РЕФЕРАТ

НА ТЕМУ:

Аналіз стану справ у сфері захисту інформації показує, що вже склалася цілком сформована концепція і структура захисту, основу якої складають:

· дуже розвинений арсенал технічних засобів захисту інформації, вироблених на промисловій основі;

· значне число фірм, що спеціалізуються на рішенні питань захисту інформації;

· досить чітко обкреслена система поглядів на цю проблему;

· наявність значного практичного досвіду й ін.

І проте, як свідчить вітчизняна і закордонна преса, злочинні дії над інформацією не тільки не зменшуються, але і мають досить стійку тенденцію до росту. Досвід показує, що для боротьби з цією тенденцією необхідна прозора і цілеспрямована організація процесу захисту інформаційних ресурсів. Причому в цьому повинні активно брати участь професійні фахівці, адміністрація, співробітники і користувачі, що і визначає підвищену значимість організаційної сторони питання.

Відповідно до цього захист будується на основі системного підходу до інформаційної безпеки.

Система захисту інформації (СЗІ) - це організована сукупність спеціальних установ, засобів, методів і заходів, що забезпечують захист інформації від внутрішніх і зовнішніх загроз.

Досвід також показує, що:

· забезпечення безпеки інформації не може бути одноразовим актом. Це безупинний процес, що полягає в обґрунтуванні і реалізації найбільш раціональних методів, способів і шляхів удосконалювання і розвитку системи захисту, безупинному контролі її стану, виявленні її вузьких і слабких місць і протиправних дій;

· безпека інформації може бути забезпечена лише при комплексному використанні всього арсеналу наявних засобів захисту у всіх структурних елементах виробничої системи і на всіх етапах технологічного циклу обробки інформації. Найбільший ефект досягається тоді, коли усі використовувані засоби, методи і заходи поєднуються в єдиний цілісний механізм -- систему захисту інформації. При цьому функціонування системи повинне контролюватися, обновлятися і доповнюватися в залежності від зміни зовнішніх і внутрішніх умов;

· ніяка СЗІ не може забезпечити необхідного рівня безпеки інформації без належної підготовки користувачів і дотримання ними усіх установлених правил, спрямованих на її захист.

Визначення інформації, що підлягає захисту

Виходячи з принципів інформаційного суверенітету і загальноприйнятих міжнародних правил, розроблені та прийняті закони, зв'язані з від-несенням інформації до розряду таємниць, основними з яких є державна і комерційна таємниці.

Згідно Закону України „Про державну таємницю” наведемо визначення основних термінів:

· державна таємниця (секретна інформація) - вид таємної інформації, що охоплює відносини у сфері оборони, економіки, науки і тех-ніки, зовнішніх відносин, державної безпеки та охорони правопорядку, розголошення яких може завдати шкоди національній безпеці України та які визнані у порядку, встановленому цим Законом, державною таємницею і підлягають охороні державою;

· матеріальні носії секретної інформації - матеріальні об'єкти, в тому числі фізичні поля, в яких відомості, що становлять державну таєм-ницю, відображені у вигляді текстів, символів, образів, сигналів, технічних рішень, процесів тощо;

· доступ до державної таємниці - надання повноважною посадовою особою дозволу громадянину на ознайомлення з конкретною секретною інформацією та провадження діяльності, пов'язаної з державною тає-мницею, або ознайомлення з конкретною секретною інформацією та про-вадження діяльності, пов'язаної з державною таємницею, цією посадовою особою відповідно до її службових повноважень;

· допуск до державної таємниці - оформлення права громадянина на доступ до секретної інформації;

· гриф секретності - реквізит матеріального носія секретної інформації, що засвідчує ступінь секретності даної інформації;

· засекречування матеріальних носіїв інформації - введення у встановленому законодавством порядку обмежень на поширення та доступ до конкретної секретної інформації шляхом надання відповідного грифу секретності документам, виробам або іншим матеріальним носіям цієї ін-формації;

· ступінь секретності („особливої важливості”, „цілком таємно”, „таємно”) - категорія, яка характеризує важливість секретної інфор-мації, ступінь обмеження доступу до неї та рівень її охорони державою;

· охорона державної таємниці - комплекс організаційно-правових, інженерно-технічних, криптографічних та оперативно-розшукових за-ходів, спрямованих на запобігання розголошенню секретної інформації та втратам її матеріальних носіїв;

· криптографічний захист секретної інформації - вид захисту, що реалізується шляхом перетворення інформації з використанням спеціа-льних даних (ключових даних) з метою приховування (або відновлення) змісту інформації, підтвердження її справжності, цілісності, авторства тощо;

· технічний захист секретної інформації - вид захисту, спрямований на забезпечення інженерно-технічними заходами конфіденційності, цілісності та унеможливлення блокування інформації.

Сфери розповсюдження державної таємниці на інформацію

Державна таємниця розповсюджується на інформацію з різних об-ластей життєдіяльності держави.

У сфері оборони до держаної таємниці відноситься інформація:

· про зміст стратегічних і оперативних планів та інших документів бойового управління, підготовку та проведення військових операцій, стра-тегічне та мобілізаційне розгортання військ, а також про інші найважли-віші показники, які характеризують організацію, чисельність, дислокацію, бойову і мобілізаційну готовність, бойову та іншу військову підготовку, озброєння та матеріально-технічне забезпечення Збройних Сил України та інших військових формувань;

· про напрями розвитку окремих видів озброєння, військової і спе-ціальної техніки, їх кількість, тактико-технічні характеристики, організа-цію і технологію виробництва, наукові, науково-дослідні та дослідно-конс-трукторські роботи, пов'язані з розробленням нових зразків озброєння, військової і спеціальної техніки або їх модернізацією, а також про інші ро-боти, що плануються або здійснюються в інтересах оборони країни;

· про сили і засоби Цивільної оборони України, можливості населе-них пунктів, регіонів і окремих об'єктів для захисту, евакуації і розосере-дження населення, забезпечення його життєдіяльності та виробничої дія-льності об'єктів народного господарства у воєнний час або в умовах над-звичайних ситуацій;

· про геодезичні, гравіметричні, картографічні та гідрометеороло-гічні дані і характеристики, які мають значення для оборони країни.

У сфері економіки, науки і техніки таємною є інформація:

· про мобілізаційні плани і мобілізаційні потужності господарства України, запаси та обсяги постачання стратегічних видів сировини і мате-ріалів, а також зведені відомості про номенклатуру та рівні накопичення, про загальні обсяги поставок, відпуску, закладення, освіження, розміщення і фактичні запаси державного резерву;

· про використання транспорту, зв'язку, потужностей інших галу-зей та об'єктів інфраструктури держави в інтересах забезпечення її без-пеки;

· про плани, зміст, обсяг, фінансування та виконання державного замовлення для забезпечення потреб оборони та безпеки;

· про плани, обсяги та інші найважливіші характеристики добува-ння, виробництва та реалізації окремих стратегічних видів сировини і про-дукції;

· про державні запаси дорогоцінних металів монетарної групи, кош-товного каміння, валюти та інших цінностей, операції, пов'язані з виготов-ленням грошових знаків і цінних паперів, їх зберіганням, охороною і захи-стом від підроблення, обігом, обміном або вилученням з обігу, а також про інші особливі заходи фінансової діяльності держави;

· про наукові, науково-дослідні, дослідно-конструкторські та проек-тні роботи, на базі яких можуть бути створені прогресивні технології, нові види виробництва, продукції та технологічних процесів, що мають важ-ливе оборонне чи економічне значення або суттєво впливають на зовніш-ньоекономічну діяльність та національну безпеку України.

У сфері зовнішніх відносин до таємної відноситься інформація:

· про директиви, плани, вказівки делегаціям і посадовим особам з питань зовнішньополітичної і зовнішньоекономічної діяльності України, спрямовані на забезпечення її національних інтересів і безпеки;

· про військове, науково-технічне та інше співробітництво України з іноземними державами, якщо розголошення відомостей про це завдава-тиме шкоди національній безпеці України;

· про експорт і імпорт озброєння, військової і спеціальної техніки, окремих стратегічних видів сировини і продукції.

У сфері державної безпеки та охорони правопорядку до таємної відноситься інформація:

· про особовий склад органів, що здійснюють оперативно-розшу-кову діяльність;

· про засоби, зміст, плани, організацію, фінансування та матеріа-льно-технічне забезпечення, форми, методи і результати оперативно-роз-шукової діяльності, про осіб, які співпрацюють або раніше співпрацювали на конфіденційній основі з органами, що проводять таку діяльність;

· про склад і конкретних осіб, що є негласними штатними працівни-ками органів, які здійснюють оперативно-розшукову діяльність;

· про організацію та порядок здійснення охорони адміністративних будинків та інших державних об'єктів, посадових та інших осіб, охорона яких здійснюється відповідно до Закону України „Про державну охорону органів державної влади України та посадових осіб”;

· про систему урядового та спеціального зв'язку;

· про організацію, зміст, стан і плани розвитку криптографічного захисту секретної інформації, зміст і результати наукових досліджень у сфері криптографії;

· про системи та засоби криптографічного захисту секретної інфор-мації, їх розроблення, виробництво, технологію виготовлення та викорис-тання;

· про державні шифри, їх розроблення, виробництво, технологію виготовлення та використання;

· про організацію режиму секретності в органах державної влади, органах місцевого самоврядування, на підприємствах, в установах і органі-заціях, державні програми, плани та інші заходи у сфері охорони держав-ної таємниці;

· про організацію, зміст, стан і плани розвитку технічного захисту секретної інформації;

· про результати перевірок, здійснюваних згідно з законом проку-рором у порядку відповідного нагляду за додержанням законів, та про зміст матеріалів дізнання, досудового слідства та судочинства з питань охорони інформації, що відноситься до державної таємниці;

· про інші засоби, форми і методи охорони держаної таємниці.

Конкретні відомості можуть бути віднесені до державної таємниці за ступенями секретності „особливої важливості”, „цілком таємно” та „таємно” лише за умови, що вони належать до категорій, зазначених вище, і їх розголошення завдаватиме шкоди інтересам національної без-пеки України. Забороняється віднесення до державної таємниці будь-яких відомо-стей, якщо цим будуть звужуватися зміст і обсяг конституційних прав та свобод людини і громадянина, завдаватиметься шкода здоров'ю та безпеці населення.

Не відноситься до державної таємниці інформація:

· про стан довкілля, про якість харчових продуктів і предметів по-буту;

· про аварії, катастрофи, небезпечні природні явища та інші надзвичайні події, які сталися або можуть статися і загрожують безпеці громадян;

· про стан здоров'я населення, його життєвий рівень, включаючи харчування, одяг, житло, медичне обслуговування та соціальне забезпе-чення, а також про соціально-демографічні показники, стан правопорядку, освіти і культури населення;

· про факти порушень прав і свобод людини і громадянина;

· про незаконні дії органів державної влади, органів місцевого самоврядування та їх посадових осіб;

· інша інформація, яка відповідно до законів та міжнародних договорів, згода на обов'язковість яких надана Верховною Радою України, не може бути засекречена.

Комерційна таємниця

Під комерційною таємницею розуміють відомості, що не є держав-ною таємницею, зв'язані з виробництвом, технологіями, фінансами, проце-сами управління та іншою діяльністю організацій чи фірм, розголошення яких може завдати шкоди їх інтересам.

Комерційну таємницю можуть складати відомості, які відносяться до широкого кола питань підприємницької діяльності. Підприємець, що виготовляє чи придбає законним шляхом конфіденційну інформацію, са-мостійно встановлює склад і об'єм відомостей, що відносяться до комер-ційної таємниці, строки, порядок захисту і доступу до неї, правила її вико-ристання та умови передачі іншим особам.

Дуже важливо правильно і вчасно визначити, які відомості слід від-нести до комерційної таємниці. При цьому необхідно врахувати, що коме-рційну таємницю підприємства і підприємця, як правило, не складають ві-домості:

· з установчих документів і статуту;

· з документів, що дають право на підприємницьку діяльність;

· з установлених форм звітності про фінансово-господарську діяльність;

· про ліквідність підприємства;

· про оплату податків і обов'язкових платежів;

· про чисельність, склад працюючих, фонд заробітної плати, умови праці та наявність вільних робочих місць;

· про забруднення навколишнього середовища, порушення анти монопольного законодавства тощо.

До комерційної таємниці відносяться відомості про предмет та умови угод. Значну частину цих відомостей складає інтелектуальна влас-ність, яка звичайно захищається не тільки законодавством про комерційну таємницю, але і законами про власність і авторське право.

Вимоги до захисту інформації

З позицій системного підходу до захисту інформації висуваються певні вимоги. Захист інформації повинен бути:

· безупинним. Ця вимога виникає з того, що зловмисники тільки і шукають можливість, як би обійти захист цікавлячої їхньої інформації;

· плановим. Планування здійснюється шляхом розробки кожною службою детальних планів захисту інформації в сфері її компетенції з урахуванням загальної мети підприємства (організації);

· цілеспрямованим. Захищається те, що повинно захищатися в інтересах конкретної мети, а не все підряд;

· конкретним. Захисту підлягають конкретні дані, об'єктивно підлягаючій охороні, утрата яких може заподіяти організації певний збиток;

· активним. Захищати інформацію необхідно з достатнім ступенем наполегливості;

· надійним. Методи і форми захисту повинні надійно перекривати можливі шляхи неправомірного доступу до охоронюваних секретів, незалежно від форми їхнього представлення, мови вираження і виду фізичного носія, на якому вони закріплені;

· універсальним. Вважається, що в залежності від виду каналу витоку або способу несанкціонованого доступу його необхідно перекривати, де б він ні проявився, розумними і достатніми засобами, незалежно від характеру, форми і виду інформації;

· комплексним. Для захисту інформації у всім різноманітті структурних елементів повинні застосовуватися усі види і форми захисту в повному обсязі. Неприпустимо застосовувати лише окремі форми чи технічні засоби. Комплексний характер захисту виникає з того, що захист -- це специфічне явище, що є складною системою нерозривно взаємозв'язаних і взаємозалежних процесів, кожний з який у свою чергу має безліч різних сторін, властивостей, тенденцій.

Вимоги до системи захисту інформації

Закордонний і вітчизняний досвід показує, що для забезпечення виконання настільки багатогранних вимог безпеки система захисту інформації повинна задовольняти таким умовам:

· охоплювати весь технологічний комплекс інформаційної діяльності;

· бути різноманітною за використовуваними засобами, багаторівневою з ієрархічною послідовністю доступу;

· бути відкритою для зміни і доповнення заходів забезпечення безпеки інформації;

· бути нестандартною, різноманітною. Вибираючи засоби захисту не можна розраховувати на непоінформованість зловмисників щодо її можливостей;

· бути простою для технічного обслуговування і зручною для експлуатації користувачами;

· бути надійною. Будь-які несправності технічних засобів є причиною появи неконтрольованих каналів витоку інформації;

· бути комплексною, мати цілісність, що означає, що жодна її частина не може бути вилучена без втрат для всієї системи.

До системи безпеки інформації висуваються також певні вимоги:

· чіткість визначення повноваження і прав користувачів на доступ до визначених видів інформації;

· надання користувачу мінімальних повноважень, необхідних йому для виконання дорученої роботи;

· зведення до мінімуму числа загальних для декількох користувачів засобів захисту;

· облік випадків і спроб несанкціонованого доступу до конфіденційної інформації;

· забезпечення оцінки ступеня конфіденційної інформації;

· забезпечення контролю цілісності засобів захисту і негайне реагування на їхній вихід з ладу.

Види забезпечення системи захисту інформації

Система захисту інформації як будь-яка система повинна мати певні види власного забезпечення, спираючи на які вона буде виконувати свою цільову функцію. Враховуючи це СЗІ може мати:

· правове забезпечення. Сюди входять нормативні документи, положення, інструкції, посібники, вимоги яких є обов'язковими в рамках сфери їхніх дій;

· організаційне забезпечення. Мається на увазі, що реалізація захисту інформації здійснюється визначеними структурними одиницями -- такими, як служба захисту документів; служба режиму, допуску, охорони; служба захисту інформації технічними засобами; інформаційно-аналітична діяльність і ін.;

· апаратне забезпечення. Передбачається широке використання технічних засобів як для захисту інформації, так і для забезпечення діяльності власне СЗІ;

· інформаційне забезпечення. Воно містить у собі зведення, дані, показники, параметри, що лежать в основі рішення задач, що забезпечують функціонування системи. Сюди можуть входити як показники доступу, обліку, збереження, так і системи інформаційного забезпечення розрахункових задач різного характеру, зв'язаних з діяльністю служби забезпечення безпеки;

· програмне забезпечення. До нього відносяться різні інформаційні, облікові, статистичні і розрахункові програми, що забезпечують оцінку наявності і небезпеки різних каналів витоку і шляхів несанкціонованого проникнення до джерел конфіденційної інформації;

· математичне забезпечення. Припускає використання математичних методів для різних розрахунків, зв'язаних з оцінкою небезпеки технічних засобів зловмисників, зон і норм необхідного захисту;

· лінгвістичне забезпечення. Сукупність спеціальних мовних засобів спілкування фахівців і користувачів у сфері захисту інформації;

· нормативно-методичне забезпечення. Сюди входять норми і регламенти діяльності органів, служб, засобів, що реалізують функції захисту інформації, різного роду методики, що забезпечують діяльність користувачів при виконанні своєї роботи в умовах твердих вимог захисту інформації.

Задовольнити сучасні вимоги щодо забезпечення безпеки підприємства може тільки система безпеки.

Система безпеки - це організована сукупність спеціальних установ, служб, засобів, методів і заходів, що забезпечують захист життєво важливих інтересів особистості, підприємства і держави від внутрішніх і зовнішніх загроз.

Як і будь-яка система, система інформаційної безпеки має свої мету, задачі, методи і засоби діяльності, що узгоджуються по місцеві і часу в залежності від умов.

Компоненти концептуальної моделі

Виходячи з означення інформаційної безпеки правомірно визначити загрози безпеці інформації, джерела цих загроз, способи їхньої реалізації і мету, а також інші умови і дії, що порушують безпеку. При цьому, варто розглядати і заходи захисту інформації від неправомірних дій, що призводять до збитку.

Для аналізу такого значного набору джерел, об'єктів і дій доцільно використовувати методи моделювання. При цьому варто враховувати, що модель не копіює оригінал, вона простіше. Модель повинна бути досить загальною, щоб описувати реальні дії з урахуванням їх складності.

Компонентами концептуальної моделі безпеки інформації є:

· об'єкти загроз;

· загрози;

· джерела загроз;

· мета загроз з боку зловмисників;

· джерела інформації;

· способи неправомірного оволодіння конфіденційною інформацією;

· напрямку захисту інформації;

· способи захисту інформації;

· засоби захисту інформації.

Об'єктом загроз інформаційної безпеки є відомості про склад, стан і діяльність об'єкта захисту (персоналу, матеріальних і фінансових цінностей, інформаційних ресурсів).

Загрози інформації полягають у порушенні її цілісності, конфіденційності, повноти і доступності.

Джерелами загроз є конкуренти, злочинці, адміністративно-управлінські органи.

Джерела загроз мають на меті таке: ознайомлення з відомостями, що охороняються, їхня модифікація в корисливих цілях і знищення для нанесення прямого матеріального збитку.

Джерелами конфіденційної інформації є люди, документи, публікації, технічні носії інформації, технічні засоби забезпечення виробничої і трудової діяльності, продукція і відходи виробництва.

Неправомірне оволодіння конфіденційною інформацією можливо за рахунок її розголошення джерелами повідомлень, за рахунок витоку інформації через технічні засоби і за рахунок несанкціонованого доступу до повідомлень, що охороняються.

Основними напрямками захисту інформації є правовий, організаційний і інженерно-технічний захисти інформації як складові комплексного підходу до забезпечення інформаційної безпеки.

Засобами захисту інформації є фізичні засоби, апаратні засоби, програмні засоби і криптографічні методи. Останні можуть бути реалізовані як апаратним, програмними, так і змішано - програмно-апаратними засобами.

До способів захисту належать усілякі заходи, шляхи, способи і дії, що забезпечують попередження протиправних дій, їхнє запобігання, припинення і протидія несанкціонованому доступу.

Концепція безпеки є основним правовим документом, що визначає захищеність підприємства від внутрішніх і зовнішніх загроз.