У разі порушення функціонування інформаційної системи — визначення майнових втрат та мінімізація їх
(наприклад, у разі виявлення несанкціонованого доступу до інформації визначення матеріальних і моральних втрат, за необхідності — взаємодія з державними правоохоронними та судовими органами щодо притягнення винних до відповідальності відповідно до законодавства).
На названі напрямки організації інформаційної безпеки відповідного об'єкта захисту впливають такі визначальні фактори:
а) фактор рівня досягнень науково-технічного прогресу (переважно в галузі розвитку, удосконалення технічних засобів);
б) технологічний фактор (в окремих джерелах його ще називають алгоритмічним фактором, коли техніка може бути одна, а технології її застосування різні, цей фактор ще є визначальним для формування методик: як отримання інформації, так і захисту її);
в) соціальний (людський) фактор.
8.3. АГРЕГОВАНІ МОДЕЛІ ТЕКТОЛОГІЇ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ
Загальний аналіз проблем організовування захисту інформації в автоматизованих комп'ютерних системах дає можливість визначити три агреговані організаційні моделі заходів:
1) організація запобіжних заходів;
2) організація блокування (протидії) реальним загрозам, що реалізуються;
3) організація подолання наслідків загроз, які не вдалося блокувати або запобігти їм.
Важливий елемент організації інформаційної безпеки — захисту інформації — поділ заходів на групи щодо протидії. У теорії і практиці майже однозначно виокремлюють три такі групи: активні засоби захисту (наприклад, розвідка, дезінформація, зашумлення тощо); пасивні засоби захисту (наприклад, встановлення екранів несанкціонованому витоку інформації тощо); комплексні засоби захисту (органічне поєднання названих груп).
Ми не будемо докладно їх пояснювати. Звернемо увагу на організаційні заходи при блокуванні (протидії) несанкціонованого доступу до автоматизованої інформаційної системи та подоланні наслідків загроз, які не вдалося блокувати або запобігти їм. Зазначимо, що ці заходи можуть бути спрямовані: на документування методів несанкціонованих дій щодо доступу до автоматизованої системи для наступного дослідження їх; збереження слідів правопорушення; взаємодію (у разі необхідності) з державними правоохоронними органами щодо виявлення та розкриття правопорушення (в тому числі за готування до злочину і за замах на злочин); сприяння притягненню винних до відпо-
Розділ 8 |
Інформаційна безпека як об'єкт інформаційного права
відної відповідальності (кримінальної, адміністративної, цивільно-правової, дисциплінарної).
Всі заходи організації інформаційної безпеки, у тому числі в умовах застосування автоматизованих комп'ютерних систем, базуються на знаннях і використанні певних фізичних явищ, що характеризують відповідні форми подання (виразу) інформації. Ці фізичні явища, зокрема ті, що може використати зловмисник, добре відомі.
Завдання організовування інформаційної безпеки щодо захисту інформації в автоматизованих системах визначаються за напрямком, протилежним до загроз безпеки. При реалізації заходів захисту інформації важливим аспектом є визначення і перевірка стану безпеки. У теорії і практиці це набуває втілення в категорії "метрологія". За допомогою метрологічної діяльності з'ясовують рівень розробки і наявність відповідних засобів, норм і методик, які дають можливість оцінити якість функціонування системи захисту інформації, тобто визначити, чи задовольняє чинним нормам система захисту на певний момент часу.
Формалізація норм і методів метрології стану безпеки об'єкта набуває втілення у відповідних нормативних актах. Застосовуючи визначені в них нормативи слід враховувати природну властивість таких нормативів з часом втрачати актуальність. Це пов'язано з тим, що в міру розвитку науково-технічного прогресу можуть змінюватися норми і методи контролю захищеності інформації у відповідному середовищі її існування. Практика свідчить, що, як правило, норми і методи контролю мають тенденцію до удосконалення. Попередні нормативи виступають як орієнтири, точки опори для формування нових нормативів. Сама назва "норматив" свідчить про те, що є фундаментальні межі можливостей існуючих фізичних приладів метрології на певному етапі пізнання людством законів природи.
У ході організації (в тому числі створення алгоритмів (методик) захисту інформації технічними засобами) завдан-
ня суб'єктів полягає не тільки в удосконаленні існуючих засобів технічного захисту інформації, а й урахуванні можливих новацій. При цьому переважно має реалізовуватися принцип агрегації новацій до наявної системи захисту. Найкраще, коли можна інтегрувати через новації засоби захисту і вилучити із системи захисту застаріле обладнання. Але водночас не слід забувати, що старі засоби захисту, які можуть функціонувати автономно в системі захисту, не повинні "зніматися з озброєння" бездумно.
Організовуючи захист інформації в автоматизованих системах, слід враховувати, що хоч в основі автоматизованої системи є технічний пристрій, який обробляє інформацію, але при його використанні так чи інакше присутній людський фактор. При цьому людина виступає в ролі або безпосередньо (як користувач автоматизованої системи), або опосередковано (як розробник системи).
З цього випливає, що на надійність системи захисту інформації в автоматизованих комп'ютерних системах впливають дві групи взаємопов'язаних факторів: людські (соціальні) та інженерно-технологічні.
В аспекті теорії систем організація захисту інформації в автоматизованих системах передбачає обумовлене виокремлення внутрішньо- і зовнішньо-системних ознак, які утворюють діалектичну гіперсистему організації рубежів безпеки.
Розділ 8 |
Інформаційна безпека як об'єкт інформаційного права
8.4. МЕТОДОЛОГІЧНІ ПОЛОЖЕННЯ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ
Названі елементи основ теорії організації захисту інформації зумовлюють необхідність формування і розвитку окремих теорій інформаційної безпеки (зокрема її складової — теорії організації захисту інформації в автоматизованих системах) у таких аспектах: організаційному, інженерно-технологічному та пов'язаному з ними правовому. Як відомо, інженерно-технологічний аспект поєднує взаємопов'язані технічний (апаратний) та алгоритмічний (програмний) аспекти (саме тому ми вжили раніше категорію "інженерно-технікотехнологічний").
Будь-яка загальна теорія вважається науковою, якщо вона має чітко визначені методи пізнання предметної галузі, закономірностей природи (фізики) і суспільства. Таким чином, щоб претендувати на статус науковості, загальна теорія організації інформаційної безпеки повинна мати визначену множину методів пізнання її предмета й об'єкта.
Враховуючи міжгалузевий характер теорії організації інформаційної безпеки, в ній поєднуються методи пізнання традиційних фундаментальних наук: соціології та фізики. Це зумовлено безпосереднім предметом теорії: л юдино-машинними (соціотехнічними) системами, якими є автоматизовані комп'ютерні інформаційні системи.
Звичайно сферою дослідження теорії є практика захисту інформації в автоматизованих (комп'ютерних) системах: її закономірності, принципи, різного рівня проблеми і завдання вирішення їх. Нині проблема і завдання формалізують переважно за допомогою методів евристики: формально-евристичного та інтуїтивно-евристичного. Домінуюче становище серед цих методів мають методи експертних оцінок та оцінки критичної маси інформації, за допомогою яких, зокрема, оцінюють функціонування систем захисту інформації.
Проте ці методи мають і недоліки: наявність людського фактора — суб'єктивізм експерта та потенційне обмеження інформації у формі знань, якими володіє експерт.
Подоланню цих недоліків допомагає когнітологія — наука про знання. Відповідно до положень цієї науки в загальній теорії захисту інформації визначаються як аксіоми когнітологічні положення про рівень і відносність ентропії (невизначеності) системи пізнання (людини, спільноти та ін.) і її вплив на формування теоретичних положень, відносну істинність їх (у часі та колі осіб). Відносність істини визначається кількісними і якісними характеристиками множини знань, якими володіє певний суб'єкт відносин, навичками застосування їх, інтелектуальним потенціалом та швидкістю розумових реакцій на відповідні ситуації. Відносність захисту інформації визначається відносністю знань суб'єкта захисту і відносністю загроз захисту, зокрема знань зловмисника.
У контексті визначення об'єктивності експертної оцінки організації захисту інформації, подолання суб'єктивізму, наприклад при визначенні стану інформаційної безпеки об'єкта, застосовують метод залучення кількох експертів. Але, як справедливо зазначають деякі дослідники, при цьому виникає питання, хто може вважатися висококваліфікованим експертом (кваліфікаційні ознаки експерта) і скільки таких експертів потрібно для істинності висновків, подолання суб'єктивізму (Организация и современные методы защиты информации / Под общ. ред. С.А. Диева, А.Г. Шаваева. — М.: Банковский Деловой Центр, 1998. — С. 36).
15 -4-1260 |
Розділ 8 |
Інформаційна безпека як об'єкт інформаційного права
8.5. ЛЮДСЬКИЙ ФАКТОР В ОРГАНІЗАЦІЇ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ
Наявність людського фактора має провідне значення в теорії організації захисту інформації. Через цей елемент теорія організації захисту інформації як система знань має предметний гіперзв'язок з фундаментальними гуманітарними науками — соціологією, соціальною психологією, соціальною інженерією.
За природою організації захист інформації має комплексний характер, тобто між окремими її складовими є певний зв'язок. У рамках теорії організації захисту інформації чітко визначився постулат, що організація захисту інформації повинна враховувати не тільки складність технічної і технологічної компонент системи, а й людський фактор. Тобто, формуючи конкретну систему технічного захисту, слід враховувати якісні індивідуально- і соціально-психологічні, моральні, етичні та інші особисті характеристики людей, задіяних у системі захисту інформації.
У такому аспекті визначається також напрямок теорії щодо оцінки, характеристики зловмисників, які посягають на безпеку інформаційної системи. У цьому аспекті теорія захисту інформації має зв'язок з кримінологією, її складовими вченнями: віктимологією та теорією формування соціально-психологічного портрету зловмисника.
8.6. ПРАВОВИЙ АСПЕКТ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ
8.6.1. Основні питання правової культури щодо інформаційної безпеки
Правовий напрямок теорії охорони та захисту інформації визначається необхідністю формування правил поведінки, відносин у так званому віртуальному або кібер-просторі. У цьому аспекті теорія захисту інформації пов'язана з інформаційним правом та правовою інформатикою. Щодо формування методик виявлення та розкриття злочинів, які вчиняються за допомогою сучасних інформаційних технологій, теорія захисту інформації формує понятійний апарат такої інституції криміналістики, як криміналістична інформатика.
При формуванні системи захисту інформації виникає необхідність застосування методів інтеграції та агрегації складових системи як її підсистем, що можливо при адаптації до предметної галузі теорії алгоритмізації, моделювання, теорії систем тощо.
Когнітивно-юридичний аналіз нормативно-правових актів у сфері суспільних інформаційних відносин, з позицій накопичених наукових знань сьогодення, свідчить про те, що в суспільстві вже сформувалося усвідомлення необхідності формування інституції суспільних відносин інформаційної безпеки: захисту інформації. Але рівень ентропії, наявний на момент прийняття нормативно-правових актів у цій сфері суспільних відносин, об'єктивно не дозволив сформувати їхній зміст у обсязі, необхідному для практики. До того ж практика розвивалася, апробовуючи юридичні норми як соціотехнічні стандарти (алгоритми) однозначно розуміння їхнього змісту широким загалом суб'єктів суспільних відносин.
Розділ 8 |
Інформаційна безпека як об'єкт інформаційного права
Сьогодні створено передумови для формування умовно автономної теорії, в рамках якої має сформуватися специфічний понятійний апарат (термінологія, категорії), змістовний аспект якого є проблематикою теорії для задоволення потреб практики: напрацювання стандартів категорій для розуміння широким загалом сутності нових соціальних явищ, у тому числі передачі інформації у формі знань у межах відповідної навчальної дисципліни.
Сучасний рівень суспільної ентропії — теоретичної розробленості проблематики — дає можливість визначити об'єктивність потреб формування у вітчизняній науці системи знань, ідей, доктрин, концепцій щодо інформаційної безпеки, формулювання (формалізації) її у змістовному, сут-нісному, понятійному аспектах тощо. При цьому як мету визначено формування ядра самої загальної теорії на елементарному рівні. Такі положення покликані формувати синтетичний науковий напрямок на межі багатьох наук, в яких проблематика інформаційної безпеки, захисту інформації визначена фрагментарно, ситуаційно, розпорошена серед багатоманітної галузевої проблематики. Передбачається, що з часом сформується розвинута теорія організації інформаційної безпеки, захисту інформації в автоматизованих (комп'ютерних) системах у таких науках, як правова інформатика та інформаційне право.
Базуючись на методології гіперсистем права та теорії критичної маси норм правовідносин, можна прогнозувати, що в майбутньому інформаційна безпека, у міру розвитку інформаційного суспільства, виокремиться з інформаційного права в окрему субінституцію подібно до права інтелектуальної власності, його провідних складових — авторського права та права промислової власності.