Методи забезпечення інформаційної безпеки

Діяльність з забезпечення інформаційної безпеки здійснюєть­ся за допомогою різних способів, засобів і прийомів, які у своїй органічній сукупності складають методи. Метод передбачає пев-

В. А. ЛІП КАН, Ю. Є.МАКСИМЕНКО. В. М. ЖЕЛІХОВС ЬКИИ ну послідовність дій на підставі конкретного плану. Методи мо­жуть значно змінюватися і варіюватися в залежності від типу діяльності, в якій вони використовуються, а також сфери засто­сування.

Важливими методами аналізу стану забезпечення інформа­ційної безпеки є методи опису та класифікації. Для здійснення ефективного захисту системи державного управління слід, по-перше, описати, а лише потім класифікувати різні види загроз та небезпек, ризиків та викликів і відповідно сформулювати сис­тему заходів по здійсненню управління ними.

У якості розповсюджених методів аналізу стану забезпечен­ня інформаційної безпеки використовуються методи досліджен­ня причинних зв'язків. За допомогою цих методів виявляються причинні зв'язки між загрозами, ризиками, викликами та не­безпеками; здійснюється пошук причин, які стали джерелом і спричинили актуалізацію тих чи інших чинників небезпеки, а також розробляються заходи по їх нейтралізації. У числі даних методів причинних зв'язків можна назвати наступні: метод схо­жості, метод відмінності, метод сполучення схожості і відмін­ності, метод змін, що супроводжують, метод залишків.

Вибір методів аналізу стану забезпечення інформаційної без­пеки залежить від конкретного рівня і сфери організації захис­ту. В залежності від загрози уможливлюється завдання щодо ди­ференціації як різних рівнів загроз, так і різних рівнів захисту. Що стосується сфери інформаційної безпеки, то у ній, зазвичай, виділяють: фізичний, програмно-технічний, управлінський, технологічний, рівень користувача, мережний, процедурний. Розглянемо дещо детальніше кожний з цих рівнів.

На фізичному рівні здійснюється організація і фізичний за­хист інформаційних ресурсів, інформаційних технологій, що ви­користовуються, і управлінських технологій. На програмно-тех­нічному рівні здійснюється ідентифікації і перевірка дійсності користувачів, управління доступом, протоколювання і аудит, криптографія, екранування, забезпечення високої доступності.

ІНФОРМАЦІЙНА БЕЗПЕКА УКРАЇНИ В УМО ВАХ ЄВРОІНТЕГРАЦІ Ї Па рівні управління здійснюється управління, координація і контроль організаційних, технологічних і технічних заходів на всіх рівнях управління з боку єдиної системи забезпечення ін­формаційної безпеки органів державного управління. На техно­логічному рівні здійснюється реалізації політики інформаційної безпеки за рахунок застосування комплексу сучасних автомати­зованих інформаційних технологій. Па рівні користувача реалі­зація політики інформаційної безпеки спрямована на зменшення рефлексивного впливу на суб'єктів державного управління, уне-можливлення інформаційного впливу з боку соціального середо­вища. На рівні мережі дана політика реалізується у форматі ко­ординації дій органів державного управління, які пов'язані між собою однією метою. На процедурному рівні вживаються заходи, що реалізуються людьми. Серед них можна виділити наступні групи процедурних заходів: управління персоналом, фізичний захист, підтримання роботоздатності, реагування на порушення режиму безпеки, планування реанімаційних робіт.

Можна виокремити декілька типів методів забезпечення ін­формаційної безпеки:

• однорівневі методи будуються на підставі одного принципу управління інформаційною безпекою;

• багаторівневі методи будуються на основі декількох при­нципів управління інформаційною безпекою, кожний з яких слугує вирішення власного завдання. При цьому приватні тех­нології не пов'язані між собою і спрямовані лише на конкретні чинники інформаційних загроз;

• комплексні методи - багаторівневі технології, які об'єднані до єдиної системи координуючими функціями на організаційно­му рівні з метою забезпечення інформаційної безпеки виходячи з аналізу сукупності чинників небезпеки, які мають семантичний зв'язок або генеруються з єдиного інформаційного центру інфор­маційного впливу;

• інтегровані високоінтелектуальні методи - багаторівневі, багатокомпонентні технології, які побудовані на підставі могут-

В. А. ЛІПКАН, Ю. Є.МАКСИМЕНКО, В. М. ЖЕЛІХОВСЬКИИ ніх автоматизованих інтелектуальних засобів із організаційним управлінням.

Загальні методи забезпечення інформаційної безпеки активно використовуються на будь-якій стадії управління загрозами. До таких стадій належать: прийняття рішення з визначення області та контексту інформаційної загрози і складу учасників процесу протидії; ухвалення загальної стратегії і схеми дій в політичній, економічній і соціальній сферах життєдіяльності; забезпечен­ня адекватного сприйняття загрози та небезпеки у більш низь­ких організаційних ланках системи державного управління; виділення необхідних політичних, економічних, соціальних, адміністративних і організаційних ресурсів, достатніх для ре­алізації програми відбиття інформаційної загрози і збереження сталого розвитку інформаційних ресурсів системи державного управління: трансформації результатів оцінки ризиків у від­повідну політику безпеки, включаючи національну.

Специфіка методів, що використовуються, значно залежить від суб'єкта діяльності, об'єкта впливу, а також цілей, що пе­реслідуються. Так, методи діяльності індивіда у зв'язку із його обмеженою можливістю з забезпечення інформаційної безпеки здебільшого зводяться до джерела загрози, апелювання до сус­пільної думки, а також до держави, яка має вживати рішучих заходів із нейтралізації інформаційних загроз. Саме суспільство почасти використовує у своїй діяльності методи соціального ре­гулювання, надання допомоги окремим індивідам і суспільним організаціям, яким спричинена шкода внаслідок виявлення за­грози.

Причому, на жаль, слід констатувати, що в нашій країні не на достатньому рівні усвідомлюють небезпеку саме в інформаційній сфері, немає штатних одиниць в органах державного управління по забезпеченню інформаційної безпеки, не проводиться підго­товка відповідних фахівців для органів державного управління.

Вельми важливим є застосування аналітичних методів пізнан­ня і дослідження стану суспільної свідомості у сфері інформацій-

но

ІНФОРМАЦІЙНА БЕЗПЕКА УКРАЇНИ
_________________________________ В УМОВАХ ЄВРОІНТЕГРАЦІЇ

ної безпеки. Наприклад, усвідомлення важливості забезпечення інформаційної безпеки на рівні індивіда, суспільства і органі­зації заважає розповсюджений міф про те, що захист інформа­ції і криптографія одне й те ж саме. Водночас таке розуміння є наслідком використання застарілих підходів до інформаційної безпеки, коли інформаційна безпеки лише ототожнюються із за­хистом інформації шляхом її шифрування.

Нині важливою умовою забезпечення інформаційної безпеки є не стільки секретність, конфіденційність інформації, скільки її доступність, цілісність, захист від загроз. Отже, система має відповідно реагувати та гарантувати ефективну діяльність у ць­ому напрямі.

Іншим завданням захисту є забезпечення незмінності інфор­мації під час її зберігання або передачі, тобто забезпечення її цілісності. Таким чином конфіденційність інформації, яка забез­печується за допомогою криптографічних методів не є головною вимогою при проектуванні систем захисту інформації органів державного управління. Виконання процедур криптокодування і декодування може уповільнити передачу даних та зменшити доступ до них, через те, що працівник органу державного уп­равління буде позбавлений можливості своєчасного та швидко­го доступу до цих даних та інформації, через функціонування механізму захисту. Саме тому, забезпечення конфіденційності інформації має відповідати можливості доступу до неї. Таким чином, управління в сфері інформаційної безпеки має здійсню­ватися на підставі принципу доступності та безпеки. Система забезпечення інформаційної безпеки в першу чергу має гаранту­вати доступність і цілісність інформації, а її конфіденційність у випадку необхідності.

Також зазначимо, що вплив хакерів та їх можливість сут­тєво вплинути на інформаційні системи дещо перебільшена. Здебільшого були зламані ті системи, які мали поганий захист. Так, наприклад, багато компаній в Україні, які мають солід­ний грошовий обіг і достатні фінансові джерела, не мають не

В. А. ЛІПКАН, Ю. Є.МАКСИМЕНКО, В. М. ЖЕЛІХОВСЬКИИ те щоб цілісної системи безпеки взагалі, а й навіть окремо фун­кціонуючої підсистеми забезпечення інформаційної безпеки. Здебільшого забезпечення інформаційної безпеки зводиться до того, що в системних блоках блокується доступ до флоппі-дисків і тим самим унеможливлюється несанкціонований запис інформації. Окрім цього, системний адміністратор встановлює спеціальні програми-фільтри, що відсіюють можливість до­ступу до внутрішньої мережі ззовні. Можна перераховувати й інші методи захисту інформації, водночас, нині ототожнення забезпечення інформаційної безпеки із забезпеченням безпе­ки комп'ютерних систем є просто концептуальною помилкою. Тому не є дивиною, що на сьогодні більша частина українських банків втратила внаслідок власної недбалості чимало коштів. І характерною рисою українського суспільства є те, що жоден з банків жодного разу не визнав факту вчиненого кіберзлочину проти себе.

У даному аспекті можна зауважити на ще одну проблему: зне­вага до вимог інформаційної безпеки та брак необхідних знань. Здебільшого під час робочого дня працівники, виконуючи свої службові обов'язки, відкривають паралельні вікна в Інтернеті, та самі, не усвідомлюючи того, відкривають доступ не лише до інформації, що зараз обробляється, а в цілому до комп'ютерної мережі усієї системи органів державного управління, починаю­чи від Кабінету Міністрів України, закінчуючи місцевими орга­нами виконавчої влади. Отже, одним із найкращих засобів за­хисту інформації від нападу - не допускати його.

Втім не слід плекати надію на створення абсолютної системи інформаційної безпеки, оскільки, як зазначалося нами вище, ми стоїмо на тій позиції, що загроза та небезпека є атрибутивними компонентами системи інформаційної безпеки, отже їх існуван­ня та реалізація, а також негативні наслідки є природним компо­нентом системи інформаційної безпеки. Саме вони дають змогу побачити недоліки в системі управління інформаційною безпе­кою, і водночас слугують імпульсом до вдосконалення, тобто до

ІНФОРМАЦІЙНА БЕЗПЕКА УКРАЇНИ
________________________________ В УМОВАХ ЄВРОІНТЕГРАЦІЇ

розвитку. Отже, важливим метод забезпечення інформаційної безпеки є метод розвитку.

Захист інформації не обмежується технічними методами, на що зазначає велике коло дослідників. Для ефективного забезпе­чення інформаційної безпеки важливим є різноманітні моделі та методи оцінки загроз та небезпек. їх варіативність занадто ла­більна та залежить як від рівня розвитку тієї чи іншої цивілі­зації, так і від контексту оцінки, що проводиться, наявності всебічних даних по факторам загроз, алгоритму вирахування ко­ефіцієнту імовірності настання та розміру негативних наслідків. Наявність конкретних даних з цього питання дозволяє досить точно визначити ступінь впливу інформаційної зброї, рівень за­гроз та небезпек.

Основним методом аналізу інформаційних ризиків є кількіс­ний ті якісний аналіз, факторний аналіз та інші. Мета якісної оцінки ризиків - ранжувати інформаційні загрози та небезпе­ки за різними критеріями, система яких дозволить сформувати ефективну систему впливу на них.

Важливим методом забезпечення інформаційної безпеки є та­кож метод критичних сценаріїв. У зазначених сценаріях аналі­зуються ситуації, коли уявний супротивник паралізує систему державного управління і відповідно знижує здатність підтри­мувати державне управління в межах оптимальних параметрів. При чому аналіз подій в світі дає усі підстави стверджувати, що інформаційні війни стають органічною частиною політики на­ціональної безпеки багатьох розвинених країн.

Також можна зазначити на метод моделювання, за допомо­гою якого можна проводити навчання з інформаційної безпеки. Позитивний досвід цього є у США, де на базі однієї з відомих корпорацій постійно провадяться оперативно-дослідницькі нав­чання, щоб моделювати різні форми інформаційних атак у ході інформаційної війни. Серед методів забезпечення інформаційної безпеки важливе значення має метод дихотомії. Для протидії загрозам інформаційній безпеці вживаються необхідні заходи

В. А. ЛІ ПК АН, Ю. Є.МАКСИМ ЕНКО, В. М. ЖЕЛІХОВСЬКИИ як в напрямку надання певного впливу на джерело загрози, так і в напрямку укріплення об'єкта безпеки. Відповідно виділяють дві предметні області протидії. Одна з них утворюється сукупніс­тю джерел загроз, а інша - сукупністю заходів із забезпечення інформаційної безпеки органу державного управління.

Вплив на джерело загрози інформаційної безпеки спрямова­ний на зміну чинників та умов, здатних нанести шкоду об'єкту безпеки. Метою захисту є переконання супротивника у недо­цільності здійснення загроз. Що стосується органів державного управління, то джерело загроз може бути спрямовано на змі­ну міждержавних відносин, укріплення довіри між держава­ми, створення умов, за яких здійснення небезпечних дій щодо об'єкта безпеки стає невигідним унаслідок виникнення небажа­них наслідків або неможливим. Основним предметом за дано­го випадку є інформація, яка є у супротивника у вигляді відо­мостей, знань, оцінок. У свою чергу, інформація, що надходить від супротивника і становить собою загрозу, може бути піддана впливу для зміни її здатності завдавати шкоду, нейтралізації, трансформації або ліквідації її небезпечних властивостей. Вплив на інформаційну інфраструктуру важливий у тому випадку, коли загрозу може представляти середовище розповсюдження небезпечної інформації.

Методи впливу на інформацію у формі повідомлень можна поділити також на електронні та неелектронні. Електронні ме­тоди впливу застосовуються у тих випадках, коли повідомлення закріплюються на електромагнітних носіях, котрі призначені для оброблення за допомогою засобів обчислювальної техніки. Вони полягають у знищенні, викривленні, копіюванні повідом­лень, які зберігаються на цих пристроях. Такі дії можуть бути вчинені лише за допомогою технічного та програмного забезпе­чення. Неелектронні методи за своєю суттю мають той самий зміст, але реалізуються без використання засобів обчислюваль­ної техніки для впливу на повідомлення, закріплення на інших, передусім паперових, носіях інформації.

ІНФОРМАЦІЙНА БЕЗПЕКА УКРАЇНИ
_________________________________ В УМОВАХ ЄВРОІНТЕГРАЦІЇ

Методи впливу на інформаційну інфраструктуру можуть бути розділені на інформаційні та неінформаційні. Інформаційні ме­тоди впливу орієнтовані на порушення формування інформацій­но-телекомунікаційних систем, мереж зв'язку, засобів автома­тизації управління, систем автоматизованої обробки інформації, і таким чином, на попередження нанесення шкоди предметам суспільних відносин, що захищаються.

У цілому ж слід зазначити, що обрання цілей і методів про­тидії конкретним загрозам та небезпекам інформаційній безпеці становить собою важливу проблему і складову частину діяль­ності з реалізації основних напрямів державної політики інфор­маційної безпеки. У межах вирішення даної проблеми визнача­ються можливі форми відповідної діяльності органів державної влади, що потребує проведення детального аналізу економічно­го, соціального, політичного та інших станів суспільства, держа­ви і особи, можливих наслідків вибору тих чи інших варіантів здійснення цієї діяльності.

Висновки

Аналіз проблем забезпечення інформаційної безпеки дав змо­гу зробити висновок, що найбільш важливими напрямами діяль­ності у цій галузі є всебічна оцінка загроз та небезпек, націо­нальної уразливості, ідентифікація критичної інфраструктури. У процесі забезпечення інформаційної безпеки важливо розумі­ти характер, природу, сутність і зміст загроз та небезпек, вміти своєчасно ідентифікувати джерело загрози.

Дії, пов'язані із забезпечення інформаційної безпеки, мають включати:

• спостереження, аналіз, оцінку та прогноз загроз та небезпек,
критичної інфраструктури, ступеню національної уразливості;

• відпрацювання стратегії і тактики, планування поперед­
ження нападу, укріплення потенційних зв'язків, вирівнювання
ресурсів забезпечення інформаційної безпеки;

В. А. ЛІПКАН, Ю. Є.МАКСИМ ЕНІгО, В. М. ЖЕЛІХОВСЬКИИ

• відбір сил і засобів протидії, нейтралізації, недопущення нападу, мінімізації шкоди від нападу;

• дії по забезпеченню інформаційної безпеки;

• управління наслідками інциденту (кібератаки, інформацій­ні операції, інформаційній війни).

Удосконалення забезпечення інформаційної безпеки потре­бує цілеспрямованого вивчення зарубіжного досвіду організації і проведення інформаційних операцій, методів, засобів здійснен­ня кібератак, а також моделювання інформаційних нападів.

Система забезпечення інформаційної безпеки має бути міжві­домчою та ієрархічно організованою. її структура й організація має відповідати структурі державного управління з чіткою ко­ординацією дій окремих сегментів. Організація ефективної сис­теми забезпечення інформаційної безпеки передбачає централі­зоване управління із конкретними відомчо-розпорядницькими функціями, які забезпечують моніторинг і контроль за усіма компонентами національного інформаційного простору. Система забезпечення інформаційної безпеки має у будь-яких ситуаціях скоординованої багатобічної і багатоаспектної інформаційної операції володіти здатністю зберігати важливі параметри свого функціонування, тобто підтримувати стан гомеостазису.

Потребують подальшого вирішення питання щодо розробки комплексу інформаційних стандартів із урахуванням забезпе­чення інформаційної безпеки, розвиток системи сертифікації інформаційних продуктів, систем і послуг, створення системи ліцензування діяльності організацій по окремих напрямах фор­мування єдиного інформаційного простору України.