У разі порушення функціонування інформаційної системи — визначення майнових втрат та мінімізація їх

Інформаційна безпека як функція

На базі аналізу накопиченого емпіричного матеріалу пропонується узагальнити на рівні теоретичних засад (ос­нов) організацію захисту інформації в автоматизованих (комп'ютерних) системах як функції. Задля цього органі­зацію захисту інформації в автоматизованих системах умовно поділяють на три види функцій. За основу поділу визначено такий критерій, як середовище, в якому пере­буває інформація: а) соціальне (окрема людина, спільноти людей, держава); б) інженерно-технікологічне (машинне, апаратно-програмне, автоматичне); в) соціотехнічне (лю-дино-машинне).

Кожен названий рівень щодо середовища об'єктивно доповнює і взаємозумовлює інші функції, в основі утворю­ючи триєдину гіперсистему: організація інформаційної безпеки. У цій гіперсистемі визначними є такі напрямки (підрізні), що визначаються на основі інтегративного підхо­ду протилежностей (антиподів) — воздії і протидії.

1. Організація протидії небажаній для суб'єкта воздії за допомогою технічних засобів захисту, тобто засоби за­хисту мають бути адекватними засобам добування (напри­клад, протидія розвідці (котррозвідка) відповідними тех­нічними засобами захисту: створення системи просторово­го зашумлення для приховування інформації у відповід­ному середовищі (акустичному (звуковому), аудіо (відео), електромагнітному) чи екранування технічних засобів у приміщенні).

2. Організація протидії негативному впливу на учас­ників інформаційних відносин (наприклад, конкурентів на персонал організації з метою отримання інформації (про­тидія підкупові персоналу, впровадження представника конкурента в організацію для отримання інформації з об-

Інформаційна безпека як об'єкт інформаційного права

меженим доступом тощо). Щодо цього та деяких інших факторів можна застосувати принцип, визначений у на­родній мудрості: "Клин клином вибивають".

(наприклад, у разі виявлення несанкціонованого доступу до інформації визначення матеріальних і моральних втрат, за необхідності — взаємодія з державними правоохорон­ними та судовими органами щодо притягнення винних до відповідальності відповідно до законодавства).

На названі напрямки організації інформаційної безпе­ки відповідного об'єкта захисту впливають такі визна­чальні фактори:

а) фактор рівня досягнень науково-технічного прогресу (переважно в галузі розвитку, удосконалення технічних за­собів);

б) технологічний фактор (в окремих джерелах його ще називають алгоритмічним фактором, коли техніка може бути одна, а технології її застосування різні, цей фактор ще є визначальним для формування методик: як отриман­ня інформації, так і захисту її);

в) соціальний (людський) фактор.

8.3. АГРЕГОВАНІ МОДЕЛІ ТЕКТОЛОГІЇ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ

Загальний аналіз проблем організовування захисту інформації в автоматизованих комп'ютерних системах дає можливість визначити три агреговані організаційні моделі заходів:

1) організація запобіжних заходів;

2) організація блокування (протидії) реальним загрозам, що реалізуються;

3) організація подолання наслідків загроз, які не вдало­ся блокувати або запобігти їм.

Важливий елемент організації інформаційної безпеки — захисту інформації — поділ заходів на групи щодо протидії. У теорії і практиці майже однозначно виокремлюють три такі групи: активні засоби захисту (наприклад, розвідка, дезінформація, зашумлення тощо); пасивні засоби захис­ту (наприклад, встановлення екранів несанкціонованому витоку інформації тощо); комплексні засоби захисту (органічне поєднання названих груп).

Ми не будемо докладно їх пояснювати. Звернемо увагу на організаційні заходи при блокуванні (протидії) несанк­ціонованого доступу до автоматизованої інформаційної сис­теми та подоланні наслідків загроз, які не вдалося бло­кувати або запобігти їм. Зазначимо, що ці заходи можуть бути спрямовані: на документування методів несанкціоно­ваних дій щодо доступу до автоматизованої системи для на­ступного дослідження їх; збереження слідів правопорушен­ня; взаємодію (у разі необхідності) з державними право­охоронними органами щодо виявлення та розкриття пра­вопорушення (в тому числі за готування до злочину і за замах на злочин); сприяння притягненню винних до відпо-

Інформаційна безпека як об'єкт інформаційного права

відної відповідальності (кримінальної, адміністративної, цивільно-правової, дисциплінарної).

Всі заходи організації інформаційної безпеки, у тому числі в умовах застосування автоматизованих комп'ютер­них систем, базуються на знаннях і використанні певних фізичних явищ, що характеризують відповідні форми по­дання (виразу) інформації. Ці фізичні явища, зокрема ті, що може використати зловмисник, добре відомі.

Завдання організовування інформаційної безпеки щодо захисту інформації в автоматизованих системах визнача­ються за напрямком, протилежним до загроз безпеки. При реалізації заходів захисту інформації важливим аспектом є визначення і перевірка стану безпеки. У теорії і практиці це набуває втілення в категорії "метрологія". За допомо­гою метрологічної діяльності з'ясовують рівень розробки і наявність відповідних засобів, норм і методик, які дають можливість оцінити якість функціонування системи захи­сту інформації, тобто визначити, чи задовольняє чинним нормам система захисту на певний момент часу.

Формалізація норм і методів метрології стану безпеки об'єкта набуває втілення у відповідних нормативних ак­тах. Застосовуючи визначені в них нормативи слід врахо­вувати природну властивість таких нормативів з часом втрачати актуальність. Це пов'язано з тим, що в міру роз­витку науково-технічного прогресу можуть змінюватися норми і методи контролю захищеності інформації у відпо­відному середовищі її існування. Практика свідчить, що, як правило, норми і методи контролю мають тенденцію до удосконалення. Попередні нормативи виступають як орієн­тири, точки опори для формування нових нормативів. Сама назва "норматив" свідчить про те, що є фундаментальні межі можливостей існуючих фізичних приладів метрології на певному етапі пізнання людством законів природи.

У ході організації (в тому числі створення алгоритмів (методик) захисту інформації технічними засобами) завдан-

ня суб'єктів полягає не тільки в удосконаленні існуючих засобів технічного захисту інформації, а й урахуванні мож­ливих новацій. При цьому переважно має реалізовуватися принцип агрегації новацій до наявної системи захисту. Найкраще, коли можна інтегрувати через новації засоби захисту і вилучити із системи захисту застаріле обладнан­ня. Але водночас не слід забувати, що старі засоби захис­ту, які можуть функціонувати автономно в системі захис­ту, не повинні "зніматися з озброєння" бездумно.

Організовуючи захист інформації в автоматизованих системах, слід враховувати, що хоч в основі автоматизова­ної системи є технічний пристрій, який обробляє інформа­цію, але при його використанні так чи інакше присутній людський фактор. При цьому людина виступає в ролі або безпосередньо (як користувач автоматизованої системи), або опосередковано (як розробник системи).

З цього випливає, що на надійність системи захисту ін­формації в автоматизованих комп'ютерних системах впли­вають дві групи взаємопов'язаних факторів: людські (со­ціальні) та інженерно-технологічні.

В аспекті теорії систем організація захисту інформації в автоматизованих системах передбачає обумовлене виок­ремлення внутрішньо- і зовнішньо-системних ознак, які утворюють діалектичну гіперсистему організації рубежів безпеки.

Інформаційна безпека як об'єкт інформаційного права

8.4. МЕТОДОЛОГІЧНІ ПОЛОЖЕННЯ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ

Названі елементи основ теорії організації захисту інфор­мації зумовлюють необхідність формування і розвитку окремих теорій інформаційної безпеки (зокрема її складо­вої — теорії організації захисту інформації в автоматизо­ваних системах) у таких аспектах: організаційному, інже­нерно-технологічному та пов'язаному з ними правовому. Як відомо, інженерно-технологічний аспект поєднує взає­мопов'язані технічний (апаратний) та алгоритмічний (про­грамний) аспекти (саме тому ми вжили раніше категорію "інженерно-технікотехнологічний").

Будь-яка загальна теорія вважається науковою, якщо вона має чітко визначені методи пізнання предметної га­лузі, закономірностей природи (фізики) і суспільства. Та­ким чином, щоб претендувати на статус науковості, загаль­на теорія організації інформаційної безпеки повинна мати визначену множину методів пізнання її предмета й об'єкта.

Враховуючи міжгалузевий характер теорії організації інформаційної безпеки, в ній поєднуються методи пізнан­ня традиційних фундаментальних наук: соціології та фізи­ки. Це зумовлено безпосереднім предметом теорії: л юди­но-машинними (соціотехнічними) системами, якими є ав­томатизовані комп'ютерні інформаційні системи.

Звичайно сферою дослідження теорії є практика захисту інформації в автоматизованих (комп'ютерних) системах: її закономірності, принципи, різного рівня проблеми і завдан­ня вирішення їх. Нині проблема і завдання формалізують переважно за допомогою методів евристики: формально-ев­ристичного та інтуїтивно-евристичного. Домінуюче стано­вище серед цих методів мають методи експертних оцінок та оцінки критичної маси інформації, за допомогою яких, зок­рема, оцінюють функціонування систем захисту інформації.

Проте ці методи мають і недоліки: наявність людського фак­тора — суб'єктивізм експерта та потенційне обмеження інформації у формі знань, якими володіє експерт.

Подоланню цих недоліків допомагає когнітологія — наука про знання. Відповідно до положень цієї науки в загальній теорії захисту інформації визначаються як аксіо­ми когнітологічні положення про рівень і відносність ент­ропії (невизначеності) системи пізнання (людини, спільно­ти та ін.) і її вплив на формування теоретичних положень, відносну істинність їх (у часі та колі осіб). Відносність істи­ни визначається кількісними і якісними характеристика­ми множини знань, якими володіє певний суб'єкт відно­син, навичками застосування їх, інтелектуальним потен­ціалом та швидкістю розумових реакцій на відповідні си­туації. Відносність захисту інформації визначається віднос­ністю знань суб'єкта захисту і відносністю загроз захисту, зокрема знань зловмисника.

У контексті визначення об'єктивності експертної оцінки організації захисту інформації, подолання суб'єктивізму, наприклад при визначенні стану інформаційної безпеки об'єк­та, застосовують метод залучення кількох експертів. Але, як справедливо зазначають деякі дослідники, при цьому ви­никає питання, хто може вважатися висококваліфікованим експертом (кваліфікаційні ознаки експерта) і скільки таких експертів потрібно для істинності висновків, подолання су­б'єктивізму (Организация и современные методы защиты информации / Под общ. ред. С.А. Диева, А.Г. Шаваева. — М.: Банковский Деловой Центр, 1998. — С. 36).

Інформаційна безпека як об'єкт інформаційного права

8.5. ЛЮДСЬКИЙ ФАКТОР В ОРГАНІЗАЦІЇ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ

Наявність людського фактора має провідне значення в теорії організації захисту інформації. Через цей елемент теорія організації захисту інформації як система знань має предметний гіперзв'язок з фундаментальними гуманітар­ними науками — соціологією, соціальною психологією, соціальною інженерією.

За природою організації захист інформації має комплекс­ний характер, тобто між окремими її складовими є певний зв'язок. У рамках теорії організації захисту інформації чітко визначився постулат, що організація захисту інфор­мації повинна враховувати не тільки складність технічної і технологічної компонент системи, а й людський фактор. Тобто, формуючи конкретну систему технічного захисту, слід враховувати якісні індивідуально- і соціально-психо­логічні, моральні, етичні та інші особисті характеристики людей, задіяних у системі захисту інформації.

У такому аспекті визначається також напрямок теорії щодо оцінки, характеристики зловмисників, які посяга­ють на безпеку інформаційної системи. У цьому аспекті теорія захисту інформації має зв'язок з кримінологією, її складовими вченнями: віктимологією та теорією формуван­ня соціально-психологічного портрету зловмисника.

8.6. ПРАВОВИЙ АСПЕКТ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ

Дата добавления: 2015-05-31; Просмотров: 395; Нарушение авторских прав?; Мы поможем в написании вашей работы!