ЗАХИСТ ІНФОРМАЦІЇ В СИСТЕМІ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ ПІДПРИЄМСТВА

В умовах сьогодення інформація перестала бути допоміжним ресурсом виробництва, а перетворилась у визначальну складову будь-якого бізнесу.

Оскільки роль інформації як виробничого ресурсу постійно зростає, не можна залишати сферу інформаційного забезпечення управління підприємством без достатньої уваги.

Стає очевидним, що вирішення завдання ефективного інформаційного забезпечення неможливе без інформаційної безпеки.

Деякі науковці під інформаційною безпекою розуміють систему безпеки підприємства в цілому або лише захист інформації. Також варто відмітити, що багато авторів ототожнюють поняття інформаційна безпека та комп’ютерна безпека або безпека автоматизованих систем.

Інформаційна безпека є складовою інформаційного забезпечення.

Нажаль, на більшості підприємств на сьогодні підрозділ інформаційної безпеки відірваний від реалій бізнесу та прив’язаний суто до інформаційних технологій. Основуючись на структурі інформаційного забезпечення, що, на нашу думку має складатись з економічної розвідки інформаційної безпеки та аналітично-консультативного забезпечення (система інформаційної безпеки включає перевірку достовірності інформації: визначення важливості та рівня секретності інформації: надання допуску та доступу до інформації: захист інформації комерційної таємниці)

Враховуючи вищенаведене ми бачимо схему реалізації інформаційної безпеки на основі п’яти складових: технічної організаційної дозвільної попереджувальної та правової.

Оскільки в будь-якій системі всі елементи та підсистема є взаємопов’язаними, більшість завдань інформаційної безпеки виконується разом із основними та допоміжними підсистемами системи економічної безпеки підприємства.

Технічна складова покликана забезпечити захист інформації та об’єктів підприємства, а також виявлення фактів витікання інформації та неправомірних дій персоналу та сторонніх осіб щодо даного підприємства за допомогою технічних засобів.

Організаційна складова повинна забезпечити належне поводження персоналу підприємства із секретною інформацією та іншими об’єктами захисту господарюючого суб’єкта.

Дозвільна складова системи інформаційної безпеки має здійснювати розподіл інформації підприємства за рівнями секретності та визначити ступінь доступу до неї.

Попереджувальна складова необхідна для уникнення ефекту дезінформації та прийняття в наслідок цього хибних управлінських рішень, а також максимального зниження ймовірності витікання секретної інформації.

Правова складова покликана забезпечити правовий захист інтересів підприємства щодо захисту інформації, а також закріплення прав підприємства щодо комерційної таємниці в установчих документах, договорах та інших нормативних актах.

Системи захисту інформації, що пропонуються науковцями та практиками не відображають в повній мірі вирішення завдань та виконання функцій, які стоять перед захистом інформації в системі інформаційної безпеки інформаційного забезпечення та економічної безпеки в цілому в сучасних умовах. Отже завданнями системи захисту інформації ми вважаємо наступні:

Ø організація особливого діловодства та контролю за секретними документами;

Ø виявлення, попередження та присікання каналів витікання інформації, створення посадових інструкцій, а також положень пам’яток методичних вказівок для роботи з відомостями, що складають комерційну таємницю;

Ø захист інформації при використанні комп’ютерної техніки та інших технічних засобів обробки та передавання даних;

Ø виявлення необхідності обґрунтування та організація встановлення необхідних технічних засобів забезпечення збереження інформації;

Ø захист в судових та інших державних органах інтересів підприємства щодо комерційної таємниці;

Ø розроблення нормативної документації щодо комерційної таємниці на підприємстві;

Ø навчання правилам інформаційної безпеки працівників.

Інформацíйна безпека — стан інформації, в якому забезпечується збереження визначених політикою безпеки властивостей інформації.

Складові інформаційної безпеки або такі суттєві властивості, як: конфіденційність (англ. Confidentiality, privacy), цілісність (англ. Integrity), доступність (англ. Availability) — тріада CIA. Інформаційні системи можна розділити на три частини: програмне забезпечення, апаратне забезпечення та комунікації з метою цільового застосування (як механізму захисту і попередження) стандартів інформаційної безпеки. Самі механізми захисту реалізуються на трьох рівнях або шарах: Фізичний, Особистісний, Організаційний. По суті, реалізація політик і процедур безпеки покликана надавати інформацію адміністраторам, користувачам і операторам про те як правильно використовувати готові рішення для підтримки безпеки.

Об'єктивно категорія «інформаційна безпека» виникла з появою засобів інформаційних комунікацій між людьми, а також з усвідомленням людиною наявності у людей і їхніх співтовариств інтересів, яким може бути завдано збитку шляхом дії на засоби інформаційних комунікацій, наявність і розвиток яких забезпечує інформаційний обмін між всіма елементами соціуму.

Враховуючи вплив на трансформацію ідей інформаційної безпеки, в розвитку засобів інформаційних комунікацій можна виділити декілька етапів[1]:

I етап — до 1816 року — характеризується використанням природно виникаючих засобів інформаційних комунікацій. В цей період основне завдання інформаційної безпеки полягало в захисті відомостей про події, факти, майно, місцезнаходження і інші дані, що мають для людини особисто або співтовариства, до якого вона належала, життєве значення.

II етап — починаючи з 1816 року — пов'язаний з початком використання штучно створюваних технічних засобів електро- і радіозв'язку. Для забезпечення скритності і перешкодостійкості радіозв'язку необхідно було використовувати досвід першого періоду інформаційної безпеки на вищому технологічному рівні, а саме застосування перешкодостійкого кодування повідомлення (сигналу) з подальшим декодуванням прийнятого повідомлення (сигналу).

III етап — починаючи з 1935 року — пов'язаний з появою засобів радіолокацій і гідроакустики. Основним способом забезпечення інформаційної безпеки в цей період було поєднання організаційних і технічних заходів, направлених на підвищення захищеності засобів радіолокацій від дії на їхні приймальні пристрої активними маскуючими і пасивними імітуючимирадіоелектронними перешкодами.

IV етап — починаючи з 1946 року — пов'язаний з винаходом і впровадженням в практичну діяльність електронно-обчислювальних машин (комп'ютерів). Завдання інформаційної безпеки вирішувалися, в основному, методами і способами обмеження фізичного доступу до устаткування засобів добування, переробки і передачі інформації.

V етап — починаючи з 1965 року — обумовлений створенням і розвитком локальних інформаційно-комунікаційних мереж. Завдання інформаційної безпеки також вирішувалися, в основному, методами і способами фізичного захисту засобів добування, переробки і передачі інформації, об'єднаних в локальну мережу шляхом адміністрування і управління доступом до мережевих ресурсів.

VI етап — починаючи з 1973 року — пов'язаний з використанням надмобільних комунікаційних пристроїв з широким спектром завдань. Загрози інформаційній безпеці стали набагато серйознішими. Для забезпечення інформаційної безпеки в комп'ютерних системах з безпровідними мережами передачі даних потрібно було розробити нові критерії безпеки. Утворилися співтовариства людей — хакерів, що ставлять собі за мету нанесення збитку інформаційній безпеці окремих користувачів, організацій і цілих країн. Інформаційний ресурсстав найважливішим ресурсом держави, а забезпечення його безпеки — найважливішою і обов'язковою складовою національної безпеки. Формується інформаційне право — нова галузь міжнародної правової системи.

VII етап — починаючи з 1985 року — пов'язаний із створенням і розвитком глобальних інформаційно-комунікаційних мереж з використанням космічних засобів забезпечення. Можна припустити що черговий етап розвитку інформаційної безпеки, очевидно, буде пов'язаний з широким використанням надмобільних комунікаційних пристроїв з широким спектром завдань і глобальним охопленням у просторі та часі, забезпечуваним космічними інформаційно-комунікаційними системами. Для вирішення завдань інформаційної безпеки на цьому етапі необхідним є створення макросистеми інформаційної безпеки людства під егідою ведучих міжнародних форумів.

Інформаційна безпека організації — цілеспрямована діяльність її органів та посадових осіб з використанням дозволених сил і засобів по досягненню стану захищеностіінформаційного середовища організації, що забезпечує її нормальне функціонування і динамічний розвиток.

Для характеристики основних властивостей інформації як об'єкта захисту часто використовується модель CIA[5]:

Конфіденційність (англ. confidentiality) — властивість інформації, яка полягає в тому, що інформація не може бути отримана неавторизованим користувачем

Цілісність (англ. integrity) — означає неможливість модифікації неавторизованим користувачем

Доступність (англ. availability) — властивість інформації бути отриманою авторизованим користувачем, за наявності у нього відповідних повноважень, в необхідний для нього час

Додатково також використовують такі властивості:

Апелювання (англ. non-repudiation) — можливість довести, що автором є саме заявлена людина (юридична особа), і ніхто інший.

Підзвітність (англ. accountability) — властивість інформаційної системи, що дозволяє фіксувати діяльність користувачів, використання ними пасивних об‘єктів та однозначно встановлювати авторів певних дій в системі.

Достовірність (англ. reliability)- властивість інформації, яка визначає ступінь об'єктивного, точного відображення подій, фактів, що мали місце.

Автентичність (англ. authenticity) — властивість, яка гарантує, що суб'єкт або ресурс ідентичні заявленим.

Згідно з українським законодавством[2], вирішення проблеми інформаційної безпеки має здійснюватися шляхом:

створення повнофункціональної інформаційної інфраструктури держави та забезпечення захисту її критичних елементів;

підвищення рівня координації діяльності державних органів щодо виявлення, оцінки і прогнозування загроз інформаційній безпеці, запобігання таким загрозам та забезпечення ліквідації їхніх наслідків, здійснення міжнародного співробітництва з цих питань;

вдосконалення нормативно-правової бази щодо забезпечення інформаційної безпеки, зокрема захисту інформаційних ресурсів, протидії комп'ютерній злочинності, захиступерсональних даних, а також правоохоронної діяльності в інформаційній сфері;

розгортання та розвитку Національної системи конфіденційного зв'язку як сучасної захищеної транспортної основи, здатної інтегрувати територіально розподілені інформаційні системи, в яких обробляється конфіденційна інформація.

В Україні забезпечення ІБ здійснюється шляхом захисту інформації — у випадку, коли необхідність захисту інформації визначена законодавством в галузі ЗІ. Для реалізації захисту інформації створюється Комплексна система захисту інформації (КСЗІ).

Або, у випадку, коли суб'єкт ІБ має наміри розробити і реалізувати політику ІБ і може реалізовувати їх без порушення вимог законодавства:

міжнародними стандартами ISO: ISO/IEC 17799:2005, ISO/IEC 27001:2005 та ін. — для підтримки рішень на основі ITIL та COBIT і виконання вимог англ. Sarbanes-Oxley Act (акту Сербайнза-Оклі про відповідальність акціонерів за обізнаність про стан своїх активів). Тоді на підприємстві створюється Система управління інформаційною безпекою (СУІБ), яка повинна відповідати усім вимогам міжнародних стандартів в галузі ІБ.

Спеціально уповноважений орган держави з питань захисту інформації (зараз в Україні — це Державна служба спеціального зв'язку та захисту інформації (скор. ДССЗЗІ)

Підрозділи підприємства

На підприємстві функцію забезпечення ІБ може виконувати як окремий відділ Служби безпеки підприємства, так і окрема Служба (Служба захисту інформації).

Для контролю за КСЗІ в обов'язковому порядку створюється Служба захисту інформації в інформаційно-телекомунікаційній системі (сама назва «Служба» не є обов'язковою).

Функції з контролю за СУІБ покладаються на певний відділ підприємства.

Загальнозаконодавчі вимоги (інформаційне законодавство держави, спеціалізовані нормативні акти (в Україні — це Нормативні документи в галузі технічного захисту інформації (скор. НД ТЗІ).

Галузеві вимоги (галузеві стандарти тощо).

Нижче наводиться список НПА щодо інформаційної безпеки (в значенні захисту інформації) в Україні, список не повний (до нього не входять НПА з обмеженим доступом та деякі НПА). Актуальні зміни на сайті Державної служби спецзв'язку та захисту інформації: http://www.dstszi.gov.ua (Розділ нормативно-правова база).

Закони України:

Закон України «Про інформацію» від 02.10.1992 № 2657-XII — zakon.rada.gov.ua

Закон України «Про захист інформації в інформаційно-телекомунікаційних системах» від 05.07.1994 № 80/94-ВР — zakon.rada.gov.ua

Закон України «Про державну таємницю» від 21.01.1994 № 3855-XII — zakon.rada.gov.ua

Закон України «Про захист персональних даних» від 01.06.2010 № 2297-VI — zakon.rada.gov.ua

Постанови КМУ:

Постанова Кабінету міністрів України «Про затвердження Правил забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах» від 29.03.2006 №373 — zakon.rada.gov.ua

Постанова Кабінету міністрів України «Про затвердження Інструкції про порядок обліку, зберігання і використання документів, справ, видань та інших матеріальних носіїв інформації, які містять конфіденційну інформацію, що є власністю держави» від 27 листопада 1998 р. №1893 — zakon.rada.gov.ua

Нормативні документи в галузі технічного захисту інформації (НД ТЗІ)[1] та державні стандарти України (ДСТУ) стосовно створення і функціонування КСЗІ:

НД ТЗІ 3.7-003-05 Порядок проведення робіт із створення комплексної системи захисту інформації в інформаційно-телекомунікаційній системі

Державний стандарт України. Захист інформації. Технічний захист інформації. Порядок проведення робіт. ДСТУ 3396.1-96

НД ТЗІ 1.4-001-2000 Типове положення про службу захисту інформації в автоматизованій системі

НД ТЗІ 2.5-004-99 Критерії оцінки захищеності інформації в комп’ютерних системах від несанкціонованого доступу

НД ТЗІ 2.5-005-99 Класифікація автоматизованих систем і стандартні функціональні профілі захищеності оброблюваної інформації від несанкціонованого доступу

НД ТЗІ 2.5-008-02 Вимоги із захисту конфіденційної інформації від несанкціонованого доступу під час оброблення в автоматизованих системах класу 2

НД ТЗІ 2.5-010-03 Вимоги до захисту інформації WEB-сторінки від несанкціонованого доступу

НД ТЗІ 3.7-001-99 Методичні вказівки щодо розробки технічного завдання на створення комплексної системи захисту інформації в автоматизованій системі

НД ТЗІ 3.6-001-2000 Технічний захист інформації. Комп’ютерні системи. Порядок створення, впровадження, супроводження та модернізації засобів технічного захисту інформації від несанкціонованого доступу

Автоматизированные системы. Требования к содержанию документов РД 50-34.698

Техническое задание на создание автоматизированной системы. ГОСТ 34.602-89

НД ТЗІ 1.1-002-99 Загальні положення щодо захисту інформації в комп'ютерних системах від несанкціонованого доступу

Галузеві стандарти:

Національний банк України

ГСТУ СУІБ 1.0/ISO/IEC 27001:2010 Інформаційні технології. Методи захисту. Система управління інформаційною безпекою. Вимоги. (ISO/IEC 27001:2005, MOD)

ГСТУ СУІБ 2.0/ISO/IEC 27002:2010 Інформаційні технології. Методи захисту. Звід правил для управління інформаційною безпекою. (ISO/IEC 27002:2005, MOD)