Главная страница
Навигация по странице:

  • Державна система правового забезпечення захисту інформації в інформаційних системах

  • Послідовність команд

  • Творча активність

  • Відбір та поєднання елементів

  • Оригінальність програми

    		•

    Барасюк Я. М


    Скачать 3.63 Mb.
    НазваниеБарасюк Я. М
    АнкорISTE.doc
    Дата06.06.2018
    Размер3.63 Mb.
    Формат файлаdoc
    Имя файлаISTE.doc
    ТипДокументы
    #20035
    страница43 из 44
    1   ...   36   37   38   39   40   41   42   43   44

    5.3.3. Державна політика у сфері безпеки інформаційних ресурсів


    Зростання децентралізації та розподіленої обробки даних, які все більше проявляються останнім часом, висунуло проблеми забезпечення безпеки інформації до числа найважливіших для національної економіки. Розв’язання проблеми забезпечення інформаційної безпеки передбачає комплекс заходів і, в першу чергу, такі дії держави, як розробка системи класифікації та документування інформації і способів захисту, регулювання доступу до даних та встановлення відповідальності за порушення інформаційної безпеки.

    Державна політика у сфері формування інформаційних ресурсів повинна бути направлена на створення умов для ефективного і якісного інформаційного забезпечення розв’язання стратегічних і оперативних задач соціального і економічного розвитку країни. Головними напрямками державної політики у сфері інформатизації є [169]:

    • забезпечення умов для розвитку і захисту усіх форм власності на інформаційні ресурси;

    • формування та захист державних інформаційних ресурсів;

    • створення та розвиток державних і регіональних інформаційних систем і мереж, забезпечення їх сумісності та взаємодії в єдиному інформаційному просторі;

    • створення умов для якісного і ефективного інформаційного забезпечення громадян, органів державної влади, організацій та громадських об’єднань на основі державних інформаційних ресурсів;

    • забезпечення національної безпеки у сфері інформатизації, а також забезпечення реалізації прав громадян та організацій в умовах інформатизації;

    • сприяння формуванню ринку інформаційних ресурсів, послуг, інформаційних систем, технологій, засобів їх забезпечення;

    • формування та здійснення єдиної науково-технічної та промислової політики у сфері інформатизації з врахуванням сучасного світового рівня розвитку інформаційних технологій;

    • підтримка проектів та програм інформатизації;

    • створення та удосконалення системи залучення інвестицій та механізму стимулювання розробки і реалізації проектів інформатизації;

    • розвиток законодавства у сфері інформаційних процесів, інформатизації та захисту інформації.

    Обов’язковою умовою включення інформації до інформаційних ресурсів є документування інформації. Документування здійснюється у порядку, який встановлюється органами державної влади, відповідальними за організацію діловодства, стандартизацію документів та їх масивів.

    Документ, отриманий із інформаційної системи, набуває юридичної сили після його підписання посадовою особою в порядку, встановленому законом. Юридична сила документу, який зберігається, обробляється та передається за допомогою автоматизованих інформаційних та телекомунікаційних систем, може підтверджуватися електронним цифровим підписом. Юридична сила електронного цифрового підпису визнається за наявності у інформаційній системі програмно-технічних засобів, що забезпечують ідентифікацію підпису, та дотримання встановленого режиму їх використання [170]. Право посвідчувати ідентичність електронного цифрового підпису здійснюється на основі ліцензії.

    Інформаційні ресурси можуть бути державними і недержавними, і як елемент складу майна можуть бути у власності громадян, органів влади, організацій та громадських об’єднань. Відношення з приводу права власності на інформаційні ресурси регулюється відповідним цивільним законодавством [171]. Фізичні та юридичні особи є власниками тих документів, масивів документів, які створені на їх кошти, куплені ними на законних засадах, отримані шляхом дарування чи спадкування.

    Держава має право викупу документованої інформації у фізичних та юридичних осіб у випадку віднесення цієї інформації до державної таємниці [Error: Reference source not found]. Власник інформаційних ресурсів, які містять відомості, віднесені до державної таємниці, має право розпоряджатися цією власністю тільки з дозволу відповідних органів державної влади. Суб’єкти, які надають в обов’язковому порядку документовану інформацію до органів державної влади не втрачають своїх прав на ці документи та на використання інформації, що міститься у них. Документована інформація, яка надається в обов’язковому порядку до органів державної влади та організації юридичними і фізичними особами формує інформаційні ресурси, що перебувають у спільному володінні держави та суб’єктів, що надають цю інформацію.

    Інформаційні ресурси можуть бути товаром, за виключенням випадків, передбачених відповідним законодавством [Error: Reference source not found]. Право власності на засоби обробки інформації не створює права власності на інформаційні ресурси, що належать іншим власникам. Документи, що обробляються в порядку надання послуг чи при спільному використанні цих засобів обробки, належать їх власнику. Належність і режим похідної продукції, що створюється в цьому випадку, регулюється договором.

    Формування державних інформаційних ресурсів здійснюється громадянами, органами державної влади, органами місцевого самоуправління, організаціями та громадськими об’єднаннями. Документи, що належать фізичним і юридичним особам, можуть бути включені за бажанням власника до складу державних інформаційних ресурсів за правилами, встановленими для включення документів до відповідних інформаційних систем. Державні інформаційні ресурси є відкритими і загальнодоступними. Виключення складає документована інформація, віднесена законом до категорії обмеженого доступу. Документована інформація з обмеженим доступом за умовами її правового режиму поділяється на інформацію, віднесену до державної таємниці та конфіденційну інформацію.

    Персональні дані відносяться до категорії конфіденційної інформації [Error: Reference source not found]. Не допускається збирання, зберігання та розповсюдження інформації про приватне життя, а також інформації, яка порушує особисту чи сімейну таємницю, таємницю переписки, телефонних переговорів, поштових, телеграфних та інших повідомлень особи без її згоди, за виключенням випадку наявності рішення суду. Персональні дані не можуть бути використані з метою нанесення майнової та моральної шкоди громадянам, ускладнення реалізації їх прав та свобод. Обмеження прав громадян на основі використання інформації про їх соціальне походження, расову, національну, мовну, релігійну та партійну належність заборонено і карається відповідно до закону.

    Юридичні та фізичні особи, які, відповідно до своїх повноважень, володіють інформацією про громадян, отримують та використовують її, відповідно до закону несуть відповідальність за порушення режиму захисту, обробки і порядку використання цієї інформації. При вирішенні правових питань у процесі впровадження сучасних інформаційних технологій не можна забувати про можливі порушення законних прав та інтересів громадян шляхом недобросовісної поведінки користувачів таких систем, наприклад при несанкціонованому використанні інформації чи її зумисному спотворенні.

    Розуміється, що тенденція до розширення числа видів інформації про особу, які накопичуються у банках даних, носить об’єктивний характер і зумовлена зростанням ролі інформації у вирішенні масштабних виробничих та соціально-культурних задач. Проте очевидно, що об’єм зібраних даних повинен бути обмеженим, по-перше, тільки найнеобхіднішими відомостями і, по-друге, реальна можливість нанесення шкоди законним інтересам громадян, про яких збирається така інформація, повинна виключати збирання такої інформації. Адже поява великих електронних інформаційних систем, що накопичують великі масиви відомостей такого типу, дозволяє створювати образ людини і розробляти відповідну систему контролю за нею. У результаті ставиться під сумнів принцип „презумпції невинності“, оскільки людина, за якою ведеться спостереження незаконно, без її відома, потрапляє в становище підозрюваного чи навіть звинувачуваного.

    У плані взаємозв’язку забезпечення і законності реалізації прав і свобод громадян прийнято закони [Error: Reference source not found,172], які дозволяють громадянам, засобам масової інформації та приватним організаціям знайомитися з інформацією урядових закладів. Право громадян затребувати інформацію стосується документації усіх органів влади: міністерств, адміністративних та військових відомств, державних підприємств та інших закладів. Під дію цих законів не підпадає документація, що відноситься до державної таємниці [Error: Reference source not found]. У тих випадках, коли використання інформації може потягнути позбавлення громадянина прав, пільг та привілеїв заклад повинен по можливості отримувати інформацію безпосередньо від особи.

    Користувачі – громадяни, органи державної влади, органи місцевого самоуправління, організації та громадські об’єднання – мають рівні права на доступ до державних інформаційних ресурсів і не зобов’язані обґрунтовувати перед власником цих ресурсів необхідність отримання цієї інформації. Виключення складає інформація з обмеженим доступом. Доступ фізичних і юридичних осіб до державних інформаційних ресурсів є основою здійснення громадського контролю за діяльністю органів державної влади, органів місцевого самоуправління, громадських, політичних чи інших організацій, а також за станом економіки, екології та інших сфер громадського життя.

    Інформація, отримана на законних підставах із державних інформаційних ресурсів громадянами і організаціями, може бути ними використана для створення довільної інформації з метою її комерційного розповсюдження з обов’язковим посиланням на джерело інформації. Джерелом прибутку в цьому випадку є результат праці та вкладених засобів при створенні довільної інформації, але джерелом прибутку при цьому не може бути вихідна інформація.

    Порядок накопичення і обробки документованої інформації з обмеженим доступом, правила її захисту і порядок доступу до неї визначається органами державної влади, відповідальними за певні масиви та види інформації, відповідно до їх компетенції, або безпосередньо її власником, відповідно до законодавства.

    Громадяни та організації мають право на доступ до документованої інформації про них, на уточнення цієї інформації з метою забезпечення її повноти та достовірності, мають право знати хто і з якою метою використовує чи використовував цю інформацію. Обмеження доступу громадян та організацій до інформації про них допустиме тільки у випадках, передбачених законом [Error: Reference source not found,Error: Reference source not found]. Власник інформаційних ресурсів зобов’язаний забезпечити дотримання режиму обробки та правил надання інформації користувачу, встановлених законодавством, чи власником цих інформаційних ресурсів, відповідно до законодавства. Власник інформаційних ресурсів несе юридичну відповідальність за порушення правил роботи з інформацією в порядку, передбаченому відповідним законодавством.

    Усі види виробництва інформаційних систем, технологій та засобів їх забезпечення складають спеціальну галузь економічної діяльності. Державні і недержавні організації та громадяни мають рівні права на розробку і виробництво інформаційних систем, технологій та засобів їх забезпечення. Інформаційні системи, технології і засоби їх забезпечення можуть бути об’єктами власності фізичних і юридичних осіб та держави. Власником інформаційної системи, технології та засобів їх забезпечення визнається фізична чи юридична особа, на кошти якої ці об’єкти виготовлені, придбані чи отримані в порядку наслідування, дарування чи іншим законним способом. Інформаційні системи, технології та засоби їх забезпечення виступають у якості товару (продукції) при дотриманні виключних прав їх розробників, а їх власник визначає умови їх розповсюдження.

    Право авторства і право власності на інформаційні системи, технології та засоби їх забезпечення можуть належати різним особам. Власник інформаційної системи, технології та засобів їх забезпечення зобов’язаний захищати права їх автора відповідно до законодавства.

    Інформаційні системи, бази і банки даних, призначені для інформаційного обслуговування громадян і організацій необхідно сертифікувати у встановленому порядку. Організації, що виконують роботи в області проектування, виробництва засобів захисту та обробки персональних даних, отримують ліцензії на цей вид діяльності. Порядок ліцензування визначається відповідним законодавством [173].

    5.3.4. Правовий захист інформації в інформаційних системах


    Сам по собі факт призначення обчислювальної системи для широкого кола користувачів створює певний ризик у плані безпеки, оскільки не всі клієнти будуть виконувати вимоги з її забезпечення. Порядок зберігання носіїв інформації повинен бути чітко визначеним у відповідному правовому акті і передбачати збережуваність носіїв інформації, контроль за роботою з інформацією, відповідальність за несанкціонований доступ до носіїв інформації з метою зняття з них копій, зміни чи пошкодження.

    В інформаційних системах є можливість приховано отримати доступ до інформаційних архівів, що концентруються в одному місці у великих об’ємах. Крім того, з’явилася можливість дистанційного отримання інформації. Тому для захисту інформації використовуються принципово нові методи та засоби, розроблені із врахуванням цінності інформації, умов роботи, технічних та програмних можливостей ЕОМ та інших засобів збирання, передачі та обробки даних. Особливі захисні міри необхідні у випадках, коли ресурси ЕОМ використовуються кількома користувачами в багатопрограмному режимі та режимі розділення часу. Тут виникає ряд правових проблем, пов’язаних з масивами інформації, які представляють собою суспільну та національну цінність, а їх зміст – національну таємницю. Використання такої інформації не за призначенням може привести до значних збитків як суспільству в цілому, так і окремій особі.

    Окремо слід звернути увагу на правові аспекти захисту інформації, які можуть виникнути при недостатньо продуманому чи зловмисному використанні електронно-обчислювальної техніки. До них відносяться:

    1. Правові питання захисту масивів інформації від спотворень та встановлення юридичної відповідальності за порушення збереженості інформації.

    2. Юридичні та технічні питання захисту інформації від несанкціонованого доступу до неї, які виключають можливість неправомірного її використання.

    3. Встановлення юридично закріплених норм та методів захисту авторських прав та пріоритетів розробників програмного продукту.

    4. Розробка заходів з надання юридичної сили електронним документам та засобів, які перешкоджають фальсифікації таких документів.

    5. Правовий захист інтересів експертів, які передають свої знання до фондів банків даних.

    6. Встановлення правових норм та юридичної відповідальності за використання електронно-обчислювальних засобів в особистих цілях, що суперечать інтересам інших осіб та суспільства і можуть завдати їм шкоду

    Відсутність належної реєстрації та контролю робіт, низька трудова і виробнича дисципліна персоналу, доступ посторонніх осіб до обчислювальних ресурсів створюють умови для зловживань і ускладнюють їх виявлення. У кожному обчислювальному центрі прийнято встановлювати та строго дотримуватися регламенту доступу в різні службові приміщення для різних категорій співробітників. Ступінь захисту інформації від неправомірного доступу та протизаконних дій залежить від якості розробки організаційних заходів, направлених на унеможливлення [174,175]:

    • доступу сторонніх до апаратури обробки інформації;

    • безконтрольного виносу персоналом різноманітних носіїв інформації;

    • несанкціонованого введення даних в пам’ять, зміни чи витирання інформації, що зберігається в пам’яті;

    • незаконного користування системами обробки інформації та отриманими даними;

    • доступу до систем обробки інформації з використанням саморобних пристроїв;

    • несанкціонована передача даних по каналах зв’язку із інформаційно-обчислювального центру;

    • безконтрольне введення даних в систему;

    • обробка даних без відповідної вимоги замовника;

    • несанкціоноване зчитування, зміна чи знищення даних в процесі їх передачі чи транспортування носіїв інформації.

    Метою захисту інформації є [Error: Reference source not found]:

    • запобігання витоку, викраденню, втраті, спотворенню, підробці інформації;

    • запобігання загрозам безпеки особи, суспільства, держави;

    • запобігання несанкціонованим діям по знищенню, модифікації, спотворенню, копіюванню, блокуванню інформації;

    • запобігання іншим формам незаконного втручання в інформаційні ресурси та інформаційні системи;

    • забезпечення правового режиму документованої інформації, як об’єкта власності;

    • захист конституційних прав громадян на зберігання особистої таємниці та конфіденційності персональних даних, доступних в інформаційних системах;

    • зберігання державної таємниці, конфіденційності документованої інформації відповідно до законодавства;

    • гарантування прав суб’єктів в інформаційних процесах та при розробці, виробництві і використанні інформаційних систем, технологій та засобів їх забезпечення.

    Захисту підлягає будь-яка документована інформація, неправомірне використання якої може нанести збитки її власнику, користувачу чи іншій особі. Контроль за дотриманням вимог до захисту інформації та експлуатації спеціальних програмно-технічних засобів захисту, а також забезпечення організаційних мір захисту інформаційних систем, що обробляють інформацію з обмеженим доступом в недержавних структурах, здійснюється органами державної влади. Організації, що працюють з інформацією з обмеженим доступом, яка є власністю держави, створюють спеціальні служби, які забезпечують захист інформації.

    Власник документу, масиву документів, інформаційних систем забезпечує рівень захисту інформації відповідно до законодавства. Власник інформаційних ресурсів чи уповноважені ним особи мають право здійснювати контроль за виконанням вимог із захисту інформації та забороняти чи призупиняти обробку інформації у випадку невиконання цих вимог. Власник документованої інформації має право звертатися до органів державної влади для оцінки правильності виконання норм і вимог із захисту його інформації в інформаційних системах. Власник інформаційних ресурсів чи уповноважені ним особи відповідно до закону встановлюють порядок надання користувачу інформації із вказуванням місця, часу, відповідальних посадових осіб а також необхідних процедур і забезпечують необхідні умови доступу користувачів до інформації.

    Ризик, пов’язаний із використанням не сертифікованих інформаційних систем і засобів їх забезпечення лежить на власнику цих систем і засобів. Ризик, пов’язаний з використанням інформації, отриманої із не сертифікованої системи, лежить на споживачі інформації.

    Відповідальність за порушення міжнародних норм і правил в галузі формування та використання інформаційних ресурсів, створення та використання інформаційних систем, технологій та засобів їх забезпечення покладається на органи державної влади, організації і на громадян відповідно до договорів, укладених ними із закордонними фірмами та іншими партнерами із врахуванням міжнародних договорів.

    Відмова в доступі до відкритої інформації чи надання користувачам завідомо недостовірної інформації можуть бути оскаржені в судовому порядку. Керівники та співробітники органів державної влади і організацій, винні у незаконному обмеженні доступу до інформації та порушенні режиму захисту інформації, несуть відповідальність відповідно до чинного кримінального, адміністративного та цивільного законодавства.

    Державна система правового забезпечення захисту інформації в інформаційних системах. Другою функцією організаційно-правового забезпечення інформаційної безпеки є визначення системи органів та посадових осіб, відповідальних за забезпечення інформаційної безпеки в країні. Основою для створення державної системи організаційно-правового забезпечення захисту інформації є створювана в даний час державна система захисту інформації, під якою розуміється сукупність державних та інших органів управління і взаємозв’язаних правових, організаційних та технічних заходів, здійснюваних на різних рівнях управління та реалізації інформаційних відношень і направлених на забезпечення безпеки інформаційних ресурсів.

    Під інформаційною безпекою України розуміється стан захищеності її національних інтересів в інформаційній сфері, який визначається сукупністю збалансованих інтересів особи, суспільства та держави.

    Нагадаємо зміст інтересів особи, суспільства та держави в інформаційній сфері. Інтереси особи в інформаційній сфері полягають у реалізації конституційних прав людини на доступ до інформації, на використання інформації в інтересах здійснення не забороненої законом діяльності, фізичного, духовного та інтелектуального розвитку, а також у захисті інформації, що забезпечує особисту безпеку.

    Інтереси суспільства в інформаційній сфері полягають у забезпеченні інтересів особи в цій сфері, укріпленні демократії, створенні правової соціальної держави, досягненні та підтримці суспільної згоди, в духовному оновленні України.

    Інтереси держави в інформаційній сфері полягають у створенні умов для гармонійного розвитку української інформаційної інфраструктури, для реалізації конституційних прав людини в області отримання інформації та користування нею в цілях забезпечення непорушності конституційного ладу, суверенітету та територіальної цілісності України, політичної, економічної та соціальної стабільності, в безумовному забезпеченні законності та правопорядку, розвитку рівноправного та взаємовигідного міжнародного співробітництва. На основі національних інтересів України в інформаційній сфері формуються стратегічні та поточні задачі внутрішньої та зовнішньої політики держави із забезпечення інформаційної безпеки.

    Проаналізуємо компетенцію органів державної влади, органів місцевого самоврядування та їх посадових осіб у сфері державної таємниці та інформаційної безпеки, яка регулюється Законом України „Про державну таємницю“ №3855-XII від 21 січня 1994 року [Error: Reference source not found] (останні зміни до цього Закону датовані 21 травня 2008 року). Президент України, забезпечуючи національну безпеку, видає укази та розпорядження з питань охорони державної таємниці, віднесених до його повноважень. Рада Національної безпеки і оборони України координує та контролює діяльність органів виконавчої влади у сфері охорони державної таємниці. Кабінет Міністрів України спрямовує та координує діяльність органів виконавчої влади у сфері охорони державної таємниці. Центральні та місцеві органи виконавчої влади, Рада міністрів Автономної Республіки Крим та органи місцевого самоврядування здійснюють державну політику у сфері охорони державної таємниці в межах своїх повноважень. Спеціально уповноваженим органом державної влади у сфері забезпечення охорони державної таємниці є Служба безпеки України. Забезпечення охорони державної таємниці відповідно до вимог режиму секретності в органах державної влади, органах місцевого самоврядування, на підприємствах, в установах і організаціях, діяльність яких пов’язана з державною таємницею, покладається на керівників зазначених органів, підприємств, установ і організацій.

    Служба безпеки України координує роботу із [Error: Reference source not found]:

    1. забезпечення безпеки інформації в системах інформаційної та телекомунікаційної інфраструктури, які мають значний вплив на безпеку держави в інформаційній сфері;

    2. протидії іноземним технічним розвідкам на території України;

    3. забезпечення захисту (некриптографічними методами) інформації, що містить відомості, які віднесені до державної таємниці, іншої інформації з обмеженим доступом, запобігання витіканню інформації по технічним каналам, несанкціонованого доступу до неї, спеціальних впливів на інформацію (носії інформації) з метою її зчитування, знищення, спотворення та блокування доступу до неї на території України;

    4. захисту інформації при розробці, виробництві, експлуатації та утилізації неінформаційних випромінюючих комплексів, систем та пристроїв.

    Основними задачами в галузі забезпечення інформаційної безпеки для Служби безпеки України є [Error: Reference source not found]:

    1. реалізація у межах своєї компетенції державної політики в галузі забезпечення безпеки інформації в ключових системах інформаційної інфраструктури, протидія технічним розвідкам та технічний захист інформації;

    2. здійснення державної науково-технічної політики в галузі захисту інформації при розробці, виробництві, експлуатації та утилізації інформаційних випромінюючих комплексів, систем та пристроїв;

    3. організація діяльності державної системи протидії технічним розвідкам та технічного захисту інформації на державному, міжрегіональному, регіональному, галузевому та об’єктовому рівнях;

    4. забезпечення в межах своєї компетенції безпеки інформації в ключових системах інформаційної інфраструктури, протидія технічним розвідкам та технічний захист інформації в органах державної влади, органах місцевого самоуправління та організаціях;

    5. прогнозування розвитку сил, засобів та можливостей технічних розвідок, виявлення загроз безпеці інформації;

    6. протидія добуванню інформації технічними розвідувальними засобами, технічний захист інформації;

    7. здійснення координації діяльності державних органів виконавчої влади та організацій з державного регулювання розміщення та використання іноземних технічних засобів спостереження та контролю в ході реалізації міждержавних угод, інших програм та проектів на території України.

    Інші органи державного управління в межах своєї компетенції [Error: Reference source not found]:

    1. визначають перелік відомостей, що підлягають охороні;

    2. забезпечують розробку та здійснення технічних мір із захисту інформації на підвідомчих підприємствах;

    3. організовують та координують проведення досліджень в галузі захисту інформації відповідно до державних програм;

    4. розробляють галузеві документи з захисту інформації;

    5. контролюють виконання на галузевих підприємствах встановлених норм та вимог із захисту інформації;

    6. створюють галузеві центри з захисту інформації та контролю ефективності вжитих заходів;

    7. організовують підготовку та підвищення кваліфікації фахівців із захисту інформації.

    Для забезпечення виконання вказаних функцій до складу органів державного управління включаються науково-технічні підрозділи захисту інформації та контролю. На підприємствах, що виконують оборонні та інші секретні роботи, функціонують науково-технічні підрозділи захисту інформації та контролю, що контролюють діяльність в цьому напрямку наукових та виробничих структурних підрозділів підприємства, приймають участь в розробці і реалізації заходів із захисту інформації, здійснюють контроль ефективності цих заходів.

    Крім того, в галузях промисловості та в регіонах країни створюються і функціонують ліцензійні центри, що здійснюють реалізацію і контроль за ліцензійною діяльністю в галузі надання послуг із захисту інформації, органи по сертифікації засобів обчислювальної техніки та засобів зв’язку, випробовувальні центри по сертифікації конкретних видів продукції на предмет безпеки інформації, органи з атестації об’єктів інформатики.

    Державна система забезпечення інформаційної безпеки призначена для розв’язання наступних проблем, що вимагають законодавчої підтримки:

    1. захист персональних даних;

    2. боротьба з комп’ютерною злочинністю, насамперед у фінансовій сфері;

    3. захист комерційної таємниці та забезпечення сприятливих умов для підприємницької діяльності;

    4. захист державних секретів;

    5. створення системи взаємних фінансових розрахунків в електронній формі з елементами цифрового підпису;

    6. забезпечення безпеки автоматизованих та автоматичних систем управління потенційно небезпечних виробництв;

    7. страхування інформації та інформаційних систем;

    8. сертифікація та ліцензування в галузі безпеки, контроль безпеки інформаційних систем;

    9. організація взаємодії у сфері захисту даних з іншими державами.

    Структура нормативної бази з питань інформаційної безпеки включає:

    • Конституцію України [176];

    • Закони України;

    • кодекси України (кримінальний [177], цивільний [Error: Reference source not found], господарський [178]);

    • укази Президента України та постанови Кабінету Міністрів України;

    • відомчі нормативні акти, державні стандарти, інші нормативні документи.

    Серед законів слід відмітити наступні:

    • „Про інформацію“ [Error: Reference source not found];

    • „Про державну таємницю“ [Error: Reference source not found];

    • „Про ліцензування певних видів господарської діяльності“ [Error: Reference source not found];

    • „Про захист інформації в інформаційно-телекомунікаційних системах“ [Error: Reference source not found];

    • „Про телекомунікації“ [179];

    • „Про Службу безпеки України“ [180];

    • „Про електронний цифровий підпис“ [Error: Reference source not found].



    5.3.5. Законодавство із захисту інформаційних технологій


    Українським кримінальним та адміністративним законодавством передбачена відповідальність за здійснення злочинів та правопорушень при роботі з документацією, вираженою документально. Досить детально розроблено питання встановлення відповідальності за розголошення відомостей, що складають державну таємницю.

    Існуюче законодавство дозволяє класифікувати та встановлювати відповідальність за різні форми злочинів і правопорушень, зв’язаних з інформацією, представленою у вигляді відомостей чи документів. До них відносяться [Error: Reference source not found]:

    • особливо небезпечні державні злочини (зрада Батьківщині, шпигунство, диверсія, розголошення державної таємниці, втрата документів, що вміщують державну чи службову таємницю);

    • корисливі злочини (крадіжка, привласнення, підробка, …);

    • злочини, здійснені з необережності чи халатності (знищення, пошкодження, втрата);

    • господарські злочини (випуск недоброякісної продукції).

    Обробка інформації з використанням нових інформаційних технологій має ряд суттєвих особливостей. До них відносяться:

    • існування інформації і програм у вигляді нематеріальної „електронної копії“;

    • можливість необмеженого, прихованого та безслідного доступу посторонніх осіб до „електронної копії“ інформації і програм з метою їх крадіжки (копіювання), модифікації чи знищення;

    • можливість введення в ЕОМ не обумовлених технологією програмних засобів, в тому числі і вірусного характеру, що саме по собі являє серйозну загрозу.

    Для вирішення задачі встановлення відповідальності за зловживання з використанням комп’ютерної техніки потрібно:

    1. Розповсюдити на інформацію та програми для ЕОМ, представлені у формі „Електронної копії“, властивості об’єкту майнового права (визнати їх об’єктом права власності та товарним продуктом).

    2. Встановити правовий режим інформації, який передбачає обов’язкове її документування (як механізм визнання інформації об’єктом права власності).

    3. Визнати протиправними зумисні дії, що підпадають під категорії „порушення норм захисту“, „крадіжка“ (копіювання), „несанкціонований доступ“, а також „розповсюдження комп’ютерних вірусів“ не залежно від наслідків, до яких вони привели.

    4. Встановити відповідальність адміністрації за неприйняття заходів безпеки, що привело до здійснення комп’ютерного злочину.

    Аналіз суб’єктів інформаційних відносин показує, що серед них виділяються наступні категорії осіб:

    • власники інформаційних систем;

    • персонал інформаційних систем;

    • власники інформації;

    • джерела інформації;

    • користувачі;

    • сторонні особи.

    У сфері традиційної обробки інформації усі вказані категорії можна розділити на дві групи: особи, яким дозволено доступ до інформації, та особи, яким такий доступ не дозволений. Правопорушення та злочини можуть бути здійснені:

    • по необережності (некомпетентності);

    • по халатності;

    • зумисно.

    При класифікації правопорушень та злочинів слід керуватися також: їх високою громадською небезпекою, що вимагає класифікувати навіть ті дії, які не нанесли збитків, але створили передумови для їх нанесення (порушення технології обробки, порушення норм захищеності, неприйняття потрібних мір з організації захисту). При цьому збитки від злочину можуть виражатися у формі:

    • втраченої вигоди;

    • прямих фінансових втрат;

    • моральних збитків.

    Іноді задача оцінки інформації у вартісному виразі є надто проблематичною і часто напряму не може бути розв’язана, наприклад при виникненні загроз інформаційним системам, що обробляють секретну інформацію. В цьому випадку відповідальність встановлюється по аналогії до діючих норм кримінального права.

    В цілому можна виділити такі критерії складу злочину в галузі обробки інформації:

    1. Порушення правил реєстрації інформаційних систем та переліків оброблюваної інформації.

    2. Порушення правил збору інформації, а саме: отримання інформації без дозволу та збір її понад дозволеного переліку.

    3. Зберігання персональної інформації понад встановленого терміну.

    4. Неналежне зберігання інформації.

    5. Передача третім особам відомостей, які є комерційною таємницею, чи персональних відомостей.

    6. Несвоєчасне інформування населення про події, явища і факти, які можуть нанести шкоду їх здоров’ю чи нанести матеріальні збитки.

    7. Перевищення меж компетенції облікової діяльності, допущення неповних облікових записів і фальсифікації даних.

    8. Умисне надання зацікавленим особам неточної інформації.

    9. Порушення встановленого порядку забезпечення безпеки інформації.

    10. Порушення правил і технології безпечної обробки інформації.

    11. Порушення норм захищеності інформації, встановлених законом.

    12. Порушення правил доступу до інформації чи до технічних засобів.

    13. Порушення механізму захисту інформації та проникнення в систему.

    14. Обхід засобів захисту та проникнення в систему.

    15. Крадіжка інформації з використанням:

      1. технічних засобів;

      2. доступу до носіїв інформації.

    16. Несанкціоноване знищення даних в інформаційних системах.

    17. Несанкціонована модифікація даних в інформаційних системах.

    18. Спотворення (модифікація) програмного забезпечення.

    19. Перехоплення електромагнітних, акустичних чи оптичних випромінювань.

    20. Перехоплення інформації, що передається по лініях зв’язку шляхом дистанційного підключення до них чи будь-якими іншими відомими способами.

    21. Виготовлення та розповсбдження завідомо непридатного програмного забезпечення.

    22. Розповсюдження комп’ютерних вірусів.

    23. Розголошення парольно-ключової інформації.

    24. Несанкціоноване ознайомлення (спроба) із захищеними даними.

    25. Несанкціоноване копіювання (крадіжка).

    26. Внесення в програмне середовище не обумовлених змін, в тому числі і вірусного характеру.



    5.3.6. Правовий захист програмного забезпечення


    Правовий захист програмного забезпечення за своєю проблематикою багато в чому співпадає з більш широкою задачею – правовим захистом інтелектуальної власності. На даний час є п’ять основних правових механізмів захисту програмного забезпечення [Error: Reference source not found]:

    • авторське право;

    • патентне право;

    • право промислових таємниць;

    • право, що відноситься до недобросовісних методів конкуренції;

    • контрактне право.

    Два основних гравці на цій арені – авторське та патентне право. Три останніх механізми часто об’єднують в одну групу. Термін дії патентів зазвичай є меншим часу існування програмних продуктів, у зв’язку з чим їх рідко використовують для захисту програмного забезпечення, у зв’язку з чим основним механізмом захисту програмного забезпечення є авторське право.

    Основні положення авторського права встановлюють баланс між суспільним інтересом та захистом прав автора. З одного боку суспільство потребує наукових робіт в ім’я процвітання, а з іншого – права автора повинні бути захищеними для того, щоб заохотити його до подальшої роботи. Таке балансування може забезпечити тільки добре продумане законодавство. Встановлено дві основні вимоги до „твору“, необхідні для його захисту авторським правом: оригінальність та реалізація в матеріальній формі. Тут, проте, виникає питання про єдиність представлення ідеї, точніше про запас можливих представлень ідеї. Якщо ідея представляється єдиним вираженням, то його захист рівносильний забороні використання такої ідеї, і не може захищатися авторським правом. Тому повинна бути встановлена деяка межа, починаючи з якої „твір“ захищається авторським правом. Це є особливо актуальним по відношенню до програм. Наприклад, асемблерна програма множення двох чисел з фіксованою комою навряд чи може бути захищена авторським правом. Правове визначення межі, починаючи з якої програми захищаються авторським правом, представляє собою дуже складну, а іноді й нерозв’язну задачу.

    Авторське право забезпечує автоматичний захист. Захист авторським правом виникає разом зі створенням „твору“ незалежно від того, чи надав автор копію „твору“ в Бюро з авторського права для реєстрації. Однак без реєстрації власник авторського права не може реалізувати свої права. Наприклад він не може подати до суду для захисту його прав і не може отримати компенсацію.

    Закон [Error: Reference source not found] детально оговорює в якому вигляді повинні надаватися копії програм чи баз даних для їх реєстрації. У випадку опублікованої чи не опублікованої програми потрібно надати один екземпляр „ідентифікуючої порції“ програми, відтвореної у формі, яку можна візуально сприймати без допомоги комп’ютера чи іншого пристрою, на папері чи мікроформі. Після встановлення, що наданий твір можна захищати авторським правом та аналізу супроводжуючих документів, вимога реєструється і автору видається свідоцтво про реєстрацію.

    Авторське право захищає твір від копіювання, але не забороняє незалежного створення еквівалентів. Таким чином, ризик монополізації знання при використанні авторського права є значно меншим, ніж при використанні патентного права і, як наслідок, стандарти захисту авторським правом не наскільки строгі, як стандарти захисту патентним правом. Авторське право надає автору наступні п’ять прав [181]:

    • відтворення;

    • підготовка похідних творів;

    • розповсюдження копій;

    • публічне відтворення;

    • виставка.

    Авторське право, як уже говорилося, захищає не ідею, а її вираження, конкретну форму представлення. Тому в основу захисту програм авторським правом покладено наступні поняття [Error: Reference source not found]:

    Послідовність команд. Програма – це послідовність команд, у зв’язку з чим вона може розглядатися як „вираження“ ідеї автора, як його твір.

    Копіювання. Це поняття, що використовується у авторському праві, може бути розповсюджене на перенесення програм з одного носія на інший, в тому числі на носій іншого типу. Робити висновок про ідентичність програм на різних носіях можна за багатьма ознаками, наприклад, за їх однаковими функціональними властивостями, але співпадання функціональних властивостей не захищається авторським правом, адже однаковість функціональних властивостей іще не свідчить про відтворення „форми“ (про копіювання).

    Творча активність. Подібно до інших форм відображення, які захищаються авторським правом, комп’ютерна програма є результатом творчості. Хоча ця форма вираження чи відображення все ще не є загальновідомою, рівень творчої активності, умілості та винахідливості, необхідний для створення програми, дозволяє стверджувати, що програми підлягають захисту авторським правом не менше, ніж будь-які інші твори, що захищаються ним. Той факт, що комп’ютерні програми мають практичне призначення, на це не впливає.

    Стиль. Творчість, умілість та винахідливість автора проявляються в тому, як створюється програма. Необхідно поставити задачі, які потрібно розв’язати. Потім проаналізувати як досягти розв’язку, сформулювати набір кроків, що ведуть до розв’язання – все це повинно бути зафіксоване написанням тексту програми. Спосіб, яким це все досягається, надає програмі її характерні особливості і навіть стиль.

    Алгоритм. Алгоритми – це, власне, кроки, з яких складається розв’язання задачі, що представляють собою елементи, з яких будується програма і які не можуть захищатися від неавторизованого використання авторським правом. Це аналоги слів у літературі чи мазків пензлем у живопису.

    Відбір та поєднання елементів. Як і у випадку інших творів, захист комп’ютерних програм розглядається з точки зору відбору та об’єднання автором базових елементів, в чому і проявляється його творчість та вмілість, що і відрізняє його твір від творів інших авторів. Випадок, коли два автори незалежно один від одного написали б для однієї й тієї ж задачі дві ідентичні програми, практично виключений. Однак елементи, якими користуються автори, в основному загальновідомі.

    Оригінальність програми. Основна вимога авторського права базується на оригінальності відбору і поєднання загальновідомих елементів.

    Успішність. Успіх у розв’язанні задачі у значній мірі визначається тим відбором та поєднанням елементів, який автор здійснив на кожному кроці створення програми. Тому програма може працювати швидше, бути простішою та надійнішою у використанні, легше сприйматися і бути більш продуктивною ніж її попередники чи конкуренти.

    Усі ці та ряд інших міркувань і покладено в основу захисту програм авторським правом.
    1   ...   36   37   38   39   40   41   42   43   44

    написать администратору сайта