Система безопасности в Бразилии

      Класифікація  суспільних відносин стосовно безпеки  інформації в автоматизованих (комп’ютерних) системах має багатоаспектний зміст, який визначається залежно від галузей знань. Проте умовно їх можна поділити на два загальні види: соціальні та технічні.

      У суспільно-правовому розумінні правовідносини інформаційної безпеки щодо захисту  інформації в автоматизованих системах мають забезпечувати нормальне (безпечне) функціонування інформаційних систем, технічну основу яких складають засоби комп’ютерної техніки та засновані  на них технології.

      Провідна  системна мета правовідносин – захист суспільних інформаційних відносин від негативних впливів на них: соціогенних (соціальних), у тому числі криміногенних; техногенних (аварій, технічних катастроф); природних (стихійних) впливів (стихійних лих).

      Важливим  аспектом загальних положень інформаційної  безпеки стосовно захисту інформації в автоматизованих системах є  наукове визначення і формулювання принципів її реалізації.

      З точки зору теорії організації систем соціального управління, зазначені принципи повинні мати чітку ієрархічну структуру, визначення за певними критеріями. Виходячи з положень природи інформаційної безпеки як тектологічного явища, пропонується поділ принципів за групами першого порядку та подальшими (підсистемні, субсистемні). До першого порядку можна віднести: організаційно-правові; організаційно-управлінські; організаційно-технічні.

      Залежно від науково-практичних потреб організаційної діяльності (організовування) принципи інформаційної безпеки можуть поділятися на групи другого та подальшого порядків.

      Важливим  аспектом проблем теорії організації  інформаційної безпеки є визначення її напрямів на засадах комплексного підходу методів захисту. Умовно можна визначити такі напрями організації захисту інформації в автоматизованих системах: правові, управлінські, інженерно - технологічні.

      Формування  будь-якої теорії у методологічному  аспекті передбачає визначення методів  пізнання предметної галузі та науково обгрунтованого впливу (організація, управління) на предметну галузь.

      Аналіз  науково-практичних джерел та емпіричного  матеріалу дозволив сформулювати предметний метод інформаційної безпеки (“метод застосування методів”, метод-принцип, мета-метод) – це комплексне застосування управлінських, правових та інженерно-технологічних  методів захисту інформації в  автоматизованих системах.

      На основі зазначених положень можна зробити висновок про існування потреби формування проблематики окремих аспектів (інститутів) загальної теорії та практики інформаційної безпеки щодо захисту інформації в автоматизованих системах. У зв’язку з цим існує можливість виділення двох частин теорії: загальної частини (фундаментальних, загальних положень) та особливої частини (відносин щодо окремих напрямів функцій на основі загальних положень).

      На  загальнотеоретичному рівні визначимося у наступних ключових особливих проблемах інформаційної безпеки стосовно організаційного аспекту захисту інформації в автоматизованих системах.

      Першу групу складають інститути проблем:

      1) доступу до інформації;

      2) забезпечення цілісності інформації  щодо загроз її порушення;

      3) комплексного контролю за інформаційними  ресурсами у певному середовищі  їх функціонування відповідно  до матеріальних носіїв інформації  – людських (соціальних), людино-машинних (людино-технічних) та технологічних;

      4) сумісності систем захисту інформації  в автоматизованих системах з  іншими системами безпеки відповідної  організаційної структури;

      5) виявлення можливих каналів несанкціонованого  витоку інформації;

      6) блокування (протидії) несанкціонованого  витоку інформації;

      7) виявлення, кваліфікації, документування, порушення стану інформаційної  безпеки, визначення санкцій і  притягнення винних до відповідальності.

      На  зазначені напрями забезпечення інформаційної безпеки відповідного об’єкта захисту впливають такі фактори:

      а) фактор рівня досягнень науково-технічного прогресу (переважно в галузі розвитку, удосконалення технічних засобів);

      б) технологічний фактор (в окремих  джерелах його ще називають алгоритмічний  фактор, коли техніка може бути однаковою, а технології її застосування різні; цей фактор ще є визначальним для формування методик як отримання інформації, так і її захисту);

      в) соціальний (людський) фактор.

      Загальний аналіз проблем організації захисту  інформації в автоматизованих системах дозволяє визначити три агреговані організаційні моделі заходів:

      1. Організація запобіжних заходів;

      2. Організація блокування (протидії) реальних загроз, що реалізуються;

      3. Організація подолання наслідків  загроз, яких не вдалося запобігти  чи блокувати.

      Важливим  елементом організації інформаційної  безпеки – захисту інформації – є поділ заходів на групи щодо протидії. В теорії і практиці майже однозначно виділяють три такі групи:

      активні засоби захисту (наприклад, розвідка, дезінформація, зашумлення тощо);

      пасивні засоби захисту (встановлення екранів  несанкціонованого витоку інформації);

      комплекс  засобів захисту (органічне поєднання  вищевказаних груп).

      Звернемо  увагу на організаційні заходи при  блокування (протидії) несанкціонованого  доступу до автоматизованої інформаційної  системи та подолання наслідків  загроз, яким не вдалося запобігти. Вони можуть бути спрямовані на: документування методів несанкціонованих дій щодо доступу до автоматизованої системи  для подальшого їх дослідження; збереження слідів правопорушення; взаємодію, за необхідності із державними правоохоронними органами, щодо виявлення та розкриття правопорушення, в тому числі за виявлення підготовки до злочину і розкриття замаху на злочин; сприяння у притягненні винних до відповідальності (кримінальної, адміністративної, цивільно-правової, дисциплінарної).

      Всі організаційні заходи щодо інформаційної безпеки, у тому числі в умовах застосування автоматизованих систем, базуються на знаннях і використанні тих чи інших фізичних явищ, що характеризують відповідні форми подання (виразу) інформації. Дані фізичні явища, зокрема ті, що може використати зловмисник, є достатньо відомими.

      Завдання  організації інформаційної безпеки  щодо захисту інформації в автоматизованих  системах визначаються за напрямом, протилежним  до загрози безпеці. При реалізації заходів захисту інформації важливим аспектом є визначення і перевірка стану безпеки. В теорії і практиці це знаходить вираз в такій категорії, як “метрологія”. За допомогою метрологічної діяльності з’ясовується рівень розробки і наявність відповідних засобів, норм і методик, що дозволяють оцінити якість функціонування системи захисту інформації, тобто визначити, чи відповідає існуючим нормам система захисту.

      Формалізація  норм і методів метрології стану  інформаційної безпеки об’єкта  знаходить вираз у відповідних  нормативних актах, що в теорії права  називають “юридико-технічними”  нормами (технічними стандартами, методичними  рекомендаціями тощо).

      При застосуванні визначених у них нормативів слід враховувати природну властивість  – втрачати з часом актуальність. Це пов’язане з тим, що з розвитком науково-технічного прогресу можуть змінюватися норми і методи контролю захищеності інформації у відповідному середовищі її існування. Практика свідчить, що, як правило, норми і методи контролю мають тенденцію до удосконалення. Попередні нормативи виступають за орієнтири, точки опори для формування нових нормативів. Сам термін “норматив” свідчить про те, що існують фундаментальні межі можливих існуючих фізичних приладів метрології на певному етапі пізнання людством законів природи.

      У ході організації, в тому числі створення  алгоритмів (методик) захисту інформації технічними засобами, завдання суб’єкта полягає не тільки у нарощуванні  існуючих засобів технічного захисту  інформації, але й в урахуванні можливих новацій. При цьому переважно повинен реалізовуватися принцип агрегації новацій до існуючої системи захисту. Краще, коли існує можливість інтеграції через новації засобів захисту і вилучення з системи захисту застарілого обладнання. Але при цьому не слід забувати, що старі засоби захисту, що можуть функціонувати автономно в системі захисту, не повинні зніматися з “озброєння” бездумно.

      Стосовно  організації захисту інформації в автоматизованих системах, то слід враховувати, що хоч в основі автоматизованої системи знаходиться технічний пристрій, який обробляє інформацію, але при його використанні так чи інакше присутній людський фактор. При цьому людина виступає безпосередньо як користувач автоматизованої системи, або опосередковано як розробник такої системи.

      З цього виходить, що на можливість надійності системи захисту інформації в автоматизованих системах впливає два взаємопов’язані фактори: людський та інженерно-технологічний.

      В аспекті теорії систем організація  захисту інформації в автоматизованих  системах передбачає обумовлене виділення  внутрішньосистемних і зовнішньосистемних ознак, що утворюють діалектичну гіперсистему організації меж безпеки.

      Зазначені елементи основ теорії організації  захисту інформації зумовлюють необхідність формування і розвитку окремих теорій інформаційної безпеки, зокрема  її складової – теорії організації  захисту інформації в автоматизованих  системах, у таких аспектах: організаційному; пов’язаному з ним правовому та інженерно-технологічному. Останній поєднує в собі взаємопов’язані технічний (апаратний) та алгоритмічний (програмний) аспекти, що можуть знаходити відображення у відповідних юридико-технічних нормах.

      Будь-яка  загальна теорія вважається науковою, коли вона має чітко визначені  методи пізнання предметної області (галузі, сфери), закономірностей природи (фізики) і суспільства. Таким чином, щоб претендувати на статус науковості, загальна теорія організації інформаційної безпеки повинна мати визначену сукупність методів пізнання її предмета і об’єкта.

      Враховуючи  міжгалузевий характер теорії організації  інформаційної безпеки, в ній  поєднуються методи пізнання традиційних фундаментальних наук: соціології та фізики. Це зумовлено безпосереднім предметом теорії – людино - машинними системами, якими є автоматизовані інформаційні системи.

      Звичайно, сферою дослідження теорії є практика захисту інформації в автоматизованих системах: її закономірності, принципи, різного рівня проблеми і завдання їх вирішення. Сьогодні формалізація проблем і завдань здійснюється переважно за допомогою методів евристики: формально-евристичним та евристичним методами. Домінуюче положення серед цих методів займає метод експертних оцінок та метод оцінки критичної маси інформації (прикладний системний аналіз). За допомогою цих методів, зокрема, робляться оцінки функціонування систем захисту інформації. Проте, ці методи мають і свої недоліки: наявність людського фактору – суб’єктивізм експерта та потенційне обмеження інформації у формі знань, якими володіє експерт.

      Подоланню цих недоліків допомагає когнітологія – наука про знання. Відповідно до положень цієї науки в загальній теорії захисту інформації визначаються за аксіоми когнітологічні положення про рівень і відносність ентропії (невизначеності) системи пізнання (людини, спільноти) та її вплив на формування теоретичних положень, їх відносну істинність на певний момент часу. Відносність істини визначається кількісними і якісними характеристиками множини знань, якими володіє той чи інший суб’єкт відносин, навичками їх застосування, інтелектуальним потенціалом та швидкістю розумових реакцій на певні ситуації. Відносність захисту інформації визначається відносністю знань суб’єкта захисту і відносністю загроз захисту, зокрема знань зловмисника.

      У контексті визначення об’єктивності  експертної оцінки організації захисту  інформації, подолання суб’єктивізму, наприклад при визначенні стану інформаційної безпеки об’єкта, застосовується метод залучення кількох експертів. Але, як справедливо відмічають деякі дослідники, при цьому виникає питання: хто може вважатися висококваліфікованим експертом (кваліфікаційні ознаки експерта) і скільки таких експертів потрібно для істинності висновків, подолання суб’єктивізму?