2.4. Ліцензування і сертифікація як основа захисту інформації в державній податковій службі

2.4. Ліцензування і сертифікація як основа захисту інформації в державній податковій службі

Диссертации - Стаценко-Сургучова І.С.

Скачать бесплатно и без регистрации диссертацию Стаценко-Сургучова І.С. - Організаційно-правові засади інформаційно-аналітичної роботи в органах державної податкової служби України Вы можете по следующей ссылке

У даний час масове оснащення державних установ, підприємств, організацій та приватних осіб засобами обчислювальної техніки та інтеграція їх до світового інформаційного простору містить у собі реальну загрозу створення складних систем «технічного контролю» за інформаційними процесами та ресурсами й зловмисного втручання в них. Реальність такої небезпеки підвищується прямо пропорційно розвитку науки й техніки [150].

Податкові органи України викликають особливу зацікавленість щодо незаконного проникнення в їх системи та інформаційні ресурси.

У зв’язку з цим доцільно зупинитися на таких організаційно-технічних заходах захисту інформації в загальнодержавних та телекомунікаційних системах, як ліцензування діяльності підприємств у сфері захисту інформації та сертифікація засобів захисту інформації.

Сертифікація та ліцензування засобів захисту інформації а податкових органах є такими ж, як і в інших державних органах та організаціях. Розглянемо чинну систему сертифікації та ліцензування засобів захисту інформації.

Сертифікація являє собою реалізацію технічної політики в галузі стандартизації за наявності кваліфікованих кадрів, випробувального обладнання і засобів вимірювання [151; 152].

Норми та вимоги українського законодавства в сфері ліцензування та сертифікації включають в себе положення ряду нормативних правових актів України різного рівня: законів України, указів та постанов Президента України, постанов та декретів Кабінету Міністрів України, наказів, інструкцій і тощо.

Першим у часі відкритим правовим нормативним актом, що врегульовував питання обігу засобів криптографічного захисту інформації є прийнята 28 травня 1991 року постанова Верховної Ради СРСР № 2195-1 «О видах деятельности, которыми предприятия вправе заниматься только на основании специальных разрешений (лицензий)» [153].

Цим документом був затверджений перелік окремих видів діяльності, якими підприємства на території СРСР мали право займатися, тільки якщо у них є спеціальний дозвіл (ліцензія). До таких видів діяльності дана постанова відносила виробництво, ремонт, реалізацію та експлуатацію шифрувальної техніки.

Повноваження щодо ліцензування діяльності в сфері захисту інформації, яка є власністю держави, або інформації, захист якої гарантується державою, а також щодо сертифікації засобів її захисту надані державному органу, уповноваженому на цю діяльність Кабінетом Міністрів України, містяться в Законі України «Про захист інформації в автоматизованих системах» від 5 липня 1994 року № 80/94-ВР [65].

Стаття 37 Закону України «Про Державну таємницю» виділила державні органи, які відповідають за захист інформації, що становить державну таємницю [63].

Стаття 12 Закону України «Про захист інформації в автоматизованих системах» визначає, що інформація, яка є власністю держави, або інформація, захист якої гарантується державою, повинна оброблятися в автоматизованих системах, що має відповідний сертифікат (атестат) захищеності. Стаття 11 встановлює обов’язковість сертифікації технічних засобів, призначених для захисту секретних відомостей та визначає Державні органи, що відповідають за проведення сертифікації вказаних засобів [65].

З метою виконання названих законів у травні 1998 року Указом Президента України було прийняте спеціальне Положення, яке визначає порядок створення та використання криптографічних (шифрувальних) засобів, призначених для захисту інформації, яка містить відомості, що становлять державну таємницю, починаючи зі стадії розробки до серійного виробництва та встановлення шифрувальної техніки в складних закритих системах та комплексах обробки, зберігання та передачі інформації [154].

Особливе значення в справі правового забезпечення діяльності в сфері захисту інформації має Закон України «Про інформацію» [11]. Даний Закон вперше офіційно вводить поняття «конфіденційна інформація», яке розглядається як відомості, що перебувають у володінні, користуванні або розпорядженні окремих фізичних чи юридичних осіб і поширюються за їх бажанням відповідно до передбачених ними умов (ст. 30). Цей закон також встановлює загальні правові вимоги щодо організації захисту такої інформації в процесі її обробки, зберігання та циркуляції в технічних засобах та інформаційних та телекомунікаційних системах і комплексах та організації контролю за проведенням заходів щодо захисту конфіденційної інформації. При цьому необхідно зазначити, що Закон не поділяє державну та приватну інформацію як об’єкт захисту в тому випадку, коли доступ до неї обмежується.

Крім того, Закон України «Про електронний цифровий підпис» на державно-правовому рівні визначає електронний цифровий підпис як засіб захисту інформації від несанкціонованого спотворення, підміни (імітації захисту) та підтвердження автентичності відправника та отримувача (автентичність сторін). Згідно зі ст. 3 Закону України «Про електронний цифровий підпис», чинність електронного цифрового підпису визнається та електронний цифровий підпис за правовим статусом прирівнюється до власноручного підпису (печатки) у разі, якщо: електронний цифровий підпис підтверджено з використанням посиленого сертифіката ключа за допомогою надійних засобів цифрового підпису; під час перевірки використовувався посилений сертифікат ключа, чинний на момент накладення електронного цифрового підпису; особистий ключ підписувача відповідає відкритому ключу, зазначеному у сертифікаті [92].

Закон також розкриває вимоги, які застосовуються до спеціалізованих програмно-технічних засобів, які реалізують електронний цифровий підпис, а також порядок їх використання в інформаційно-телекомунікаційних системах.

Також законодавчою базою сертифікації та ліцензування засобів захисту інформаційних систем є Декрет Кабінету Міністрів України «Про стандартизацію і сертифікацію», у відповідності до яких були розроблені нормативні документи системи сертифікації [155].

До прийняття Кодексу України про адміністративні правопорушення не було загальної норми щодо адміністративної відповідальності за діяльність без ліцензії. У різний час у Кодексі про адміністративні правопорушення УССР та ряді законів були введені норми про окремі склади адміністративних правопорушень, наприклад, у Кодексі про адміністративні правопорушення УССР це положення про здійснення діяльності в сфері зв’язку без ліцензії, здійснення підлягаючої ліцензуванню діяльності на транспорті без спеціального дозволу та ін..

Поряд з відсутністю загальної адміністративної відповідальності за діяльність без ліцензії до прийняття Кодексу України про адміністративні правопорушення розмір санкцій, суб’єкти відповідальності та інші елементи складу правопорушення явно не відтворювали картину хоч якоїсь політики держави в цьому питанні.

У Цивільному кодексі питанню ліцензування у сфері інтелектуальної власності присвячена глава 75, в якій визначене поняття ліцензії на використання права інтелектуальної власності та ліцензійного договору, а також основні засади договірних відносин у сфері інтелектуальної власності [156].

Комп’ютерна програма як об’єкт інтелектуальної власності і відповідно як об’єкт сертифікації згідно з Законом України «Про авторське право та суміжні права» від 23.12.93 р., є сукупністю інструкцій у вигляді слів, цифр, кодів, схем символів або в якомусь іншому вигляді, представлених у формі, яку може прочитати машина та які приводять її в дію для досягнення відповідної мети чи результату (ст. 1) [157]. Комп’ютерним програмам надається правовий захист такий як і літературним творам [158, с. 68].

Більшість країн для охорони програмного забезпечення використовують систему авторського права відповідно до Бернської конвенції про охорону літературних і художніх творів. На міжнародному рівні питання захисту комп'ютерних програм здійснюється відповідно до ст. 10 Угоди по торгових аспектах прав інтелектуальної власності. Практично у 151 країні світу прийнято авторсько-правову модель охорони комп'ютерного програмного забезпечення, але як на теоретичному, так і на законодавчому рівні суперечки щодо застосування патентного права для захисту і охорони комп'ютерного програмного забезпечення та ефективності такої охорони не припиняються [159, с. 6-7].

В Україні сертифікацію програмної продукції здійснює Український науковий центр державної реєстрації та сертифікаційних випробувань інформаційних технологій Софт-Рейтинг Державного комітету України з питань науки та технологій. Загальні питання експертизи інформаційних технологій вирішує національне агенство з питань інформатизації при Президентові України та міжвідомча експертна рада при цьому агенстві [160, с. 182].

В Європі створений центр ITQS (Information Technology Quality Systems) – міжнародне об’днання сертифікаційних органів на засадах взаємного визнання, яке затверджене Європейським комітетом з тестування та сертифікації у сфері інформаційних технологій ECITC (European Committee for IT Testing and Certification) та європейською організацією з тестування та сертифікації EOTC (European Organization for Testing and Certification) [161].

Сертифікація програмних продуктів, які впроваджують і використовують у своїй діяльності правоохоронні органи, зокрема органи ДПС України, є жорсткою (обов’язковою), що обумовлене потребою у високому рівні відповідальності функцій сертифікованих інформаційних систем та великій мірі безпеки завтосування цих інформаційних технологій [162, с.186.].

Проведений аналіз дозволяє зробити наступні висновки стосовно того, що реалізація будь-якої загрози можлива лише в тому випадку, якщо в конкретній системі є якась помилка або збій у захисті зумовлений однією з таких причин:

 неадекватність політики безпеки. Система захисту не може попередити несанкціоновані дії, захист від яких не передбачений;

 помилка адміністративного управління. Некоректна реалізація або підтримка прийнятої політики безпеки. Тут важливу роль відіграє рівень підготовки системного адміністратора, його здатності створити захисні бар’єри в мережі та грамотно протистояти загрозам. Підбір та підготовка системного адміністратора – одне з головних завдань організації;

 алгоритмічні помилки, що виникають на стадії розробки та алгоритмізації виробничих процесів.

 помилки програмування, що виникають на етапі реалізації алгоритмів обліку організації та розподілення повноважень, застосування аудиту та інших важливих функцій програм.

Але, як зазначає Кормич Б.А., характеристика загроз інформаційній безпеці є лише одним з підходів до аналізу цієї проблеми. Це елемент “негативний”, який передбачає застосування державного примусу для ліквідації загроз, їх наслідків, покарання, якщо це можливо, винних у вчиненні відповідних дій. У цьому напрямі державної діяльності цілком виправданим є принцип “меншого зла”, коли задля захисту від нанесення значної шкоди людині, суспільству, державі можливо заподіяння меншої за розміром і наслідками шкоди, введення обмежень тощо. Але розбудова концепції інформаційної безпеки лише на загрозах, на негативі не дозволяє розвивати інформаційну сферу, не може забезпечити досягнення тих завдань, які ставляться перед державою всім ходом розвитку світових інформаційних відносин [127, с. 129-130].

Досвід західноєвропейських країн, певні елементи концепції інформаційної безпеки Росії свідчать, що більш прогресивним є інший елемент інформаційної безпеки – “позитивний”, який охоплює комплекс заходів щодо підвищення рівня самої безпеки. Цей елемент інформаційної безпеки охоплює значно ширший спектр суспільних відносин. Але саме тут принцип “меншого зла” застосовуватися не повинен, адже подібні заходи не спрямовані проти конкретних загроз, а лише проти можливих. Таким чином, прямої загрози настання суспільно-небезпечних наслідків не існує. У цьому аспекті повинен діяти один з головних принципів юридичної відповідальності, згідно з яким “в демократичній соціальній правовій державі юридична відповідальність передбачається лише за діяння, які є протиправними: за фізичні діяння (а не за думки, світогляд, особисті властивості); за суспільно шкідливі і, як правило, винні дії, що їх скоїла деліктоздатна особа” [162, с. 468].

Захист даних у комп’ютерних мережах стає одною з найвідкритіших проблем у сучасних інформаційно-обчислюваних системах. На сьогодні сформульовано, на нашу думку, три базових принципи інформаційної безпеки, які охоплюють комплекс заходів щодо підвищення рівня самої безпеки, завданням яких є забезпечення:

 цілісності даних – захист від збоїв, що приводять до втрати інформації або до її знищення;

 конфіденційності інформації;

 доступності інформації для авторизованих користувачів.

Розглядаючи проблеми, пов’язані із захистом даних, виникає питання щодо класифікації збоїв та не санкціонованості доступу, що призводить до втрати чи небажаної зміни даних. Це можуть бути збої устаткування (кабельної системи, дискових систем, серверів, робочих станцій і тощо), втрати інформації (через інфікування комп’ютерними вірусами, неправильне зберігання архівних даних, порушення прав доступу до даних), некоректна робота користувачів та обслуговуючого персоналу. Перелічені порушення роботи в мережі викликали потребу у створенні різноманітних видів захисту інформації. Вважаємо, що умовно їх можна поділити на три класи:

 засоби фізичного захисту;

 програмні засоби (антивірусні програми, системи розмежування повноважень, програмні засоби контролю доступу);

 адміністративні заходи захисту (доступ до приміщення, розробка стратегій безпеки організації і т. ін.).

Одним із засобів фізичного захисту є системи архівування та дублювання інформації. У локальних мережах, де встановлені один-два сервери, частіше за все система повинна встановлюватись безпосередньо в вільні лоти серверів. У великих корпоративних мережах перевага повинна бути за визначеним спеціалізованим архіваційним сервером, який автоматично архівує інформацію з жорстких дисків серверів і робочих станцій у визначений час, встановлений адміністратором, надаючи звіт про проведене резервне копіювання.

Для боротьби з комп’ютерними вірусами найчастіше повинні використовуватися антивірусні програми, рідше – апаратні засоби захисту. Однак останнім часом спостерігається тенденція до поєднання програмних та апаратних методів захисту. Серед апаратних пристроїв використовуються спеціальні антивірусні плати, встановлені в стандартні лоти розширення комп’ютера. Корпорація Intel запропонувала перспективну технологію захисту від вірусів у мережах, сутність якої полягає в скануванні систем комп’ютерів ще до їх завантаження.

Крім антивірусних програм, проблема захисту інформації в комп’ютерних мережах вирішується за допомогою введення контролю доступу та розмежуванням повноважень користувача. Для цього використовуються вбудовані засоби мережевих операційних систем, найвідомішим виробником яких є корпорація Novell. У системі, наприклад, NetWar, крім стандартних засобів обмеження доступу (зміна паролів, розмежування повноважень), передбачена можливість кодування даних за принципом „відкритого ключа” з формуванням електронного підпису для пакетів, які передаються мережею.

Однак така система захисту має невелику потужність, тому що рівень доступу і можливість входу до системи визначаються паролем, який легко підгледіти або підібрати. Для виключення неавторизованого проникнення до комп’ютерної мережі використовується комбінований підхід – пароль плюс ідентифікація користувача по персональному „ключу”. „Ключ” являє собою пластикову карту (магнітну або із вбудованою мікросхемою – смарт-карта) або різноманітні засоби для ідентифікації особи – по райдужній оболонці ока, відбитках пальців, розмірах долоні і тощо. Сервери та мережеві робочі станції, забезпечені пристроями читання смарт-карток і спеціальним програмним забезпеченням, значно підвищують рівень захисту від несанкціонованого доступу. Смарт-картки управління доступом дозволяють реалізувати такі функції, як контроль входу, доступ до пристроїв персональних комп’ютерів, до програм, файлів і команд.

Поступово з розширенням діяльності податкових органів, зростом чисельності платників податків та появою нових податкових інспекцій, виникала необхідність у організації доступу віддалених користувачів (груп користувачів) до обчислювальних та інформаційних ресурсів центру ДПС України. Для організації віддаленого доступу найчастіше повинні використовуватися, на нашу думку, кабельні лінії та радіоканали. У зв’язку з цим захист інформації, що передається каналами віддаленого доступу, вимагає особливого підходу. У мостах і маршрутизаторах віддаленого доступу повинна застосовуватися сегментація пакетів – їх розподілення та передача паралельно двома лініями, - що унеможливлює «перехоплення» даних при незаконному підключенні «хакера» до однієї з ліній. Використовувана при передачі даних процедура стиснення пакетів, що передаються, гарантує неможливість розшифрування «перехоплених» даних. Мости та маршрутизатори віддаленого доступу можуть бути запрограмовані таким чином, що віддаленим користувачам не всі ресурси центру можуть бути доступними.

Пряме відношення до теми безпеки має стратегія створення резервних копій та відтворення баз даних. Здебільшого ці операції виконують у неробочий час у пакетному режимі. У більшості СУБД резервне копіювання та відтворення даних дозволяються тільки користувачам з широкими повноваженнями (права доступу на рівні системного адміністратора або власника БД), вказувати такі відповідальні паролі безпосередньо в файлах пакетної обробки не бажано. Щоб не зберігати пароль у явному вигляді, рекомендується написати простеньку прикладну програму, яка сама б викликала утиліти копіювання/відтворення. У такому випадку системний пароль повинен бути «зашитий» у код вказаного додатка. Недоліком цього методу є те, що кожен раз при зміні пароля цю програму необхідно переробляти.

Крім санкціонування та розмежування доступу до логічних дисків, адміністратору рекомендується встановлювати кожному користувачеві повноваження доступу до послідовного та паралельного портів. Якщо послідовний порт зачинений, то не можна передати інформацію з одного комп’ютера на інший.

Однак на даний час існує багато невирішених проблем на шляху до забезпечення інформаційної безпеки податкових органів України. Власне немає концептуальних узагальнень у даній галузі знань, які б можна було використати у військовій доктрині, програмах побудови збройних сил, у зовнішній та внутрішній політиці держави.

Інформаційний потенціал нашої держави, створений за багато років існування, «розбазарюється». За безцінь розлучаємося з дорогоцінними книгами, архівними документами, інтелектуальними наробками в найважливіших сферах людської діяльності. Через недостатнє фінансування науково-дослідницьких центрів, бібліотек і інших установ, що виробляють та зберігають інформацію, гинуть або розкрадаються скарби вітчизняної думки, у той час, як інші країни застосовують енергійні зусилля щодо збору інформації, удосконалення систем її зберігання і використання. Очевидно, нагальним стало питання щодо розробки та прийняття закону щодо збереження та примноження інформаційного багатства держави. У цілому необхідно звернути особливу увагу на створення ефективної нормативної бази для регулювання всіх відносин у сфері інформації.

Отже, сертифікація та ліцензування програмних продуктів є одними з основних умов забезпечення захисту інформації в органах державної податкової служби України. Вони грунтується на тих самих принципах, що й сертифікація та ліцензування будь-якої іншої продукції. Їх особливість визначається властивостями самої продукції, її виробництва та застосування, що звичайно ж відображається в процедурному режимі  специфічному характері сертифікаційних випробувань, оцінці рівня придатності і тощо.

Сертифікація та ліцензування програмних продуктів, які використвовуються органами ДПС України, є жорсткою, тому що мають пряме відношення до забезпечення їх інформаційної безпеки, яка стає однією з найважливіших проблем в інформаційно-аналітичних системах податкових органів.

 

 

 

Скачать бесплатно и без регистрации диссертацию Стаценко-Сургучова І.С. - Організаційно-правові засади інформаційно-аналітичної роботи в органах державної податкової служби України Вы можете по следующей ссылке


 

Новые поступления

СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ
28.12.2010 |  Бурбика М.М. | 

Скачать бесплатно и без регистрации диссертацию Бурбика М.М. - Робота з персоналом в органах прокуратури України: організаційно-правові питання Вы можете по следующей ссылке

1.     Конституція України // Відомості Верховної Ради України. – 1996. – № 30. – Ст.141.

2.     Про прокуратуру: Закон України від 5... Читать полностью..

ВИСНОВКИ
28.12.2010 |  Бурбика М.М. | 

Скачать бесплатно и без регистрации диссертацию Бурбика М.М. - Робота з персоналом в органах прокуратури України: організаційно-правові питання Вы можете по следующей ссылке

В результаті дисертаційного дослідження, виконаного на основі аналізу чинного законодавства України і практики його реалізації, теоретичного осмислення численних наукових праць у різних... Читать полностью..

ВИСНОВКИ ДО РОЗДІЛУ 2
28.12.2010 |  Бурбика М.М. | 

Скачать бесплатно и без регистрации диссертацию Бурбика М.М. - Робота з персоналом в органах прокуратури України: організаційно-правові питання Вы можете по следующей ссылке

1.                 Важливе місце у роботі з персоналом органів прокуратури займають кадрові підрозділи, зокрема, на рівні Генеральної прокуратури – це Управління кадрів, на... Читать полностью..

2.4. Заходи соціально-правового забезпечення працівників органів прокуратури
28.12.2010 |  Бурбика М.М.  | 

Скачать бесплатно и без регистрации диссертацию Бурбика М.М. - Робота з персоналом в органах прокуратури України: організаційно-правові питання Вы можете по следующей ссылке

Визначальним фактором, який формує інтерес працівника до ефективного виконання службових обов’язків є належний рівень його соціально-правового забезпечення. В наказ ГПА „Про організацію... Читать полностью..

       Добавить сайт в закладки

Услуги партнеров:

Заказать дипломную работу по праву можно здесь:

Или просто звоните по телефонам:

Киев: -, -

Харьков: -, -

Одесса: -,

Информационный центр "Логосинфо"

Нас ищут по запросам: "скачать учебник по праву, скачать диплом по праву, скачать дипломную по праву, скачать диссертацию по праву, закачати підручник з права, закачати диплом з права, закачати дипломну роботу з права, закачати дисертацію з права"

Rambler's Top100 Rambler's Top100