Загальні поняття про інформаційну безпеку. Види інформації, які потребують захисту

Вступ

Відколи існує  суспільство, стільки ж існує  бажання людей обмінюватись інформацією. Проте на даному етапі розвитку міжнародна інформаційна сфера стає не тільки однією з важливих сфер співробітництва, а й середовищем конкуренції  між окремими особами, державами, міждержавними політичними та економічними угруповуваннями. Електронно-комунікаційна інфраструктура, як і інші інформаційні ресурси, стає об'єктом міждержавної боротьби за світове лідерство або об'єктом недобросовісної конкуренції у підприємницькій діяльності чи інших суспільних інформаційних відносин.

Будь-яка інформація, яка зберігається та обробляється в  комп'ютері, є чиєюсь власністю і  становить інтерес для певного кола осіб. Власник інформації зацікавлений в її збереженні, тобто в забезпеченні її конфіденційності і цілісності. Для цього необхідно захистити інформацію як від фізичної втрати, так і від доступу до неї сторонніх осіб, які не входять до кола власників або легальних користувачів.

 Все це зумовлює необхідність формування такого аспекту інформаційної культури, як культура інформаційної безпеки, культура організації інформаційної безпеки.

Дослідження захисту  інформації ведуться як у напрямку розкриття природи явища, яке полягає у порушенні збереження інформації, так і у напрямку розробки практичних методів її захисту. Серйозно вивчаються статистика поручень, причини, що їх викликають, особи порушників, сутність прийомів, які використовуються порушниками, обставини, за яких було виявлене порушення.

Проблематика  захисту інформації в інформаційних системах у науці й практиці України перебуває на стадії становлення і потребує ґрунтовного наукового забезпечення, зокрема систематизації, в тому числі на рівні організаційно-правового аспекту.

Метою дослідження є виявлення інформації, яка становить великий інтерес для певного кола людей, загальних закономірностей посягань на цю інформацію на різних рівнях, формулювання теоретичних положень, практичних висновків і рекомендацій, спрямованих на успішний розвиток інформаційних процесів на підприємстві, встановлення методів та засобів захисту її.

Для досягнення поставленої мети потрібно вирішити такі основні завдання:

• з'ясувати сутність терміну "захист інформації";
• дослідити міжрівневі інформаційні потоки на підприємстві
• розкрити канали, за допомогою яких відбувається комунікаційний 
  процес;
• показати види посягань на інформацію;
• оказати до чого спричиняє незахищеність  інформації і розглянути методи та засоби запобігання цьому;
• проаналізувати інформаційні процеси, методи та засоби захисту інформації  на підприємстві на прикладі ВАТ" Голден Телеком".

Об'єктом  дослідження є способи та засоби захисту інформації на ВАТ" Голден Телеком".

Предметом дослідження є способи та засоби захисту інформації, інформаційних систем,наслідки несанкціонованого доступу до інформації.

Методи дослідження. Для досягнення наукової об'єктивності результатів застосовувався широкий комплекс загальнонаукових і спеціальних методів дослідження, які використовувалися на всіх етапах для розкриття особливостей захисту інформації на підприємстві, зокрема: історичний метод, логічний метод, структурно-функціональний метод.

1. Загальні поняття про інформаційну безпеку. Види інформації, які потребують захисту

      1.1. Інформаційна безпека як потреба сьогодення

Масове впровадження нових технічних засобів, на основі яких здійснюється інформатизація у всьому світі, робить прозорими державні кордони і формує нові геополітичні парадигми у розумінні глобальних соціотехнічних систем. Міжнародна інформаційна сфера стає не тільки однією з важливих сфер співробітництва, а й середовищем конкуренції між окремими особами, державами, міждержавними політичними та економічними угруповуваннями. Електронно-комунікаційна інфраструктура, як і інші інформаційні ресурси, стає об'єктом міждержавної боротьби за світове лідерство або об'єктом недобросовісної конкуренції у підприємницькій діяльності чи інших суспільних інформаційних відносин.

Все це зумовлює необхідність формування такого аспекту інформаційної культури, як культура інформаційної безпеки, культура організації інформаційної безпеки. Зазначений аспект розвитку інформаційної культури набуває відображення у такій прикладній науковій дисципліні, як теорія організації (тектологія) інформаційної безпеки. [18, C.213]

   Питання  інформаційної безпеки широко висвітлюються у спеціальній літературі. Сьогодні критична маса науково-практичних знань щодо розвитку суспільних інформаційних відносин у такому аспекті дає змогу сформувати на теоретичному рівні елементи загальної теорії організації інформаційної безпеки в умовах формування інформаційного суспільства — захисту інформації в інформаційних  комп'ютерних системах.

Провідними  елементами системи інформаційної безпеки, у тому числі щодо захисту інформації в автоматизованих комп'ютерних системах, є такі найважливіші чинники.

Суб'єкти — окремі люди, спільноти їх, різного роду організації, суспільство, держава, інші держави, союзи їх, світове співтовариство. [18, C.215]

Об'єкт — правовідносини між суб'єктами (суспільні відносини), які визначаються за певними об'єктивно існуючими критеріями. [18, C.215]

Провідний предмет суспільних правовідносин — інформація в автоматизованих (комп'ютерних) системах (у тому числі електронних телекомунікаціях, зокрема в Інтернеті). [18, C.215]

               1.2. Напрямки інформаційної безпеки

Визначальним  у проблематиці теорії організації  інформаційної безпеки є з'ясування її напрямків на засадах комплексного підходу щодо методів захисту. Умовно можна визначити такі напрямки організації захисту: правові, управлінські, інженерно-технологічні. У складі останніх як автономні визначаються програмно-математичні (комп'ютерні програмні продукти захисту).

Аналіз науково-практичних джерел та іншого емпіричного матеріалу дав змогу сформулювати предметний метод ("метод застосування методів", метод — принцип) — комплексне застосування управлінських, правових та інженерно-технічнотехнологічних методів захисту інформації в автоматизованих комп'ютерних системах. [18, C.217]

На основі зазначених положень можна зробити висновок про наявність потреби формування проблематики окремих аспектів (інститутів) загальної теорії і практики інформаційної безпеки щодо захисту інформації в автоматизованих комп'ютерних системах.

1.3. Поняття безпеки інформації

Будь-яка інформація, яка зберігається та обробляється в комп'ютері, є чиєюсь власністю і становить інтерес для певного кола осіб. Власник інформації зацікавлений в її збереженні, тобто в забезпеченні її конфіденційності і цілісності. Для цього необхідно захистити інформацію як від фізичної втрати, так і від доступу до неї сторонніх осіб, які не входять до кола власників або легальних користувачів.

Безпека інформації - це створення таких умов зберігання, обробки і передачі інформації, за яких вірогідність її витікання, модифікації або руйнування задовольняє, задані вимоги. [15,C.133]

Потенційні  загрози інформації поділяються  на випадкові і умисні. Через те, що їх природа, час і місце виникнення різні, відповідні методи і засоби захисту  відрізняються між собою.

Спроба доступу  до інформації (перегляду, копіювання, друку, модифікації, знищення або запуску програм) з боку сторонньої особи розглядається як спроба несанкціонованого доступу.

Сектор ділової  інформації представлений такими видами і джерелами, як біржова, фінансова, економічна, статистична та комерційна інформація. Поряд із факторами, які забезпечують комерційну цінність інформації (повнота, точність, оперативність), особливого значення набуває доступність її для споживача. Цінність має та інформація, яку можна використати. З цього моменту усе залежить від того, з якою чи чиєю метою буде використана інформація, і тому яку інформацію можна передавати відкрито, а яку потрібно оберігати, зробити з неї таємницю. [14,C.102] 

1.4. Поняття та загальна характеристика службової таємниці, комерційної таємниці та персональної таємниці.

Службову таємницю організації становлять відомості про фінанси та бюджетну політику, відомості про організацію внутрішньовиробничої та управлінської діяльності із забезпечення захисту цих відомостей відповідно до норм діючого законодавства.

Такими відомостями  є:

–  відомості щодо пропозицій організації до проектів

–  документів на державному рівні;

–   внутрішні квартальні, піврічні їм річні звіти про результати діяльності організації;

– відомості про технічні заходи підприємств із забезпечення інформаційної безпеки;

– матеріали, у яких визначається стратегія на майбутній рік 
і найбільш далеку перспективу;

• внутрішні довідки про результати діяльності організації;
• доповідні записки на ім'я керівництва організації з основних напрямів діяльності;
• інструкції, розроблені в організації;

– доповідні записки на ім'я керівництва організації за 
матеріалами ревізій структурних підрозділів, що містять 
висновки та пропозиції, пов'язані з діями посадових осіб;

• прогнози різноманітного характеру;
• штатний розклад організації;
• телефонний довідник організації;
• відомості про партнерів;
• документи з охорони і захисту конфіденційних відомостей;
• відомості, які розкривають системи захисту конфіденційної інформації, в тому числі при використанні електронних технологій;
• листування організації з правоохоронними органами;
• рахунок прибутків і видатків організації;
• матеріали ревізій, що проводились в організації та у 
  підвідомчих закладах;

– система розмежування повноважень на інформаційному 
об'єкті;

• паролі та ідентифікатори клієнтів, працівників, використовувані на автоматизованих системах;
• порядок доступу осіб у приміщення з обмеженим доступом;
• проект комплексного захисту інформаційної системи, алгоритми, програми шифрування і дешифрування інформації. [14,C.103-104] 
  

Комерційною таємницею  є ділова інформація, яка має фактичну або потенційну цінність для підприємства з комерційних причин. Ця інформація є комерційно вигідною для непорядних конкурентів у разі попадання до їх рук. Втрата комерційної таємниці може нанести значних збитків підприємству і призвести до його банкрутства. [15,C.133]

Матеріальною  формою комерційної таємниці частіш за все є конфіденційна управлінська, виробнича, науково-технічна, торгова інформація, зафіксована у конкретних документах. В умовах ринку інформація  є товаром і кожний власник цього товару має право охороняти його та використовувати для досягнення переваг над конкурентами й одержання максимального прибутку.

В  загальному випадку комерційною таємницею можуть бути такі відомості:

У сфері виробництва:

• структура кадрів;
• характер виробництва;

• відомості про виробничі можливості підприємства;

• дані про резерви сировини і плановані закупки;

• відомості про використовувані і перспективні технології;

• плани розвитку підприємства.

 
У  галузі реалізації  продукції:

• оригінальні методи вивчення ринку збуту;
•   результати маркетингових досліджень;
• ринкова стратегія;
• відомості про час виходу на ринок товарів;
• постачальники і користувачі; відомості про методику розрахунків цін.

 
У бізнесі:

• дані контрактів та угод, які викопуються організацією;
• дані про перспективні проекти та угоди, бізнес-плани;
• дані про персонал;
• дані про використовувані ноу-хау;
• дані про поточну діяльність організації;

      –   дані обліку (оперативного, бухгалтерського та ін.);

• дані,   необхідні   для   функціональної   діяльності   всіх підрозділів організації.

 
При проведенні переговорів:

• відомості про надані замовлення та пропозиції;

•  відомості про факти підготовки і ведення переговорів;

•  відомості про осіб, які проводять переговори, керівництво підприємства, їх характеристика. [15,C.133-134] 
  

Втрата інформації, яка складає комерційну таємницю, може відбуватись по двох каналах: зовнішньому  і внутрішньому.

Зовнішній канал -   безпосередня діяльність недобросовісних конкурентів або злочинних елементів. Їх дії можуть бути спрямовані на:

• одержання   інформації за допомогою  підслуховуючих пристроїв;
• викрадення або зняття копій з документів та інших носіїв інформації, що містять комерційну таємницю;
• одержання інформації у процесі її проходження через комунікаційні мережі;
• знищення інформації або пошкодження її носіїв;
• підкуп,  шантаж  співробітників  підприємства  з  метою одержання – інформації, яка містить комерційну таємницю;
• переманювання   провідних  спеціалістів  на  конкуруюче підприємство.[15,C.134] 
  

Внутрішній  канал  пов'язаний  з   непорядністю  окремих співробітників підприємства, незадоволених платнею або відносинами з керівництвом. Вони можуть видати комерційну таємницю  конкурентам  або знищити  важливу  інформацію.Іншим внутрішнім джерелом може бути балакучість співробітників, що ведуть службові розмови у невідповідних місцях. [15,C.134]

Персональна таємниця - це інформація, яка містить відомості про фізичну особу і дозволяє цю фізичну особу ідентифікувати. До відомостей, що становлять персональну таємницю, належать:

• особова справа працівника організації;
• відомості про клієнтів і працівників після звільнення;
• заходи із забезпечення збереження, цілісності і достовірності   персональних даних;
• результати аудиту використання і захисту персональних даних. [14,C.105]

2. Проблеми захисту інформації

2.1.  Інститути тектології інформаційної безпеки

На загальнотеоретичному рівні виділяють такі ключові, особливі проблеми інформаційної безпеки щодо організаційного аспекту захисту інформації в інформаційних системах:

1). проблеми організації доступу до інформації;

2). проблеми організації забезпечення цілісності інформації щодо загроз її порушення;

3). проблеми організації комплексного контролю за інформаційними ресурсами у відповідному середовищі функціонування їх відповідно до матеріальних носіїв інформації (людських (соціальних), людино-машинних (людино-технічних, соціотехнічних) та технологічних);

4). проблеми організації сумісності систем захисту інформації в автоматизованих (комп'ютерних) системах з іншими системами безпеки відповідної організаційної структури;

5). проблеми організації виявлення можливих каналів несанкціонованого витоку інформації (фізичних, соціотехнічних, соціальних);

6). проблеми організації блокування (протидії) несанкціонованого витоку інформації;

7). проблеми організації виявлення, кваліфікації, документування порушення інформаційної безпеки (як стану у визначеному просторі, часі і колі осіб);

8). формулювання відповідальності та правове визначення санкцій та організація притягнення винних до відповідальності (дисциплінарної, цивільної, адміністративної, кримінальної). [18, C.218]

2.2. Інформаційна безпека як функція

Організацію захисту інформації в автоматизованих системах умовно поділяють на три види функцій. За основу поділу визначено такий критерій, як середовище, в якому перебуває інформація: а) соціальне (окрема людина, спільноти людей, держава); б) інженерно-технікологічне (машинне, апаратно-програмне, автоматичне); в) соціотехнічне (людино-машинне). [18, C.219]

Кожен названий рівень щодо середовища об'єктивно  доповнює і взаємозумовлює інші функції, в основі утворюючи триєдину гіперсистему: організація інформаційної безпеки. У цій гіперсистемі визначними є такі напрямки (підрівні), що визначаються на основі інтегративного підходу протилежностей (антиподів) — воздії і протидії.

1. Організація протидії небажаній для суб'єкта воздії за допомогою технічних засобів захисту, тобто засоби захисту мають бути адекватними засобам добування (наприклад, протидія розвідці відповідними технічними засобами захисту: створення системи просторового зашумлення для приховування інформації у відповідному середовищі (акустичному (звуковому), аудіо (відео), електромагнітному) чи екранування технічних засобів у приміщенні). 

2. Організація протидії негативному впливу на учасників інформаційних відносин (наприклад, конкурентів на персонал організації з метою отримання інформації (протидія підкупові персоналу, впровадження представника 
конкурента в організацію для отримання інформації з об меженим доступом тощо). Щодо цього та деяких інших факторів можна застосувати принцип, визначений у народній мудрості: "Клин клином вибивають".

3. У разі порушення функціонування інформаційної системи — визначення майнових втрат та мінімізація їх (наприклад, у разі виявлення несанкціонованого доступу до інформації визначення матеріальних і моральних втрат, за необхідності — взаємодія з державними правоохоронними та судовими органами щодо притягнення зинних до відповідальності відповідно до законодавства). [18, C.219-220]

На названі  напрямки організації інформаційної  безпеки відповідного об'єкта захисту впливають такі визначальні фактори:

а) фактор рівня досягнень науково-технічного прогресу

б) технологічний фактор

в) соціальний (людський) фактор

2.3.  Агреговані моделі  тектології  інформаційної системи

Загальний аналіз проблем організовування захисту  інформації в інформаційних комп'ютерних  системах дає можливість визначити три агреговані організаційні моделі заходів:

1. організація запобіжних заходів;
2. організація блокування (протидії) реальним загрозам, що реалізуються;
3. організація подолання наслідків загроз, які не вдалося блокувати або запобігти їм. [18, C.221]

Важливий елемент  організації інформаційної безпеки  — захисту інформації — поділ  заходів на групи щодо протидії. У теорії і практиці майже однозначно виокремлюють три такі групи: активні  засоби захисту (наприклад, розвідка, дезінформація, зашумлення тощо); пасивні засоби захисту (наприклад, встановлення екранів несанкціонованому витоку інформації тощо); комплексні засоби захисту (органічне поєднання названих груп).

Організаційні заходи при блокуванні (протидії) несанкціонованого доступу до автоматизованої інформаційної системи та подоланні наслідків загроз, які не вдалося блокувати або запобігти їм можуть бути спрямовані: на документування методів несанкціонованих дій щодо доступу до автоматизованої системи для наступного дослідження їх; збереження слідів правопорушення; взаємодію (у разі необхідності) з державними правоохоронними органами щодо виявлення та розкриття правопорушення (в тому числі за готування до злочину і за замах на злочин); сприяння притягненню винних до відпо відної відповідальності (кримінальної, адміністративної, цивільно-правової, дисциплінарної).

Всі заходи організації  інформаційної безпеки, у тому числі  в умовах застосування автоматизованих  комп'ютерних систем, базуються на знаннях і використанні певних фізичних явищ, що характеризують відповідні форми подання (виразу) інформації. Ці фізичні явища, зокрема ті, що може використати зловмисник, добре відомі. [18, C.222]

 У ході  організації (в тому числі створення  алгоритмів (методик) захисту інформації  технічними засобами) завдання суб'єктів полягає не тільки в удосконаленні існуючих засобів технічного захисту інформації, а й урахуванні можливих новацій. При цьому переважно має реалізовуватися принцип агрегації новацій до наявної системи захисту. Найкраще, коли можна інтегрувати через новації засоби захисту і вилучити із системи захисту застаріле обладнання. Але водночас не слід забувати, що старі засоби захисту, які можуть функціонувати автономно в системі захисту, не повинні "зніматися з озброєння" бездумно.

Організовуючи захист інформації в автоматизованих  системах, слід враховувати, що хоч  в основі автоматизованої системи  є технічний пристрій, який обробляє інформацію, але при його використанні так чи інакше присутній людський фактор. При цьому людина виступає в ролі або безпосередньо (як користувач автоматизованої системи), або опосередковано (як розробник системи). [18, C.223]

З цього випливає, що на надійність системи захисту  інформації в автоматизованих комп'ютерних системах впливають дві групи взаємопов'язаних факторів: людські (соціальні) та інженерно-технологічні.

2.4 Необхідність захисту даних інформаційних систем

Разом з підвищенням  стратегічного значення сфери обробки  інформації у компанії усе більшу роль відіграє вимога комплексної захищеності ІС і створених на її основі інформаційних ресурсів. Цю якість системи варто забезпечувати на всіх етапах процесу обробки інформації. Найбільш широко відома і зрозуміла проблема забезпечення захищеності даних (від утрати чи псування), а також вимога правового захисту даних (захист чиїхось персональних даних від несанкціонованого доступу) - вони вже є класичними вимогами до будь-якої ІС. Інформаційні системи мають бути захищені і від технічних відмовлень, і від технологічних порушень при експлуатації.

Захист від  катастроф чи аварій при експлуатації ІС сьогодні є необхідною умовою захищеності. Це може бути власна страховка (наприклад, запасний сервер) чи використання спеціального плану захисних заходів, що за необхідності забезпечують доступ до стороннього сервера. Заходи щодо захисту даних у багатьох компаніях, звичайно, уже детально розроблені і добре знайомі працівникам, що відповідають за їх виконання. Захист системи не може бути ідеальним і не повинен будуватися як абсолютний. Це потребувало б істотного збільшення витрат як на її створення, так і на її експлуатацію. Захист має будуватися раціонально, тобто з оптимальними за деяким критерієм характеристиками, що в кожному випадку зважуються фахівцями й керівництвом компанії. [8, C.217-218]

Виробництво інформації крім правового має також і технологічний аспект. Розвиток сфери інформаційного обслуговування, розширення застосування комп'ютерів і інформаційних технологій у різних галузях постійно підвищують значимість цього аспекту. Усі складні системи створюються в середовищі погоджених, як правило, наукомістких технологій і реалізують їх у своїй роботі.

Як практично  будь-яка складна структура, інформаційна система вразлива в плані можливості порушення її роботи. Ці порушення можуть мати як випадковий, так і зумисний характер, можуть викликатися як зовнішніми, так і внутрішніми причинами. Відповідно до цього на всіх етапах життя системи необхідно вживати спеціальні заходи для забезпечення її надійного функціонування й захищеності.

Порушення, викликані внутрішніми причинами, варіюються, насамперед, методами забезпечення надійності. У цьому ІС мають багато спільного з іншими складними системами в тому, що стосується причин несправностей і проявів відмовлень.

3. Методи  та засоби захисту інформації на прикладі компанії ВАТ „Голден Телеком ”

3.1. Загальна інформація про підприємство

Компанія Голден Телеком заснована у 1996 році як спільне  українсько-американське підприємство. Основним іноземним партнером виступила  міжнародна Телекомунікаційна компанія Global TeleSystems Group, Inc. (GTS), що має унікальний досвід проведення Телекомунікаційних мереж у Європі й Азії, зокрема і в країнах СНД.

Відкривши 6 грудня 1996 року першу в Україні мережу цифрового мобільного зв’язку стандарту GSM, Голден Телеком стала першим оператором у Східній Європі, що запропонувала послуги мобільного зв’язку найсучаснішого стандарту – GSM 1800. Водночас компанія Голден Телеком розпочала надавати послуги фіксованого телефонного зв’язку бізнес-клієнтам у м. Києві.

У 1998 році компанія розширила спектр послуг, включивши в нього передачу даних та інтернет. З цього моменту Голден Телеком залишається єдиною на українському ринку компанією, що надає повний комплекс телекомунікаційних послуг вищої якості.

У лютому 1999 року відбулося офіційне відкриття міжнародного центра комутації Голден Телеком; компанія Голден Телеком стала повноправним міжнародним оператором зв’язку.

У 1999 році була створена компанія «Голден Телеком, Інк.» («NASDAQ: «GLDN»), головним завданням якої стало представдлення інтересів компанії Global TeleSystems Group, Inc. на пострадянському просторі. У лютому 2000 року Голден Телеком об’єднався з одним з найбільших українських провайдерів послуг передачі даних та інтернету «Совам Телепорт». Послуги об’єднаної компанії — інтегровані телекомунікаційні рішення у сфері телефонії, передачі даних та інтернету — надаються під торговельною маркою Голден Телеком.