Тема2

Тема 2. Предмет та об’єкт захисту у інформаційній безпеці

2.1. Класифікація інформаційних систем, визначення інформаційно-комунікаційної системи

2.2. Приклади сучасних систем обробки інформації

У теорії захисту інформації у якості предмету захисту інформації розглядають інформацію, яка циркулює, накопичується та обробляється в сучасних комп’ютерних системах. Ця інформація відрізняється двоїстим поданням, високим ступенем обробки та передачі та концентрації інформації. У якості об’єкту захисту інформації, при цьому, розглядається комп’ютерна система. У практиці інформаційної безпеки об’єкт захисту інформації розглядають у більш широкому розумінні, ніж комп’ютерна система. До цієї системи додаються приміщення, будівлі, а також територія, що межує з ними.

2.1. Класифікація інформаційних систем, визначення поняття інформаційно-комунікаційної системи

На поточний час в професійному середовищі циркулює низка термінів, яки визначають поняття систем, в яких інформація накопичується, обробляється та передається. До таких термінів можна віднести:

● комп’ютерні (обчислювальні) системи;

● автоматизовані системи;

● комп’ютерні систем і мережі;

● інформаційно-телекомунікаційні системи;

● інформаційні і комунікаційні системи;

● інформаційно-комунікаційні системи.

Обчислювальна система (рос. – Вычислительная система, ВС, англ.: Computer System). Під обчислювальною системою розуміють сукупність програмних і апаратних засобів, призначених для обробки інформації. Обчислювальна система поєднує в собі технічні засоби обробки і передачі даних (засоби обчислювальної техніки і зв’язку), а також методи і алгоритми обробки даних, що реалізовані у вигляді відповідного програмного забезпечення (ПЗ).

Комп’ютерна система (рос. – Компьютерная система, КС, англ.: Computer System). За логікою, має визначення синоніму обчислювальної системи. Але у вітчизняних нормативних документах його тлумачення досить специфічне. Згідно НД ТЗІ 1.1-003-99 “Термінологія в області захисту інформації в комп'ютерних системах від несанкціонованого доступу”, комп’ютерна система – це сукупність програмно-апаратних засобів, яка подана для оцінки. Під оцінкою тут розуміють експертну оцінку захищеності інформації в цій системі, як складову експертизи або сертифікації на відповідність чинним нормативним документам і стандартам.

На практиці цей термін також використовується як синонім для обчислювальних систем, автоматизованих систем та інформаційних систем. Ми будемо використовувати термін “комп’ютерна система” як синонім терміну “обчислювальна система”.

Автоматизована система (АС) (рос. – Автоматизированная система, АС, англ. – Automated System). Термін “Автоматизована система” вживається по відношенню до систем автоматизованої обробки інформації, що побудовані на основі обчислювальної техніки. Цей термін використовується не лише в контексті захисту оброблюваної інформації, з ним пов’язані численні стандарти, як, наприклад, ГОСТ серії 34 (Інформаційна технологія. Комплекс стандартів на автоматизовані системи).

Існують різні тлумачення терміну “Автоматизована система”. В подальшому ми будемо дотримуватись визначення з НД ТЗІ 1.1-003-99: автоматизована система – це організаційно-технічна система, що реалізує інформаційну технологію і об’єднує (див. рис.):

• обчислювальну систему;

• фізичне середовище;

• персонал;

• інформацію, яка обробляється.

Рис. Автоматизована система

Для АС обчислювальна система, персонал, інформація з технологією її обробки і фізичне середовище розглядаються як складові. Також їх часто згадують як середовища функціонування системи.

Інформаційно-телекомунікаційна система (ІТС). Інформаційно-телекомунікаційною системою називають організаційно-технічну систему, яка включає функції інформаційної системи, тобто організаційно-технічної системи, що реалізує певну технологію (або сукупність технологій) обробки інформації, та/або телекомунікаційної системи, тобто технічної системи, що реалізує певну технологію (або сукупність технологій) передачі даних шляхом їх кодування у формі фізичних сигналів.

Закон «Про захист інформації в інформаційно-телекомунікаційних системах» від 31.05.05 (вступив у дію 1.01.06 р.) визначає інформаційно-телекомунікаційну систему як сукупність інформаційних та телекомунікаційних систем, які у процесі обробки інформації діють як єдине ціле.

В документі НД ТЗІ 3.7-003-05 «Порядок проведення робіт із створення комплексної системи захисту інформації в інформаційно-телекомунікаційній системі» підтверджується наведене вище визначення інформаційно-телекомунікаційної системи, але введено новий вид автоматизованої системи - інтегрованої системи.

Інтегрована система – це сукупність двох або кількох взаємопов’язаних інформаційних та (або) телекомунікаційних систем, в якій функціонування однієї (кількох) з них залежить від результатів функціонування іншої (інших) таким чином, що цю сукупність у процесі взаємодії можна розглядати як єдину систему. Ця система вважається також інформаційно-телекомунікаційною системою.

Інформаційно – комунікаційні системи (ІКС) - це системи, яки побудовано з використанням сучасних інформаційно – комунікаційних технологій (ІКТ).

Наведемо як приклад визначення терміну “Інформаційно-комунікаційні технології” у Документах ООН:

United Nations E/2000/52

Economic and Social Council Distr.: General

18 May 2000

Original: English

00-43729 (E) 080600

Substantive session of 2000

New York, 5 July-1 August 2000

High-level segment

Item 2 of the provisional agenda*

Report of the Secretary-General

Development and international cooperation in the twenty-first century: the role of information technology in the context of a knowledge-based global economy

«…Information and communication technologies (ICT) are usually understood as pertaining to computers, networking and electronic data processing, as well as rapidly improving communications technologies, including mobile telephony, satellite communications, multifold expansion in bandwidths for voice and data-carrying capacity by the use of new materials, such as fiber-optics, as well as the software for new, more efficient and more widespread applications of these new technologies and capacities.»

Інформаційно–комунікаційні технології (ІКТ) – це сукупність обчислювальної техніки та обчислювальних мереж разом, що накопичують, обробляють та передають інформацію, подану у формі даних, голосових повідомлень та відео зображень, яки базуються на сучасних комунікаційних технологіях (мобільний та супутниковий широкосмуговий зв’язок), новітніх сучасних матеріалах (оптоволокно) та програмному забезпеченні для нових, більш ефективних і розповсюджених видів застосування цих новітніх технологій і можливостей.

Треба зазичити, що загальноприйнятим терміном в Україні в галузі захисту інформації до поточного часу є «інформаційно-телекомунікаційні системи», саме він переважно використовується у законодавстві України щодо захисту інформації.

Терміни «інформаційно-телекомунікаційна система», «інтегрована система», «інформаційна і комунікаційна система», «інформаційно-комунікаційна система», «автоматизована система» у подальшому будемо використовувати як синоніми.

2.2. Приклади сучасних систем обробки інформації

Сучасні інформаційні системи різного призначення, розміру, форми власності можуть мати спільні риси і, навидь, схожу структуру. Наведемо приклад організації (компанії) з позиції обробки інформації (наприклад, страхової компанії, виробничого об’єднання, органа державної влади, тощо) (рис). Інформація такої організації обробляється з використанням інформаційно-комунікаційної системи, приклад структурної схеми якої наведемо на наступному рисунки.

Рис. Приклад організації (компанії) з позиції обробки інформації

Рис. Структурна схема ІКС

При детальному порівнянні різних систем можна виділити спільні риси. В будь-якій ІКС можна виділити типові рівні, на яких вирішуються задачі, спільні для всіх систем. Як правило, виділяють 4 рівня (рис.).

Рис. Типові рівні ІКС

Розглянемо типові рівні ІКС знизу вверх:

• Рівень мережі – відповідає за взаємодію вузлів ІКС. Елементами ІКС, що відносяться до цього рівня, є модулі, які реалізують стеки протоколів мережевої взаємодії, наприклад, ТСР/ІР. Також на цьому рівні функціонує специфічна апаратура – мережеве обладнання.

• Рівень операційних систем (ОС) – відповідає за обслуговування програмного забезпечення, яке реалізує більш високі рівні, і його взаємодію з обладнанням. В якості типових елементів цього рівня можна назвати такі поширені ОС, як Microsoft Windows, Sun Solaris, Linux.

• Рівень систем керування базами даних (СКБД) – відповідає за зберігання та обробку даних. В якості типових елементів цього рівня можна назвати СКБД Oracle і MS SQL Server. Іноді СКБД є центральним елементом ІС (наприклад, облік товарів на складі), а іноді СКБД функціонує прозоро для користувачів і виконує допоміжні функції, зокрема для зберігання технологічної інформації самої ІС. Так, наприклад, система підтримки конфіденційного документообігу OPTiMA WorkFlow базується на СКБД MS SQL Server.

• Рівень прикладного ПЗ (застосувань) - найвищий рівень. Розрізняють прикладний компонент і компонент подання (рос. – представления), які є складовими прикладного рівня. Прикладний компонент забезпечує виконання специфічних функцій ІС. Компонент подання відповідає за взаємодію з користувачем і подання даних у необхідній формі. На рівні прикладного ПЗ функціонують, наприклад, офісні застосування, такі як популярні Microsoft Office, Star Office або Open Office, бухгалтерські програми, спеціально розроблені для кожної окремої ІС програмні засоби, що реалізують специфічні для неї функції, і будь-які інші прикладні програми.