ком плекс T3I.
У разі проведення атестації на особливо важливих 0ІД матеріали з атестації у п’ятиденний термін організація-виконавець надає Депар таменту. Департамент у двотижневий термін розглядає результати атестації, приймає рішення щодо можливості узгодження їх, реєструє акт атестації та надсилає його організації-замовнику, одночасно інформуючи про це організацію-виконавця.
Контроль функціонування та керування системою захисту інформації
Контроль функціонування системи T3I на об’єктах інформаційної діяльності підприємства здійснюється з метою визначення й удосконалення стану T3I в підрозділах підприємства, щодо яких здійснюється T3I, виявлення та запобігання порушенням з T3I в інформаційних системах та об’єктах.
Контроль стану T3I в підрозділах підприємства організується відповідно до планів, затверджених керівниками зазначених органів, шляхом проведення перевірок.
Перевірки стану T3I здійснюються безпосередньо комісіями, на які покладається забезпечення T3I.
Організація проведення перевірок стану T3I, заходи з T3I, які підлягають контролю, висновки та Рекомендації визначаються Положенням та іншими нормативно-правовими актами з питань T3I.
Контрольно-інспекційна робота з питань T3I включає планування та проведення перевірок стану T3I в підрозділах підприємства, щодо яких здійснюється T3I, проведення аналізу та надання рекомендацій щодо вдосконалення заходів з T3I.
Перевірки поділяються на комплексні, цільові (тематичні) та контрольні.
При комплексній перевірці вивчається та оцінюється стан T3I в підрозділах підприємства, щодо яких здійснюється T3I.
При цільовій (тематичній) перевірці вивчаються окремі напрямки T3I, перевіряється виконання рішень (розпоряджень, наказів, вказівок) органів державної влади з питань T3I в підрозділах, щодо яких здійснюється T3I, виконання завдань або провадження діяльності в галузі T3I за відповідними дозволами та ліцензіями суб’єктами системи T3I.
При контрольній перевірці перевіряється усунення недоліків, які були виявлені під час проведення попередньої комплексної або цільовoї перевірки.
Зазначені перевірки можуть бути планові та позапланові, з попередженням та раптові.
Позапланова перевірка здійснюється за вказівкою керівництва підприємства в разі виникнення потреби визначення повноти та достатності заходів з T3I за наявності відомостей щодо порушень виконання вимог нормативно-правових актів з питань T3I.
Перевірки здійснюються комісіями підприємства, на які покладено виконання завдань щодо здійснення контролю за функціонуванням системи T3I.
При проведенні перевірки стану T3I контролю підлягають організаційні, організаційно-технічні, технічні заходи з T3I у виділених приміщеннях, інформаційних системах i об’єктах, повнота та достатність робіт з атестації виділених приміщень.
Необхідно провести аналіз функціонування системи захисту інформації, перевірку виконання заходів T3I, контроль ефективності захис ту, підготувати та видати дані для керування системою захисту інформації.
Керування системою захисту інформації полягає в адаптації заходів T3I до поточного завдання захисту інформації. За фактами зміни умов здійснення або виявлення нових загроз заходи T3I реалізуються в найкоротший строк.
Контроль організаційних заходів з T3I в підрозділах підприємства включає перевірку:
– переліку відомостей, що підлягають технічному захисту;
– окремої моделі загроз для інформаційної системи або об’єкта;
– плану контрольованої зони органу, щодо якого здійснюється T3I;
– переліку виділених приміщень органу, щодо якого здійснюється T3I, інформаційних систем та об’єктів;
проведення категоріювання виділених приміщень та об’єктів.
Контроль організаційно-технічних i технічних заходів щодо T3I у виділених приміщеннях, інформаційних системах та об’єктах, повноти та достатності робіт з атестації виділених приміщень включає перевірку відповідності виконання цих заходів до нормативно-правових актів з питань T3I.
Організаційно-технічні й технічні заходи з T3I у виділених приміщеннях, інформаційних системах та об’єктах, роботи з атестації виділених приміщень виконуються власними силами або суб’єктами підприємницької діяльності в галузі T3I.
За результатами комплексної перевірки комісією складається акт перевірки стану та ефективності заходів з технічного захисту інформації, а цільової та контрольної перевірки – довідка за довільною формою. Ознайомлення керівника суб’єкта системи T3I з актом (довідкою) здійснюється під розпис.
Керівник підрозділу зобов’язаний ужити невідкладні заходи щодо усунення недоліків i реалізації пропозицій комісії відповідно до вимог нормативно-правових актів з питань T3I.
Порушення встановлених норм та вимог з T3I, виявлені під час проведення перевірок, поділяються на три категорії:
– перша – невиконання норм та вимог з T3I, внаслідок якого створюється реальна можливість порушення конфіденційності, цілісності й доступності інформації або IT витоку технічними каналами;
– друга – невиконання норм та вимог з T3I, внаслідок якого створюються передумови для порушення конфіденційності, цілісності i доступності інформації або її витоку технічними каналами;
– третя – невиконання інших вимог з T3I.
У разі виявлення порушення першої категорії застосовують такі заходи:
– голова комісії негайно доповідає керівництву підприємства для прийняття рішення про припинення робіт, які проводились з порушенням норм i вимог T3I, та про факт порушення;
– здійснюються заходи з усунення порушень у терміни, погоджені з підрозділом, на який покладено забезпечення T3I;
– організовується в установленому порядку розслідування причин, які призвели до порушень, з метою недопущення їх у подальшому i притягнення осіб, які припустили порушення нормативно-правових актів з питань T3I, до відповідальності згідно із законодавством України;
– дозвіл на відновлення робіт, під час виконання яких були виявлені порушення норм i вимог T3I першої категорії, дає керівник підприємства за погодженням з підрозділом, на який покладено забезпечення T3I після усунення порушень i перевірки достатності й ефективності вжитих заходів з T3I.
Керівництво підприємства зобов’язане надавати комісії повну інформацію стосовно впроваджених заходів з T3I та сприяти прове денню перевірки їх.
ЗАКОН УКРАЇНИ
Про електронний цифровий підпис
Цей Закон визначає правовий статус електронного цифрового підпису та регулює відносини, що виникають при використанні електронного цифрового підпису.
Дія цього Закону не поширюється на відносини, що виникають під час використання інших видів електронного підпису, в тому числі переведеного у цифрову форму зображення власноручного підпису.
Якщо міжнародним договором, згода на обов’язковість якого надана Верховною Радою України, встановлено інші правила, ніж ті, що передбачені цим Законом, застосовуються правила міжнародного договору.
Стаття 1. Визначення термінів
У цьому Законі терміни вживаються у такому значенні:
електронний підпис — дані в електронній формі, які додаються до інших електронних даних або логічно з ними пов’язані та призначені для ідентифікації підписувача цих даних;
електронний цифровий підпис — вид електронного підпису, отриманого за результатом криптографічного перетворення набору електронних даних, який додається до цього набору або логічно з ним поєднується і дає змогу підтвердити його цілісність та ідентифікувати підписувача. Електронний цифровий підпис накладається за допомогою особистого ключа та перевіряється за допомогою відкритого ключа;
засіб електронного цифрового підпису — програмний засіб, програмно-апаратний або апаратний пристрій, призначені для генерації ключів, накладення та/або перевірки електронного цифрового підпису;
особистий ключ — параметр криптографічного алгоритму формування електронного цифрового підпису, доступний тільки підписувачу;
відкритий ключ — параметр криптографічного алгоритму перевірки електронного цифрового підпису, доступний суб’єктам відносин у сфері використання електронного цифрового підпису;
засвідчення чинності відкритого ключа — процедура формування сертифіката відкритого ключа;
сертифікат відкритого ключа (далі — сертифікат ключа) -
документ, виданий центром сертифікації ключів, який засвідчує чинність і належність відкритого ключа підписувачу. Сертифікати ключів можуть розповсюджуватися в електронній формі або у формі документа на папері та використовуватися для ідентифікації особи підписувача;
посилений сертифікат відкритого ключа (далі — посилений сертифікат ключа) — сертифікат ключа, який відповідає вимогам цього Закону, виданий акредитованим центром сертифікації ключів, засвідчувальним центром, центральним засвідчувальним органом;
акредитація — процедура документального засвідчення компетентності центра сертифікації ключів здійснювати діяльність, пов’язану з обслуговуванням посилених сертифікатів ключів;
компрометація особистого ключа — будь-яка подія та/або дія, що призвела або може призвести до несанкціонованого використання особистого ключа;
блокування сертифіката ключа — тимчасове зупинення чинності сертифіката ключа;
підписувач — особа, яка на законних підставах володіє особистим ключем та від свого імені або за дорученням особи, яку вона представляє, накладає електронний цифровий підпис під час створення електронного документа;
послуги електронного цифрового підпису — надання у користування засобів електронного цифрового підпису, допомога при генерації відкритих та особистих ключів, обслуговування сертифікатів ключів (формування, розповсюдження, скасування, зберігання, блокування та поновлення), надання інформації щодо чинних, скасованих і блокованих сертифікатів ключів, послуги фіксування часу, консультації та інші послуги, визначені цим Законом;
надійний засіб електронного цифрового підпису — засіб електронного цифрового підпису, що має сертифікат відповідності або позитивний експертний висновок за результатами державної експертизи у сфері криптографічного захисту інформації. Підтвердження відповідності та проведення державної експертизи цих засобів здійснюється у порядку, визначеному законодавством.
Стаття 2. Суб’єкти правових відносин у сфері послуг електронного цифрового підпису
Суб’єктами правових відносин у сфері послуг електронного цифрового підпису є:
підписувач;
користувач;
центр сертифікації ключів;
акредитований центр сертифікації ключів;
центральний засвідчувальний орган;
засвідчувальний центр органу виконавчої влади або іншого державного органу (далі — засвідчувальний центр);
контролюючий орган.
Стаття 3. Правовий статус електронного цифрового підпису
Електронний цифровий підпис за правовим статусом прирівнюється до власноручного підпису (печатки) у разі, якщо:
електронний цифровий підпис підтверджено з використанням посиленого сертифіката ключа за допомогою надійних засобів цифрового підпису;
під час перевірки використовувався посилений сертифікат ключа, чинний на момент накладення електронного цифрового підпису;
особистий ключ підписувача відповідає відкритому ключу, зазначеному у сертифікаті.
Електронний підпис не може бути визнаний недійсним лише через те, що він має електронну форму або не грунтується на посиленому сертифікаті ключа.
Стаття 4. Призначення електронного цифрового підпису
Електронний цифровий підпис призначений для забезпечення діяльності фізичних та юридичних осіб, яка здійснюється з використанням електронних документів.
Електронний цифровий підпис використовується фізичними та юридичними особами — суб’єктами електронного документообігу для ідентифікації підписувача та підтвердження цілісності даних в електронній формі.
Використання електронного цифрового підпису не змінює порядку підписання договорів та інших документів, встановленого законом для вчинення правочинів у письмовій формі.
Нотаріальні дії із засвідчення справжності електронного цифрового підпису на електронних документах вчиняються відповідно до порядку, встановленого законом.
Стаття 5. Особливості застосування електронного цифрового підпису
Органи державної влади, органи місцевого самоврядування, підприємства, установи та організації державної форми власності для засвідчення чинності відкритого ключа використовують лише посилений сертифікат ключа.
Інші юридичні та фізичні особи можуть на договірних засадах засвідчувати чинність відкритого ключа сертифікатом ключа, сформованим центром сертифікації ключів, а також використовувати електронний цифровий підпис без сертифіката ключа.
Розподіл ризиків збитків, що можуть бути заподіяні підписувачам, користувачам та третім особам, які користуються електронними цифровими підписами без сертифіката ключа, визначається суб’єктами правових відносин у сфері послуг електронного цифрового підпису на договірних засадах.
Захист прав споживачів послуг електронного цифрового підпису, а також механізм реалізації захисту цих прав регулюються цим Законом та Законом України “Про захист прав споживачів”.
У випадках, коли відповідно до законодавства необхідне засвідчення дійсності підпису на документах та відповідності копій документів оригіналам печаткою, на електронний документ накладається ще один електронний цифровий підпис юридичної особи, спеціально призначений для таких цілей.
Порядок застосування електронного цифрового підпису органами державної влади, органами місцевого самоврядування, підприємствами, установами та організаціями державної форми власності визначається Кабінетом Міністрів України.
Порядок застосування цифрового підпису в банківській діяльності визначається Національним банком України.
Стаття 6. Вимоги до сертифіката ключа
Сертифікат ключа містить такі обов’язкові дані:
найменування та реквізити центру сертифікації ключів (центрального засвідчувального органу, засвідчувального центру);
зазначення, що сертифікат виданий в Україні;
унікальний реєстраційний номер сертифіката ключа;
основні дані (реквізити) підписувача — власника особистого ключа;
дату і час початку та закінчення строку чинності сертифіката;
відкритий ключ;
найменування криптографічного алгоритму, що використовується власником особистого ключа;
інформацію про обмеження використання підпису.
Посилений сертифікат ключа, крім обов’язкових даних, які містяться в сертифікаті ключа, повинен мати ознаку посиленого сертифіката ключа.
Інші дані можуть вноситися у посилений сертифікат ключа на вимогу його власника.
Стаття 7. Права та обов’язки підписувача
Підписувач має право:
вимагати скасування, блокування або поновлення свого сертифіката ключа;
оскаржити дії чи бездіяльність центру сертифікації ключів у судовому порядку.
Підписувач зобов’язаний:
зберігати особистий ключ у таємниці;
надавати центру сертифікації ключів дані згідно з вимогами статті 6 цього Закону для засвідчення чинності відкритого ключа;
своєчасно надавати центру сертифікації ключів інформацію про зміну даних, відображених у сертифікаті ключа.
Стаття 8. Центр сертифікації ключів
Центром сертифікації ключів може бути юридична особа незалежно від форми власності або фізична особа, яка є суб’єктом підприємницької діяльності, що надає послуги електронного цифрового підпису та засвідчила свій відкритий ключ у центральному засвідчувальному органі або засвідчувальному центрі з дотриманням вимог статті 6 цього Закону.
Обслуговування фізичних та юридичних осіб здійснюється центром сертифікації ключів на договірних засадах.
Центр сертифікації ключів має право:
надавати послуги електронного цифрового підпису та обслуговувати сертифікати ключів;
отримувати та перевіряти інформацію, необхідну для реєстрації підписувача і формування сертифіката ключа безпосередньо у юридичної або фізичної особи чи у її уповноваженого представника.
Центр сертифікації ключів зобов’язаний:
забезпечувати захист інформації в автоматизованих системах відповідно до законодавства;
забезпечувати захист персональних даних, отриманих від підписувача, згідно з законодавством;
встановлювати під час формування сертифіката ключа належність відкритого ключа та відповідного особистого ключа підписувачу;
своєчасно скасовувати, блокувати та поновлювати сертифікати ключів у випадках, передбачених цим Законом;
своєчасно попереджувати підписувача та додавати в сертифікат відкритого ключа підписувача інформацію про обмеження використання електронного цифрового підпису, які встановлюються для забезпечення можливості відшкодування збитків сторін у разі заподіяння шкоди з боку центру сертифікації ключів;
перевіряти законність звернень про скасування, блокування та поновлення сертифікатів ключів та зберігати документи, на підставі яких були скасовані, блоковані та поновлені сертифікати ключів;
цілодобово приймати заяви про скасування, блокування та поновлення сертифікатів ключів;
вести електронний перелік чинних, скасованих і блокованих сертифікатів ключів;
забезпечувати цілодобово доступ користувачів до сертифікатів ключів та відповідних електронних переліків сертифікатів через загальнодоступні телекомунікаційні канали;
забезпечувати зберігання сформованих сертифікатів ключів протягом строку, передбаченого законодавством для зберігання відповідних документів на папері;
надавати консультації з питань, пов’язаних з електронним цифровим підписом.
Зберігання особистих ключів підписувачів та ознайомлення з ними в центрі сертифікації ключів забороняються.
Стаття 9. Акредитований центр сертифікації ключів
Центр сертифікації ключів, акредитований в установленому порядку, є акредитованим центром сертифікації ключів.
Акредитований центр сертифікації ключів має право:
надавати послуги електронного цифрового підпису та обслуговувати виключно посилені сертифікати ключів;
отримувати та перевіряти інформацію, необхідну для реєстрації підписувача і формування посиленого сертифіката ключа, безпосередньо у юридичної або фізичної особи чи її представника.
Акредитований центр сертифікації ключів має виконувати усі зобов’язання та вимоги, встановлені законодавством для центру сертифікації ключів, та додатково зобов’язаний використовувати дл...
16.03.2013 23:03-
Ділись своїми роботами та отримуй миттєві бонуси!
0%
Оголошення від адміністратора