Основні принципи діяльності із захисту інформації

 

Питання захисту інформації є важливим у забезпеченні дотри­мання відповідних режимів інформаційних ресурсів та доступу до інформації. Слід зазначити, що захист може здійснюватися щодо ін­формації з будь-яким видом режиму доступу, але мета і завдання та­кого захисту будуть різними відповідно до вимог відповідного ре­жиму. Зокрема, про таку особливість йдеться у Правилах забезпе­чення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах, затверджених Кабінетом Міністрів України, якими розрізняються вимоги до захисту відкри­тої інформації та інформації з обмеженим доступом.

Основною вимогою до захисту відкритої інформації є збережен­ня її цілісності, що забезпечується захистом від несанкціонованих дій, які можуть призвести до її випадкової або умисної модифікації чи знищення. Відповідно дотримання режиму доступу до такої інфор­мації передбачає, що:

- усім користувачам має бути забезпечений доступ до ознайом­лення з відкритою інформацією;

- модифікація або знищення відкритої інформації може здій­снюватися лише користувачами, яким надано відповідні по­вноваження;

- спроби модифікації чи знищення відкритої інформації користу­вачами, які не мають на це повноважень, повинні блокуватися.

Захист конфіденційної і таємної інформації передбачає здійснен­ня комплексу організаційних та правових заходів, які забезпечують вирішення низки завдань, до яких належить захист відповідної інфор­мації від: 1) несанкціонованого та неконтрольованого ознайомлення; 2) модифікації; 3) знищення; 4) копіювання; 5) поширення.

Відповідно забезпечення дотримання режиму доступу до таємної або конфіденційної інформації передбачає, що:

- доступ до конфіденційної інформації надається тільки корис­тувачам, які мають на це повноваження;

- спроби доступу до такої інформації осіб чи користувачів, які не мають відповідних повноважень повинні блокуватися;

- користувачеві може надаватися право на виконання однієї або кількох конкретних операцій з обробки конфіденційної інфор­мації або він може бути позбавлений такого права.

Захист інформації зазвичай здійснюється в рамках певних інфор­маційних систем. Із правового погляду вони становлять "організацій­но впорядковану сукупність документів (масивів документів) і інфор­маційних технологій, в тому числі з використанням засобів обчислю­вальної техніки і зв'язку, які реалізують інформаційні процеси". Цілком логічним сприймається застереження "в тому числі" стосов­но комп'ютерних технологій. Адже автоматизовані засоби оброблен­ня інформації з'явилися за історичними мірками зовсім недавно. І на­впаки, протягом кількох тисячоліть існують традиційні способи об­роблення та передачі інформації. Вже з початку XX ст. до них посту­пово додалися телеграфні, телефонні, радіо, телевізійні, комп'ютерні мережі передачі інформації. Слід зазначити, що відповідні цілі діяль­ності із захисту інформації є універсальними і не залежать від виду інформаційної системи, інформаційного ресурсу або фізичного носія інформації. Адже загальні вимоги однакові до як інформаційних ре­сурсів так і електронних, паперових та інших фізичних носіях.

Захист інформації є комплексною категорією, що зумовлена ба­гатьма чинниками. Будь-яка інформаційна система, особливо автома­тизована, "поділяється на функціональну частину та частину забез­печення, кожна з яких поділяється на складові елементи мінімаль­но можливої розмірності". Функціональна частина інформаційної системи виконує функції і завдання, що підлягають реалізації за допомогою цієї системи. Частина забезпечення представляє - це "наповнення" функціональної частини, за допомогою якого фактично ре­алізуються функції і завдання системи. Узагальнюючи такий підхід, можна говорити, що інформаційна система функціонує за тими са­мими правилами й законами, що і будь-який інший вид систематизо­ваної діяльності з розподілом ролей і функцій. Створення будь-якої системи оброблення чи передавання інформації, починаючи від по­штової служби і закінчуючи комп'ютерними мережами, охоплює ве­личезну кількість етапів та елементів. До переліку їх належать: ство­рення фізичних об'єктів на яких ця система розміщується; створен­ня технічного і програмного забезпечення; підготовка кадрів; забез­печення фінансовими та енергетичними ресурсами тощо. І загрози, які усуває або яким запобігає система заходів захисту інформації, мо­жуть виникати на будь-якому етапі створення чи експлуатації інфор­маційної системи.

Винятково важливою є проблема є визначення конкретних чинни­ків, які потрібно враховувати, щоб охарактеризувати безпечність кон­кретну інформаційну систему. Для цього потрібно зважати на функці­ональне призначення систем та об'єктів інформаційної системи. Го­ловне їх завдання полягає у реалізації інформаційних процесів. Тому цінною є насамперед та інформація, що обробляється в цих системах. Отже, інформаційна інфраструктура має забезпечувати інформацію або інформаційні ресурси, які обробляються, від "потенційно, або ре­ально можливих дій, що призводять до неправомірного заволодіння відомостями що охороняються".

Неправомірними зокрема, можуть бути такі дії:

- ознайомлення з конфіденційною інформацією різними шляха­ми і способами без порушення її цілісності;

- модифікація інформації в протиправних цілях як часткова або значна зміна складу і змісту відомостей;

- руйнування (знищення) інформації як акт вандалізму або з ме­тою заподіяння прямої матеріальної шкоди.

Результатом неправомірних дій з інформацією є "порушення її конфіденційності, повноти, достовірності та доступності, що, у свою чергу, призводить до порушення як режиму управління, так і його якості в умовах спотвореної або неповної інформації".

Таким чином, можна стверджувати, що головним об'єктом загро­зи для інформаційної системи є суспільні відносини які складаються з приводу управління і користування об'єктами. А безпосередній пред­мет загрози - інформаційні ресурси та інформація, що обробляється. Отже, щодо безпеки інформаційна інфраструктура є певною оболон­кою, яка захищає інформацію, що міститься в ній, від негативного впливу зовнішніх чинників.

Останні можна поділити за джерелами на три групи:

Антропогенні (безпосередньо створені людьми):

- ненавмисні або навмисні діяння обслуговуючого і управлін­ського персоналу, програмістів, користувачів, служби безпе­ки інформаційної системи;

- дії несанкціонованих користувачів (діяльність іноземних роз­відувальних і спеціальних служб, кримінальних структур, не­добросовісних партнерів та конкурентів, а також протиправ­на діяльність інших окремих осіб).

- Техногенні (зумовлені випадковим впливом технічних об'єктів):

- внутрішні (неякісні технічні і програмні засоби оброблення ін­формації; засоби зв'язку, охорони, сигналізації; інші технічні засоби, що застосовуються в установі);

- глобальні техногенні загрози (небезпечні виробництва, мере­жі енерго-, водопостачання, каналізації, транспорт тощо), які призводять до зникнення або коливання електропостачання та інших засобів забезпечення і функціонування, відмов та збоїв апаратно-програмних засобів;

- електромагнітні випромінювання і наведення, витоки через ка­нали зв'язку (оптичні, електричні, звукові) тощо.

Природні (вплив негативних природних чинників) - стихійні лиха, магнітні бурі, радіоактивний вплив.

Звідси для інформаційної структури взагалі і для кожного її об'єкта, зокрема важливим є забезпечити незмінність внутрішніх умов оброблення інформації за одночасної зміни (в т. ч. і негативного) зо­внішніх умов.

Отже, безпеку інформаційних систем можна охарактеризувати як стан забезпеченості необхідних умов і параметрів інформаційних процесів, що реалізуються за їх допомогою, від негативного впливу ззовні.

Відомі два способи регулювання питань захисту інформації. Пер­ший забезпечується державною власністю на найважливіші (страте­гічні) інформаційні системи та інформаційні ресурси і полягає в без­посередньому державному управлінні відповідними об'єктами. Дру­гий забезпечується юрисдикцією держави на власній території і поля­гає в запровадженні єдиних, обов'язкових стандартів інформаційних процесів, яких мають дотримуватися власники або оператори об'єктів інформаційної інфраструктури.

Загалом, коли йдеться про захист інформації, більшість дослід­ників погоджується з тим, що цей захист може бути лише комплек­сним. Але в цій комплексній системі можна виділити спектр напря­мів діяльності суб'єктів захисту інформації, які характеризуються спе­цифічними методами і способами захисту інформації. Зазвичай вио­кремлюють:

- правовий захист - спеціальні закони, інші нормативні акти, правила, процедури і заходи, що забезпечують захист інфор­мації на правовій основі;

- організаційний захист - регламентація виробничої діяльнос­ті і взаємовідносин виконавців на нормативно-правовій осно­ві, що виключає або послаблює завдання будь-якої шкоди ви­конавцям;

- інженерно-технічний захист - використання різних технічних засобів, що запобігають спричиненню шкоди інформації.

Зазначимо, що в будь-якому разі основу всіх перелічених вище заходів становлять правові норми, якими регламентується діяльність у сфері захисту інформації. Крім того, правовий захист інформації, який було розглянуто в попередніх розділах, стосується, так би мо­вити, інформації в "чистому" вигляді, незалежно від її носія. А от на­ступні - організаційний і інженерно-технічний аспекти захисту ін­формації спрямовані не безпосередньо на інформацію, а на системи, об'єкти та носії, на яких ця інформація збирається, обробляється й розповсюджується.