Захист інформації в інформаційних системах
Нині найбільш актуальним безумовно, є захист інформації, поданої в електронній формі, адже саме цей вид її, з огляду на нематеріальний характер, високу здатність до трансформації й передачі є найбільш вразливим до протиправних дій. Інформація в електронній формі обробляється, передається та розповсюджується за допомогою інформаційно-телекомунікаційних систем, будучи їх основним наповненням. В Україні останнім часом створено достатньо широку нормативно-правову базу для проведення діяльності із захисту цього виду інформації. Причому можна виділити два аспекти захисту інформації в інформаційно-телекомунікаційних системах: 1) встановлення стандартів і вимог щодо характеристик інформаційних систем, які мають забезпечувати дієвість цієї системи; безпосереднє правове регулювання діяльності із захисту інформації.
Наприклад, Закон України "Про телекомунікації" (ст. 1) виділяє дві характеристики безпеки інформаційних систем і мереж.
1) інформаційна безпека телекомунікаційних мереж - здатність мереж забезпечувати захист від знищення, перекручування, блокування інформації, її несанкціонованого витоку або від порушення встановленого порядку її маршрутизації.
2)сталість телекомунікаційної мережі - властивості телекомунікаційної мережі зберігати повністю або частково свої функції у разі впливу на неї дестабілізаційних чинників.
Ст. 9 Закону України "Про телекомунікації" визначено обов'язки операторів і провайдерів телекомунікацій щодо забезпечення відповідних характеристик і властивостей засобів телекомунікацій.
Правовою основою діяльності із захисту інформації є Закон України "Про захист інформації в інформаційно-телекомунікаційних системах". Відповідно до ст. 1 цього Закону, захист інформації в системі - це діяльність, спрямована на запобігання несанкціонованим діям щодо інформації в системі.
Сама ж автоматизована система є такою, що виконує автоматизоване оброблення даних і в складі якої є технічні засоби їх оброблення (засоби обчислювальної техніки і зв'язку), а також методи і процедури, програмне забезпечення.
Закон визначає п'ять основних видів несанкціонованих дій з ін формацією:
1) блокування інформації в системі - дії, внаслідок яких унеможливлюється доступ до інформації в системі;
2)виток інформації - результат дій, внаслідок яких інформація в системі стає відомою або доступною фізичним та/або юридичним особам, що не мають права доступу до неї;
3)знищення інформації в системі - дії, внаслідок яких інформація в системі зникає;
4)порушення цілісності інформації в системі - несанкціоновані дії щодо інформації в системі, внаслідок яких змінюється її зміст.
Важливим аспектом інформаційної безпеки є захист інформації яка передається, зберігається та обробляється за допомогою комунікаційних систем різних типів. Щодо цього в Україні вже створено низку нормативно-правових актів.
Об'єктами захисту від неправомірних зазіхань є:
- інформація, що обробляється в автоматизованій системі;
- права власників цієї інформації та власників автоматизованої системи;
- права користувача.
Захист інформації полягає у застосуванні сукупності організаційно-технічних заходів і правових норм для запобігання заподіянню шкоди інтересам власника інформації чи автоматизованої системи та особам, які користуються інформацією.
Закон України "Про захист інформації в автоматизованих системах" визначає: також відносини між суб'єктами в процесі оброблення інформації в автоматизованих системах, загальні вимоги до захисту інформації в АС і порядок організації цього захисту, відповідальність за порушення норм цього закону та засади міжнародної співпраці України у сфері автоматизованих систем.
Зазначимо, що конкретний зміст вимог до захисту інформації залежить насамперед від права власності на конкретну інформації, що обробляється за допомогою автоматизованої системи. Так, за ст. 11 Закону України "Про захист інформації в автоматизованих системах", вимоги і правила захисту інформації, яка є власністю держави, або інформації, захист якої гарантується державою, визначаються відповідними нормативно-правовими актами. Ці вимоги є обов'язковими для власників автоматизованих систем, де така інформація обробляється, а для інших суб'єктів права власності на інформацію такі вимоги мають лише рекомендаційний характер.
Політика із захисту інформації в автоматизованих системах визначається Верховною Радою України, а державне управління в цій сфері здійснює Кабінет Міністрів України.
Державне управління у сфері захисту інформації в автоматизованих системах передбачає:
- проведення єдиної технічної політики захисту інформації;
- розроблення концепції, вимог, нормативно-технічних документів і науково-методичних рекомендацій захисту інформації в автоматизованих системах;
- затвердження порядку організації, функціонування та контролю за виконанням заходів захисти оброблюваної в автоматизованій системі інформації, яка є власністю держави, а також рекомендацій щодо захисту інформації - власності юридичних та фізичних осіб;
- організації випробувань і сертифікації засобів захисту інформації в автоматизованих системах, в якій здійснюється обробка інформації, що власністю держави;
- створення відповідних структур для захисту інформації в автоматизованих системах;
- проведення атестації сертифікаційних (випробувальних) органів, центрів і лабораторій, видача ліцензії на право проведення сервісних робіт в галузі захисту інформації в автоматизованих системах;
- здійснення контролю захищеності оброблюваної в автоматизованих системах інформації, яка є власністю держави;
- визначення порядку доступу осіб і організацій зарубіжних держав до інформації в автоматизованих системах, яка є власністю держави, або до інформації - власності фізичних та юридичних осіб, щодо поширення і використання якої державою встановлено обмеження.
Нормами законодавства встановлено комплексний характер захисту інформації. Зокрема, захист державних інформаційних ресурсів в автоматизованих системах, що належать до інформаційно-телекомунікаційних систем, здійснюється через запровадження комплексної системи захисту інформації (КСЗІ). Ця система складається з комплексу технічних, криптографічних, організаційних та інших заходів і засобів, спрямованих на запобігання блокуванню інформації, несанкціонованому ознайомленню з нею та/або її модифікації. Основними в комплексній системі захисту інформації є технічний та криптографічний захист, а також комплекс заходів організаційного характеру, який передбачає встановлення відповідних режимів діяльності об'єктів інформаційних систем, контроль за дотриманням правил і норм здійснення захисту інформації, контроль за діяльністю суб'єктів захисту інформації тощо.