Організація захисту інформації в ІС.

Нині, згідно з інформацією, розміщеною на офіційному сайті центрального засвідчувального органу, станом на 01.02.2012 р. реєстр суб'єктів – засвідчувальних центрів (ЗЦ) та акредитованих центрів сертифікації ключів (ЦСК), які надають послуги, пов'язані з електронним цифровим підписом та яким видано відповідні свідоцтва про акредитацію нараховує 18 таких центрів та зареєстровано 19 засвідчувальних центрів та ЦСК

Таким чином, система електронного цифрового підпису в Україні є певною мірою структурно укомплектованою для належного функціонування.

Тепер кожна фізична особа, підприємець, державний чиновник дістали можливість засвідчувати електронні документи своїм власним цифровим підписом, що має однакову юридичну чинність із власноручним підписом або печаткою.

Проте для остаточного масового використання електронного цифрового підпису державі необхідно прийняти низку нормативно-правових актів, зокрема:

· щодо архівного зберігання електронних документів;

· щодо національних стандартів;

· щодо вимог до засобів електронного цифрового підпису, форматів даних, які для цього використовуються.

Зазначені завдання, що постали перед державою, були окреслені та сформульовані для виконання відповідним державним органам у постанові Верховної Ради України "Про затвердження Завдань Національної програми інформатизації на 2006-2008 роки" від 4 листопада 2005 p. № 3075-IV.

Не викликає сумніву, що впровадження електронного цифрового підпису є загальнодержавним завданням. Всебічне використання електронного цифрового підпису дасть можливість не тільки спростити та прискорити документообіг між суб'єктами господарювання та зміцнити конкурентоспроможність вітчизняних підприємств, а й створити умови для розвитку експортно-імпортних операцій, електронної торгівлі, електронних банківських послуг, повномасштабного дистанційного навчання та надання медичних послуг із застосуванням новітніх інформаційних технологій. Окрім цього, впровадження електронного цифрового підпису закладе організаційно-технічну основу для надання електронних інформаційних послуг органами державної влади та органами місцевого самоврядування юридичним та фізичним особам з використанням інтернету. Надійне функціонування електронного документообігу є запорукою інформаційної безпеки України.

 

Відповідно до ЗУ "Про захист інформації" захист інформації - сукупність організаційно-технічних заходів і правових норм для запобігання заподіянню шкоди інтересам власника інформації чи АС та осіб, які користуються інформацією

Метою захисту інформації є:

- запобігання відтіканню, розкраданню, втраті, перекручуванню, підробці інформації;

- запобігання загрозам безпеки особистості, суспільства, держави;

- запобігання несанкціонованим діям зі знищення модифікації, перекручення, копіювання, блокування інформації; запобігання інших форм незаконного втручання в інформаційні ресурси та інформаційні системи, забезпечення правового режиму документованої інформації як об'єкта власності;

- захист конституційних прав громадян на збереження особистої таємниці та конфіденційності персональних даних, що є в інформаційних системах;

- збереження державної таємниці, конфіденційності документованої інформації згідно з законодавством;

- забезпечення прав суб'єктів в інформаційних процесах при розробці, виробництві та застосуванні інформаційних систем, технологій та засобів їх забезпечення.

Інформаційна безпека – це стан захищеності інформаційного середовища та інформаційних ресурсів суспільства, який забезпечує їхнє формування використання і розвиток в інтересах юридичних і фізичних осіб та держави.

Як і всякий продукт, інформація має споживачів, яким вона необхідна, і тому володіє певними споживчими якостями, а також має своїх власників чи виробників.

З точки зору споживача якість інформації, що використовується, дає змогу отримати додатковий економічний або моральний ефект.

З точки зору власника – збереження у таємниці комерційно важливої інформації дає змогу успішно конкурувати на ринках виробництва і збуту товарів і послуг, що вимагає певних дій, спрямованих на захист конфіденційної інформації.

Задовольнити сучасним вимогам з забезпечення безпеки об’єкта управління і захисту його конфіденційної інформації може лише система безпеки.

З позиції системного підходу до захисту інформації ставляться певні вимоги. Захист інформації повинен бути:

- неперервним. Ця вимога випливає з того, що зловмисники шукають як обійти захист необхідної їм інформації;

- плановий. Планування здійснюється шляхом розробки кожною службою детальних планів захисту інформації в сфері її компетенції з врахуванням загальної мети об’єкти управління;

- цілеспрямований. Захищаються тільки ті інформаційні ресурси, які повинні захищатися в інтересах конкретної мети;

- конкретний. Захисту підлягають тільки ті інформаційні ресурси, які об’єктивно підлягають захисту, втрата яких може завдати об’єкту управління шкоди;

- надійний. Методи і форми захисту повинні надійно перекривати можливі шляхи неправомірного доступу до таємниць, які оберігаються, незалежно від форми їх представлення, мови вираження і виду фізичного носія, на якому вони зберігаються;

- універсальний. Вважається, що залежно від каналу витоку або способу несанкціонованого доступу до інформації його необхідно перекривати ефективними і достатніми засобами, незалежно від характеру, форми і вигляду інформації;

- комплексним. Для захисту інформаційних ресурсів в усьому різноманітті структурних елементів повинні застосовуватись усі види і форми захисту у повному обсязі. Недопустимо застосовувати лише окремі форми або технічні засоби. Комплексний характер захисту випливає з того, що захист – це специфічне явище, яке являє собою складну систему нерозривно взаємопов’язаних і взаємонезалежних процесів, кожний з яких в свою чергу має багато різних сторін, властивостей і тенденцій, що взаємообумовлюють одна одну

Під системою безпеки розуміють організовану сукупність спеціальних органів, служб, засобів, методів і заходів, які забезпечують захист життєво важливих інтересів особистостей, об’єктів управління і держави в цілому від зовнішніх і внутрішніх загроз (рис. 1).

Як і будь-яка система, система інформаційної безпеки має свої цілі, задачі, методи і засоби діяльності, які узгоджуються в часі і просторі залежно від умов.

 

 

 
 

 

 


Рис. 1. Завдання та цілі системи безпеки

Для забезпечення захисту інформації в системі створюється комплексна система захисту інформації, яка призначається для захисту інформації від:

§ витоку технічними каналами, до яких належать канали побічних електромагнітних випромінювань і наведень, акустично-електричні та інші канали, що утворюються під впливом фізичних процесів під час функціонування засобів обробки інформації, інших технічних засобів і комунікацій;

§ несанкціонованих дій з інформацією, у тому числі з використанням комп'ютерних вірусів;

§ спеціального впливу на засоби обробки інформації, який здійснюється шляхом формування фізичних полів і сигналів та може призвести до порушення її цілісності та несанкціонованого блокування.

Організація та проведення робіт із захисту інформації в системі здійснюється службою захисту інформації, яка забезпечує визначення вимог до захисту інформації в системі, проектування, розроблення і модернізацію системи захисту, а також виконання робіт з її експлуатації та контролю за станом захищеності інформації

Захист інформації на всіх етапах створення та експлуатації інформаційної системи здійснюється відповідно до розробленого службою захисту інформації плану захисту інформації в системі.

План захисту інформації в системі містить:

o завдання захисту, класифікацію інформації, яка обробляється в системі, опис технології обробки інформації;

o визначення моделі загроз для інформації в системі;

o основні вимоги щодо захисту інформації та правила доступу до неї в системі;

o перелік документів, згідно з якими здійснюється захист інформації в системі;

o перелік і строки виконання робіт службою захисту інформації.

Вимоги до захисту інформації кожної окремої системи встановлюються технічним завданням на створення системи або системи захисту

Концепція безпеки є основним правовим документом, який визначає захищеність об’єкта управління від внутрішніх і зовнішніх загроз.

Під загрозами конфіденційній інформації прийнято розуміти потенційні або реально можливі дії відносно інформаційних ресурсів, які призводять до неправомірного оволодіння відомостями, що охороняються та моральних чи матеріальних збитків.

Захист інформації ведеться для підтримки таких властивостей інформації як:

Цілісність:неможливість модифікації інформації неавторизованим користувачем.

Конфіденційність:інформація не може бути отримана неавторизованим користувачем.

Доступність:полягає в тому, що авторизований користувач може використовувати інформацію відповідно до правил, встановлених політикою безпеки не очікуючи довше заданого (прийнятного) інтервалу часу.

Спостережність:властивість системи, що дозволяє фіксувати діяльність користувачів і процесів, використання пасивних об'єктів, а також однозначно установлювати ідентифікатори причетних до певних подій користувачів і процесів з метою запобігання порушення політики безпеки і/або забезпечення відповідальності за певні дії.

В кінцевому результаті протиправні дії з інформацією приводять до порушення її конфіденційності, цілісності, достовірності і доступності (рис. 2), що у свою чергу приводить до порушення як режиму управління, так і його якості в умовах хибної чи неповної інформації.

 
 

 

 


Рис. 2. Дії, які приводять до порушення безпеки інформації

Кожна загроза несе за собою певні збитки – моральні або матеріальні, а захист і протидія загрозі покликані знизити їх величину, в ідеалі – повністю, реально – значно або хоча б частково. Але і це вдається не завжди.

Тому необхідно чітко дотримуватися послідовних етапів побудови системи захисту інформації. Виділяють такі основні етапи побудови системи захисту інформації

1) аналіз можливої загрози ІС;

2) розробка систем захисту (планування);

3) реалізація системи захисту

4) супроводження системи захисту.

Етап аналізу можливих загроз ІС потрібний для фіксування на певний момент часу стану ІС (конфігурації апаратних і програмних засобів, технології обробки інформації) і визначення можливих дій на кожний компонент системи. Із всієї множини можливих дій треба вибрати лише ті, які можуть реально відбутися та завдати значної шкоди користувачам і власникам системи.

На етапі планування формується система захисту як єдина сукупність заходів протидії різної природи (шифрування даних, контроль доступу до ресурсів, ідентифікація та автентифікація суб’єктів ІС). Результатом етапу є план захисту – документ, який містить перелік захищених компонентів ІС і можливого впливу на них, вартість захисту інформації, правила обробки інформації та опис розробленої системи захисту інформації.

Сутність етапу реалізації системи захисту інформації полягає у налагодженні та розроблені засобів захисту, необхідних для реалізації зафіксованих в плані захисту правил обробки інформації.