Концептуальні аспекти захисту інформації в сучасних інформаційних технологіях

ПЛАН

Вступ

1. Концептуальні аспекти захисту інформації в сучасних інформаційних технологіях.
2. Класифікація і характеристика основних способів захисту інформації в сучасних інформаційних технологіях.

Висновок

Список використаних джерел

 

 

 

ВСТУП

 

В даний час, в Україні, у зв'язку з входженням у світовий інформаційний простір, швидкими темпами впроваджуються новітні досягнення комп'ютерних і телекомунікаційних технологій. Створюються локальні і регіональні обчислювальні мережі, великі території охоплені мережами сотового зв'язку, факсимільний зв'язок став доступний для широкого кола користувачів. Системи телекомунікацій активно впроваджуються у фінансові, промислові, торгові і соціальні сфери. У зв'язку з цим різко зріс інтерес широкого кола користувачів до проблем захисту інформації.

Захист  інформації - це сукупність організаційно-технічних заходів і правових норм для попередження заподіяння збитку інтересам власника інформації. Тривалий час методи захисту інформації розроблялися тільки державними органами, а їхнє впровадження розглядалося як виключне право тієї або іншої держави. Проте в останні роки з розвитком комерційної і підприємницької діяльності збільшилося число спроб несанкціонованого доступу до конфіденційної інформації, а проблеми захисту інформації виявилися в центрі уваги багатьох вчених і спеціалістів із різноманітних країн. В наслідок цього процесу значно зросла потреба у фахівцях із захисту інформації.  

1. КОНЦЕПТУАЛЬНІ АСПЕКТИ ЗАХИСТУ ІНФОРМАЦІЇ В СУЧАСНИХ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЯХ

 

Інформаційні  технології охоплюють методи збору, обробки, перетворення, зберігання і розподілу інформації. Протягом тривалого часу ці технології розвивалися на мовній і "паперовій" буквено-цифровій основі. У цей час інформаційно-ділова активність людства зміщається в область кібернетичного простору. Цей простір стає реальністю світової спільноти і визначає перехід до "безпаперового, електронного" розвитку інформаційних технологій.

Інформаційні  процеси, що проходять повсюдно у  світі, висувають на перший план, поряд  із задачами ефективного опрацювання і передачі інформації, найважливішу задачу забезпечення безпеки інформації.

Захисту підлягає будь-яка документаційна інформація, тому що неправомірне використання інформації може нанести збитків її власнику, користувачу та іншим особам. Неправомірний доступ до інформаційних ресурсів може завдати шкоди громадянам, організаціям (юридичним особам) та державі, а також базі нормативно-технічних документів.

З ТЗІ встановлює ДСТУ 3396.0-96 „Захист інформації. Технічний  захист інформації. Основні положення”, визначається також порядок проведення робіт з технічного захисту інформації, що встановлює ДСТУ 3396.1-96 „Захист інформації. Технічний захист інформації. Порядок проведення робіт”.

Метою захисту інформації повинно бути:

- запобігання відтіканню, розкраданню, втраті, перекручуванню, підробці інформації;

- запобігання  загрозам державної безпеки, безпеки  особистості, суспільства в цілому;

- запобігання  несанкціонованим діям зі знищення  модифікації, копіювання, блокування  інформації; запобігання інших форм незаконного втручання в інформаційні ресурси та інформаційні бази даних і системи, забезпечення правового режиму документованої інформації як об‘єкта власності;

- захист конституційних  прав громадян на збереження  особистої таємниці та конфіденційності персональних даних, що є в інформаційних системах і ресурсах суб’єктів і об’єктів різних форм власності;

- збереження  державної таємниці, конфіденційності  документованої інформації згідно  з діючим законодавством;

- забезпечення  прав суб‘єктів в інформаційних процесах при розробці, виробництві та застосуванні інформаційних систем, технологій та засобів їх забезпечення.

Режим захисту інформації повинен передбачати поділ інформаційних ресурсів за такими критеріями:

- відносно віднесення  відомостей до державної таємниці, - уповноваженими органами на основі Закону України «Про державну таємницю» від 21.01.1994 № 3855-XII

- конфіденційність  документування інформації –  власником інформаційних ресурсів  чи уповноваженою особою на  основі Закону України «Про захист інформації»  від 05.07.1994 № 80/94-ВР;

- збереження  персональних даних – на основі  Закону України «Про захист  інформації»  від 05.07.1994 № 80/94-ВР.

  

2. КЛАСИФІКАЦІЯ І ХАРАКТЕРИСТИКА ОСНОВНИХ СПОСОБІВ ЗАХИСТУ ІНФОРМАЦІЇ В СУЧАСНИХ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЯХ

 

Для побудови надійної системи захисту інформації в  сучасних інформаційно-комунікаційних системах та мережах потрібно спочатку визначити ряд можливих загроз для  інформаційних ресурсів.

У справі забезпечення інформаційної безпеки успіх  може принести тільки комплексний підхід. Для захисту інтересів суб'єктів інформаційних відносин використовуються засоби такого напрямку:

1. програмно-технічного (інженерно-технічний, апаратний, програмний);
• Інженерно-технічні засоби реалізуються у виді автономних пристроїв і систем і виконують функції загального захисту об'єктів, на яких опрацьовується інформація. До них належать, наприклад, устрої захисту територій і будинків, замки на дверях, де розміщені апаратура, грати на вікнах, електронно-механічне устаткування охоронної сигнализації.
• Під апаратними технічними засобами прийнято розуміти пристрої, що вбудовуються безпосередньо в обчислювальну техніку, у телекомунікаційну апаратуру, або пристрої, що працюють з подібною апаратурою по стандартному інтерфейсу. В наш час існує широкий спектр таких приладів,  але найбільшого використання набули такі:
• спеціальні регістри для збереження реквізитів захисту: паролів, кодів ідентифікації, грифів або рівнів секретності;
• пристрої для вимірювання індивідуальних характеристик людини (голоси, відбитки) з метою його ідентифікації; 
• схеми переривання передачі інформації в лінії зв'язку з метою періодичної перевірки адреси видачі даних; 
• пристрої для шифрування інформації (криптографічні методи).
• Програмні засоби складає сукупність програмного забезпечення, для ідентифікації користувачів, контролю доступу, шифрування інформації, знищення тимчасових файлів, тестового контролю системи захисту та інше. Використання програмних засобів захисту інформації має цілий ряд переваг – універсальність, гнучкість, надійність, простота у використанні то можливість модифікації.

 

2. законодавчого (нормативно-правовий);

Законодавчі засоби захисту визначаються законодавчими актами країни, якими регламентуються правила використання, опрацювання і передачі інформації обмеженого доступу і встановлюються міри відповідальності за порушення цих правил.

Органи державної  влади та організації, відповідальні  за формування та використання інформаційних  ресурсів, що підлягають захисту, а  також органи та організації, що розробляють та застосовують інформаційні системи та технології для формування та використання інформаційних ресурсів з обмеженим доступом, керуються в своїй діяльності законодавством України.

Контроль за дотриманням вимог до захисту  інформації та експлуатації спеціальних програмно-технічних засобів захисту, а також забезпечення організаційних заходів з захисту інформаційних систем, що опрацьовують інформацію з обмеженим доступом в недержавних структурах, здійснюються органами державної влади. Організації, які опрацьовують інформацію з обмеженим доступом, що є власністю держави, створюють спеціальні служби для забезпечення захисту інформації.

Власник інформаційних  ресурсів або уповноважені ним особи  мають право здійснювати контроль за виконанням вимог по захисту інформації та забороняти чи призупиняти обробку інформації у випадку невиконання цих вимог, а також може звертатися в органи державної влади для оцінки правильності виконання та дотримання вимог по захисту його інформації в інформаційних системах. Ці органи дотримуються вимог конфіденційності інформації та результатів перевірки.

Порядок надання  користувачу інформації з вказаним місцем, часом, відповідальними посадовими особами, а також необхідними  процедурами встановлює власник  документів інформаційних систем або уповноважені ним особи відповідно до чинного законодавства, а також забезпечує умови доступу користувачів до інформації. Власник документів, масиву документів та інформаційних систем забезпечує рівень захисту інформації згідно з законодавством України.

Ризик, пов‘язаний з використанням несертифікованих інформаційних систем лежить на власнику цих систем, а ризик, пов‘язаний з використанням інформації, отриманої  з сертифікованих систем, лежить на споживачеві інформації. Власник  документів та інформаційних систем повинен сповіщати власника інформаційних ресурсів та систем про всі факти порушення режиму захисту інформації.

Захист прав суб‘єктів у сфері формування та користування інформаційними ресурсами, розробки, виробництва та застосування інформаційних систем, технологій та засобів їх забезпечення здійснюється з метою попередження правопорушень, неправомірних дій, відновлення порушених прав та відшкодування заподіяної шкоди.

Захист прав суб‘єктів у вказаній формі здійснюється судами з урахуванням специфіки правопорушення та завданих збитків. Для перегляду конфліктних ситуацій та захисту прав учасників у сфері формування та використання інформаційних ресурсів, створення та використання інформаційних систем та їх технологій і засобів їх забезпечення можуть створюватись тимчасові і постійні третейські суди.

За правопорушення при роботі з документованою інформацією  органи державної влади, організації  та їх посадові особи несуть відповідальність згідно з чинним законодавством України.

Відповідальність за порушення міжнародних норм та правил у сфері формування та використання інформаційних ресурсів, створення та використання безпечних інформаційно-захищених систем, технологій та засобів їх забезпечення покладається на відповідні органи державної влади, організації та громадян згідно з договорами, що укладені ними з зарубіжними фірмами та іншими партнерами, з урахуванням міжнародного права, щодо ратифікації зазначених документів Україною.

Відмова в доступі  до відкритої інформації чи надання споживачам завчасно недостовірної інформації можуть бути оскаржені в судовому порядку.

Невиконання чи неналежне виконання зобов‘язань, щодо домовленості, поставки, купівлі-продажу  та з інших форм обміну інформаційними ресурсами між організаціями  розглядаються арбітражним судом.

Особи, яким було відмовлено в доступі інформації, та ті, хто отримав недостовірну інформацію, мають право на відшкодування  нанесених їм збитків у судовому порядку. Суд розглядає позови та суперечки про необґрунтоване віднесення інформації до категорії інформації з обмеженим доступом з урахуванням заподіяної шкоди у випадках передбаченим законом. Необґрунтована відмова в одержані необхідної інформації споживачам та користувачам тієї чи іншої інформації лежить на керівниках, службовцях органів державної влади, та неправомірному обмеженні доступу до інформації, а також, щодо порушення режиму захисту інформації, несуть відповідальність згідно з кримінальним та цивільним законодавством про адміністративні правопорушення.

Враховуючи  вищезазначена слід відмітити, що повинен чітко працювати юридичний механізм реалізації прав захисту і надання інформації по визначеному колу питань.

 

3. адміністративного (організаційного, накази та інші дії керівництва організацій, пов'язаних з інформаційними системами, що захищаються);

Організаційні засоби захисту подають собою  організаційно-технічні й організаційно-правові  заходи, здійснювані в процесі  створення й експлуатації апаратури  телекомунікацій для забезпечення захисту інформації. Організаційні  заходи охоплюють усі структурні елементи апаратури на всіх етапах їхнього життєвого циклу (будівництво помешкань, проектування системи, монтаж і наладка устаткування, іспити й експлуатація).

Безпека інформації в системах телекомунікації забезпечується застосуванням комплексу прийомів, що можна класифікувати в такий спосіб:

- організація  охорони помешкань у тому числі  з застосуванням систем радіосигналізації;  забезпечення безпеки комп'ютерних  систем програмними й апаратними  засобами;

- періодичне  тестування помешкань методами нелінійної радіолокації;

- забезпечення  захищеності від прослуховування  засобів мобільного радіозв'язку;

- забезпечення  акустичної безпеки помешкань  і персоналу;

- криптографічні  заходи.

 

4. процедурного (заходи безпеки, орієнтовані на людей).

 

     Морально-етичні засоби захисту реалізуються у вигляді всіляких норм, що склалися традиційно в даній країні або товаристві. Ці норми здебільшого не є обов'язковими, як законодавчі норми, проте їхнє недотримання веде звичайно до втрати авторитету і престижу співробітника.

Рис. 1 «Піраміда» організації системи  захисту інформації в  сучасних інформаційних технологіях

 

Загалом в систему  забезпечення безпеки інформації можуть бути включені:

1. Служба таємності даних – може бути використана для захисту переданих даних від скресання інформації, що утримується в них, і від можливості проведення аналізу інтенсивності потоків даних між користувачами.

Механізм шифрування може забезпечувати конфіденціальність або переданих даних, або інформації про параметри трафіка і може бути використаний у деяких інших механізмах безпеки або доповнювати їх. Існування механізму шифрування припускає використання, як правило, механізму керування ключами.

2. Служба аутентифікації – призначена для підтвердження того, що в даний момент зв'язку користувач є дійсно тим користувачем, за якого він себе видає;

У механізмі  аутентифікації основна увага приділяється методам передачі в мережі інформації спеціального характеру (полей аутентифікаторів, контрольних сум і т.п.). У випадку  односторонньої або взаємної аутентифікації забезпечується процес перевірки істинності користувачів (передавача і приймача повідомлень), що гарантує запобігання з'єднання з логічним об'єктом, утвореним зловмисником.

3. Служба цілісності даних – забезпечує доказ цілісності даних у процесі їхньої передачі, тобто забезпечує захист переданих повідомлень від випадкових і навмисних впливів, спрямованих на зміну переданих повідомлень, затримку і знищення повідомлень або переупорядкування повідомлень;