Основні принципи діяльності із захисту інформації
Питання захисту інформації є важливим у забезпеченні дотримання відповідних режимів інформаційних ресурсів та доступу до інформації. Слід зазначити, що захист може здійснюватися щодо інформації з будь-яким видом режиму доступу, але мета і завдання такого захисту будуть різними відповідно до вимог відповідного режиму. Зокрема, про таку особливість йдеться у Правилах забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах, затверджених Кабінетом Міністрів України, якими розрізняються вимоги до захисту відкритої інформації та інформації з обмеженим доступом.
Основною вимогою до захисту відкритої інформації є збереження її цілісності, що забезпечується захистом від несанкціонованих дій, які можуть призвести до її випадкової або умисної модифікації чи знищення. Відповідно дотримання режиму доступу до такої інформації передбачає, що:
- усім користувачам має бути забезпечений доступ до ознайомлення з відкритою інформацією;
- модифікація або знищення відкритої інформації може здійснюватися лише користувачами, яким надано відповідні повноваження;
- спроби модифікації чи знищення відкритої інформації користувачами, які не мають на це повноважень, повинні блокуватися.
Захист конфіденційної і таємної інформації передбачає здійснення комплексу організаційних та правових заходів, які забезпечують вирішення низки завдань, до яких належить захист відповідної інформації від: 1) несанкціонованого та неконтрольованого ознайомлення; 2) модифікації; 3) знищення; 4) копіювання; 5) поширення.
Відповідно забезпечення дотримання режиму доступу до таємної або конфіденційної інформації передбачає, що:
- доступ до конфіденційної інформації надається тільки користувачам, які мають на це повноваження;
- спроби доступу до такої інформації осіб чи користувачів, які не мають відповідних повноважень повинні блокуватися;
- користувачеві може надаватися право на виконання однієї або кількох конкретних операцій з обробки конфіденційної інформації або він може бути позбавлений такого права.
Захист інформації зазвичай здійснюється в рамках певних інформаційних систем. Із правового погляду вони становлять "організаційно впорядковану сукупність документів (масивів документів) і інформаційних технологій, в тому числі з використанням засобів обчислювальної техніки і зв'язку, які реалізують інформаційні процеси". Цілком логічним сприймається застереження "в тому числі" стосовно комп'ютерних технологій. Адже автоматизовані засоби оброблення інформації з'явилися за історичними мірками зовсім недавно. І навпаки, протягом кількох тисячоліть існують традиційні способи оброблення та передачі інформації. Вже з початку XX ст. до них поступово додалися телеграфні, телефонні, радіо, телевізійні, комп'ютерні мережі передачі інформації. Слід зазначити, що відповідні цілі діяльності із захисту інформації є універсальними і не залежать від виду інформаційної системи, інформаційного ресурсу або фізичного носія інформації. Адже загальні вимоги однакові до як інформаційних ресурсів так і електронних, паперових та інших фізичних носіях.
Захист інформації є комплексною категорією, що зумовлена багатьма чинниками. Будь-яка інформаційна система, особливо автоматизована, "поділяється на функціональну частину та частину забезпечення, кожна з яких поділяється на складові елементи мінімально можливої розмірності". Функціональна частина інформаційної системи виконує функції і завдання, що підлягають реалізації за допомогою цієї системи. Частина забезпечення представляє - це "наповнення" функціональної частини, за допомогою якого фактично реалізуються функції і завдання системи. Узагальнюючи такий підхід, можна говорити, що інформаційна система функціонує за тими самими правилами й законами, що і будь-який інший вид систематизованої діяльності з розподілом ролей і функцій. Створення будь-якої системи оброблення чи передавання інформації, починаючи від поштової служби і закінчуючи комп'ютерними мережами, охоплює величезну кількість етапів та елементів. До переліку їх належать: створення фізичних об'єктів на яких ця система розміщується; створення технічного і програмного забезпечення; підготовка кадрів; забезпечення фінансовими та енергетичними ресурсами тощо. І загрози, які усуває або яким запобігає система заходів захисту інформації, можуть виникати на будь-якому етапі створення чи експлуатації інформаційної системи.
Винятково важливою є проблема є визначення конкретних чинників, які потрібно враховувати, щоб охарактеризувати безпечність конкретну інформаційну систему. Для цього потрібно зважати на функціональне призначення систем та об'єктів інформаційної системи. Головне їх завдання полягає у реалізації інформаційних процесів. Тому цінною є насамперед та інформація, що обробляється в цих системах. Отже, інформаційна інфраструктура має забезпечувати інформацію або інформаційні ресурси, які обробляються, від "потенційно, або реально можливих дій, що призводять до неправомірного заволодіння відомостями що охороняються".
Неправомірними зокрема, можуть бути такі дії:
- ознайомлення з конфіденційною інформацією різними шляхами і способами без порушення її цілісності;
- модифікація інформації в протиправних цілях як часткова або значна зміна складу і змісту відомостей;
- руйнування (знищення) інформації як акт вандалізму або з метою заподіяння прямої матеріальної шкоди.
Результатом неправомірних дій з інформацією є "порушення її конфіденційності, повноти, достовірності та доступності, що, у свою чергу, призводить до порушення як режиму управління, так і його якості в умовах спотвореної або неповної інформації".
Таким чином, можна стверджувати, що головним об'єктом загрози для інформаційної системи є суспільні відносини які складаються з приводу управління і користування об'єктами. А безпосередній предмет загрози - інформаційні ресурси та інформація, що обробляється. Отже, щодо безпеки інформаційна інфраструктура є певною оболонкою, яка захищає інформацію, що міститься в ній, від негативного впливу зовнішніх чинників.
Останні можна поділити за джерелами на три групи:
Антропогенні (безпосередньо створені людьми):
- ненавмисні або навмисні діяння обслуговуючого і управлінського персоналу, програмістів, користувачів, служби безпеки інформаційної системи;
- дії несанкціонованих користувачів (діяльність іноземних розвідувальних і спеціальних служб, кримінальних структур, недобросовісних партнерів та конкурентів, а також протиправна діяльність інших окремих осіб).
- Техногенні (зумовлені випадковим впливом технічних об'єктів):
- внутрішні (неякісні технічні і програмні засоби оброблення інформації; засоби зв'язку, охорони, сигналізації; інші технічні засоби, що застосовуються в установі);
- глобальні техногенні загрози (небезпечні виробництва, мережі енерго-, водопостачання, каналізації, транспорт тощо), які призводять до зникнення або коливання електропостачання та інших засобів забезпечення і функціонування, відмов та збоїв апаратно-програмних засобів;
- електромагнітні випромінювання і наведення, витоки через канали зв'язку (оптичні, електричні, звукові) тощо.
Природні (вплив негативних природних чинників) - стихійні лиха, магнітні бурі, радіоактивний вплив.
Звідси для інформаційної структури взагалі і для кожного її об'єкта, зокрема важливим є забезпечити незмінність внутрішніх умов оброблення інформації за одночасної зміни (в т. ч. і негативного) зовнішніх умов.
Отже, безпеку інформаційних систем можна охарактеризувати як стан забезпеченості необхідних умов і параметрів інформаційних процесів, що реалізуються за їх допомогою, від негативного впливу ззовні.
Відомі два способи регулювання питань захисту інформації. Перший забезпечується державною власністю на найважливіші (стратегічні) інформаційні системи та інформаційні ресурси і полягає в безпосередньому державному управлінні відповідними об'єктами. Другий забезпечується юрисдикцією держави на власній території і полягає в запровадженні єдиних, обов'язкових стандартів інформаційних процесів, яких мають дотримуватися власники або оператори об'єктів інформаційної інфраструктури.
Загалом, коли йдеться про захист інформації, більшість дослідників погоджується з тим, що цей захист може бути лише комплексним. Але в цій комплексній системі можна виділити спектр напрямів діяльності суб'єктів захисту інформації, які характеризуються специфічними методами і способами захисту інформації. Зазвичай виокремлюють:
- правовий захист - спеціальні закони, інші нормативні акти, правила, процедури і заходи, що забезпечують захист інформації на правовій основі;
- організаційний захист - регламентація виробничої діяльності і взаємовідносин виконавців на нормативно-правовій основі, що виключає або послаблює завдання будь-якої шкоди виконавцям;
- інженерно-технічний захист - використання різних технічних засобів, що запобігають спричиненню шкоди інформації.
Зазначимо, що в будь-якому разі основу всіх перелічених вище заходів становлять правові норми, якими регламентується діяльність у сфері захисту інформації. Крім того, правовий захист інформації, який було розглянуто в попередніх розділах, стосується, так би мовити, інформації в "чистому" вигляді, незалежно від її носія. А от наступні - організаційний і інженерно-технічний аспекти захисту інформації спрямовані не безпосередньо на інформацію, а на системи, об'єкти та носії, на яких ця інформація збирається, обробляється й розповсюджується.
Дата добавления: 2016-12-26; просмотров: 933;