Тема 2: Головні напрями та принципи забезпечення інформаційної безпеки
Діяльність будь-якої сфери суспільних відносин базується на принципах, які визначають найзагальніші уявлення про предмет розгляду. На основі принципів будуються методи, а потім засоби, якими будуть досягатися поставлені цілі. Принципи є першочерговими моделями побудови якого-небудь явища, у тому числі й забезпечення інформаційної безпеки. Вони є тим фундаментом, який є непорушним незважаючи на бажаний результат, тобто досягнення певної мети не повинно відбуватися всупереч їхнім догмам. Так, що ми можемо називати принципами??? В узагальненому вигляді, Принципи – це загальновизнані ідеї, вихідні положення найвищого авторитету, які характеризують різні сфери діяльності. Тоді, що ж таке принципи забезпечення інформаційної безпеки – це загальні необхідні положення, які відображають цінність інформаційної безпеки як суспільного явища, без яких неможливо (або суперечливо іншим людським цінностям) досягнути такого бажаного стану інформації.
Загальнолюдські принципи: гуманізм (від гуманізму пішли ідеї про моральну цінність людини, її життя, свободу, захисту її гідності), справедливості, рівності, свободи.
На основі загальнолюдських принципів базуються принципи інформаційно-правової сфери.
До загальних принципів правових відносин у сфері інформації можна віднести: законність, свобода доступу до інформації, вільного вираження думок і переконань, забезпечення інформаційної безпеки, рівність перед законом, захист інтелектуальної власності.
В основу забезпечення інформаційної безпеки держави повинні бути покладені наступні принципи:
-
законність, дотримання балансу інтересів особистості, суспільства і держави;
-
взаємна відповідальність суб'єктів забезпечення інформаційної безпеки;
-
інтеграція систем національної і міжнародної безпеки.
Специфічними принципами забезпечення інформаційної безпеки є:
-
превентивний характер проведення її заходів по відношенню до заходів інших видів безпеки;
-
адекватна інформованість об'єктів безпеки, в тому числі і міжнародних.
Превентивність (лат. praeventio від praevenio — "попереджую") зумовлена властивою людині послідовністю виконання операцій, що складає будь-яку елементарну дію. Усе починається з приймання (добування) інформації, а закінчується активною дією: реакцією на одержану інформацію. Оскільки це справедливо по відношенню до будь-якого виду діяльності, то можна стверджувати, що даний принцип є загальним, і його дія розповсюджується на всі сфери безпеки особистості, суспільства та держави.
Адекватна інформованість об'єктів безпеки означає, що всі вони мають право володіти інформацією про явища і процеси, що їх цікавлять, яке обмежене тільки законодавчо з метою охорони особистої, сімейної, професійної, комерційної та державної таємниці, а також моралі.
Права та свободи суспільства в питаннях пошуку, володіння та розповсюдження інформації повинні регулюватися законодавчими актами, які видаються, щодо специфіки діяльності суспільних об'єднань та організацій або змісту інформації. Наприклад, адекватна інформованість суспільства про його матеріальні цінності досягається у сфері нормотворчості та правозастосування законодавства про захист комерційної таємниці. Права та свободи суспільства в духовній сфері повинні захищати законодавчі акти, які визначають порядок освіти та функціонування освітніх, просвітницьких, культурних, релігійних організацій, а також засобів масової інформації. В основі прав і свобод держави у сфері її інформованості з питань світової політики, економіки, науки, ресурсів, екології, оборони і т.ін. лежать діючі норми та принципи міждержавного права. Головним слід вважати принцип рівної безпеки. Стосовно до інформаційної сфери можна говорити про його трансформацію в принцип адекватної інформованості держав світового співтовариства, який передбачає право кожної держави на інформаційну безпеку, забезпечення інформаційної безпеки усіх членів співтовариства в рівній мірі, врахування інтересів усіх сторін без будь-якої дискримінації, виключення односторонніх переваг, відмова від дій, що наносять шкоду іншій державі. Законодавча база, яка визначає перелік відомостей, що віднесені до державної таємниці, механізм та порядок її захисту повинні розроблюватися, виходячи із наведеного принципу, а також багатосторонніх угод держав, які входять до міжнародної системи інформаційної безпеки. Формування останньої буде, очевидно, справою далекої перспективи, яка ознаменує собою вищий рівень прояву довіри та зацікавленості держав світового співтовариства в забезпеченні виконання на практиці принципу адекватної інформованості.
Така система повинна стати підсистемою у системі колективної безпеки.
Досвід протидії загрозам безпеки та побудови систем управління інформаційними ризиками, використання системного підходу до аналізу захищених інформаційних систем дозволив сформулювати основні науково-практичні принципи забезпечення інформаційної безпеки.
1. Забезпечення інформаційної безпеки виконується відповідно до політикою управління інформаційними ризиками, розробка і реалізація якої здійснюється під безпосереднім керівництвом перших осіб підприємства із залученням менеджменту відповідних служб і відділів.
2. Архітектура системи управління інформаційними ризиками (СУІР) забезпечує оптимальний (раціональний) баланс
витрат на управління інформаційними ризиками і загального збитку від інформаційних ризиків.
3. Система управління інформаційними ризиками є централізованою і реалізує єдину політику управління.
4. Безпека інформації досягається за рахунок комплексного використання нормативних, економічних та
організаційних заходів, технічних, програмних і криптографічних засобів.
5. Система управління повинна бути багаторівневою (многорубежной) і равнозащіщенной у всіх ланках.
6. Повинна бути забезпечена безперервність функціонування на всіх життєвих циклах системи.
7. Повинно бути забезпечено розмежування та обмеження доступу персоналу до інформації.
8. Система повинна бути здатна до розвитку та адаптації до зміни умов функціонування.
9. Наявність системи безперервного моніторингу за виконанням всім персоналом встановлених правил роботи в інформаційній системі.
10. Моніторинг і аудит ефективності системи і своєчасна її модернізація.
Політика підприємства повинна відповідати вимогам законодавства. Для державних організацій безпека інформації забезпечується відповідно до вимог національних стандартів та інших керівних документів державних організацій - регуляторів сфери інформаційної безпеки держави. На державному рівні політика в галузі інформаційної безпеки викладена в ЗУ «Про основи національної безпеки України».
Другий принцип визначає сутність економічних методів управління інформаційними ризиками, яка полягає в необхідності врахування співвідношення виділюваних коштів на забезпечення безпеки інформації і очікуваним загальним збитком від порушення безпеки інформації. Рішення, близьке до оптимального, виходить у випадку рівності витрат па управління інформаційними ризиками величиною відповідного загального збитку.
Система управління інформаційними ризиками підприємства повинна бути ієрархічної централізованої для забезпечення єдиної політики управління у всіх підрозділах (у тому числі і територіально рознесених).
Не існує одного методу або кошти, які могли б забезпечити 100% захист від загроз безпеки інформації. Для підвищення ефективності системи необхідно комплексно використовувати комбінації методів і засобів захисту різної природи і принципів дії. При цьому слід мати на увазі, що основою для створення системи захисту є нормативна правова база, а всі засоби захисту будуть ефективні, якщо в системі налагоджено узгоджене виконання організаційних заходів, алгоритмів і дій всіма співробітниками.
Висока захищеність інформаційної системи досяжна тільки при використанні багаторівневої системи захисту від загроз. У таких системах зловмисникові потрібно подолати кілька бар'єрів на шляху до інформації.
Важливо при побудові СУІР виключити наявність слабких ланок у системі захисту. Зловмисник постарається знайти найменш захищений елемент системи захисту для виконання свого задуму. Тому надійність всієї системи захисту визначається надійністю найслабшого елемента. Це справедливо і для випадкових загроз. Прорив водозахисної дамби, пробій електроізоляційних матеріалів, займання горючих матеріалів мають місце в найменш захищених місцях.
У період експлуатації інформаційної системи, незалежно від режиму роботи і тимчасових рамок, вона повинна бути відповідним чином захищена від можливих загроз безпеці інформації. Безперервність захисту поширюється також на всі етапи роботи з інформацією - введення, зберігання, обробку, видачу, передачу.
Одним з основних принципів забезпечення інформаційної безпеки є обмеження і розмежування доступу персоналу до важливої інформації. Кожному працівникові мають делегуватися мінімально можливі права з доступу до ресурсів системи в суворій відповідності з його функціональними обов'язками.
Принцип розвитку та адаптивності СУІР передбачає можливість модернізації системи, а також здатність системи в автоматичному або автоматизованому режимі пристосовуватися до мінливих умов функціонування (появі нових загроз, зміни режимів роботи, розширенню функціональності системи і т.д.).
Важливо, щоб всі співробітники знали, що їхні дії в інформаційній системі можуть бути в будь-який момент часу проконтрольовані, а частина найбільш відповідальних дій і подій задокументована. Найбільш відповідальні операції повинні виконуватися під безпосереднім контролем відповідних посадових осіб або комісій. Система моніторингу роботи системи дозволяє ефективно розслідувати інциденти в інформаційній системі.
Керівництво підприємства зобов'язане організувати моніторинг і періодичний аудит ефективності функціонування СУІР і, при необхідності, своєчасно забезпечити модернізацію системи.