Захист інформації в автоматизованих системах

Сукупність систем, що забезпечують продукування, накопичення, зберігання та поширення інформаційної  продукції, виробництво засобів  створення інформаційної продукції  та їх поширення, виробництво інформаційних  технологій, сервісне обслуговування елементів інфраструктури, підготовку кадрів називають інформаційною  інфраструктурою. Інформаційне середовище – це сукупність інформаційної інфраструктури, інформаційних ресурсів та інформаційних відносин.

Документування  інформації (створення офіційного документа) є неодмінною умовою включення інформації в інформаційні ресурси. Варто враховувати, що документ може бути не тільки і навіть не стільки управлінським (діловим), як мати переважно текстову, табличну чи анкетну форму. Багато цінних документів представлені в зображувальному  вигляді, зокрема це конструкторські  документи, картографічні, науково-технічні, документи на фотографічних, магнітних  та інших носіях. Адже документ –  це передбачена законом матеріальна  форма одержання, зберігання , використання і поширення інформації шляхом фіксації її на папері, магнітній, кіно-, відео-, фотоплівці або на іншому носієві (ст. 27 Закону України «Про інформацію» від 2 жовтня 1992 року.

Конституційні права  людини і громадянина в Україні  на інформацію, її вільне отримання, використання, поширення та зберігання в обсягах, необхідних для реалізації кожним своїх  прав, свобод і законних інтересів, чинним законодавством держави закріплюються  і гарантуються [4].

2. Відповідальність за порушення «інформаційного законодавства»

Інформація, згідно з законом “Про інформацію”, є  об’єктом права власності, а з  іншого боку, являє собою нематеріальний об’єкт, що зумовлює неможливість застосування форм охорони інтересів власника, розроблених речовим правом, у  зв’язку з певними якостями інформації (неможливість її вилучення з обігу  внаслідок копіювання і відбиття у свідомості споживача, збільшення вартості інформації за її тиражування  та ін.). Суттєві прогалини законодавства  наявні саме щодо захисту права власності  на інформацію. Стаття 47 закону “Про iнформацiю”, що містить перелік порушень в галузі інформації, взагалі не передбачає складів правопорушень проти власностi на інформацію. Інформація як об’єкт власності практично позбавлена й кримінально-правового захисту, окрiм статей, що передбачають злочини, об’єктом яких є не відносини власності, а інші суспiльнi відносини, що охороняються правом

Чинний Кримінальний Кодекс містить ряд складів злочинів, що можуть бути віднесені до категорії  інформаційних. Але більшість складів  інформаційних злочинів віднайшла  лише криміналістичне закріплення, а тому ці діяння не розглядаються  як злочинні. Ті склади злочинів, що закріплені в статтях чинного КК і мають  характер інформаційних (посягають  на цілісність, достовірність, законну  приналежність інформації, її матеріальних носіїв, на інформаційні права громадян, або вчинені за допомогою інформації, – злочини проти інформаційної безпеки) законодавець інформаційними не визнає. Такі статті розміщені в різних розділах КК, що зумовлює визначення родових об’єктів цих злочинів різними. Враховуючи сучасний рівень розвитку інформаційних відносин та зростаючу значимість інформаційних ресурсів, доречно було б виділити в окрему групу власне інформаційні злочини, родовим об’єктом яких є суспільні відносини в сфері інформаційної безпеки в Україні (забезпечення безпеки інформації, безпеки від впливу інформацією та захисту прав суб’єктів на інформацію). Тобто, створити окремий розділ КК України, присвячену інформаційним злочинам (не лише комп’ютерним, чи пов’язаних з порушенням авторських і суміжних прав) [2].

Проблема вдосконалення  законодавчого регулювання питань захисту інформації, безумовно, пов’язана  з особливістю інформації як об’єкту  правовідносин. Тому при розробці законодавчої бази в сфері захисту інформації увагу треба приділити відносинам, що виникають з приводу права  власності та інтелектуальної власності  на інформацію та похідних від нього (делегування окремих повноважень  власника). Така особливість відбивається і на ознаках інформації як предмета протиправних посягань. При цьому  необхідно визначити шляхи та засоби захисту інформації, права  та обов’язки суб’єктів інформаційних  відносин, що виникають в зв’язку  зі збиранням, використанням, обробкою інформації та її зберіганням і захистом, а також передбачити відповідальність за протиправні посягання в сфері  інформації і можливі склади таких  правопорушень. Необхідним є встановлення порядку визначення категорії інформації в залежності від важливості інформації, а також від розміру гаданих  збитків від несанкціонованого  доступу, розголошення, витоку та впливу, визначення належного рівня захисту  в залежності від категорії інформації та загроз інформаційній безпеці, а  також порядку забезпечення такого рівня [3].

3. Інформаційна безпека

Відповідно до постанови Кабінету Міністрів України  «Про затвердження Порядку взаємодії  органів виконавчої влади з питань захисту державних інформаційних  ресурсів в інформаційних та телекомунікаційних системах» від 16 листопада 2002 р. № 1772 органи виконавчої влади з метою  захисту державних інформаційних  ресурсів в інформаційних та телекомунікаційних системах.

Необхідною складовою  інформаційної безпеки є захист інформації від її втрати, витоку або  розголошення. Зазвичай зловмисників цікавить передусім виробничо-технологічна інформація (методи виготовлення продукції, програмне забезпечення, виробничі  показники, хімічні формули, рецептури, результати випробувань дослідних  зразків, дані контролю якості тощо) та ділова (результати дослідження ринку, списки клієнтів, економічні прогнози, стратегія дій на ринку тощо). Іноземні спецслужби може цікавити також  стратегічно важлива для України інформація.

Відповідно до інтересів забезпечення національної безпеки і ступеня цінності для  держави, а також правових, економічних  та інших інтересів користувачів, за режимом доступу інформація поділяється  на відкриту інформацію, тобто загальнодоступну, яка використовується в роботі без  спеціального дозволу, поширюється  через засоби масової інформації, оголошується на конференціях, у виступах та інтерв’ю; та інформацію з обмеженим  доступом, яка містить відомості, що становлять той чи той вид таємниці і підлягають захисту як з боку держави, так і відповідних користувачів [4].

1. Порядок обігу інформації з обмеженим доступом

Порядок обігу  інформації з обмеженим доступом регулює ст. 30 Закону України «Про інформацію». Інформація з обмеженим  доступом за своїм правовим режимом  поділяється на конфіденційну і таємну.

Конфіденційна інформація – це відомості, які перебувають  у володінні, користуванні або розпорядженні  окремих фізичних чи юридичних осіб і поширюються за їх бажанням відповідно до передбачених ними умов.

До конфіденційної інформації належить медична, тобто  свідчення про стан здоров’я людини, історію її хвороби, про мету запропонованих досліджень і лікувальних заходів, прогноз можливого розвитку захворювання, в тому числі і про наявність  ризику для життя і здоров’я (ст. ст. 39, 40 Основ законодавства України про охорону здоров’я від 19 листопада 1992 р.). Конфіденційними також є відомості, що містяться у деклараціях державних службовців, які подаються ними на підставі ст. 13 Закону України від 16 грудня 1993 р. «Про державну службу». Згідно зі ст. 30 Закону України від 27 березня 1991 р. «Про підприємства в Україні» під комерційною таємницею підприємства розуміють відомості, пов’язані з виробництвом, технологічною інформацією, управлінням, та іншою діяльністю підприємства, що не є державною таємницею, розголошення (передача, витік) яких може дати шкоди його інтересам. Склад і обсяг відомостей, що становлять комерційну таємницю та порядок її захисту визнаються керівником підприємства. Стаття 9 Закону України «Про адвокатуру» від 19 грудня 1999 р. № 2887-ХІІ визначає, предметом адвокатської таємниці є питання, з яких громами або юридична особа зверталися до адвоката, суть консультацій, порад, роз’яснень та інших відомостей, одержаних адвокатом при здійсненні своїх професійних обов’язків [2].

Громадяни, юридичні особи, які володіють інформацією  професійного, ділового, виробничого, банківського, комерційного та іншого характеру, одержаною на власні кошти, або яка є предметом їх професійного, ділового, виробничого, комерційного та іншого інтересу і не порушує передбаченої законом таємниці, самостійно визначають режим доступу до неї, включаючи  належність її до категорії конфіденційності, та встановлюють для неї систему (способи) захисту. До банківської таємниці належить інформація щодо діяння та фінансового  стану клієнта, яка стала відомою  банку у процесі обслуговування клієнта та взаємовідносин з ним  чи іншим особам при наданні послуг банку і розголошення якої е завдати  матеріальної чи моральної шкоди  клієнтові (ст. Закону України від 7 грудня 2000 р. «Про банки і банків-діяльність»). Зокрема, до такої інформації належать відомі про стан рахунків клієнтів, операції, які були проведені користь  чи за дорученням клієнта, здійснені  ним угоди, фінансово-економічний  стан клієнтів, системи охорони банку  та клієнтів, коди, які використовуються банками для захисту інформації, тощо.

Виняток становить  інформація комерційного та банківського характеру, а також інформація, правовий режим якої встановлено Верховною  Радою України за поданням Кабінету стрів України (з питань статистики, екології, банківських акцій, податків тощо), та інформація, приховування якої загрозу життю і здоров’ю людей. 
Закон України «Про внесення змін до деяких законодавчих актів України з питань забезпечення та безперешкодної реалізації права людини на свободу слова» № 676-ІУ 2003 р. передбачає, що «інформація з обмеженим доступом може бути поширена без згоди її власника, якщо ця інформація є суспільно значимою, тобто якщо вона є предметом громадського інтересу і якщо право громадськості знати цю інформацію переважає право її власника на її захист».

При укладанні  будь-якого договору (контракту) сторони  повинні брати на себе взаємні  письмові зобов’язання щодо захисту  конфіденційної інформації іншої сторони  і документів, отриманих при переговорах, виконання умов договору. 
Виробнича чи комерційна цінність інформації, як правило, недовговічна і визначається часом, необхідним конкурентові для вироблення тієї самої ідеї чи її викрадення і відтворення, а також часом до патентування, опублікування і переходу в число загальновідомих [2].

2. Безпека інформаційних ресурсів

Основною загрозою безпеці інформаційних ресурсів обмеженого доступу є несанкціонований (незаконний, недозволений) доступ зловмисника  чи сторонньої особи до документованої інформації і як результат – оволодіння інформацією і протиправне її використання або здійснення інших  дій. Метою і результатом несанкціонованого  доступу може бути не тільки оволодіння цінними відомостями і їх використання, а й їх знищення, підміна тощо. Під сторонньою особою розуміється  будь-яка особа, що не має безпосереднього  відношення до конфіденційної інформації (співробітники, у яких обмежений  доступ до цієї інформації, працівники комунальних служб, екстремальної  допомога, відвідувачі, працівники інших  підприємств і організацій тощо). Кожна із зазначених осіб потенційно може бути зловмисником чи його спільником, агентом. 
Обов’язковою умовою успішного здійснення спроби несанкціонованого доступу до інформаційних ресурсів обмеженого доступу є інтерес до них з боку конкурентів, зазначених вище осіб, служб і організацій. За відсутності такого інтересу загроза інформації не виникає навіть у тому разі, якщо створилися передумови для ознайомлення з нею сторонньої особи. Основним винуватцем несанкціонованого доступу до інформаційних ресурсів є, як правило, персонал, що працює з документами, інформацією і базами даних. При цьому слід зважати, що втрата інформації відбувається переважно не в результаті навмисних дій, а через неуважність і безвідповідальність персоналу. 
Отже, витік інформації обмеженого доступу може відбутись за умови:

• наявності інтересу конкурентів (фізичних чи юридичних осіб) до конкретної інформації;
• виникнення ризику загрози, організованої зловмисником за випадково сформованих обставин;
• неефективної системи захисту інформації чи відсутності цієї системи;
• непрофесійно організованої технології опрацювання і збереження конфіденційної інформації;
• неякісного підбору персоналу і плинності кадрів, складного психологічного клімату в колективі;
• відсутності системи навчання співробітників правилам захисту інформації обмеженого доступу;
• відсутності контролю з боку керівництва за дотриманням персоналом вимог нормативних документів у роботі з інформаційними ресурсами обмеженого доступу;
• безконтрольного відвідування приміщень сторонніми особами.

Варто завжди пам’ятати, що факт документування конфіденційної інформації різко збільшує ризик  її витоку. Великі майстри минулого ніколи не записували таємниці свого  мистецтва, а передавали їх усно синові, учневі. Тому таємниці виготовлення багатьох унікальних предметів того часу так досі і не розкрито [4].

Висновки

Слід відзначити, що у зв’язку зі зростанням загроз для інформації, спричиненим лібералізацією суспільних та міждержавних відносин, правове забезпечення захисту інформації динамічно змінюється, охоплюючи  чимраз ширше коло суспільних відносин. Наприклад, у зв’язку з широким  впровадженням електронної торгівлі, розробок у напрямку розбудови електронного уряду, існує нагальна потреба прийняття  відповідних законів «Про електронний  документообіг» та «Про електронний  підпис». Украй актуальним є прийняття  відповідно до Конвенції про захист (прав) фізичних осіб у зв’язку з  автоматизованим опрацюванням персональних даних, прийнятою Радою Європи 28.01.91 р. відповідних нормативно-правових актів про захист персональних даних. Низку заходів необхідно вжити  у зв’язку з підписанням Україною 23 листопада 2001 року Європейської конвенції про кіберзлочинність тощо.

Важливим етапом щодо забезпечення інформаційної безпеки  стало прийняття Указу Президента України №1993 «Про рішення Ради національної безпеки і оборони України  від 31 жовтня 2001 року «Про заходи щодо вдосконалення державної інформаційної  політики та забезпечення інформаційної  безпеки України», яким визначено  низку важливих напрямів та практичних заходів органам виконавчої влади  в Україні. Сьогодні на наукових конференціях, круглих столах відбувається активне  обговорення законопроектів «Про інформацію з обмеженим доступом», «Про захист інформації» та ін., які повинні  удосконалити чинні правові механізми  системи захисту інформації. 
Неможливо гарантувати інформаційний суверенітет держави при міжнародному інформаційному обміні, якщо існують невідповідності між категоріями інформації з обмеженим доступом в різних країнах. Чинні закони з питань інформації не приділяють уваги цим питанням, обмежуючись двома-трьома декларативними нормами з цього приводу. Заходи забезпечення безпеки інформації більш-менш врегульовані в Україні щодо Державної таємниці.