1. ПОНЯТТЯ, СУТНІСТЬ І ЗАВДАННЯ ЗАХИСТУ ІНФОРМАЦІЇ
1.1. Основні визначення та поняття інформаційної безпеки
Згідно із Законом України «Про інформацію» [1] у його першій редакції інформація визначалася як «систематизовані, документовані, публічно оголошені або іншим чином поширені відомості про суспільне, державне життя та навколишнє природне середовище». У чинній редакції цього Закону це поняття розкрите як «будь-які відомості та/або дані, які можуть бути збережені на матеріальних носіях або відображені в електронному вигляді». Інформація має певні властивості (рис. 1.1):
цінність – визначається можливістю забезпечення досягнення мети, поставленої її отримувачем;
достовірність – відповідність отриманої інформації реальності навколишнього світу;
актуальність – відповідність цінності та достовірності отриманої інформації поточному часу.
З позиції інформаційної безпеки інформація має такі властивості (рис. 1.1):
конфіденційність – властивість інформації, яка полягає в тому, що інформація не може бути отримана неавторизованим користувачем;
цілісність – означає неможливість модифікації неавторизованим користувачем;
доступність – властивість інформації бути отриманою авторизованим користувачем, за наявності у нього відповідних повноважень, в необхідний для нього час.
Іноді ще визначають таку властивість інформації, як спостережність – властивість увесь час (на всіх етапах обробки та передавання) знаходитись під контролем системи захисту.
Рис. 1.1. Властивості інформації
Інформаційною безпекою (у контексті безпосередньої діяльності із захисту інформації) може вважатись комплекс заходів, що спрямовані на забезпечення захищеності інформації від несанкціонованого доступу, використання, оприлюднення, руйнування, внесення змін, ознайомлення, перевірки, запису чи знищення даних.
Інформаційну безпеку за сферою застосування можна розглядати у контексті безпеки держави, організації та особистості.
Інформаційна безпека держави – це стан захищеності життєво важливих інтересів людини, суспільства і держави, при якому запобігається нанесення шкоди. Шкода може бути заподіяна через: неповноту, невчасність та невірогідність інформації, що використовується; негативний інформаційний вплив; негативні наслідки застосування інформаційних технологій; несанкціоноване розповсюдження, використання і порушення цілісності, конфіденційності та доступності інформації.
Інформаційна безпека організації – це цілеспрямована діяльність її органів та посадових осіб з використанням дозволених сил і засобів з досягнення стану захищеності інформаційного середовища організації. Така діяльність повинна забезпечувати нормальне функціонування і динамічний розвиток організації.
Інформаційна безпека особистості характеризується як стан її безпосередньої захищеності від негативних інформаційних впливів, а також впливів на її власну здатність шукати, збирати, обробляти та використовувати інформацію. Інформаційна безпека особистості також передбачає відповідну захищеність різноманітних соціальних груп та об’єднань людей, до яких вона входить.
Згідно з українським законодавством [2], вирішення проблеми інформаційної безпеки на рівні держави має здійснюватися за допомогою:
створення повнофункціональної інформаційної інфраструктури держави та забезпечення захисту її критичних елементів;
підвищення рівня координації діяльності державних органів щодо виявлення, оцінки і прогнозування загроз інформаційній безпеці, запобігання таким загрозам та забезпечення ліквідації їхніх наслідків, здійснення міжнародного співробітництва з цих питань;
вдосконалення нормативно-правової бази щодо забезпечення інформаційної безпеки, зокрема захисту інформаційних ресурсів, протидії комп’ютерній злочинності, захисту персональних даних, а також правоохоронної діяльності в інформаційній сфері;
розгортання та розвитку Національної системи конфіденційного зв’язку як сучасної захищеної транспортної основи, здатної інтегрувати територіально розподілені інформаційні системи, в яких обробляється конфіденційна інформація.
Вирішення проблеми інформаційної безпеки на рівні держави має здійснюватися за допомогою:
законодавчих, нормативно-правових та нормативних актів щодо інформаційної безпеки;
міжнародними стандартами ISO;
власними розробками.
Для реалізації законодавчих, нормативно-правових та нормативних актів щодо інформаційної безпеки повинна створюватись комплексна система захисту інформації (КСЗІ). Для реалізації міжнародних стандартів ISO щодо інформаційної безпеки повинна створюватись система управління інформаційною безпекою (СУІБ).
До державних органів забезпечення інформаційної безпеки відносяться:
відповідні підрозділи спецслужб держави;
спеціально уповноважений орган держави з питань захисту інформації: Державна служба спеціального зв’язку та захисту інформації України;
Національний координаційний центр кібербезпеки;
Міжвідомча комісія з питань інформаційної політики та інформаційної безпеки при Раді національної безпеки і оборони України.
З 1 липня 2015 року у Державній службі спеціального зв’язку та захисту інформації України розпочав роботу Державний центр кіберзахисту та протидії кіберзагрозам. Його створено на базі Державного центру захисту інформаційно-телекомунікаційних систем Держспецзв’язку.
До органів забезпечення інформаційної безпеки в системі е-урядування належать:
Державне агентство з питань електронного урядування України;
Державна служба спеціального зв’язку та захисту інформації України;
- Міністерство юстиції України (в частині роботи з електронними цифровими підписами (ЕЦП);
- підрозділ з інформаційного забезпечення органу публічного управління, який серед інших завдань також має займатися створенням і підтриманням систем управління інформаційною безпекою та використовує комплексну систему захисту інформації в системі електронного урядування, що використовується.
Необхідно також визначити, що у Стратегії кібербезпеки України підкреслено, що мають бути створені умови для залучення підприємств, установ та організацій незалежно від форми власності, які провадять діяльність у сфері електронних комунікацій, захисту інформації та/або є власниками (розпорядниками) об’єктів критичної інфраструктури, до забезпечення кібербезпеки України. Також мають бути врегульовані питання щодо обов’язковості вжиття ними заходів із забезпечення захисту інформації та кіберзахисту відповідно до вимог законодавства, а також щодо сприяння ними державним органам у виконанні завдань із забезпечення кібербезпеки та кіберзахисту. Держава має сприяти залученню наукових установ, навчальних закладів, організацій, громадських об’єднань і громадян до розробки та реалізації заходів із кібербезпеки і кіберзахисту.
1.2. Сутність захисту інформації
Термін «захист інформації» (або англ. Data protection) визначає сукупність методів і засобів, що забезпечують цілісність, конфіденційність і доступність інформації за умов впливу на неї загроз природного або штучного характеру, реалізація яких може призвести до завдання шкоди власникам і користувачам інформації [3].
У широкому розумінні захист інформації являє собою протистояння користувачів, власників інформації і зловмисників. Щодо певної інформації зловмисник виступає як суб’єкт, який незаконним шляхом намагається добути, змінити або знищити інформацію користувачів.
З позицій забезпечення захисту інформації в інформаційно-телекомунікаційних системах (ІТКС) до суб’єктів захисту відносять власників інформації, власників системи, користувачів та спеціально уповноважений центральний орган виконавчої влади [4].
До об’єктів захисту в ІТКС відносять безпосередньо інформацію та програмне забезпечення, яке призначене для обробки цієї інформації.
Вважається що захист інформації має слабкі у формальному плані завдання, тобто завдання, що не мають відомих формальних методів вирішення, і характеризується таким:
велика або іноді важко встановлювана кількість факторів, що впливають на побудову ефективного захисту;
відсутність точних вихідних або вхідних даних;
у більшості випадків відсутність адекватних математичних методів досягнення оптимального результату за сукупністю вихідних даних.
Тому вважається [5], що жодна система захисту не може тривалий час протистояти цілеспрямованим діям озброєного сучасними технологіями кваліфікованого зловмисника. Важливо розуміти, що система захисту інформації не може забезпечити стовідсотковий ефект. При цьому визначається певний рівень інформаційної безпеки, який відображає припустимий ризик її спотворення, знищення, несанкціонованого доступу та витоку. Тому основне завдання захисту інформації полягає в тому, щоб злам системи відбувся якомога пізніше та/або не мав суттєвих наслідків для її функціонування й використання інформації, що нею циркулює.
Це правило існує роками і має універсальний характер. Воно не залежить від рівня системи захисту, сумлінності користувачів та адміністраторів, апаратного та програмного забезпечення. Правило стверджує, що проблема полягає не в тому, чи подолають зловмисники систему захисту, а в тому, коли це відбудеться і чи матиме це суттєве значення для системи і її власників, користувачів.
Основною метою захисту інформації в системах е-урядування є забезпечення інформаційної безпеки безпосередньо цих систем, публічних службовців і громадян, що ними користуються, та системи публічного управління в цілому.
Інформаційна безпека у цьому контексті є станом захищеності систем обробки та зберігання даних, при якому забезпечується конфіденційність, доступність і цілісність інформації. Його може бути досягнуто завдяки застосуванню комплексу заходів, спрямованих на забезпечення захищеності інформації від несанкціонованого доступу, використання, оприлюднення, руйнування, внесення змін, ознайомлення, перевірки, запису чи знищення даних.
1.3. Завдання у сфері захисту інформації
До основних завдань у сфері захисту інформації (ЗІ) в інформаційно-телекомунікаційних системах у цілому належать:
- керування доступом користувачів до інформаційних ресурсів систем з метою захисту від неправомірного випадкового або навмисного втручання у роботу і несанкціонованого (із перевищенням наданих повноважень) доступу до програмних і апаратних ресурсів як персоналу, так і сторонніх осіб;
захист даних, що передаються каналами зв’язку;
захист інформації з обмеженим доступом від витоку;
захист інформації від спеціальних впливів;
реєстрація, збереження і надання даних про події, що відбувалися у системі і стосувалися інформаційної безпеки (ІБ);
контроль роботи користувачів системи адміністраторами та обов’язкове повідомлення адміністратора безпеки про будь-які спроби несанкціонованого доступу до ресурсів системи;
контроль і підтримка цілісності критичних ресурсів системи захисту і середовища виконання прикладних програм;
забезпечення функціонування програмно-технічних комплексів з метою захисту інформації від впровадження у роботу потенційно небезпечних програм і засобів подолання системи захисту;
керування та моніторинг засобів захисту інформації.
Вищезазначені завдання у сфері захисту інформації та інформаційної безпеки покладені в основу Концепції технічного захисту інформації в Україні [6], яка є складовою забезпечення національної безпеки України.
Концепція технічного захисту інформації визначає основи державної політики у сфері захисту інформації інженерно-технічними заходами. Технічний захист інформації в Україні – це діяльність, що спрямована на забезпечення інженерно-технічними заходами порядку доступу, цілісності та доступності (унеможливлення блокування) інформації з обмеженим доступом, а також цілісності та доступності відкритої інформації, важливої для особи, суспільства і держави. Концепція технічного захисту інформації також визначає загрози безпеці інформації, стан її технічного захисту та систему технічного захисту інформації як сукупність суб’єктів, об’єднаних цілями та певними завданнями. У Концепції технічного захисту інформації зазначені принципи формування і проведення державної політики у цій сфері, описані основні функції організаційних структур.
Конкретні завдання у сфері захисту інформації, що розробляються на рівні певної організації, системи публічного управління чи держави в цілому, мають підпорядковуватися заздалегідь визначеній стратегії у цій сфері.
Стратегія захисту інформації є основою для побудови комплексу заходів щодо інформаційної безпеки. Суть організації стратегії захисту інформації визначається як пошук оптимального компромісу між необхідністю використання конкретних засобів захисту і наявними ресурсами для реалізації цього захисту. У стратегії захисту інформації визначаються мета, критерії, принцип і процедури, необхідні для побудови надійної системи [7]. Таким чином, важливою особливістю загальної стратегії захисту інформації є проектування системи інформаційної безпеки, де визначаються напрями: визначення мети та задач захисту інформації, цільової установки об’єктів та суб’єктів захисту інформації; визначення загроз інформаційної безпеки; визначення рівнів протидії загрозам та побудова політики інформаційної безпеки.
Висновки
1. Інформація має такі властивості як цінність, достовірність та актуальність. Доцільно розглядати такі властивості як загалом, так і з точки зору захисту інформації. З точки зору захисту інформації ще існують такі властивості як конфіденційність, цілісність, доступність та спостережність.
2. Інформаційну безпеку за сферою застосування необхідно розглядати у контексті безпеки держави, організації та особистості. Для реалізації законодавчих, нормативно-правових та нормативних актів щодо інформаційної безпеки повинна створюватись комплексна система захисту інформації.
3. Захист інформації охоплює сукупність методів і засобів, що забезпечують цілісність, конфіденційність і доступність інформації за умов впливу на неї загроз природного або штучного характеру, реалізація яких може призвести до завдання шкоди власникам і користувачам інформації. У широкому розумінні захист інформації являє собою протистояння користувачів, власників інформації і зловмисників.
4. Концепція технічного захисту інформації в Україні є складовою забезпечення національної безпеки України та визначає основи державної політики у сфері захисту інформації інженерно-технічними засобами. Стратегія захисту інформації визначає основу для побудови комплексу заходів щодо інформаційної безпеки, передбачаючи необхідні, конкретні засоби захисту, які є найбільш дієвими з точки зору наявних інформаційних, фінансових та людських ресурсів.
Запитання для самоконтролю
1. Які властивості має інформація? Наведіть приклади.
2. Які властивості має інформація з позиції інформаційної безпеки? Наведіть приклади.
3. Як визначається інформаційна безпека у контексті національної безпеки держави, організації та особистості?
4. Для чого необхідні комплексна система захисту інформації (КСЗІ) та система управління інформаційною безпекою (СУІБ)?
5. Які державні органи та органи в системі е-урядування забезпечують інформаційну безпеку в Україні?
6. Яке значення має термін «захист інформації»?
7. Чому жодна система захисту не може тривалий час протистояти діям зловмисників?
8. Які існують завдання у сфері захисту інформації в інформаційно-телекомунікаційних системах?
9. Що визначає Концепція технічного захисту інформації?
Рекомендована література
1. Про інформацію: Закон України від 02.10.1992 р. № 2657- XII, із змінами. – Режим доступу: zakon2.rada.gov.ua/laws/ show/2657-12. – Назва з екрану.
2. Про захист інформації в інформаційно-телекомунікаційних системах: Закон України від 05.07.1994 р. № 80/94- вр, із змінами. – Режим доступу: zakon5.rada.gov.ua/laws/ show/80/94-вр. – Назва з екрану.
3. Про Положення про технічний захист інформації в Україні: Указ Президента України від 27.09.1999 р. № 1229/99. – Режим доступу: zakon3.rada.gov.ua/laws/show/1229/99. – Назва з екрану.
4. Про затвердження Концепції технічного захисту інформації в Україні: постанова Кабінету Міністрів України від 08.10.1997 р. № 1126, із змінами. – Режим доступу: zakon3. rada.gov.ua/laws/show/1126-97-п. – Назва з екрану.
5. Остапов С.Е. Технології захисту інформації: навч. посіб. / С.Е. Остапов, С.П. Євсеєв, О.Г. Король. – Х.: ХНЕУ, 2013. – 476 с.