Захист інформації в автоматизованих системах
Публикую серию материалов, которые я готовил, будучи слушателем в университете
Із становленням України як суверенної держави, реформуванням всіх сфер життя суспільства, зокрема економіки та оборони постала проблема створення принципово нових власних систем захисту інформації зокрема в автоматизованих системах та законодавчого регулювання інформаційних правовідносин у сфері охорони таємниць.
Конституція України, що стала гарантом побудови демократичної правової держави, не могла не врахувати загальносвітових тенденцій інформатизації суспільства. Тому ряд її статей (зокрема ст. 17, 32, 34) визначають забезпечення інформаційної безпеки, як одну з найважливіших функцій держави і мають стати основою розвитку інформаційного законодавства.
Захист інформації та охорона державної таємниці є невід’ємною складовою національної безпеки України. А там, де превалюють особливі інтереси держави, інтереси її безпеки, зовнішніх відносин та економіки, чинне законодавство повинне забезпечувати саме їх захист, утвердження інформаційного суверенітету України, її права на встановлення особливого порядку користування і розпорядження інформацією з обмеженим доступом, найважливішою складовою частиною якої є державна таємниця.
В інформаційному просторі ця інформація займає дуже незначну частку і стосується чітко окреслених сфер державної діяльності – оборони, економіки, зовнішніх відносин, державної безпеки і охорони правопорядку, що прямо закріплено у статті 6 Закону “Про державну таємницю”.
Ще до прийняття у січні 1994 року Закону “Про державну таємницю”, за ініціативою та участю Держкомсекретів України, було підготовлено і прийнято ряд актів Кабінету Міністрів України, спрямованих на попередження розладу раніше існуючої в СРСР системи збереження державних секретів.
Це, зокрема, протокольне рішення Кабінету Міністрів України “Про захист таємної та службової інформації” (13.04.92 р.), затверджені постановами Кабінету Міністрів України “Тимчасовий перелік відомостей, опублікування яких обмежується”, “Положення про порядок підготовки матеріалів, призначених для відкритого опублікування” (21.07.92 р.), “Положення про Державну службу України з питань технічного захисту інформації” та “Положення про Державний комітет України з питань державних секретів” та інші.
Згідно із Законом України “Про інформацію” [1] інформація поділяється на відкриту та інформацію з обмеженим доступом. Остання поділяється на таємну, яка, в свою чергу, складається з державної таємниці та іншої таємної інформації, та конфіденційну інформацію. Якщо державна таємниця на сьогоднішній день охоплена ефективним правовим захистом, то цього, на жаль, не можна констатувати щодо іншої інформації з обмеженим доступом. “Інша таємна інформація”, яка становить систему видів таємної інформації, що не становить державної таємниці, не має навіть чітко закріпленої в законодавстві структури (однак потребує вичерпної визначеності, осільки її існування фактично є обмеженням права на інформацію), хоча ця структура й може бути визначена виходячи зі змісту правових норм, присвячених окремим видам такої інформації, які містяться в законах, що контекстно не належать до інформаційного законодавства. Не кращою є ситуація і з правовим регулюванням обігу конфіденційної інформації. Наслідком такої невизначеності є відсутність у субєктів правотворення та правозастосування адекватного уявлення про структуру інформації з обмеженим доступом, ототожнення конфіденційної інформації та таємної інформації, що не становить державної таємниці, “аморфний стан” нових видів таємної інформації, що зявляються поза нормами інформаційного законодавства (наприклад, професійна таємниця або відомості про заходи безпеки та осіб, взятих під захист). Все це негативно відбивається на якості створюваних підзаконних нормативно-правових актів, зокрема з питань захисту інформації, бо інформація не може бути належним чином захищена без визначення ступеню безпеки, якого вона потребує, та його аргументації тими чи іншими властивостями інформації. Досі відсутня також єдина термінологічна база інформаційного законодавства, неврегульовані суперечності між нормами його окремих актів.
1. Визначення термінів
1.1 Захист інформації
Згідно Законів «Про інформацію» [1] та «Про захист інформації в інформаційно-телекомунікаційних системах» [2] можна дати такі визначення термінам:
Інформація – документовані або публічно оголошені відомості про події та явища, що відбуваються у суспільстві, державі та навколишньому природному середовищі;
захист інформації в системі – діяльність, спрямована на запобігання несанкціонованим діям щодо інформації в системі;
інформаційна (автоматизована) система – організаційно-технічна система, в якій реалізується технологія обробки інформації з використанням технічних і програмних засобів;
інформаційно-телекомунікаційна система – сукупність інформаційних та телекомунікаційних систем, які у процесі обробки інформації діють як єдине ціле;
комплексна система захисту інформації – взаємопов’язана сукупність організаційних та інженерно-технічних заходів, засобів і методів захисту інформації;
технічний захист інформації – вид захисту інформації, спрямований на забезпечення за допомогою інженерно-технічних заходів та/або програмних і технічних засобів унеможливлення витоку, знищення та блокування інформації, порушення цілісності та режиму доступу до інформації.
Департамент спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України своїй нормативній документації «Термінологія в галузі захисту інформації в комп’ютерних системах від несанкціонованого доступу» (НД ТЗІ 1.1-003-99) дає таке визначення:
Захист інформації в АС (information protection, information security, computer system security) — діяльність, яка спрямована на забезпечення безпеки оброблюваної в АС інформації та АС в цілому, і дозволяє запобігти або ускладнити можливість реалізації загроз, а також знизити величину потенційних збитків внаслідок реалізації загроз.
Слід зауважити що визначення захисту інформації в автоматизованих системах в законодавстві і нормативних документах не передбачає (не виділяє) захисту від загроз природного або техногенного характеру, або від фізичного пошкодження, а спрямовує увагу на захист від «несанкціонованих дій» або від «реалізації загроз».
Деякі Інтернет-джерела дають таке визначення терміну «захист інформації»:
Зáхист інформáції англ. Data protection — сукупність методів і засобів, що забезпечують цілісність, конфіденційність і доступність інформації за умов впливу на неї загроз природного або штучного характеру, реалізація яких може призвести до завдання шкоди власникам і користувачам інформації. [3] Яке на мою думку чіткіше визначає сутність захисту інформації.
1.2 Інформаційна безпека
Інформацíйна безпéка (англ. Information Security) — стан інформації, в якому забезпечується збереження визначених політикою безпеки властивостей інформації. [3]
Інформаційна безпека – стан захищеності життєво важливих інтересів людини, суспільства і держави, при якому запобігається нанесення шкоди через: неповноту, невчасність та невірогідність інформації, що використовується; негативний інформаційний вплив; негативні наслідки застосування інформаційних технологій; несанкціоноване розповсюдження, використання і порушення цілісності, конфіденційності та доступності інформації.
Вирішення проблеми інформаційної безпеки має здійснюватися шляхом:
• створення повнофункціональної інформаційної інфраструктури держави та забезпечення захисту її критичних елементів;
• підвищення рівня координації діяльності державних органів щодо виявлення, оцінки і прогнозування загроз інформаційній безпеці, запобігання таким загрозам та забезпечення ліквідації їх наслідків, здійснення міжнародного співробітництва з цих питань;
• вдосконалення нормативно-правової бази щодо забезпечення інформаційної безпеки, зокрема захисту інформаційних ресурсів, протидії комп’ютерній злочинності, захисту персональних даних, а також правоохоронної діяльності в інформаційній сфері;
• розгортання та розвитку Національної системи конфіденційного зв’язку як сучасної захищеної транспортної основи, здатної інтегрувати територіально розподілені інформаційні системи, в яких обробляється конфіденційна інформація.
Для характеристики основних властивостей інформації як об’єкту захисту часто використовується модель CIA [4]:
• Конфіденційність (англ. confidentiality) — властивість інформації, яка полягає в тому, що інформація не може бути отримана неавторизованим користувачем
• Цілісність (англ. integrity) — означає неможливість модифікації неавторизованим користувачем
• Доступність (англ. availability) — властивість інформації бути отриманою авторизованим користувачем, за наявності у нього відповідних повноважень, в необхідний для нього час
Додатково також використовують наступні властивості:
• апелювання (англ. non-repudiation) — возможность доказать, что автором является именно заявленный человек (юридическое лицо), и никто другой;
• подзвітність (англ. accountability); — властивість інформаційної системи, що дозволяє фіксувати діяльність користувачів, використання ними пасивних об‘єктів та однозначно встановлювати авторів певних дій в системі.
• достовірність (англ. reliability);
• аутентичність (англ. authenticity) — властивість, яка гарантує, що суб’єкт або ресурс ідентичні заявленим.
Аспекти захисту інформації
• Конфіденційність — захист від несанкціонованого ознайомлення з інформацією.
• Цілісність — захист інформації від несанкціонованої модифікації.
• Доступність — захист (забезпечення) доступу до (можливості використання) інформації. Достіпність забезпечується як підтриманням систем в робочому стані так і завдяки способам, які дозволяють швидко відновити втрачену чи пошкоджену інформацію.
Слід зауважити, що деякі фахівці вважають сам термін “технічний захист інформації – ТЗІ” – не зовсім коректним. Зауважуючи що формально в до цієї області потрапляють інженерні системи охорони, криптографічні пристрої, навіть сейфи і замки. При створенні Держслужби ТЗІ в Україні мали на увазі захист інформації від загроз, що реалізуються із застосуванням технічних засобів. [5]
2. Законодавче забезпечення безпеки інформації в Україні
Чинне законодавство України в більшості випадків відповідає сучасному рівню розвитку відносин в інформаційній сфері. Більшість чинних законів, спрямованих на врегулювання інформаційних відносин, були прийняті до набрання чинності Конституції, тому протягом останніх років активно виносяться зміни до існуючих законів.
2.1 Законодавче регулювання інформаційних процесів
Інформація є необхідною складовою функціонування усіх соціальних систем. У приватному житті, для управління складними технологічними системами або для розбудови незалежної держави завжди є нагальна потреба у надійній та оперативній інформації. З метою задоволення інформаційних потреб громадян, юридичних осіб і держави органи державної влади та органи місцевого самоврядування здійснюють інформаційну діяльність та створюють інформаційні служби, системи, мережі, бази і банки даних відповідно до ст. 12 Закону України «Про інформацію».
Окремі документи й масиви документів (справи) на будь-яких носіях, у тому числі таких, що забезпечують роботу обчислювальної та організаційної техніки, створюють інформаційний ресурс – сукупність документів в інформаційних системах (у бібліотеках, архівах, банках даних тощо – ст. 1 Закону України «Про Національну програму інформатизації» від 4 лютого 1998 року № 74/98-ВР). Інформаційні ресурси (інформація) є об’єктами відносин фізичних і юридичних осіб між собою та з державою. Разом вони становлять інформаційні ресурси України і захищаються законом поряд з іншими видами ресурсів. Інформаційна діяльність здійснюється в інформаційному просторі України – середовищі, в якому здійснюються продукування, зберігання та поширення інформації і на яке розповсюджується юрисдикція України.
Сукупність систем, що забезпечують продукування, накопичення, зберігання та поширення інформаційної продукції, виробництво засобів створення інформаційної продукції та їх поширення, виробництво інформаційних технологій, сервісне обслуговування елементів інфраструктури, підготовку кадрів називають інформаційною інфраструктурою. Інформаційне середовище – це сукупність інформаційної інфраструктури, інформаційних ресурсів та інформаційних відносин.
Документування інформації (створення офіційного документа) є неодмінною умовою включення інформації в інформаційні ресурси. Варто враховувати, що документ може бути не тільки і навіть не стільки управлінським (діловим), як мати переважно текстову, табличну чи анкетну форму. Багато цінних документів представлені в зображувальному вигляді, зокрема це конструкторські документи, картографічні, науково-технічні, документи на фотографічних, магнітних та інших носіях. Адже документ – це передбачена законом матеріальна форма одержання, зберігання , використання і поширення інформації шляхом фіксації її на папері, магнітній, кіно-, відео-, фотоплівці або на іншому носієві (ст. 27 Закону України «Про інформацію» від 2 жовтня 1992 року.
Конституційні права людини і громадянина в Україні на інформацію, її вільне отримання, використання, поширення та зберігання в обсягах, необхідних для реалізації кожним своїх прав, свобод і законних інтересів, чинним законодавством держави закріплюються і гарантуються.
2.2 Відповідальність за порушення «інформаційного законодавства»
Інформація, згідно з законом “Про інформацію”, є об’єктом права власності, а з іншого боку, являє собою нематеріальний об’єкт, що зумовлює неможливість застосування форм охорони інтересів власника, розроблених речовим правом, у зв’язку з певними якостями інформації (неможливість її вилучення з обігу внаслідок копіювання і відбиття у свідомості споживача, збільшення вартості інформації за її тиражування та ін.). Суттєві прогалини законодавства наявні саме щодо захисту права власності на інформацію. Стаття 47 закону “Про iнформацiю”, що містить перелік порушень в галузі інформації, взагалі не передбачає складів правопорушень проти власностi на інформацію. Інформація як об’єкт власності практично позбавлена й кримінально-правового захисту, окрiм статей, що передбачають злочини, об’єктом яких є не відносини власності, а інші суспiльнi відносини, що охороняються правом
Чинний Кримінальний Кодекс містить ряд складів злочинів, що можуть бути віднесені до категорії інформаційних. Але більшість складів інформаційних злочинів віднайшла лише криміналістичне закріплення, а тому ці діяння не розглядаються як злочинні. Ті склади злочинів, що закріплені в статтях чинного КК і мають характер інформаційних (посягають на цілісність, достовірність, законну приналежність інформації, її матеріальних носіїв, на інформаційні права громадян, або вчинені за допомогою інформації, – злочини проти інформаційної безпеки) законодавець інформаційними не визнає. Такі статті розміщені в різних розділах КК, що зумовлює визначення родових об’єктів цих злочинів різними. Враховуючи сучасний рівень розвитку інформаційних відносин та зростаючу значимість інформаційних ресурсів, доречно було б виділити в окрему групу власне інформаційні злочини, родовим об’єктом яких є суспільні відносини в сфері інформаційної безпеки в Україні (забезпечення безпеки інформації, безпеки від впливу інформацією та захисту прав суб’єктів на інформацію). Тобто, створити окремий розділ КК України, присвячену інформаційним злочинам (не лише комп’ютерним, чи пов’язаних з порушенням авторських і суміжних прав).
Проблема вдосконалення законодавчого регулювання питань захисту інформації, безумовно, пов’язана з особливістю інформації як об’єкту правовідносин. Тому при розробці законодавчої бази в сфері захисту інформації увагу треба приділити відносинам, що виникають з приводу права власності та інтелектуальної власності на інформацію та похідних від нього (делегування окремих повноважень власника). Така особливість відбивається і на ознаках інформації як предмета протиправних посягань. При цьому необхідно визначити шляхи та засоби захисту інформації, права та обов’язки суб’єктів інформаційних відносин, що виникають в зв’язку зі збиранням, використанням, обробкою інформації та її зберіганням і захистом, а також передбачити відповідальність за протиправні посягання в сфері інформації і можливі склади таких правопорушень. Необхідним є встановлення порядку визначення категорії інформації в залежності від важливості інформації, а також від розміру гаданих збитків від несанкціонованого доступу, розголошення, витоку та впливу, визначення належного рівня захисту в залежності від категорії інформації та загроз інформаційній безпеці, а також порядку забезпечення такого рівня.
3. Інформаційна безпека
Відповідно до постанови Кабінету Міністрів України «Про затвердження Порядку взаємодії органів виконавчої влади з питань захисту державних інформаційних ресурсів в інформаційних та телекомунікаційних системах» від 16 листопада 2002 р. № 1772 органи виконавчої влади з метою захисту державних інформаційних ресурсів в інформаційних та телекомунікаційних системах.
Необхідною складовою інформаційної безпеки є захист інформації від її втрати, витоку або розголошення. Зазвичай зловмисників цікавить передусім виробничо-технологічна інформація (методи виготовлення продукції, програмне забезпечення, виробничі показники, хімічні формули, рецептури, результати випробувань дослідних зразків, дані контролю якості тощо) та ділова (результати дослідження ринку, списки клієнтів, економічні прогнози, стратегія дій на ринку тощо). Іноземні спецслужби може цікавити також стратегічно важлива для України інформація.
Відповідно до інтересів забезпечення національної безпеки і ступеня цінності для держави, а також правових, економічних та інших інтересів користувачів, за режимом доступу інформація поділяється на відкриту інформацію, тобто загальнодоступну, яка використовується в роботі без спеціального дозволу, поширюється через засоби масової інформації, оголошується на конференціях, у виступах та інтерв’ю; та інформацію з обмеженим доступом, яка містить відомості, що становлять той чи той вид таємниці і підлягають захисту як з боку держави, так і відповідних користувачів.
3.1 Порядок обігу інформації з обмеженим доступом
Порядок обігу інформації з обмеженим доступом регулює ст. 30 Закону України «Про інформацію». Інформація з обмеженим доступом за своїм правовим режимом поділяється на конфіденційну і таємну.
Конфіденційна інформація – це відомості, які перебувають у володінні, користуванні або розпорядженні окремих фізичних чи юридичних осіб і поширюються за їх бажанням відповідно до передбачених ними умов.
До конфіденційної інформації належить медична, тобто свідчення про стан здоров’я людини, історію її хвороби, про мету запропонованих досліджень і лікувальних заходів, прогноз можливого розвитку захворювання, в тому числі і про наявність ризику для життя і здоров’я (ст. ст. 39, 40 Основ законодавства України про охорону здоров’я від 19 листопада 1992 р.). Конфіденційними також є відомості, що містяться у деклараціях державних службовців, які подаються ними на підставі ст. 13 Закону України від 16 грудня 1993 р. «Про державну службу». Згідно зі ст. 30 Закону України від 27 березня 1991 р. «Про підприємства в Україні» під комерційною таємницею підприємства розуміють відомості, пов’язані з виробництвом, технологічною інформацією, управлінням, та іншою діяльністю підприємства, що не є державною таємницею, розголошення (передача, витік) яких може дати шкоди його інтересам. Склад і обсяг відомостей, що становлять комерційну таємницю та порядок її захисту визнаються керівником підприємства. Стаття 9 Закону України «Про адвокатуру» від 19 грудня 1999 р. № 2887-ХІІ визначає, предметом адвокатської таємниці є питання, з яких громами або юридична особа зверталися до адвоката, суть консультацій, порад, роз’яснень та інших відомостей, одержаних адвокатом при здійсненні своїх професійних обов’язків.
Громадяни, юридичні особи, які володіють інформацією професійного, ділового, виробничого, банківського, комерційного та іншого характеру, одержаною на власні кошти, або яка є предметом їх професійного, ділового, виробничого, комерційного та іншого інтересу і не порушує передбаченої законом таємниці, самостійно визначають режим доступу до неї, включаючи належність її до категорії конфіденційності, та встановлюють для неї систему (способи) захисту. До банківської таємниці належить інформація щодо діяння та фінансового стану клієнта, яка стала відомою банку у процесі обслуговування клієнта та взаємовідносин з ним чи іншим особам при наданні послуг банку і розголошення якої е завдати матеріальної чи моральної шкоди клієнтові (ст. Закону України від 7 грудня 2000 р. «Про банки і банків-діяльність»). Зокрема, до такої інформації належать відомі про стан рахунків клієнтів, операції, які були проведені користь чи за дорученням клієнта, здійснені ним угоди, фінансово-економічний стан клієнтів, системи охорони банку та клієнтів, коди, які використовуються банками для захисту інформації, тощо.
Виняток становить інформація комерційного та банківського характеру, а також інформація, правовий режим якої встановлено Верховною Радою України за поданням Кабінету стрів України (з питань статистики, екології, банківських акцій, податків тощо), та інформація, приховування якої загрозу життю і здоров’ю людей.
Закон України «Про внесення змін до деяких законодавчих актів України з питань забезпечення та безперешкодної реалізації права людини на свободу слова» № 676-ІУ 2003 р. передбачає, що «інформація з обмеженим доступом може бути поширена без згоди її власника, якщо ця інформація є суспільно значимою, тобто якщо вона є предметом громадського інтересу і якщо право громадськості знати цю інформацію переважає право її власника на її захист».
При укладанні будь-якого договору (контракту) сторони повинні брати на себе взаємні письмові зобов’язання щодо захисту конфіденційної інформації іншої сторони і документів, отриманих при переговорах, виконання умов договору.
Виробнича чи комерційна цінність інформації, як правило, недовговічна і визначається часом, необхідним конкурентові для вироблення тієї самої ідеї чи її викрадення і відтворення, а також часом до патентування, опублікування і переходу в число загальновідомих.
3.2 Безпека інформаційних ресурсів
Основною загрозою безпеці інформаційних ресурсів обмеженого доступу є несанкціонований (незаконний, недозволений) доступ зловмисника чи сторонньої особи до документованої інформації і як результат – оволодіння інформацією і протиправне її використання або здійснення інших дій. Метою і результатом несанкціонованого доступу може бути не тільки оволодіння цінними відомостями і їх використання, а й їх знищення, підміна тощо. Під сторонньою особою розуміється будь-яка особа, що не має безпосереднього відношення до конфіденційної інформації (співробітники, у яких обмежений доступ до цієї інформації, працівники комунальних служб, екстремальної допомога, відвідувачі, працівники інших підприємств і організацій тощо). Кожна із зазначених осіб потенційно може бути зловмисником чи його спільником, агентом.
Обов’язковою умовою успішного здійснення спроби несанкціонованого доступу до інформаційних ресурсів обмеженого доступу є інтерес до них з боку конкурентів, зазначених вище осіб, служб і організацій. За відсутності такого інтересу загроза інформації не виникає навіть у тому разі, якщо створилися передумови для ознайомлення з нею сторонньої особи. Основним винуватцем несанкціонованого доступу до інформаційних ресурсів є, як правило, персонал, що працює з документами, інформацією і базами даних. При цьому слід зважати, що втрата інформації відбувається переважно не в результаті навмисних дій, а через неуважність і безвідповідальність персоналу.
Отже, витік інформації обмеженого доступу може відбутись за умови:
- наявності інтересу конкурентів (фізичних чи юридичних осіб) до конкретної інформації;
- виникнення ризику загрози, організованої зловмисником за випадково сформованих обставин;
- неефективної системи захисту інформації чи відсутності цієї системи;
- непрофесійно організованої технології опрацювання і збереження конфіденційної інформації;
- неякісного підбору персоналу і плинності кадрів, складного психологічного клімату в колективі;
- відсутності системи навчання співробітників правилам захисту інформації обмеженого доступу;
- відсутності контролю з боку керівництва за дотриманням персоналом вимог нормативних документів у роботі з інформаційними ресурсами обмеженого доступу;
- безконтрольного відвідування приміщень сторонніми особами.
Варто завжди пам’ятати, що факт документування конфіденційної інформації різко збільшує ризик її витоку. Великі майстри минулого ніколи не записували таємниці свого мистецтва, а передавали їх усно синові, учневі. Тому таємниці виготовлення багатьох унікальних предметів того часу так досі і не розкрито.
Висновки
Слід відзначити, що у зв’язку зі зростанням загроз для інформації, спричиненим лібералізацією суспільних та міждержавних відносин, правове забезпечення захисту інформації динамічно змінюється, охоплюючи чимраз ширше коло суспільних відносин. Наприклад, у зв’язку з широким впровадженням електронної торгівлі, розробок у напрямку розбудови електронного уряду, існує нагальна потреба прийняття відповідних законів «Про електронний документообіг» та «Про електронний підпис». Украй актуальним є прийняття відповідно до Конвенції про захист (прав) фізичних осіб у зв’язку з автоматизованим опрацюванням персональних даних, прийнятою Радою Європи 28.01.91 р. відповідних нормативно-правових актів про захист персональних даних. Низку заходів необхідно вжити у зв’язку з підписанням Україною 23 листопада 2001 року Європейської конвенції про кіберзлочинність тощо.
Важливим етапом щодо забезпечення інформаційної безпеки стало прийняття Указу Президента України №1993 «Про рішення Ради національної безпеки і оборони України від 31 жовтня 2001 року «Про заходи щодо вдосконалення державної інформаційної політики та забезпечення інформаційної безпеки України», яким визначено низку важливих напрямів та практичних заходів органам виконавчої влади в Україні. Сьогодні на наукових конференціях, круглих столах відбувається активне обговорення законопроектів «Про інформацію з обмеженим доступом», «Про захист інформації» та ін., які повинні удосконалити чинні правові механізми системи захисту інформації.
Неможливо гарантувати інформаційний суверенітет держави при міжнародному інформаційному обміні, якщо існують невідповідності між категоріями інформації з обмеженим доступом в різних країнах. Чинні закони з питань інформації не приділяють уваги цим питанням, обмежуючись двома-трьома декларативними нормами з цього приводу. Заходи забезпечення безпеки інформації більш-менш врегульовані в Україні щодо Державної таємниці. Щодо інших категорій інформації, в чинних законах існують лише окремі декларативні норми, хоча зазначені закони і містять розділи під назвою «охорона інформації».
Невизначеною є позиція чинного законодавства щодо таємної інформації, яка не становить Державної таємниці, її захисту, особливостей відкритої інформації як об’єкту захисту, персональних даних, комерційної таємниці та іншої конфіденційної інформації, захисту інформації на певних матеріальних носіях тощо.
Список використаних джерел та літератури
1. Закон України «Про інформацію». Відомості Верховної Ради України (ВВР), 1992, N 48, ст.650
2. Закон України «Про захист інформації в інформаційно-телекомунікаційних системах». Відомості Верховної Ради України (ВВР), 1994, N 31, ст.286
3. http://uk.wikipedia.org/wiki/Захист_інформації
4. http://en.wikipedia.org/wiki/CIA_Triad
5. Лаврентьев А. В. НИЦ “ТЕЗИС” НТУУ “КПИ”, г. Киев Рекомендации по организации системы защиты информации. Правове, нормативне та метрологічне забезпечення системи захисту інформації в Україні. Ювілейна науково-технічна конференція, Київ, 1998.
6. Інформаційне забезпечення систем управління