- •Мвс україни одеський державний університет внутрішніх справ
- •Лекція з теми № 2 Система регулювання інформаційних правовідносин в Україні
- •1. Поняття, зміст та структура інформаційних правовідносин
- •2. Правове регулювання відносин в галузі створення та використання інформаційних систем та технологій
- •3. Сутність теорії інформаційної безпеки та її методи
- •Висновок
3. Сутність теорії інформаційної безпеки та її методи
Згідно, Закону України “Про національну програму інформатизації”, інформаційна безпека - невід’ємна частина політичної, економічної, оборонної та інших складових національної безпеки. Об’єктами інформаційної безпеки є інформаційні ресурси, канали інформаційного обміну і телекомунікації, механізм забезпечення функціонування телекомунікаційних систем і мереж та інші елементи інформаційної інфраструктури країни.
Інформаційна безпека щодо інформатизації знаходить правове вираження в комплексі нормативних документів із усіх аспектів використання засобів обчислювальної техніки для оброблення та зберігання інформації обмеженого доступу; комплекс державних стандартів із документування, супроводження, використання, сертифікаційних випробувань програмних засобів захисту інформації; банк засобів діагностики, локалізації і профілактики вірусів, нові технології захисту інформації з використанням спектральних методів, високонадійні криптографічні методи захисту інформації тощо.
Аналіз наукової думки та емпіричного матеріалу дає змогу визначити такі принципові положення організації захисту інформації в умовах інформатизації у контексті інформаційної безпеки.
1. Культура інформаційної безпеки як наукове явище сьогодні формується на рівні міжгалузевого комплексного соціоінженерного інституту (наукової дисципліни), який утворився на межі поєднання технічних і гуманітарних наук: правової інформатики, інформаційного права та тектології (теорії організації соціальних систем).
2. За природою походження культура інформаційної безпеки в умовах інформаційного суспільства має триєдиний зміст: організаційний, інженерно-технічний (у тому числі програмно-математичний) та правовий.
3. У перспективі сутність інформаційної безпеки, у тому числі щодо захисту інформації у соціотехнічних системах, буде доповнюватися спеціальними знаннями з інших галузей, підгалузей, інституцій технічних та суспільних наук.
З погляду теорії організації і теорії систем, у науковому синтезі їх – теорії організації систем управління – формування цілеспрямованих, керованих систем (у тому числі будь-яких практичних заходів) передбачає визначення елементів системи та осмислення проблематики предметної галузі (її природу) в цілому.
На нашу думку, провідними елементами системи інформаційної безпеки, у тому числі щодо захисту інформації в автоматизованих комп’ютерних системах, є такі найважливіші чинники.
Суб’єкти – окремі люди, спільноти їх, різного роду організації, суспільство, держава, інші держави, союзи їх, світове співтовариство.
Згідно Закону України “Про захист інформації в інформаційно-телекомунікаційних системах”, суб'єктами відносин, пов'язаних із захистом інформації в системах, є: власники інформації; власники системи; користувачі; уповноважений орган у сфері захисту інформації в системах.
На підставі укладеного договору або за дорученням власник інформації може надати право розпоряджатися інформацією іншій фізичній або юридичній особі - розпоряднику інформації. На підставі укладеного договору або за дорученням власник системи може надати право розпоряджатися системою іншій фізичній або юридичній особі - розпоряднику системи.
Об’єкт – правовідносини між суб’єктами (суспільні відносини), які визначаються за певними об’єктивно існуючими критеріями.
Згідно Закону України “Про захист інформації в інформаційно-телекомунікаційних системах”, об'єктами захисту в системі є інформація, що обробляється в ній, та програмне забезпечення, яке призначено для обробки цієї інформації.
Важливим аспектом загальних положень інформаційної безпеки щодо захисту інформації в цих системах є наукове визначення і формулювання принципів її реалізації. Зазначені принципи повинні мати чітку ієрархічну структуру і критерії. Виходячи з положень природи інформаційної безпеки як організаційного явища, пропонується поділ принципів на такі групи першого порядку: організаційно-правові; організаційно-управлінські; організаційно-технічні.
Отже, інформаційну безпеку можна розглядати як стан захищеності життєво важливих інтересів особистості, суспільства і держави в інформаційній сфері від зовнішніх і внутрішніх погроз.
Інформаційна безпека містить у собі заходу для захисту процесів створення даних, їхнього введення, обробки і висновку.
Метою інформаційної безпеки є забезпечення цінності системи, захист і гарантування точності і цілісності інформації, і мінімізування руйнування, що можуть мати місце, якщо інформація буде модифікована чи зруйнована. Інформаційна безпека вимагає обліку всіх подій, у ході яких інформація створюється, модифікується, до неї забезпечується доступ або вона поширюється.
Інформаційна безпека дає гарантію того, що досягаються наступні цілі: конфіденційність інформації; цілісність інформації і пов’язаних з нею процесів; доступність інформації, коли вона потрібна; облік усіх процесів, пов’язаних з інформацією.
Визначальним у проблематиці теорії організації інформаційної безпеки є з’ясування її напрямків на засадах комплексного підходу щодо методів захисту. Умовно можна визначити такі напрямки організації захисту: правові, управлінські, інженерно-технологічні. У складі останніх як автономні визначаються програмно-математичні (комп’ютерні програмні продукти захисту).
Згідно Закону України “Про захист інформації в інформаційно-телекомунікаційних системах”, комплексна система захисту інформації - це взаємопов'язана сукупність організаційних та інженерно-технічних заходів, засобів і методів захисту інформації.
Дослідники вказують на те, що для попередження несанкціонованого доступу до вказаних систем, мереж та інформації, розробники автоматизованих систем, обчислювальної техніки та засобів передачі інформації ще на стадії проектування передбачають різноманітні засоби захисту. До основних засобів захисту відносять організаційні, правові, технічні, програмні та криптографічні методи захисту інформації, комп’ютерів, комп’ютерних систем та мереж.
Організаційні заходи захисту інформації та засобів комп’ютерної техніки містять у собі сукупність організаційних заходів щодо підбору, перевірки й інструктажу персоналу, який бере участь у всіх стадіях інформаційного процесу, здійснення режиму таємності при функціонуванні комп’ютерних систем, забезпечення режиму фізичної охорони об’єктів, а саме організацію охорони обчислювальної техніки; створення особливого перепускного режиму в приміщеннях, де знаходиться комп’ютерна техніка або комп’ютерна інформація; ретельного добору персоналу; виключення випадків проведення особливо важливих робіт лише однією людиною; наявності типових планів дій керівників та обслуговуючого персоналу при виявленні порушень у роботі комп’ютерних мереж, спробах несанкціонованого доступу до інформації, пожежах, стихійному лиху тощо; розробки функціональних обов’язків робітників, допущених до роботи та обслуговування комп’ютерної техніки, комп’ютерної інформації; наявності плану відновлення працездатності обчислювального центру після виходу його з ладу; організації обслуговування та контролю за роботою сторонньої організації або особи, запрошених для обслуговування приміщень, техніки, обладнання комп’ютерних центрів; універсальності засобів захисту від усіх користувачів (в тому числі вищих посадових осіб та співробітників контрольних, правоохоронних органів); встановлення відповідальності та її розмежування між особами, які повинні забезпечувати безпеку комп’ютерної інформації; вибору місця розташування обчислювального (комп’ютерного) центру тощо; періодичного обстеження приміщень, в яких розміщена комп’ютерна техніка з метою виявлення встановлених невідомими особами пристроїв, що пристосовані для можливого зняття інформації, доступу до неї тощо.
Під правовими заходами захисту комп’ютерної інформації та комп’ютерних технологій слід розуміти комплекс цивільно-правових і кримінально-правових норм, які регулюють суспільні відносини в сфері використання комп’ютерної інформації та передбачають відповідальність за несанкціоноване використання даних програмних та технічних засобів.
До правових заходів необхідно також віднести питання суспільного контролю за комп’ютерними розробниками. І нарешті, до правових заходів, на нашу думку, треба віднести: розробку законодавства, яке передбачало б відповідальність за комп’ютерні злочини; захист авторських прав розробників програмного забезпечення; удосконалення адміністративної, кримінальної, цивільної відповідальності в галузі надійного забезпечення функціонування комп’ютерних мереж і комп’ютерної інформації; контроль за розробками комп’ютерних систем певного характеру (правоохоронних, політичних, економічних, освітніх, військових, соціальних тощо).
Відповідно до положення “Про технічний захист інформації в Україні”, затвердженому Указом Президента, технічний захист інформації являє собою “діяльність, спрямовану на забезпечення інженерно-технічними засобами конфіденційності і цілісності інформації”. Комплекс заходів щодо технічного захисту інформації може здійснюватися тільки в інформаційній системі або на іншому об’єкті інформаційної інфраструктури. Рівень безпеки інформації, що обробляється в системах і на об’єктах інформаційної інфраструктури, визначається комплексом її властивостей, що включає три компоненти:
1) конфіденційність - властивість інформації бути захищеної від несанкціонованого ознайомлення;
2) цілісність — властивість інформації бути захищеної від несанкціонованого перекручування, злому, знищення;
3) доступність - властивість інформації бути захищеної від несанкціонованого блокування.
Тільки забезпечення захисту всіх названих характеристик інформації, є умовою ефективного і безпечного використання інформаційної інфраструктури.
Згідно Закону України “Про захист інформації в інформаційно-телекомунікаційних системах”, технічний захист інформації – це вид захисту інформації, спрямований на забезпечення за допомогою інженерно-технічних заходів та/або програмних і технічних засобів унеможливлення витоку, знищення та блокування інформації, порушення цілісності та режиму доступу до інформації.
Технічні заходи призначені для захисту від неправомірного доступу апаратних засобів та засобів зв’язку комп’ютерної техніки. До технічних заходів, на нашу думку, потрібно віднести: захист від несанкціонованого доступу до системи; резервування особливо важливих комп’ютерних підсистем; організація роботи обчислювальних мереж із можливістю перерозподілу ресурсів у разі порушення працездатності окремих ланок; вжиття конструктивних заходів захисту від крадіжок, шантажу тощо; встановлення резервних систем електроживлення; обладнання приміщень, в яких знаходяться комп’ютери та комп’ютерна інформація системами сигналізації; обладнання приміщень технікою захисту від спроб копіювання інформації ззовні або сторонніми особами.
Програмні заходи містять в собі розробку спеціального програмного забезпечення, яке не дозволило б сторонній людині отримувати інформацію з системи. Це засоби захисту інформаційних ресурсів, захисту від копіювання та від комп’ютерних вірусів.
Серед стандартних захисних засобів персонального комп’ютера найбільше поширення одержали:
засоби захисту обчислювальних ресурсів, що використовують парольну ідентифікацію й обмежують доступ несанкціонованого користувача;
засоби захисту від копіювання комерційних програмних продуктів;
захист від комп’ютерних вірусів і створення архівів.
Програмні методи захисту призначаються для безпосереднього захисту інформації з трьох напрямків: а) апаратури; б) програмного забезпечення; в) даних і керуючих команд.
Під криптографічними заходами слід розуміти спеціальні методи шифрування, кодування або іншого перетворення інформації, в результаті чого її зміст стає недоступним.
Згідно Закону України “Про захист інформації в інформаційно-телекомунікаційних системах”, криптографічний захист інформації - вид захисту інформації, що реалізується шляхом перетворення інформації з використанням спеціальних (ключових) даних з метою приховування/відновлення змісту інформації, підтвердження її справжності, цілісності, авторства тощо.
У наш час найбільш ефективними методами шифрування інформації є криптографія та стеганографія, які найчастіше застосовуються у сукупності. Мета стеганографії – сховати сам факт існування конфіденційної інформації, а мета криптографії – блокування несанкціонованого доступу до інформації.
Криптографічний захист забезпечує захист даних будь-якого типу, що зберігається в будь-якому виді на будь-якому носії, незалежно від операційної системи, формату даних та ін. Це можуть бути файли на диску, повідомлення електронної пошти, записи бази даних та інша інформація. Засоби криптографічного захисту можуть вбудовуватися в додатки (наприклад у програми електронної пошти) чи функціонувати як самостійний додаток, що шифрує файли на комп’ютері користувача. Криптографічні засоби, також можуть використовуватися для формування секретних віртуальних каналів передачі даних, забезпечуючи або апаратне, або програмне шифрування даних, переданих між двома вузлами мережі Internet.