Зміст
Передмова 5
1. ПРЕДМЕТ ЗАХИСТУ
Вступ 7
Визначення та загальні властивості інформації 9
Цінність та класифікація інформації 10
Інформація як об'єкт власності 14
Інформація як комерційна таємниця 16
Проблеми захисту інформації 18
Державна політика забезпечення інформаційної безпеки 26
Законодавчі акти і нормативні документи щодо ЗІ 33
2. ОРГАНІЗАЦІЙНО-ТЕХНІЧНІ ЗАХОДИ ЩОДО ЗАБЕЗПЕЧЕННЯЗАХИСТУ ІНФОРМАЦІЇ
Класифікація засобів забезпечення безпеки АС 38
Організаційні заходи 39
Служба безпеки 42
Технічне забезпечення безпеки інформації 47
Технічні канали витоку інформації 49
Охоронні системи 52
Захист машинних носіїв інформації 57
3. ЗАХИСТ ІНФОРМАЦІЇ ВІД НЕСАНКЦІОНОВАНОГО ДОСТУПУ
Методи та види НСД 62
Канали витоку інформації 65
Поняття загрози інформації 68
Моделі загроз та порушника 70
Причини порушення безпеки 76
4. ПОЛІТИКА БЕЗПЕКИ
Поняття політики безпеки 79
Види політик безпеки , 85
5. МЕХАНІЗМИ ЗАХИСТУ ІНФОРМАЦІЇ ВІД НСД
Керування доступом 91
Ідентифікація та автентифікація 94
Вступ до криптології 108
6. ОКРЕМІ ПИТАННЯ ЗАХИСТУ ІНФОРМАЦІЇ ВІД НСД
Особливості ЗІ від НСД в локальних обчислювальнихмережах 126
ЗІ від НСД в базах даних 129
Особливості ЗІ від НСД при організації парольного захисту 131
ЗІ при організації конфіденційного зв'язку 136
Захист програмного забезпечення 137
7. ПОБУДОВА ЗАХИЩЕНИХ АС
Організаційні принципи побудови СЗІ 141
Принципи реалізації СЗІ 142
Методи побудови захищених АС 145
Передпроектні аспекти створення СЗІ 151
Забезпечення режиму Ш на подальших стадіях створення АС... 154
Аналіз захищеності інформації в СЗІ 162
8. ВСТУП ДО ТЕОРІЇ ЗАХИСТУ ІНФОРМАЦІЇ
Проблеми теорії захисту інформації 172
Допоміжні поняття 175
Ієрархічний метод 180
Потоки і цінність інформації 184
Доказовий підхід 188
Приклад гарантовано захищеної АС 189
Моделі безпеки систем 198
Загальні моделі 208
9. СТАНДАРТИ ІЗ ЗАХИСТУ ІНФОРМАЦІЇ
Проблеми створення стандартів із ЗІ 219
Огляд стандартів із захисту інформації 222
Державний стандарт (Критерії) України із ЗІ 232
Список літератури 242
Передмова
У сучасному суспільстві у зв'язку з дедалі більшими потребами людини виникають проблеми інформаційного забезпечення усіх сфер її діяльності, тобто надання всієї необхідної інформації. Є підстави вважати, що за своєю значимістю та актуальністю проблема інформатизації є найважливішою для сучасного суспільства. Однак вона породжує цілий ряд серйозних супутніх проблем, без вирішення яких немає ефективної інформатизації.
Однією з таких супутніх проблем є надійний захист інформації, що циркулює в системах обробки інформації, який забезпечував би попередження перекручення або знищення інформації, а також унеможливлював би її зловмисне отримання, використання або несанкціоновану модифікацію. Особливої гостроти ця проблема набуває у зв'язку з повсюдною та масовою комп'ютеризацією інформаційних процесів, і насамперед у зв'язку з об'єднанням комп'ютерів в інформаційно-обчислювальні мережі, що забезпечує масовий доступ будь-яких користувачів до їх ресурсів.
Однією з найважливіших проблем забезпечення інформаційної безпеки безперечно слід вважати підготовку кваліфікованих фахівців з інформаційної безпеки. Нагальна потреба у підготовці кадрів із захисту інформації вимагає введення відповідних курсів у навчальних закладах України.
Отже, в навчальні плани підготовки всіх фахівців, діяльність яких пов'язана з інформаційними процесами, має включатися дисципліна «Захист інформації». її слід віднести до циклу спеціальних і до блоку дисциплін, що узагальнюють підготовку студентів із інформаційної безпеки обчислювальних систем та мереж ЕОМ. Потрібно також підкреслити, що сьогодні ще триває процес становлення загальної системи навчання інформаційній безпеці в Україні і для цього, звичайно, необхідна відповідна матеріальна база.
Цей навчальний посібник створено на основі курсів лекцій, які автор читав у Національному університеті «Києво-Могилянська академія» та у Фізико-технічному інституті Національного технічного університету «КПІ». Саме у Фізико-технічному інституті, де кілька років тому було започатковано курс «Основи захисту інформації», виникли основні ідеї щодо змісту посібника.
Посібник є вступом до курсу інформаційної безпеки. Отже, розглянуті в ньому загальні питання є лише необхідною умовою для оволодіння складною наукою захисту інформації. Видається, що знання основних принципів організації захисту, а також особистий досвід дозволять суттєво полегшити подальше ґрунтовне вивчення багатьох питань інформаційної безпеки. Звичайно, тут не ставилося завдання детально висвітлити всі проблеми захисту інформації. Основна мета - доступно дати відповідь на запитання - що таке захист інформації, які основні складові входять до цього поняття.
У посібнику, зокрема, розкриваються властивості предмета захисту -інформації, а також основні принципи державної політики з інформаційної безпеки. Розглянуто питання організаційно-технічного захисту сучасних автоматизованих систем, основні механізми захисту від несанкціонованого доступу до інформації. Детально розглядається фундаментальне поняття інформаційної безпеки - політика безпеки. Висвітлено також окремі специфічні питання захисту інформації, основні поняття теорії інформаційної безпеки, проблеми стандартів із захисту інформації.
Матеріал посібника ґрунтується на багатьох джерелах - хоча здається, що зараз їх є достатньо, однак у більшості з них висвітлено лише окремі проблеми даного предмета. Звичайно, багато цікавих питань залишилося за межами посібника.
Увесь матеріал викладається відповідно до вимог національних нормативно-законодавчих актів і документів України щодо захисту інформації від несанкціонованого доступу.

У цьому розділі розглянуто основні властивості інформації, проблеми її захисту і державну політику з інформаційної безпеки.
1.1. Вступ
Забезпечення безпечної діяльності необхідне для будь-яких підприємств і установ, починаючи від державних організацій і закінчуючи маленькою яткою, що займається роздрібною торгівлею. Різниця полягатиме лише в тому, які засоби і методи й у якому обсязі будуть потрібні для забезпечення їх безпеки.
Перш ніж приступити до аналізу сучасного стану проблеми інформаційної безпеки, розглянемо проблеми безпеки взагалі. Спочатку необхідно визначити, що підлягає захисту і якими основними принципами слід керуватися при організації захисту. За сформованою історичною та міжнародною практикою безпеки об'єктами захисту з урахуванням їх пріоритетів є:
особа;
інформація;
матеріальні цінності.
Якщо пріоритет збереження безпеки особи є природним, то пріоритет інформації над матеріальними цінностями вимагає більш докладного розгляду. Це стосується не тільки інформації, що становить державну чи комерційну таємницю, а й відкритої інформації.
Ринкові відносини з їх невід'ємною частиною - конкуренцією обов'язково вимагають протидії зовнішнім і внутрішнім впливам. Об'єкти захисту більшою чи меншою мірою, залежно від цілей зловмисника (ЗЛ) і від конкретних умов, можуть зазнавати різних нападів чи загроз опинитися в ситуації, в якій вони з об'єктивних причин наражаються на небезпеку.
Поняття «безпечна діяльність» будь-якого підприємства чи організації включає:
фізичну безпеку, під якою розуміється забезпечення захистувід загрози життю людей;
економічну безпеку;
інформаційну безпеку (ІБ);
4) матеріальну безпеку, тобто збереження матеріальних цінностей від усякого роду загроз - починаючи від їх крадіжок і закінчуючи загрозами пожежі та інших стихійних лих.
Не зупиняючись детально на загрозах фізичної і матеріальної безпеки, відзначимо тісний зв'язок між економічною та інформаційною безпекою.
Як вважають західні фахівці, витік 20 % комерційної інформації в 60 випадках зі 100 призводить до банкрутства фірми. Жодна, навіть процвітаюча фірма не проіснує більш як три доби, якщо її інформація, що становить комерційну таємницю, стане відомою. Таким чином, економічна та інформаційна безпека виявляються тісно взаємозалежними.
Зменшення загрози для економічної діяльності будь-якої організації передбачає одержання інформації про конкурентів. Тому, цілком природно, зменшення даної загрози для одних організацій спричиняє збільшення загрози економічній діяльності інших організацій. Це стало можливим через наявність промислового, і зокрема економічного, шпигунства.
Збитки від діяльності конкурентів, які використовують методи шпигунства, становлять у світі до 30 % усього збитку, а це мільярди доларів. Точну цифру збитків указати не можна в принципі внаслідок того, що ні ЗЛ, ні потерпілі не прагнуть оприлюднювати інформацію про скоєне. Перші, мабуть, через страх відповідальності за вчинене, а другі - через страх зіпсувати імідж. Цим пояснюється високий рівень латентності правопорушень і відсутність повідомлень про них у засобах масової інформації. Тому до публіки доходить інформація про менш як 1 % від усіх випадків порушень, що мають кримінальний характер і які приховати неможливо.
Таким чином, завдання безпеки будь-яких видів доводиться вирішувати щоразу при розгляді різноманітних аспектів людської діяльності. Але, як бачимо, всі види безпеки тісно пов'язані з ІБ, і, більше того, їх неможливо забезпечити без забезпечення ІБ. Отже, предметом нашого подальшого розгляду буде саме ІБ.
Зробимо зауваження з приводу термінології. На сьогоднішній день термінологія щодо ІБ в основному розроблена, хоча цей процес триває досі. Найбільш поширені і необхідні терміни зафіксовані в Українському стандарті з технічного захисту інформації [17-20]. Тому, звичайно, далі слідуємо саме йому.
Отже, згідно з [8], безпека інформації (ІБ) (information security) - стан інформації, у якому забезпечується збереження визначених політикою безпеки властивостей інформації. Автоматизована система (АС) - це організаційно-технічна система, що об'єднує обчислювальну систему, фізичне середовище, персонал і оброблювану інформацію. Захист інформації в АС (information protection, information security, computer system security) - діяльність, яка спрямована на забезпечення безпеки оброблюваної в АС інформації та АС у цілому і дозволяє запобігти або ускладнити можливість реалізації загроз, а також знизити величину потенційних збитків унаслідок реалізації загроз. Комплексна система захисту інформації (КСЗІ) - сукупність організаційних і інженерних заходів, програмно-апаратних засобів, які забезпечують захист інформації в АС. Інші терміни та поняття будуть вводитися та визначатися мірою потреби.
1.2. Визначення та загальні властивості інформації
Інформація - це результат відображення та обробки в людській свідомості різноманіття навколишнього світу, відомостей про предмети, що оточують людину, явища природи, діяльність інших людей і т. п. [1].
З такого визначення випливає, що будь-яка інформація може бути важливою. Однак якщо обмежитися поняттям комп'ютерної системи (КС), що зараз дуже актуально, то можна дати більш просте визначення інформації - це все, що може бути представлене в КС. Відразу ж виникає питання про форми та види представлення інформації в КС.
Звичайно виділяють такі види представлення інформації, як букви, символи, цифри, слова, тексти, малюнки, схеми, формули, графіки, таблиці, плани, креслення, алгоритми і т. п. З цих видів можуть створюватися більш складні види та структури представлення інформації: команди, повідомлення, довідки, рішення, інструкції, масиви, файли, томи і т. п.
Інформація, що втілена і зафіксована в певній матеріальній формі, називається повідомленням. Повідомлення можуть бути безперервними (аналоговими) і дискретними (цифровими).
Безперервне повідомлення представляється деякою фізичною величиною (електричною напругою, струмом і т. д.), зміни якої відображають перебіг певного процесу. Фізична величина, що передає безперервне повідомлення, може набувати будь-яких значень і змінюватися в довільні моменти часу. Таким чином, у безперервному повідомленні скінченої довжини може міститися велика кількість інформації.
Для дискретних повідомлень характерна наявність фіксованого набору окремих елементів, з яких у дискретні моменти часу формуються різні послідовності елементів. Важливою є не фізична природа елементів, а те, що набір елементів скінчений, і тому будь-яке дискретне повідомлення скінченої довжини передає скінчене число значень деякої величини, а отже, кількість інформації в такому повідомленні скінчена. При дискретній формі представлення інформації окремим елементам її можуть бути присвоєні числові (цифрові) значення. У таких випадках маємо цифрову інформацію.
Елементи, з яких складається дискретне повідомлення, називають буквами чи символами. Набір цих букв (символів) утворює алфавіт. Число символів в алфавіті називається об'ємом алфавіту. Дискретне повідомлення можна розбити на групи символів, що називаються словами. Зі слів можуть формуватися більш складні структури (записи, файли, томи і т. п.), але тут ці поняття не розглядаються, тому що не є істотними для подальшого розгляду. Зауважимо лише, що найбільш простим є двійковий алфавіт.
Звичайно в КС інформація представляється двійковим алфавітом, що фізично реалізується сигналом, здатним приймати два добре помітних значення, наприклад електричну напругу високого і низького рівня, протилежні значення напруженості магнітного поля і т. п. Найважливішою вимогою до фізичних аналогів двійкового алфавіту є можливість надійного розпізнавання двох різних значень сигналу, що при описі функціонування схем позначають символами 0 (нуль) і 1 (одиниця).
Інформація в КС піддається різним процесам: введення, збереження, обробка, виведення.
Введення інформації у КС може здійснюватися з перфокарт, перфострічок, магнітних стрічок, барабанів, дисків, дискет, клавіатури, спеціальних пультів і т. п. Збереження інформації здійснюється на запам'ятовуючих пристроях - оперативних запам'ятовуючих пристроях, різних регістрах пам'яті, магнітних стрічках, барабанах, дисках, дискетах і т. п. Обробляється у КС інформація відповідно до прийнятого в даній системі порядку (ОС, ПЗ і т. п.). Для виведення інформації є багато каналів (візуальний, звуковий, друк та ін.).
Найбільш загальними інформаційними процесами, що відбуваються в АСОД, є такі:
інформаційно-довідкове забезпечення;
інформаційне забезпечення задач;
обслуговування інформаційних баз.
Усі вони реалізуються персоналом за допомогою апаратних засобів, ПЗ та інформаційних баз АСОД.
1.3. Цінність та класифікація інформації
Крім представлення в КС, цікаво і важливо подивитися на інформацію з інших точок зору. Зокрема, виявляється, що інформація - це товар і, отже, є об'єктом товарних відносин. В Україні інформаційні відносини регулюються кількома законами, у тому числі і Законом «Про інформацію» [21]. Зокрема, у цьому законі в статті 18 подано класифікацію видів інформації:
статистична інформація;
масова інформація;
інформація про діяльність державних органів влади й органів місцевого і регіонального самоврядування;
правова інформація;
інформація про особу;
інформація довідково-енциклопедичного характеру;
соціологічна інформація.
Оскільки інформацію можна продати, купити, імпортувати, фальсифікувати, украсти і т. д., то з цього випливає, що вона повинна якимось чином оцінюватися. Далі, інформація, якою обмінюється людина через машину з іншою людиною чи машиною, може бути важливою і, отже, є предметом захисту. Однак захисту підлягає не будь-яка інформація, а тільки та, котра має ціну, тобто цінна інформація. Цінною ж стає та інформація, володіння якою дасть змогу її дійсному чи потенційному власнику одержати який-небудь виграш: моральний, матеріальний, політичний і т. д. Оскільки в суспільстві завжди існують люди, які бажають мати якісь переваги над іншими, то у них може виникнути бажання незаконним шляхом одержати цінну інформацію, а в її власника виникає необхідність її захищати. Цінність інформації є критерієм при прийнятті будь-якого рішення про її захист. Хоча було багато різних спроб формалізувати процес оцінки інформації з використанням методів теорії інформації та аналізу рішень, цей процес залишається дуже суб'єктивним.
Для оцінки потрібен розподіл інформації на категорії не тільки відповідно до її цінності, а й за важливістю. За рівнем важливості можна розділити інформацію на категорії таким чином:
життєво важлива незамінна інформація, наявність якої необхідна для функціонування системи;
важлива інформація - інформація, що може бути замінена чи відновлена, але процес її відновлення важкий і пов'язаний з великими витратами;
корисна інформація - інформація, яку важко відновити, однак система може досить ефективно функціонувати і без неї;
несуттєва інформація - інформація, без якої система продовжує існувати.
Хоча здається, що такий розподіл легко застосовувати, на практиці віднесення інформації до однієї з цих категорій може являти собою дуже важке завдання, тому що та сама інформація може бути використана багатьма підрозділами систем, кожний з яких може віднести цю інформацію до різних категорій важливості. Категорія важливості, як і цінність інформації, звичайно змінюється з часом і залежить від рівня її значущості для різних груп споживачів і потенційних порушників.
Існують визначення груп осіб, пов'язаних з обробкою інформації: власник - організація чи особа, що володіє інформацією; джерело -організація чи особа, що постачає інформацію; ЗЛ - організація чи особа, що прагне незаконно одержати інформацію. Для цих груп значущість однієї і тієї ж інформації може бути різною. Наприклад:
оперативна інформація деякого підприємства (список замовленьна даний тиждень і графік виробництва) важлива для власника,а для джерела (замовника) чи порушника не має цінності;
інформація про перспективи розвитку ринку може бути важливою для порушника, а для джерела чи власника, що завершили її аналіз, уже неважлива.
Наведені категорії важливості цілком узгоджуються з існуючим принципом розподілу інформації за рівнями таємності (або секретності). Рівень таємності - це адміністративні чи законодавчі заходи, що відповідають мірі відповідальності особи за витік конкретної інформації, регламентованої спеціальними документами, з урахуванням державних, воєнно-стратегічних, комерційних, службових чи особистих інтересів. Такою інформацією може бути державна, військова, комерційна, службова чи особиста таємниця. Рівень таємності визначається грифом, що присвоюється тій чи іншій інформації. В Україні в державних структурах встановлено такі рівні (грифи) таємності [24]: несекретно, для службового користування, таємно, цілком таємно (Н, ДСК, Т, ЦТ). Аналогічна термінологія існує в більшості країн світу: unclassified, confidential, secret, top secret (U, С, S, TS). Така класифікація дає можливість визначити просту лінійну порядкову шкалу цінності інформації: Н < ДСК <Т<ЦТ(U < С < S < TS). За цією шкалою відразу видно, до якої категорії інформації необхідно висувати більш високі вимоги щодо її захисту.
Слід, однак, додати, що, як показала практика, у багатьох випадках захищати потрібно не тільки секретну інформацію. І несекретна інформація, що піддана несанкціонованим ознайомленням чи модифікації, може привести до витоку чи втрати пов'язаної з нею секретної інформації, а також до невиконання АС функцій обробки секретної інформації. Існує також можливість витоку секретної інформації шляхом аналізу сукупності несекретних відомостей. Усе це лише підтверджує тезу про складність класифікації інформації, яку необхідно захищати.
Як було раніше зазначено, останнім часом інформація стала найважливішим ресурсом, випереджаючи за важливістю навіть сировинні та енергетичні ресурси. Але для ефективного її використання необхідно вміти оцінювати значимість її для виконання відповідної діяльності, тобто оцінювати інформацію як об'єкт праці. Для такої оцінки необхідні показники двох видів [3]:
1) що характеризують інформацію як ресурс для забезпеченняпроцесу отримання розв'язків різноманітних задач;
2) що характеризують інформацію як об'єкт звичайної праці.
Зміст показників першого виду визначається важливістю інформації в процесі розв'язання задач, а також кількістю і складом інформації, яка використовується. Під кількістю інформації тут розуміється об'єм відомостей, які використовуються в процесі розв'язання задач, причому не абсолютний їх об'єм, а їх достатність для інформаційного забезпечення конкретних задач, їх адекватність задачам. Отже, показники першого виду можуть бути такими:
важливість - це узагальнений показник, який характеризуєзначимість інформації з точки зору задач, для яких вона використовується, а також із точки зору організації її обробки. Тут оцінка може здійснюватися за: важливістю самих задач для даної діяльності; ступенем важливості інформації для ефективного виконання відповідних завдань; рівнем витрат при небажаних змінах інформації; рівнем витрат на відновлення порушень інформації. Слід зазначити, що для деяких видів інформації важливість можна досить точно оцінюватиза так званим коефіцієнтом важливості, обчислення якого здійснюється на основі математичних, лінгвістичних або неформально-евристичних моделей;
повнота - це показник, що характеризує міру достатності інформації для розв'язання відповідної задачі. Для кількісного вираження цього показника також відомі формальні і неформальні моделі обчислення коефіцієнта повноти;
адекватність - це ступінь відповідності інформації дійсному стану тих об'єктів, які вона відображає. Адекватність залежить від об'єктивності генерування інформації про об'єкт, а також від тривалості часу між моментом генерування та моментом оцінки адекватності. Зазначимо, що для оцінки адекватності також відомі формальні і неформальні підходи, які дозволяють отримати її кількісні оцінки;
релевантність - це показник, що характеризує відповідність її потребам задачі, яка розв'язується. Відомий коефіцієнт релевантності - це відношення обсягу релевантної інформації до загального її обсягу. Існують моделі його обчислення;
толерантність - показник, що характеризує зручність сприйняття та використання інформації в процесі розв'язання відповідної задачі. Це поняття є дуже широким, невизначеним і суб'єктивним, а отже, формальних методів його оцінки поки що немає.
Якщо повернутися до показників другого виду, то слід зазначити, що для них інформація виступає як:
сировина, яку добувають та обробляють;
напівфабрикат, що виникає в процесі обробки сировини;
продукт для використання.
Тобто тут маємо звичайний виробничий ланцюжок: добування сировини - переробка для отримання напівфабрикатів - їх переробка для отримання кінцевого продукту. Нагадаємо, що при цьому всі стадії переробки інформації мають задовольняти показники першого виду. Зрозуміло, що тут найбільш важливими є форма або спосіб представлення інформації, а також її об'єм. Отже, як показники другого виду можуть виступати: 1) спосіб або система кодування інформації, тобто ефективність кодування; 2) об'єм кодів, що відображають дану інформацію. Відзначимо, що методи визначення цих показників досить повно розроблені в теорії інформації.
Таким чином, необхідний рівень захисту інформації слід визначати з урахуванням значень усіх розглянутих вище показників, а також грифів таємності.
Насамкінець звернемо увагу на-розбіжність між визначеною вище таємністю і безпекою інформації [8]. Безпека інформації - це захист інформації від негативних впливів на неї, і вона має відношення до технологічних процедур забезпечення захисту. Таємність інформації -це статус інформації, який фіксується залежно від її важливості і вимагає певного рівня її захищеності. Отже, це поняття має відношення до людей, окремих осіб, які відповідають за інформацію і вирішують, яку інформацію можна розкрити, а яку приховати від інших людей.
1.4. Інформація як об'єкт власності
Фактично сфера безпеки інформації - не захист інформації, а захист прав власності на неї. Щоб переконатися в цьому, розглянемо особливості інформаційної власності.
Історично традиційним об'єктом права власності є матеріальний об'єкт, а це означає, що фактично право власності було речовим правом.
Інформація ж не є матеріальним об'єктом, інформація - це знання, тобто відображення дійсності у свідомості людини (причому правильне чи помилкове відображення - неістотно, важливо, що у свідомості). І тільки згодом інформація може втілюватися в матеріальні об'єкти навколишнього світу. Однак не будучи матеріальним об'єктом, інформація нерозривно пов'язана з матеріальним носієм: це - мозок людини чи відчужені від людини матеріальні носії, такі як книга, дискета та інші види «пам'яті» (запам'ятовуючі пристрої).
Можливо, з філософської точки зору можна говорити про інформацію як про деяку абстрактну субстанцію, що існує сама по собі. Але з конкретної, матеріальної точки зору ні збереження, ні передача інформації поки що без матеріального носія неможливі. Унаслідок цього можна сформулювати такі особливості інформації як об'єкта власності.
Інформація як об'єкт права власності може копіюватися (тиражуватися) за допомогою матеріального носія. Матеріальний об'єкт права власності, як відомо, копіювати неможливо (принаймні поки що). Справді, якщо розглянути дві однакові речі (одяг, автомобіль тощо), то вони складаються з однакових структур, але все-таки вони різні (чим детальніше їх розглядати, тим більше вони будуть розрізнятися). Тим часом інформація при копіюванні залишається тою ж, це те саме знання.
Інформація як об'єкт права власності легко переміщується до іншого суб'єкта права власності без очевидного (принаймні помітного) порушення права власності на інформацію. Переміщення ж матеріального об'єкта від одного суб'єкта (без його згоди) до іншого неминуче спричиняє втрату первісним суб'єктом права власності на цей об'єкт, тобто відбувається очевидне порушення його права власності.
3. Небезпека копіювання і переміщення інформації збільшується тим, що вона, як правило, відчужувана від власника, тобто зберігається та обробляється в сфері доступності великого числа суб'єктів, що не є суб'єктами права власності на цю інформацію (автоматизовані системи, мережі ЕОМ і т. п.).
Крім відзначених особливостей інформації як об'єкта власності в іншому, мабуть, вона нічим не відрізняється від традиційних об'єктів права власності.
Справді, право власності, як відомо, включає три правомочності власника, що становлять у цілому зміст права власності: право розпоряджання, право володіння, право користування. Стосовно інформації можна сказати, що суб'єкт права власності на інформацію може передати частину своїх прав (право розпоряджання), не втрачаючи їх сам, іншим суб'єктам, наприклад власнику матеріального носія інформації (це - володіння чи користування) чи користувачу (це -користування і, можливо, володіння).
Для інформації право розпоряджання передбачає виключне право (ніхто інший, крім власника) визначати, кому ця інформація може бути надана (у володіння чи користування). Право володіння передбачає володіння цією інформацією в незмінному вигляді. Право користування передбачає право використовувати цю інформацію у своїх інтересах.
Таким чином, до інформації, крім суб'єкта права власності на неї, можуть мати доступ і інші суб'єкти права власності як законно, санкціоновано, так і (внаслідок відзначених вище особливостей) незаконно, несанкціоновано. Тому виникає дуже складна система взаємин між різними суб'єктами права власності. Ці взаємини повинні регулюватися та охоронятися, тому що відхилення від них тягнуть порушення прав власності на цю інформацію. Реалізацією права власності на інформацію звичайно займається певна інфраструктура (державна чи приватна).
Як і для будь-якого іншого об'єкта власності, для інформації така інфраструктура складається з ланцюжка: законодавча влада - судова влада - виконавча влада (закон - суд - покарання). Тому, незважаючи на ряд особливостей, інформація поряд з матеріальними об'єктами може і повинна розглядатися законом як об'єкт права власності.
Будь-який закон про власність з метою захисту прав власника, зафіксувавши суб'єкти та об'єкти права власності, повинен регулювати відносини між ними. Особливості регулювання цих відносин залежать від специфіки об'єктів права власності. У випадку інформаційної власності закон повинен регулювати відносини суб'єктів, а також суб'єктів і об'єктів права власності на інформацію з метою захисту прав як власника, так і законних власників і користувачів інформації для захисту інформаційної власності від розголошення, витоку, обробки (копіювання, модифікації чи знищення) інформації.
В Україні прийнято закони «Про інформацію» і «Про захист інформації в автоматизованих системах» [21, 23]. У першому законі в статті 39 установлено, що інформаційна продукція та інформаційні послуги громадян і юридичних осіб, що займаються інформаційною діяльністю, можуть бути об'єктами товарних відносин, регульованих цивільним і іншим законодавством. Інакше кажучи, інформація - це товар. Інформаційна продукція (стаття 40) - це матеріалізований результат інформаційної діяльності, призначений для задоволення інформаційних потреб громадян, державних органів, підприємств, закладів і організацій. Інформаційна послуга (стаття 41) - це здійснення у визначеній законом формі інформаційної діяльності з доставки інформаційної продукції до споживачів з метою задоволення їхніх інформаційних потреб.
1.5. Інформація як комерційна таємниця
Поняття «комерційної таємниці» у нашій країні поки що в законодавчих актах не визначено. Для розуміння цього поняття подамо його визначення, що використовується в нормативних актах інших країн. Зокрема, у статті 33 закону «Про підприємства в СРСР» від 1 січня 1991 року дається таке визначення:
«1. Під комерційною таємницею підприємства розуміються відомості, що не є державними секретами і пов'язані з виробництвом, технологією, керуванням, фінансами та іншою діяльністю підприємства, розголошення (передача, витік) яких може завдати шкоди його інтересам.
2. Склад і обсяг відомостей, що становлять комерційну таємницю, визначаються керівником підприємства».
Які саме відомості можуть вважатися комерційною таємницею? Наприклад, 5 грудня 1991 року уряд Росії прийняв постанову № 35 «Про перелік відомостей, що можуть становити комерційну таємницю». В основному перелік подібних відомостей відомий із законів про банківську діяльність в інших країнах. Проте для прикладу наведемо перелік відомостей із згаданої постанови, у якому вони групуються за тематичним принципом. Звичайно, відомості, що включені в даний перелік, можуть бути комерційною таємницею тільки з урахуванням особливостей конкретного підприємства (організації). 1. Відомості про фінансову діяльність:
прибуток, кредити, товарообіг;
фінансові звіти і прогнози;
комерційні задуми;
фонд заробітної плати;
вартість основних і оборотних коштів;
кредитні умови платежу;
банківські рахунки;
планові і звітні калькуляції.
2. Інформація про ринок:
ціни, знижки, умови договорів, специфікації продуктів;
обсяг, історія, тенденції виробництва і прогноз для конкретного продукту;
ринкова політика і плани;
маркетинг і стратегія цін;
відносини зі споживачами і репутація;
чисельність і розміщення торгових агентів;
канали і методи збуту;
політика збуту;
програма реклами.
3. Відомості про виробництво і продукцію:
відомості про технічний рівень, техніко-економічні характеристики виробів, що розробляються;
відомості про плановані терміни створення розроблюваних виробів;
відомості про модифікацію і модернізацію раніше відомих технологій, процесів, устаткування;
виробничі потужності;
стан основних і оборотних фондів;
організація виробництва;
розміщення і розмір виробничих приміщень і складів;
перспективні плани розвитку виробництва;
технічні специфікації існуючої і перспективної продукції;
схеми і креслення окремих вузлів, готових виробів, нових розробок;
відомості про стан програмного і комп'ютерного забезпечення;
оцінка якості й ефективності;
номенклатура виробів;
спосіб упакування;
доставка.
4. Відомості про наукові розробки:
нові технологічні методи, нові технічні, технологічні і фізичні принципи, плановані до використання в продукції підприємства;
програми НДР;
нові алгоритми;
оригінальні програми.
5. Відомості про матеріально-технічне забезпечення:
відомості про склад торгових клієнтів, представників і посередників;
потреби в сировині, матеріалах, комплектуючих вузлах і де талях, джерела задоволення цих потреб;
транспортні й енергетичні потреби.
6. Відомості про персонал підприємства:
чисельність персоналу;
визначення осіб, що приймають рішення.
7. Відомості про принципи керування підприємством:
відомості про застосовувані і перспективні методи керування виробництвом;
відомості про факти ведення переговорів, предмети і цілі на рад і засідань органів керування;
відомості про плани підприємства щодо розширення виробництва;
умови продажу і злиття фірм.
8. Інші відомості:
важливі елементи систем безпеки, кодів і процедур доступу до інформаційних мереж і центрів;
принципи організації захисту комерційної таємниці.
У багатьох країнах існують закони, що регламентують банківську діяльність. У них визначене поняття «банківської таємниці». Під банківською таємницею (БТ) мається на увазі обов'язок кредитної установи зберігати таємницю про операції клієнтів, убезпечення банківських операцій від ознайомлення з ними сторонніх осіб, насамперед конкурентів того чи іншого клієнта, таємницю щодо операцій, рахунків і внесків своїх клієнтів і кореспондентів. Інакше БТ можна визначити як особисту таємницю вкладника. У підсумку комерційна таємниця банку включає комерційну таємницю самого банку та особисту таємницю вкладника. В Україні подібного закону поки що немає.
1.6. Проблеми захисту інформації
Життя сучасного суспільства неможливе без постійного застосування інформаційних технологій. Комп'ютери обслуговують банківські системи, контролюють роботу атомних реакторів, розподіляють енергію, стежать за розкладом потягів і літаків, керують космічними кораблями. Комп'ютерні системи і телекомунікації визначають надійність і потужність систем оборони і безпеки країни. Комп'ютери забезпечують збереження інформації, її обробку і надання її споживачам, реалізуючи в такий спосіб інформаційні технології.
Однак саме найвищий ступінь автоматизації, до якого прагне сучасне суспільство, ставить його в залежність від ступеня безпеки використовуваних ним інформаційних технологій, з якими пов'язані благополуччя і навіть життя безлічі людей. Технічний прогрес має одну неприємну особливість - у кожному його досягненні завжди криється щось, що обмежує його розвиток і на якомусь етапі обертає його досягнення не на користь, а на шкоду людству.
Стосовно інформаційних технологій це означає, що широке впровадження популярних дешевих комп'ютерних систем масового попиту і застосування робить їх надзвичайно вразливими щодо деструктивних впливів. Безліч прикладів, що підтверджують поширеність цього явища, можна знайти на сторінках численних видань і ще в більшій кількості - на сторінках Internet. Фактів стільки, що одне тільки перерахування займе багато часу. Повідомляють, наприклад, що у США в 1998 році в середньому кожні 20 секунд (а зараз, можливо, і частіше) відбувався злочин з використанням програмних засобів. Понад 80 % комп'ютерних злочинів відбувається за допомогою Internet. Оцінки втрат коливаються від десятків мільйонів до мільярдів. Причому точні оцінки неможливо одержати в принципі з багатьох причин. Існує безліч організацій, де навіть і не знають про вторгнення, що мали місце, тобто інформацію можна красти непомітно. Як бачимо, інформація стала настільки важливою, що вона перетворилася в цінний товар, тому що пов'язана з можливістю зазнавати матеріальних, фінансових, моральних збитків.
Як показує аналіз історичних фактів і досвід останніх років, постійно винаходяться нові й нові види та форми обробки інформації і паралельно винаходяться все нові й нові види і форми її захисту. Однак цілком її ніяк не вдається захистити і, напевно, не вдасться взагалі. Інакше кажучи, можна говорити про деяке кризове становище в забезпеченні безпеки в інформаційних технологіях.
Які ж передумови кризи мають місце на сьогоднішній день? Не зупиняючись на соціальних, правових і економічних аспектах проблеми, систематизуємо наукові і технічні передумови ситуації із забезпеченням інформаційних технологій [9].
Збільшення обсягів інформації, що накопичується, зберігається та обробляється за допомогою ЕОМ та інших засобів обчислювальної техніки (ЗОТ). При цьому мова йде не тільки і не стільки про різке і буквальне збільшення самих обсягів, а й про розширення арсеналу методів, способів і можливостей її зосередження і збереження, наприклад, коли в єдиних базах даних може зосереджуватися інформaція різного призначення і належності. Фактично, проникнувши в досить могутню базу даних, можна одержати інформацію буквально про все на світі. Особливо розширилися можливості подібного роду з виникненням глобальної мережі Іnternet.
Сучасні комп'ютери за останні роки отримали гігантську обчислювальну потужність, але (що може здатися парадоксальним) стали набагато простішими в експлуатації. Це означає, що користуватися ними стало набагато простіше і що все більша кількість нових користувачів одержує доступ до комп'ютерів. Середня кваліфікація користувачів знижується, що значною мірою полегшує задачу ЗЛ, тому що в результаті такої «персоналізації» ЗОТ більшість користувачів мають власні робочі станції і самі здійснюють їх адміністрування. Більшість з них не в змозі постійно підтримувати безпеку своїх систем на високому рівні, оскільки це вимагає відповідних знань, навичок, а також часу і коштів. Повсюдне поширення мережевих технологій об'єднало окремі машини в локальні мережі, що спільно використовують загальні ресурси, а застосування технології «клієнт-сервер» перетворило такі мережі в розподілені обчислювальні середовища. Тепер безпека мережі починає залежати від безпеки всіх її компонентів, і ЗЛ досить порушити роботу однієї з них, щоб скомпрометувати всю мережу.
Сучасні телекомунікаційні технології об'єднали локальні мережі в глобальні. Це привело до появи такого унікального явища, як Іnternet. І саме розвиток Іnternet викликав сплеск інтересу до проблеми безпеки і змусив, принаймні частково, переглянути її основні положення. Справа в тому, що, крім усіх плюсів користування, Іnternet забезпечує широкі можливості для здійснення порушень безпеки систем обробки інформації усього світу. Якщо комп'ютер підключений до Internet, то для ЗЛ не має ніякого значення, де він знаходиться - у сусідній кімнаті чи на іншому кінці світу.
Прогрес у сфері апаратних засобів супроводжується ще більш бурхливим розвитком програмного забезпечення (ПЗ). Як показує практика, більшість розповсюджених сучасних програмних засобів (у першу чергу - операційних систем (ОС)), незважаючи на великі зусилля розробників у цьому напрямку, не відповідають навіть мінімальним вимогам безпеки. Головним чином це виражається в наявності вад в організації засобів, що відповідають за безпеку, і різних «недокументованих» можливостей. Після виявлення багато вад ліквідуються за допомогою відновлення версій чи додаткових засобів, однак та постійність, з якою виявляються все нові і нові вади, не може не викликати побоювань. Це означає, що більшість систем надають ЗЛ широкі можливості для здійснення порушень.
На наших очах практично зникає розходження між даними і програмами, що виконуються, за рахунок появи і значного поширення віртуальних машин і різних інтерпретаторів. Тепер будь-який розвинутий додаток від текстового процесора до браузера не просто обробляє дані, а інтерпретує інтегровані в них інструкції спеціальної мови програмування, тобто по суті це є окремою машиною. Це істотно збільшує можливості ЗЛ зі створення засобів проникнення в чужі системи й ускладнює захист, тому що вимагає здійснення контролю взаємодії ще на одному рівні - рівні віртуальної машини чи інтерпретатора.
Має місце істотний розрив між теоретичними моделями безпеки, що оперують абстрактними поняттями типу об'єкт, суб'єкт і т. п., і сучасними інформаційними технологіями. Це призводить до невідповідності між моделями безпеки і їх упровадженням у засобах обробки інформації. Крім того, багато засобів захисту, наприклад засоби боротьби з комп'ютерними вірусами чи системи пге\уа11, узагаліне мають системної наукової бази. Таке становище склалося через відсутність загальної теорії захисту інформації, комплексних моделей безпеки обробки інформації, що описують механізми дій ЗЛ в реальних умовах в реальних системах, а також відсутність систем, що дозволяють ефективно перевірити адекватність тих чи інших рішень у сфері безпеки. Наслідком цього є те, що практично всі системи захисту ґрунтуються на аналізі результатів успішних атак, що заздалегідь визначає їх відставання від реальної ситуації. Як приклад можна навести поширену практику закриття «раптово» виявлених вад у системі захисту. Крім усього, що було сказано, у цій сфері (особливо в нашій країні) відсутня навіть загальноприйнята термінологія. Теорія і практика найчастіше діють у різних площинах.
У сучасних умовах надзвичайно важливим є обґрунтування вимог безпеки, створення нормативної бази, яка не ускладнює задачі розроблювачів, а, навпаки, встановлює обов'язковий рівень безпеки. Існує ряд міжнародних стандартів, що намагаються вирішити цю проблему, однак аж до останнього часу вони не могли претендувати на те, щоб стати керівництвом до дії чи хоча б закласти фундамент безпечних інформаційних технологій майбутнього. У різних країнах, у тому числі й в Україні, розроблено документи, що являють собою лише деяке наслідування закордонних стандартів десятирічної давнини. В умовах повальної інформатизації і комп'ютеризації найважливіших сфер економіки і державного апарату нашій країні простонеобхідні нові рішення у цій сфері.
Має місце винятково складне становище в Україні у галузі інформаційних технологій. Україна з 48-мільйонним населенням має один з найвищих у світі індексів освіченості (98 %) і величезний потенціал, але залишається країною з низькотехнологічною промисловістю і слаборозвиненою інфраструктурою.
Розроблені українською школою кібернетики напрями, такі як штучний інтелект, нові підходи до розробки ЕОМ тощо, характеризувалися як новий якісний рубіж у світовій кібернетиці. Саме вони були покладені в основу Національної програми інформатизації [25, 26].
Сьогодні виконання Національної програми втратило інтелектуальну складову і звелося переважно до впровадження систем транспортування інформації, тобто систем зв'язку. Такі важливі завдання, як розробка стратегії розвитку України, розробка державного бюджету та інші питання державного будівництва - це складові інтелектуальних кібернетичних проблем. Однак саме цієї складової в державній політиці інформатизації немає.
8. Нарешті, глобальна безпека. В останні роки у світі різко загострилися проблеми, що пов'язані із забезпеченням безпечної діяльності людей узагалі. Внаслідок політичної та економічної нестабільності постійно виникають різні негативні явища - від локальних воєн до міжнародного тероризму. Тому різко ускладнилася проблема за без печення економічної, матеріальної і навіть фізичної безпеки людини. Забезпечення ж перелічених видів безпеки виявилося прямо пов'язаним з інформаційною безпекою внаслідок широкого використання інформаційних технологій практично в усіх сферах людської діяльності.
Унаслідок сукупної дії перерахованих факторів перед розроблювачами сучасних інформаційних систем, призначених для обробки важливої інформації, постають такі завдання, що вимагають негайного й ефективного вирішення [5,9]:
Забезпечення безпеки нових типів інформаційних ресурсів. Оскільки комп'ютерні системи тепер прямо інтегровані в ін формаційні структури сучасного суспільства, засоби захисту повинні враховувати сучасні форми представлення інформації (гіпертекст, мультимедіа і т. д.). Це означає, що системи захисту повинні забезпечувати безпеку на рівні інформаційних ресурсів, а не окремих документів, файлів чи повідомлень.
Організація довірчої взаємодії сторін (взаємної ідентифікації/ автентифікації) в інформаційному просторі. Розвиток локальних мереж і Internet диктує необхідність здійснення ефективного захисту при віддаленому доступі до інформації, а також взаємодії користувачів через загальнодоступні мережі. Причому потрібно вирішити це завдання в глобальному масштабі, незважаючи на те, що сторони, які беруть участь, можуть знаходитися в різних частинах планети, функціонувати на різних апаратних платформах і в різних ОС.
Захист від автоматичних засобів нападу. Досвід експлуатації існуючих систем показав, що сьогодні від систем захисту вимагаються зовсім нові функції, а саме - можливість забезпечення безпеки в умовах будь-якої їх взаємодії з подібними засобами, в тому числі і при появі усередині цих програм, що здійснюють деструктивні дії,- комп'ютерних вірусів, автоматизованих засобів злому, агресивних агентів. На перший погляд здається, що ця проблема вирішується засобами розмежування доступу, однакце не зовсім так, що підтверджується відомими випадками поширення комп'ютерних вірусів у «захищених» системах.
Інтеграція захисту інформації в процес автоматизації її обробки як обов'язковий елемент. Для того щоб бути затребуваними сучасним ринком інформаційних систем, засоби безпеки неповинні вступати в конфлікт з існуючими додатками і сформованими технологіями обробки інформації, а, навпаки, повинні стати невід'ємною частиною цих засобів і технологій.
Розробка сучасних надійних, адекватних та ефективних математичних моделей безпеки.
Якщо ці завдання не будуть вирішені, то подальше поширення інформаційних технологій у сфері критичних систем, що обробляють важливу інформацію, незабаром опиниться під загрозою. Наша країна внаслідок того, що починає інформатизацію «з нуля», є полігоном для застосування останніх досягнень інформаційних технологій, тому для нас вирішення завдання створення захищених інформаційних систем є актуальним як ніде у світі.
Для більш повного розуміння проблем інформаційної безпеки корисно простежити історичний шлях розвитку і створення систем захисту інформації (СЗІ).
Проблема захисту інформації (ЗІ) в автоматизованих системах обробки даних (АСОД) з моменту її формулювання наприкінці 60-х років до сучасного етапу пройшла багато в чому суперечливий шлях. Спочатку виникли два напрямки розв'язання задачі підтримки конфіденційності:
використання криптографічних методів ЗІ в середовищах передачі і збереження даних;
програмно-технічне розмежування доступу до даних і ресурсів обчислювальних систем.
Тут слід зауважити, що в той час АСОД були слабо розподіленими, технології глобальних і локальних обчислювальних мереж перебували на початковій стадії свого розвитку. Тому зазначені напрямки дуже успішно реалізувалися. Тоді і виробилася «інтуїтивно» зрозуміла термінологія ЗІ (супротивник, ресурс, дані і т. п.).
Ці особливості характеризують перший етап створення СЗІ, в якому центральною ідеєю було забезпечення надійного захисту механізмами, що містять технічні і програмні засоби. Технічними називалися засоби, що реалізувалися у вигляді електричних, електромеханічних, електронних пристроїв. При цьому вони поділялися на апаратні (що вбудовувалися в апаратуру АСОД) і фізичні (що реалізувалися у вигляді автономних пристроїв - електронно-механічне устаткування, охоронна сигналізація, замки, грати тощо). Вважалося, що основними засобами ЗІ є програми і що програми ЗІ працюватимуть ефективно, якщо вони будуть вбудовуватися в загальносистемне ПЗ. Була сформована концепція ядра захисту - спеціального ПЗ, що включало мінімально необхідний набір захисних механізмів і залежно від конкретних умов доповнювалося різними засобами. Однак далі виявилося, що цього недостатньо.
У 70-ті роки починається другий етап в історії створення СЗІ. З розвитком тенденції до розподіленості АСОД з'ясувалося, що ці напрямки себе вичерпали, і на перше місце почали виходити проблеми автентифікації взаємодіючих елементів АСОД, а також способи керування криптографічними механізмами в розподілених системах. Стало ясно, що механізм криптографічного захисту не є головним і його слід розглядати нарівні з іншими механізмами ЗІ.
Здавалося, що, створивши ядро безпеки і доповнивши його організаційними та іншими заходами доступу, вдасться створити надійну СЗІ. Зокрема, для перевірки надійності СЗІ створювалися спеціальні бригади (тигрові команди - ії§ег іеагш) з висококваліфікованих фахівців, що займалися перевіркою СЗІ шляхом їхнього злому (часто анонімного). У цей час також інтенсивно розроблялися технічні і
криптографічні засоби захисту. Однак факти говорили про інше -кількість проколів у захисті не зменшувалася. На початку 70-х років був отриманий важливий теоретичний результат (теорема Харісона), суть якого зводилася до того, що неможливо розв'язати задачу абсолютного захисту для довільної системи при загальному завданні на доступ. Як пише Дж. Хоффман [8], це стало холодним душем для прихильників надійного захисту. З'явилися навіть песимістичні висловлювання про неможливість створення надійного захисту узагалі. Почалися пошуки виходу з цього тупика, що стало змістом третього етапу в історії створення надійних СЗІ (80-ті роки).
Наступним кроком став поділ проблематики власне засобів захисту (криптографічні засоби, засоби керування доступом та ін.) і засобів забезпечення їх коректної роботи. Тепер центральною ідеєю стала системність підходу і до самої інформації, адже раніше інформація захищалася лише побічно - фактично захищалося її оточення (носії, системи обробки і т. п.). Стало ясно, що потрібно не тільки шукати механізми ЗІ, а й розглядати весь процес створення СЗІ на всіх етапах життєвого циклу системи. Тепер усе (засоби, методи, заходи) поєднувалося найбільш раціональним чином у систему захисту - саме тоді виник цей термін. Більше того, активно почали розроблятися і застосовуватися на практиці математичні моделі захисту. Вже в «Оранжевій книзі» установлювалася необхідність строгого доведення певного рівня захищеності системи. Слід також зазначити на цьому етапі загострення проблеми захищеного ПЗ, оскільки, по-перше, воно все-таки відіграє вирішальну роль у якісній обробці інформації, по-друге, ПЗ дедалі більше стає предметом комерційної таємниці, по-третє, це найбільш вразливе місце з усіх компонентів АСОД.
Нині ми є свідками четвертого етапу, що характеризується:
високими темпами розвитку елементної бази, тобто електроніки;
інтенсивним розширенням як ушир, так і углиб мережених конфігурацій;
розвитком спеціалізованого ПЗ, у тому числі й атакуючих програмних засобів;
розробкою нових криптосистем;
високим ступенем інтегрованості різних механізмів і засобів.Однак поки що роль цих обставин ще цілком не осмислена, вона продовжує вивчатися і вимагає серйозного перегляду загальних уявлень про СЗІ і пошуку нових концепцій, засобів і методів.
На сьогодні проблему ЗІ можна охарактеризувати рядом таких основних положень:
чітка практична спрямованість, тобто теорія теорією, але більшість положень (принаймні поки що) спочатку реалізуються як конкретні схеми і рекомендації, що тільки потім узагальнюються і фіксуються у вигляді теоретичних положень чи методичних рекомендацій;
багатоаспектність, тобто забезпечення безпеки відбувається у багатьох напрямках;
невизначеність як наслідок наявності «людського фактора» - невідомо, хто, коли, де і яким чином може порушити безпеку об'єктів захисту;
розуміння неможливості створення ідеального (абсолютного) захисту;
застосування оптимізаційного підходу - мінімальність ризику і можливого збитку, що випливають з того, що щораз вибирається лише певний ступінь захищеності, який визначається конкретни ми умовами (можливі витрати на захист, можливі загрози і т. д.);
наявність безпечного часу, тобто завжди враховується, що існує час життя інформації і час, необхідний для подолання ЗЛ захисту (звичайно, бажано, щоб останній був більший від першого);
захист від усього і від усіх.
Додамо ще декілька слів про розхожі думки щодо ЗІ. Справді, наприклад, багато хто, навіть з кваліфікованих користувачів ЕОМ, просто ототожнює ЗІ із криптографією. Можливо, така точка зору має якісь історичні причини, але зараз одна криптографія може забезпечити тільки певний рівень конфіденційності інформації і аж ніяк не забезпечить інформаційну безпеку в цілому. Справа в тому, що в сучасних інформаційних системах інформаційна безпека має забезпечувати не тільки (і не стільки) конфіденційність інформації, а передусім її цілісність та доступність. Причому іноді останні властивості інформації є головними.
Іншою досить поширеною думкою є та, що, мовляв, всі загрози пов'язані з хакерами, вони, бідні, не сплять ночами і тільки й думають про те, як зламати ваш захист. Насправді ж основна частина загроз інформації (і це цілком підтверджується статистикою - більш як 90 %) реалізується в самій системі - йдеться про тривіальні некомпетентність, некваліфікованість, недбалість або байдужість персоналу системи. Тобто ЗІ - це не тільки технічні засоби та заходи, набагато важливішим є кадри, їх навчання та правильний підбір (згадаємо відоме гасло «Кадри вирішують все!»).
Ще одна думка стосується уявлення про статичність засобів ЗІ, яке полягає в такому: захист організовано, і всі можуть спати спокійно. Але ж життя не стоїть на місці, все рухається і розвивається - це особливо стосується сучасних інформаційних технологій. Те, що сьогодні забезпечувало надійний захист, завтра уже не забезпечує, а отже, слід постійно мати на увазі один з найважливіших принципів організації ЗІ - безперервний захист у часі і в просторі.
Багато хто також вважає, що його інформація не дуже цінна, отже, не треба витрачати великих зусиль на її захист. Така точка зору може бути дуже небезпечною, оскільки оцінка важливості чи цінності інформації, а особливо своєї, є досить складним і, значною мірою, суб'єктивним процесом.
1.7. Державна політика забезпечення інформаційної безпеки
Державна політика забезпечення інформаційної безпеки визначена в Законі України «Про основи державної політики в сфері науки і науково-технічної діяльності», прийнятому 13 грудня 1991 року. Не вдаючись до загального аналізу цього закону, що містить 27 статей, розділених на п'ять розділів, відзначимо в ньому лише те, що стосується інформації. А саме: у статті 19 Закону вперше в нашій державі констатується, що з метою створення системи науково-технічної інформації держава забезпечує можливість поширення і підвищення якісного рівня інформаційної продукції.
Загальний зміст державної політики інформатизації викладається в Законі України «Про концепцію національної програми інформатизації України» [26]. Він був прийнятий 4 лютого 1998 року. Хотілося б звернути увагу на те, що в загальних положеннях цього закону констатується нинішнє інформаційне становище України.
У першому розділі визначається, що інформатизація - це сукупність взаємопов'язаних організаційних, правових, політичних, соціально-економічних, науково-технічних, виробничих процесів, що спрямовані на створення умов для задоволення інформаційних потреб, реалізації прав громадян і суспільства на основі створення, розвитку, використання інформаційних систем, мереж, ресурсів та інформаційних технологій, побудованих на основі застосування сучасної обчислювальної та комунікаційної техніки. Обчислювальна та комунікаційна техніка, телекомунікаційні мережі, бази і банки даних та знань, інформаційні технології (ІТ), система інформаційно-аналітичних центрів різного рівня, виробництво технічних засобів інформатизації, системи науково-дослідних установ та підготовки висококваліфікованих фахівців є складовими національної інформаційної інфраструктури й основними чинниками, що забезпечують економічне піднесення. Як показує досвід інших країн, інформатизація сприяє забезпеченню національних інтересів, поліпшенню керованості економікою, розвитку наукоємних виробництв та високих технологій, зростанню продуктивності праці, вдосконаленню соціально-економічних відносин, збагаченню духовного життя та подальшій демократизації суспільства. Національна інформаційна інфраструктура, створена з урахуванням світових тенденцій і досягнень, сприятиме рівноправній інтеграції України у світове співтовариство. Концепція Національної програми інформатизації включає характеристику сучасного стану інформатизації, стратегічні цілі та основні принципи інформатизації, очікувані наслідки її реалізації.
Другий розділ присвячено інформаційній ситуації в Україні. Там, зокрема, зазначається, що «загальна ситуація в Україні в галузі інформатизації на сьогодні не може бути визнана задовільною і не тільки через кризові явища в економіці. Рівень інформатизації українського суспільства порівняно з розвинутими країнами Заходу становить лише 2-2,5 %. Загальна криза та технологічне відставання поставили в скрутне становище галузі, які займаються створенням і використанням засобів інформатизації та відповідної елементної бази.
Україна з виробника сучасних машин перетворилася на споживача застарілих іноземних моделей засобів обчислювальної техніки (ЗОТ), що спричинило падіння вітчизняного науково-технічного потенціалу і неспроможність виробляти конкурентні зразки ЗОТ і елементної бази. Парк обчислювальних машин за станом на 01.01.97, за даними Міністерства статистики України, становив 264 тисячі одиниць порівняно зі 180 тисячами в 1995 році, але майже половина його - застарілі моделі персональних електронно-обчислювальних машин (ПЕОМ) типу ІВМ РС ХТ 286 та їм подібні, 21 % - 386, 26 % - 486 типів. З 1996 року в загальному парку машин з'являються нові типи ЕОМ. Так, з 32,2 тисячі нових ПЕОМ 50 % становлять 486 та 30 % - сучасні ПЕОМ типу «Pentium».
За п'ять останніх років електронна промисловість України як галузь, що залежить від електронного приладобудування, зазнала втрат обсягів виробництва. Падіння виробництва мікроелектроніки в 1992-1996 роках становить 90 % рівня 1991 року. Якщо в 1991 році заводи мікроелектроніки України виробили і реалізували 316,4 млн інтегральних схем (ІС) на суму майже 500 млн карбованців (у СРСР - 2,2 млрд карбованців), то в 1996 році випуск ІС становив 8,1 млн штук на суму менше 8,7 млн гривень (2,6 %), тоді як інформаційна техніка на 90 % вартості базується на досягненнях мікроелектроніки, а засоби зв'язку- на 80 %.
Виробництво вітчизняних засобів обчислювальної техніки та запасних частин до них на кінець 1996 року становило 36 % від рівня 1995 року.
Має місце технічне відставання телекомунікаційних систем, мереж передачі даних, які відзначаються недостатньою пропускною здатністю, надійністю зв'язку, низькою якістю та незначним обсягом послуг. Переважна більшість установ користується для передачі даних комутованими каналами загального користування. В Україні існує розвинута мережа аналогових ліній передачі, які на сьогоднішній день вичерпали свої технічні можливості. Сучасні системи зв'язку, що базуються на методах передачі цифрової інформації, забезпечують більш якісний та надійний зв'язок. Такі системи дозволяють організувати стандартні канали передачі зі швидкістю 64 кбіт/сек, а більш потужні - потоки в 2 Мбіт/сек. У 1996 році в Україні була введена в експлуатацію цифрова мережа з інтегрованими послугами (мережа І8БК). Ведуться роботи із прокладання волоконно-оптичних ліній зв'язку, які можуть забезпечити передачу даних зі швидкістю 155 Мбіт/сек. Близько 60 % міністерств потребують доступу до міжнародної інформаційної мережі Internet з метою одержання оперативної інформації. У той же час лише 27 % міністерств та відомств мають вихід до цієї мережі, до того ж обмежений.
Найбільш поширеним типом локальної мережі є Ethernet, мережевими операційними системами - NovellNetWare 4.x, Windows for Wогк-Gгоups 3.11, Windows NT.
Складовою стратегічних ресурсів країни й одночасно національної інфраструктури є державні інформаційні ресурси. За останній час були створені такі державні інформаційні ресурси: бази даних «Законодавчі та нормативні акти України», «Податки України» (внесено близько 10 тисяч документів), «Ресурси України» (постійно актуалізується інформація про 260 тисяч підприємств та організацій України), «Єдиний державний реєстр підприємств та організацій України» (внесено з присвоєнням унікального коду більше ніж 600 тисяч суб'єктів господарської діяльності) та інші. Електронна газета «Усе-всім» об'єднує кілька десятків баз даних, що включають науково-методичну, банківську, комерційну, законодавчу та іншу інформацію. У більш як 66 % баз даних інформація подається українською мовою, у 26 % -тільки російською та 8 % - іноземними мовами. Але на цей час діяльність державних установ та організацій щодо формування та використання інформаційних ресурсів є неузгодженою, що призводить до виникнення певних труднощів при формуванні єдиного інформаційного середовища і, як наслідок, до низького рівня інформаційного та аналітичного забезпечення діяльності державних органів. У 23 міністерствах і відомствах уже існують або створюються електронні інформаційні ресурси, у яких зацікавлені органи виконавчої та законодавчої влади. Невизначеність правової та фінансово-економічної основи діяльності різних суб'єктів у сфері інформатизації призводить до інформаційного монополізму управлінських та комерційних структур на відкриті інформаційні ресурси загального користування, знецінення товарної вартості інформаційних ресурсів держави, а також обмеження права на використання інформаційних ресурсів держави для більшості громадян.
Найбільш поширеним операційним середовищем для комп'ютерів залишаються старі версії MSDOS та Windows 3.x. Збільшення кількості споживачів, які застосовують сучасні операційні системи Windows 95 та Windows NT, що дають змогу працювати в комп'ютерних мережах, йде дуже повільно і становить 10-15 %. Повільно йде переорієнтація користувачів на сучасні інструментальні засоби створення інформаційних систем, баз та банків даних, таких як Оrасlе, Informix, Sybase тощо, здебільшого використовуються застарілі засоби типу Clipper, FoxPro та інші. На низькому рівні перебуває «озброєність» розробників відповідними інструментально-технологічними засобами підтримки інженерії створення складних, розподілених прикладних комп'ютерних систем.
У державі створюється, розробляється або планується розробити декілька відомчих та міжвідомчих систем: Міністерства транспорту, Міністерства фінансів, Міністерства енергетики та деяких інших міністерств та відомств України. Але є й такі, що не мають серйозної автоматизованої системи. Більшість корпоративних автоматизованих систем відрізняються з огляду як на апаратне, так і на програмне забезпечення. Особливо це стосується прикладних задач. Тому на сьогодні забезпечення взаємообміну між органами державної влади оперативною інформацією через її неструктурованість та неузгодженість форматів є досить складною проблемою. Загальна інформація здебільшого надходить в неформалізованому вигляді, у різних фізичних формах (від електронних відомостей до друкованих видань).
Усе це спричинено, зокрема, повільним освоєнням перспективних ІТ, до того ж ускладненим через недостатність та неповноту системи гармонізованих з міжнародними стандартів у сфері інформатизації, через що різко зменшується конкурентоспроможність вітчизняних технічних та програмних продуктів на світовому ринку. Нині в Україні кількість стандартів з ІТ становить близько 4 % від загальної кількості державних стандартів, тоді як в інших країнах ця частка перевищує 10 %. До того ж темпи розвитку міжнародної стандартизації в галузі ІТ випереджають інші галузі і щорічно зростають на 10-15 %. На сьогодні Міжнародною організацією зі стандартизації (180) розроблено та прийнято більше 1400 міжнародних стандартів з ІТ, стільки ж розробляється. А в Україні за період з 1992 по 1997 роки розроблено та впроваджено лише близько 100 державних стандартів з ІТ, переважно термінологічних. Таку негативну тенденцію відставання України від міжнародного рівня розвитку стандартизації в сфері інформатизації треба виправляти.
Тому важливим фактором подолання відставання України в галузі інформатизації має бути державна політика інформатизації України, відповідна Національна програма інформатизації (далі - Програма) та ефективний механізм її реалізації. Необхідно здійснити комплекс масштабних і ресурсоємних завдань (проектів), які у своїй сукупності повинні скласти основу Програми».
Далі в третьому розділі подаються загальні принципи державної політики у сфері інформатизації.
Державна політика інформатизації формується як складова соціально-економічної політики держави в цілому і спрямовується на раціональне використання промислового та науково-технічного потенціалу, матеріально-технічних і фінансових ресурсів для створення сучасної інформаційної інфраструктури в інтересах вирішення комплексу поточних та перспективних завдань розвитку України як незалежної демократичної держави з ринковою економікою.
Для прискорення процесу інформатизації, що потребує відповідної концентрації ресурсів, в основу державної політики повинно бути покладене державне регулювання процесів інформатизації на основі поєднання принципів централізації і децентралізації, саморозвитку, самофінансування та самоокупності, державної підтримки через систему пільг, кредитів, прямого бюджетного фінансування.
Бюджетні кошти повинні бути спрямовані насамперед на реалізацію загальнодержавних проектів інформатизації:
створення національної інформаційно-телекомунікаційної системи;
розвиток системи національних інформаційних ресурсів;
інформатизація стратегічних напрямів розвитку економіки держави, її безпеки та оборони, соціальної сфери.
Державне регулювання має забезпечити системність, комплексність і узгодженість розвитку інформатизації країни з використанням при цьому традиційних та нетрадиційних форм і методів супроводу та контролю.
Пріоритети мають бути не постійними, а визначатися на певний період і коригуватися залежно від ситуації.
Першочергові пріоритети надаються створенню нормативно-правової бази інформатизації, включаючи систему захисту авторських прав і особистої інформації, розробці національних стандартів у галузі інформатизації; формуванню телекомунікаційної інфраструктури, перш за все оптимізації діючої мережі магістралей передачі даних, будівництву нових сучасних каналів, включаючи волоконно-оптичні та супутникові системи зв'язку; формуванню комп'ютерної мережі освіти, науки та культури як частини загальносвітової мережі Internet; здійсненню заходів інформаційної безпеки.
Іншим не менш важливим інформаційним законом є Закон України «Про національну програму інформатизації України» [25]. Він також був прийнятий 4 лютого 1998 року. Цей Закон визначає загальні засади формування, виконання та коригування Національної програми інформатизації.
Якими б складними не були проблеми інформатизації, все ж необхідно займатися і забезпеченням інформаційної безпеки. Найважливішим у цьому напрямку є, звичайно, «Закон про захист інформації в автоматизованих системах», про який більш детально йтиметься нижче, а тут розглянемо основні поняття та напрямки розвитку захисту інформації в Україні, користуючись системою нормативних документів із захисту інформації [17-20].
Нагадаємо, що одним з основних понять нашого розгляду є автоматизована система (АС). АС - це організаційно-технічна система, що об'єднує обчислювальну систему, фізичне середовище, персонал і оброблювану інформацію (рис. 1).
Розрізняють два основних напрями технічного захисту інформації в АС - це захист АС і оброблюваної інформації від несанкціонованого доступу (НСД) і захист інформації від витоку технічними каналами (оптичними, акустичними, захист від витоку каналами побічних електромагнітних випромінювань і наведень (ПЕМВН)).

Рис. 1.
З точки зору методології в проблемі захисту інформації від НСД виділяють два напрями:
забезпечення й оцінка захищеності інформації в АС, що функціонують;
реалізація та оцінка засобів захисту, що входять до складу компонентів, з яких будується обчислювальна система АС (програмних продуктів, засобів обчислювальної техніки і т. ін.), поза конкретним середовищем експлуатації.
Кінцевою метою всіх заходів щодо захисту інформації є забезпечення безпеки інформації під час її обробки в АС. Захист інформації повинен забезпечуватись на всіх стадіях життєвого циклу (ЖЦ) АС, на всіх технологічних етапах обробки інформації і в усіх режимах функціонування. ЖЦ АС включає розробку, впровадження, експлуатацію та виведення з експлуатації.
У випадку, якщо в АС планується обробка інформації, порядок обробки і захисту якої регламентується законами України або іншими нормативно-правовими актами (наприклад, інформація, що становить державну таємницю), то для обробки такої інформації в цій АС необхідно мати дозвіл відповідного уповноваженого державного органу. Підставою для видачі такого дозволу є висновок експертизи АС, тобто перевірки відповідності реалізованої СЗІ встановленим нормам.
Якщо порядок обробки і захисту інформації не регламентується законодавством, експертиза може виконуватись в необов'язковому порядку за поданням замовника (власника АС або інформації).
У процесі експертизи оцінюється СЗІ АС у цілому, в тому числі виконується й оцінка реалізованих у комп'ютерній системі (КС) засобів захисту. Засоби захисту від НСД, що реалізовані в КС, слід розглядати як підсистему захисту від НСД у складі СЗІ. Характеристики фізичного середовища, персоналу, оброблюваної інформації, організаційної підсистеми істотно впливають на вимоги до функцій захисту, що реалізуються КС.
Обчислювальна система АС являє собою сукупність апаратних засобів, програмних засобів, призначених для обробки інформації. Кожний із компонентів ОС може розроблятись і надходити на ринок як незалежний продукт. Кожний з цих компонентів може реалізовувати певні функції захисту інформації, оцінка яких може виконуватись незалежно від процесу експертизи АС і має характер сертифікації. За підсумками сертифікації видається сертифікат відповідності реалізованих засобів захисту певним вимогам (критеріям). Наявність сертифіката на обчислювальну систему АС або її окремі компоненти може полегшити процес експертизи АС.
Під КС слід розуміти представлену для оцінки сукупність апаратури, програмно-апаратних засобів, окремих організаційних заходів, що впливають на захищеність інформації. Як КС можуть виступати: ЕОМ загального призначення або персональна ЕОМ; ОС; прикладна або інструментальна програма (пакет програм); підсистема захисту від НСД, яка являє собою надбудову над ОС; локальна обчислювальна мережа; мережева ОС; ОС автоматизованої системи; в найбільш загальному випадку - сама АС або її частина.
Далі використовуються терміни АС і КС. Якщо необхідно підкреслити певні специфічні моменти, зазначається, стосується викладене саме АС (обчислювальної системи АС) чи сукупності програмно-апаратних засобів.
Можлива ситуація, коли для побудови певної КС використовуються компоненти, кожний або деякі з яких мають сертифікат, що підтверджує, що ці компоненти реалізують певні функції захисту інформації. Це, однак, не означає, що КС, яка складається з таких компонентів, реалізовуватиме всі ці функції. Для гарантії останнього має бути виконано проектування КС з метою інтеграції засобів захисту, що надаються кожним компонентом, в єдиний комплекс засобів захисту. Таким чином, наявність сертифіката слід розглядати як потенційну можливість КС реалізовувати певні функції захисту оброблюваної інформації від певних загроз.
Подамо також основні властивості інформації, що безпосередньо визначають її цінність. Такими фундаментальними властивостями захищеної інформації (ФВЗІ) є конфіденційність (confidentiality), цілісність (integrity), доступність (availability) і спостереженість (accountability).
Інтуїтивно зрозумілий термін конфіденційність більш строго визначається як властивість інформації, яка полягає в тому, що вона не може бути доступною для ознайомлення користувачам і/або процесам, що не мають на це відповідних повноважень.
Цілісність інформації - це властивість, що полягає в тому, що вона не може бути доступною для модифікації користувачам і/або процесам, що не мають на це відповідних повноважень. Цілісність інформації може бути фізичною і/або логічною.
Доступність інформації - це властивість, що полягає в можливості її використання на вимогу користувача, який має відповідні повноваження.
Спостереженість - це властивість інформації, яка полягає в тому, що процес її обробки повинен постійно перебувати під контролем певного керуючого захистом органу.
Потенційно можливі несприятливі впливи на інформацію, що призводять до порушення хоча б однієї з перерахованих властивостей, називають загрозами інформації (information theart). Рівень захищеності інформації в системі - це певна міра (наприклад, імовірнісна) можливості виникнення на якому-небудь етапі життєдіяльності системи такої події, наслідком якої можуть бути небажані впливи на інформацію, тобто порушення хоча б одного із зазначених ФВЗІ. Безпосередньо пов'язані з інформацією фундаментальні поняття - конфіденційність, цілісність і доступність характеризуються такими важливими особливостями:
незалежність - кожне із введених понять не залежить від інших; це дозволяє при моделюванні ЗІ визначити деякий простір, вважаючи їх сукупність базисом у цьому просторі;
конструктивність - чітке виділення певної сторони проблемиЗІ дає можливість при її реалізації використовувати конкретнімеханізми і засоби;
можливість багаторазового їх дублювання при використаннірізних механізмів і засобів захисту (як показує практика, будьякі з механізмів і засобів ЗІ завжди підтримують відразу декілька з відзначених властивостей), що дозволяє істотно підвищити рівень захищеності інформації в системі;
можливість враховувати конкретні загрози інформації при формулюванні конкретних цілей захисту;
можливість визначити послуги для забезпечення кожної з ФВЗІзалежно від рівня важливості інформації, очікуваних загрозінформації, цілей і завдань ЗІ.
Не слід плутати конфіденційність та безпеку. Конфіденційність встановлює певний статус захисту щодо інформації, в той час як безпека стосується механізмів, які використовуються для підтримки цього статусу. Крім того, на відміну від конфіденційності, цілісність характеризує лише ступінь відповідності певних представлень інформації в системі.
1.8. Законодавчі акти і нормативні документи щодо ЗІ
Законодавчі заходи щодо ЗІ полягають у виконанні чинних у державі або у введенні нових законів, положень, постанов та інструкцій, які регулюють юридичну відповідальність посадових осіб - користувачів та обслуговуючого технічного персоналу за витік, втрату або модифікацію довіреної йому інформації, яка підлягає захисту, в тому числі за спроби виконувати аналогічні дії за межами своїх повноважень, а також відповідальність сторонніх осіб за спробу навмисного несанкціонованого доступу до інформації.
Мета законодавчих заходів - попередження та отримання потенціальних порушників.
В Україні вже прийнято цілий ряд законодавчих актів і нормативних документів, пов'язаних з інформацією, у тому числі і з її захистом:
Закон України «Про інформацію» від 02.09.92;
Закон України «Про захист інформації в автоматизованих системах» від 05.07.94;
Закон України «Про державну таємницю» від 21.01.94;
Закон України «Про науково-технічну інформацію» від 25.06.93;
Закон України «Про Національну програму інформатизації» від 04.02.98;
Закон України «Про Концепцію Національної програми інформатизації» від 04.02.98;
Концепція технічного захисту інформації в Україні від 27.09.99 р. №1126;
НД ТЗІ 1.1-003-99. Термінологія в галузі захисту інформації в комп'ютерних системах від несанкціонованого доступу;
НД ТЗІ 1.1-002-99. Загальні положення щодо захисту інформації в комп'ютерних системах від несанкціонованого доступу ДСТСЗІСБ України, Київ, 1998;
НД ТЗІ 2.2-004-99. Критерії оцінки захищеності інформації в комп'ютерних системах від несанкціонованого доступу;
НД ТЗІ 3.7.-001-99. Класифікація автоматизованих систем і стандартні функціональні профілі захищеності оброблюваної інформації від несанкціонованого доступу.- ДСТСЗІ СБ України, Київ, 1998.
НД ТЗІ 3.7-001-99. Методичні вказівки щодо розробки технічного завдання на створення системи захисту інформації автоматизованої системи.- Положення про технічний захист інформації в Україні від 27.09.99 р. № 1299.
Основним інформаційним законом є закон України «Про інформацію» [21], прийнятий 2 листопада 1992 року. Він містить 54 статті в шести розділах. Цей Закон закріплює право громадян України на інформацію, закладає правові основи інформаційної діяльності.
Насамперед слід зазначити, що у статті 1 Закону дається офіційне визначення інформації. Під інформацією цей Закон розуміє документовані чи привселюдно оголошені відомості про події і явища, що відбуваються в суспільстві, державі і навколишньому природному середовищі. Далі визначаються мета Закону, сфера його дії, основні принципи інформаційних відносин, а саме:
відкритість;
доступність інформації і свобода обміну;
об'єктивність і правдивість інформації;
повнота і точність інформації;
законність одержання, використання, поширення і збереження інформації.
У статті 6 формулюється поняття державної інформаційної політики - це сукупність основних напрямків і способів діяльності держави по одержанню, використанню, поширенню і збереженню інформації. Головними напрямками і способами державної інформаційної політики є:
забезпечення доступу громадян до інформації;
створення національних систем і мереж інформації;
посилення технічних, фінансових, організаційних, правових і наукових основ інформаційної діяльності;
забезпечення ефективного використання інформації;
сприяння постійному відновленню, збільшенню і збереженню національних інформаційних ресурсів;
створення загальної системи охорони інформації;
сприяння міжнародному співробітництву в галузі інформації і гарантування інформаційного суверенітету України.
У статті 12 дається визначення інформаційної діяльності як сукупності дій, спрямованих на задоволення інформаційних потреб громадян, юридичних осіб і держави. Визначено також основні напрямки інформаційної діяльності (стаття 13), основні види інформаційної діяльності (стаття 14). У статті 18 подано класифікацію основних видів інформації, у статтях 19-25 даються визначення видів інформації.
Нарешті, у статті 27 визначено поняття документа в інформаційних відносинах. Документ - це передбачена законом матеріальна форма одержання, збереження, використання і поширення інформації шляхом її фіксації на папері, магнітному носії, кіно-, відео-, фото - плівці чи на іншому носії. За режимом доступу до інформації вона поділяється на відкриту інформацію та інформацію з обмеженим доступом (стаття 28). У свою чергу, інформація з обмеженим доступом поділяється на конфіденційну і таємну.
Конфіденційна інформація - це відомості, якими володіють чи користуються та розпоряджаються окремі фізичні чи юридичні особи і які поширюються за їхнім бажанням відповідно до передбачених ними умов. Наголосимо, що у сфері захисту інформації поняття конфіденційності має інший зміст і визначається по-іншому.
Таємна інформація - це інформація, яка містить відомості, що складають державну або іншу передбачену законом таємницю, розголошення якої завдає шкоди особі, суспільству і державі.
Природно, йдучи по шляху конкретизації, ми приходимо до Закону України «Про науково-технічну інформацію» [22], що був прийнятий ще 25 червня 1993 року.
Цей Закон визначає основи державної політики в галузі науково-технічної інформації, порядок її формування і реалізації в інтересах науково-технічного, економічного і соціального прогресу країни. Метою Закону є створення в Україні правової бази для одержання та використання науково-технічної інформації.
Законом регулюються правові й економічні відносини громадян, юридичних осіб, держави, що виникають при створенні, одержанні, використанні та поширенні науково-технічної інформації, а також визначаються правові форми міжнародного співробітництва в цій галузі.
І, нарешті, зупинимося на основному законі, що безпосередньо стосується захисту інформації - це Закон «Про захист інформації в автоматизованих системах» [23], прийнятий 5 липня 1994 року. Він містить 20 статей у шести розділах.
Метою цього Закону є встановлення основ регулювання правових відносин щодо захисту інформації в автоматизованих системах за умови дотримання права власності громадян України і юридичних осіб на інформацію та права доступу до неї, права власника інформації на її захист, а також встановленого чинним законодавством обмеження на доступ до інформації.
У загальних положеннях наведено визначення основних термінів: автоматизована система (АС), інформація в АС, обробка інформації, захист інформації, несанкціонований доступ, розпорядник АС, персонал АС, користувач АС, порушник, витік інформації, втрата інформації, підробка інформації, блокування інформації, порушення роботи АС. В наступних статтях (2-6) визначаються об'єкти захисту і суб'єкти відносин, а також право власності на інформацію під час її обробки, гарантія юридичного захисту і доступ до інформації.
У другому розділі (ст. 7-9) визначаються відносини між власником інформації та власником АС, відносини між власником інформації та користувачем, відносини між власником АС і користувачем АС. Третій розділ визначає загальні вимоги щодо захисту інформації - в статтях 10-12 визначаються шляхи забезпечення захисту інформації в АС, вимоги і правила щодо захисту інформації, умови обробки інформації. В четвертому розділі (ст. 13-16) визначено організацію захисту інформації в АС: політика в галузі захисту інформації, державне управління захистом інформації в АС, служби захисту інформації в АС, фінансування робіт. У п'ятому та шостому розділах ідеться про відповідальність за порушення порядку і правил захисту інформації, відшкодування шкоди, взаємодію в питаннях захисту інформації в АС, забезпечення інформаційних прав України.
Дуже важливим, зокрема для захисту інформації, є також Закон України «Про державну таємницю» [24], прийнятий 21 січня 1994 року (нова редакція - зі змінами та доповненнями - прийнята 21 вересня 1999 р.). Він містить 38 статей у 5 розділах. У першому розділі подається визначення державної таємниці - це вид таємної інформації, що охоплює відомості у сфері оборони, економіки, науки і техніки, зовнішніх відносин, державної безпеки та охорони правопорядку, розголошення яких може завдати шкоди національній безпеці України та які визнані у порядку, встановленому цим Законом, державною таємницею і підлягають охороні державою. У другому розділі встановлено сфери, інформація з яких може бути віднесена до державної таємниці: 1) сфера оборони; 2) сфера економіки, науки і техніки; 3) зовнішні відносини; 4) сфера державної безпеки й охорони правопорядку. У третьому розділі визначається порядок засекречування та розсекречування матеріальних носіїв інформації, зокрема надання грифа секретності (таємно (Т), цілком таємно (ЦТ), особливої важливості (ОВ)), а також строки їх засекречування. У наступних розділах визначено порядок охорони державної таємниці, а також відповідальність за порушення законодавства про державну таємницю.
Про інші нормативні документи, зокрема [17-20], докладніше йтиметься в останньому розділі посібника.