Класифікація актуальних загроз

При проведенні актуальних загроз експертно-аналітичним методом визначаються об'єкти захисту, що піддаються впливу тієї чи іншої загрози, характерні джерела цих загроз і уразливості, що сприяють реалізації загроз.

Потім на основі аналізу складається таблиця взаємозв'язку джерел загроз і уразливостей, із яких визначаються можливі наслідки реалізації загроз (атаки) та обчислюється коефіцієнт небезпеки цих атак як добуток коефіцієнтів небезпеки відповідних загроз та джерел загроз, визначених раніше. При цьому передбачається, що атаки, які мають коефіцієнт небезпеки менше 0,1 (припущення експертів), в подальшому можуть не розглядатися з причини малої ймовірності їх здійснення на об'єкті захисту.

Така матриця складається окремо для кожної загрози, і вже після виявлення найбільш актуальних загроз приймаються заходи з вибору методів і засобів для їх відбиття.

 

Основні напрями забезпечення безпеки інформації та інформаційних ресурсів

Основні визначення

Напрями забезпечення безпеки інформації — це нормативно-правові категорії, орієнтовані на забезпечення комплексного захисту інформації від внутрішніх та зовнішніх загроз на державному рівні, на рівні підприємства абo організації, на рівні окремої особистості.

З урахуванням практики, що склалася на теперішній час, виділяють наступні напрями захисту інформації:

■ правовий захист — це спеціальні закони, інші нормативні акти, правила, процедури та заходи, що забезпечують захист інформації на правовій основі;

■ організаційний захист — це регламентація виробничої діяльності та взаємовідносин виконавців на нормативно-правовій основі, яка виключає або послаблює нанесення будь-яких збитків виконавцям;

■ інженерно-технічний захист — це використання різноманітних технічних засобів, що перешкоджають нанесенню збитків.

Крім того, заходи захисту, орієнтовані на забезпечення безпеки інформації, можуть бути охарактеризовані цілим рядом параметрів, що відображають, окрім напрямів, орієнтацію на об'єкти захисту, характер загроз, способи дій, їх розповсюдження, охоплення та масштабність.

Так, за характером загроз заходи захисту орієнтовані на захист інформації від розголошення, витоку та несанкціонованого доступу. За способом дії їх можна поділити на попередження, виявлення, припинення та відновлення збитків або інших утрат. За охопленням заходи захисту можуть розповсюджуватися на територію, будівлю, приміщення, апаратуру або окремі елементи апаратури. Масштабність заходів захисту характеризується як обєктовий, груповий або індивідуальний захист.

 

Правовий захист

Поняття права визначається як сукупність загальнообов'язкових правил і норм поведінки, які встановлені або санкціоновані державою, по відношенню до певних сфер життя та діяльності державних органів, підприємств (організацій) та населення (окремої особистості).

Правовий захист інформації як ресурсу признаний на міждержавному, державному рівні та визначається міждержавними договорами, конвенціями, деклараціями та реалізується патентами, авторським правом та ліцензіями на їхній захист. На державному рівні правовий захист регулюється державними та відомчими актами (рис. 6).

У нашій державі такими правилами (актами, нормами) є Конституція України, закони України, цивільне, адміністративне, кримінальне право, викладене у відповідних кодексах. Що стосується відомчих нормативних актів, то вони визначаються наказами, керівництвами, положеннями та інструкціями, які видаються відомствами, організаціями та підприємствами, що діють у межах певних структур.

Рис. 6. Правовий захист інформації

Сучасні умови вимагають і визначають необхідність комплексного підходу до формування законодавства із захисту інформації, його складу та змісту, співвіднесення його зі всією системою законів та правових актів України.

Вимоги інформаційної безпеки повинні органічно входити до усіх рівнів законодавства, у тому числі й у конституційне законодавство, основні загальні закони, закони з організації державної системи управління, спеціальні закони, відомчі правові акти і т. ін. Звичайно використовується наступна структура правових актів, які орієнтовані на правовий захист інформації.

■ Конституційне законодавство — норми, що стосуються питань інформатизації та захисту інформації, входять до нього як складові елементи.

■ Загальні закони, кодекси (про власність, про надра, про права громадян, про громадянство, про податки, про антимонопольну діяльність і т. ін.), які включають норми з питань інформатизації та інформаційної безпеки.

■ Закони про організацію управління стосовно окремих структур господарства, економіки, системи державних органів та визначення їхнього статусу. Такі закони включають окремі норми з питань захисту інформації. Поряд із загальними питаннями інформаційногозабезпечення та захисту інформації конкретного органу ці норми повинні встановлювати його обов'язки з формування, актуалізації та безпеки інформації, що представляє загальнодержавний інтерес.

■ Спеціальні закони, які відносяться до конкретних сфер відносин, галузей господарства, процесів. До їхнього числа входять Закони України "Про інформацію", "Про захист інформації в автоматизованих системах" і т. ін. Власне склад і зміст цього блоку законів і створює спеціальне законодавство як основу правового забезпечення інформаційної безпеки.

■ Підзаконні нормативні акти із захисту інформації.

■ Правоохоронне законодавство України, яке містить норми про відповідальність за правопорушення у сфері інформатизації.

Спеціальне законодавство в галузі безпеки інформації може бути представлене сукупністю законів. В їхньому складі особливе місце займають Закони "Про інформацію" та "Про захист інформації в автоматизованих системах", які закладають основи правового визначення всіх найважливіших компонентів інформаційної діяльності:

■ інформації та інформаційних систем;

■ суб'єктів — учасників інформаційних процесів;

■ правовідносин виробників та споживачів інформаційної продукції;

■ власників (джерел) інформації — обробників та споживачів на основі відносин власності при забезпеченні гарантій інтересів громадян та держави.

Ці закони також визначають основи захисту інформації у системах обробки і при її використанні з урахуванням категорій доступу до відкритої інформації і до інформації з обмеженим доступом. Ці закони містять, крім того, загальні норми з організації та ведення інформаційних систем, включаючи банки даних державного призначення, порядок державної реєстрації, ліцензування, сертифікації, експертизи, а також загальні принципи захисту та гарантій прав учасників інформаційного процесу.

Питання правового режиму інформації з обмеженим доступом реалізуються у двох самостійних законах про державну та комерційну (проект) таємниці.

Таким чином, правовий захист інформації забезпечується нормативно-законодавчими актами, сукупність яких за рівнем представляє ієрархічну систему від Конституції України до функціональних обов'язків і контрактів конкретного виконавця, які визначають перелік відомостей, що підлягають охороні, і заходи відповідальності за їх розголошення.

Одним із нових напрямків правового захисту є страхове забезпечення. Воно призначене для захисту власної інформації та засобів її обробки як від традиційних загроз (крадіжки, стихійні лиха), так і від загроз, що виникають у ході роботи з інформацією. До них відносяться розголошення, витік та несанкціонований доступ до конфіденційної інформації.

Метою страхування є забезпечення страхового захисту фізичних та юридичних осіб від страхових ризиків у вигляді повного або часткового відшкодування збитків і втрат, які спричинені стихійними лихами, надзвичайними подіями в різних галузях діяльності, протиправними діями з боку конкурентів та зловмисників шляхом виплати грошової компенсація або надання сервісних послуг (ремонт, відновлення) при настанні страхової події.

Дії із захисту інформації від витоку технічними каналами регламентуються наступними документами:

■ ТР ЕОТ-95 "Тимчасові рекомендації з технічного захисту інформації у засобах обчислювальної техніки, автоматизованих системах і мережах від витоку каналами побічних електромагнітних випромінювань і наводок";

■ ПЕМВН-95 "Тимчасові рекомендації з технічного захисту інформації від витоку каналами побічних електромагнітних випромінювань і наводок".

Дії із захисту інформації від несанкціонованого доступу регламентують:

■ Закон України "Про захист інформації в автоматизованих системах";

■ нормативні документи системи технічного захисту інформації в комп'ютерних (автоматизованих системах) від несанкціонованого доступу і т. ін.

Правовими документами є й державні та міждержавні стандарти на інформаційну діяльність з урахуванням забезпечення її безпеки, зокрема:

■ ДСТУ 3396.0-96 "Захист інформації. Технічний захист інформації. Основні положення";

■ ДСТУ 3396.1 -96 "Захист інформації. Технічний захист інформації. Порядок проведення робіт";

■ ДСТУ 3396.2-97 "Захист інформації. Технічний захист інформації. Терміни та визначення";

■ ГОСТ 28147-89 "Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования";

■ ГОСТ 34.310-95 "Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметрического криптографического алгоритма";

■ ГОСТ 34.311-95 "Информационная технология. Криптографическая защита информации. Функция хеширования".

Опираючись на державні правові акти та враховуючи відомчі інтереси на рівні конкретного підприємства (фірми, організації), розроблюються власні нормативно-правові документи, орієнтовані на забезпечення інформаційної безпеки. До таких документів відносяться:

■ положення про збереження конфіденційної інформації;

■ перелік відомостей, які складають конфіденційну інформацію;

■ інструкція про порядок допуску співробітників до відомостей, які складають конфіденційну інформацію;

■ положення про спеціальне діловодство та документообіг;

■ перелік відомостей, які дозволені до опублікування у відкритому друці;

■ положення про роботу з іноземними фірмами та їхніми представниками;

■ зобов'язання співробітника про збереження конфіденційної інформації;

■ пам'ятка співробітнику про збереження комерційної таємниці.

Наведені вище нормативні акти спрямовані на попередження випадків неправомірного оголошення (розголошення) секретів на правовій основі — у випадку їх порушення повинні прийматися відповідні заходи впливу.

Залежно від характеру інформації, її доступності для зацікавлених споживачів, а також економічної доцільності конкретних захисних заходів, можуть бути обрані наступні форми захисту інформації:

■ патентування;

■ авторське право;

■ признання відомостей конфіденційними;

■ товарні знаки;

■ застосування норм зобов'язувального права.

Існує певна різниця між авторським правом та комерційною таємницею. Авторське право захищає тільки форму вираження ідеї. Комерційна таємниця відноситься безпосередньо до змісту. Авторське право захищає від копіювання незалежно від конфіденційних відносин із власником. До авторського права вдаються при широкій публікації своєї інформації, у той час як комерційну таємницю тримають у секреті. Очевидно, що порівняно з патентом та авторським правом комерційна таємниця та виробнича таємниці є найбільш зручними, надійними та гнучкими формами захисту інформації.

Окрім вищевикладених форм правового захисту та права належності інформації знаходить широке розповсюдження офіційна передача права на користування нею у вигляді ліцензії.

Ліцензія [license] (від лат. licentia — "свобода, право") — це дозвіл, виданий державою на проведення деяких видів господарської діяльності, включаючи зовнішньоторгівельні операції (ввезення та вивезення) та надання права використовувати захищені патентами винаходи, технології, методики. Ліцензійні дозволи надаються на певний час і на певні види товарів.

Комерційна таємниця [commerce secret] — це відомості, які не є державними секретами, пов'язані з виробництвом, технологією, управлінням, фінансами та іншою діяльністю, розголошення, витік та несанкціонований доступ до якої може призвести до збитків їхнім власникам.

До комерційної таємниці не відносяться:

■ відомості, що охороняються державою;

■ відомості, які є загальновідомими на законній підставі;

■ відомості про негативні сторони діяльності;

■ установчі документи та відомості про господарську діяльність.

Створюючи систему інформаційної безпеки, необхідно чітко розуміти, що без правового забезпечення захисту інформації будь-які наступні претензії до несумлінного співробітника, клієнта, конкурента та посадової особи будуть просто безпідставними.

Якщо перелік відомостей конфіденційного характеру не доведений своєчасно до кожного співробітника (природно, якщо від допущений до виконання посадових обов'язків) у письмовому вигляді, то співробітник, який викрав важливу інформацію при порушенні встановленого порядку роботи з нею скоріше всього не буде покараний.

Правові норми забезпечення безпеки та захисту інформації на конкретному підприємстві (фірмі, організації") відображаються у сукупності установчих, організаційних та функціональних документів.

Вимоги забезпечення безпеки та захисту інформації відображаються у Статуті (установчому договорі) у вигляді наступних положень:

■ підприємство має право визначати склад, обсяги та порядок захисту конфіденційних відомостей, вимагати від своїх співробітників забезпечення їх збереження та захисту від внутрішніх та зовнішніх загроз;

■ підприємство зобов'язане забезпечувати збереження конфіденційної інформації.

Такі вимоги дають адміністрації підприємства наступні права:

■ створювати організаційні структури із захисту конфіденційної інформації;

■ видавати нормативні та розпорядчі документи, які визначають порядок виділення відомостей конфіденційного характеру та механізми їхнього захисту;

■ включати вимоги із захисту інформації в угоди з усіх видів господарської діяльності;

■ вимагати захисту інтересів підприємства з боку державних та судових інстанцій;

■ розпоряджатися інформацією, що є власністю підприємства, з метою вигоди та недопущення економічних збитків колективу підприємства та власникові засобів виробництва;

■ розробляти "Перелік відомостей конфіденційної інформації".

Вимоги правового забезпечення захисту інформації передбачаються у колективному договорі. Колективний договір повинен містити наступні вимоги.

■ Розділ "Предмет договору". Адміністрація підприємства (у тому числі й адміністрація самостійних підрозділів) зобов'язується забезпечити розробку та здійснення заходів із визначення та захисту конфіденційної інформації. Трудовий колектив приймає на себе зобов'язання з дотримання встановлених на підприємстві вимог із захисту конфіденційної інформації. Адміністрація зобов'язана враховувати вимоги захисту конфіденційної інформації у правилах внутрішнього розпорядку.

■ Розділ "Кадри. Забезпечення дисципліни праці". Адміністрація зобов'язується притягати порушників вимог із захисту комерційної таємниці до адміністративної та кримінальної відповідальності відповідно до діючого законодавства.

Правила внутрішнього трудового розпорядку для робітників та службовців підприємства доцільно доповнити наступними вимогами.

■ Розділ "Порядок прийому та звільнення робітників та службовців". При прийомі робітника або службовця на роботу або переведенні його в установленому порядку на іншу роботу, пов'язану з конфіденційною інформацією підприємства, а також при звільненні його з роботи адміністрація зобов'язана проінструктувати робітника або службовця з правил збереження комерційної таємниці з оформленням письмового зобов'язання про її нерозголошення. Адміністрація підприємства вправі приймати рішення про відсторонення від робіт осіб, які порушують встановлені вимоги із захисту конфіденційної інформації.

■ Розділ "Основні обов'язки робітників та службовців". Робітники та службовці зобов'язані дотримуватися вимог нормативних документів із захисту конфіденційної інформації на підприємстві.

■ Розділ "Основні обов'язки адміністрації"". Адміністрація підприємства, керівники підрозділів зобов'язані:

• забезпечувати збереження конфіденційної інформації, постійно здійснювати організаторську роботу та виховально-профілактичну роботу, спрямовану на захист секретів підприємства;

• включати в посадові інструкції та положення обов'язки із зберігання конфіденційної інформації;

• неухильно виконувати вимоги Статуту, колективного договору, трудових договорів, правил внутрішнього розпорядку та інших організаційних та господарських документів у частині забезпечення економічної та інформаційної безпеки.

Обов'язки конкретного співробітника, робітника або службовця стосовно захисту інформації обов'язково повинні бути обмовлені в трудовому договорі (контракті). Відповідно до КЗпП при укладанні трудового договору працівник зобов'язується виконувати певні вимоги, які діють на даному підприємстві. Незалежно від форми укладання договору (усного, чи письмового) підпис працівника на наказі про прийом на роботу підтверджує його згоду з умовами договору.

Вимоги із захисту конфіденційної інформації можуть бути обмовлені в тексті договору, якщо договір укладається в письмовій формі. Якщо ж договір укладається в усній формі, то діють вимоги із захисту інформації, які випливають із нормативно-правових документів підприємства. При укладанні трудового договору та оформленні наказу про прийом на роботу нового співробітника робиться відмітка про поінформованість його з порядком захисту інформації підприємства. Це створює необхідний елемент залучення даної особи в механізм забезпечення інформаційної безпеки.

Не слід вважати, що після підписання такої угоди з новим співробітником таємниця буде збережена. Це тільки попередження співробітникові, що в справу вступає система заходів із захисту інформації, і правова основа до того, щоб припинити його невірні або протиправні дії. Подальше завдання — не допустити втрати комерційних секретів.

Реалізація правових норм і актів, орієнтованих на захист інформації на організаційному рівні, опирається на ті чи інші організаційно-правові норми, до числа яких відносяться дотримання конфіденційності робіт та дій, договори (угоди) та різноманітні форми зобов'язувального права.

Конфіденційність [confidentiality, privacy] (від лат. confidentia — "довір'я") у даному випадку — це форма поводження з відомостями, які складають комерційну таємницю, на основі організаційних заходів, які виключають неправомірне оволодіння такими відомостями.

Договір — це угода сторін (двох або більше осіб) про встановлення, зміну або припинення взаємний зобов'язань.

Зобов'язання — це цивільні правовідносини, у силу яких одна сторона (боржник) зобов'язана здійснювати на користь іншої певні дії.

Правове регулювання необхідне для вдосконалення механізму попередження протиправних дій по відношенню до інформаційних ресурсів, для уточнення та закріплення завдань та правомочності окремих суб'єктів у сфері попереджувальної діяльності, охорони прав та законних інтересів громадян та організації.

Правові заходи забезпечення безпеки та захисту інформації є основою порядку діяльності та поведінки співробітників підприємства та визначають міру їхньої відповідальності за порушення встановлених норм.

 

Організаційний захист