Основні заходи і засоби захисту комп’ютерної інформації 


Мы поможем в написании ваших работ!



ЗНАЕТЕ ЛИ ВЫ?

Основні заходи і засоби захисту комп’ютерної інформації



Основні поняття

Розглядаючи інформацію, як об’єкт захисту, треба зазначити, що інформація – це результат відображення і опрацювання у людській свідомості різноманіття навколишнього світу, це відомості про оточуючі людину предмети, явища природи, діяльність інших людей. Відомості, якими людина обмінюється через комп’ютери, з іншою людиною або комп’ютером, і є предметом захисту. Захистові має підлягати не лише таємна інформація. Модифікація несекретних даних може призвести до витоку таємних. Знищення або зникнення накопичених з великими труднощами даних може призвести до їх безнадійної втрати. Залежно від сфери і масштабів застосування тієї чи іншої системи опрацювання даних втрата або витік інформації може призвести до наслідків різної тяжкості: від невинних жартів до надзвичайно великих втрат економічного і політичного характеру. І тому є маса подібних прикладів. Особливо широкого розмаху набули злочини в автоматизованих системах, що обслуговують банківські і торговельні структури. За даними зарубіжних спеціалістів, втрати банків в результаті комп’ютерних злочинів щорічно складають від 170 мільйонів до 41 мільярда доларів.

Цінність інформації є критерієм при прийнятті будь-якого рішення про її захист. Хоча було зроблено багато різних спроб формалізувати цей процес з використанням методів теорії інформації і аналізу рішень, процес оцінки досі залишається вельми суб’єктивним. Для оцінки потрібний розподіл інформації на категорії не тільки відповідно до її цінності, але й важливості:

1) життєво важлива незамінна інформація, наявність якої необхідна для функціонування організації;

2) важлива інформація – інформація, яка може бути замінена або відновлена, але процес відновлення дуже важкий і пов’язаний з великими витратами;

3) корисна інформація – інформація, яку важко відновити, однак організація може ефективно функціонувати й без неї;

4) несуттєва інформація – інформація, яка організації більше не потрібна.

На практиці віднесення інформації до однієї з цих категорій є досить складним завданням, оскільки одна й таж сама інформація може бути використана багатьма підрозділами організації, кожен з яких може віднести її до різних категорій важливості. Категорія важливості, як і цінність інформації, звичайно згодом змінюється і залежить від ставлення до неї різних груп споживачів і потенційних порушників.

Практика свідчить, що захищати треба не тільки таємну інформацію. Несекретна інформація, піддана несанкціонованим змінам може призвести до витоку або втрати пов’язаною з нею таємної інформації, а також до невиконання автоматизованою системою заданих функцій внаслідок отримання помилкових даних, які можуть бути не виявлені користувачем системи.

Сумарна кількість або статистика нетаємних даних в результаті може виявитися таємною. Аналогічно зведені дані до одного рівня таємності можуть загалом бути інформацією більш високого рівня таємності. Для захисту від подібних ситуацій широко застосовується розмежування доступу до інформації за функціональною ознакою. За однакового ступеня важливості, інформація, що опрацьовується в системі опрацювання даних, поділяється відповідно до функціональних обов’язків і повноважень користувачів, що встановлюються адміністрацією організації – власника інформації [5: 45-47].

 

Режими захисту інформації

При розробці законодавчих і інших правових і нормативних документів, а також при організації захисту інформації важливо правильно орієнтуватися у всьому блоці діючої законодавчої бази в цій галузі.

Проблеми, пов’язані з правильним трактуванням і застосуванням законодавства України в цій галузі, періодично виникають в практичній роботі по організації захисту інформації від її витоку технічними каналами, від несанкціонованого доступу до інформації і від дій на неї при опрацюванні в технічних засобах інформатизації (далі – захист інформації), а також в ході контролю ефективності вживаються заходи захисту. Зокрема, такі питання виникають стосовно трактування змісту категорій “службова таємниця” і “конфіденційна інформація”.

Базовим законом в галузі захисту інформації є прийнятий у 1992 році Закон “Про інформацію”, який регламентує відносини, що виникають при формуванні і використанні інформаційних ресурсів України на основі збирання, накопичення, зберігання, поширення і надання споживачам документованої інформації, а також при створенні і використанні інформаційних технологій, при захисті інформації і прав суб’єктів, що беруть участь в інформаційних процесах і інформатизації.

Закон свідчить:

Ø інформаційні ресурси діляться на державні і недержавні;

Ø державні інформаційні ресурси України формуються відповідно до сфер ведення як: державні інформаційні ресурси; інформаційні ресурси, що знаходяться в сумісному веденні держави і суб’єктів держави; інформаційні ресурси суб’єктів України;

Ø державні інформаційні ресурси є відкритими і загальнодоступними. Виняток становить документована інформація, віднесена законом до категорії обмеженого доступу;

Ø документована інформація з обмеженого доступу за умов її правового режиму поділяється на інформацію, віднесену до державної таємниці, і конфіденційну.

Ø конфіденційна інформація – документована інформація, доступ до якої обмежується відповідно до законодавства України;

Ø персональні дані про громадян, що включаються до складу державних інформаційних ресурсів, інформаційних ресурсів сумісного ведення, інформаційних ресурсів суб’єктів держави, інформаційних ресурсів місцевого самоврядування, а також отримані і зібрані недержавними організаціями, віднесені до категорії конфіденційної інформації.

З цього Закону випливає:

Ø інформація з будь-якої галузі знань і діяльності у принципі є відкритою і загальнодоступною, якщо законодавством не передбачено обмеження доступу до неї в установленому порядку;

Ø категорія "конфіденційна інформація" об’єднує всі види інформації, що захищається (таємниць). Це відноситься і до державних і до недержавних інформаційних ресурсів. При цьому, виняток становить інформація, віднесена до державної таємниці: вона до конфіденційної інформації не відноситься, а є складовою частиною інформації з обмеженим доступом.

Відповідно до “Закону про інформацію” режим захисту інформації встановлюється:

Ø відносно відомостей, віднесених до державної таємниці, – уповноваженими органами на підставі Закону України “Про державну таємницю”;

Ø відносно конфіденційної інформації – власником інформаційних ресурсів або уповноваженою особою на підставі “Закону про інформацію”;

Ø відносно персональних даних – окремим державним законом.

Принциповим тут є положення, що режим захисту конфіденційної інформації визначає її власник, тобто відповідний орган державної влади або управління, організація, установа, підприємство.

 

Інформатизація в Україні

Інформатизація суспільства характеризується високим рівнем використання інформації, що кардинально впливає на економічний розвиток і соціокультурні зміни в суспільстві у технічній галузі. Це виражається у широкому впровадженні інформаційних технологій у виробництво, економіку, ділове життя, у систему освіти та побут. В економічній галузі інформація перетворилася в товар, у соціальній – вона стає головним чинником зміни якості життя. У політичному – вільний доступ.

Ситуація яка склалась з інформатизацією державних органів у нашій країні, не позбавлена парадоксальності. З одного боку, комп’ютерів у різних офісах досить багато: сьогодні майже не має робочого місця, не обладнаного ним. З другого, використання державними чиновниками нечасто виходить за межі виготовлення документів у Word, використовують мережу Інтернет і електронну пошту. Відтак за ефективністю державного управління наша країна катастрофічне відстає від розвинутих країн, де надзвичайно активно використовують технології електронного урядування. Сказати, що причина такого відставання – відсутність стратегії розвитку ІТ у галузі державного управління, було б не зовсім правильно – стратегія у вигляді Національної програми інформатизації (НПІ) існує вже багато років. Назвати головною проблемою відсутність у державному бюджеті коштів на розвиток інформаційних технологій також складно - наприклад, у 2000 році загальний обсяг фінансування проектів різних відомств становив понад 250 млн. гривень. Проте це фінансування розкидане між бюджетами численних державних установ і спрямовується на не узгоджені між собою проекти – закупівлю техніки, створення локальних баз даних, веб-сайтів тощо. При цьому відомчі проекти, як правило, перебувають поза межами НПІ, отож не потрапляють під дію закону України «Про НПІ» та не узгоджуються з уповноваженим на її координацію органом – Державним комітетом зв’язку й інформатизації. Результат такої ситуації – низька ефективність використання ІТ у державному управлінні на тлі широкого їх впровадження.

Фінансування НПІ завжди здійснювали за залишковим принципом. Так на 2002 рік на неї виділено 8 мільйонів гривень, на 2003 лише 5,6 млн. гривень. Водночас усі органи державної влади разом узяті на власні проекти в галузі інформатизації витрачають сотні мільйонів гривень на рік. Однак при цьому ні про яку єдність стандартів на техніку та програмне забезпечення не йдеться. Отож неможливе і створення в державі єдиного електронного простору, тієї ж таки «Електронної України». А потреба в цьому стає дедалі нагальною – вже сьогодні за ефективністю наші органи влади катастрофічно відстають від розвинутих країн. Наприклад, експериментально встановлено: час, потрібний для того, щоб усі місцеві органи влади почали виконувати термінове розпорядження Президента, дорівнює семи дням. Це при тому, що комп’ютерів в органах державного управління в принципі достатньо. Проте наяву – катастрофічна неефективність, безсистемність використання коштів, фактично виділених на інформатизацію: лише мала частина їх іде на системні проекти, а переважна – на масову закупівлю техніки, яку нерідко у державних установах не використовують і на десяту частину її можливостей.

Консультант Держкомзв’язку говорить не лише про «синдром друкарської машинки», під яким мається на увазі звичка використовувати складну техніку лише для виготовлення документів (навіть таким, на своєму рівні ефективним інструментом для роботи з числовими даними, як Ехсеl, у міністерських кабінетах послуговуються порівняно рідко). Дуже гостра проблема «різношерстості» комп’ютерної техніки в держустановах, оскільки всі вони закуповують техніку незалежно, керуючись виключно власними міркуваннями. Навіть попри превалювання серед «державних комп’ютерів» платформи, є величезне розмаїття виробників материнських плат, відеокарт, жорстких дисків, модулів оперативної пам’яті та навіть процесорів. Кожному технареві зрозуміло: на такий парк неможливо без нюансів встановити єдине у межах держорганів програмне забезпечення. Суперечку про те, чи треба для державних органів закуповувалися ліцензійне ПЗ Місrоsоft, чи варто створювати власне програмне забезпечення на основі систем із відкритим кодом, ще не завершено. Обидва підходи мають свої плюси та мінуси.

Держава намагається розв’язати цю проблему досить давно. Так, 1996 року створено Національне агентство з питань інформатизації. У 1998 р. ухвалено Закон України «Про концепцію НПІ», а також Постанову Кабінету міністрів про формування галузевих програм інформатизації. Після прийняття цієї Постанови в структуру обласної адміністрації було введено відділи інформаційного та комп’ютерного забезпечення. Сьогодні, як правило, у них працюють дві-три особи, які роблять усе: від обслуговування кінцевих користувачів до ремонту техніки, її установлення, підтримання в робочому стані локальної мережі та мережі Інтернет. У районних адміністраціях немає і таких відділів. При цьому інформатизацію обласної адміністрації фінансують за рахунок регіональних програм інформатизації, а підрозділів міністерств і відомств – у межах галузевих програм. Це також призводить до збільшення розмаїття використовуваної техніки.

Для створення єдиного інформаційного простору державного управління має бути досягнута уніфікація подання інформації в органах державної влади. При цьому використовують єдиний інформаційний інтерфейс, для якого, в свою чергу, мають бути розроблені типові програмні продукти та їх налаштування для всіх органів державного управління. Це буде набагато дешевше, ніж якщо кожен орган розроблятиме свої програмні рішення. Для можливості установлення такого єдиного програмного продукту необхідна уніфікація вимог до апаратної частини. Сьогодні в Україні 27 регіонів, 490 районів, 450 міст обласного підпорядкування, 11 тисяч місцевих рад. Якщо кожен район витратить за рік на розроблення власної інформаційної системи бодай тисячу гривень, у сумі це дорівнюватиме 4,9 млн. За ці гроші можна було б розробити та встановити в усіх цих районах функціональну систему. Коли замість того, що кожен закуповуватиме техніку та розроблятиме ПЗ на власний розсуд і за власні кошти, здійснюватиме централізоване його розроблення, - вдасться істотно зекономити. Але програмне забезпечення має бути масштабоване та гнучко переналаштоване для забезпечення функції кожного окремо взятого державного органу. Відділи інформатизації обласних адміністрацій слід реорганізувати в управління, зобов’язані експлуатацією інформаційно-аналітичних центрів обласної адміністрацій. У штаті цих центрів повинні бути не лише програмісти й інженери, а й аналітики. Інформаційно-аналітичні центри мають бути оснащені не просто базами даних, а базами знань. Крім того, в обласних адміністраціях слід створити ситуаційні центри, також обладнані системи моніторингу. Діяльність інформаційно-аналітичного центру поділяють на дві складові: власне інформаційна й аналітична. Інформаційна, в свою чергу, передбачає збирання формалізованої інформації, а також її попереднє опрацювання. Аналітична – підготовлення звітів, необхідних для ухвалення рішень. Згадане вище Агентство з питань інформатизації якраз і займалося докладним розробленням проекту такої системи інформаційно-аналітичного забезпечення органу державної влади. Централізоване розроблення такого проекту оцінюється у 8-10 мільйонів гривень. А коли кожен орган витрачатиме 1,5 мільйона гривень у найпростішому варіанті.

Для вирішення всіх цих питань, потрібно докорінно перебудувати фактичний порядок формування програми інформатизації. Раніше всі міністерства й відомства подавали заявки в агентство, відчувалася потреба в 200-300 млн. гривень. А реально виділялось 5-8 мільйонів гривень. Агентство опинилось в наперед негарному становищі, бо не виконувало своїх функцій. 2002 року в бюджеті НПІ закладено 8 мільйонів гривень, тоді як у бюджеті органів держави – по 10, 12, 15 і навіть 54 млн. гривень за статтями «інформатизація, створення інформаційно-аналітичних систем». Через такий порядок виділення коштів на інформатизацію в Україні є значна внутрішня цифрова нерівність як між регіонами, так і між галузями. Так, Київ, Донецьк, Львів, Дніпропетровськ, Харків, Одеса комп’ютеризовані непогано, мають високий рівень підключення до мережі Інтернет. Водночас Закарпаття, Прикарпаття, Кіровоград, Полтава комп’ютеризовані порівняно слабо, і в цих регіонах не виділяють на це гроші. Проблему можна розв’язати лише централізованим виділенням коштів. А за галуз я ми: фінансисти, податківці, транспортники комп’ютеризовані непогано, а медичні, освітні, культурні відділи – майже не комп’ютеризовані.

Сьогодні ситуація, коли відомчі інтереси в галузі інформатизації домінують над загальнодержавними, вже неприпустима. Керівники галузі дедалі частіше говорять про консолідацію, у межах Державної програми інформатизації, коштів, які виділяють всі органи державного управління й інші державні структури на закупівлю комп’ютерної техніки та ПЗ. Крім розв’язання проблем стандартизації та сумісності техніки, це уможливило б виділення коштів на реалізацію необхідних у масштабах держави проектів, таких як єдина система електронного документообігу, створення спеціальних центрів. За деякими даними, у Держкомзв’язку зараз готується пакет документів, серед яких Постанови уряду й зміни до Закону Украйни «Про НПІ». Вони мають передбачати конкретні механізми формування бюджету програми – зокрема, заборону Міністерства фінансів розглядати бюджетні запити державних органів без узгодження з Держкомзв’язку й заборону органам державної влади використовувати кошти держбюджету для оплати робіт у межах власних проектів без аналогічного узгодження. При цьому коштами на такі проекти продовжують розпоряджатися самі державні органи, а не Держкомзв’язку. Останній проводить лише експертну оцінку проектів на відповідність загальній стратегії інформатизації країни; повинен отримати право, наприклад, об’єднувати проекти, які дублюють один одного, контролювати умови тендерів на закупівлю техніки з метою забезпечення «однаковості» техніки тощо. Якщо ж згаданий пакет змін буде ухвалено, в державі з’явиться новий, діє механізм реалізації стратегії інформатизації, тобто у програми з’явиться конкретний господар.

Зрозуміло, що побудова інформаційного суспільства, до якого сьогодні прагне Україна, не зводиться до простого збільшення кількості веб-сайтів і користувачів мережі Інтернет. Щоб сучасні інформаційні мережі справді могли ефективно використовувати для підвищення рівня життя населення нашої країни, необхідно вирішити цілий ряд пов’язаних між собою проблем. Без відповідного правового врегулювання, використання електронних даних в економіці та управлінні не може суттєво підвищити їхню ефективність. Адже взаємодія між різноманітними суб’єктами, як і раніше, відбуватиметься шляхом повільного паперового листування. Наповнення електронного інформаційного простору не буде якісним без правового врегулювання роботи електронних інформаційних ресурсів: захисту авторських прав, відповідальності за достовірність інформації. Ні громадяни, ні підприємства, ні держава не ризикнуть активно бути присутніми у мережі Інтернет без гарантій захисту їхньої інформації, розміщеної в електронному просторі. І це лише мала частина питань, вирішення яких передбачено Концепцією розвитку державної інформаційної політики України, яку нині розробляють.

Використання комп’ютерів як друкарських машинок, що у масовому порядку можна побачити в офісах державних органів, те саме, що забивання цвяхів золотими годинниками. Є проблема неузгодженості, незв’язності інформаційних систем, які вибудовуються нині різноманітними державними структурами, - від чого активно застерігають нас західні колеги, які вже набили собі ґуль на цій проблемі. Йдеться про слабку готовність керівників різних рівнів користуватися ІС – про невміння створювати запити на аналітичну інформацію. Причому невміння як у плані незнання мови запитів конкретної ІС, так і в плані усвідомлення, яке аналітичне зростання необхідне для прийняття конкретних рішень у конкретній ситуації. Йдеться про утруднений доступ до інформаційних баз, коли державні органи змушені знаходити кошти на оплату доступу до мережі Інтернет за цілком не передбаченими для цього статтями витрат зразка 50-х років. Указ Президента про розміщення інформації органів державної влади у мережі Інтернет, лише з прийняттям якого чиновники зрозуміли, що від сайтопобудови і сайтопідтримки в робочому стані дітись нікуди. Сьогодні в адміністрації, як і в уряді, добре розуміють необхідність систематичної, цілеспрямованої інформатизації.

Види доступу до інформації

Доступ до інформації також важливо чітко розмежувати залежно від виду інформації та виду суб’єкта, що реалізує своє право на доступ до інформації. Виходячи з цього, розрізняються наступні види доступу:

Обов’язкове доведення.

Вільний доступ.

Основні поняття

Розглядаючи інформацію, як об’єкт захисту, треба зазначити, що інформація – це результат відображення і опрацювання у людській свідомості різноманіття навколишнього світу, це відомості про оточуючі людину предмети, явища природи, діяльність інших людей. Відомості, якими людина обмінюється через комп’ютери, з іншою людиною або комп’ютером, і є предметом захисту. Захистові має підлягати не лише таємна інформація. Модифікація несекретних даних може призвести до витоку таємних. Знищення або зникнення накопичених з великими труднощами даних може призвести до їх безнадійної втрати. Залежно від сфери і масштабів застосування тієї чи іншої системи опрацювання даних втрата або витік інформації може призвести до наслідків різної тяжкості: від невинних жартів до надзвичайно великих втрат економічного і політичного характеру. І тому є маса подібних прикладів. Особливо широкого розмаху набули злочини в автоматизованих системах, що обслуговують банківські і торговельні структури. За даними зарубіжних спеціалістів, втрати банків в результаті комп’ютерних злочинів щорічно складають від 170 мільйонів до 41 мільярда доларів.

Цінність інформації є критерієм при прийнятті будь-якого рішення про її захист. Хоча було зроблено багато різних спроб формалізувати цей процес з використанням методів теорії інформації і аналізу рішень, процес оцінки досі залишається вельми суб’єктивним. Для оцінки потрібний розподіл інформації на категорії не тільки відповідно до її цінності, але й важливості:

1) життєво важлива незамінна інформація, наявність якої необхідна для функціонування організації;

2) важлива інформація – інформація, яка може бути замінена або відновлена, але процес відновлення дуже важкий і пов’язаний з великими витратами;

3) корисна інформація – інформація, яку важко відновити, однак організація може ефективно функціонувати й без неї;

4) несуттєва інформація – інформація, яка організації більше не потрібна.

На практиці віднесення інформації до однієї з цих категорій є досить складним завданням, оскільки одна й таж сама інформація може бути використана багатьма підрозділами організації, кожен з яких може віднести її до різних категорій важливості. Категорія важливості, як і цінність інформації, звичайно згодом змінюється і залежить від ставлення до неї різних груп споживачів і потенційних порушників.

Практика свідчить, що захищати треба не тільки таємну інформацію. Несекретна інформація, піддана несанкціонованим змінам може призвести до витоку або втрати пов’язаною з нею таємної інформації, а також до невиконання автоматизованою системою заданих функцій внаслідок отримання помилкових даних, які можуть бути не виявлені користувачем системи.

Сумарна кількість або статистика нетаємних даних в результаті може виявитися таємною. Аналогічно зведені дані до одного рівня таємності можуть загалом бути інформацією більш високого рівня таємності. Для захисту від подібних ситуацій широко застосовується розмежування доступу до інформації за функціональною ознакою. За однакового ступеня важливості, інформація, що опрацьовується в системі опрацювання даних, поділяється відповідно до функціональних обов’язків і повноважень користувачів, що встановлюються адміністрацією організації – власника інформації [5: 45-47].

 

Режими захисту інформації

При розробці законодавчих і інших правових і нормативних документів, а також при організації захисту інформації важливо правильно орієнтуватися у всьому блоці діючої законодавчої бази в цій галузі.

Проблеми, пов’язані з правильним трактуванням і застосуванням законодавства України в цій галузі, періодично виникають в практичній роботі по організації захисту інформації від її витоку технічними каналами, від несанкціонованого доступу до інформації і від дій на неї при опрацюванні в технічних засобах інформатизації (далі – захист інформації), а також в ході контролю ефективності вживаються заходи захисту. Зокрема, такі питання виникають стосовно трактування змісту категорій “службова таємниця” і “конфіденційна інформація”.

Базовим законом в галузі захисту інформації є прийнятий у 1992 році Закон “Про інформацію”, який регламентує відносини, що виникають при формуванні і використанні інформаційних ресурсів України на основі збирання, накопичення, зберігання, поширення і надання споживачам документованої інформації, а також при створенні і використанні інформаційних технологій, при захисті інформації і прав суб’єктів, що беруть участь в інформаційних процесах і інформатизації.

Закон свідчить:

Ø інформаційні ресурси діляться на державні і недержавні;

Ø державні інформаційні ресурси України формуються відповідно до сфер ведення як: державні інформаційні ресурси; інформаційні ресурси, що знаходяться в сумісному веденні держави і суб’єктів держави; інформаційні ресурси суб’єктів України;

Ø державні інформаційні ресурси є відкритими і загальнодоступними. Виняток становить документована інформація, віднесена законом до категорії обмеженого доступу;

Ø документована інформація з обмеженого доступу за умов її правового режиму поділяється на інформацію, віднесену до державної таємниці, і конфіденційну.

Ø конфіденційна інформація – документована інформація, доступ до якої обмежується відповідно до законодавства України;

Ø персональні дані про громадян, що включаються до складу державних інформаційних ресурсів, інформаційних ресурсів сумісного ведення, інформаційних ресурсів суб’єктів держави, інформаційних ресурсів місцевого самоврядування, а також отримані і зібрані недержавними організаціями, віднесені до категорії конфіденційної інформації.

З цього Закону випливає:

Ø інформація з будь-якої галузі знань і діяльності у принципі є відкритою і загальнодоступною, якщо законодавством не передбачено обмеження доступу до неї в установленому порядку;

Ø категорія "конфіденційна інформація" об’єднує всі види інформації, що захищається (таємниць). Це відноситься і до державних і до недержавних інформаційних ресурсів. При цьому, виняток становить інформація, віднесена до державної таємниці: вона до конфіденційної інформації не відноситься, а є складовою частиною інформації з обмеженим доступом.

Відповідно до “Закону про інформацію” режим захисту інформації встановлюється:

Ø відносно відомостей, віднесених до державної таємниці, – уповноваженими органами на підставі Закону України “Про державну таємницю”;

Ø відносно конфіденційної інформації – власником інформаційних ресурсів або уповноваженою особою на підставі “Закону про інформацію”;

Ø відносно персональних даних – окремим державним законом.

Принциповим тут є положення, що режим захисту конфіденційної інформації визначає її власник, тобто відповідний орган державної влади або управління, організація, установа, підприємство.

 

Основні заходи і засоби захисту комп’ютерної інформації

Важливим попередженням злочинів, вчинених в сфері використання комп’ютерних технологій, є застосування сучасних програмно-технічних заходів захисту інформації. Ці заходи можуть грати серйозну загально профілактичну роль в боротьбі з комп’ютерними злочинами при їх умілому та комплексному використанні.

Розглянемо окремі організаційно-технічні заходи попередження комп’ютерних злочинів, що застосовуються в розвинених зарубіжних країнах.

У даний час попередження комп’ютерних злочинів у цих країнах здійснюється за наступними напрямками:

1) відповідність управлінських процедур вимогам комп’ютерної безпеки;

2) розробка питань технічного захисту комп’ютерних залів комп’ютерного обладнання;

3) розробка стандартів опрацювання даних та стандартів комп’ютерної безпеки;

4) здійснення кадрової політики з метою забезпечення комп’ютерної безпеки.

Національним бюро стандартів США були розроблені базові вимоги безпеки, що ставляться до комп’ютерних мереж. А саме:

1. придатність – гарантія того, що мережа придатна для забезпечення санкціонованого доступу;

2. доступність – гарантія того, що мережа забезпечить доступ тільки санкціонованому користувачу для вирішення санкціонованих задач;

3. недоторканість – захист даних від несанкціонованої зміни та знищення;

4. конфіденційність – захист даних від несанкціонованого розкриття;

5. безпека передачі даних – гарантія того, що ідентифікація користувачів, якість даних, що передаються, тривалість передачі даних забезпечені.

На основі даних вимог були створені відповідні механізми технічного контролю, що відповідають наступним критеріям:

1. цілісність, базова надійність, яка гарантує, що механізм працює як потрібно;

2. можливість перевірки – здатність записувати інформацію, яка може мати значення в розкриті і розслідуванні спроб посягання на засоби комп’ютерної техніки та інших подій, що відносяться до питань безпеки систем.

У результаті практичної реалізації цих заходів стало можливо:

Ø контролювати фізичний доступ до засобів комп’ютерної техніки (ЗКТ);

Ø контролювати електромагнітне випромінювання апаратних ЗКТ;

Ø спостерігати за можливою загрозою ЗКТ та фіксувати кожну таку спробу (методом моніторингу).

Як видно з вищенаведеного, основні положення захисту інформації передбачають:

a) запобігання витоку, розкраданню, втраті, спотворенню та підробці інформації;

b) запобігання загрозам безпеки держави та кожної людини;

c) запобіганням несанкціонованим діям зі знищення, модифікації, спотворення, копіювання, блокування інформації;

d) забезпечення правового режиму функціонування інформації як об’єкта власності;

e) збереження державної таємниці конфіденційності;

f) збереження прав суб’єктів в інформаційних процесах і при розробці, виробництві, застосуванні інформаційних систем, технологій та засобів їх забезпечення.

За методами застосування тих або інших організаційно-технічних заходів попередження комп’ютерних злочинів фахівцями окремо виділяються три їх основні групи:

Ø організаційні;

Ø технічні;

Ø комплексні (які поєднуються в собі окремі методи двох перших груп);

Організаційні заходи захисту ЗКТ включають в себе сукупність організаційних заходів щодо підбору, перевірки та навчання персоналу, який бере участь на всіх стадіях інформаційного процесу:

Ø розробка плану відновлення інформаційних об’єктів після виходу їх з ладу; організації програмно-технічного обслуговування ЗКТ;

Ø покладання дисциплінарної відповідальності на осіб з забезпечення безпеки конкретних ЗКТ;

Ø здійснення режиму секретності при функціонуванні комп’ютерних систем; забезпеченню режиму фізичної охорони об’єктів;

Ø матеріально-технічне забезпечення [7:45-56].

Організаційні заходи, на думку багатьох фахівців, які займаються питаннями безпеки комп’ютерних систем, є важливим і одним з ефективних засобів захисту інформації.

Аналіз матеріалів кримінальних справ дозволяє зробити висновок, про те, що основними причинами та умовами, які сприяють здійсненню комп’ютерних злочинів, в більшості випадків стають:

1) неконтрольований доступ співробітників до управління комп’ютером, що використовується як автономно, так і для дистанційної передачі даних;

2) безконтрольність за діями обслуговуючого персоналу, що дозволяє злочинцю вільно використовувати комп’ютер як знаряддя вчинення злочину;

3) низький рівень програмного забезпечення, яке не має контрольного захисту, та не забезпечує перевірку відповідності і правильності інформації;

4) недосконалість парольної системи захисту;

5) відсутність посадової особи, що відповідає за режим секретності і конфіденційність інформації та її безпеку в частині захисту;

6) відсутність категоричності допуску співробітників до таємної інформації;

7) відсутність договорів зі співробітниками на предмет нерозголошення службової та комерційної таємниці.

Інформаційні системи, які застосовуються в більшості організацій, звичайно дозволяють використання таких заходів безпеки, як паролі, недоступність програмних та інформаційних файлів, а також інші заходи, які майже не практикуються або використовуються в обмеженому масштабі. Для ефективності безпеки від комп’ютерних злочинів необхідно:

1) переглянути всю документацію в установі, організації;

2) ознайомитися з функціями і мірою відповідальності кожного співробітника;

3) визначити можливі канали витоку інформації;

4) ліквідувати виявлені слабкі ланцюги у системі захисту.

Для будь-якої організації практично існують два варіанти доступу до засобів комп’ютерної техніки, які і будуть надалі зумовлювати комплекс захисних заходів.

У першому варіанті організація купує власний комп’ютер, який і використовує для вирішення своїх задач, при цьому організація є його єдиним користувачем. У цьому випадку всі питання комп’ютерної безпеки більш-менш контролюються.

У другому випадку організація стає (нарівні з іншими) користувачами будь-якої розгалуженої колективної комп’ютерної мережі. Це може бути зроблене за допомогою розподілу користувачів за часом, мережною системою в межах організації або шляхом створення спільної мережі користування з іншими громадськими, державними або комерційними організаціями, в результаті чого відбувається об’єднання їх інформаційних ресурсів, отже у багато разів зростає і ризик стати потерпілою стороною від комп’ютерного злочину через практично доступну мережу.

Зарубіжний досвід свідчить, що найбільш ефективним заходом в цьому напрямі є введення в штатний розклад організацій посади фахівця з комп’ютерної безпеки (адміністратора з захисту інформації) або створення спеціальних служб як приватних, так і централізованих, виходячи з конкретної ситуації. Наявність такого відділу, наприклад, в банківській структурі знижує ймовірність вчинення злочинів у сфері використання комп’ютерних технологій. У обов’язковому порядку цей захід необхідно здійснювати в кредитно-фінансових установах та організаціях.

У функціональні обов’язки зазначених осіб передусім повинні входити наступні позиції здійснення організаційних заходів забезпечення безпеки ЗКТ:

1) забезпечення підтримки з боку керівництва конкретної організації вимог захисту ЗКТ;

2) розробка комплексного плану захисту інформації;

3) визначення пріоритетних напрямів захисту інформації у відповідності зі специфікою діяльності організації;

4) складання загального кошторису витрат фінансування охоронних заходів відповідно до розробленого плану та затвердження його як додатку до плану керівництвом організації;



Поделиться:


Последнее изменение этой страницы: 2017-02-05; просмотров: 248; Нарушение авторского права страницы; Мы поможем в написании вашей работы!

infopedia.su Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Обратная связь - 44.222.196.236 (0.104 с.)