Нормативно-методична основа захисту інформації

Перш ніж розробляти документи, які визначають порядок ЗІ, слід визначити загрозу, інформаційні ресурси, які доцільно захищати в першу чергу, і з’ясувати, що саме потрібне для забезпечення їх безпеки. Доцільно звернути увагу на такі питання:

- належність інформації; про інформацію має піклуватися той, кому вона належить;

- визначення важливості інформації; доти, доки не визначено значущість інформації, не слід очікувати проявів належного ставлення до неї;

- значення секретності; питання, пов’язане з бажанням користувачів захищати секретність інформації, та загалом з потребою в ній.

Нормативно-методична документація повинна містити такі моменти захисту інформації:

- які інформаційні ресурси підлягають захисту;

- які програми можна використовувати на службових комп’ютерах;

- що відбувається в разі виявлення нелегальних програм чи даних;

- дисциплінарні стягнення і загальні вказівки про проведення службових розслідувань;

- на кого поширюються правила;

- хто розробляє загальні вказівки;

- хто має право змінювати вказівки;

- точний опис повноважень та привілеїв посадових осіб;

- хто може надавати повноваження та привілеї;

- порядок надання і позбавлення привілеїв у галузі безпеки;

- повнота і порядок звітності про порушення безпеки й злочинної діяльності;

- особливі обов’язки керівництва і службовців щодо забезпечення безпеки;

- пояснення важливості правил, для точнішого їх виконання користувачами;

- дати введення в дію й перегляду;

- хто і яким чином ввів в дію ці правила.

Щоб організувати і забезпечити ефективне використання СЗІ, треба розробити документи, які визначають порядок і правила забезпечення безпеки інформації під час її обробки в ІС, а також документи, які визначають права і обов’язки користувачів у роботі з електронними документами юридичного характеру (договір про організацію обміну електронними документами).

План захисту інформації може містити:

- розкриття призначення ІС;

- перелік розв’язуваних нею завдань;

- конфігурацію;

- характеристики та розміщення технічних засобів і програмного забезпечення;

- перелік категорій інформації, які підлягають захисту в ІС (пакетів, файлів, наборів і баз даних, в яких вони містяться);

- вимоги із забезпечення доступності, конфіденційності, цілісності різних категорій інформації;

- список користувачів та їх повноважень з доступу до ресурсів системи;

- мета захисту системи і шляхи забезпечення безпеки ІС та інформації, яка в ній циркулює;

- перелік загроз безпеки ІС, від яких потрібно захищати, і найбільш імовірні шляхи завдання збитків;

- основні вимоги до організації процесу функціонування ІС та вжиття заходів забезпечення безпеки оброблюваної інформації;

- вимоги до умов застосування і визначення зон відповідальності, установлених у системі технічних засобів захисту від несанкціонованого доступу (НСД);

- основні правила, які регламентують діяльність персоналу з питань забезпечення безпеки ІС (особливі обов’язки посадових осіб ІС);

- мета забезпечення неперервності процесу функціонування ІС, своєчасність поновлення її працездатності і шляхи її досягнення;

- перелік і класифікація можливих кризових ситуацій;

- вимоги, заходи й засоби забезпечення неперервної роботи і поновлення процесу обробки інформації (порядок створення, збереження і використання резервних копій інформації, дублюючих ресурсів та ін.);

- обов’язки і порядок дій різних категорій персоналу системи в кризових ситуаціях щодо ліквідації наслідків цих ситуацій, щодо мінімізації збитків, які завдаються, і поновлення нормального процесу функціонування системи;

- розмежування відповідальності суб’єктів, які беруть участь у процесах обміну електронними документами;

- визначення порядку підготовки, оформлення, передавання, прийому, перевірки дійсності й цілісності електронних документів;

- визначення порядку підготовки, оформлення, передачі, прийому, перевірки дійсності і цілісності електронних документів;

- визначення порядку генерації, сертифікації і поширення ключової інформації (ключів, паролів та ін.);

- визначення порядку розв’язання спірних питань у разі виникнення конфліктів.

Науково-методичну базу захисту інформації можна зобразити як сукупність трьох ієрархічно взаємопов’язаних компонентів такого змісту:

- перший (верхній) рівень – загальнометодологічні принципи формування будь-якої науки, піднесені до рівня світоглядних основ;

- другий (середній) рівень – загальна методологічна база фундаментального напрямку, яка є його складовою гілкою;

- третій (нижній) рівень – методи розв’язання завдань, які враховують специфіку конкретного напряму.

Загальнометодологічними принципами формування науки можна вважати:

- чітке виконання головного завдання науки – виявлення за зовнішніми проявами внутрішніх рухів, які, як правило, є прихованими;

- випереджуюча розробка загальних концепцій розв’язання проблем;

- формування концепцій на основі реальних фактів;

- врахування діалектики взаємозв’язків кількісних і якісних змін у фрагменті дійсності, який вивчається;

- своєчасне видозмінення постановок завдань, які підлягають вивченню;

- радикальна еволюція і реалізація розроблених концепцій;

- максимально можливе структурування компонентів розроблених концепцій і систем;

- уніфікація і типізація пропонованих рішень.

У формуванні структури й змісту другого рівня науково-методологічної бази відправним пунктом має бути переконання, що захист інформації на нинішній час вже виріс в достатньо серйозний самостійний науковий напрямок, який становить одну з гілок фундаментального напрямку інформатики. Тобто першим рівнем захисту інформації має виступати методологічна база інформатики. Мірою розширення фронту розв’язуваних завдань захисту інформації, управління її якістю, інформаційного забезпечення засвоєння інформаційного поля людства та інших завдань дедалі настійливішою стає необхідність накопичення, збереження та аналітико-синтетичної переробки надвеликих обсягів інформації, яка характеризується підвищеним рівнем невизначеності й суперечливості. Сучасні методи й засоби не цілком задовольняють цим потребам навіть за нинішнього стану розв’язання відповідних завдань.

Третій рівень науково-методологічної бази захисту інформації становлять методи й моделі безпосереднього розв’язання завдань. З теорії систем відомо, що всі завдання, пов’язані з вивченням, створенням, організацією і функціонуванням великих систем, поділяються на три класи:

1) аналіз, який полягає у визначенні поточних і прогнозуванні майбутніх значень і характеристик дослідницьких систем, що викликають інтерес;

2) синтез, який полягає в проектуванні систем та їх компонентів, котрі є оптимальними за заданої сукупності критеріїв;

3) Управління, яке полягає у визначенні оптимальних управлінських дій, потреба в яких може виникнути в процесі функціонування систем.

З вищенаведеного випливає висновок, що основи науково-методологічної бази захисту інформації на сьогодні існують, але вони потребують серйозного розвитку, передусім у напрямку пристосування до адекватного врахування неформальних факторів. Тобто є підстави стверджувати про наявність передумов успішного розв’язання цього завдання.