Нормативно-правове забезпечення інформаційної безпеки
Базові засади інформаційної безпеки нашої держави закладено у статтях 17, 19, 31, 32, 34, 50, 57 та 64 Конституції України [1].
Закон України «Про інформацію» закріплює право громадян України на інформацію, закладає правові основи інформаційної діяльності [2]. Закон стверджує інформаційний суверенітет України і визначає правові форми міжнародного співробітництва в галузі інформації, встановлює загальні правові основи одержання, використання, поширення та зберігання інформації, закріплює право особи на інформацію в усіх сферах суспільного і державного життя України, а також систему інформації, її джерела, визначає статус учасників інформаційних відносин, регулює доступ до інформації та забезпечує її охорону, захищає особу та суспільство від неправдивої інформації.
У ст. 1 закону інформація визначається як документовані або публічно оголошені відомості про події та явища, що відбуваються у суспільстві, державі та навколишньому природному середовищі.
Державну інформаційну політику розробляють і здійснюють органи державної влади загальної компетенції, а також відповідні органи спеціальної компетенції.
Всі громадяни України, юридичні особи і державні органи мають право на інформацію, що передбачає можливість вільного одержання, використання, поширення та зберігання відомостей, необхідних їм для реалізації ними своїх прав, свобод і законних інтересів, здійснення завдань і функцій.
Кожному громадянину забезпечується вільний доступ до інформації, яка стосується його особисто, крім випадків, передбачених законами України.
Розділ II закону присвячено інформаційній діяльності, під якою розуміється сукупність дій, спрямованих на задоволення інформаційних потреб громадян, юридичних осіб і держави. Визначено основні напрями та види інформаційної діяльності – одержання, використання, поширення та зберігання інформації.
У розділі III закону наведені галузі, види, джерела інформації та режим доступу до неї. Основними галузями інформації визначені: політична, економічна, духовна, науково-технічна, соціальна, екологічна, міжнародна.
Основними видами інформації є: статистична; адміністративна інформація (дані); масова інформація; інформація про діяльність державних органів влади та органів місцевого і регіонального самоврядування; правова інформація; інформація про особу; інформація довідково-енциклопедичного характеру; соціологічна інформація.
За режимом доступу інформація поділяється на відкритуінформацію та інформаціюз обмеженим доступом.
Держава здійснює контроль за режимом доступу до інформації.
Державний контроль за додержанням встановленого режиму здійснюється спеціальними органами, які визначають Верховна Рада України і Кабінет Міністрів України.
Доступ до відкритої інформації забезпечується шляхом: систематичної публікації її в офіційних друкованих виданнях (бюлетенях, збірниках); поширення її засобами масової комунікації; безпосереднього її надання заінтересованим громадянам, державним органам та юридичним особам.
Обмеження права на одержання відкритої інформації забороняється законом.
Інформація з обмеженим доступом за своїм правовим режимом поділяється на конфіденційну і таємну.
Конфіденційна інформація – це відомості, які знаходяться у володінні, користуванні або розпорядженні окремих фізичних чи юридичних осіб і поширюються за їх бажанням відповідно до передбачених ними умов.
Громадяни, юридичні особи, які володіють інформацією професійного, ділового, виробничого, банківського, комерційного та іншого характеру, одержаною на власні кошти, або такою, яка є предметом їх професійного, ділового, виробничого, банківського, комерційного та іншого інтересу і не порушує передбаченої законом таємниці, самостійно визначають режим доступу до неї, включаючи належність її до категорії конфіденційної, та встановлюють для неї систему (способи) захисту.
Виняток становить інформація комерційного та банківського характеру, а також інформація, правовий режим якої встановлено Верховною Радою України за поданням Кабінету Міністрів України (з питань статистики, екології, банківських операцій, податків тощо), та інформація, приховування якої являє загрозу життю і здоров’ю людей.
До таємної інформації належить інформація, що містить відомості, які становлять державну та іншу передбачену законом таємницю (військова, комерційна, банківська, професійна, лікарська, адвокатська таємниця тощо), розголошення якої завдає шкоди особі, суспільству і державі.
Інформація, що становить військову таємницю – це вид таємної інформації, який охоплює відомості в сфері оборони, державної безпеки та охорони правопорядку, розголошення якої може завдати шкоди інтересам державної безпеки, бойової готовності Збройних Сил України та інших військових формувань, їхніх окремих підрозділів, якщо ці відомості не належать до державної таємниці згідно з законодавством України.
Інформація, що становить комерційну таємницю – це відомості науково-технічного, технічного, виробничого, фінансово-економічного або іншого характеру (в тому числі секрети виробництва – так зване ноу-хау), що мають дійсну або потенційну комерційну цінність у силу її невідомості третім особам, до якої немає вільного доступу на законній підставі й у відношенні якої власником такої інформації введений режим комерційної таємниці.
Порядок обігу таємної інформації, що не становить державної таємниці, та її захист визначається відповідними державними органами за умов додержання вимог Закону України “Про інформацію”.
Інформація з обмеженим доступом може бути поширена без згоди її власника, якщо вона є суспільно значимою, тобто якщо вона є предметом громадського інтересу і якщо право громадськості знати цю інформацію переважає право її власника на її захист.
Особливим видом таємної інформації є державна таємниця. Вона охоплює відомості у сфері оборони, економіки, зовнішніх відносин, державної безпеки і органів правопорядку, розголошення яких може завдати шкоди життєво важливим інтересам України і які визначені у порядку, встановленому законом, державною таємницею та підлягає охороні з боку держави.
Віднесення інформації до категорії відомостей, що становлять державну таємницю, порядок її захисту та обігу, доступ до неї визначається Законом України “Про державну таємницю”, яким закладено правову основу створення та функціонування системи охорони державної таємниці в Україні [3].
Ступень таємності інформації визначається наданим грифом таємності "Таємно", "Цілком таємно" та "Особливої важливості". Гриф надається на певний термін, який залежить від ступеня таємності: для грифу "таємно" – 5 років, "цілком таємно" – 10 років, "особливої важливості" – 30 років.
У розділі IV закону визначені учасники інформаційних відноси, їх права та обов’язки. Основними учасниками цих відносин є: автори, споживачі, поширювачі, зберігачі (охоронці) інформації.
Кожний учасник інформаційних відносин для забезпечення його прав, свобод і законних інтересів має право на одержання інформації про: діяльність органів державної влади; діяльність народних депутатів; діяльність органів місцевого і регіонального самоврядування та місцевої адміністрації; те, що стосується його особисто.
Розділ V закону присвячений охороні інформації, відповідальності за порушення законодавства про інформацію. Держава гарантує всім учасникам інформаційних відносин рівні права і можливості доступу до інформації. Стаття 45-1 забороняє цензуру та втручання в професійну діяльність журналістів і засобів масової інформації з боку органів державної влади або органів місцевого самоврядування, їх посадових осіб.
Інформація не може бути використана для закликів до повалення конституційного ладу, порушення територіальної цілісності України, пропаганди війни, насильства, жорстокості, розпалювання расової, національної, релігійної ворожнечі, посягання на права і свободи людини.
Не підлягають розголошенню відомості, що стосуються лікарської таємниці, грошових вкладів, прибутків від підприємницької діяльності, усиновлення (удочеріння), листування, телефонних розмов і телеграфних повідомлень, крім випадків, передбачених законом.
Порушення законодавства України про інформацію тягне за собою дисциплінарну, цивільно-правову, адміністративну або кримінальну відповідальність згідно з законодавством України.
Розділ VI закону присвячено міжнародній інформаційній діяльності, співробітництві з іншими державами, зарубіжними і міжнародними організаціями в галузі інформації.
Міжнародне співробітництво в галузі інформації з питань, що становлять взаємний інтерес, здійснюється на основі міжнародних договорів, укладених Україною та юридичними особами, які займаються інформаційною діяльністю.
Стаття 53 закону визначає інформаційний суверенітет. Основою інформаційного суверенітету України є національні інформаційні ресурси.
До інформаційних ресурсів України входить вся належна їй інформація, незалежно від змісту, форм, часу і місця створення. Україна самостійно формує інформаційні ресурси на своїй території і вільно розпоряджається ними, за винятком випадків, передбачених законами і міжнародними договорами.
Інформаційний суверенітет України забезпечується:
- виключним правом власності України на інформаційні ресурси, що формуються за рахунок коштів державного бюджету;
- створенням національних систем інформації;
- встановленням режиму доступу інших держав до інформаційних ресурсів України;
- використанням інформаційних ресурсів на основі рівноправного співробітництва з іншими державами.
Узагальнена класифікація інформації [4] у відповідності до Закону України "Про інформацію" надана на рис. 1.1.
В ст.10 Закону України “Про основи національної безпеки України“ [5], визначені основні функції суб’єктів забезпечення національної безпеки України (інформаційна сфера окремо не виділена):
- вироблення і періодичне уточнення Стратегії національної безпеки України іВоєнної доктрини України, доктрин, концепцій, стратегій і програм,планування і здійснення конкретних заходів щодо протидії і нейтралізації загроз національним інтересам України;
- створення нормативно-правової бази, необхідної для ефективного функціонування системи національної безпеки;
- удосконалення її організаційної структури;
- комплексне кадрове, фінансове, матеріальне, технічне, інформаційне та інше забезпечення життєдіяльності складових (структурних елементів) системи;
- підготовка сил та засобів суб’єктів системи до їх застосування згідно з призначенням;
- постійний моніторингвпливу на національну безпеку процесів, що відбуваються в політичній, соціальній, економічній, екологічній, науково-технологічній, інформаційній, воєнній та інших сферах, релігійному середовищі, міжетнічних стосунках; прогнозування змін, що відбуваються в них, та потенційних загроз національній безпеці;
- систематичне спостереження за станом і проявами міжнародного та інших видів тероризму;
- прогнозування, виявлення та оцінка можливих загроз, дестабілізуючих чинників і конфліктів, причин їх виникнення та наслідків прояву;
- розроблення науково-обгрунтованих пропозицій і рекомендацій щодо прийняття управлінських рішень з метою захисту національних інтересів України;
Рис. 1.1.Класифікація інформації у відповідності до Закону України “Про інформацію”
- запобігання та усунення впливу загроз і дестабілізуючих чинників на національні інтереси;
- локалізація, деескалація та врегулювання конфліктів і ліквідація їх наслідків або впливу дестабілізуючих чинників;
- оцінка результативності дій щодо забезпечення національної безпеки та визначення витрат на ці цілі;
- участь удвосторонньому і багатосторонньому співробітництві в галузі безпеки, якщо це відповідає національним інтересам України;
- спільне проведення планових та оперативних заходів у рамках міжнародних організацій та договорів у галузі безпеки.
Стаття 11 закону визначає загальні повноваження суб’єктів національної безпеки щодо контролю за здійсненням заходів забезпечення національної безпеки.
Необхідно відзначити, що цей закон був базовим для прийняття “Концепції національної безпеки України”, схваленої Постановою Верховної Ради України від 16 січня 1997 року N 3/97-ВР [6].
Концепція визначала основні засади державної політики в сфері національної безпеки України та напрями її подальшого розвитку.
В її розділі ІІІ “Загрози національній безпеці України” у ряді загроз національній безпеці в інформаційній сфері виділено витік інформації, яка становить державну та іншу, передбачену законом, таємницю, а також конфіденційної інформації, що є власністю держави.
А в розділі IV “Основні напрями державної політики національної безпеки України” для усунення цієї загрози запропоновано розробку і впровадження необхідних засобів та режимів отримання, зберігання, поширення і використання суспільно значущої інформації, створення розвиненої інфраструктури в інформаційній сфері.
У розділі V концепції було сформульовано напрями та заходи для формування збалансованої державної політики та ефективного проведення комплексу узгоджених заходів щодо захисту національних інтересів у політичній, економічній, соціальній, воєнній, екологічній, науково-технологічній, інформаційній та інших сферах створюється система забезпечення національної безпеки України.
Визначена система забезпечення національної безпеки – як організована державою сукупність суб'єктів: державних органів, громадських організацій, посадових осіб та окремих громадян, об'єднаних цілями та завданнями щодо захисту національних інтересів, що здійснюють узгоджену діяльність у межах законодавства України.
Крім того були прийняті Закони України “Про телекомунікації”, “Про Національну програму інформатизації”, “Про захист інформації в інформаційно-телекомунікаційних системах”, “Про науково-технічну інформацію”, а у Кримінальний кодекс України було введено розділ XVІ, в якому визначалася відповідальність за злочини в інформаційній сфері.
Наступним етапом створення законодавчої бази та організації системи захисту інформації в нашій державі було прийняття Постанови Кабінету Міністрів України “Про затвердження Концепції технічного захисту інформації в Україні” від 08.10.1997 р. [7].
Концепція на базі прийнятих законів, підзаконних актів та узагальнення їх застосування визначала державну політику України в сфері технічного захисту інформації, основні напрями та організаційні засади подальшого розвитку системи захисту інформації в Україні.
А початок створення такої системи слід віднести до 1994 р., коли було затверджено Постанову Кабінету Міністрів України “Про затвердження Положення про технічний захист інформації в Україні” від 09.09.1994 р., яким визначалися першочергові дії держави щодо технічного захисту інформації. Фактично у положенні було використано ті науково-технічні та організаційні засади, що розроблялися у СРСР.
Згодом з’явилася нагальна необхідність в удосконаленні та розвитку як нормативної, так і науково-технічної бази технічного захисту інформації, що й призвело до появи “Концепції технічного захисту інформації в Україні”.
У загальних положеннях “Концепції технічного захисту інформації в Україні” визначено основи державної політики у сфері захисту інформації інженерно-технічними заходами. Зокрема визначено, що технічний захист інформації (далі – ТЗІ) є складовою частиною забезпечення національної безпеки України.
Встановлено головні завдання, що має вирішуватися концепцією. Концепція має забезпечити єдність принципів формування і проведення такої політики в усіх сферах життєдіяльності особи, суспільства та держави (соціальній, політичній, економічній, військовій, екологічній, науково-технологічній, інформаційній тощо) і служити підставою для створення програм розвитку сфери ТЗІ.
Також у загальних положеннях концепції визначено, що ТЗІ – це діяльність, спрямована на забезпечення інженерно-технічними заходами порядку доступу, цілісності та доступності (унеможливлення блокування) інформації, яка становить державну та іншу передбачену законом таємницю, конфіденційної інформації, а також цілісності та доступності відкритої інформації, важливої для особи, суспільства і держави.
Показано, що зростання загроз для інформації, спричинене лібералізацією суспільних та міждержавних відносин, кризовим станом економіки, застосуванням технічних засобів оброблення інформації та засобів зв'язку іноземного виробництва, поширенням засобів несанкціонованого доступу до інформації та впливу на неї, визначає необхідність розвитку ТЗІ.Визначено, що напрями розвитку ТЗІ обумовлюються необхідністю своєчасного вжиття заходів, адекватних масштабам загроз для інформації, і ґрунтуються на засадах правової демократичної держави відповідно до прав суб'єктів інформаційних відносин на доступ до інформації та її захист.При цьому приведення інформаційних відносин у сфері ТЗІ у відповідність з міжнародними стандартами сприятиме утвердженню України у світі як демократичної правової держави.
У розділі ІІ концепції “Загрози безпеці інформації та стан її технічного захисту” показано, що впровадження в усі сфери життєдіяльності особи, суспільства та держави інформаційних технологій зумовило поширення великих масивів інформації в обчислювальних та інформаційних мережах на значних територіях. За відсутності вітчизняних конкурентоспроможних інформаційних технологій надається перевага технічним засобам оброблення інформації та засобам зв'язку іноземного та спільного виробництва, які здебільшого не забезпечують захист інформації. Комунікаційне обладнання іноземного виробництва, яке використовується у мережах зв'язку, передбачає дистанційний доступ до його апаратних та програмних засобів, у тому числі з-за кордону, що створює умови для несанкціонованого впливу на їх функціонування і контролю за організацією зв'язку та змістом повідомлень, які пересилаються.Прогрес у різних галузях науки і техніки призвів до створення компактних та високоефективних технічних засобів, за допомогою яких можна легко підключатись до ліній телекомунікацій та різноманітних технічних засобів оброблення інформації вітчизняного та іноземного виробництва з метою здобування, пересилання та аналізу розвідувальних даних. Для цього може використовуватись апаратура радіо, радіотехнічної, оптико-електронної, радіотеплової, акустичної, хімічної, магнітометричної, сейсмічної та радіаційної розвідок.За таких умов створилися можливості витоку інформації, порушення її цілісності та блокування. Витік інформації, яка становить державну та іншу передбачену законом таємницю, конфіденційної інформації, що є власністю держави, – це одна з основних можливих загроз національній безпеці України в інформаційній сфері. Загрози безпеці інформації в Україні зумовлені:- не виваженістю державної політики в галузі інформаційних технологій, що може призвести до безконтрольного та неправомочного доступу до інформації та її використання;- діяльністю інших держав, спрямованою на одержання переваги в зовнішньополітичній, економічній, військовій та інших сферах;- недосконалістю організації в Україні міжнародних виставок апаратури різного призначення (особливо пересувних) та заходів екологічного моніторингу, що може використовуватися для здобування інформації розвідувального характеру;- діяльністю політичних партій, суб'єктів підприємницької діяльності, окремих фізичних осіб, спрямованою на одержання переваги у політичній боротьбі та конкуренції;- злочинною діяльністю, спрямованою на протизаконне одержання інформації з метою досягнення матеріальної вигоди або нанесення шкоди юридичним чи фізичним особам;- використанням інформаційних технологій низького рівня, що призводить до впровадження недосконалих технічних засобів із захистом інформації, засобів контролю за ефективністю ТЗІ та засобів ТЗІ (далі – засоби забезпечення ТЗІ);- недостатністю документації на засоби забезпечення ТЗІ іноземного виробництва, а також низькою кваліфікацією технічного персоналу у сфері ТЗІ.Стан ТЗІ зумовлюється:- недосконалістю правового регулювання в інформаційній сфері, зокрема у сфері захисту таємниць (крім державної), конфіденційної інформації та відкритої інформації, важливої для особи, суспільства та держави;- недостатністю нормативно-правових актів і нормативних документів з питань проведення досліджень, розроблення та виробництва засобів забезпечення ТЗІ;- незавершеністю створення системи сертифікації засобів забезпечення ТЗІ;- недосконалістю системи атестації на відповідність вимогам ТЗІ об'єктів, робота яких пов'язана з інформацією, що підлягає технічному захисту;- недостатньою узгодженістю чинних в Україні нормативно-правових актів та нормативних документів з питань ТЗІ з відповідними міжнародними договорами України.У розділі ІІІ концепції “Система ТЗІ” визначено, що система ТЗІ – це сукупність суб'єктів, об'єднаних цілями та завданнями захисту інформації інженерно-технічними заходами (далі – організаційні структури), нормативно-правова та матеріально-технічна база.Зазначено, що правову основу забезпечення ТЗІ в Україні становлять Конституція України, “Концепція (основи державної політики) національної безпеки України”, Закони України “Про інформацію”, “Про захист інформації в автоматизованих системах”, “Про державну таємницю”, “Про науково-технічну інформацію”, інші нормативно-правові акти, а також міжнародні договори України, що стосуються сфери інформаційних відносин.Принципами формування і проведення державної політики у сфері ТЗІ є:- додержання балансу інтересів особи, суспільства та держави, їх взаємна відповідальність;- єдність підходів до забезпечення ТЗІ, які визначаються загрозами безпеці інформації та режимом доступу до неї;- комплексність, повнота та безперервність заходів ТЗІ;- відкритість нормативно-правових актів та нормативних документів з питань ТЗІ, які не містять відомостей, що становлять державну таємницю;- узгодженість нормативно-правових актів та нормативних документів з питань ТЗІ з відповідними міжнародними договорами України;- обов'язковість захисту інженерно-технічними заходами інформації, яка становить державну та іншу передбачену законом таємницю, конфіденційної інформації, що є власністю держави, відкритої інформації, важливої для держави, незалежно від того, де зазначена інформація циркулює, а також відкритої інформації, важливої для особи та суспільства, якщо ця інформація циркулює в органах державної влади та органах місцевого самоврядування, Національній академії наук, Збройних Силах, інших військових формуваннях, органах внутрішніх справ, на державних підприємствах, в державних установах і організаціях (далі – державні органи, підприємства, установи і організації);- виконання на власний розсуд суб'єктами інформаційних відносин вимог щодо технічного захисту конфіденційної інформації, що не належить державі, та відкритої інформації, важливої для особи та суспільства, якщо остання циркулює поза межами державних органів, підприємств, установ і організацій;- покладення відповідальності за формування та реалізацію державної політики у сфері ТЗІ на спеціально уповноважений центральний орган виконавчої влади;- ієрархічність побудови організаційних структур системи ТЗІ та керівництво їх діяльністю у межах повноважень, визначених нормативно-правовими актами;- методичне керівництво спеціально уповноваженим центральним органом виконавчої влади у сфері ТЗІ діяльністю організаційних структур системи ТЗІ;- скоординованість дій та розмежування сфер діяльності організаційних структур системи ТЗІ з іншими системами захисту інформації та системами забезпечення інформаційної та національної безпеки;- фінансова забезпеченість системи ТЗІ за рахунок Державного бюджету України, бюджету Автономної Республіки Крим, місцевих бюджетів та інших джерел.Основними функціями організаційних структур системи ТЗІ є:- оцінка стану ТЗІ в державі, визначення пріоритетних напрямів його розвитку;- розвиток правових засад удосконалення системи ТЗІ;- виявлення та прогнозування загроз безпеці інформації;- забезпечення інженерно-технічними заходами захисту інформації, що підлягає технічному захисту;- створення умов для ТЗІ, що здійснюється суб'єктами інформаційних відносин на власний розсуд;- формування та забезпечення реалізації державної політики щодо створення та впровадження вітчизняних засобів забезпечення ТЗІ;- створення національної системи стандартизації та нормування у сфері ТЗІ;- організація фундаментальних і прикладних науково-дослідних робіт та розробок у сфері ТЗІ;- забезпечення взаємодії організаційних структур системи ТЗІ з іншими системами захисту інформації та системами забезпечення інформаційної та національної безпеки;- організація створення та виконання програм розвитку ТЗІ;- забезпечення ліцензування підприємницької діяльності в сфері ТЗІ;- організація контролю за якістю засобів забезпечення ТЗІ шляхом їх сертифікації;- організація контролю за відповідністю вимогам ТЗІ об'єктів, діяльність яких пов'язана з інформацією, що підлягає технічному захисту, шляхом їх атестації;- організація контролю за ефективністю ТЗІ на об'єктах, діяльність яких пов'язана з інформацією, що підлягає технічному захисту;- забезпечення підготовки фахівців для роботи у сфері ТЗІ;- сприяння залученню інвестицій і вітчизняного товаровиробника у сферу ТЗІ;- організація міжнародного співробітництва в сфері ТЗІ, представлення інтересів України у відповідних міжнародних організаціях;- забезпечення (кадрове, фінансове, нормативне, матеріально-технічне, інформаційне тощо) життєдіяльності складових організаційних структур системи ТЗІ.Розділ IV концепції визначає основні напрями державної політики у сфері ТЗІ. Зокрема у ньому прийнято, що державна політика у сфері ТЗІ визначається пріоритетністю національних інтересів, має на меті унеможливлення реалізації загроз для інформації та здійснюється шляхом виконання положень цієї Концепції, а також програм розвитку ТЗІ та окремих проектів.Основними напрямами державної політики у сфері ТЗІ є:- нормативно-правове забезпечення:- удосконалення чинних та створення нових нормативно-правових актів щодо захисту інформації, яка становить державну та іншу передбачену законом таємницю, конфіденційної інформації, що належить державі;- розроблення нормативно-правових актів щодо захисту відкритої інформації, важливої для особи, суспільства та держави;- удосконалення правових механізмів організаційного забезпечення ТЗІ;- удосконалення нормативно-правових актів щодо умов і правил провадження діяльності у сфері ТЗІ;- розроблення нормативно-правових актів щодо визначення статусу головної у сфері ТЗІ, головних (базових) за напрямами ТЗІ організацій;- удосконалення нормативно-правових актів щодо здійснення контролю за імпортом з метою впровадження в Україні іноземних інформаційних технологій з захистом інформації та засобів забезпечення ТЗІ;- розроблення нормативних документів з питань формування та розвитку моделі загроз для інформації;- розроблення нормативних документів з питань сертифікації засобів забезпечення ТЗІ та атестації на відповідність вимогам ТЗІ об'єктів, робота яких пов'язана з інформацією, що підлягає технічному захисту;- удосконалення чинних та розроблення нових нормативних документів з питань ТЗІ:- у засобах обчислювальної техніки, в автоматизованих системах, оргтехніці, мережах зв'язку, комп'ютерних мережах та приміщеннях, де циркулює інформація, що підлягає технічному захисту;- під час створення, експлуатації та утилізації зразків озброєнь, військової та спеціальної техніки;- під час проектування, будівництва і реконструкції військово-промислових, екологічно небезпечних та інших особливо важливих об'єктів;- організаційне забезпечення:- забезпечення створення підрозділів ТЗІ в органах державної влади та органах місцевого самоврядування, академіях наук, Збройних Силах, інших військових формуваннях, органах внутрішніх справ, на підприємствах, в установах і організаціях всіх форм власності, діяльність яких пов'язана з інформацією, що підлягає технічному захисту;- створення головної у сфері ТЗІ, головних (базових) за напрямами ТЗІ організацій, а також лабораторій системи сертифікації засобів забезпечення ТЗІ;- підготовка кадрів для роботи у сфері ТЗІ;- залучення до розв'язання проблем ТЗІ вітчизняних вчених та висококваліфікованих спеціалістів;- розвиток міжнародного співробітництва в сфері ТЗІ;- науково-технічна та виробнича діяльність:- моніторинг і оцінка стану ТЗІ, підготовка аналітичних матеріалів і пропозицій щодо стратегії його розвитку;- створення інформаційно-аналітичних моделей загроз для інформації та методології їх прогнозування;- обґрунтування критеріїв та показників рівнів ТЗІ;- створення методології синтезу систем багаторівневого захисту інформації, адекватних масштабам загроз безпеці інформації та режиму доступу до неї;- створення методології, призначеної для визначення зниження ефективності продукції, зумовленої витоком інформації про неї, порушенням її цілісності чи блокуванням, та методології обґрунтування заходів ТЗІ;- системне і поетапне розроблення сучасних засобів забезпечення ТЗІ;- пріоритетне створення вітчизняних конкурентоспроможних інформаційних технологій та розвиток виробництва засобів забезпечення ТЗІ;- створення умов для забезпечення головної у сфері ТЗІ, головних (базових) за напрямами ТЗІ організацій, а також лабораторій системи сертифікації засобів забезпечення ТЗІ науковим, контрольно-вимірювальним, випробувальним та виробничим обладнанням.Першочерговими заходами щодо реалізації державної політики у сфері ТЗІ є:- створення правових засад реалізації державної політики у сфері ТЗІ, визначення послідовності та порядку розроблення відповідних нормативно-правових актів;- визначення перспективних напрямів розроблення нормативних документів з питань ТЗІ на основі аналізу стану відповідної вітчизняної та зарубіжної нормативної бази, розроблення зазначених нормативних документів;- визначення номенклатури вітчизняних засобів обчислювальної техніки та базового програмного забезпечення, оргтехніки, обладнання мереж зв'язку, призначених для оброблення інформації з обмеженим доступом інших засобів забезпечення ТЗІ в органах державної влади та органах місцевого самоврядування, Національній академії наук, Збройних Силах, інших військових формуваннях, органах внутрішніх справ;- налагодження згідно з визначеною номенклатурою виробництва засобів обчислювальної техніки та базового програмного забезпечення, оргтехніки, обладнання мереж зв'язку із захистом інформації, інших вітчизняних засобів забезпечення ТЗІ;- завершення створення та розвиток системи сертифікації вітчизняних та закордонних засобів забезпечення ТЗІ;- визначення реальних потреб системи ТЗІ у фахівцях, розвиток та вдосконалення системи підготовки, перепідготовки та підвищення кваліфікації фахівців з питань ТЗІ.Значущість забезпечення ТЗІ, його наукоємність вимагає концентрації зусиль науково-технічного та виробничого потенціалу міністерств, інших центральних органів виконавчої влади, академій наук.Слід додати, що одночасно з створенням правових та організаційних основ ТЗІ були створені правові та організаційні основи криптографічного захисту інформації.
У травні 1998 р. прийнято Указ Президента України “Про Положення про порядок здійснення криптографічного захисту інформації в Україні” (відповідно, саме положення було підготовлено дещо раніше).
У липні 2002 року був прийнятий Закон України “Про Національну систему конфіденційного зв'язку“, у січні 2003 р. надано розпорядження Президента України “Про заходи щодо забезпечення розвитку і функціонування Національної системи конфіденційного зв'язку“, з дорученням Президента Кабінету Міністрів щодо практичної організації такої системи.
Таким чином, створення необхідних правових та організаційних основ інформаційної безпеки було завершено.
Основні принципи, норми та положення прийнятих законів та підзаконних актів відповідають загальноприйнятим міжнародно-правовим стандартам, в тому числі міжнародним конвенціям з прав людини.
Цими законами було закладено основні підвалини інформаційної безпеки України. Подальший розвиток цієї сфери державного будівництва вимагатиме удосконалення інфраструктури захисту інформації та законів і численних підзаконних актів та нормативних документів, якими регламентується діяльність цієї інфраструктури, а також діяльність органів державного управління, установ та організацій науки й виробництва, які використовують у своїй діяльності інформацію з обмеженим доступом.
1.3. Сучасні інформаційні загрози безпеці громадян, суспільства та держави
Вплив глобалізації на процеси інформаційного розвитку, формування транснаціональної інформаційно-телекомунікаційної інфраструктури породжує чимало нових і непростих проблем, пов'язаних із забезпеченням безпеки особистості, суспільства та держави. Рішення багатьох з них можливо лише на шляхах багатобічного міжнародного співробітництва, наполегливого підштовхування до переговорів, послідовного висування пропозицій, здатних поставити під міжнародний контроль джерела загроз цій безпеці. Наприкінці переговорного тунелю – широкомасштабні міжнародно-правові угоди по всьому спектру загроз. Їх джерелом може стати використання нових інформаційних і телекомунікаційних технологій. Вони можуть використовуватися як для досягнення кримінальних цілей в інформаційній сфері життя суспільства, так і як інструменти інформаційно-психологічного впливу, що підривають демократичні тенденції розвитку суспільства.
При цьому не слід забувати, що за роки, що пройшли з часу прийняття “Концепції інформаційної безпеки”, значного розвитку набули технології впливу на свідомість та підсвідомість людей, які в першу чергу можуть використовуватися при веденні необмеженої (повномасштабної) інформаційної війни.
На теперішній час інформаційна війна проти будь-якої держави може бути застосована у різних варіантах її виконання. Вибір такого варіанту залежить від умов та мети, яку планується досягнути в процесі її проведення.
Відповідно до обраного варіанту обираються і засоби його реалізації. Необмежена інформаційна війна розгортається в разі планування військового нападу на країну, як передмова до військової операції.
Можна навести багато прикладів, які ми могли спостерігати на протязі останніх років. Це, наприклад, інформаційна атака західних ЗМІ на Сербію напередодні військової компанії військ НАТО, або істерична інформаційна атака на Ірак з хибними заявами про наявність зброї масового ураження, яка, нібито, є у С. Хусейна. При інформаційній атаці на Ірак було використано практично всі засоби ведення інформаційної боротьби. Технічними засобами напередодні атаки було подавлено та практично порушено всю інформаційну структуру керівництва країною, її збройними силами та протиповітряної оборони, ще раніше використанням інформаційно-психологічного впливу деморалізовано армію та населення, підірвано його віру у керівництво країни, перемогу та справедливість боротьби.
Серед технічних засобів при веденні інформаційної боротьби найбільш небезпечними для інфраструктури є засоби електронної деструктивної дії на інформаційні системи, що розроблені за останні роки.
Також можуть бути використані інфразвукові та інші найсучасніші технології дії на людину. При їх застосуванні у людей можна викликати приступи масового жаху, паніки, сердечні напади та навіть смерть. Саме такі технології використовуються у необмеженій інформаційній війні. Їх використання пояснюється тими задачами, що вирішуються у такій війні:
- порушення інформаційної структури держави-жертви і, як наслідок, повну паралізацію всіх військових та загальнодержавних органів управління;
- деморалізацію армії та населення, викликання масової невіри у здатності виграти війну та повну недовіру керівництву держави;
- викликання масових заворушень населення та інше.
Результатом проведення необмеженої інформаційної війни стає швидка військова перемога при значно менших людських та матеріальних втратах агресора.
Також проти держави може бути використана інформаційна війна у її обмеженому, “м’якому” або “оксамитовому” варіанті.
Таки дії використовуються проти держави з метою, наприклад, досягти для своєї країни яких-небудь торгових або інших привілей, зміни керівництва іншої країни для досягнення своїх політичних цілей та інше.
При цьому можуть бути спровоковані масові заворушення, в яких сучасні демагоги використовують всі методи психологічного впливу та технічної дії на великі натовпи людей, не забуваючи при цьому свої власні політичні та грошові інтереси. При цьому, за правило, дії таких демагогів ініціюються, спрямовуються та фінансуються із-за кордону, а у своєму прагненні досягнення політичних цілей будь-якою ціною (але не за свій рахунок) ці демагоги не зупиняються навіть від провокування кровопролиття.
Ми можемо пригадати, що і наша держава не так давно декілька разів ставала жертвою такої війни, проведеної за всіма її “правилами”. Було застосовано всі основні “м’які” методи інформаційно-психологічного впливу.
Взагалі серед методів інформаційно-психологічного впливу можна виділити:
1. Вплив на індивідуальну свідомість людини як громадянина, як суб’єкта політичного життя, що володіє правосвідомістю і менталітетом, духовними ідеалами і ціннісними установками. Громадянин – це свідомий суб’єкт відносин із владою, що будує своє життєве поводження в залежності від того, наскільки він цій владі довіряє. Його поводження може приймати як гострі форми політичного екстремізму, так і мляві форми політичної байдужості, у не меншому ступені, які впливають на суспільне та особисте життя інших людей.
Політична реальність нашого життя така, що будь-які інформаційно-психологічні впливи, що здійснюються через канали ЗМІ чи міжособистісного спілкування (наприклад, плітки), є маніпулятивними по суті, а нерідко й інструментами провокації. І якщо до маніпулятивної природи впливу електронних ЗМІ більшість населення звикла, визнає їх цивілізованими засобами політико-психологічної боротьби і до них уже вироблений політичний імунітет і прийоми особистісного психологічного захисту, то з анонімними повідомленнями, запущеними в Інтернет, справа стоїть складніше. Хоча використання глобальної мережі електронних комунікацій тільки набирає силу, в Інтернет вже вільно розташувалися політичні авантюристи, пропагандисти, ініціатори пліток, позбавлені доступу до офіційних ЗМІ. Може статися, що політичні маніпуляції через Інтернет прийдеться розглядати як об’єкт міжнародно-правового регулювання, і рано чи пізно прийдеться вирішувати питання електронної цензури на інтернаціональному рівні, незважаючи на всі проголошені декларації про свободу інформації. Взагалі, не так просто підібрати аналог Інтернет з усіма його функціями: це і канал особистої переписки, і доповнення до бібліотечних фондів, і медіатор у групових нарадах чи у спільній трудовій діяльності, і спосіб поширення “листівок” для пошуку і вербування однодумців, і продукт активності інформаційних агентств або редакцій і теле- та радіостудій, і спосіб здійснення опитувань думки різних груп населення, і інструмент, що здобуває усе більше значення, public relations для корпорацій і держав.
Не можна не відзначити, що сучасні електронні телекомунікації сприяють придбанню ЗМІ такої якості, як інтерактивність. Інтерактивні передачі і матеріали викликають підвищений інтерес. Будь-яка тематика, що привертає суспільну увагу, служить предметом обговорення в численних телеконференціях, чи ньюс-групах Інтернет.
Списки розсилання подібних тематичних телеконференцій функціонують в Інтернет безперервно та у гігантських масштабах. В окремих випадках вони здатні підмінити ЗМІ. Так сталося у 1991 р. в Росії під час серпневого путчу. Хоча путчистами була введена цензура, Інтернет ніяк не контролювався. Користувачі комп’ютерних мереж у СРСР по власній волі виконували функції, властиві ЗМІ, інформуючи вітчизняних і закордонних
учасників телеконференцій про події, що відбуваються, з більшою оперативністю і користувалися свідомо великою довірою, чим цензуровані офіційні інформаційні служби.
2. Інформаційні впливи, які прямо загрожують фізичному чи психічному здоров’ю людини. Такі впливи протягом багатьох років формують морально-психологічну атмосферу у суспільстві, “харчують” кримінальне середовище і сприяють росту психічних захворювань. Сектантське проповідництво, поширення містичних теорій і практик, магії, шаманство і т. інше. по Інтернет набули загрозливих розмірів. Як результат – соціальна й особистісна дезадаптація, а в ряді випадків – руйнування психіки людини.
Окремим видом загроз, які діють у всіх країнах світу є поширення мережею Інтернет непристойної інформації, що ображає суспільну моральність, несумлінної реклами, шахрайських операцій та т. інше. Не викликає сумніву, що розміщення на Web-сайтах порнографічних картинок порушує формування у суспільстві стандартів моралі. Треба визнати, що сервери такої інформації відвідуються часто, у тому числі дітьми і підлітками. Адже за допомогою Інтернет гарантується куди більша конфіденційність і анонімність, ніж відвідування кінотеатрів чи магазинів з відкритою чи підпільною порнолітературою і порновідеофільмами. Практично відсутній ризик бути поміченим чи впізнаним. Нарікання моральних чи релігійних авторитетів із приводу інтернетівських непристойностей залишаються гласом волаючого в пустелі, а обійти обмеження, що накладаються програмними фільтрами, для здібних підлітків не викликає великих труднощів.
Практика розміщення на Web-сайтах порнографічних зображень безумовно порушує сформовані у суспільстві уявлення про пристойність. Оскільки Інтернет у цілому нікому конкретно не належить, а тому ніким конкретно не регулюється, то немає і не може бути адміністративної інстанції, що відповідає за Інтернет, яка могла б у глобальному масштабі, централізовано заборонити цю практику. Положення ускладнюється тим, що інформація може зберігатися на Web-сайтах в іншій країні чи на іншому континенті, де законодавство не готове установлювати відповідальність за збереження і поширення непристойної інформації. Інтернет сприймається людьми як засіб масової інформації, однак спроби піддати користувачів, чи провайдерів виробників інформації для “Всесвітньої павутини” додатковому юридичному регулюванню в окремих країнах не привели до помітних успіхів. Проблема має вирішуватися на міжнародному рівні.
3. Інтернет служить дуже зручною ділянкою для підготовки і здійснення інформаційно-терористичних і інформаційно-кримінальних дій. У ньому можуть поширюватися пропагандистські матеріали злочинних організацій, рецепти виготовлення вибухових і отруйних речовин, зброї, наркотичних і психотропних засобів, алгоритмів розкриття шифрів. Уся ця інформація легко маскується під науково-технічну. Відсутність географічних границь, важко обумовлена національна належність об’єктів, можливість анонімного доступу до її ресурсів – усе це робить системи суспільної й особистої безпеки уразливими. Тому потрібна погоджена міждержавна платформа боротьби не тільки з міжнародними терористичними і кримінальними організаціями, а й з окремими групами і зловмисниками, здатними в корисливих чи хуліганських цілях завдати шкоди особистій безпеці.
4. Міжнародно-правовий захист персональних інформаційних ресурсів і інтелектуальної власності, а також авторських прав на матеріали, розповсюджувані по світових відкритих мережах, у першу чергу по Інтернет. Мають бути вироблені міжнародні правові норми, що встановлюють відповідальність за комп’ютерні злочини, злочинне проникнення в інформаційні мережі й особисті архіви, порушення прав і законних інтересів громадян у процесі інформаційного обміну.
Очевидно, що в Інтернет користувач не тільки одержує можливість доступу до різних інформаційних серверів мережі, а й створює канал доступу до свого комп’ютера. У мережі Інтернет відсутній будь-який контролюючий орган, шлях будь-якого повідомлення формується випадковим чином. Відповідальності за інформацію, що поміщається в Інтернет, фактично не несе а ні автор, а ні провайдер. Так само, як ніхто не несе відповідальності за спроби несанкціонованого доступу до мережних інформаційних ресурсів. Усі питання захисту власної інформації відносяться до компетенції користувача. Незважаючи на багато об'єктивних складнощів, необхідна активна робота зі створення міжнародних правових норм, які б визначали відповідальність за несанкціонований доступ до ресурсів Інтернет.
Тим самим класичне поняття інформаційної безпеки (INFOSEC – information security), як стан інформаційних ресурсів, було б розширене і доповнене гарантуванням їх належного використання, навіть у тому випадку, якщо ці ресурси будуть піддані деструктивному впливу як ззовні, так і з середини. Іншими словами в політиці інформаційної безпеки чітко позначилося зрушення у бік активних організаційно-технічних заходів захисту інформаційних ресурсів. Схоже, що американці взяли за основу пропаганди знань в області інформаційної безпеки радянську систему цивільної оборони 60–70-х років, коли населення вчили не тільки тому, як одягати індивідуальні засоби захисту і вкриватися в бомбосховищах, але і як вести радіаційний, хімічний і бактеріологічний контроль і відновлювати об’єкти народного господарства після застосування зброї масового ураження.
Відмітимо, що це не єдине нововведення Пентагона в лексиконі інформаційних технологій, яке стало надбанням громадськості, не дивлячись на гриф таємності першоджерела. До числа таких можна віднести такі: “інформаційне протиборство”, “інформаційна перевага”, “інформаційні операції”, “інформаційне середовище”, “атака на комп’ютерні мережі”, “вторгнення в інформаційні системи” та інше. З певного часу американське військове відомство вважає корисним публікувати окремі несекретні фрагменти із своїх засекречених офіційних нормативних документів, підвищуючи інформованість суспільства про потенційні загрози національній безпеці. Військові терпляче і наполегливо привчають усі прошарки населення до своєї термінології, поступово стираючи грань між державою і суспільством, обороною і виробництвом, розвідкою і підприємництвом, навчанням і дозвіллям.
Як результат, американське суспільство починає пожинати плоди інформаційної революції у вигляді єдиних універсальних стандартів, які застосовуються як у цивільному, так і у військовому секторі. Як приклад, можна навести стандарт електронного підпису, розроблений Агентством національної безпеки для застосування як у військових, так і цивільних інформаційних системах.
Відповідно до прийнятого стандарту у США з 2003 р. видаються п’ять класів сертифіката PKI, що гарантують інформаційну безпеку на основі криптографічних алгоритмів з відкритим ключем залежно від ступеня таємності інформації. Розроблена і діє “стратегія глибокого ешелонованого захисту інформаційних ресурсів”. У США до 2006 року планувалося підготувати не менш 100 тис. дипломованих фахівців в сфері інформаційної безпеки, готових до будь-яких несподіванок у кіберпросторі. У кожному штаті на період надзвичайних умов створюються резервні центри обробки інформації, у яких періодично збирається, накопичується й оновлюється найбільш важлива інформація, необхідна для організації керування всіх життєво важливих служб (поліції, швидкої допомоги, пожежної охорони та ін.) у випадку виходу з ладу основних центрів обробки інформації і телекомунікаційних систем. Як правило такі центри оснащуються автономними джерелами енергопостачання. У повсякденних умовах роботу таких центрів забезпечує обмежений по чисельності технічний персонал.
Короткий огляд тільки деяких найбільш важливих і дорогих програм розвитку інформаційних технологій у США на прикладі Пентагону свідчить, що проблема інформаційної безпеки окремо узятого відомства по своєму
масштабу вже давно є загальнонаціональною і для свого рішення вимагає перегляду усталених підходів, прийняття єдиних стандартів, створення національної системи підготовки фахівців відповідного профілю, широкого інформування населення про загрози і заходи для їх запобігання.
Україна, щоб успішно здійснювати поступальний розвиток по шляху до відкритого суспільства, має створити відповідні структури, що покликані забезпечити захист інфосфери від зовнішнього впливу з боку будь-якої країни.
Практично всі завдання, які належить вирішити нашій державі у сфері технічного захисту інформації, викладено у Концепціях державної та інформаційної безпеки України.
На закінчення треба відзначити один малоприємний момент, пов’язаний з організацією і веденням інформаційних воєн. Для сучасного суспільства важливе розуміння того, що інформаційна зброя, сили і засоби ведення інформаційної війни можуть бути спрямовані не тільки зовні, але й усередину соціуму для рішення конкретних політичних задач правлячої еліти, що у рамках неусталеної демократії не знаходиться під контролем цивільного суспільства. Це такий тип легітимної влади, що дозволяє в рамках здійснення владних повноважень квазіеліти не турбуватися їй з приводу розбіжності її вузькокорисних інтересів з інтересами абсолютної більшості населення. Її дії спрямовані на забезпечення утримання влади й особисте збагачення.
Це можливо у зв’язку з несформованістю громадянського суспільства, відсутністю діючого механізму контролю за діяльністю владних структур. Але саме квазіеліта зацікавлена в період проведення псевдодемократичних виборів у використанні нових інформаційних технологій у політичних цілях. Зростання впливу засобів масової інформації на хід і зміст політичних процесів, функціонування механізму влади – одна з домінуючих тенденцій сучасного суспільного розвитку. Боротьба за контроль над новими ЗМІ й інформаційною структурою, їх використання для врахування й обробки суспільної думки стали центральною проблемою у внутрішньополітичному житті держав, особливо під час виборчих кампаній.
Наскільки важливі ЗМІ в ході забезпечення перемоги на виборах, можна проілюструвати на прикладі президентських виборів 1996 р. у Росії. Незважаючи на, здавалося б, безнадійне положення президента Б.М. Єльцина за півроку до виборів (у січні його підтримували лише 6–8 % опитуваних виборців), за допомогою ЗМІ організатори виборчої кампанії і іміджмейкери змогли забезпечити його переобрання.
Фахівці з інформаційного впливу на власний народ ніколи не забували і старі інформаційні технології. Мистецька демагогія, гра на низинних почуттях, нагнітання страху, жонглювання шовіністичними і расистськими гаслами, здатність маніпулювати неправдою в точно відмірених для кожного даного випадку дозах, уміння "створювати факти" для порушення чи заспокоєння суспільної думки, направити масове невдоволення на хибно витлумачений соціальний об'єкт і цілий ряд старих, перевірених технологій завжди були в них у честі.
Саме тому знання закономірностей, принципів, засобів інформаційної війни важливо для соціуму. Підвищення інформаційної безпеки особистості, соціальної групи, суспільства і держави в цілому можливо лише тоді, коли відомий механізм впливу на інфосферу. Це дозволяє організувати роботу щодо захисту інтересів особистості, суспільства і держави, виключити дифузію аксіосфери і забезпечити розвиток країни по шляху соціального прогресу.
Висновки до розділу 1
На теперішній час в Україні розроблено основна правова та нормативна база, та створена інфраструктура, що має забезпечити надійний захист інформації у державі.
Разом з тим слід пам’ятати, що технічні способи несанкціонованого зняття інформації та засоби протидії цим протиправним діям знаходяться у постійному розвитку.
Зважаючи на цей безперервний розвиток та постійну інформаційну боротьбу, що складає один з важливих елементів сучасної світової політики, для забезпечення своєї незалежності Україні необхідно і далі удосконалювати та розвивати як правові засади (в тому числі й міжнародні), так і структурну й технічну складову інформаційної безпеки.