OIBD
.pdfюридичний розділ, що підтверджує відповідність політики безпеки чинному законодавству.
До середнього рівня можна віднести питання, що стосуються окремих аспектів інформаційної безпеки, але важливі для різних експлуатованих організацією систем. Приклади таких питань – відношення до передових (але, можливо, недостатньо перевірених) технологій, доступ в Internet (як поєднати можливість доступу до інформації із захистом від зовнішніх загроз), використання домашніх комп'ютерів, застосування користувачами неофіційного програмного забезпечення й т.д.
Політика безпеки нижнього рівня стосується конкретних інформаційних сервісів. Вона містить у собі два аспекти – мету й правила їхнього досягнення, тому її часом важко відокремити від питань реалізації. На відміну від двох верхніх рівнів, розглянута політика повинна визначатися більш докладно. Є багато речей, специфічних для окремих видів послуг, які не можна одним чином регламентувати в рамках всієї організації. У той же час, ці речі на стільки важливі для забезпечення режиму безпеки, що рішення, які їх стосуються повинні прийматися на управлінському, а не технічному рівні. Наведемо кілька прикладів питань, на які варто дати відповідь щодо політики безпеки нижнього рівня:
хто має право доступу до об'єктів, підтримуваним сервісом?
за яких умов можна читати й модифікувати дані?
як організований вилучений доступ до сервісу?
При формулюванні цілей політики нижнього рівня можна виходити з міркувань цілісності, доступності й конфіденційності, але не можна на цьому зупинятися. Її мета повинна бути більш конкретною. Наприклад, якщо мова йде про систему розрахунку заробітної плати, можна поставити мету, щоб тільки співробітникам відділу кадрів і бухгалтерії дозволялося вводити й модифікувати інформацію. У більш загальному випадку мета повинна зв'язувати між собою об'єкти сервісу й дії з ними.
Із цілей виводяться правила безпеки, що описують, хто, що й при яких умовах може робити. Що докладніше правила, що більш формально вони викладені, тим простіше підтримати їхнє виконання програмно-технічними засобами. З іншого боку, занадто жорсткі правила можуть заважати роботі користувачів, імовірно, їх доведеться часто переглядати. Керівництво повинно знайти розумний компроміс, коли за прийнятну ціну буде забезпечений прийнятний рівень безпеки, а співробітники не виявляться надмірно зв'язані.
11
Зазвичай найбільш формально висуваються права доступу до об'єктів через особливу важливість даного питання.
Після того, як сформульована політика безпеки, можна приступати до складання програми її реалізації і безпосередньо до реалізації.
Щоб зрозуміти й реалізувати яку-небудь програму, її потрібно структурувати по рівнях, звичайно у відповідності зі структурою організації. У найпростішому й найпоширенішому випадку досить двох рівнів – верхнього, або центрального, котрий охоплює всю організацію, і нижнього, або службового, котрий стосується окремих послуг або груп однорідних сервісів.
У рамках програми верхнього рівня приймаються стратегічні рішення із забезпечення безпеки, оцінюються технологічні новинки. Інформаційні технології розвиваються дуже швидко, і необхідно мати чітку політику відстеження й впровадження нових засобів.
Контроль діяльності в області безпеки має двосторонню спрямованість. По-перше, необхідно гарантувати, що дії організації не суперечать законам. При цьому варто підтримувати контакти із зовнішніми контролюючими організаціями. По-друге, потрібно постійно відслідковувати стан безпеки усередині організації, реагувати на випадки порушень і доопрацьовувати захисні заходи з урахуванням зміни обстановки.
Варто підкреслити, що програма верхнього рівня повинна займати певне місце в діяльності організації, вона повинна офіційно прийматися й підтримуватися керівництвом, а також мати певний штат і бюджет.
Ціль програми нижнього рівня – забезпечити надійний й економічний захист конкретного сервісу або групи однорідних сервісів. На цьому рівні вирішується, які варто використовувати механізми захисту; закуповуються й установлюються технічні засоби; виконується повсякденне адміністрування; відслідковується стан слабких місць і т.п. Звичайно за програму нижнього рівня відповідають адміністратори сервісів.
Якщо синхронізувати програму безпеки нижнього рівня з життєвим циклом захищуваного сервісу, можна домогтися більшого ефекту з меншими витратами. Програмісти знають, що додати нову можливість до вже готової системи на порядок складніше, ніж з нуля спроектувати й реалізувати її. Та ж умова виконується для інформаційної безпеки.
Глава 2. Забезпечення інформаційної безпеки людини і суспільства
Сьогодні досягнення в сфері забезпечення якості роботи інформаційної, телекомунікаційної техніки і різних систем передачі інформації
12
спостерігаються у всіх складових галузі зв'язку та інформатизації. Вона є однією з найбільш перспективних і динамічно розвинутих базових інфраструктурних галузей, що володіють потенціалом довгострокового зростання. Основним рушійним чинником даної галузі є розвиток ринку послуг зв'язку та інформатизації, однак, поряд із забезпеченням потреб суспільства, одним з основних завдань є завдання забезпечення національної безпеки.
Під інформаційною безпекою розуміється захищеність інформації і підтримуючої інфраструктури від випадкових або навмисних впливів природного або штучного характеру, які можуть завдати неприйнятного збитку суб'єктам інформаційних відносин, у тому числі власникам і користувачам інформації і підтримуючої інфраструктури.
Проблеми інформаційної безпеки багатогранні і вимагають вирішення питань від забезпечення безпеки на окремому робочому місці до забезпечення безпеки функціонування глобальних систем і мереж зв'язку.
Інформаційні системи і технології покликані зробити наше життя більш ефективним. У багатьох розвинених країнах безробіття та інші проблеми економіки ефективно вирішуються шляхом відповідного використання інформаційних технологій. Однак такий підхід до інформаційних технологій має свої наслідки. Кожен день суспільство стає все більш і більш залежним від комунікаційних систем, таких як телекомунікації, електронний банкінг, міжнародні сировинні ринки, інтернаціональні транспортні системи, електричне, газове та ядерне виробництво і розповсюдження, радіо і телебачення, системи безпеки тощо. Всі ці інфраструктури використовують інформаційні системи, щоб керувати і надавати свої послуги і є базисом для створення багаторівневої економіки в сучасному суспільстві. Створюючи та впроваджуючи надійні центральні інфраструктури суспільство може потім використовувати свою енергію для більш високоуровнего технологічного зростання, подальшого розвитку інновацій і просування прогресу. Як було заявлено Committee on Disarmament and International Security (UNISCA): «Високорозвинені країни все більше і більше залежать від коректної та захищеної роботи всіх цих систем. Будь-яке проникнення, маніпулювання, саботаж, поломка або навіть руйнування однієї з цих систем або мереж матиме ефекти, які будуть відчутні не тільки в самій атакованої системі». Тому, при розвитку суспільства для реалізації його економічної переваги, воно повинно захищати та підтримувати інфраструктуру. Як показує історія, коли в системі присутні уразливості, протиборчі сили будуть однозначно використовувати їх для власної переваги і нанесення збитку опоненту.
13
Існує цілий ряд проблем підвищення безпеки інформаційних систем, включаючи мережі зв'язку, протидії загрозам інформаційної безпеки. До основних проблем інформаційної безпеки можна віднести наступні:
-відсутні єдині стандарти та вимоги;
-відсутня чітка категоризація об'єктів за рівнем забезпечення інформаційної безпеки;
-відсутня процедура контролю дотримання вимог інформаційної безпеки та атестації об'єктів на предмет відповідності їм;
-відсутня єдина система контролю і протоколювання дії користувачів та адміністраторів ключових державних інформаційних ресурсів;
-існуючий рівень забезпечення інформаційної безпеки залишається вкрай низьким і недостатнім для ефективного розвитку державних інформаційних систем і ресурсів.
Крім того, дослідження показали, що наступні елементи часто впливають (знижують) на рівень безпеки підприємств:
1.Розбіжність між реальними загрозами та їх відображенням у прийнятій моделі захисту (втрата адекватності політики безпеки).
2.Ігнорування вимог з безпеки при виборі архітектури і побудові інформаційної системи.
3.Порушення, у ході експлуатації, конфігурації та налаштувань активного мережевого обладнання.
4.Неконтрольоване втручання в програмні комплекси, що забезпечують виконання функціональних завдань.
5.Порушення технологічних і адміністративних процедур управління
безпекою.
6.Порушення персоналом технологічних процесів і регламентів
роботи.
7.Втрата контролю за кріптофункціей:
•Втрата контролю за ключами підпису.
•Ранку та контролю за цілісністю кріптопродукта.
Зневага до контролю вищеописаних компонентів призводить до цілого ряду протиправних дій, що впливають в цілому на рівень ІБ.
Важко оцінити шкоду в разі, якщо виводиться з ладу стратегічно важливий сегмент інформаційної інфраструктури країни. Враховуючи, що в сучасних комутаційних і керуючих системах, а також у допоміжних засобах, якими оснащуються вузли зв'язку і керуючі структури організацій зв'язку основними компонентами є мікропроцесорні системи з підтримуючим
14
програмним забезпеченням, особливу значимість для об'єктів електрозв'язку набуває можливість попередження небезпечного впливу на них шкідливих програм - вірусів.
Як показують останні політичні події, все частіше масовані атаки "хакерів" використовуються з метою блокування, злому інтернет-мереж. Це викликає підвищену стурбованість, особливо з приводу уразливості перед можливою "комп'ютерною атакою" на системи життєзабезпечення, засекречені джерела інформації, як з боку зловмисників-одинаків, так і технічно грамотних терористів.
Існує значне число проблем в області захисту інфраструктури. В стороні від чисто технічних, правових та фінансових аспектів визначають захист інфраструктури, існує також різна кількість неврегульованих елементів між комерційними структурами і урядовими організаціями щодо того які компоненти інфраструктури вимагають захисту і методи дій до зловмисників. Ці процеси виникають з бізнесом, основними цілями якого є попередження атак, на відміну від урядових структур з цілями виявити, нейтралізувати і захопити зловмисників. Це висуває різні концепції відповідальності, поширення інформації та вразливості в національній інформаційній інфраструктурі. Інша проблема полягає в поступовому переході контролю над елементами критичної інфраструктури від уряду до комерційних організацій, що, як наслідок, обмежує можливості забезпечення захисту даних елементів.
Природно інформаційна безпека держави безпосередньо переплітається з інформаційною безпекою особистості, яка характеризується захищеністю психіки і свідомості від небезпечних інформаційних впливів: маніпулювання, дезінформування та ін. Існує цілий ряд громадських положень (наприклад, проект «Етичного кодексу для інформаційного суспільства»), що описують інформаційну безпеку особистості , які в цілому є рекомендаційними і часто не розглядаються в аспекті державних інтересів.
Дуже гостро стоїть проблема використання глобальних мереж для розповсюдження інформації про місця збуту наркотичних засобів, описи рецептів їх виготовлення, способів одержання вибухових і отруйних речовин, а також інформації, що містить пропаганду воєн, культу насильства і жорстокості.
Подібні дії заподіюють шкоду як правам особистості, так і суспільним цінностям. При цьому використовується можливість опублікування в глобальних комп'ютерних мережах інформації практично в будь-якій формі та об'ємі без отримання спеціального дозволу при широкому охопленні аудиторії і
15
збереженні анонімності автора, хоча використання мереж може бути і цілком легальним.
Однією з найбільш небезпечних загроз безпеки є все більш широке використання транснаціональними терористичними організаціями (поряд з традиційними засобами вчинення підривних дій) можливостей відкритих телекомунікаційних мереж для надання пропагандистського впливу світовій громадськості, залучення через можливості комп'ютерних мереж нових членів, координування своєї діяльності і збору фінансових коштів для її здійснення.
Сайти терористичного характеру, що містять заклики до національної та релігійної ворожнечі, що закликають до здійснення актів тероризму і диверсій, регулярно виявляються в мережі Інтернет. На території України невідкладно вживаються заходи до їх закриття, в результаті в даний час факти появи таких сайтів в українському сегменті мережі Інтернет носять одиничний характер. Разом з тим, особливість сучасного інформаційного простору в тому, що поширення інформації в ньому не обмежена національними кордонами. Сайти, що пропогандують ідеї тероризму, в тому числі російською та українською мовами, створюються і функціонують на території інших країн. Тому особливе значення в боротьбі з пропагандистською діяльністю терористичних організацій в мережі Інтернет набуває міжнародне співробітництво, що здійснюється на рівні спецслужб і правоохоронних органів.
Цілком очевидно, що вирішення питань інформаційної безпеки вимагає комплексного підходу, включаючи питання вдосконалення правового, методичного, науково-технічного і організаційного забезпечення інформаційної безпеки, як особистості, так і держави, можливого на основі тісної взаємодії та співпраці науково-освітніх установ, бізнесу та органів державної влади.
Глава 3. Інформаційне протиборство
Класифікація включає дві підгрупи інформаційної зброї. Перша підгрупа включає в себе:
•засоби масової інформації (ЗМІ);
•психотронні генератори;
•психотропні препарати.
Інформаційна зброя даної підгрупи призначена для негативного впливу на людину. Зокрема, цей вплив може здійснюватися через різні ЗМІ. У відповідності з Законом «Про засоби масової інформації» під цими коштами розуміється періодичне друковане видання, радіо-, теле-, відеопрограма, кінохронікальна програма, інша форма періодичного поширення масової
16
інформації. Під масовою інформацією розуміються призначені для необмеженого кола осіб друковані, аудіо-, аудіовізуальні та інші повідомлення та матеріали. Хронологія багатьох військових конфліктів останніх років включала, як правило, на початку їх розвитку етап психологічної обробки світової громадськості через ЗМІ. Психотропні генератори - це пристрої, що здійснюють вплив на людину шляхом передачі інформації через неусвідомлюване сприйняття.
Вже давно встановлено, що різні органи людини мають власні резонансні частоти, використовуючи які можна впливати на психико-фізіологічний стан індивіда або коллектива людей, викликаючи у них страх, або інші почуття.
Ці та інші особливості людського організму використовуються при побудові та підборі параметрів (частотний діапазон, потужність випромінювання, тривалість роботи тощо) психотропних генераторів.
Психотропні препарати - це лікарські (наркотичні) засоби, які здатні викликати стан залежності, надавати стимулюючий або депресивний вплив на центральну нервову систему, викликаючи галюцинації або порушення моторної функції організму, під впливом яких відбувається порушення мислення, змінюється настрій, поведінка.
Засоби радіоелектронної боротьби (РЕБ) - це засоби для виявлення та радіоелектронного придушення систем управління військами та зброєю противника, його систем розвідки і навігації, а також засоби для забезпечення стійкої роботи своїх систем.
Кошти спеціального програмно-технічного впливу (СПТВ) - програмні, апаратні або програмно-апаратні засоби, з використанням яких може бути здійснено несанкціоноване копіювання, спотворення, знищення інформації, її передача за межі контрольованої зони або блокування доступу до неї.
Вданий час в число сфер ведення бойових дій, крім землі, моря, повітря і космосу, додалася і інформаційна сфера. Як підкреслюють військові експерти, основними об'єктами поразки в нових війнах будуть інформаційна інфраструктура і психологія супротивника (з'явився навіть термін «human network»).
Вякості основних об'єктів впливу в інформаційній війні виступають:
1.Мережі зв'язку та інформаційно-обчислювальні мережі, використовувані державними організаціями при виконанні своїх управлінських функцій;
2.Військова інформаційна інфраструктура, вирішальне завдання управління військами;
17
3.Інформаційні та керуючі структури банків, транспортних і промислових підприємств;
4.ЗМІ (в першу чергу електронні).
Зараз є безліч визначень інформаційної війни. Зупинимося на одному з них. У серпні 1995 р. Національний інститут оборони США опублікував роботу Мартіна Лібікі «Що таке інформаційна війна?». У ній автор визначив 7 різновидів інформаційної війни: командно-управлінська, розвідувальна, психологічна, хакерська, економічна, електронна та кібервійна.
Командно-управлінська (Command-and-control) війна в якості основного об'єкта впливу розглядає канали зв'язку між командуванням і виконавцями. Перерізаючи «шию» (канали зв'язку), нападник ізолює «голову» від «тулуба». Стверджується, що це краще, ніж просто вбивати «голову». Вважається, що Інтернет народився як оборонний варіант цієї війни («розосереджена шия»).
Розвідувальна війна має на меті збір важливої у військовому відношенні інформації та захист власної.
Електронна війна об'єктом свого впливу має засоби електронних комунікацій - радіозв'язку, радарів, комп'ютерних мереж. Її важлива складова - криптографія, що дозволяє здійснювати шифрування і розшифровку електронної інформації.
Психологічна війна - здійснюється шляхом пропаганди, «промивання мізків» і іншими методами інформаційної обробки населення.
Лібікі виділяє 4 складові психологічної війни: підрив громадянського духу; деморалізація збройних сил; дезорієнтація командування; війна культур.
Хакерська війна має цілями тотальний параліч мереж, перебої зв'язку, введення помилок в пересилку даних, розкрадання інформації, розкрадання послуг за рахунок несанкціонованих підключень до мереж, їх таємний моніторинг, несанкціонований доступ до закритих даних. Для досягнення цих цілей використовуються різні програмні засоби: віруси, «троянські коні», «логічні бомби», сніфери («нюхалкі», «следілкі»).
Економічна інформаційна війна. Лібікі виділяє дві її форми - інформаційну блокаду (спрямована проти США) і інформаційний імперіалізм (метод самих США).
Світ продовжує стрімко змінюватися і ставить багато нових питань перед людством.
Революційні зміни видно в багатьох галузях світової економіки, в першу чергу це область інформатизації суспільства. Хвиля «цифрової революції» створила абсолютно новий економічний сектор, якого раніше просто не було.
18
Це провокує зростання інтенсивності конфліктів з метою захоплення і утримання переваги в даному секторі нової світової економіки. Капіталом, який відіграє чільну роль в «цифрової революції», є інтелектуальний капітал, насамперед у галузі інформаційних технологій.
І. Нарешті основний продукт цього сектора - інформація - володіє унікальними властивостями, не властивими іншим секторам економіки. Інформація на відміну від всіх інших ресурсів придатна для багаторазового використання та для численних користувачів, при цьому чим більше вона застосовується, тим ціннішою стає. Те ж саме можна сказати про мережі, що зв'язують різні джерела інформації.
Такий один з підходів до визначення сутності та змісту інформаційної війни.
Безліч визначень інформаційної війни пов'язано, мабуть, із складністю, і багатогранністю такого явища, як інформаційна війна, труднощами побудови аналогій з традиційними війнами. Якщо спробувати трансформувати визначення в поняття «інформаційна війна», то навряд чи що конструктивне вийде. Це пов'язано з рядом особливостей інформаційної війни.
Для війни в її звичайному розумінні суб'єкти (конфронтуючі сторони) чітко визначені, існують поняття початку і закінчення війни, лінії фронту. Різні сторони, як правило, описуються однаковими моделями. Результат війни багато в чому визначається співвідношенням військових потенціалів сторін.
Для інформаційної війни зазвичай чітко визначена оборона, поняття початку і закінчення можна застосувати лише до окремих операцій інформаційної війни, лінія фронту не визначена, оборона і наступ описуються різними моделями. Успіх проведених інформаційних операцій не має прямого зв'язку з співвідношенням військових потенціалів сторін. Забезпечення інформаційної безпеки в сфері державного та муніципального управління (ДМУ) грунтується на детальному аналізі структури та змісту ДМУ, а також інформаційних процесів і використовуваних при управлінні технологій.
При цьому визначальними факторами при розробці засобів інформаційної зброї стають саме індивідуальні особливості елементів. Це зрозуміло. Для того щоб змоделювати поведінку базових елементів, необхідно знати саме індивідуальні особливості та переваги.
Часовий інтервал, на якому системи намагаються здобути перемогу в інформаційній війні, в даному випадку порівняємо з часом життя елементів (з часом знаходження їх в системі управління), а це означає, що мова йде про
19
незначні з точки зору зміни поколінь в часовому інтервалі. Тому для конкретної ситуації на якийсь час стає дозволеним говорити про перемогу алгоритму.
Однак при всьому при цьому треба пам'ятати, що час життя системи і час навчання постійно змінюються. З'являються нові технології навчання і змінюються характеристики навколишнього інформаційного середовища. Сказане означає, що порівнювати час життя елементів з тимчасовим інтервалом активного ведення інформаційної війни може бути і не зовсім коректно. Тут же хотілося в першу чергу відзначити наступне: інтенсивність модифікації навколишнього світу часто не залишає інформаційній системі можливості вийти з запропонованих їй сценаріїв поведінки.
Спираючись на сказане про модельований базових елементів, можна сформулювати відповідне твердження: чим більше потужність безлічі базових елементів і їх зв'язків, тим система стійкіша до цілеспрямованого інформаційного впливу.
В умовах, коли час інформаційної протидії між системами малий (наприклад, не перевищує середнього часу життя елемента системи) і системасупротивник володіє модельованими базовими елементами, можна запропонувати наступний алгоритм, що здавалося би «завжди перемагає»:
1)визначення базових елементів інформаційного простору системисупротивника;
2)вивчення індивідуальних особливостей і потенційних можливостей базових елементів;
3)моделювання різних варіантів поведінки базових елементів при різних вхідних впливах;
4)вибір найбільш переважного сценарію ведіння базових елементів;
5)підготовка середовища, в якій функціонують базові елементи (громадської думки), і їх самих;
6)реалізація.
З урахуванням вище сказаного загальна схема інформаційної війни могла би виглядати як на рис. 1.
20