Захист інформації в інформаційних системах

 

Нині найбільш актуальним безумовно, є захист інформації, по­даної в електронній формі, адже саме цей вид її, з огляду на нема­теріальний характер, високу здатність до трансформації й передачі є найбільш вразливим до протиправних дій. Інформація в електро­нній формі обробляється, передається та розповсюджується за допо­могою інформаційно-телекомунікаційних систем, будучи їх основним наповненням. В Україні останнім часом створено достатньо широку нормативно-правову базу для проведення діяльності із захисту цьо­го виду інформації. Причому можна виділити два аспекти захисту ін­формації в інформаційно-телекомунікаційних системах: 1) встанов­лення стандартів і вимог щодо характеристик інформаційних систем, які мають забезпечувати дієвість цієї системи; безпосереднє правове регулювання діяльності із захисту інформації.

Наприклад, Закон України "Про телекомунікації" (ст. 1) виділяє дві характеристики безпеки інформаційних систем і мереж.

1) інформаційна безпека телекомунікаційних мереж - здатність мереж забезпечувати захист від знищення, перекручування, блокуван­ня інформації, її несанкціонованого витоку або від порушення вста­новленого порядку її маршрутизації.

2)сталість телекомунікаційної мережі - властивості телекому­нікаційної мережі зберігати повністю або частково свої функції у разі впливу на неї дестабілізаційних чинників.

Ст. 9 Закону України "Про телекомунікації" визначено обов'язки операторів і провайдерів телекомунікацій щодо забезпечення відпо­відних характеристик і властивостей засобів телекомунікацій.

Правовою основою діяльності із захисту інформації є Закон Укра­їни "Про захист інформації в інформаційно-телекомунікаційних системах". Відповідно до ст. 1 цього Закону, захист інформації в системі - це діяльність, спрямована на запобігання несанкціонова­ним діям щодо інформації в системі.

Сама ж автоматизована система є такою, що виконує автоматизо­ване оброблення даних і в складі якої є технічні засоби їх оброблен­ня (засоби обчислювальної техніки і зв'язку), а також методи і про­цедури, програмне забезпечення.

Закон визначає п'ять основних видів несанкціонованих дій з ін формацією:

1) блокування інформації в системі - дії, внаслідок яких унемож­ливлюється доступ до інформації в системі;

2)виток інформації - результат дій, внаслідок яких інформація в системі стає відомою або доступною фізичним та/або юридичним особам, що не мають права доступу до неї;

3)знищення інформації в системі - дії, внаслідок яких інформа­ція в системі зникає;

4)порушення цілісності інформації в системі - несанкціонова­ні дії щодо інформації в системі, внаслідок яких змінюється її зміст.

Важливим аспектом інформаційної безпеки є захист інформації яка передається, зберігається та обробляється за допомогою кому­нікаційних систем різних типів. Щодо цього в Україні вже створено низку нормативно-правових актів.

Об'єктами захисту від неправомірних зазіхань є:

- інформація, що обробляється в автоматизованій системі;

- права власників цієї інформації та власників автоматизова­ної системи;

- права користувача.

Захист інформації полягає у застосуванні сукупності організаційно-технічних заходів і правових норм для запобігання за­подіянню шкоди інтересам власника інформації чи автоматизованої системи та особам, які користуються інформацією.

Закон України "Про захист інформації в автоматизованих систе­мах" визначає: також відносини між суб'єктами в процесі оброблен­ня інформації в автоматизованих системах, загальні вимоги до захис­ту інформації в АС і порядок організації цього захисту, відповідаль­ність за порушення норм цього закону та засади міжнародної співп­раці України у сфері автоматизованих систем.

Зазначимо, що конкретний зміст вимог до захисту інформації за­лежить насамперед від права власності на конкретну інформації, що обробляється за допомогою автоматизованої системи. Так, за ст. 11 Закону України "Про захист інформації в автоматизованих системах", вимоги і правила захисту інформації, яка є власністю держави, або ін­формації, захист якої гарантується державою, визначаються відповід­ними нормативно-правовими актами. Ці вимоги є обов'язковими для власників автоматизованих систем, де така інформація обробляється, а для інших суб'єктів права власності на інформацію такі вимоги ма­ють лише рекомендаційний характер.

Політика із захисту інформації в автоматизованих системах ви­значається Верховною Радою України, а державне управління в цій сфері здійснює Кабінет Міністрів України.

Державне управління у сфері захисту інформації в автоматизова­них системах передбачає:

- проведення єдиної технічної політики захисту інформації;

- розроблення концепції, вимог, нормативно-технічних доку­ментів і науково-методичних рекомендацій захисту інформа­ції в автоматизованих системах;

- затвердження порядку організації, функціонування та контр­олю за виконанням заходів захисти оброблюваної в автомати­зованій системі інформації, яка є власністю держави, а також рекомендацій щодо захисту інформації - власності юридич­них та фізичних осіб;

- організації випробувань і сертифікації засобів захисту інфор­мації в автоматизованих системах, в якій здійснюється оброб­ка інформації, що власністю держави;

- створення відповідних структур для захисту інформації в ав­томатизованих системах;

- проведення атестації сертифікаційних (випробувальних) орга­нів, центрів і лабораторій, видача ліцензії на право проведен­ня сервісних робіт в галузі захисту інформації в автоматизо­ваних системах;

 

- здійснення контролю захищеності оброблюваної в автомати­зованих системах інформації, яка є власністю держави;

- визначення порядку доступу осіб і організацій зарубіжних дер­жав до інформації в автоматизованих системах, яка є власніс­тю держави, або до інформації - власності фізичних та юри­дичних осіб, щодо поширення і використання якої державою встановлено обмеження.

Нормами законодавства встановлено комплексний характер за­хисту інформації. Зокрема, захист державних інформаційних ре­сурсів в автоматизованих системах, що належать до інформаційно-телекомунікаційних систем, здійснюється через запровадження комп­лексної системи захисту інформації (КСЗІ). Ця система складаєть­ся з комплексу технічних, криптографічних, організаційних та інших заходів і засобів, спрямованих на запобігання блокуванню інформа­ції, несанкціонованому ознайомленню з нею та/або її модифікації. Основними в комплексній системі захисту інформації є технічний та криптографічний захист, а також комплекс заходів організаційно­го характеру, який передбачає встановлення відповідних режимів ді­яльності об'єктів інформаційних систем, контроль за дотриманням правил і норм здійснення захисту інформації, контроль за діяльністю суб'єктів захисту інформації тощо.

 

Технічний захист інформації

 

Згідно з Положенням "Про технічний захист інформації в Україні", яке було затверджене Указом Президента, технічний за­хист інформації (ТЗІ) - це діяльність, спрямована на забезпечення інженерно-технічними заходами конфіденційності, цілісності та до­ступності інформації.

Комплекс заходів технічного захисту інформації може бути здій­снений лише в інформаційній системі або на іншому об'єкті інформа­ційної інфраструктури. Рівень безпеки інформації, яка обробляється в системах та на об'єктах інформаційної інфраструктури визначаєть­ся комплексом таких її властивостей:

- конфіденційність - властивість інформації бути захищеною від несанкціонованого ознайомлення;

- цілісність - властивість інформації бути захищеною від несанк­ціонованого спотворення, руйнування або знищення;

- доступність - властивість інформації бути захищеною від не­санкціонованого блокування.

Лише наявність цих трьох характеристик інформації, що підлягає захисту, є умовою ефективного і безпечного використання суб'єктами інформаційних процесів необхідних об'єктів інформаційної інфра­структури.

В Україні введено державне регулювання діяльність із ТЗІ, яке передбачає:

- ліцензування та надання дозволів на провадження діяльнос­ті із ТЗІ;

- сертифікацію та державне експертне оцінювання продукції

у сфері ТЗІ. Процедура надання ліцензії або дозволу визначається змістом за­вдань, які вирішуються в межах діяльності з ТЗІ:

1) організації, які виконують діяльність з ТЗІ з метою надання від­повідних послуг іншим фізичним та юридичним особам, повинні отрима­ти ліцензію на право проведення господарської діяльності у галузі ТЗІ;

2) органи державної влади та місцевого самоврядування, які здій­снюють роботи з ТЗІ для власних потреб, отримують право на їх про­ведення у дозвільному порядку.

Нині ліцензування діяльності в галузі ТЗІ та контроль за додержан­ням ліцензійних вимог здійснюють адміністрацією Державної служби спеціального зв'язку та захисту інформації України (Держспецзв'язку). Правила ліцензування цього виду господарської діяльності визнача­ються "Ліцензійними умовами провадження господарської діяльності, пов'язаної з розробленням, виробництвом, впровадженням, обслугову­ванням, дослідженням ефективності систем і засобів технічного захисту інформації, наданням послуг у галузі технічного захисту інформації".

Усього в галузі ТЗІ підлягає ліцензуванню 7 видів робіт, а саме:

1) розроблення, впровадження, дослідження ефективності, об­слуговування на об'єктах інформаційної діяльності комплексів (систем) технічного захисту інформації, носіями якої є акус­тичні поля, надання консультативних послуг;

2) розроблення, впровадження, дослідження ефективності, об­слуговування на об'єктах інформаційної діяльності комплексів (систем) технічного захисту інформації, носіями якої є елек­тромагнітні поля та електричні сигнали, надання консульта­тивних послуг;

3) розроблення, виробництво, впровадження, дослідження ефек­тивності, супроводження засобів та комплексів технічного за­хисту інформації в інформаційних системах, інформаційних технологій із захистом інформації від несанкціонованого до­ступу, надання консультативних послуг;

4) виявлення та блокування витоку мовної та видової інформації через закладні пристрої на об'єктах інформаційної діяльності, надання консультативних послуг;

5) виробництво засобів забезпечення технічного захисту інфор­мації, носіями якої є акустичні поля;

6) виробництво засобів забезпечення технічного захисту інформа­ції, носіями якої є електромагнітні поля та електричні сигнали;

7) розроблення, впровадження, дослідження ефективності, об­слуговування на об'єктах інформаційної діяльності комплек­сів (систем) технічного захисту інформації, носіями якої є хі­мічні речовини, надання консультативних послуг.

Для органів державної влади та органи місцевого самоврядуван­ня Держспецзв'язку надає дозволи на проведення робіт з технічного захисту інформації для власних потреб і здійснює контроль за прове­денням ними визначених видів робіт.

Система оцінювання продукції у сфері ТЗІ, як уже зазначалося, складається з двох процедур - сертифікації засобів ТЗІ та державної експертизи.

Об'єктом сертифікації в галузі ТЗІ є окремі засоби ТЗІ. Сертифі­кації підлягають:

- засоби ТЗІ, які виробляються серійно;

- одиничні зразки засобів ТЗІ;

- засоби ТЗІ імпортного виробництва.

Процедура сертифікації полягає наданні споживачеві засобів ТЗІ гарантії відповідності цих засобів нормативним документам. Порядок та вимоги до проведення сертифікації засобів ТЗІ визначаються Нака­зом Держстандарту України "Про затвердження Порядку проведення робіт з сертифікації засобів забезпечення технічного захисту інфор­мації загального призначення".

Сертифікація засобів ТЗІ в Україні здійснюється органами та ви­пробувальними лабораторіями, які є акредитованими в Українській державній системі сертифікації продукції (УкрСЕПРО).

Державна експертиза у сфері ТЗІ здійснюється відповідно до За­кону України "Про наукову і науково-технічну експертизу" та відповідного "Положення про державну експертизу в сфері технічного захисту інформації".

Замовником державної експертизи у сфері ТЗІ є Держспецзв'язком.

Організаторами експертизи є фізичні та юридичні особи, які на підставі доручення або договору із замовниками організовують та проводять експертизу і подають експертні висновки.

Експертами є фізичні особи, які мають високу кваліфікацію, спеціальні знання і безпосередньо здійснюють наукову чи науково-технічну експертизу та несуть персональну відповідальність за досто­вірність і повноту аналізу, обгрунтованість рекомендацій відповідно до вимог завдання на проведення експертизи.

Організатори експетризи та експерти, яким надано право здійсню­вати державну експертизу в сфері ТЗІ, підлягають реєстрації у відпо­відному Реєестрі.

Результати проведеної державної екпертизи у сфері ТЗІ оформ­ляються у вигляді експертних висновків, які видаються щодо окре­мих засобів технічного захисту інформації, та атестатів відповід­ності, які видаються на комплексні системи захисту інформації в інформаційно-телекомунікаційних системах.

Наявність позитивного експертного висновку щодо засобу ТЗІ є підставою для його включення до Переліку засобів технічного захис­ту інформації загального призначення, які дозволені до використан­ня з метою ТЗІ.

Наявність атестату відповідності є обов'язковою умовою надан­ня власникові інформаційно-телекомунікаційної системи дозволу на оброблення в цій системі інформації, що підлягає захисту, відповід­но до вимог законодавства.

Отже, система державного регулювання у сфері технічного захис­ту інформації має комплексний характер і забезпечується встанов­ленням відповідних правил і стандартів, які стосуються як діяльності у сфері ТЗІ, що включають ліцензування та надання відповідних до­зволів, так і спеціальними вимогами до засобів ТЗІ та інформаційно-телекомунікаційних систем, які включають стандартизацію, сертифі­кацію та атестацію.