Захист інформації в інформаційних системах

Нині найбільш актуальним безумовно, є захист інформації, по­даної в електронній формі, адже саме цей вид її, з огляду на нема­теріальний характер, високу здатність до трансформації й передачі є найбільш вразливим до протиправних дій. Інформація в електро­нній формі обробляється, передається та розповсюджується за допо­могою інформаційно-телекомунікаційних систем, будучи їх основним наповненням. В Україні останнім часом створено достатньо широку нормативно-правову базу для проведення діяльності із захисту цьо­го виду інформації. Причому можна виділити два аспекти захисту ін­формації в інформаційно-телекомунікаційних системах: 1) встанов­лення стандартів і вимог щодо характеристик інформаційних систем, які мають забезпечувати дієвість цієї системи; безпосереднє правове регулювання діяльності із захисту інформації.

Наприклад, Закон України "Про телекомунікації" (ст. 1) виділяє дві характеристики безпеки інформаційних систем і мереж.

1) інформаційна безпека телекомунікаційних мереж - здатність мереж забезпечувати захист від знищення, перекручування, блокуван­ня інформації, її несанкціонованого витоку або від порушення вста­новленого порядку її маршрутизації.

2)сталість телекомунікаційної мережі - властивості телекому­нікаційної мережі зберігати повністю або частково свої функції у разі впливу на неї дестабілізаційних чинників.

Ст. 9 Закону України "Про телекомунікації" визначено обов'язки операторів і провайдерів телекомунікацій щодо забезпечення відпо­відних характеристик і властивостей засобів телекомунікацій.

Правовою основою діяльності із захисту інформації є Закон Укра­їни "Про захист інформації в інформаційно-телекомунікаційних системах". Відповідно до ст. 1 цього Закону, захист інформації в системі - це діяльність, спрямована на запобігання несанкціонова­ним діям щодо інформації в системі.

Сама ж автоматизована система є такою, що виконує автоматизо­ване оброблення даних і в складі якої є технічні засоби їх оброблен­ня (засоби обчислювальної техніки і зв'язку), а також методи і про­цедури, програмне забезпечення.

Закон визначає п'ять основних видів несанкціонованих дій з ін формацією:

1) блокування інформації в системі - дії, внаслідок яких унемож­ливлюється доступ до інформації в системі;

2)виток інформації - результат дій, внаслідок яких інформація в системі стає відомою або доступною фізичним та/або юридичним особам, що не мають права доступу до неї;

3)знищення інформації в системі - дії, внаслідок яких інформа­ція в системі зникає;

4)порушення цілісності інформації в системі - несанкціонова­ні дії щодо інформації в системі, внаслідок яких змінюється її зміст.

Важливим аспектом інформаційної безпеки є захист інформації яка передається, зберігається та обробляється за допомогою кому­нікаційних систем різних типів. Щодо цього в Україні вже створено низку нормативно-правових актів.

Об'єктами захисту від неправомірних зазіхань є:

- інформація, що обробляється в автоматизованій системі;

- права власників цієї інформації та власників автоматизова­ної системи;

- права користувача.

Захист інформації полягає у застосуванні сукупності організаційно-технічних заходів і правових норм для запобігання за­подіянню шкоди інтересам власника інформації чи автоматизованої системи та особам, які користуються інформацією.

Закон України "Про захист інформації в автоматизованих систе­мах" визначає: також відносини між суб'єктами в процесі оброблен­ня інформації в автоматизованих системах, загальні вимоги до захис­ту інформації в АС і порядок організації цього захисту, відповідаль­ність за порушення норм цього закону та засади міжнародної співп­раці України у сфері автоматизованих систем.

Зазначимо, що конкретний зміст вимог до захисту інформації за­лежить насамперед від права власності на конкретну інформації, що обробляється за допомогою автоматизованої системи. Так, за ст. 11 Закону України "Про захист інформації в автоматизованих системах", вимоги і правила захисту інформації, яка є власністю держави, або ін­формації, захист якої гарантується державою, визначаються відповід­ними нормативно-правовими актами. Ці вимоги є обов'язковими для власників автоматизованих систем, де така інформація обробляється, а для інших суб'єктів права власності на інформацію такі вимоги ма­ють лише рекомендаційний характер.

Політика із захисту інформації в автоматизованих системах ви­значається Верховною Радою України, а державне управління в цій сфері здійснює Кабінет Міністрів України.

Державне управління у сфері захисту інформації в автоматизова­них системах передбачає:

- проведення єдиної технічної політики захисту інформації;

- розроблення концепції, вимог, нормативно-технічних доку­ментів і науково-методичних рекомендацій захисту інформа­ції в автоматизованих системах;

- затвердження порядку організації, функціонування та контр­олю за виконанням заходів захисти оброблюваної в автомати­зованій системі інформації, яка є власністю держави, а також рекомендацій щодо захисту інформації - власності юридич­них та фізичних осіб;

- організації випробувань і сертифікації засобів захисту інфор­мації в автоматизованих системах, в якій здійснюється оброб­ка інформації, що власністю держави;

- створення відповідних структур для захисту інформації в ав­томатизованих системах;

- проведення атестації сертифікаційних (випробувальних) орга­нів, центрів і лабораторій, видача ліцензії на право проведен­ня сервісних робіт в галузі захисту інформації в автоматизо­ваних системах;

- здійснення контролю захищеності оброблюваної в автомати­зованих системах інформації, яка є власністю держави;

- визначення порядку доступу осіб і організацій зарубіжних дер­жав до інформації в автоматизованих системах, яка є власніс­тю держави, або до інформації - власності фізичних та юри­дичних осіб, щодо поширення і використання якої державою встановлено обмеження.

Нормами законодавства встановлено комплексний характер за­хисту інформації. Зокрема, захист державних інформаційних ре­сурсів в автоматизованих системах, що належать до інформаційно-телекомунікаційних систем, здійснюється через запровадження комп­лексної системи захисту інформації (КСЗІ). Ця система складаєть­ся з комплексу технічних, криптографічних, організаційних та інших заходів і засобів, спрямованих на запобігання блокуванню інформа­ції, несанкціонованому ознайомленню з нею та/або її модифікації. Основними в комплексній системі захисту інформації є технічний та криптографічний захист, а також комплекс заходів організаційно­го характеру, який передбачає встановлення відповідних режимів ді­яльності об'єктів інформаційних систем, контроль за дотриманням правил і норм здійснення захисту інформації, контроль за діяльністю суб'єктів захисту інформації тощо.