Тема: Технологія захисту інформації. Проблеми захисту інформації в сучасних іс. Основні види сучасних комп’ютерних злочинів. Засоби захисту інформації



Скачати 332.22 Kb.
Дата конвертації14.04.2016
Розмір332.22 Kb.

Комп’ютерні технології в юридичній діяльності

Лекція №10
Тема: Технологія захисту інформації. Проблеми захисту інформації в сучасних ІС. Основні види сучасних комп’ютерних злочинів. Засоби захисту інформації.

Мета: Ознайомитися з технологіями захисту інформації. Розглянути проблеми захисту в сучасних ІС. Ознайомитися з основними видами сучасних комп’ютерних злочинів. Розглянути засоби захисту інформації.
План:

5.1 Сучасна ситуація в сфері інформаційної безпеки.

5.2 Категорії інформаційної безпеки.Нормативна база.

5.3 Системний підхід у створенні механізмів захисту інформаційних систем.



5.4 Постановка задачі моделювання процесів створення систем захисту інформації.

5.5 Модель представлення системи інформаційної безпеки.Вимоги до моделі.

5.6 Опис підходу до формування моделі захисту інформації.

5.7 Про концепцію інформаційної безпеки України.

5.8 Аналіз стану інформаційного простору та інформаційної безпеки України.

5.9 Проблеми інформаційної безпеки України.

5.10 Джерела загроз інформаційній безпеці.

5.11 Методи запобігання та ліквідації загроз інформаційній безпеці.

5.12 Першочергові заходи забезпечення інформаційної безпеки в Україні.


Сучасна ситуація в сфері інформаційної безпеки

 

Останнім часом повідомлення про атаки на інформацію, про хакерів і комп'ютерні зломи наповнили всі засоби масової інформації. Що ж таке "атака на інформацію"? Дати визначення цій дії насправді дуже складно, оскільки інформація, особливо електронна, представлена сотнями різних видів. Інформацією можна вважати й окремий файл, і базу даних, і один запис у ній, і цілий програмний комплекс. І всі ці об'єкти можуть піддатися і піддаються атакам з боку деякої соціальної групи осіб.



При збереженні, підтримці і наданні доступу до будь-якого інформаційного об'єкта його власник, або уповноважена ним особа, накладає явно або самоочевидно набір правил по роботі з нею. Навмисне їхнє порушення класифікується як атака на інформацію.

З масовим впровадженням комп'ютерів в усі сфери діяльності людини обсяг інформації, збереженої в електронному виді, виріс у тисячі раз. І тепер скопіювати за півхвилини і віднести дискету з файлом, що містить план випуску продукції, набагато простіше, ніж  переписувати сотні паперів. А з появою комп'ютерних мереж навіть відсутність фізичного доступу до комп'ютера перестало бути гарантією цілісності інформації.

Які можливі наслідки атак на інформацію? У першу чергу, звичайно, нас будуть цікавити економічні втрати:

1.     1.     Розкриття комерційної інформації може привести до серйозних прямих збитків на ринку.

2.     2.     Звістка про крадіжку великого обсягу інформації серйозно впливає на репутацію фірми, приводячи  до втрат в обсягах торгових операцій.

3.     3.     Фірми-конкуренти можуть скористатися крадіжкою інформації, якщо та залишилася непоміченої, для того щоб цілком розорити фірму, нав'язуючи їй фіктивні або свідомо збиткові угоди.

4.     4.     Підміна інформації як на етапі передачі, так і на етапі збереження у фірмі може привести до величезних збитків.

5.     5.     Багаторазові успішні атаки на фірму, що надає будь-який вид інформаційних послуг, знижують довіру до фірми в клієнтів, що позначиться на обсязі доходів.

Природно, комп'ютерні атаки можуть принести і величезний моральний збиток. Поняття конфіденційного спілкування давно вже стало притчею. Зрозуміло, що ніякому користувачу комп'ютерної мережі не хочеться, щоб його листи крім адресата одержували ще 5-10 чоловік або, наприклад, весь текст, що набирається на клавіатурі ЕОМ, копіювався в буфер, а потім, при підключенні до Інтернету, відправлявся на визначений сервер. А саме так і відбувається в тисячах і десятках тисяч випадків.

Кілька цікавих цифр про атаки на інформацію. Якщо у комерційній організації відбувається витік більш 20% важливої внутрішньої інформації, то вона в 60 випадках з 100 банкрутує. Стверджують також, що 93% компаній, що залишилися без доступу до власної інформації на термін більш 10 днів, покинули бізнес, причому половина з них заявила про свою неспроможність негайно.

Існує безліч суб'єктів і структур, дуже зацікавлених у чужій інформації і готових заплатити за це високу ціну. Так, вартість пристроїв підслуховування, що продаються тільки в США, становить в середньому близько 900 млн. дол. у рік. Сумарні втрати, нанесені організаціям, проти яких здійснювалося прослуховування, складають щорічно в США близько 8 млрд. дол. Але ж існують і, відповідно, здобуваються пристрої для несанкціонованого доступу до інформації і по інших каналах: проникнення в інформаційні системи, перехоплення і дешифрування повідомлень і т.д. У результаті, за даними SANS Institute, середній розмір збитку від однієї атаки в США на корпоративну систему для банківського і ІТ-секторів економіки складає біля півмільйона доларів.

 

Категорії інформаційної безпеки



 

Інформація з погляду інформаційної безпеки має наступні категорії:



  • конфіденційність – гарантія того, що конкретна інформація доступна тільки тому колу осіб, для кого вона призначена; порушення цієї категорії називається розкраданням або розкриттям інформації

  • цілісність – гарантія того, що інформація зараз існує в її вихідному виді, тобто при її збереженні або передачі не було зроблено несанкціонованих змін; порушення цієї категорії називається фальсифікацією повідомлення

  • автентичність – гарантія того, що джерелом інформації є саме та особа, що заявлена як її автор; порушення цієї категорії також називається фальсифікацією, але вже автора повідомлення

  • апельованість – досить складна категорія, але часто застосовувана в електронній комерції – гарантія того, що при необхідності можна буде довести, що автором повідомлення є саме заявлена людина, і не може бути ніхто інший; відмінність цієї категорії від попередньої в тому, що при підміні автора, хтось інший намагається заявити, що він автор повідомлення, а при порушенні апельованісті – сам автор намагається "відхреститися" від своїх слів, підписаних ним один раз.

У відношенні до інформаційних систем застосовуються інші категорії :

  • надійність – гарантія того, що система поводиться в нормальному і позаштатному режимах так, як заплановано

  • точність – гарантія точного і повного виконання всіх команд

  • контроль доступу – гарантія того, що різні групи осіб мають різний доступ до інформаційних об'єктів, і ці обмеження доступу постійно виконуються

  • контрольованість – гарантія того, що в будь-який момент може бути зроблена повноцінна перевірка будь-якого компонента програмного комплексу

  • контроль ідентифікації – гарантія того, що клієнт, підключений у даний момент до системи, є саме тим, за кого себе видає

  • стійкість до спеціальних збоїв – гарантія того, що при спеціальному внесенні помилок у межах заздалегідь обговорених норм система буде поводитися так, як обговорено заздалегідь.

 

Нормативна база

 

Обґрунтуванню критеріїв і створенню методології оцінки інформаційної безпеки приділена значна увага. В даний час можна виділити наступні документи, що внесли серйозний теоретичний і практичний внесок у розв’язання  задач інформаційної безпеки:



1.     1.     Критерії оцінки захищеності комп'ютерних систем, що відомі як "Жовтогаряча книга".

2.     2.     Європейські критерії оцінки безпеки інформаційних технологій. Дані критерії розроблені з урахуванням виявлених недоліків і обмежень при використанні "Жовтогарячої книги" і є виправленими і доповненими стосовно першого.

3.     3.     Канадські критерії оцінки безпеки надійних комп'ютерних систем.

4.     4.     Федеральні критерії США, розроблені за замовленням уряду США і спрямовані на усунення обмежень, незручностей практичного застосування і недоліків "Жовтогарячої книги".

5.     5.     Міжнародний стандарт ISO/IEC 15408 - "Критерії оцінки безпеки інформаційних технологій", або Єдині критерії.

6.     6.     Робочий проект стандарт СЕМ-97/017 - "Загальна методологія оцінки безпеки інформаційних технологій".

Перераховані нормативні документи, і особливо останні два, вносять суттєвий вклад у формування єдиної міжнародної науково-методологічної бази вирішення проблеми інформаційної безпеки в продуктах і інформаційних технологіях. Аналіз цих документів підтверджує той факт, що для вирішення задач забезпечення інформаційної безпеки, поряд з формальними методами моделювання процесів і оцінки ефективності функціонування систем необхідно широко використовувати методи декомпозиції і структуризації компонентів систем і процесів, неформальні методи оцінки ефективності функціонування і прийняття рішень. Це означає, що апарат системного аналізу необхідно використовувати на всіх етапах життєвого циклу систем захисту інформації.
Але існуючі стандарти і документи на їхній основі не дають відповідей на ряд ключових питань.

1.     1.     Як створити інформаційну систему, щоб вона була захищеною на необхідному рівні, що об'єктивно перевіряється?

2.     2.     Як практично сформувати режим безпеки і підтримувати його в умовах постійно змінного зовнішнього оточення і структури самої системи?

3.     3.     Який реальний рівень безпеки і наскільки ефективна система захисту інформації?

Системний підхід у створенні механізмів захисту інформаційних систем

 

Поняття системності полягає не просто в створенні відповідних механізмів захисту, а являє собою регулярний процес, що здійснюється на всіх етапах життєвого циклу ІС. При цьому всі засоби, методи і заходи, які використовуються для захисту інформації поєднуються в цілісний механізм - систему захисту.



Вже в перших роботах по захисту інформації були викладені основні постулати, що не втратили своєї актуальності і сьогодні: абсолютний захист створити не можна; система захисту інформації повинний бути комплексною; СЗІ повинна бути такою, що адаптується до умов, які постійно змінюються.

До цих аксіом потрібно додати й інші. По-перше, СЗІ повинна бути саме системою, а не простим, багато в чому випадковим і хаотичним набором деяких технічних засобів і організаційних заходів, як це найчастіше спостерігається на практиці. По-друге, системний підхід до захисту інформації повинен застосовуватися, починаючи з підготовки технічного завдання і закінчуючи оцінкою ефективності і якості СЗІ в процесі її експлуатації.

На жаль, необхідність системного підходу до питань забезпечення безпеки інформаційних технологій поки ще не знаходить належного розуміння в користувачів сучасних ІС.

Сьогодні фахівці із різних областей знань, так чи інакше, змушені займатися питаннями забезпечення інформаційної безпеки. Це обумовлено тим, що в найближчі років сто нам доведеться жити в суспільстві (середовищі) інформаційних технологій, куди перекочують усі соціальні проблеми людства, у тому числі і питання безпеки...

Якщо зібрати усіх фахівців разом, то при наявності в кожного з них величезного досвіду і знань, створити СИСТЕМУ інформаційної безпеки найчастіше так і не вдається. Розмовляючи про ті ж самі речі, фахівці найчастіше не розуміють один одного, оскільки в кожного з них свій підхід, своя модель представлення системи захисту інформації. Такий стан справ зумовлений відсутністю системного підходу, що створив би взаємні зв'язки (відносини) між існуючими поняттями, визначеннями, принципами, способами і механізмами захисту…

 

Постановка задачі моделювання процесів створення систем захисту інформації



 

Одинадцять окремо узятих футболістів (навіть дуже гарних) не складають команду доти, поки на основі заданих цілей не буде відпрацьована взаємодія кожного з кожним. Аналогічно СЗІ лише тоді стане СИСТЕМОЮ, коли будуть установлені логічні зв'язки між усіма її складовими.

Як же організувати таку взаємодію? У футболі команди проводять регулярні тренування, визначаючи роль, місце і задачі кожного гравця, а якість ефективності команд оцінюється по грі в матчах, результати яких заносяться в турнірну таблицю. Таким чином, після проведення всіх зустрічей команд (кожної з кожною), можна зробити висновок про рівень майстерності як команди в цілому, так і окремих її гравців. Перемагає той, у кого найбільше чітко організоване взаємодія...

Виражаючи термінами сучасного бізнесу, для вирішення питань взаємодії потрібно перейти від "чисто" технічного на "конкретно" логічний рівень представлення процесів створення і функціонування СИСТЕМ захисту інформації

У "науковій постановці" завдання автора полягає в наданні користувачам допоміжного інструменту "ялинки" - (моделі СЗІ), а задача читача (користувача) - прикрасити цю "ялинку" новорічними іграшками - (своїми знаннями і розв’язками). Навіть якщо "іграшок" поки ще немає, наявність "ялинки" допоможе вибрати і придбати потрібні "прикраси". Кінцевий результат роботи (ступінь краси ялинки) залежить від ваших бажань, здібностей і можливостей. У когось вийде добре, у когось - не зовсім... Але це природний процес розвитку, придбання знань і досвіду.

До речі, оцінити красу ялинки (ефективність системи захисту) дуже проблематично, оскільки в кожного з нас свої вимоги і смаки, про які, як відомо, не сперечаються, особливо з керівництвом.

Таким чином, різноманіття варіантів побудови інформаційних систем породжує необхідність створення різних систем захисту, що враховують індивідуальні особливості кожної з них. У той же час, великий обсяг наявних публікацій навряд чи може сформувати чітке представлення про те, як же приступити до створення системи захисту інформації для конкретної інформаційної системи, з обліком властивих їй особливостей і умов функціонування. Як сказав класик гумору: "...многовид ваших питань породжує многовид наших відповідей..."

Виникає питання: чи можна сформувати такий підхід до створення систем захисту інформації, що об'єднав би в щось єдине зусилля, знання і досвід різних фахівців? При цьому бажано, щоб зазначений підхід був універсальним, простим, зрозумілим і дозволяв би в однаковій степені задовольнити будь-які смаки (вимоги) гурманів інформаційної безпеки?

 

Модель представлення системи інформаційної безпеки



 

Практична задача забезпечення інформаційної безпеки складається в розробці моделі представлення системи (процесів) ІБ, що на основі науково-методичного апарату, дозволяла б вирішувати задачі створення, використання й оцінки ефективності СЗІ для проектованих і існуючих унікальних ІС. Що розуміється під моделлю СЗІ? На скільки реально створити таку модель? У спрощеному виді модель СЗІ представлена на Мал.1.



http://unicyb.kiev.ua/~boiko/it/mudra_i_mss.files/image002.jpg

Мал. 1


Основною задачею моделі є наукове забезпечення процесу створення системи інформаційної безпеки за рахунок правильної оцінки ефективності прийнятих рішень і вибору раціонального варіанту технічної реалізації системи захисту інформації.

Специфічними особливостями розв’язку задачі створення систем захисту є:



  • неповнота і невизначеність вихідної інформації про склад ІС і характерних погрозах;

  • багатокритеріальність задачі, пов'язана з необхідністю обліку великої кількості частинних показників (вимог) СЗІ;

  • наявність як кількісних, так і якісних показників, які необхідно враховувати при розв’язанні задач розробки і впровадження СЗІ;

  • неможливість застосування класичних методів оптимізації.

 

Вимоги до моделі

 

Така модель повинна задовольняти наступним вимогам:



Використовуватися в якості:

  • Посібника зі створення СЗІ

  • Методики формування показників і вимог до СЗІ

  • Інструмента (методика) оцінки СЗІ

  • Моделі СЗІ для проведення досліджень (матриця стану)

Мати властивості:

  • Універсальність

  • Комплексність

  • Простота використання

  • Наочність

  • Практична спрямованість

  • Бути самонавчальною (можливість нарощування знань)

  • Функціонувати в умовах високої невизначеності вихідної інформації

Дозволяти:

  • Установити взаємозв'язок між показниками (вимогами)

  • Задавати різні рівні захисту

  • Одержувати кількісні оцінки

  • Контролювати стан СЗІ

  • Застосовувати різні методики оцінок

  • Оперативно реагувати на зміни умов функціонування

  • Об'єднати зусилля різних фахівців єдиним задумом

 

Опис підходу до формування моделі захисту інформації

 

Як скласти таке представлення про інформаційну безпеку, щоб охопити всі аспекти проблеми? Людина одержує найбільше повне представлення про явище, яке її цікавить, коли їй вдається розглянути це щось невідоме з усіх боків, у тривимірному просторі.



Скористаємося цим принципом.
 Розглянемо три "координати вимірів" - три групи складових моделі СЗІ.

1.     1.     З чого складається (ОСНОВИ).

2.     2.     Для чого призначена (НАПРЯМКИ).

3.     3.     Як працюють (ЕТАПИ).

ОСНОВАМИ – складовими частинами практично будь-якої складної СИСТЕМИ (у тому числі і системи захисту інформації) є:


  • Законодавча, нормативно-правова і наукова база;

  • Структура і задачі органів (підрозділів), що забезпечують безпеку ІТ;

  • Організаційно-технічні і режимні виміри і методи (політика інформаційної безпеки);

  • Програмно-технічні способи і засоби.

 НАПРЯМКИ формуються виходячи з конкретних особливостей ІС як об'єкта захисту.

У загальному випадку, з огляду на типову структуру ІС і історично сформовані види робіт із захисту інформації, пропонується розглянути наступні напрямки:



  • Захист об'єктів інформаційних систем;

  • Захист процесів, процедур і програм обробки інформації;

  • Захист каналів зв'язку;

  • Придушення побічних електромагнітних випромінювань;

  • Керування системою захисту.

Але, оскільки кожен з цих НАПРЯМКІВ базується на перерахованих вище ОСНОВАХ, то елементи ОСНОВ і НАПРЯМКІВ, розглядаються нерозривно один з одним

Проведений аналіз існуючих методик (послідовностей) робіт зі створення СЗІ дозволяє виділити наступні ЕТАПИ:



  • Визначення інформаційних і технічних ресурсів, а також об'єктів ІС, що підлягають захисту;

  • Виявлення повної множини потенційно можливих погроз і каналів витоку інформації;

  • Проведення оцінки вразливості і ризиків інформації (ресурсів ІС) при наявній множині погроз і каналів витоку;

  • Визначення вимог до системи захисту інформації;

  • Здійснення вибору засобів захисту інформації і їхніх характеристик;

  • Впровадження й організація використання обраних методів і засобів захисту.

  • Здійснення контролю цілісності і керування системою захисту.

У загальному випадку кількість елементів матриці може бути визначено зі співвідношення 
K = Oi*Hj*Mk 
Де 
К - кількість елементів матриці 
Oi - кількість складових блоку "ОСНОВИ" 
Hj - кількість складових блоку "НАПРЯМКИ" 
Mk - кількість складових блоку "ЕТАПИ"

У нашому випадку загальна кількість елементів "матриці" дорівнює 140 


K=4*5*7=140, оскільки Oi=4, Hj=5, Mk=7

Усе це можна представити у вигляді своєрідного кубика Рубика, на гранях якого утворилася мозаїка взаємозалежних складових елементів системи захисту. Отримано матрицю запитань, відповіді на які дозволять сформувати представлення про стан захищеності інформації у конкретній ІС (елементи матриці описані в додатку).

Нагадаємо, що матриця не існує сама по собі, а формується виходячи з опису конкретної ІС і конкретних задач  захисту інформації в цій системі, див.

Мал. 2


 

http://unicyb.kiev.ua/~boiko/it/mudra_i_mss.files/image004.jpg

Мал. 2


Як оцінити ефективність створюваної чи уже функціонуючої СЗІ? 
Знову допоможе підхід на основі тривимірної матриці. Тільки тепер по показниках (елементах) матриці (140)треба виставити відповідні оцінки. Існує багато методів оцінок, вибирайте будь-який зрозумілий і прозорий для вас. Найбільш популярний на сьогоднішній день метод – це так званий „Три П” підлога, палець, стеля („потолок”). 
Наочно зазначені властивості матриці приведені на Мал. 38.

http://unicyb.kiev.ua/~boiko/it/mudra_i_mss.files/image006.jpg
Мал. 3

 

Висновок



 

Для відповіді на питання, якою мірою система захисту інформації забезпечує необхідний рівень безпеки, необхідно оцінювати ефективність СЗІ. Удосконалювання нормативної бази, методичного забезпечення в області інформаційної безпеки повинне відбуватися, насамперед, у цьому напрямку. Змістовні результати по оцінці ефективності систем захисту інформації можуть бути отримані при системному підході. Однак і віддача, насамперед економічна, буде набагато вагоміша, а інтереси, як замовника, так і розроблювача СЗІ, будуть захищені більш надійно.

 

«Інформаційна безпека України: поняття, сутність та загрози»

Галамба Микола - доктор юридичних наук, професор, заслужений юрист України

Розвиток і впровадження практично у всі сфери діяльності інформаційних технологій суттєво змінює структуру суспільства, а також трансформує міжнародні відносини. Одним з найважливіших напрямів цієї трансформації стає реалізація національних інтересів щодо забезпечення національної безпеки.

Починаючи із середини ХХ сторіччя, триває бурхливий розвиток інформаційних технологій, які набули глобального характеру. Обсяги світової інформаційної індустрії на початку 90-х років минулого сторіччя досягли 2 трлн. доларів США, а на початку ХХІ сторіччя зросли на порядок [1]. Виходячи з цього можна стверджувати, що в світі проходить стрімке формування інформаційного суспільства. Головною його особливістю є те, що стратегічним ресурсом стає інформація, яка здатна взаємодіяти не тільки з матеріальним, але й з духовним світом людини. Ось чому у програмі інтеграції України до Європейського союзу як базовий був включений розділ „Інформаційне суспільство” [2].

Інформаційне суспільство, як і будь-яка система, складається із структурних одиниць. До її складу входять: суб’єкти інформаційних процесів, інформація, призначена для використання суб’єктами інформаційного суспільства, інформаційна інфраструктура, суспільні відносини, які складаються у зв’язку зі створенням, зберіганням, передачею та розповсюдженням інформації [3, 4].

Суб’єкти інформаційної сфери та окремі елементи її інфраструктури можна об’єднати поняттям „інформаційна система”, якою забезпечується одержання і обробка даних, видача результату або зміна власного зовнішнього стану [5]. Метою існування інформаційних систем, що інтегровані до інформаційного суспільства, є зміна в своїх інтересах поведінки інших інформаційних систем або ж підтримання їх поведінки незмінною. Кожна інформаційна система може розглядатися як об’єкт інформаційного впливу, який реалізується цілеспрямованою передачею інформації, що включає як змістову (сутнісний бік, пов’язаний із відображенням реальної діяльності), так і представницьку складову (форму представлення інформації для передачі та забезпечення адекватного засвоєння), а також характеризується ціннісним аспектом [6].

За своєю сутністю інформація може формувати матеріальне середовище життя людини, виступаючи у ролі інноваційних технологій, комп’ютерних програм тощо. Водночас вона може використовуватись як основний засіб міжособистісної взаємодії, постійно виникаючи та змінюючись у процесі переходу від однієї інформаційної системи до іншої.

Як товар інформація може користуватися попитом, оскільки має певну цінність, однак її специфіка, пов’язана з перетворенням людських знань, створює складності у визначенні її вартості [7]. Проте, на нашу думку, цінність інформації може визначатися, виходячи з її достовірності, цілісності і доступності. Остання робить інформацію найбільш привабливою, оскільки її конфіденційність визначається встановленим режимом доступу і обмежується колом осіб, які мають право володіти нею [8].

Слід відзначити, що в Україні інформація з обмеженим доступом поділяється на два різновиди – таємну і конфіденційну. Відповідно до Закону України „Про інформацію” до таємної інформації відносять такі відомості, розголошення яких завдає шкоди особі, суспільству і державі, та яка включає до свого складу державну або іншу визначену законом таємницю [9]. Перелік видів таємної інформації визначається державою і закріплюється законодавчо. Державна таємниця включає в себе відомості у сфері оборони, економіки, науки і техніки, зовнішніх відносин, державної безпеки та охорони правопорядку, розголошення яких може завдати шкоди національній безпеці України та які визначені у встановленому законом порядку державною таємницею і підлягають охороні державою [10].

Виходячи з наведеного можна говорити про те, що захист інформації, віднесеної до конфіденційної, і перш за все до державної таємниці, слід вважати невід’ємною складовою національної безпеки України. Іншими словами, можна стверджувати, що інформаційна безпека визначається як захищеність важливих інтересів особи, суспільства та держави в інформаційній сфері, за якою забезпечується використання інформації в інтересах її суб’єктів, сталий розвиток держави, виявлення, попередження і ліквідація загроз національним інтересам.

Категорія національних інтересів в інформаційній сфері в повній мірі узгоджується з іншою категорією – національною безпекою, і співвідноситься між собою за схемою «частина» і «ціле». При цьому слід ураховувати, що інформаційна складова не може існувати поза цілями загальної національної безпеки, так само, як і національна безпека не буде всеохоплюючою без інформаційної безпеки [11].

У цілому політика національної безпеки держави спрямована на мінімізацію та, по можливості, уникнення існуючих чи потенційних внутрішніх або зовнішніх загроз розвитку держави у відповідності з її цілями [12].

Уперше поняття „національна безпека” та „національні інтереси” на законодавчому рівні були визначені у ”Концепції (основах державної політики) національної безпеки України”, яка була прийнята Верховною Радою України [13]. В ній визначається, що захист національної безпеки є однією з найважливіших функцій держави. В цьому контексті інформаційна безпека, як невід’ємна складова національної безпеки, потребує свого забезпечення на державному рівні, оскільки протягом усієї історії розвитку людства інформація розглядалася як важливий військовий, політичний, економічний і соціальний фактори, що в значній мірі обумовлює розвиток держави, суспільства і особистості в конкретних історичних умовах.

Однією з характерних ознак так званої „інформаційної революції” в цій сфері стало народження електронної комерції, яка розвивається у відповідності до законів ринку та вільної конкуренції [14]. Ці обставини збільшили попит на стратегічну інформацію, яка безпосередньо пов’язана з діяльністю держави. Головною характеристикою стратегічної інформації є спеціальний правовий режим її збору, збереження і використання, тобто режим таємності, який забезпечується силою державного примусу. Ця інформація залишається стратегічною лише до того моменту, поки вона недоступна іншим сторонам, які віднесені до ймовірних противників. Але вдосконалення інформаційних технологій зробило державну таємницю не абсолютним, а відносним поняттям. Тому, на думку деяких фахівців [15], відбувається зменшення часу, протягом якого держава здатна зберігати секретність інформації, зокрема стратегічної. Визначені закономірності дозволяють дійти висновку, що в сучасних умовах традиційні підходи щодо забезпечення інформаційної безпеки у короткий проміжок часу втрачають свою ефективність і потребують постійного удосконалення.

Одним із основних елементів реалізації державної політики в інформаційній сфері є інформаційна інфраструктура, яку слід вважати невід’ємною частиною стратегічних інформаційних ресурсів і такою, що має значення для обороноздатності держави і її інформаційного ринку. Так, Законом України „Про Концепцію національної програми інформатизації” [16] до інформаційної інфраструктури входять:



  • міжнародні та міжміські телекомунікаційні та комп’ютерні мережі;

  • системи інформаційно-аналітичних центрів;

  • інформаційні ресурси;

  • інформаційні технології;

  • системи науково-дослідних установ з проблем інформатизації;

  • виробництво та обслуговування технічних засобів інформації;

  • система підготовки кваліфікованих фахівців у сфері інформатизації.

Аналізуючи державну політику в інформаційній сфері, слід визначити і те місце, яке займають у ній питання інформаційної безпеки, які наведені в юридичній та спеціальній літературі, і базуються на розумінні інформаційної безпеки як складової національної безпеки України.

По суті це є вірним, оскільки завданням заходів з інформаційної безпеки є мінімізація шкоди через неповноту, несвоєчасність або недостовірність інформації чи негативного інформаційного впливу через наслідки функціонування інформаційних технологій, а також несанкціоноване поширення інформації [17]. Саме тому інформаційна безпека передбачає наявність певних державних інститутів і умов існування її суб’єктів, що встановлені міжнародним і вітчизняним законодавством [18].

Крім цього, інформаційна безпека повинна забезпечуватися шляхом проведення цілісної державної програми відповідно до Конституції та чинного законодавства України і норм міжнародного права шляхом реалізації відповідних доктрин, стратегій, концепцій і програм, що стосуються національної інформаційної політики України.

Підводячи підсумок, можна стверджувати, що інформаційна безпека передбачає можливість безперешкодної реалізації суспільством і окремими його членами своїх конституційних прав, пов’язаних з можливістю вільного одержання, створення й розповсюдження інформації. Поняття інформаційної безпеки держави слід також розглядати у контексті забезпечення безпечних умов існування інформаційних технологій, які включають питання захисту інформації, як такої інформаційної інфраструктури держави, інформаційного ринку та створення безпечних умов існування і розвитку інформаційних процесів.

Необхідний рівень інформаційної безпеки забезпечується сукупністю політичних, економічних, організаційних заходів, спрямованих на попередження, виявлення й нейтралізацію тих обставин, факторів і дій, які можуть вчинити збиток чи зашкодити реалізації інформаційних прав, потреб та інтересів країни і її громадян.

Слід зазначити, що поняття „інформаційної безпеки держави” розглядали Бондаренко В.О., Литвиненко О.В., Кормич Б.А., Остроухов В.В., Стрельцов А.А., Расторгуев С.П., Баринов А., Бучило И.Л. [3, 5, 19-25 та ін.], але, на наш погляд, інформаційна безпека держави – це стан її інформаційної захищеності, за якої спеціальні інформаційні операції, акти зовнішньої інформаційної агресії та негласного зняття інформації (за допомогою спеціальних технічних засобів), інформаційний тероризм і комп’ютерні злочини не завдають суттєвої шкоди національним інтересам.

Для розуміння реальних та потенційних загроз інформаційному простору України необхідно дати визначення інформаційні операції, акти зовнішньої інформаційної агресії, інформаційного тероризму та комп’ютерна злочинність.

Спеціальні інформаційні операції (СІО) – це сплановані дії, спрямовані на ворожу, дружню або нейтральну аудиторію шляхом впливу на її свідомість і поведінку за допомогою використання певним чином організованої інформації та інформаційних технологій для досягнення певної мети.

Акти зовнішньої інформаційної агресії (АЗА) – легальні та/або протиправні акції, реалізація яких може мати негативний вплив на безпеку інформаційного простору держави.

СІО та АЗА вміщують у себе психологічні дії зі стратегічними цілями, психологічні консолідуючі дії та психологічні дії з безпосередньої підтримки бойових дій. Вони поділяються на такі види: операції, спрямовані проти суб’єктів, які ухвалюють рішення; операції, спрямовані на компрометацію, завдання шкоди опонентам; операції, спрямовані на політичну (економічну) дестабілізацію.

Варто мати на увазі, що СІО та АЗА відбувається на макро- і мікрорівні. Тобто, СІО та АЗА макрорівня – це будь-яка агітаційно-пропагандистська і розвідувально-організаційна діяльність, котра орієнтована на конкретні соціальні групи людей і здійснювана, в основному, через засоби масової інформації та по каналах комунікацій. СІО та АЗА мікрорівня, зі свого боку, уособлює будь-яку агітаційно-пропагандистську і розвідувально-організаційну діяльність ідеологічного характеру, прицільно персоналізовану і здійснювану, переважно, через міжособистісне спілкування. Для цього часто використовується діяльність, що спрямована на поширення чуток чи збудження іншими методами запланованого негативного поводження населення держави-об’єкту інформаційної війни.

Якщо ж ми зачіпаємо поняття СІО та АЗА в контексті заходів політичної розвідки, то слід зазначити, що за її допомогою мають вирішуватися певні політичні проблеми, досягатися стратегічні цілі суспільства певної держави чи іншого суб’єкта розвідувальної діяльності. Для об’єкта, на який спрямована СІО та АЗА, мають настати або ж утворитися загрози чи небезпеки виникнення негативних наслідків. Отже, такий вплив на об’єкт за своєю суттю є також негативним. Вплив, як такий, застосовується як до окремої особи чи групи осіб, так і на все суспільство в цілому або певний його соціальний прошарок. Звідси, в контексті СІО та АЗА має бути діяльністю, котра проводиться, як правило, спеціальними органами іноземних держав чи транснаціональних структур (останніми роками навіть приватних осіб зі світовим рівнем авторитету, капіталу, потреб та інтересів), які уповноважені суб’єктом інформаційної війни здійснювати подібну діяльність. Тобто – це спеціальні служби, насамперед розвідувальні, котрі застосовуються для досягнення загальної політичної мети шляхом реалізації оперативних завдань.

Отже, СІО та АЗА можуть проводитись спецслужбами, насамперед, іноземних держав таємних операцій та акцій негативного, нерідко деструктивного ідеологічного, ідейно-політичного та соціального впливу на особу, групу осіб або суспільство в цілому з метою їх переорієнтації на інші цінності та ідеали, підштовхнути до вчинення протиправних дій в напрямку підриву і послаблення державного та суспільно-політичного ладу для вирішення завдань здійснення вигідного впливу.

Слід зазначити, що СІО та АЗА проводиться шляхом розповсюдження інформації певного роду (правдивої чи фальшивої) різними способами. Це є використання комунікативних технологій з впливу на масову свідомість із довготривалими чи короткотривалими цілями. Треба підкреслити, що СІО та АЗА створюють загрозу не стільки своїм існуванням як явище взагалі, а тим, що вона „вмикає” та запускає в дію речово-енергетичні процеси, а також контролює їх. Суть якраз і полягає в тому, що вона може збуджувати та скеровувати такі процеси, масштаби яких у багато разів більші за саму операцію.

Саме зазначений вид інформаційної боротьби, як правило, скерований на переорієнтацію окремих осіб, їх груп чи суспільства в цілому на інші цінності та ідеали для послаблення політичного і соціально-політичного устрою. В разі, коли заходи безпосереднього інформаційного підриву є інструментом політичної розвідки, їхня мета також має політичний характер. Отже, СІО та АЗА передбачають зазначене спричинення шкоди життєво важливим інтересам у політичній, економічній, науково-технічній, соціальній чи будь-якій іншій суспільній сферах життя держави-супротивника та на цій основі здійснення вигідного впливу для отримання переваг у тій чи іншій галузі.

Інформаційний тероризм – небезпечні діяння з інформаційного впливу на соціальні групи осіб, державні органи влади і управління, пов’язані з розповсюдженням інформації, яка містить погрози переслідуванням, розправою, вбивствами, а також викривлення об’єктивної інформації, що спричиняє виникнення кризових ситуацій в державі, нагнітання страху і напруги в суспільстві.

Комп’ютерні злочини – протиправні діяння, у сфері використання електронних обчислювальних машин (комп’ютерів), автоматизованих систем та комп’ютерних мереж, за які передбачена відповідальність чинним Кримінальним кодексом Україн
Концепція інформаційної безпеки України.

Питання забезпечення інформаційної безпеки сьогодні для України стоять на одному рівні із захистом суверенітету і територіальної цілісності, забезпеченням її економічної безпеки. Роботи над концепцією інформаційної безпеки України спрямовані на систематизацію питань, які поєднані в проблему забезпечення інформаційної безпеки країни, на визначення методів та засобів захисту життєво важливих інтересів особистості, суспільства, держави в інформаційній сфері, на створення засад для формування державної політики інформаційної безпеки, розвитку інформаційного простору країни.


Інформаційний простір – середовище, де здійснюється формування, збір, зберігання та розповсюдження інформації. Інформаційний простір України – це інформаційний простір, на який розповсюджується юрисдикція України.

Інформаційна безпека – стан захищеності інформаційного простору, який забезпечує формування та розвиток цього простору в інтересах особистості,: суспільства та держави.

Загрози інформаційній безпеці — фактор або їх сукупність, що створюють небезпеку функціонуванню та розвитку інформаційного простору, інтересам особистості, суспільства, держави.

Захист інформації – сукупність засобів, методів, організаційних заходів щодо попередження можливих випадкових або навмисних впливів природного чи штучного характеру, наслідком яких може бути нанесення збитків чи шкоди власникам інформації або її користувачам, інформаційному простору. Суттю захисту інформації є її доступність при збереженні цілісності інформації та гарантованій конфіденційності

Інформаційна безпека відіграє суттєву роль в забезпеченні життєво важливих інтересів будь-якої країни. Метою забезпечення інформаційної безпеки в Україні є створення розгалуженого та захищеного інформаційного простору, захист національних інтересів України в умовах формування світових інформаційних мереж, захист економічного потенціалу держави від незаконного використання інформаційних ресурсів, реалізація прав громадян, установ та держави на отримання, поширення та використання інформації.

Основні задачі забезпечення інформаційної безпеки належать:

• виявлення, оцінка та прогнозування джерел загроз інформаційній безпеці;

• розробка державної політики забезпечення інформаційної безпеки та комплексу заходів і механізмів її реалізації;

• створення нормативно-правових засад забезпечення інформаційної безпеки, координація діяльності органів державної влади та управління, установ та підприємств по реалізації політики інформаційної безпеки;

• розвиток системи забезпечення інформаційної безпеки, вдосконалення її організації, форм, методів і засобів запобігання загрозам інформаційній безпеці та ліквідації наслідків її порушення;

• забезпечення участі України в процесах створення і використання глобальних інформаційних мереж та систем.

Аналіз стану інформаційного простору та інформаційної безпеки України.

Стан інформаційного простору України характеризується наявністю протиріччя між потребами суспільства в розширенні вільного обміну інформацією і необхідністю окремих обмежень на її поширення.


Необхідно відзначити, що порушенню інформаційної безпеки сприяє безсистемність захисту інформації і слабка координація дій по захисту інформації в загальнодержавному масштабі.

Рівень інформаційної безпеки активно впливає на стан політичної, економічної, оборонної та інших складових національної безпеки України, бо найчастіше реалізація інформаційних загроз - це нанесення шкоди в політичній, військовій, економічній, соціальній, екологічній сферах тощо.

На сучасному етапі в Україні немає реальних гарантів інформаційної безпеки країни, відсутній комплекс нормативно-правових актів щодо захисту інформаційних ресурсів та інформаційної інфраструктури. Процес інформатизації має стихійний, некерований характер, з переважним ухилом у бік використання засобів інформатизації іноземного виробництва.

Безсистемність процесів формування інформаційної інфраструктури України обумовлює складність вирішення проблеми інформаційної безпеки, захисту інформаційних ресурсів. Специфіка цих проблем полягає в тому, що об’єктивно достатній рівень захищеності інформаційної інфраструктури та інформаційних ресурсів може бути досягнутий тільки у результаті чіткого визначення об’єктів інформаційної безпеки України, забезпечення надійного функціонування державних та суспільних інститутів для реалізації практичних заходів забезпечення інформаційної безпеки.

При аналізі стану інформаційної безпеки України і визначенні основних проблем в цій галузі слід враховувати політичні, соціально-економічні та організаційно-технічні фактори, які безпосередньо впливають на безпеку країни.

Проблеми інформаційної безпеки України.

Аналіз стану інформаційної безпеки України показує, що до основних проблем забезпечення інформаційної безпеки належать проблеми загальносистемного характеру, пов’язані з відсутністю наукового обґрунтування і практичної апробації політики і методології державної системи інформаційної безпеки. За характером це правові та нормативно-правові, науково-технічні, (економічні, організаційні, кадрові проблеми тощо.

Ситуація, що склалася в інформаційній сфері України, вимагає невідкладного рішення таких комплексних проблем:

1) розвиток науково-практичних основ інформаційної безпеки, а саме, визначення основних положень стратегії держави в сфері створення і забезпечення умов формування і використання інформаційного ресурсу, підтримка високих темпів його наповнення і заданих критеріїв якості (доступність, достовірність, своєчасність, повнота), розробка сучасних інформаційних технологій і технічних засобів для вирішення задачі захисту інформації в інформаційних системах;


2) створення законодавчої і нормативно-правової бази забезпечення інформаційної безпеки, а саме, нормативно-правової бази щодо розподілу і використання персональної інформації з метою створення умов для інформаційних стосунків між органами державної влади і суспільства, формування передумов досягнення соціального компромісу, створення умов становлення соціального партнерства як основи демократичного розвитку суспільства, розробки регламенту інформаційного обміну для органів державної влади і управління, реєстру інформаційних ресурсів, закріплення відповідальності посадових осіб, громадян за додержання вимог інформаційної безпеки;
3) розроблення механізмів реалізації прав громадян на інформацію загального користування;
4) визначення основних положень стратегії держави у сфері використання засобів масової інформації на засадах досліджень процесів формування суспільної свідомості, удосконалення та розвиток індустрії інформування населення країни, розробка методів і форм інформаційної політики держави;
5) розробка методів і засобів оцінки ефективності систем і засобів інформаційної безпеки та їх сертифікація.

Отже, інформаційна безпека України залежить від вирішення проблем формування і керування процесами суспільної свідомості, виробництва та репродукції інформаційних ресурсів і доступу до них, створення цивілізованого ринку інформаційних продуктів та послуг, реалізації прав громадян на інформацію.

Джерела загроз інформаційній безпеці.

Найдокладніший перелік можливих загроз інформаційній безпеці країни і засобів їх реалізації завжди буде неповним, оскільки зміни в суспільних відносинах, розвиток інформаційних технологій та засобів інформатизації сприяє не стільки усуненню існуючих загроз, скільки виникненню нових. В той же час джерела загроз інформаційній безпеці, як складовій національної безпеки, лишаються досить сталими. До джерел загроз належать:

• недружня політика іноземних держав в галузі глобального інформаційного моніторингу, поширення інформації та новітніх інформаційних технологій;
• цілеспрямована діяльність іноземних спецслужб, політичних та економічних структур;
• злочинна діяльність міжнародних угрупувань, формувань та окремих осіб;
• неправомірна чи протиправна діяльність посадових осіб державних органів, структур, формувань, спрямована проти інтересів України;
• стихійні лиха, катастрофи, збройні конфлікти;
• некерований характер процесу створення інформаційної інфраструктури України;
• недосконалість технічних і програмних засобів й недостатня кваліфікація персоналу інформаційних служб і систем;
• недосконалість, неповнота і неузгодженість з відповідними міжнародними правовими актами чинного законодавства України в інформаційній сфері;
• недостатній розвиток лексикографічної бази української мови і національного лінгвістичного забезпечення інформаційних систем;
• низькі темпи науково-технічного і культурного розвитку суспільства внаслідок економічної кризи або неадекватної внутрішньої політики держави в інформаційній сфері;
• низька правова, організаційна та програмно-технічна забезпеченість в галузі інформаційної безпеки.

Засоби впливу загроз на інформаційну безпеку поділяються на інформаційні, програмно-математичні, фізичні, радіоелектронні, організаційно-правові.

До інформаційних засобів належать:

• порушення адреси і своєчасності інформаційного обміну, протизаконні збір і використання інформації;

• несанкціонований доступ до інформаційних ресурсів;

• маніпулювання інформацією (дезінформація, укриття та викривлення інформації);

• незаконне копіювання інформації в інформаційних системах;

• використання засобів масової інформації з позицій, які суперечать інтересам громадян, організацій чи держави;

• викрадення інформації з бібліотек, архівів, банків і баз даних;

• порушення технології обробки інформації.

До програмно-математичних засобів належать: запуск програм-вірусів; установка програмних і апаратних закладних пристроїв; знищення і модифікація даних в інформаційних системах.

Фізичні засоби включають: знищення або руйнування засобів обробки інформації і зв’язку; знищення, руйнування чи викрадення оригінальних носіїв інформації; викрадення програмних чи апаратних ключів і засобів криптографічного захисту інформації; вплив на персонал; поставка «інфікованих» компонентів інформаційних систем.

До радіоелектронних засобів належать:

• перехоплення інформації в технічних каналах її витоку;

• будова електронних пристроїв перехоплення інформації в технічних засобах і приміщеннях;

• перехоплення, дешифрування та подання хибної інформації в мережах передачі даних і мережах зв’язку;

• вплив на парольно-ключові системи;

• радіоелектронне придушення мереж зв’язку і систем керування.

До організаційно-правових засобів
слід віднести купівлю недосконалих або застарілих інформаційних технологій та засобів інформатизації; невиконання вимог законодавства та затримку прийняття необхідних нормативно-правових положень в інформаційній сфері; неправомірне обмеження доступу, до документів, в яких знаходиться важлива для громадян та організацій інформація.

Реалізація інформаційних загроз на рівні особи призводить до порушення або обмеження доступу громадян до інформації загального користування. Це створює загрозу інформаційній безпеці особистості як з боку органів влади, так і з боку сторонніх осіб або угрупувань, порушує баланс стосунків між особистістю, суспільством і державою.

Наслідком впливу інформаційних загроз на соціальну спільноту є ускладнення соціальних процесів, що виявляється у загостренні суперечностей між різними соціальними прошарками, загостренні політичної боротьби, розпалюванні релігійних та етнічних суперечностей, зниженні загальної культури населення, розвитку бездуховності, зростанні злочинності, розповсюдженні антигуманних ідей.

Наслідки інформаційних злочинів в економічній сфері можуть призвести до економічних втрат за рахунок знецінення і втрати товарної частини інформаційного ресурсу — промислових і інформаційних технологій.


Вплив інформаційних загроз на структури державної влади, відповідальні за підготовку та прийняття рішень, реалізація яких безпосередньо впливає на безпеку, може сприяти виникненню надзвичайних ситуацій в державі та суспільстві, значним збиткам через порушення функціонування систем зв’язку, контролю і керування, виток інформації, яка містить державну таємницю.

Методи запобігання та ліквідації загроз інформаційній безпеці.


Для запобігання та ліквідації загроз інформаційній безпеці використовують правові, програмно-технічні і організаційно-економічні методи. Правові методи - передбачають розробку комплексу нормативно-правових актів і положень, регламентуючих інформаційні відносини в суспільстві, керівних і нормативно-методичних документів щодо забезпечення інформаційної безпеки.
Програмно-технічні методи — це сукупність засобів:

• запобігання витоку інформації,

• виключення можливості несанкціонованого доступу до інформації,

• запобігання впливам, які призводять до знищення, руйнування, спотворення інформації, або збоям чи відмовам у функціонуванні засобів інформатизації,

• виявлення закладних пристроїв,

• виключення перехоплення інформації технічними засобами,

• використання криптографічних засобів захисту інформації при передачі по каналах зв’язку.

Організаційно-економічні методи перед6ачають формування і забезпечення функціонування систем захисту секретної і конфіденційної інформації, сертифікацію цих систем згідно вимогам інформаційної безпеки, ліцензування діяльності в сфері інформаційної безпеки, стандартизацію способів і засобів захисту інформації, контроль за діями персоналу в захищених інформаційних системах.

Важливе значення для запобігання інформаційним загрозам має мотивація, економічне стимулювання і психологічна підтримка діяльності персоналу, який забезпечує інформаційну безпеку.

Загальнонаціональний рівень важливості проблеми інформаційної безпеки країни, її комплексний характер вимагають розробки і реалізації відповідної національної довгострокової програми.

Першочергові заходи щодо забезпечення інформаційної безпеки України повинні включати:
• визначення складу, послідовності і порядку розробки законодавчих і нормативно-правових актів з питань інформаційної безпеки, а також механізмів їх введення в дію (правове забезпечення);
• розробку державної цільової науково-технічної програми забезпечення інформаційної безпеки, створення інформаційної бази, спрямованої на реалізацію концепції інформаційної безпеки України (науково-технічне забезпечення);
• розробку і створення організаційної структури системи інформаційної безпеки України;
• створення вітчизняної системи сертифікації технічних і програмних засобів інформатизації на відповідність вимогам інформаційної безпеки (організаційне забезпечення);
• забезпечення реальних потреб системи інформаційної безпеки в кадрах, матеріально-технічних і фінансових коштах (ресурсне забезпечення).

Література

 

1. http://www.security.ukrnet.net



2. http://www.citforum.ru

3. В. Домарев Моделирование процессов создания и оценки эффективности систем защиты информации

4. А. Баутов Эффективность защиты информации

5. И.Д. Горобенко, д-р. техн. наук, А.В. Потий, канд. техн. наук, П.И. Терещенко  Критерии и методология оценки безопасности информационных технологий.



6. А. В. Беляев Методы и средства защиты информации.




Викладач Є.О. Бокіна



База даних захищена авторським правом ©shag.com.ua 2016
звернутися до адміністрації

    Головна сторінка