Організація захисту інформації в ІС.

Відповідно до ЗУ " Про захист інформації" захист інформації - сукупність організаційно-технічних заходів і правових норм для запобігання заподіянню шкоди інтересам власника інформації чи АС та осіб, які користуються інформацією

Метою захисту інформації є:

- запобігання відтіканню, розкраданню, втраті, перекручуванню, підробці інформації;

- запобігання загрозам безпеки особистості, суспільства, держави;

- запобігання несанкціонованим діям зі знищення модифікації, перекручення, копіювання, блокування інформації; запобігання інших форм незаконного втручання в інформаційні ресурси та інформаційні системи, забезпечення правового режиму документованої інформації як об'єкта власності;

- захист конституційних прав громадян на збереження особистої таємниці та конфіденційності персональних даних, що є в інформаційних системах;

- збереження державної таємниці, конфіденційності документованої інформації згідно з законодавством;

- забезпечення прав суб'єктів в інформаційних процесах при розробці, виробництві та застосуванні інформаційних систем, технологій та засобів їх забезпечення.

Інформаційна безпека – це стан захищеності інформаційного середовища та інформаційних ресурсів суспільства, який забезпечує їхнє формування використання і розвиток в інтересах юридичних і фізичних осіб та держави.

Як і всякий продукт, інформація має споживачів, яким вона необхідна, і тому володіє певними споживчими якостями, а також має своїх власників чи виробників.

З точки зору споживача якість інформації, що використовується, дає змогу отримати додатковий економічний або моральний ефект.

З точки зору власника – збереження у таємниці комерційно важливої інформації дає змогу успішно конкурувати на ринках виробництва і збуту товарів і послуг, що вимагає певних дій, спрямованих на захист конфіденційної інформації.

Задовольнити сучасним вимогам з забезпечення безпеки об’єкта управління і захисту його конфіденційної інформації може лише система безпеки.

З позиції системного підходу до захисту інформації ставляться певні вимоги. Захист інформації повинен бути:

- неперервним. Ця вимога випливає з того, що зловмисники шукають як обійти захист необхідної їм інформації;

- плановий. Планування здійснюється шляхом розробки кожною службою детальних планів захисту інформації в сфері її компетенції з врахуванням загальної мети об’єкти управління;

- цілеспрямований. Захищаються тільки ті інформаційні ресурси, які повинні захищатися в інтересах конкретної мети;

- конкретний. Захисту підлягають тільки ті інформаційні ресурси, які об’єктивно підлягають захисту, втрата яких може завдати об’єкту управління шкоди;

- надійний. Методи і форми захисту повинні надійно перекривати можливі шляхи неправомірного доступу до таємниць, які оберігаються, незалежно від форми їх представлення, мови вираження і виду фізичного носія, на якому вони зберігаються;

- універсальний. Вважається, що залежно від каналу витоку або способу несанкціонованого доступу до інформації його необхідно перекривати ефективними і достатніми засобами, незалежно від характеру, форми і вигляду інформації;

- комплексним. Для захисту інформаційних ресурсів в усьому різноманітті структурних елементів повинні застосовуватись усі види і форми захисту у повному обсязі. Недопустимо застосовувати лише окремі форми або технічні засоби. Комплексний характер захисту випливає з того, що захист – це специфічне явище, яке являє собою складну систему нерозривно взаємопов’язаних і взаємонезалежних процесів, кожний з яких в свою чергу має багато різних сторін, властивостей і тенденцій, що взаємообумовлюють одна одну

Під системою безпеки розуміють організовану сукупність спеціальних органів, служб, засобів, методів і заходів, які забезпечують захист життєво важливих інтересів особистостей, об’єктів управління і держави в цілому від зовнішніх і внутрішніх загроз (рис. 1).

Як і будь-яка система, система інформаційної безпеки має свої цілі, задачі, методи і засоби діяльності, які узгоджуються в часі і просторі залежно від умов.

Рис. 1. Завдання та цілі системи безпеки

Для забезпечення захисту інформації в системі створюється комплексна система захисту інформації, яка призначається для захисту інформації від:

§ витоку технічними каналами, до яких належать канали побічних електромагнітних випромінювань і наведень, акустично-електричні та інші канали, що утворюються під впливом фізичних процесів під час функціонування засобів обробки інформації, інших технічних засобів і комунікацій;

§ несанкціонованих дій з інформацією, у тому числі з використанням комп'ютерних вірусів;

§ спеціального впливу на засоби обробки інформації, який здійснюється шляхом формування фізичних полів і сигналів та може призвести до порушення її цілісності та несанкціонованого блокування.

Організація та проведення робіт із захисту інформації в системі здійснюється службою захисту інформації, яка забезпечує визначення вимог до захисту інформації в системі, проектування, розроблення і модернізацію системи захисту, а також виконання робіт з її експлуатації та контролю за станом захищеності інформації

Захист інформації на всіх етапах створення та експлуатації інформаційної системи здійснюється відповідно до розробленого службою захисту інформації плану захисту інформації в системі.

План захисту інформації в системі містить:

o завдання захисту, класифікацію інформації, яка обробляється в системі, опис технології обробки інформації;

o визначення моделі загроз для інформації в системі;

o основні вимоги щодо захисту інформації та правила доступу до неї в системі;

o перелік документів, згідно з якими здійснюється захист інформації в системі;

o перелік і строки виконання робіт службою захисту інформації.

Вимоги до захисту інформації кожної окремої системи встановлюються технічним завданням на створення системи або системи захисту

Концепція безпеки є основним правовим документом, який визначає захищеність об’єкта управління від внутрішніх і зовнішніх загроз.

Під загрозами конфіденційній інформації прийнято розуміти потенційні або реально можливі дії відносно інформаційних ресурсів, які призводять до неправомірного оволодіння відомостями, що охороняються та моральних чи матеріальних збитків.

Захист інформації ведеться для підтримки таких властивостей інформації як:

Цілісність: неможливість модифікації інформації неавторизованим користувачем.

Конфіденційність: інформація не може бути отримана неавторизованим користувачем.

Доступність: полягає в тому, що авторизований користувач може використовувати інформацію відповідно до правил, встановлених політикою безпеки не очікуючи довше заданого (прийнятного) інтервалу часу.

Спостережність: властивість системи, що дозволяє фіксувати діяльність користувачів і процесів, використання пасивних об'єктів, а також однозначно установлювати ідентифікатори причетних до певних подій користувачів і процесів з метою запобігання порушення політики безпеки і/або забезпечення відповідальності за певні дії.

В кінцевому результаті протиправні дії з інформацією приводять до порушення її конфіденційності, цілісності, достовірності і доступності (рис. 2), що у свою чергу приводить до порушення як режиму управління, так і його якості в умовах хибної чи неповної інформації.

Рис. 2. Дії, які приводять до порушення безпеки інформації

Кожна загроза несе за собою певні збитки – моральні або матеріальні, а захист і протидія загрозі покликані знизити їх величину, в ідеалі – повністю, реально – значно або хоча б частково. Але і це вдається не завжди.

Тому необхідно чітко дотримуватися послідовних етапів побудови системи захисту інформації. Виділяють такі основні етапи побудови системи захисту інформації

1) аналіз можливої загрози ІС;

2) розробка систем захисту (планування);

3) реалізація системи захисту

4) супроводження системи захисту.

Етап аналізу можливих загроз ІС потрібний для фіксування на певний момент часу стану ІС (конфігурації апаратних і програмних засобів, технології обробки інформації) і визначення можливих дій на кожний компонент системи. Із всієї множини можливих дій треба вибрати лише ті, які можуть реально відбутися та завдати значної шкоди користувачам і власникам системи.

На етапі планування формується система захисту як єдина сукупність заходів протидії різної природи (шифрування даних, контроль доступу до ресурсів, ідентифікація та автентифікація суб’єктів ІС). Результатом етапу є план захисту – документ, який містить перелік захищених компонентів ІС і можливого впливу на них, вартість захисту інформації, правила обробки інформації та опис розробленої системи захисту інформації.

Сутність етапу реалізації системи захисту інформації полягає у налагодженні та розроблені засобів захисту, необхідних для реалізації зафіксованих в плані захисту правил обробки інформації.

Контрольні запитання

1. Що є важливим фактором розвитку інформаційного середовища у митній справі?
2. Назвіть проблеми від яких залежить майбутнє митної інформації?
3. Які є джерела митної інформації?
4. Дайте визначення митного декларування?
5. Яке положення поширюється на інформацію, що обробляється ЄАІС?
6. На що орієнтована електронна форма декларування?
7. Що розуміють під електронним документом та оригіналом електронного документа?
8. Якими органами визначається порядок електронного документообігу?
9. Шляхом перевірки якого елемента проводиться перевірка цілісності електронного документа?
10. Яких вимог потрібно дотримуватись при зберіганні електронних документів?
11. Що розуміють під електронним цифровим підписом?
12. Назвіть суб'єкти правових відносин у сфері послуг електронного цифрового підпису?
13. У яких випадках електронний цифровий підпис за правовим статусом прирівнюється до власноручного підпису (печатки)?
14. Які завдання та повноваження центрів сертифікації ключів?
15. Який орган виконує функції центрального засвідчувального органу системи електронного цифрового підпису?
16. Розкажіть про організацію інформації в ІС?

Тема 3