У разі порушення функціонування інформаційної системи — визначення майнових втрат та мінімізація їх

(наприклад, у разі виявлення несанкціонованого доступу до інформації визначення матеріальних і моральних втрат, за необхідності — взаємодія з державними правоохорон­ними та судовими органами щодо притягнення винних до відповідальності відповідно до законодавства).

На названі напрямки організації інформаційної безпе­ки відповідного об'єкта захисту впливають такі визна­чальні фактори:

а) фактор рівня досягнень науково-технічного прогресу (переважно в галузі розвитку, удосконалення технічних за­собів);

б) технологічний фактор (в окремих джерелах його ще називають алгоритмічним фактором, коли техніка може бути одна, а технології її застосування різні, цей фактор ще є визначальним для формування методик: як отриман­ня інформації, так і захисту її);

в) соціальний (людський) фактор.

8.3. АГРЕГОВАНІ МОДЕЛІ ТЕКТОЛОГІЇ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ

Загальний аналіз проблем організовування захисту інформації в автоматизованих комп'ютерних системах дає можливість визначити три агреговані організаційні моделі заходів:

1) організація запобіжних заходів;

2) організація блокування (протидії) реальним загрозам, що реалізуються;

3) організація подолання наслідків загроз, які не вдало­ся блокувати або запобігти їм.

Важливий елемент організації інформаційної безпеки — захисту інформації — поділ заходів на групи щодо протидії. У теорії і практиці майже однозначно виокремлюють три такі групи: активні засоби захисту (наприклад, розвідка, дезінформація, зашумлення тощо); пасивні засоби захис­ту (наприклад, встановлення екранів несанкціонованому витоку інформації тощо); комплексні засоби захисту (органічне поєднання названих груп).

Ми не будемо докладно їх пояснювати. Звернемо увагу на організаційні заходи при блокуванні (протидії) несанк­ціонованого доступу до автоматизованої інформаційної сис­теми та подоланні наслідків загроз, які не вдалося бло­кувати або запобігти їм. Зазначимо, що ці заходи можуть бути спрямовані: на документування методів несанкціоно­ваних дій щодо доступу до автоматизованої системи для на­ступного дослідження їх; збереження слідів правопорушен­ня; взаємодію (у разі необхідності) з державними право­охоронними органами щодо виявлення та розкриття пра­вопорушення (в тому числі за готування до злочину і за замах на злочин); сприяння притягненню винних до відпо-

Розділ 8

Інформаційна безпека як об'єкт інформаційного права

 

відної відповідальності (кримінальної, адміністративної, цивільно-правової, дисциплінарної).

Всі заходи організації інформаційної безпеки, у тому числі в умовах застосування автоматизованих комп'ютер­них систем, базуються на знаннях і використанні певних фізичних явищ, що характеризують відповідні форми по­дання (виразу) інформації. Ці фізичні явища, зокрема ті, що може використати зловмисник, добре відомі.

Завдання організовування інформаційної безпеки щодо захисту інформації в автоматизованих системах визнача­ються за напрямком, протилежним до загроз безпеки. При реалізації заходів захисту інформації важливим аспектом є визначення і перевірка стану безпеки. У теорії і практиці це набуває втілення в категорії "метрологія". За допомо­гою метрологічної діяльності з'ясовують рівень розробки і наявність відповідних засобів, норм і методик, які дають можливість оцінити якість функціонування системи захи­сту інформації, тобто визначити, чи задовольняє чинним нормам система захисту на певний момент часу.

Формалізація норм і методів метрології стану безпеки об'єкта набуває втілення у відповідних нормативних ак­тах. Застосовуючи визначені в них нормативи слід врахо­вувати природну властивість таких нормативів з часом втрачати актуальність. Це пов'язано з тим, що в міру роз­витку науково-технічного прогресу можуть змінюватися норми і методи контролю захищеності інформації у відпо­відному середовищі її існування. Практика свідчить, що, як правило, норми і методи контролю мають тенденцію до удосконалення. Попередні нормативи виступають як орієн­тири, точки опори для формування нових нормативів. Сама назва "норматив" свідчить про те, що є фундаментальні межі можливостей існуючих фізичних приладів метрології на певному етапі пізнання людством законів природи.

У ході організації (в тому числі створення алгоритмів (методик) захисту інформації технічними засобами) завдан-

ня суб'єктів полягає не тільки в удосконаленні існуючих засобів технічного захисту інформації, а й урахуванні мож­ливих новацій. При цьому переважно має реалізовуватися принцип агрегації новацій до наявної системи захисту. Найкраще, коли можна інтегрувати через новації засоби захисту і вилучити із системи захисту застаріле обладнан­ня. Але водночас не слід забувати, що старі засоби захис­ту, які можуть функціонувати автономно в системі захис­ту, не повинні "зніматися з озброєння" бездумно.

Організовуючи захист інформації в автоматизованих системах, слід враховувати, що хоч в основі автоматизова­ної системи є технічний пристрій, який обробляє інформа­цію, але при його використанні так чи інакше присутній людський фактор. При цьому людина виступає в ролі або безпосередньо (як користувач автоматизованої системи), або опосередковано (як розробник системи).

З цього випливає, що на надійність системи захисту ін­формації в автоматизованих комп'ютерних системах впли­вають дві групи взаємопов'язаних факторів: людські (со­ціальні) та інженерно-технологічні.

В аспекті теорії систем організація захисту інформації в автоматизованих системах передбачає обумовлене виок­ремлення внутрішньо- і зовнішньо-системних ознак, які утворюють діалектичну гіперсистему організації рубежів безпеки.

Розділ 8

Інформаційна безпека як об'єкт інформаційного права

 

8.4. МЕТОДОЛОГІЧНІ ПОЛОЖЕННЯ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ

Названі елементи основ теорії організації захисту інфор­мації зумовлюють необхідність формування і розвитку окремих теорій інформаційної безпеки (зокрема її складо­вої — теорії організації захисту інформації в автоматизо­ваних системах) у таких аспектах: організаційному, інже­нерно-технологічному та пов'язаному з ними правовому. Як відомо, інженерно-технологічний аспект поєднує взає­мопов'язані технічний (апаратний) та алгоритмічний (про­грамний) аспекти (саме тому ми вжили раніше категорію "інженерно-технікотехнологічний").

Будь-яка загальна теорія вважається науковою, якщо вона має чітко визначені методи пізнання предметної га­лузі, закономірностей природи (фізики) і суспільства. Та­ким чином, щоб претендувати на статус науковості, загаль­на теорія організації інформаційної безпеки повинна мати визначену множину методів пізнання її предмета й об'єкта.

Враховуючи міжгалузевий характер теорії організації інформаційної безпеки, в ній поєднуються методи пізнан­ня традиційних фундаментальних наук: соціології та фізи­ки. Це зумовлено безпосереднім предметом теорії: л юди­но-машинними (соціотехнічними) системами, якими є ав­томатизовані комп'ютерні інформаційні системи.

Звичайно сферою дослідження теорії є практика захисту інформації в автоматизованих (комп'ютерних) системах: її закономірності, принципи, різного рівня проблеми і завдан­ня вирішення їх. Нині проблема і завдання формалізують переважно за допомогою методів евристики: формально-ев­ристичного та інтуїтивно-евристичного. Домінуюче стано­вище серед цих методів мають методи експертних оцінок та оцінки критичної маси інформації, за допомогою яких, зок­рема, оцінюють функціонування систем захисту інформації.

Проте ці методи мають і недоліки: наявність людського фак­тора — суб'єктивізм експерта та потенційне обмеження інформації у формі знань, якими володіє експерт.

Подоланню цих недоліків допомагає когнітологія — наука про знання. Відповідно до положень цієї науки в загальній теорії захисту інформації визначаються як аксіо­ми когнітологічні положення про рівень і відносність ент­ропії (невизначеності) системи пізнання (людини, спільно­ти та ін.) і її вплив на формування теоретичних положень, відносну істинність їх (у часі та колі осіб). Відносність істи­ни визначається кількісними і якісними характеристика­ми множини знань, якими володіє певний суб'єкт відно­син, навичками застосування їх, інтелектуальним потен­ціалом та швидкістю розумових реакцій на відповідні си­туації. Відносність захисту інформації визначається віднос­ністю знань суб'єкта захисту і відносністю загроз захисту, зокрема знань зловмисника.

У контексті визначення об'єктивності експертної оцінки організації захисту інформації, подолання суб'єктивізму, наприклад при визначенні стану інформаційної безпеки об'єк­та, застосовують метод залучення кількох експертів. Але, як справедливо зазначають деякі дослідники, при цьому ви­никає питання, хто може вважатися висококваліфікованим експертом (кваліфікаційні ознаки експерта) і скільки таких експертів потрібно для істинності висновків, подолання су­б'єктивізму (Организация и современные методы защиты информации / Под общ. ред. С.А. Диева, А.Г. Шаваева. — М.: Банковский Деловой Центр, 1998. — С. 36).

15 -4-1260

 

Розділ 8

Інформаційна безпека як об'єкт інформаційного права

 

8.5. ЛЮДСЬКИЙ ФАКТОР В ОРГАНІЗАЦІЇ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ

Наявність людського фактора має провідне значення в теорії організації захисту інформації. Через цей елемент теорія організації захисту інформації як система знань має предметний гіперзв'язок з фундаментальними гуманітар­ними науками — соціологією, соціальною психологією, соціальною інженерією.

За природою організації захист інформації має комплекс­ний характер, тобто між окремими її складовими є певний зв'язок. У рамках теорії організації захисту інформації чітко визначився постулат, що організація захисту інфор­мації повинна враховувати не тільки складність технічної і технологічної компонент системи, а й людський фактор. Тобто, формуючи конкретну систему технічного захисту, слід враховувати якісні індивідуально- і соціально-психо­логічні, моральні, етичні та інші особисті характеристики людей, задіяних у системі захисту інформації.

У такому аспекті визначається також напрямок теорії щодо оцінки, характеристики зловмисників, які посяга­ють на безпеку інформаційної системи. У цьому аспекті теорія захисту інформації має зв'язок з кримінологією, її складовими вченнями: віктимологією та теорією формуван­ня соціально-психологічного портрету зловмисника.

8.6. ПРАВОВИЙ АСПЕКТ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ

8.6.1. Основні питання правової культури щодо інформаційної безпеки

Правовий напрямок теорії охорони та захисту інфор­мації визначається необхідністю формування правил по­ведінки, відносин у так званому віртуальному або кібер-просторі. У цьому аспекті теорія захисту інформації пов'я­зана з інформаційним правом та правовою інформатикою. Щодо формування методик виявлення та розкриття зло­чинів, які вчиняються за допомогою сучасних інформа­ційних технологій, теорія захисту інформації формує по­нятійний апарат такої інституції криміналістики, як кри­міналістична інформатика.

При формуванні системи захисту інформації виникає необхідність застосування методів інтеграції та агрегації складових системи як її підсистем, що можливо при адап­тації до предметної галузі теорії алгоритмізації, моделю­вання, теорії систем тощо.

Когнітивно-юридичний аналіз нормативно-правових актів у сфері суспільних інформаційних відносин, з позицій накопичених наукових знань сьогодення, свідчить про те, що в суспільстві вже сформувалося усвідомлення необхід­ності формування інституції суспільних відносин інформа­ційної безпеки: захисту інформації. Але рівень ентропії, наявний на момент прийняття нормативно-правових актів у цій сфері суспільних відносин, об'єктивно не дозволив сформувати їхній зміст у обсязі, необхідному для практи­ки. До того ж практика розвивалася, апробовуючи юри­дичні норми як соціотехнічні стандарти (алгоритми) одно­значно розуміння їхнього змісту широким загалом суб'єк­тів суспільних відносин.

Розділ 8

Інформаційна безпека як об'єкт інформаційного права

 

Сьогодні створено передумови для формування умовно автономної теорії, в рамках якої має сформуватися специ­фічний понятійний апарат (термінологія, категорії), зміс­товний аспект якого є проблематикою теорії для задово­лення потреб практики: напрацювання стандартів кате­горій для розуміння широким загалом сутності нових соці­альних явищ, у тому числі передачі інформації у формі знань у межах відповідної навчальної дисципліни.

Сучасний рівень суспільної ентропії — теоретичної роз­робленості проблематики — дає можливість визначити об'єк­тивність потреб формування у вітчизняній науці системи знань, ідей, доктрин, концепцій щодо інформаційної без­пеки, формулювання (формалізації) її у змістовному, сут-нісному, понятійному аспектах тощо. При цьому як мету визначено формування ядра самої загальної теорії на еле­ментарному рівні. Такі положення покликані форму­вати синтетичний науковий напрямок на межі багатьох наук, в яких проблематика інформаційної безпеки, захис­ту інформації визначена фрагментарно, ситуаційно, роз­порошена серед багатоманітної галузевої проблематики. Передбачається, що з часом сформується розвинута теорія організації інформаційної безпеки, захисту інформації в автоматизованих (комп'ютерних) системах у таких науках, як правова інформатика та інформаційне право.

Базуючись на методології гіперсистем права та теорії критичної маси норм правовідносин, можна прогнозувати, що в майбутньому інформаційна безпека, у міру розвитку інформаційного суспільства, виокремиться з інформацій­ного права в окрему субінституцію подібно до права інте­лектуальної власності, його провідних складових — ав­торського права та права промислової власності.