Современные
информационные технологии.
Информационная безопасность.
К.т.н. НАУ Чунарьова А.В., Зюбіна
Р.В.
ПРОБЛЕМИ
ЗАХИСТУ ІНФОРМАЦІЇ В СУЧАСНИХ ІНФОРМАЦІЙНО-КОМУНІКАЦІЙНИХ СИСТЕМАХ ТА МЕРЕЖАХ
Актуальність
Інформаційно-комунікаційні
системи та мережі – невід’ємна частина сучасного світу, бізнесу, політики,
державних і регіональних органів. Головним
завданням є забезпечення безпеки інформації, розмежування доступу, авторизація
користувача і даних. Найбільш актуальним є питання безпеки інформації для
корпоративної організацій і підприємств з розгалуженою структурою (філії,
агентства).
Збільшення кількості
користувачів, розширення спектру послуг, збільшення потоку передачі даних
вимагає складної і точно побудованої системи управління мережею. Інформаційні
потоки: електронна пошта, передачі конфіденційних даних, он-лайн спілкування,
отримання віддаленого доступу до бази даних головного офісу і т.д. являються
об’єктом несанкціонованого доступу з боку зловмисників. Саме тому при
адмініструванні таких інформаційних мереж постають певні проблеми, а саме
проблема захисту інформаційно-комунікаційних систем, що розуміє під собою стан
захищеності властивостей інформаційних ресурсів (цілісності, доступності,
конфіденційності) системи, що забезпечує нормальний процес функціонування
інформаційно-комунікаційних систем та мереж (ІКСМ) з умов гарантованого надання
встановленого переліку послуг системи.
Метою роботи є проведення аналізу проблем забезпечення інформаційної безпеки в сучасних
інформаційних мережах. На основі проведеного аналізу визначення пріоритетних
напрямів захисту інформації.
Аналіз проблем забезпечення інформаційної безпеки
Для забезпечення
основних властивостей інформації, яка становить певну цінність і є важливою для
її власника, існує цілий ряд нормативно-правових документів. Використовується досить
дороге технічне обладнання, запроваджуються строго регламентовані організаційні
заходи, однак все це не може гарантувати у повній мірі бажаний результат. Цьому
є певний ряд причин, які можна розділити на три групи:
ü нехтування системного підходу до методів захисту інформації;
ü відсутність механізмів повного і достовірного підтвердження якості захисту
інформації;
ü недоліки нормативно-правового забезпечення інформаційної безпеки;
ü відсутня система менеджменту та управління інформаційною безпекою.
Під поняттям інформаційної
безпеки
будемо розуміти стан захищеності
життєво важливих інтересів людини, суспільства і держави, при якому
запобігається нанесення шкоди через: неповноту, невчасність та невірогідність
інформації, що використовується; негативний інформаційний вплив; негативні
наслідки застосування інформаційних технологій; несанкціоноване розповсюдження,
використання і порушення цілісності, конфіденційності та доступності інформації.
Для вирішення
проблеми забезпечення інформаційної безпеки, необхідно чітко визначити та
сформулювати цілі та задачі захисту інформації. Крім того, потрібно ясно
розуміти те, що чим конкретніше вони сформульовані, чим краще визначений комплекс
обмежень та якість ресурсів, тим вірогідніше отримання бажаного результату.
Якщо ціль захисту інформації по своєму характеру нескладна, то її реалізація
цілком можлива і не вимагає використаннясерйозних ресурсів. Проте, чим більші
вимоги ставляться до системи захисту інформації, тим важча і складніша
реалізація поставленої задачі. В даному випадку кожен окремий елемент порівняно
втрачає свою вагу, але в комплексі створює значно надійнішу й потужнішу
систему. Найперше у таких системах потрібно робити акцент не на властивості
кожного окремого елемента, а на їх взаємодії. Саме завдяки цьому система
набуває таких специфічних властивостей, які не притаманні жодному з даних
елементів.
Базові напрями організації
захисту інформації ІКСМ.
Для побудови надійної
системи захисту інформації в сучасних інформаційно-комунікаційних системах та
мережах потрібно спочатку визначити ряд можливих загроз для інформаційних
ресурсів.
У справі забезпечення інформаційної безпеки успіх
може принести тільки комплексний підхід. Для захисту інтересів суб'єктів
інформаційних в сучасних ІКСМ необхідно поєднувати заходи наступних рівнів:
ü
законодавчого (нормативно-правовий);
ü
адміністративного (організаційного, накази та інші
дії керівництва організацій, пов'язаних з інформаційними системами, що
захищаються);
ü
процедурного (заходи безпеки, орієнтовані на
людей);
ü
програмно-технічного (інженерно-технічний, апаратний,
програмний).
Законодавчий рівень є найважливішим для
забезпечення інформаційної безпеки. Більшість людей не здійснюють протиправних
дій не тому, що це технічно неможливо, а тому, що це засуджується і/або
карається суспільством, тому, що так поступати не прийнято.
Основними властивостями
інформації є цілісність, конфіденційність і доступність. Порушення однієї з них
може спричинити численні зміни, чи навіть цілковиту втрату цінної інформації.
Саме модель можливих загроз, допоможе впоратись із цією проблемою.
Беручи до уваги всю
необхідність та варіанти створення
інформаційної безпеки, можна побудувати своєрідну «піраміду» комплексної
системи захисту інформації в інформаційно-комунікаційних системах та мережах.
Нормативно-правовий
захист інформації являється таким собі
фундаментом побудови всієї інформаційної безпеки підприємства, організації,
установи. Як відомо, право – це
сукупність установлених чи санкціонованих державою загальнообов’язкових правил
поведінки (норм), дотримання яких забезпечується методами державного впливу. Правовий
елемент інформаційного захисту складають законодавчі засоби захисту інформації,
які є множиною нормативно-правових актів (конвенції, закони, укази, постанови,
нормативні документи тощо), що діють у певній державі і забезпечують юридичну
підтримку для розв’язання задач захисту інформації. В Україні Основним Законом
являється Конституція.
Рис.
1 «Піраміда» організації системи захисту інформації в
сучасних
ІКСМ
Для створення
правового захисту підприємства, організації, установи, необхідно організувати
юридично закріплені правові взаємовідносини між державою та підприємством, щодо
правомірності використання інформаційної безпеки, між підприємством та
персоналом щодо обов’язковості дотримання порядку захисту інформаційних
ресурсів.
Організаційний
захист інформації – регламентація виробничої
діяльності та взаємовідносин виконавців на нормативно-правовій основі.
На даному етапі
побудови системи захисту потрібно організувати регламентований режим та охорону
приміщення в якому знаходиться інформація. Провести організаційні роботи із
співробітниками, використовувати методи їх аутентифікації та ідентифікації,
створити обмеження щодо доступу. Невід'ємною частиною є організація роботи з
документами та документованою інформацією. Обов'язкове використання технічних
заходів, таких як передавачі, приймачі, сканери, відеокамери, шумогенератори та
техніка перехоплення. Особливо важливим моментом є детальний аналіз всіх
можливих загроз, а також організація з
проведення систематичного контролю.
Інженерно-технічний
захист інформації виступає невід'ємною частиною
побудови комплексної системи захисту інформації, адже саме він дозволяє
попередити несанкціонований доступ до інформаційних ресурсів, запобігти витоку
інформації технічними каналами зв'язку.
Основними задачами
цієї ланки інформаційної безпеки є:
ü попередження проникнення зловмисника до інформації з метою її знищення,
змінення чи викрадення;
ü захист носіїв інформації від їх знищення в результаті різного впливу;
ü запобігання витоку інформації різними технічними каналами.
Апаратний захист інформації
розуміє під собою наявність апаратного забезпечення, яке
в певній мірі гарантує ступінь захищеності важливих даних. До апаратних засобів
захисту інформації відносяться різні електронні, електронно-механічні та
електронно-оптичні прилади. В наш час існує широкий спектр таких приладів, але найбільшого використання набули такі:
ü спеціальні регістри для збереження реквізитів захисту: паролів, кодів
ідентифікації, грифів або рівнів секретності;
ü пристрої для вимірювання індивідуальних характеристик людини (голоси,
відбитки) з метою його ідентифікації;
ü схеми переривання передачі інформації в лінії зв'язку з метою періодичної
перевірки адреси видачі даних;
ü пристрої для шифрування інформації (криптографічні методи).
Програмний захист
інформації–складає сукупність програмного
забезпечення, для ідентифікації користувачів, контролю доступу, шифрування
інформації, знищення тимчасових файлів, тестового контролю системи захисту та
інше. Використання програмних засобів захисту інформації має цілий ряд переваг
– універсальність, гнучкість, надійність, простота у використанні то можливість
модифікації.
Висновок
Підводячи підсумок, можна
сказати, що створення комплексної системи захисту інформації потребує
глобального підходу до всіх аспектів цього питання. Саме поетапне виконання
правового, організаційного, інженерно-технічного, апаратного та програмного
рівнів побудови інформаційної безпеки дасть можливість створити цілісну систему
для забезпеченнянадійної безпеки інформації. Вивчення та побудова моделі
загрози дасть можливість виявити слабкі місця у системі та усунути їх. Отже,
проблеми захисту інформації в сучасних інформаційно-комунікаційних системах та
мережах потребують комплексного підходу у вирішенні питання інформаційної
безпеки.
Література
1.
Анин Б. Защита компьютерной информации.
— СПб.: БХВ-Петербург, 2000. — 384 с.
2.
Гайворонський М.В., Новіков О.М.
Безпека інформаційно-комунікаційних систем. – К.: Видавнича група BHV,2009. –
608 с., іл.
3.
Домарев В.В. Безопасность
информационных технологий. Системный подход. – К.: ООО «ТИД «ДС», 2004. – 992
с.
4.
Дронь М.М., Малайчук В.П., Петренко
О.М. Основи теорії захисту інформації: Навч. посібник. – Д.: Вид-во Дніпропетр.
ун-ту, 2001. – 312 с.
5.
Конахович Г.Ф., Корченко О.Г., Юдін
О.К., Захист інформації в мережах передачі даних: Підручник. – К.: Видавництво ТОВ НВП «ІНТЕРСЕРВІС»,
2009. – 714с., іл.