Система управління інформаційною безпекою
Система управління інформаційною безпекою(СУІБ), яка повинна відповідати усім вимогам міжнародних стандартів в галузі ІБ.
l Забезпечення ІБ особистості.
l Органи (підрозділи) забезпечення ІБ.
l Міжнародні організації.
l Державні органи.
l Відділи спецслужб держави.
Спеціально уповноважений орган держави з питань захисту інформації (зараз в Україні — це Державна служба спеціального зв’язку та захисту інформації).
Згідно з українським законодавством, вирішення проблеми інформаційної безпеки має здійснюватися шляхом:
l створення повнофункціональної інформаційної інфраструктури держави та забезпечення захисту її критичних елементів;
l підвищення рівня координації діяльності державних органів щодо виявлення, оцінки і прогнозування загроз інформаційній безпеці, запобігання таким загрозам та забезпечення ліквідації їхніх наслідків, здійснення міжнародного співробітництва з цих питань;
l вдосконалення нормативно-правової бази щодо забезпечення інформаційної безпеки, зокрема захисту інформаційних ресурсів, протидії комп’ютерній злочинності, захисту персональних даних, а також правоохоронної діяльності в інформаційній сфері;
l розгортання та розвитку Національної системи конфіденційного зв'язку як сучасної захищеної транспортної основи, здатної інтегрувати територіально розподілені інформаційні системи, в яких обробляється конфіденційна інформація.
Державна система забезпечення інформаційної безпеки країни являє собою організаційне об’єднання державних органів, а також сил та засобів інформаційної безпеки, що виконують свої функції на основі закону під контролем і захистом судової влади. Державна система складає найважливішу ланку системи інформаційної безпеки особистості, суспільства і держави в правовій державі. Основними завданнями такої системи є:
l виявлення і прогнозування дестабілізуючих факторів і інформацій них загроз життєво важливим інтересам особистості, суспільства та держави;
l здійснення комплексу оперативних і довготривалих заходів з їхнього попередження і усунення;
l створення і підтримання в готовності сил та засобів забезпечення інформаційної безпеки.
Органи (служби) інформаційної безпеки можуть створюватися (на законодавчих засадах) і в недержавних структурах для захисту своїх потреб в забезпеченні необхідною інформацією. Дані органи на основі укладення відповідних угод можуть бути приєднані до єдиної державної системи інформаційної безпеки.
На теперішній час окремі елементи системи інформаційної безпеки створені та функціонують (органи зовнішньої розвідки, інформаційні служби різноманітних міністерств, система технічного та криптографічного захисту інформації держави і т. н.). Проте для їхнього функціонування ще недостатня правова база.
В основу забезпечення інформаційної безпеки держави повинні бути покладені наступні принципи:
l законність, дотримання балансу інтересів особистості, суспільства і держави;
l взаємна відповідальність суб’єктів забезпечення інформаційної безпеки;
l інтеграція систем національної і міжнародної безпеки;
l превентивний характер проведення її заходів по відношенню до заходів інших видів безпеки;
l адекватна інформованість об’єктів безпеки, в тому числі і міжнародних.
Інформаційна безпека України складається із багатьох компонентів і залежить від:
l рівня забезпечення свободи слова в державі;
l захищеності громадян від впливу на їхнє світосприйняття зовнішніх чинників;
l захищеності населення від впливу на його психічне та фізичне здоров’я таких негативних чинників, як пропаганда жорстокості, насильства тощо;
l наявності в органів влади достатньої інформації для прийняття
l відповідних рішень.
Системний підхід до побудови системи захисту означає оптимальне поєднання взаємозв’язаних організаційних, програмних, апаратних, фізичних та інших властивостей, підтверджених практикою створення вітчизняних і зарубіжних систем захисту і вживаних на всіх етапах технологічного циклу оброблення інформації.
Система інформаційної безпеки повинна мати певні види власного програмного забезпечення, спираючись на які вона буде здатна виконувати свою цільову функцію.
1. Правове забезпечення – сукупність законодавчих актів, нормативно-правових документів, положень, інструкцій, вимоги яких є обов’язковими в рамках сфери їх діяльності в системі захисту інформації.
2. Організаційне забезпечення – гарантування інформаційної безпеки певними структурними одиницями.
3. Інформаційне забезпечення – відомості, показники, параметри, що є підставою для вирішення завдань, які забезпечують функціонування СІБ (показники доступу, обліку, зберігання, різні розрахункові завдання, пов’язані з діяльністю служби безпеки).
4. Технічне (апаратне) забезпечення – передбачає широке використання технічних засобів для захисту інформації та забезпечення діяльності СІБ.
5. Програмне забезпечення – різні інформаційні, облікові, статистичні й розрахункові програми, що забезпечують оцінювання наявності й небезпеки різних каналів витоку інформації та способів несанкціонованого доступу до неї.
6. Математичне забезпечення – математичні методи, які використовують для різних розрахунків, пов’язаних з оцінюванням небезпеки технічних засобів, які мають зловмисники, сфер і норм необхідного захисту.
7. Лінгвістичне забезпечення – сукупність спеціальних мовних засобів спілкування фахівців і користувачів у сфері гарантування інформаційної безпеки.
8. Нормативно-методичне забезпечення містить:
l норми і регламенти діяльності органів, служб, засобів, що реалізовують функції захисту інформації;
l різні методики, що забезпечують діяльність користувачів при виконанні своєї роботи за жорстких вимог дотримання конфіденційності.
Нині провідну роль відіграють організаційні заходи захисту інформації.
Тому виникає питання щодо організації служби безпеки. Реалізація політики безпеки потребує налаштування засобів захисту, управління системою захисту і здійснення контролю функціонування ІС. Завдання управління і контролю зазвичай вирішуються адміністративною групою, склад і розмір якої залежать від конкретних умов. Часто така група працює у складі: адміністратор безпеки, менеджер безпеки та оператори.
У загальному випадку в систему забезпечення безпеки інформації можуть бути включені:
1) Служба шифрування даних – може бути використана для захисту переданих даних від зчитування інформації, що утримується в них, і від можливості проведення аналізу інтенсивності потоків даних між користувачами;
2) Служба аутентифікації – призначена для підтвердження того, що в даний момент зв’язку користувач є дійсно тим користувачем, за якого він себе видає;
3) Служба цілісності даних – забезпечує доказ цілісності даних у процесі їхньої передачі, тобто забезпечує захист переданих повідомлень від випадкових і навмисних впливів, спрямованих на зміну переданих повідомлень, їх затримання, знищення або переупорядкування;
4) Служба керування (управління) доступом – забезпечує захист від несанкціонованого доступу до інформації, що утримується у віддалених банках даних, або від несанкціонованого використання мережі;
5) Служба цілосності інформації – забезпечує доказ цілісності повідомлення, прийнятого від відповідного джерела і знаходиться на збереженні, наприклад, у терміналі-приймачі, що може бути перевірене у будь-який момент часу арбітром (третьою стороною);
6) Служба доставки – забезпечує захист від спроб зловмисника порушити зв’язок або затримати передавання повідомлення на час, що перевищує час цінності переданої в повідомленні інформації.
Механізм шифрування може забезпечувати конфіденційність переданих даних або інформації про параметри трафіка і може бути використаний в інших механізмах безпеки або доповнювати їх. Існування механізму шифрування допускає використання, як правило, механізму керування (управління) ключами. У механізмі аутентифікації основна увага приділяється методам передавання в мережі інформації спеціального характеру (полів аутентифікаторів, контрольних сум тощо). Механізм забезпечення цілісності даних допускає введення в кожне повідомлення деякої додаткової інформації, що є функцією від змісту повідомлення.