Системи захисту в документальних інформаційних системах

Аналіз  стану захисту інформації в документальних інформаційних системах міністерств, інших центральних і місцевих органів державної влади, установ України свідчить, що в цілому стан вирішення цієї проблеми в державі далекий від досконалості.

Так реалізації загроз для інформації, що обробляється в документальних інформаційних системах, сприяють наступні обставини:

- широке  застосування іноземних засобів  обчислювальної і комутаційної  техніки, яке викликано об’єктивною  неспроможністю на сьогодні вітчизняної  промисловості задовольнити потреби  на сучасне комп’ютерне обладнання;

- намагання  ряду комерційних, а також окремих  державних структур безконтрольно,  не скоординовано створювати  виділені або корпоративні телекомунікаційні  системи;

- здійснення  інвестиційної політики у галузі  інформатизації в окремих випадках без ретельного аналізу її наслідків, а також без урахування інтересів державної безпеки та оборони;

- використання в документальних інформаційних системах не сертифікованого обладнання та програмного забезпечення;

- недооцінка значущості захисту інформації та недостатньо розвинута система підготовки і перепідготовки кадрів в області інформаційної безпеки.

Тобто надзвичайної гостроти та актуальності набувають питання забезпечення інформаційної безпеки в документальних інформаційних системах як однієї зі складових інформаційної безпеки держави.

Важливу роль інформаційній безпеці відведено з розумінням того, що інформаційна безпека є однією із головних складових національної безпеки України.

Особливе  занепокоєння викликає практично стихійний  розвиток та використання мережі Internet, що створює сприятливі передумови для використання її можливостей злочинними угрупуваннями та іноземними спецслужбами.

Широке  впровадження в документальних інформаційних системах України комплексної системи захисту інформації, яка включає в себе застосування криптографічних та технічних засобів захисту, а також виконання організаційних заходів, дасть змогу захистити важливу для держави інформацію.

Для підвищення ефективності захисту документованої інформації необхідно розробити певний системний підхід до цієї проблеми, який полягає у проведенні ряду заходів за такими основними напрямками:

- визначення  порядку проведення робіт і  надання послуг у галузі безпеки  документованої інформації;

- розробка  нормативних документів, що визначають  етапи життєвого циклу захищених  документальних інформаційних систем, критерії оцінки рівня захищеності інформації, ефективності систем захисту інформації;

- підготовка  і перепідготовка національних  кадрів для роботи в сфері  інформаційного захисту;

- створення  вітчизняної інфраструктури розробки, виробництва, впровадження та  експлуатації засобів захисту  документованої інформації.

 

 

1.3. Реалізація державної політики у сфері захисту інформації

В Україні  відповідно до порядку, визначеному  Президентом України реалізація державної політики у сфері захисту  державних інформаційних ресурсів у мережах передачі даних, криптографічного та технічного захисту інформації, захист інформаційних ресурсів держави покладено на Службу безпеки України, який Указом Президента України від 10 квітня 2000 року №582/2000 визначено як орган державного управління. На сьогодні в України створено нормативно-правову основу діяльності у галузі криптографічного захисту інформації (КЗІ) та технічного захисту інформації (ТЗІ), сформовано систему ліцензування в галузі криптографічного та технічного захисту інформації та створено орган сертифікації в галузі криптографії.

Правовою  основою для здійснення цієї діяльності стали Указ Президента від 11.02.98 №110 "Про заходи щодо вдосконалення криптографічного захисту інформації в телекомунікаційних та інформаційних системах", Положення про порядок здійснення криптографічного захисту інформації в Україні (затверджено Указом Президента №505 від 22.05.98), Положення про технічний захист інформації в Україні (затверджено Указом Президента України від 27.09.99 №1229/99).

З метою  створення та організації системи  сертифікації у галузі криптографічного захисту інформації (КЗІ) підписано спільний наказ СБУ та Держкомстандартом України про затвердження галузі акредитації органа із сертифікації засобів КЗІ (Наказ Держстандарту №391 від 14.12.99) [15].

Завершено перший етап формування системи сертифікації засобів технічного захисту інформації(ТЗІ).

У рамках діяльності в галузі технічного захисту інформації(ТЗІ) розроблено проекти нормативних документів щодо захисту інформації в комп’ютерних системах від несанкціонованого доступу, захисту мовної інформації й інформації при використанні копіювально-розмножувальної техніки.

Розроблені  нормативно-правові акти, передбачені  та вже реалізовані заходи у галузі ТЗІ повністю відповідають тим основним напрямкам державної політики які  визначені в "Концепції технічного захисту інформації в Україні", яка затверджена  постановою Кабінету Міністрів України від 8 жовтня 1997 року №1126 [12, с. 167].

Всі ці документи  є документами верхнього рівня, вони є необхідними, але недостатніми для формування повної системи нормативних  документів у предметній галузі і, як наслідок, для ефективного вирішення  проблем безпеки інформації. Про  це свідчить стан розвитку нормативної  бази розвинених країн Заходу, які  значно випереджають нашу державу у  цих питаннях.

Логічним  розвитком нормативної бази із захисту документованої інформації є розробка документів нижнього рівня, які визначать структуру базових послуг безпеки (функцій захисту), а також вимоги до політики їх реалізації, основних принципів проектування і функціонування методики проведення сертифікаційних та інших випробувальних робіт, створення засобів захисту інформації різного призначення тощо.

Відповідно  до Постанови Кабінету Міністрів  України від 29 березня 2006 року Про  затвердження Правил забезпечення захисту  інформації в інформаційних, телекомунікаційних та інформаційно–телекомунікаційних  системах захисту в системі підлягає:

– відкрита інформація, яка належить до державних інформаційних ресурсів, а

також відкрита інформація  про діяльність суб'єктів  владних повноважень, військових формувань, яка оприлюднюється в Інтернеті, інших глобальних інформаційних мережах і системах  або передається телекомунікаційними мережами (далі – відкрита інформація);

– конфіденційна  інформація, яка перебуває у володінні  розпорядників інформації, визначених частиною першою статті 13 Закону України  «Про доступ до публічної інформації»;

–   службова інформація;

– інформація, яка становить державну або іншу передбачену законом таємницю (далі – таємна інформація);

–   інформація, вимога щодо захисту якої встановлена законом.

Для забезпечення захисту інформації в системі створюється комплексна система захисту інформації (далі – система захисту), яка призначається для захисту інформації від:

1) витоку  технічними каналами, до яких належать канали побічних електромагнітних випромінювань і наведень, акустично-електричні та інші канали, що утворюються під впливом фізичних процесів під час функціонування засобів обробки інформації, інших технічних засобів і комунікацій;

2) несанкціонованих  дій з інформацією, у тому  числі з використанням комп'ютерних вірусів;

3) спеціального впливу на засоби обробки інформації, який здійснюється  шляхом формування фізичних полів і сигналів та може призвести до порушення її цілісності та несанкціонованого блокування.

Захист  інформації від витоку технічними каналами забезпечується в системі у разі, коли в ній обробляється інформація, що становить державну таємницю, або коли відповідне рішення щодо необхідності такого захисту прийнято розпорядником інформації.

Захист  інформації від несанкціонованих дій, у тому числі від комп'ютерних вірусів, забезпечується в усіх системах.

Захист  інформації від спеціального впливу на засоби обробки інформації забезпечується в системі, якщо рішення про необхідність такого захисту прийнято розпорядником інформації.

Захист  інформації на всіх етапах створення  та експлуатації системи здійснюється відповідно до розробленого службою захисту інформації плану захисту інформації в системі.

План  захисту інформації в системі  містить:

• завдання захисту, класифікацію інформації, яка обробляється в системі, опис технології обробки інформації;

• визначення моделі загроз для інформації в системі;

• основні  вимоги щодо захисту інформації та правила доступу  до неї в системі;

• перелік документів, згідно з якими здійснюється захист інформації в системі;

• перелік  і строки виконання робіт службою  захисту інформації.

Невід'ємною  складовою державної політики, спрямованої  на захист інформаційних ресурсів держави  та захист документованої інформації з обмеженим доступом, охорона якої передбачена законодавством, є підготовка фахівців у сфері захисту інформації та інформаційної безпеки [19].

Система підготовки національних кадрів для  роботи в сфері інформаційного захисту  в Україні ще далека від досконалості. Так підготовка і перепідготовка фахівців з питань технічного захисту  інформації (ТЗІ) вищими навчальними  закладами України до середини 90-х років не проводилась. За відповідними фахами в деяких вищих навчальних закладах України навчання почалося тільки після створення Державної служби з питань технічного захисту інформації.

Недостатня увага до людського чинника часто являє собою більш значну загрозу, чим використання новітніх технічних засобів для здобування секретної інформації. Поняття "людський чинник" містить у собі особисті якості, що виражають цілісну характеристику особистості, її відмінність від інших людей. На думку фахівців, незважаючи на різноманітність та витонченість спеціальної техніки для одержання бажаної інформації, люди залишаються одним із самих ймовірних джерел витоку інформації. Саме людина виступає основою будь-якої інформації. При підборі кандидатів, яким треба буде працювати із документною інформацією, необхідно враховувати їх ділові, професійні, моральні якості та психологічні особливості. Тут важливо скласти уявлення не тільки про окремі якості і риси кандидата, а також про особистість у цілому, її світоглядних установках, інтелекті, переконаннях, ціннісних орієнтаціях, здібностей до даного виду діяльності, рисах характеру і т.п.

Виробництво засобів зв’язку та засобів інформатизації, які за своїми характеристиками можуть бути використані в спеціальних документальних інформаційних системах дуже складне завдання, виконання якого потребує значного науково-технічного потенціалу, фінансової підтримки з боку держави. На жаль, на сьогодні вітчизняні виробники не зажди можуть конкурувати з виробниками з далекого зарубіжжя і Росії, хоча окремі зразки вже існують.

На сьогоднішній день започатковано власне виробництво  захищених від витоку інформації засобів обчислювальної техніки (ЗАТ  «Інформаційні комп’ютерні системи», HDJ «Вектор»), мереживні фільтри, засоби активного захисту інформації.

Як кроки у напрямку вирішенні питань забезпечення документальної інформаційної безпеки можна розглядати:

1. Створення  загальнодержавної системи інформаційної  безпеки, складовими якої є  системи криптографічного та  технічного захисту інформації. Обов’язковою умовою створення  цієї системи є розробка відповідної  нормативної бази.

2. Розвиток  та вдосконалення системи сертифікації  систем та засобів захисту  інформації, програмних та апаратно-програмних  засобів.

3. Здійснення контролю за станом інформаційної безпеки в системах зв’язку.

4. Відтворення  системи органів контролю за  станом документальної інформаційної безпеки на підприємствах та контроль за їх діяльністю з боку держави.

5. Створення  сприятливих умов для підприємств,  організацій та налагодження  виробництва вітчизняних засобів  захисту документальної інформації.

6. Створення  системи підготовки наукових  кадрів в галузі захисту інформації.

7. Вдосконалення  системи підготовки та перепідготовки  кадрів для роботи в сфері  інформаційної безпеки.

8. Врегулювання  відносин в галузі використання Internet, і в першу чергу забезпечення безпеки документальних інформаційних ресурсів.

9. Створення  системи інформаційної безпеки,  яка спроможна забезпечити належний  рівень її захищеності в умовах  постійного удосконалення можливостей  технічних розвідок та засобів  ведення інформаційних війн.

Отримання реальної підтримки з боку всіх заінтересованих  структур, як державних, так і недержавних, на шляху реалізації вищезазначених заходів дасть змогу прискорити та ефективно вирішити проблему підвищення рівня інформаційної безпеки  в інтересах особи, суспільства  і держави.