О.О.
МЕЛЕШКО, Ю.О. ПОЛІЩУК, А.О. СКОМАРОВСЬКИЙ
Національний
авіаційний університет, м. Київ
ПИТАННЯ
ЗАБЕЗПЕЧЕННЯ БЕЗПЕКИ ІНФОРМАЦІЇ ТА ЇЇ ОБМІНУ В ІНФОРМАЦІЙНІЙ СФЕРІ УКРАЇНИ
Метою цієї роботи є
проведення аналізу та окреслення найбільш актуальних питань забезпечення
національних інтересів України в інформаційній сфері. У ході роботі приведені
можливі варіанти вирішення, або конкретно вказати на помилки і недоліки
допущені у організації безпеки інформації.
Розвиток
інформаційного суспільства в Україні спричиняє підвищення ролі інформації та інформаційних технологій.
При цьому інформаційні технології в сучасних умовах набувають важливого
значення з точки зору їх можливостей впливати на всі сфери життєдіяльності суспільства. Виступаючи каталізатором розвитку
суспільних відносин, вони одночасно, у
випадку реалізації різних стратегій співробітництва, можуть відігравати роль
своєрідної інформаційної "зброї " при реалізації стратегії суперництва.
Таким чином, захист
інформаційного простору України від небажаного інформаційного впливу, захист
національних інформаційних ресурсів, забезпечення безпечного функціонування
інформаційно-телекомунікаційних систем та захист інформації, що циркулює в них,
- це необхідні складові діяльності щодо забезпечення національної безпеки в
цілому.
Загалом можна
виділити низку загроз реалізації національних інтересів України в інформаційній
сфері, а саме:
- порушення штатного
режиму функціонування важливих інформаційних та телекомунікаційних систем;
-
випадкові або навмисні дії, що спричинили порушення конфіденційності,
цілісності та доступності інформації, що містить державну та іншу, передбачену
законом, таємницю, а також конфіденційної інформації, що є власністю держави;
- витік інформації,
що становить державну та іншу, передбачену законом, таємницю, а також
конфіденційної інформації, що є власністю держави;
- порушення
цілісності та доступності важливої для держави інформації;
- спотворення
(знищення) національних інформаційних ресурсів;
- посилення
технологічної залежності України від іноземних країн в інформаційній сфері,
витіснення з національного ринку засобів інформатизації та телекомунікацій
вітчизняних виробників;
-
розв'язування інформаційного протиборства (розповсюдження
комп'ютерних "вірусів", встановлення програмних і апаратних закладних
пристроїв, впровадження радіоелектронних приладів перехоплення інформації в
технічних засобах і приміщеннях, перехоплення і дешифрування інформації,
нав'язування фальшивої інформації, радіоелектронний вплив на парольно-ключові
системи, радіоелектронне придушення ліній зв'язку і систем керування тощо).
Враховуючи існуючі
фактори формування середовища забезпечення національної безпеки, серед
пріоритетів державної політики слід відокремити діяльність щодо забезпечення
цілісності, доступності та конфіденційності інформаційних ресурсів України.
В Україні формування
та реалізація державної політики у сфері захисту державних інформаційних
ресурсів в інформаційно-телекомунікаційних системах, криптографічного та
технічного захисту інформації законодавством України покладено на Державну
службу спеціального зв'язку та захисту інформації України.
На сьогодні найбільш
актуальними питаннями забезпечення національних інтересів України в
інформаційній сфері є такі:
• Виявлення та запобігання постійно зростаючим загрозам
державним інформаційним ресурсам у тих ІТС, до яких можливо отримати доступ з
боку мережі Інтернет.
Важливим аспектом
забезпечення захисту державних інформаційних ресурсів в ІТС є, передусім,
оцінка стану їх фактичної захищеності. Джерела загроз мережевим ресурсам
здебільшого мають транснаціональний характер. У рамках виконання завдань з
координації діяльності органів державної влади, органів місцевого
самоврядування, військових формувань, підприємств, установ і організацій незалежно
від форм власності з питань запобігання, виявлення та усунення наслідків
несанкціонованих дій щодо державних інформаційних ресурсів в інформаційних,
телекомунікаційних та інформаційно-телекомунікаційних системах творено та
забезпечено функціонування підрозділу реагування на несанкціоновані дії в ІТС
CERT-UA (Computer Emergency Response Team of Ukraine).
• Активізація несанкціонованих дій відносно державних
інформаційних ресурсів різних країн світу (переважно веб-сайтів).
Постійно
здійснюються заходи щодо підвищення рівня захищеності державних електронних
інформаційних ресурсів. Найбільш вагомим з вказаних заходів є побудова та
функціонування захищеного вузла інтернет-доступу, на якому створено комплексну
систему захисту інформації з підтвердженою відповідністю. Забезпечення
антивірусного захисту державних інформаційних ресурсів здійснюється у взаємодії
з Центром антивірусного захисту інформації, який створено в рамках Національної
програми інформатизації на 2003-2005 роки.
• Невідповідність стану захищеності інформації в ІТС
державних органів вимогам законодавства і нормативних документів.
Основними причинами
порушень та недоліками у роботі із забезпечення безпеки інформації в
інформаційно-телекомунікаційних системах державних органів є невирішеність у
державі проблеми фінансування заходів із забезпечення захисту інформації в
державних органах.
Незадовільний стан
захисту інформації в державних органах обумовлюється також:
· відсутністю дієвої законодавчо визначеної організаційної інфраструктури
захисту інформації;
· недостатньою увагою переважної більшості керівників державних органів до
питань захисту інформації та недостатнім усвідомленням їх значення для
національної безпеки;
· невизначеністю на законодавчому рівні єдиного підходу та критеріїв
віднесення категорії відомостей або окремих відомостей до конфіденційної
інформації, що є власністю держави, а також віднесення інформації про особу
(баз даних з такою інформацією) до відкритої, конфіденційної або таємної;
· невизначеністю на законодавчому рівні класів (груп) інформації залежно від
необхідності забезпечення її цілісності, доступності, конфіденційності.
Найбільш характерним
порушенням є обробка інформації з обмеженим доступом в
інформаційно-телекомунікаційних системах, які підключені до глобальної мережі
передачі даних Інтернет без дотримання вимог захисту
З порушенням
законодавства про захист інформації використовуються також бази даних органів
державної влади, які містять конфіденційну інформацію, зокрема персональні
дані.
Незважаючи на вжиті
заходи, державним контролем виявлено, що стан захисту інформаційних ресурсів
держави залишається на низькому рівні що не унеможливлює нанесення шкоди
інтересам держави.
Вирішення цієї
проблеми можливе лише за умов підвищення відповідальності за порушення вимог
законодавства у сфері захисту інформації.
• Неусвідомлення переважною більшістю керівників органів
державної влади існуючих загроз для інформації.
• Недосконалість системи фінансового забезпечення захисту
інформації, зокрема кошти на захист інформації, що є власністю держави, або інформації з обмеженим доступом.
При обмеженому
обсязі коштів, що виділяються на утримання органів державної влади, та за умови
недостатнього усвідомлення значною частиною керівників цих органів значення
технічного захисту інформації для національної безпеки, фінансування заходів з
технічного захисту інформації здійснюється, як правило, за остаточним
принципом. Це не дозволяє вчасно і в повному обсязі здійснити в органах
державної влади передбачені законодавством заходи з технічного захисту
інформації.
• Неузгодженість процедур захисту конфіденційної
інформації та державних електронних інформаційних ресурсів, що містять таку
інформацію, при інформаційному обміні між органами державної влади.
Чинна законодавча та
нормативна база цілком достатня для організації та здійснення захисту
інформації про особу (зокрема персональних даних) як одного з видів інформації.
Але порушення цілісності, доступності та конфіденційності інформації про особу,
що мають місце у практиці поводження з такою інформацією в органах та
установах, обумовлені відсутністю в законодавстві України єдиних правових норм,
які дозволяли б однозначно визначати правовий режим та ступінь секретності
будь-якої інформації про особу та режим доступу до такої інформації, залежно
від ризиків для особи, державного органу або держави, що виникають при можливій
втраті або небажаному розповсюдженні такої інформації.
Недосконалість
існуючого порядку складання Переліку відомостей, які містять конфіденційну
інформацію, та орієнтовні критерії віднесення інформації до конфіденційної може
привести до несанкціонованого поширення або спотворення конфіденційної
інформації.
• Безсистемність розробки або відсутність відомчих
нормативних документів, якими нормуються питання захисту інформації в окремих
галузях, відповідальними за розвиток яких є державні органи.
Однак переважна
більшість державних органів не користуються наданими повноваженнями і не
виконують функцій центрального органу з ТЗІ у сфері свого управління. При цьому
розроблені відомчі нормативні документи стосуються, як правило, лише
організаційних питань. Нормативні ж документи технічного характеру, які б
враховували особливості застосування інформаційних технологій в галузі або
особливості функціонування певних класів чи окремих ІТС, практично не
розробляються.
На сьогодні в
Україні існує система органів, які виконують завдання в інтересах інформаційної
безпеки, і для організації ефективної взаємодії заінтересованих державних
органів щодо протидії внутрішнім та зовнішнім загрозам національній безпеці
України у кібернетичному просторі
вважаємо за доцільне підготувати відповідний спільний наказ або
нормативно-правовий документ вищого рівня, який би врегулював цю взаємодію.
Таким документом, на
кшталт Воєнній доктрині, може стати Доктрина протидії внутрішнім та зовнішнім
загрозам національній безпеці України у кібернетичному просторі. Її розробка
може бути здійснена під координацією або егідою РНБО України.