Меню
  Список тем
  Поиск
Полезная информация
  Краткие содержания
  Словари и энциклопедии
  Классическая литература
Заказ книг и дисков по обучению
  Учебники, словари (labirint.ru)
  Учебная литература (Читай-город.ru)
  Учебная литература (book24.ru)
  Учебная литература (Буквоед.ru)
  Технические и естественные науки (labirint.ru)
  Технические и естественные науки (Читай-город.ru)
  Общественные и гуманитарные науки (labirint.ru)
  Общественные и гуманитарные науки (Читай-город.ru)
  Медицина (labirint.ru)
  Медицина (Читай-город.ru)
  Иностранные языки (labirint.ru)
  Иностранные языки (Читай-город.ru)
  Иностранные языки (Буквоед.ru)
  Искусство. Культура (labirint.ru)
  Искусство. Культура (Читай-город.ru)
  Экономика. Бизнес. Право (labirint.ru)
  Экономика. Бизнес. Право (Читай-город.ru)
  Экономика. Бизнес. Право (book24.ru)
  Экономика. Бизнес. Право (Буквоед.ru)
  Эзотерика и религия (labirint.ru)
  Эзотерика и религия (Читай-город.ru)
  Наука, увлечения, домоводство (book24.ru)
  Наука, увлечения, домоводство (Буквоед.ru)
  Для дома, увлечения (labirint.ru)
  Для дома, увлечения (Читай-город.ru)
  Для детей (labirint.ru)
  Для детей (Читай-город.ru)
  Для детей (book24.ru)
  Компакт-диски (labirint.ru)
  Художественная литература (labirint.ru)
  Художественная литература (Читай-город.ru)
  Художественная литература (Book24.ru)
  Художественная литература (Буквоед)
Реклама
Разное
  Отправить сообщение администрации сайта
  Соглашение на обработку персональных данных
Другие наши сайты
Приглашаем посетить
  История (med.niv.ru)

    

Загальна теорія організації інформаційної безпеки щодо захисту інформації в автоматизованих сист

Загальна теорiя органiзацiї iнформацiйної безпеки щодо захисту iнформацiї в автоматизованих сист

Загальна теорiя органiзацiї iнформацiйної безпеки щодо захисту iнформацiї

Входження України в iнформацiйне суспiльство потребує наукового обґрунтування його тенденцiй, явищ, зокрема в контекстi нового змiсту такої складової суспiльних вiдносин, як iнформацiйна безпека в умовах iнформатизацiї стосовно захисту iнформацiї в автоматизованих системах вiд злочинних посягань.

Критична маса науково-практичних знань, у тому числi на рiвнi експертних оцiнок i системного аналiзу емпiричного матерiалу iсторiї розвитку iнформацiйних вiдносин, дозволяють сформувати елементи загальної теорiї органiзацiї iнформацiйної безпеки щодо захисту iнформацiї в автоматизованих системах.

Формування елементарної бази цiєї теорiї, з точки зору наукознавства, передбачає визначення методологiчних аспектiв та взаємозв’язкiв з iншими науковими дисциплiнами.

На основi теорiї критичної маси iнформацiї визначається тенденцiя, що у своїй єдностi за наукове явище, формується як мiжгалузевий комплексний iнститут (наукова дисциплiна), що створюється на межi поєднання технiчних i гуманiтарних наук: правової iнформатики, iнформацiйного права та тектологiї (теорiї органiзацiї соцiальних систем). Тобто, за природою свого походження iнформацiйна безпека має триєдиний змiст, що доповнюється i у перспективi буде доповнюватися спецiальними знаннями з iнших галузей, пiдгалузей, iнституцiй технiчних та суспiльних наук.

З точки зору теорiї органiзацiї i теорiї систем, у їх науковому синтезi – теорiї органiзацiї систем управлiння, формування цiлеспрямованих, керованих систем (у тому числi будь-яких практичних заходiв) – передбачає наявнiсть визначення елементiв системи та осмислення проблематики предметної галузi (її природи) в цiлому.

Зазначимо, що елементами системи iнформацiйної безпеки щодо захисту iнформацiї в автоматизованих системах вiд злочинних посягань виступають такi найважливiшi чинники.

перший – суб’єкти (окремi люди, їх спiльноти, рiзного роду органiзацiї, суспiльство, держава, iншi держави, їх союзи, свiтове спiвтовариство);

другий – вiдносини мiж суб’єктами (суспiльнi вiдносини), що визначаються за певними об’єктивно iснуючими критерiями - умовами.

Адмiнiстративно-правовi та кримiнально-правовi вiдносини виникають, змiнюються i припиняються за умов волевиявлення суб’єкта, надiленого публiчною владою для управлiння певною соцiальною органiзацiєю (це, переважно, держава в особi органiв публiчної влади, керiвники, посадовi особи). При таких видах суспiльних вiдносин переважає воля органу публiчної влади, що покликана чiтко визначити, сформулювати, закрiпити у вiдповiднiй юридичнiй формi свою волю щодо суспiльних вiдносин i створити механiзм їх дотримання, переважно за допомогою методiв переконання та примусу (адмiнiстративно-правової чи кримiнально-правової вiдповiдальностi).

Цивiльно-правовi вiдносини виникають, змiнюються i припиняються на умовах юридичної незалежностi i рiвностi сторiн, при взаємному волевиявленнi цих сторiн (суб’єктiв).

Вiдповiдно до положень теорiї систем визначимо елементи другого порядку – пiдсистеми, що є складовими системи першого порядку.

Серед таких iснує класифiкацiя суб’єктiв суспiльних вiдносин, яку можна розширювати залежно вiд потреб дослiдження предметної галузi. Наприклад, суб’єкти iнформацiйної безпеки можна подiлити на декiлька категорiй стосовно: правового статусу регулювання вiдносин – суб’єкти регулювання вiдносин та суб’єкти учасникiв вiдносин; мети учасникiв правовiдносин – правомiрнi учасники та правопорушники тощо.

на два загальнi види: соцiальнi та технiчнi.

Визначальними для них є тектологiчнi критерiї: органiзацiйно-управлiнськi, органiзацiйно-правовi та органiзацiйно-технiчнi (останнi визначаються також i через категорiю “iнженерно - технiчнi”).

У суспiльно-правовому розумiннi правовiдносини iнформацiйної безпеки щодо захисту iнформацiї в автоматизованих системах мають забезпечувати нормальне (безпечне) функцiонування iнформацiйних систем, технiчну основу яких складають засоби комп’ютерної технiки та заснованi на них технологiї.

Провiдна системна мета правовiдносин – захист суспiльних iнформацiйних вiдносин вiд негативних впливiв на них: соцiогенних (соцiальних), у тому числi кримiногенних; техногенних (аварiй, технiчних катастроф); природних (стихiйних) впливiв (стихiйних лих).

Важливим аспектом загальних положень iнформацiйної безпеки стосовно захисту iнформацiї в автоматизованих системах є наукове визначення i формулювання принципiв її реалiзацiї.

як тектологiчного явища, пропонується подiл принципiв за групами першого порядку та подальшими (пiдсистемнi, субсистемнi). До першого порядку можна вiднести: органiзацiйно-правовi; органiзацiйно-управлiнськi; органiзацiйно-технiчнi.

Залежно вiд науково-практичних потреб органiзацiйної дiяльностi (органiзовування) принципи iнформацiйної безпеки можуть подiлятися на групи другого та подальшого порядкiв.

в автоматизованих системах: правовi, управлiнськi, iнженерно - технологiчнi.

Формування будь-якої теорiї у методологiчному аспектi передбачає визначення методiв пiзнання предметної галузi та науково обгрунтованого впливу (органiзацiя, управлiння) на предметну галузь.

управлiнських, правових та iнженерно-технологiчних методiв захисту iнформацiї в автоматизованих системах.

На основi зазначених положень можна зробити висновок про iснування потреби формування проблематики окремих аспектiв (iнститутiв) загальної теорiї та практики iнформацiйної безпеки щодо захисту iнформацiї в автоматизованих системах. У зв’язку з цим iснує можливiсть видiлення двох частин теорiї: загальної частини (фундаментальних, загальних положень) та особливої частини (вiдносин щодо окремих напрямiв функцiй на основi загальних положень).

На загальнотеоретичному рiвнi визначимося у наступних ключових особливих проблемах iнформацiйної безпеки стосовно органiзацiйного аспекту захисту iнформацiї в автоматизованих системах.

Першу групу складають iнститути проблем:

2) забезпечення цiлiсностi iнформацiї щодо загроз її порушення;

3) комплексного контролю за iнформацiйними ресурсами у певному середовищi їх функцiонування вiдповiдно до матерiальних носiїв iнформацiї – людських (соцiальних), людино-машинних (людино-технiчних) та технологiчних;

4) сумiсностi систем захисту iнформацiї в автоматизованих системах з iншими системами безпеки вiдповiдної органiзацiйної структури;

5) виявлення можливих каналiв несанкцiонованого витоку iнформацiї;

6) блокування (протидiї) несанкцiонованого витоку iнформацiї;

На базi аналiзу наявного матерiалу пропонується здiйснити узагальнення на рiвнi теоретичних засад (основ) органiзацiї захисту iнформацiї в автоматизованих системах як функцiї. Для цього органiзацiю захисту iнформацiї в автоматизованих системах умовно подiляємо на три рiвнi. За основу подiлу визначено такий критерiй, як середовище, в якому знаходиться iнформацiя:

а) соцiальне середовище (окрема людина, спiльноти людей, держава);

б) iнженерно-технологiчне (машинне, апаратно-програмне, автоматичне) середовище;

в) людино - машинне (автоматизоване) середовище.

Кожен з рiвнiв середовища об’єктивно доповнює i взаємообумовлює iншi рiвнi, утворюючи триєдину гiперсистему: органiзацiя стану iнформацiйної безпеки у просторi, колi осiб, на певний момент часу. В цiй гiперсистемi визначальними є такi напрями (пiдрiвнi, субрiвнi), що визначаються на основi iнтегративного пiдходу протилежностей (антиподiв) – впливу i протидiї:

1. Органiзацiя протидiї небажаному для суб’єкта впливу за допомогою технiчних засобiв захисту, тобто засоби захисту iнформацiї повиннi бути адекватними засобам її добування (наприклад, розвiдки: протидiя розвiдцi (контррозвiдка) технiчними засобами, вiдповiдними технiчними засобами захисту; створення системи просторового зашумлення для приховування iнформацiї у вiдповiдному середовищi (акустично - звуковому); аудiо- вiдео- електромагнiтному чи екранування засобiв комп’ютерної (електронно-обчислювальної) технiки у примiщеннi).

2. Органiзацiя протидiї негативному впливу на учасникiв iнформацiйних вiдносин (наприклад, конкурентiв – на персонал органiзацiї з метою отримання iнформацiї; протидiя пiдкупу персоналу; впровадження представника конкурента в органiзацiю для отримання iнформацiї з обмеженим доступом тощо). Стосовно цього фактору та деяких iнших можна застосувати принцип, що визначено у народнiй мудростi: “Клин клином вибивають”.

i моральних втрат, за необхiдностi – взаємодiя з державними правоохоронними та судовими органами щодо притягнення винних до вiдповiдальностi згiдно з законодавством).

На зазначенi напрями забезпечення iнформацiйної безпеки вiдповiдного об’єкта захисту впливають такi фактори:

а) фактор рiвня досягнень науково-технiчного прогресу (переважно в галузi розвитку, удосконалення технiчних засобiв);

б) технологiчний фактор (в окремих джерелах його ще називають алгоритмiчний фактор, коли технiка може бути однаковою, а технологiї її застосування рiзнi; цей фактор ще є визначальним для формування методик як отримання iнформацiї, так i її захисту);

в) соцiальний (людський) фактор.

Загальний аналiз проблем органiзацiї захисту iнформацiї в автоматизованих системах дозволяє визначити три агрегованi органiзацiйнi моделi заходiв:

1. Органiзацiя запобiжних заходiв;

2. Органiзацiя блокування (протидiї) реальних загроз, що реалiзуються;

3. Органiзацiя подолання наслiдкiв загроз, яких не вдалося запобiгти чи блокувати.

Важливим елементом органiзацiї iнформацiйної безпеки – захисту iнформацiї – є подiл заходiв на групи щодо протидiї. В теорiї i практицi майже однозначно видiляють три такi групи:

активнi засоби захисту (наприклад, розвiдка, дезiнформацiя, зашумлення тощо);

пасивнi засоби захисту (встановлення екранiв несанкцiонованого витоку iнформацiї);

комплекс засобiв захисту (органiчне поєднання вищевказаних груп).

Звернемо увагу на органiзацiйнi заходи при блокування (протидiї) несанкцiонованого доступу до автоматизованої iнформацiйної системи та подолання наслiдкiв загроз, яким не вдалося запобiгти. Вони можуть бути спрямованi на: документування методiв несанкцiонованих дiй щодо доступу до автоматизованої системи для подальшого їх дослiдження; збереження слiдiв правопорушення; взаємодiю, за необхiдностi iз державними правоохоронними органами, щодо виявлення та розкриття правопорушення, в тому числi за виявлення пiдготовки до злочину i розкриття замаху на злочин; сприяння у притягненнi винних до вiдповiдальностi (кримiнальної, адмiнiстративної, цивiльно-правової, дисциплiнарної).

Всi органiзацiйнi заходи щодо iнформацiйної безпеки, у тому числi в умовах застосування автоматизованих систем, базуються на знаннях i використаннi тих чи iнших фiзичних явищ, що характеризують вiдповiднi форми подання (виразу) iнформацiї. Данi фiзичнi явища, зокрема тi, що може використати зловмисник, є достатньо вiдомими.

аспектом є визначення i перевiрка стану безпеки. В теорiї i практицi це знаходить вираз в такiй категорiї, як “метрологiя”. За допомогою метрологiчної дiяльностi з’ясовується рiвень розробки i наявнiсть вiдповiдних засобiв, норм i методик, що дозволяють оцiнити якiсть функцiонування системи захисту iнформацiї, тобто визначити, чи вiдповiдає iснуючим нормам система захисту.

Формалiзацiя норм i методiв метрологiї стану iнформацiйної безпеки об’єкта знаходить вираз у вiдповiдних нормативних актах, що в теорiї права називають “юридико-технiчними” нормами (технiчними стандартами, методичними рекомендацiями тощо).

При застосуваннi визначених у них нормативiв слiд враховувати природну властивiсть – втрачати з часом актуальнiсть. Це пов’язане з тим, що з розвитком науково-технiчного прогресу можуть змiнюватися норми i методи контролю захищеностi iнформацiї у вiдповiдному середовищi її iснування. Практика свiдчить, що, як правило, норми i методи контролю мають тенденцiю до удосконалення. Попереднi нормативи виступають за орiєнтири, точки опори для формування нових нормативiв. Сам термiн “норматив” свiдчить про те, що iснують фундаментальнi межi можливих iснуючих фiзичних приладiв метрологiї на певному етапi пiзнання людством законiв природи.

але й в урахуваннi можливих новацiй. При цьому переважно повинен реалiзовуватися принцип агрегацiї новацiй до iснуючої системи захисту. Краще, коли iснує можливiсть iнтеграцiї через новацiї засобiв захисту i вилучення з системи захисту застарiлого обладнання. Але при цьому не слiд забувати, що старi засоби захисту, що можуть функцiонувати автономно в системi захисту, не повиннi знiматися з “озброєння” бездумно.

Стосовно органiзацiї захисту iнформацiї в автоматизованих системах, то слiд враховувати, що хоч в основi автоматизованої системи знаходиться технiчний пристрiй, який обробляє iнформацiю, але при його використаннi так чи iнакше присутнiй людський фактор. При цьому людина виступає безпосередньо як користувач автоматизованої системи, або опосередковано як розробник такої системи.

З цього виходить, що на можливiсть надiйностi системи захисту iнформацiї в автоматизованих системах впливає два взаємопов’язанi фактори: людський та iнженерно-технологiчний.

В аспектi теорiї систем органiзацiя захисту iнформацiї в автоматизованих системах передбачає обумовлене видiлення внутрiшньосистемних i зовнiшньосистемних ознак, що утворюють дiалектичну гiперсистему органiзацiї меж безпеки.

Зазначенi елементи основ теорiї органiзацiї захисту iнформацiї зумовлюють необхiднiсть формування i розвитку окремих теорiй iнформацiйної безпеки, зокрема її складової – теорiї органiзацiї захисту iнформацiї в автоматизованих системах, у таких аспектах: органiзацiйному; пов’язаному з ним правовому та iнженерно-технологiчному. Останнiй поєднує в собi взаємопов’язанi технiчний (апаратний) та алгоритмiчний (програмний) аспекти, що можуть знаходити вiдображення у вiдповiдних юридико-технiчних нормах.

Будь-яка загальна теорiя вважається науковою, коли вона має чiтко визначенi методи пiзнання предметної областi (галузi, сфери), закономiрностей природи (фiзики) i суспiльства. Таким чином, щоб претендувати на статус науковостi, загальна теорiя органiзацiї iнформацiйної безпеки повинна мати визначену сукупнiсть методiв пiзнання її предмета i об’єкта.

теорiї – людино - машинними системами, якими є автоматизованi iнформацiйнi системи.

Звичайно, сферою дослiдження теорiї є практика захисту iнформацiї в автоматизованих системах: її закономiрностi, принципи, рiзного рiвня проблеми i завдання їх вирiшення. Сьогоднi формалiзацiя проблем i завдань здiйснюється переважно за допомогою методiв евристики: формально-евристичним та евристичним методами. Домiнуюче положення серед цих методiв займає метод експертних оцiнок та метод оцiнки критичної маси iнформацiї (прикладний системний аналiз). За допомогою цих методiв, зокрема, робляться оцiнки функцiонування систем захисту iнформацiї. Проте, цi методи мають i свої недолiки: наявнiсть людського фактору – суб’єктивiзм експерта та потенцiйне обмеження iнформацiї у формi знань, якими володiє експерт.

Подоланню цих недолiкiв допомагає когнiтологiя – наука про знання. Вiдповiдно до положень цiєї науки в загальнiй теорiї захисту iнформацiї визначаються за аксiоми когнiтологiчнi положення про рiвень i вiдноснiсть ентропiї (невизначеностi) системи пiзнання (людини, спiльноти) та її вплив на формування теоретичних положень, їх вiдносну iстиннiсть на певний момент часу. Вiдноснiсть iстини визначається кiлькiсними i якiсними характеристиками множини знань, якими володiє той чи iнший суб’єкт вiдносин, навичками їх застосування, iнтелектуальним потенцiалом та швидкiстю розумових реакцiй на певнi ситуацiї. Вiдноснiсть захисту iнформацiї визначається вiдноснiстю знань суб’єкта захисту i вiдноснiстю загроз захисту, зокрема знань зловмисника.

У контекстi визначення об’єктивностi експертної оцiнки органiзацiї захисту iнформацiї, подолання суб’єктивiзму, наприклад при визначеннi стану iнформацiйної безпеки об’єкта, застосовується метод залучення кiлькох експертiв. Але, як справедливо вiдмiчають деякi дослiдники, при цьому виникає питання: хто може вважатися висококвалiфiкованим експертом (квалiфiкацiйнi ознаки експерта) i скiльки таких експертiв потрiбно для iстинностi висновкiв, подолання суб’єктивiзму? [1]

Наявнiсть людського фактору має провiдне значення в теорiї органiзацiї захисту iнформацiї. Через цей елемент теорiя органiзацiї захисту iнформацiї як система знань має предметний гiперзв’язок з такими фундаментальними гуманiтарними науками, як соцiологiя та соцiальна психологiя.

стосовно того, що органiзацiя захисту iнформацiї повинна враховувати не тiльки складнiсть технiчних та технологiчних компонентiв системи, а й людський фактор, наявнiсть можливих ресурсiв, якими володiє суб’єкт захисту. При формуваннi конкретної системи технiчного захисту повиннi враховуватися якiснi iндивiдуально- та соцiально-психологiчнi, моральнi, етичнi та iншi особистi характеристики людей, яких задiяно в системi захисту iнформацiї.

У даному аспектi визначається також напрям теорiї щодо оцiнки, характеристики зловмисникiв, якi посягають на безпеку iнформацiйної системи. В цьому аспектi теорiя захисту iнформацiї має логiчний зв’язок з кримiнологiєю, її складовими вченнями: вiктимологiєю та теорiєю формування соцiально-психологiчного портрету зловмисника.

Правовий напрям теорiї захисту iнформацiї також визначається необхiднiстю формування правил поведiнки, вiдносин у так званому вертуальному чи кiбер просторi. У даному аспектi теорiя захисту iнформацiї пов’язана з iнформацiйним правом та правовою iнформатикою. Щодо формування методик виявлення та розкриття злочинiв, що вчиняються за допомогою сучасних iнформацiйних технологiй, теорiя захисту iнформацiї формує понятiйний апарат такої iнституцiї кримiналiстики, як кримiналiстична iнформатика.

При формуваннi системи захисту iнформацiї виникає необхiднiсть застосування методiв iнтеграцiї та агрегацiї складових системи, її пiдсистем, що стає можливим при адаптацiї до предметної областi теорiї алгоритмiзацiї, моделювання, теорiї систем.

щодо їх форми, назви, вiдповiдностi форми i змiсту: Закон України “Про Концепцiю Нацiональної програми iнформатизацiї”; Положення про технiчний захист iнформацiї в Українi (затверджене Постановою Кабiнету Мiнiстрiв України вiд 09. 09. 1994 р. № 632) та ряд iнших законодавчих та пiдзаконних нормативних актiв центральних органiв виконавчої влади. Зразу ж зазначимо, що важливiсть цих нормативних актiв не принижується; вони, безсумнiвно, мають велике значення в системi регулювання суспiльних вiдносин. Ми звертаємо увагу на їх суспiльно-когнiтивний та праксеологiчний аспекти.

Когнiтивно-юридичний аналiз зазначених нормативно-правових актiв з позицiй накопичених наукових знань сьогодення свiдчить про те, що в суспiльствi вже сформувалося усвiдомлення необхiдностi формування iнституцiї суспiльних вiдносин – iнформацiйної безпеки (захисту iнформацiї). Але рiвень ентропiї, який iснував на момент прийняття нормативно-правових актiв у цiй галузi суспiльних вiдносин об’єктивно не дозволив сформувати їх змiст в обсязi, необхiдному для практики. До того ж практика розвивалася, апробуючи юридичнi норми за стандарти (алгоритми).

Зазначенi нормативно-правовi акти створили передумову формування умовно автономної теорiї, в рамках якої повинен сформуватися специфiчний понятiйний апарат (термiнологiя, категорiї), який би став стандартом для розумiння широким загалом сутi нових соцiальних явищ, у тому числi передачi iнформацiї у формi знань в межах навчальної дисциплiни при пiдготовцi фахiвцiв (кадрiв) у сферi iнформацiйної безпеки, захистi iнформацiї.