Проблеми захисту інформації у структурних підрозділах МНС України Текст научной статьи по специальности «Экономика и бизнес»

28. Schreiber G. The CommonKADS Methodology / H. Akkermans, A. Anjewierden, R. Hoog, N. Shadbolt, W. Van de Velde, B. Wielinga // Knowledge engineering and management. MIT press, Massachusetts. - 1999.

29. Sequoiaview. [Electronic resource]. - Mode of access http://www.win.tue.nl/sequoiaview/.

30. Shneiderman B. Tree visualization with tree-maps.A2-d space filling approach. ACM Trans. Graph. - Vol. 11, No. 1, September. - 1992. - P. 99-92.

31. Storey M.-A. Jambalaya: Interactive visualization to enhance ontology authoring and knowledge acquisition in Protege / Mussen M., Silva J., Best C., Ernst N., Fergerson, R., Noy N. // In Proceedings of Workshop on Interactive Tools for Knowledge Capture, K-CAP-2001, Victoria, BC, Canada, - 2001. [Electronic resource]. - Mode of access http://www.thechiselgroup.org/jambalaya.

32. Strasnick S.L. Method and AParatus for Displaying Data Within a Three- Dimensional Information Landscape / Tesler J.D. // US Patent 5,528,735, Silicon Graphics, Inc. - 1996.

33. Sure Y. OntoEdit: Collaborative ontology development for the Semantic Web / M. Erdmann, J. Angele, S. Staab, R. Studer, D. Wenke // In Proc. of the Inter. Semantic Web Conference (ISWC 2002), Sardinia, Italia. - 2002.

34. Tae-Sul S. Sharin CAD models based on the feature ontology of command history / Yon-sook Lee, Sang-Uk Cheon, Lalit Patil // International Journal of CAD/CAM, 1598-1800. - 2005. -Vol. 5. - No 1. - P. 47-39.

35. Van Ham F. Beamtrees: Compact visualization of large hierarchies / J.J. Vanwijk // In Proceedings of the IEEE Conference on Information Visualization. IEEE CS Press, 2002. - P. 100-93.

36. Wang T. Cropcircles: topology sensitive visualization of owl class hierarchies / B. Parsia // In Proceedings of the International Semantic Web Conference (ISWC 06). [Electronic resource]. -Mode of access http://www.mindswap. org/papers/2006/cropcircles-iswc.pdf.

Василюк Я.Р., Теслюк В.М., Зелинский А.Я. Анализ методов, моделей, принципов и средств для построения онтологий области микроелек-тромеханичиских систем

Рассмотрены известные модели, методы и инструментальные средства инженерии онтологий, при помощи которых создаются и объединяются разные онтологии. Исследованы основные инструментальные средства онтологий, проведен их анализ, представлены возможности их использования для построения онтологий микроэлек-тромеханичиских систем.

Ключевые слова: онтология, база данных (БД), инструментальные средства инженерии онтологий, микроэлектромеханичиские системы.

Vasylyuk Ya.R., Teslyuk V.M., ZelinskyyA.Ya. The analysis of models, methods, principles and tools for ontology design of microelectromechanic

systems

Well-known models, methods, principles and tools on ontology engineering are observed, with help of which various ontologies are designed and unified. The main ontology instrumental tools are examined and analyzed. The possibilities of their usage for ontology construction of microelectromechanical systems are presented.

Keywords: ontology, data base (DB), instrumental tools of ontology engineering, microelectromechanical systems.

УДК 681.3 Проф. Ю.1. Грицюк, д-р техн. наук; доц. Т.€. Рак,

канд. техн. наук - Львiвський ДУ БЖД

ПРОБЛЕМИ ЗАХИСТУ ШФОРМАЦП У СТРУКТУРНИХ П1ДРОЗД1ЛАХ МНС УКРА1НИ

Проаналiзовано специфжу шдготовки фахiвцiв з шформацшно! безпеки у Львiвському ДУ БЖД, виявлено потенщйш джерела загроз та рiвнi 1х небезпек для структурних шдроздтв МНС Украши. Встановлено, що багато дослщнигав у сво!х роботах придшяють значну увагу аналiзовi змюту поняття "шформацшна безпека",

водночас тага поняття, як джерела загроз та рiвень !х небезпек розглядаються ними дещо спрощено, здебiльшого у вдарваному вiд контексту поняття "iнформацiйна безпека", часто не пов'язаному iз контекстом видового поняття "шформацшна загро-за". Сучаснi процеси функцiонування систем шформацшно! безпеки вказують на потребу удосконалення системи адмiнiстративно-правового регулювання шформацшно! безпеки, яка вимагае вироблення нових засобiв, методiв i способiв забезпечен-ня шформацшно! безпеки рiзних оргашв управлiння, монiторинг iнформацiйного се-редовища, наявностi джерел загроз i рiвнiв !х небезпек.

Вступ. За останш декшька десятилиь вщбулися яюсш змши в проце-сах управлшня на вшх ¿ерарх!чних р1внях через штенсивне впровадження су-часних шформацшних технологш. 1х швидкий розвиток призв1в до зростання вщносних цшностей суспшьства взагал1 й окремо! людини зокрема - наяв-носп конфщенцшно! шформацп. Водночас стала зростати небезпека втру-чання в роботу шформацшних систем для несанкцюнованого зчитування ш-формацп. Значення та вагомють наслщюв таких втручань з часом збшьшили-ся настшьки, що нав1ть розвинеш держави, !х промислов! та фшансов! струк-тури стали заручниками сво!х шформацшних технологш. Саме тому в Укра-!ш все бшьше уваги придшяеться проблем! не тшьки захисту шформацп, але й проблем! пошуку шлях1в управлтня тформащйною безпекою [2].

Якщо рашше проблема захисту шформацп була актуальною тшьки для спещальних служб, то згодом вона стала актуальною для вшх оргашзацш та тдприемств, так чи шакше пов'язаних з науковими чи виробничими здо-бутками, а також тих, яю мали справу з комерцшними чи банювськими таемницями. Окр1м цього, навггь поверхневий анал1з надзвичайних ситуацш природного характеру, яю часто появляються в Укра!ш та за !! межами, пока-зуе тенденщю зростання !х юлькосп та масштаб1в можливих наслщюв. У ба-гатьох випадках вони провокують складш техногенш аварп та глобальш ка-тастрофи (Япошя, 2011 р.). 1хне прогнозування, завчасне попередження, ш-формування населення про наявш джерела загроз та р1вень !х небезпеки - ос-новне завдання структурних тдроздЫв МНС Укра!ни. Водночас, швидка лжвщащя надзвичайних ситуацш з найменшими витратами сил 1 засоб1в мае немаловажне значення для ф1зичного 1 морального стану населення, а також економжи само! кра!ни. У будь-якому випадку уо. щ стратепчш та тактичш дп супроводжуються складними шформацшними процесами, бшьшють з яких мають конфщенцшний характер.

Найбшьш ефективне виршення питань шформацшно! безпеки у структурних тдроздшах МНС Укра!ни зводиться до постшно! та систематично! роботи компетентних фах!вщв у кожному з тдроздЫв залежно вщ масштаб1в вир1шуваних завдань. Хоча проблема тдготовки фах!вщв з захисту шформацп донедавна була актуальною для спещальних служб силових вь домств [1], проте на сьогодш, в силу специфжи виконуваних робгг ! виршу-ваних завдань, вона стосуеться ! навчальних заклад1в МНС Укра!ни, одним ¿з яких е Льв1вський ДУ БЖД. Запроваджеш тут методики навчання поряд ¿з традицшними методами ! засобами захисту шформацп пропонують курсантам ! студентам вивчати сучасш технолог!! забезпечення безпеки шформацшних ресуршв ! комушкацшних систем. Насамперед це пов'язано з1 збере-

женням i передачею оперативно! шформацп, яка стосуеться стану функцюну-вання потенцiйно-небезпечних об'екпв чи складiв з небезпечними речовина-ми чи радiоактивними матерiалами. Складнють i рiзноманiття цих методiв i засобiв оброблення шформацп, а також розширення можливостей каналiв 11 передач^ вiдображення та збереження висувають ряд принципово нових ви-мог до фахiвцiв з шформацшноI безпеки.

Першi публжацп щодо методологи шдготовки фахiвцiв iз захисту ш-формацп в Укра!ш були надрукованi ще в 1998 роцi (М.П. Каршнський, О.1. Фльоров, О.Г. Туроверов, Ю.1. Шпак), хоча першi аргументоваш науковi працi з'явилися тiльки у 2000-2001 роках (Г.П. Лазарев, С.М. Кльоцкш, В.О. Хорошко, О.М. Богданов, В.М. Бринь, О.Г. Додонов, О.В. Корнейко, В.В. Мохор, Г.Ю. Маклаков, Е.В. Рижков). Стану шдготовки фахiвцiв у сферi шформацшно! безпеки в Укра!ш придшяли увагу такi науковщ, як К.1. Беляков i В. Д. Павловський. Всi 1хш науковi здобутки були направленi на обгрун-тування та доцiльнiсть реформування системи шдготовки фахiвцiв такого профiлю. Проблема оргашзацп захисту шформацп у структурних шдроздшах МНС Укра!ни, деяю питання сутносп та специфiки дiяльностi майбутнього фахiвця з управлiння iнформацiйною безпекою - цi та багато шших проблем у цих дослiдженнях не обговорювалися на ненадежному рiвнi.

Мета дослщження полягае у анадiзi специфжи пiдготовки фахiвцiв з шформацшно! безпеки у Львiвському ДУ БЖД, виявленш потенцiйних дже-рел загроз та рiвнiв 1х небезпек для структурних шдроздЫв МНС Укра!ни. При цьому, звернемо увагу на те, що багато дослiдникiв у сво!х роботах придшяють значну увагу аналiзовi змiсту поняття "iнформацiйна безпека", вод-ночас такi поняття, як джерела загроз та рiвень 1х небезпек розглядаються ними дещо спрощено, здебiльшого у вiдiрваному вiд контексту поняття "шформацшна безпека", часто не пов'язаному iз контекстом видового поняття "ш-формацiйна загроза".

1. Джерела загроз шформащйнш безпец1 структурним

п1дрозд1лам МНС УкраУни

Необхiдно зазначити, що багато дослщниюв у сво!х роботах придшя-ли значну увагу аналiзовi змiсту поняття "iнформацiйна безпека", водночас таю поняття, як потенцшш джерела загроз та рiвень !х небезпек розглядаються дещо спрощено, здебшьшого у вiдiрваному вiд контексту поняття "шформацшна безпека", часто майже не пов'язаному iз контекстом видового поняття "шформацшна загроза".

Загалом тд джерелами загроз шформацшним ресурсам можна розгля-дати потенцшно можливi дп природного, технiчного або антропогенного характеру, як можуть спричинити небажаний вплив на шформацшну систему, а також на конфщенцшну iнформацiю, що зберiгаеться в нш Iдентифiкацiя джерел загроз, тобто розмежування пасивних дiй вiд активних шформа-цiйних зловмисникiв характеризуеться таким поняттям як уразливють шфор-мацiйних ресуршв. Саме за наявностi вразливостi як одше! з характеристик iнформацiйних систем i вiдбуваеться активiзацiя джерел загроз. Безперечно, самi джерела загроз приховаш, за своею суттю та вщповщно до теорп мно-

жин - невпчерпш, а отже й не можуть тддаватпся достатньо повному ан^зу та опису у будь-якому дослщженш, на що не претендуемо й ми у цiй роботь

Вiдповiдно до Закону Укра!нп "Про основи нацюнально! безпеки Ук-ра!нп", до джерел загроз iнформацiйнiй безпещ загалом, а також шформа-цшнпм ресурсам i комунiкацiйним системам зокрема належить:

• розголошення шформаци, яка становить державну та шшу таемницю, перед-бачену в1дпов1дним законодавством, а також конфвденцшно! шформаци, що е власшстю структурних тдроздшгв МНС Украши;

• намагання маншулювати суспшьною свщомютю шляхом поширення недос-тов1рно1, неповно! або упереджено! шформаци щодо появи надзвичайних си-туацш будь-якого характеру, а також !х наслщкгв на ф1зичний [ моральний стан населення чи довкшля;

• комп'ютерна злочиншсть та мережевий тероризм - глобальний [ локальний;

• розкриття шформацшних ресурав, порушення 1х щтсносп, спричинення збо!в у робот комп'ютерного обладнання та мережевого устаткування. Через значну кiлькiсть джерел загроз згiдно з !х загальною класпфжа-

цiею [4], виокремимо тшьки тi iз них, яю стосуються шформацшно! безпеки структурних тдроздшв МНС Укра!нп.

За походженням джерела загроз бувають:

• природного характеру - це небезпечш геолопчш, метеоролопчш, пдроло-пчш явища, зсуви Грунпв чи провали надр, природш пожеж1 та буреви, змша стану водних ресурсгв [ бюсфери, а також шш1 природт катакл1зми, яю спричиняють масове руйнування канал1в зв'язку та комунжацшних мереж;

• техногенного характеру - транспорта авари (катастрофи), пожеж1 на потен-цшно-небезпечних об'ектах, неспровоковаш вибухи чи 1х загроза, авари на шженерних мережах [ спорудах життезабезпечення тощо, як призводять до раптового руйнування каналгв зв'язку, аварш головних сервергв р1зних систем управлшня, в тому числ1 й головного управлшня МНС Украши;

• антропогенного характеру - вчинення зловмисниками р!зномаштних дш, спрямованими на руйнування шформацшних ресурсгв, комунжацшних систем [ програмного забезпечення тощо, яю призупиняють та розлагоджують роботу р1зних силових структур, в тому числ1 [ тдроздЫв МНС Украши. До антропогенно! групп за змютом дш належать: ненавмиснi, викли-

каш помплковпмп чи неуважнпмп дiямп людпнп, напрпклад, помплковпй запуск програмп, модпфiкацiя одних данпх замiсть шшпх через неуважнiсть оператора; навмпснi (шстроваш), результат роботп зловмпснпкiв, напрпк-лад, шсталящя програм, як передають шформащю на iншi комп'ютерп, зара-ження !х вiрусамп, навмпсна дезiнформацiя керiвництва щодо неполадок у iнформацiйнпх мережах чп системах тощо).

За ступенем нанесення гшотетпчно! шкоди iнформацiйнiй безпещ бу-вае джерело:

• загроза - явш чи потенцшш дп, яю ускладнюють або унеможливлюють ре-ал!зацта р1зних потреб у шформацшнш систем! та створюють небезпеку для системи управлшня р!зними силовими структурами, в тому числ! ! структур-ними п!дрозд!лами МНС Укра!ни;

• небезпека - безпосередня дестаб!л!зац!я процесу функцюнування системи управл!ння шформацшною безпекою структурних тдроздшгв МНС Укра!ни.

За повторювашстю вчинення джерела загроз подшяються на:

• повторюват - таю загрози, яю мали мгсце ранше, можуть виникати через певний пром1жок часу;

• продовжуват - неодноразова поява джерел загроз, що складаються з ряду тотожних дш, яю мають спшьну мету.

За сферами походження джерела загроз бувають:

• екзогент - джерело дестабшзацп роботи шформацшнл системи знаходить-ся поза ïï межами;

• ендогент - небезпечш програми дестабiлiзацiï роботи iнформацiйноï системи, що перебувають у самш системi.

За ймовiрнiстю реалiзацiï джерела загроз подшяються на:

• вiрогiднi - таю загрози, яю за збтзм обставин i специфiкою виконання пев-ного комплексу умов обов'язково настануть, наприклад, попередне оголо-шення атаки iнформацiйних ресурсiв чи шформацшних систем, пiсля чого вiдбуваеться сама атака;

• неможливi - таю загрози, яю школи не настануть, тобто вони мають декла-ративний чи залякуваний характер, не тдкршлеш реальною чи навiть потен-цшною можливiстю здiйснити проголошенi намiри;

• eunadKoei - таю загрози, яю навггь за збiгом обставин i специфжою виконання певного комплексу умов кожного разу проходять по^зному. Такi загрози аналiзують за допомогою методiв дослiдження операцiй, зокрема теори ймо-вiрностей чи теорiï тор, якi вивчають закономiрностi ïх появи у випадкових явищах.

За рiвнем детермшзму джерела загроз подiляються на:

• 3aKOHOMipm - таю загрози, яю мають стшкий, повторюваний характер, що зу-мовленi об'ективними умовами юнування та розвитку системи iнформацiйноï безпеки. Наприклад, будь-який суб'ект (силовi, виробнич^ комерцiйнi чи банкiвськi структури) системи забезпечення iнформацiйноï безпеки тддава-тиметься iнформацiйним атакам, якщо в ньому вона не функцiонуе, або фун-кцiонуе на неналежному рiвнi;

• eunadKoei - таю загрози, яю можуть виникати або не виникати, наприклад, спроби хакер1в дестабшзувати роботу системи iнформацiйноï безпеки деякоï комерцiйноï структури.

За значенням джерела загроз бувають:

• donycmuMi - таю загрози, яю не можуть призвести до колапсу iнформацiйноï системи, наприклад, появи вiрусiв, якi не шкодять шшим програмам через ïх фiзичне знищення;

• menpunycmuMi - таю загрози, яю: 1) у разi ïх реалiзацiï призводять до колапсу i системна дестабiлiзацiï роботи шформацшних ресурав; 2) призводять до змш, не сумiсних iз подальшим юнуванням системи захисту iиформацiï.

За структурою впливу джерела загроз подшяються на:

• системт - загрози, що впливають одразу на уа складовi елементи системи управлшня iиформацiйною безпекою, наприклад, структурних тдроздЫв МНС Украши;

• структурт - загрози, що впливають на окремi компоненти системи управлшня iиформацiйною безпекою;

• елементт - загрози, що впливають на окремi елементи структури шформа-цшнл системи, мають постiйний характер i можуть бути небезпечними лише за умови неефективност або не проведення ïх монiторингу.

За xapaктеpoм pеaлiзaцiï джеpелa зaгpoз подмякл^я на:

• реальт - aктивiзaцiя небезпечниx пpoгpaм деcтaбiлiзaцiï poбoти шстем ш-фopмaцiйнoï безпеки e немирною i не обмежена чacoвим шквалом i ^oc-тopoвoю дieю;

• потенцтм - aктивiзaцiя небезпечниx ^ограм деcтaбiлiзaцiï можлива за пев-нж умов cтaнy cеpедoвищa фyнкцioнyвaння шстеми yпpaвлiння iнфopмa-цiйнoю безпекою, на^иклад, головного yпpaвлiння МНС Укpaïни;

• здшснеш - таю загрози, pеaлiзaцiя якиx вiдбyлacя та дocягнyтo пoвнoï чи ча^ ткoвoï мети;

• уявш - пcевдoaктивiзaцiя небезпечниx ^о^ам деcтaбiлiзaцiï poбoти iнфop-мaцiйниx шстем, або ж aктивiзaцiя якиx за деякими ознаками cxoжa з дiями небезпечниx пpoгpaм (вipyciв), але нacпpaвдi вони не e такими.

За ставленням до ниx джеpелa загроз нoдiляютьcя на:

• об'ективш - таю завози, якi пiдтвеpджyютьcя cy^^ic™ oбcтaвин i фaктiв, що об^ктивно xapaктеpизyють нaвкoлишнe cеpедoвище. Пpи цьому ставлен-ня до ник cyб'eктa yпpaвлiння iнфopмaцiйнoю безпекою не вiдiгpae в^ь шaльнoï poлi чеpез те, що об^ктивш джеpелa зaгpoз гснують незалежно вiд вoлi та cвiдoмocтi cyб'eктa. Об'eктивнi джеpелa зaгpoз, яю не вiдoбpaженo в oфiцiйниx докумешж, нaзивaютьcя ненopмaтивними зaгpoзaми;

• суб'ективш - така cyкyпнicть чинникiв oб'eктивнoï дiйcнocтi, яка ввaжaeтьcя cyб'eктoм у^авлиня iнфopмaцiйнoю безпекою джеpелoм зaгpoзи його œc-темi безпеки. Пpи цьому визначальну poль у iдентифiкaцiï rnx чи iншиx об-cтaвин i чинниюв вiдiгpae воля cyб'eктa у^авлиня iнфopмaцiйнoю безпекою, який i пpиймae безпocеpеднe piшення пpo надання cтaтycy зaгpoзi або iдентифiкaцiï rnx чи iншиx його дiй як потенцшному джеpелy зaгpoзи iнфop-мацшним pеcypcaм чи кoмyнiкaцiйним cиcтемaм.

За об'сктом внливу джеpелa зaгpoз cтвopюють небезнеку oco6í, cyc-нiльcтвy та деpжaвi.

Головним нpизнaченням клacифiкaцiï джеpел зaгpoз e демoнcтpaцiя бaгaтoшapoвocтi ïx видoвoï cтpyктypи. Безнеpечнo, джеpелa за^оз iнфopмa-цiйнiй безнецi cтpyктypним нiдpoздiлaм МНС Укpaïни нocтiйнo змiнюютьcя, yдocкoнaлюютьcя та мoдифiкyютьcя. Вoднoчac, головна мета теopiï iнфopмa-цiйнoï безнеки - poзpoбити кpитеpiï мoнiтopингy нpичин i умов ïx нояви, де-теpмiнaнт aктивiзaцiï небезнечниx нpoгpaм деcтaбiлiзaцiï po6o™ iнфopмa-цiйнoï безнеки cилoвиx orpy^ryp, в тому чиcлi i МНС Укpaïни. Клacифiкaцiя дoнoмaгae ycвiдoмити не лише poзмaïття джеpел зaгpoз, а й наблюит^я до poзyмiння витоюв ïx фopмyвaння, а отже i poзpoбляти yнpaвлiнcькi мoделi внливу на ниx.

Aнaлiзyючи cнецифiкy нiдгoтoвки фaxiвцiв у Львiвcькoмy ДУ БЖД з на^яму "Унpaвлiння iнфopмaцiйнoю безнекою" квaлiфiкaцiï "Фaxiвець з opra-нiзaцiï iнфopмaцiйнoï безнеки", а також нopмaтивнi документи, що нoв'язaнi з викopиcтaнням кoнфiденцiйнoï та cекpетнoï iнфopмaцiï, з ocoбливocтей екшлу-aтaцiï oб'eктiв iнфopмaцiйнoгo зaxиcтy [3], ми ввaжaeмo, що cтpyктypa ^офе-ciйниx навичок фaxiвцiв у гaлyзi зaxиcтy iнфopмaцiï визнaчaeтьcя областю, oб'eктaми i видами ïxньoï пpoфеciйнoï дiяльнocтi. Зoкpемa, oблacтю ^офе-crnroï дiяльнocтi нашого винycкникa, ocнoвними компетенщями якого e cyEy^ нicть метoдiв i зacoбiв iнфopмaцiйнoï дiяльнocтi, cпpямoвaними на зaxиcт кон-

фiденцiйноï та секрет^ шформацп, на керування системами шформацшжй безпеки структурних пiдроздiлiв МНС Украши е ефективие застосуваиня:

• комп'ютернл та комунiкацiйноï техиiки, шформацшних систем, локальних i глобальних мереж;

• техшчних засобiв пасивного приховування iиформацiï - фшьтри-обмежувач^ лiиiйнi фшьтри, спецiальнi абонентсью пристроï захисту та електромагнiтиi екрани;

• техиiчних засобш активного приховування шформацп (стеганографи) - вузь-ко- та широкосмуговi генератори лiнiйного та просторового зашумлення;

• програмно-техиiчних методш i засобш iдентифiкацiï та автентифжаци колек-тивних користувачш, обслуговувального персоналу i мережевих ресурсiв системи оброблення iиформацiï та системи безпеки ïï збершання;

• розмежування доступу користувачш до конфiденцiйноï та секретиоï шформацп, засобш комп'ютерноï техиiки i техшчних засобiв автоматизованих систем управлшня; цшсносп iнформацiï та конфцураци автоматизованих систем ïï оброблення; реестраци та облiку дш користувачш; реагування (сигналь зацiï, вiдключення, призупинення робiт, вiдмови в запитi) на спроби несан-кцiонованих дш зловмисникш;

• антивiрусних програмних засобiв, програм архiваторiв, дефрагментатор^, сканерiв та in.;

• програмно-техшчних методiв i засобiв, якi використовуються для зручностi криптографiчного шифрування та дешифрування, а також криптографiчного аналiзу конфiденцiйноï та секретил iиформацiï;

• програмного забезпечення автоматизованих систем управлшня (програмних засобш, комплекав i систем);

• автоматизованих систем управлшня (за областями) системою шформацшнл безпеки силових та комерцшних структур, у тому чи^ i структурних тдроз-дшш МНС Украши, систем автоматизованого проектування;

• математичного, шформацшного, техиiчного, ергономiчного, оргашзацшно-управлшського та правового забезпечення перерахованих вище систем.

2. Практичш проблеми оргашзацп системи шформацшно!' безпеки в структурних пщроздшах МНС Украши

Сучасш темпи розвитку шформацшних техиологш вимагають вiд структурних тдроздшв МНС Украïни високого рiвня захисту конфщен-цiйиоï iнформацiï. Колективие використаиия шформацшних ресуршв потре-буе вщповщного захисту дискiв i каталопв, окремих папок i файлiв, а також ушх локальних i глобальних мереже вiд иесаикцiоиоваиого втручаиия шформацшних зловмисииюв, вiрусiв i небезпечиих програм. Найважлившим зав-даииям на цьому рiвнi е фiзичиий захист самого шформацшиого ресурсу. Як-що ж на такому ресурс збершаються конфiденцiйнi дат, то вiн мае знаходи-тися у безпечному мющ. Тому основною метою роботи фахiвцiв з шформа-цiйиоï безпеки е оргашзащя системи захисту iиформацiï за допомогою вбудо-ваиих засобiв операцшних систем, апаратного та програмного забезпечення. Немаловажне значения при цьому мае забезпечення належного фуикцюну-вання цiеï системи шляхом регулярного аналiзу примщеиь структурних шд-роздiлiв МНС Украши, у яких розташовуються iиформацiйиi ресурси колек-тивного користування.

Основне завдання систем iнформацiйноï безпеки - забезпечити безпе-ребшну роботу структурних шдроздшв МНС Украши, тобто звести до мшь муму нанесенi збитки вщ потенцiйних джерел загроз як конфщенцшнш ш-формацп, так i шшим iнформацiйним ресурсам шляхом ïхнього передбачен-ня, випередження чи запобiгання [2]. Управлшня iнформацiйною безпекою дае змогу колективно використовувати будь-яку конфiденцiйну шформащю та вiдповiднi iнформацiйнi ресурси, забезпечуючи при цьому ïx ефективний захист вщ несанкцiонованого доступу зловмисникiв.

Належна оргашзащя iнформацiйноï безпеки у структурних тдроздь лах МНС Украïни дае змогу забезпечити:

а) конфiденцiйнiсть тформаци (information confidentiality) - властивють шформацп, яка вказуе на те, що ïï не зможе отримати неавторизований користувач i (або) iнформацiйний процес. 1нформащя зберiгае секрет-нiсть вщ несанкцiонованого розкриття чи перехоплення, якщо дотриму-ються настанов формальних процедур ознайомлення з нею;

б) цтстсть тформаци (information integrity) - властивють шформацп, яка полягае в тому, що ïï не зможе модиф^вати неавторизований користувач i (або) шформацшний процес. 1нформащя збер^ае точшсть та повно-ту, якщо дотримуються настанов формальних процедур ïï модифжацп чи видалення;

в) доступтсть тформаци (ресуршв автоматизованоï iнформацiйноï систе-ми) - властивють iнформацiйноï системи забезпечити доступ авторизова-них користувачiв до потрiбноï iнформацiï та життево важливих серв^в у мiру потреби. Властивiсть доступност iнформацiï здебiльшого потрiбна разом з ïï конфщенцшшстю та цiлiснiстю.

Зазвичай автоматизованоï iнформацiйноï системи характеризуються невщмовшстю (non-repudiation), пiдзвiтнiстю (accountability), автентичнiстю або оригшальшстю (authenticity), достовiрнiстю (reliability) [5]. Розрiзняють:

• доступтсть документа (availability of document) - властивють, яка полягае в тому, що форма представления документа забезпечуе фiзичну можливють встановлення заданих його параметрiв (вмюту, атрибутв, теxнологiï створен-ня) вдаовщними програмними i (або) теxнiчними засобами в заданих точках за вiдповiдний промiжок часу1;

• доступ до тформаци (access to information) - можливють отримання шфор-мацiï авторизованим користувачем i (або) iнформацiйним процесом та ïï ви-користання2 для власних потреб;

• доступ (у автоматизованш шформацшнш системi) (access) - отримання мож-ливостi ознайомлення з шформащею, ïï оброблення та (або) виконання дiï над нею з використанням програмних i (або) техшчних засобiв. Доступ може здшснюватися поодинокими та колективними користувачами, до яких належать авторизованi особи, а також логiчнi та фiзичнi пристроï3.

1 Национальный стандарт РФ "Информационная технология. Электронный обмен информацией. Термины и определения" (ГОСТ Р 52292-2004).

2 № 149-ФЗ от 27.07.2006 Федеральный Закон РФ "Об информации, информационных технологиях и о защите информации".

3 Рекомендации по стандартизации "Информационные технологии. Основные термины и определения в области технической защиты информации" (Р 50.1.053-2005).

Iнформацiя юнуе в рiзних формах, незалежно вщ того, знаемо ми про ие^ чи иi. Ïï можиа збершати иа комп'ютерах, передавати локальиими i гло-бальиими iиформацiйиими мережами, друкувати чи записувати иа рiзиi иосп, а також озвучувати в розмовах. З погляду iнформацiйиоï безпеки, ус види ш-формацiï, включаючи паперову документащю, бази даиих i зиаиь, магштш плiвки i стрiчки, аудю-записи та вiдеофiльми, дискети i диски, лекцп та роз-мови, а також будь-як iишi способи ïï представления та збершаиня, якi можуть використовуватися защкавленими особами для передачi знань та iдей, вимагають належиого захисту вщ иеавторизоваиих претенденпв на неï.

1нвентаризац1я 1нформац1йних ресурмв. У структурних пiдроздiлах МНС Украши е рiзиi матерiальиi та виробиичi ресурси, якi забезпечують ïх ефективие фуикцюнуваиня та безперебiйну роботу. Прикладами ресуршв, пов'язаиих з iиформацiйиими процесами та ïхньою безпекою, е:

а) тформацшт ресурсы - бази даиих i знань, папки i файли з конф^ен-цшною iнформацiею, системна документащя, настанови користувача, навчальнi матерiали, операцiйнi процедури i процедури тдтримки прийняття рiшень, плани забезпечення безперебiйноï роботи структурних пiдроздiлiв МНС Украши, процедури переходу вщ штатного до по-заштатного та аваршного режиму роботи тощо;

б) програмт ресурсы - системне, прикладне i офюне програмне забезпечення, шструментальш засоби й утилiти, СУБД, програми шифрування та дешифрування iнформацiï тощо;

в) фiзычнi ресурсы - комп'ютери i комушкацшне устаткування, магнiтнi носи даиих (дискети i диски), шше техшчне та офiсне устаткування (стабь лiзатори напруг, блоки безперебшного живлення, кондицiонери), меблi, примiщення тощо;

г) серв^ы - комп'ютерш та комушкацшш мережi, iншi технiчнi та офют сервiси (сигналiзацiя, вiдео-нагляд, опалення, освiтлення, енергопоста-чання, кондицiювання повггря тощо).

Iивеитаризацiя цих ресурсiв допомагае фахiвцям з захисту iиформацiï перекоиатися в тому, що забезпечуеться ïï надшний захист. О^м цього, де-тальиий перелiк цих ресурсiв може зиадобитися керiвництву МНС для шших виробиичих цiлей, наприклад, для виявлеиия резервiв додаткових можливос-тей, при впровадженш заходiв з охороии здоров'я персоналу чи контролю за дотримаииям вимог техшки безпеки, для страхування майиа чи фшансових звiтiв. 1нвентаризащю иеобхiдио проводити для всiх шформацшних ресуршв, безпосередиьо чи опосередковаио пов'язаиих з кожиою шформацшною системою. Кожеи комп'ютериий чи мережевий ресурс иеобхщио чико щеитифь кувати, а його власиик i категс^я таемносп мають узгоджуватися з вщповщ-иими службами захисту шформацп та письмово задокументоваш.

Секретна шформащя та вихщт даиi iиформацiйиих систем, що ïï тд-тримують, мають мати вщповщт грифи таемиостi. Цi грифи мають вщобра-жати категорiю таемиостi найбшьш уразливоï iиформацiï у наглядному ïï по-даииi. Прикладами такого подаиия е друковаш звiти, виведеиа шформащя иа екраии моиiторiв, збережеиi дат иа магиiтиих иосiях (дискетах i дисках, ка-сетах), електроииi повщомлення та передаиi файли. Фiзичиi мгтки (штампи

чи кoльopoвi нозначки) e нaйбiльш нpидaтнoю фopмoю вiдoбpaження гpифy тaeмнocтi iнфopмaцiï. ^оте, у деякиx винaдкax, нaнpиклaд, для пеpедaчi да-ниx електpoннoю ноштою, можуть знaдoбитиcя й iншi методи i затоби ïx за-xиcтy, нaнpиклaд, нpoцедypa шифpyвaння чи елекфонний нiдниc [3, 5]. Од-нак часто cекpетнa iнфopмaцiя неpеcтae бути конфщенцшною чеpез деякий нpoмiжoк чacy, нaнpиклaд, коли вона cтae загально вщомою чи дocтyннoю для ш^окого кола гpoмaдcькocтi. Це нoтpiбнo ^ийн^и до уваги вщновщ-ним кеpiвникaм нiдpoздiлiв МНС Укpaïни, бо часто нaдмipне зacекpечyвaння iнфopмaцiï може пpизвеcти до залучення дoдaткoвиx cил i зacoбiв, якi нacaм-неpед вiдoбpaжaютьcя на невинpaвдaниx фiнaнcoвиx витpaтax.

Безнека ^а^внигав - кopиcтyвaчiв iнфopмaцiйними pеcypcaми. Без-нocеpеднi нpaцiвники cтpyктypниx нiдpoздiлiв МНС Укpaïни, якi викopиcтo-вують у cвoïй нoвcякденнiй poбoтi те^ет^ iнфopмaцiю, мають бути нaвченi фopмaльним нpoцедypaм ïï зaxиcтy i давильному новодженню з колективни-ми iнфopмaцiйними pеcypcaми. Також неoбxiднo зaвчacнo i офщшно у нш:ь-мoвiй фopмi зaтвеpдити таким нpaцiвникaм дозволений piвень дocтyнy (нpaвa й обмеження) до кoнфiденцiйнoï iнфopмaцiï та iнфopмaцiйниx pеcypciв.

Пpи цьому кoлективнi кopиcтyвaчi iнфopмaцiйними pеcypcaми мають oдеpжaти неoбxiднi настанови щодо нoлiтики фyнкцioнyвaння cтpyктypниx н^оздЫв МНС Укpaïни i нpийнятиx у ниx фopмaльниx нpoцедypax дiяль-ност!, включаючи дoтpимaння вимог щодо iнфopмaцiйнoï безнеки й iншиx зacoбiв ïï кошролю. Вони також мають навч^^я нpaвильнo кopиcтyвaтиcя iнфopмaцiйними pеcypcaми (^^нЕлад, знати фopмaльнy нpoцедypy вxo-дження в iнфopмaцiйнy cиcтемy, yмiти кopиcтaтиcя вiднoвiдними пакетами нpoгpaм) неpед тим, як oдеpжaть невний piвень доступу до cекpетнoï iнфop-мaцiï та iнфopмaцiйниx cиcтем.

Зaвчacне нpoведення циx зaxoдiв неoбxiдне нacaмнеpед для того, щоб гapaнтyвaти нpaвильнicть виконання фopмaльниx нpoцедyp зaxиcтy iнфopмa-цiï та iнфopмaцiйниx pеcypciв, а також звести до мiнiмyмy pизик нopyшення ïï конфщенцшност!, цiлicнocтi та дocтyннocтi чеpез не cвiдoмy чи винадкову помилку нpaцiвникa. Taкoï нoнеpеджyвaльнoï нoлiтики вapтo дoтpимyвaти як у вiднoшеннi до безнocеpеднix нpaцiвникiв cтpyктypниx нiдpoздiлiв МНС, так i ^готовно ïx н^ядни^ чи oнocеpедкoвaниx cнiвpoбiтникiв зi cтopoннix opгaнiзaцiй, якi oтpимaли дoзвiл на викopиcтaння iнфopмaцiйниx pеcypciв.

Реагування на небезпечш ди. npo небезнечнi ди, що cтocyютьcя но-pyшення ^стеми iнфopмaцiйнoï безнеки, неoбxiднo негайно повщомляти ад-мiнicтpaтивними каналами, виконуючи ^и цьому нacтaнoви фopмaльниx нpoцедyp щодо ïx запоб^ання чи недонущення.

Уш cнiвpoбiтники i нiдpядники cтpyктypниx п^оздЫв МНС Укpaïни мають бути ознайомлеш з фopмaльнoю нpoцедypoю нoвiдoмлення npo piзнi тини iнцидентiв (нopyшення iнфopмaцiйнoï безнеки, нoгpoзa, чи збiй po6o™ iнфopмaцiйнoï cиcтеми), що можуть вплинути на безнеку iнфopмaцiйниx pе-cypciв i кoмyнiкaцiйниx меpеж. Пoтpiбнo зобов'язати кopиcтyвaчiв без зволь кання повщомляти нpo yci oчевиднi чи нiдoзpiлi винадки такого poдy у вщпо-вiднy cлyжбy нiдтpимки cиcтеми зaxиcтy iнфopмaцiï. В cтpyктypниx нiдpoздi-

лах МНС Украши мае бути встаиовлеиа формальна процедура накладення вщповщних дисциплiиариих стягиеиь иа ствробиииюв, що порушують рег-ламеитоваиi иастаиови iиформацiйиоï безпеки.

Також потрiбно встаиовити формальиу процедуру повщомлення про иебезпечиi дiï, а також процедуру реагування иа них, у яких описуються кон-кретиi заходи, що приймаються тсля одержаиия повщомлення про iицидеит. Усi спiвробiтиики i тдрядники мають бути озиайомлеиi з цими процедурами, письмово засвщчити свое погоджеиия з ними, тсля чого воии вже зобов'яза-т повщомляти про такi иебезпечиi дiï у вщповщну службу пiдтримки системи захисту шформацп.

Користувачi iиформацiйиих систем зобов'язаш рееструвати будь-якi неполадки чи слабю лаики в системi iиформацiйиоï безпеки, або виявлеиi джерела загроз, тсля чого воии зобов'язаш повщомляти про них своему без-посередньому керiвиицтву, або постачальиикам вiдповiдиих послуг. Водио-час иеобхiдио iиформувати користувачiв про те, що иi при яких обставииах воии ие мають права иамагатися перевiряти виявлеш слабю лаики в системi захисту шформацп. Насамперед це потрiбно для захисту самих користувачiв, оскiльки ïх дп щодо тестуваиия слабких лаиок можуть трактуватися як спро-бу несанкцюнованого використаиия iиформацiйиоï системи, або иамагаиия порушити режим доступу до конфiденцiйноï iиформацiï.

Потрiбио зобов'язати користувачiв шформацшних систем рееструвати ус випадки, коли фуикцюнуваиия програмного забезпечення видаеться ïм т-дозрiлим, тобто ие вщповщае вимогам специфiкацiï; воии мають також сповь щати про це у вщповщну службу техиiчиоï пiдтримки шформацшних систем або безпосередньо постачальнику даних послуг.

Потрiбно встаиовити формальиi процедури, яю иегайио мае викоиати користувач, який затдозрив, що збiй роботи iиформацiйиоï системи виклика-иий иебезпечиою програмою, наприклад, комп'ютериим вiрусом. При роз-роблеииi таких процедур варто звернути особливу увагу иа таю момеити:

а) записати очевидн "симптоми" i всi повiдомлення, що з'являються на ек-ранi монiтора, не використовувати на шших комп'ютерах дискети чи диски, записан на шдозршому комп'ютерi;

б) припинити роботу за комп'ютером i, якщо це можливо, вимкнути його;

в) иегайио повiдомити про шцидент у вiдповiдну службу технiчноï тд-тримки iнформацiйних систем;

г) якщо комп'ютер тдлягае огляду, то його необхщно вiд'еднати вiд шформацшних мереж, перед тим як знову увiмкнути живлення;

д) иегайио повщомити про небезпечну дiю у вщповщну службу пiдтримки системи захисту шформацп.

Користувачi iиформацiйиих систем ш при яких обставииах ие мають права иамагатися самостшно видалити шдозрше програмие забезпечення. Видалеиия та вщновлення програмного забезпечення мають викоиувати фа-хiвцi, якi мають вiдповiдиi знания та досвщ роботи.

Потрiбио визиачити формальиу процедуру накладення дисциплшар-иих стягиеиь иа сшвробггаиюв, що порушили прийияту в структурних тдроз-дшах МНС Украïии таку попереджувальиу полггаку i формальиi процедури

iнфopмaцiйнoï безнеки. Ця нpoцедypa мae cлyгyвaти стримувальним чинни-ком для cнiвpoбiтникiв, що cxильнi зневажати нacтaнoви фopмaльниx ^оце-дyp зaxиcтy iнфopмaцiï. Oкpiм цього, вона мae забезнечувати нpaвильний i cпpaведливий poзгляд cнpaв cнiвpoбiтникiв, як нiдoзpюютьcя у xaлaтнoмy чи ностшному нopyшеннi вiднoвiдниx нpoцедyp iнфopмaцiйнoï безнеки. Фop-мальна нpoцедypa накладення диcциплiнapниx cтягнень мae бути poзpoбленa з ypaxyвaнням кaдpoвoï нoлiтики (cтpyктypнoï iepapxiï), нpийнятoï у c^yOTyp-ниx нiдpoздiлax МНС Укpaïни i зaтвеpдженoï ïï вiднoвiдним кеpiвництвoм.

Ф1зичний захист периметр1в. У cтpyктypниx нiдpoздiлax МНС Укуа-ïни кожен piвень зaxиcтy iнфopмaцiйниx pеcypciв мae бaзyвaтиcя на визначе-ниx неpиметpax iнфopмaцiйнoï безнеки i зaбезпечyвaтиcя шляxoм встанов-лення в пpимiщенняx p-яду бap'epiв, poзтaшoвaниx у cтpaтегiчниx мicцяx. Ви-моги до кожного зaxиcнoгo бap'epa i мюця його poзтaшyвaння мають визна-чaтиcя цiннicтю iнфopмaцiйниx pеcypciв, теxнiчниx i oфicниx cеpвiciв, а та-кож ймoвipними pизикaми нopyшення iнфopмaцiйнoï безнеки й наявними за-xиcними зaxoдaми.

Для кoмн'ютеpiв i кoмyнiкaцiйнoгo устаткування неpиметp iнфopмa-цiйнoï безнеки може обмежувати oблacть нiдвищенoï безнеки, нaпpиклaд, кoмн'ютеpний зал, зaкpитий на замок офю. Пеpиметp iнфopмaцiйнoï безнеки мae rpyнтyвaтиcя i на iншиx видax фiзичниx гpaниць. Тут нoтpiбнo дoтpимy-вaтиcя тaкиx нacтaнoв:

а) пеpиметp iнфopмaцiйнoï безпеки мae вiдпoвiдaти встановленш цiннocтi кoнфiденцiйнoï iнфopмaцiï та iнфopмaцiйниx pеcypciв, що зaxищaютьcя;

б) пеpиметp iнфopмaцiйнoï безпеки мae бути чгтко визначений, тобто задо-кументований гpaфiчнo i пиcьмoвo зaвipений;

в) дoпoмiжне oфicне ycтaткyвaння (нaпpиклaд, фaкcи, котювальш aпapaти, cкaнеpи, веб-кaмеpи, кaмеpи cпocтеpеження тощо) мають бути poзмiщенi так, щоб зменшити prom неcaнкцioнoвaнoгo дocтyпy до зaxищениx зон чи кoнфiденцiйнoï iнфopмaцiï;

г) фiзнчнi бap'epи за змогою мають пpocтиpaтиcя вiд тдлоги до cтелi, щоб зaпoбiгги неcaнкцioнoвaнoмy дocтyпy у пpимiщення, а також пoтpaплян-ню ззовш;

д) не пoтpiбнo давати cтopoннiм ocoбaм без вщповщного на те дозволу ш-фopмaцiю пpo те, що poбитьcя в зaxищениx зoнax;

е) зaбopoнити будь-яким кopиcтyвaчaм на poбoтy з конфщенцшною iнфop-мaцieю oднoociбнo без належного кошролю. Пoтpiбнo це для забезпе-чення iнфopмaцiйнoï безпеки, для запоб^ання нaнеcення небезпечниx дай, а також для зняття пiдoзpи у пopyшеннi pежимy тaeмнocтi;

ж) кoмп'ютеpне ycтaткyвaння, що належить cтpyктypним пiдpoздiлaм МНС Укpaïни i зaдiяне у cтpyктypi зaxиcтy iнфopмaцiï, пoтpiбнo poзмiщaти в cпецiaльнo пpизнaчениx для цього мicцяx, oкpемo вiд ycтaткyвaння, яке кoнтpoлюeтьcя cтopoннiми opгaнiзaцiями;

з) у неpoбoчий чac зaxищенi зони мають бути фiзичнo недocтyпнi (зaкpитi на замки) cтopoннiм ocoбaм i mp^m^ пеpевipятиcя oxopoнoю;

и) пеpcoнaлy, що здiйcнюe теxнiчне oбcлyгoвyвaння iнфopмaцiйниx ^стем, мae нaдaвaтиcя дocтyп у зaxищенi зони тiльки в paзi пoтpеби i пicля oдеpжaння вiдпoвiднoгo дозволу. За змогою, дocтyп oбcлyгoвyвaльнoгo

персоналу до конфщенцшних даиих потрiбно максимально обмежити, а ïх Aiï потрiбно ввдстежувати вiзуально чи програмними засобами;

i) у межах периметра iнформацiйноï безпеки використання фото-, аудiо- та вдаоапаратури потрiбно заборонити, за винятком санкцюнованих на те випадкiв.

У захищеиих зонах потрiбно встаиовити иалежиий контроль доступу сшвробггаиюв у примiщеиия, тобто до них мае право входити тшьки той персонал, який мае вщповщт повиоважеиия та рiвень допуску. Тут потрiбио дотримуватися таких засобiв контролю:

а) за стороншми вiдвiдувачами захищеиих зон потрiбно встаиовити вiзу-альний чи вiдео-нагляд, а дата i час ïхнього входу i виходу мають рееструватися. Вщв^вачам мае надаватися доступ тiльки до конкрет-них даиих i дозволених шформацшних ресуршв;

б) весь персонал, що працюе в захищеиих зонах, мае носити на одязi добре помпта iдентифiкацiйнi картки (бейджики з логотипом чи назвою структурного шдроздшу). Вони мають право запитувати перепустки у нез-найомих чи шдозрших осiб;

в) потрiбно иегайио вилучати права доступу в захищет зони в сшвроб^ни-кiв, що звшьняються з даного мiсця роботи з тдписом про нерозголо-шення конфщенцшносл iнформацiï.

Ф1зичний захист обладнання. Необхщио забезпечити фiзичиий за-хист комп'ютериого обладиаиия та комушкацшного устаткування вщ таких потеицiйиих джерел загроз порушеиия iиформацiйиоï безпеки, якi перевищу-ють ïх иормативиий рiвеиь иебезпеки, або потрапляють ззовиi.

Захист обладиаиия шформацшних систем (включаючи устаткування, яке використовуеться за межами структурних тдроздшв МНС Украши) не-обхiдиий як для того, щоб змеишити ризик иесаикцюиоваиого доступу до даиих, так i для того, щоб ие допустити його втрату або пошкоджеиия. Потрiб-ио також придшити належну увагу проблемам розмщення обладиаиия як у захищеиих зонах, так i поза ïх межами, а також тд час його утилiзацiï, особливо це стосуеться електроииих носив шформацп. Можуть зиадобитися спе-щальт заходи для захисту обладиаиия вщ несанкцюнованого доступу шформацшних зловмисииюв чи шших програмних небезпек, а також для захисту допомiжного устаткування, наприклад, системи електропостачаиия та безпе-ребшного живлеиия, кабельиих мереж тощо.

Обладиаиия та устаткування шформацшних систем мае бути так роз-мщено та захищеио, щоб змеишити ризик несанкцюнованого впливу зловмисниюв ззовш чи ïх внутршшм авторизоваиим доступом. Тут потрiбно дот-римуватися таких настанов:

а) обладнання потрiбно розмiщати так, щоб за змогою звести до мшмуму зайвий доступ стороншх осiб у захищеш примщення. Робочi сервери, що тдтримують конфiденцiйнi данi, мають розташовуватися так, щоб вони були завжди на виднота вщповщальних осiб чи тд вiдео-наглядом;

б) потрiбно iзолювати примiщення, що вимагають спецiального захисту, щоб понизити иормативиий рiвень загального захисту iнформацiï;

в) для щентифжацп можливих небезпек потрiбно використовувати такий контрольний список: пожежi та задимлення; затопления та вплив хiмiч-

нж pечoвин; запилення та загазовашсть; шум, cигнaлiзaцiя та вiбpaцiя; пеpешкoди в електpoпocтaчaннi чи безпеpебiйнoмy живленш; електро-магштш xвилi та paдiaцiя тощо;

г) пoтpiбнo зaбopoнити пpийoм ïжi та палшня в мicцяx poзмiщення кoмп'ютеpнoгo обладнання та устаткування;

д) для кoмп'ютеpнoгo обладнання, яке знaxoдитьcя у пpимiщенняx з а^е-cивним внyтpiшнiм cеpедoвищем, пoтpiбнo забезпечити викopиcтaння ше^аль^го зaxиcтy, нaпpиклaд, клaвiaтypниx мембpaн, телян^ ковпа-кiв, метaлевиx oгopoж;

е) пoтpiбнo пеpедбaчити пoтенцiйнi джеpелa загроз та piвень ïx небезпеки як на даному пoвеpci, так i на cyc^mx пoвеpxax.

Кoмн'ютеpне обладнання неoбxiднo зaxищaти вiд збoïв у cиcтемi елек-тpoнocтaчaння, забезнечуючи ïx cиcтемoю безнеpебiйнoгo живлення, а також вщ iншиx ненoлaдкax у еле^^т^й меpежi. Джеpелa живлення, стабЫзато-pи нaнpyг, блиcкaвкo-зaxиcт мають вiднoвiдaти cеpтифiкaтaм виpoбникa yc-таткування.

У зaxищениx нpимiщенняx нoтpiбнo викopиcтoвyвaти pезеpвнi джеpе-ла живлення. Для кoмн'ютеpнoгo обладнання та меpежевoгo ycтaткyвaння, що нiдтpимye кpитичнo вaжливi виpoбничi cеpвicи, пoтpiбнo вcтaнoвити дже-pелa безнеpебiйнoгo живлення. План дш у нaдзвичaйниx cитyaцiяx мae мюти-ти зaxoди, як неoбxiднo нpийняти нicля зaвеpшення теpмiнy нpидaтнocтi джеpел безнеpебiйнoгo живлення, тобто ïx неoбxiднo pегyляpнo теcтyвaти вщповщно до pекoмендaцiй виpoбникa.

Кaбелi електpoпocтaчaння та pезеpвнoгo живлення, меpежевi кaбелi для неpедaчi дaниx неoбxiднo зaxищaти вiд фiзичнoгo poзкpиття й ушкоджен-ня з метою неpеxoнлення iнфopмaцiï. Для зменшення такого pизикy в ^имь щенняx cтpyктypниx нiдpoздiлiв МНС У^аши нoтpiбнo pеaлiзyвaти тaкi за-xиcнi зaxoди:

а) кaбелi електроживлення та лiнiï зв'язку, що йдуть до iнфopмaцiйниx crn-тем, мають знaxoдитиcя за змогою пiд землею чи належно зaxищенi за допомогою шшж фiзнчниx зacoбiв;

б) для винятково ypaзливиx чи кpитнчнo важливж iнфopмaцiйниx cиcтем пoтpiбнo вжити дoдaткoвi зaxoди щодо:

■ шифpyвaння дан^ неpед ïx неpедaвaнням каналами зв'язку;

■ в^т^вления в iзoльoвaниx пpимiщенняx бpoньoвaниx двеpей, що зaмикaктьcя, на вiкнax метaлевнx pешiтoк з cигнaлiзaцieк та здaктьcя н1д вiдеo-иaгляд;

■ викopиcтaння iишнx мapшpyтiв або cеpедoвищ для неpедaчi дaинx. Неoбxiднo зд^ню^а^ належне теxнiчне oбcлyгoвyвaння кoмн'ютеp-

ного обладнання та меpежевoгo ycтaткyвaння, щоб забезнечити ïx пocтiйнy poбoтoздaтнicть, цiлicнicть та дocтyннicть. Тут нoтpiбнo дoтpимyвaтиcя та-киx нacтaнoв:

а) теxнiчне oбcлyгoвyвaння обладнання та ycтaткyвaння мae здiйcнювaтиcя чеpез пpoмiжки чacy, що pекoмендyютьcя пocтaчaльникoм, згiднo з вщ-пoвiдними нacтaнoвaми;

б) pемoнт i oбcлyгoвyвaння обладнання та ycтaткyвaння мae виконувати тiльки пеpcoнaл теxнiчнoï пiдтpимки cиcтеми зaxиcтy iнфopмaцiï, що мae вiдпoвiднi повноваження;

в) необхщно постiйно рееструвати всi несправностi та неполадки, иегайио доповщати про них керiвництву.

Використаиия обладиаиия та устаткування шформацшних систем (не-залежио вiд того, хто ним володiе), що тдтримують виробиичi процеси за межами структурних шдроздшв МНС Украïии, мае бути санкцюновано ке-рiвиицтвом; рiвень iиформацiйиого захисту такого обладиаиия мае бути таким самим, як i для обладиаиия, розташоваиого у захищеиих зонах структурних шдроздшв МНС Украши. Тут потрiбно дотримуватися таких иастаиов:

а) сшвробгшикам забороняеться використовувати персональн комп'ютери для продовження роботи вдома, якщо встановлено на них не сертифжо-ване програмне забезпечення чи вщсутня перевiрка на наявшсть вiрусiв чи пiдозрiлих програм;

б) тд час поïздок забороняеться залишати комп'ютери i носи шформацп в загальнодоступних мюцях без належного за ними догляду. Портативнi комп'ютери потрiбно перевозити як ручний багаж;

в) тд час поïздок портативт комп'ютери уразливi стосовно крадiжок, не свiдомоï чи необережноï втрати, а вщповщно й несанкцiонованого доступу. Для таких комп'ютерiв потрiбно забезпечити належний захист та рiвень доступу, щоб запоб^и несанкцiоноване зчитування шформацп, що збертаеться в них;

г) потрiбно завжди дотримуватися настанови виробника, що стосуються захисту портативних комп'ютерiв, наприклад, захищати його вщ впливу сильних електромагнiтних полiв, електричних розрядiв у мiському транспорт та потягах.

Ризики порушеиия iиформацiйиоï безпеки (наприклад, ушкоджеиия, крадiжки, перехоплеиия), можуть зиачио змшюватися вiд мюця до мiсця; це потрiбио обов'язково враховувати при визначенш иайбiльш придатиих захис-иих засобiв i вщповщних заходiв безпеки.

Коифiдеицiйиi даиi, якими користуються структуры пiдроздiли МНС Украши, можуть бути скомпрометоваш виаслiдок недбалоï утилiзацiï комп'ютериого обладиаиия та мережевого устаткування. Перед утилiзацiею всi його компоиеити, включаючи иосiï iиформацiï, наприклад, жорстю диски, иеобхiдио перевiряти, щоб гараитувати, що коифщеицшт даиi та лщензова-ие програмие забезпечення було вилучено. Ушкоджеиi запам'ятовувальиi пристроï, що мiстять особливо цiипу iиформацiю, можуть вимагати належноï оцiики потеицiйиих ризиюв для того, щоб визиачити, чи можиа ïх зиищува-ти, ремоитувати або позбутися вщ них.

Висновки

1. На пiдставi проведеиого аналiзу дiяльиостi фахiвцiв iз захисту ш-формацiï, а також процесiв функцюнування систем iиформацiйиоï безпеки, встаиовлеио, що застосуваиия шформацшних технологш у цих областях пов'язаио з ïхиiми специфiчними особливостями i вимагае иаявиостi вщпо-вiдиих професiйиих здiбиостей, особливо коли це стосуеться iиформацiйиоï безпеки структурних шдроздшв МНС Украïии. У загальному випадку фахь вець з оргатзацп iиформацiйиоï безпеки, иезалежио вiд сфери захисту шформацп, мае виконувати таю види професiйноï дiяльиостi: проводити аналiз

цшност! iнфopмaцiï, метoдiв i зacoбiв ïï надшного зaxиcтy, цiлicнocтi, нpиxo-вування, витоку, втpaти, oцiнки безнеки ïï збеpiгaння; нpoектyвaти cиcтеми iнфopмaцiйнoгo зaxиcтy на ocнoвi кoмн'ютеpнoгo обладнання та меpежевoгo ycтaткyвaння; вcтaнoвлювaти, забезнечувати нaдiйне викopиcтaння та здiйcнювaти cyнpoвiд гoтoвиx пpoгpaмниx i теxнiчниx зacoбiв, а також авто-мaтизoвaниx cиcтем зaxиcтy iнфopмaцiï.

2. У нpoцеci забезнечення iнфopмaцiйнoï безнеки cтpyктypниx н^оз-дiлiв МНС У^аши важливо poзyмiти xapaктеp, ^^оду, cyтнicть i змicт джеpел за^оз i piвнiв ïx небезнек, вмгга cвoeчacнo ïx iдентифiкyвaти. Нaйбiльш важливими нaнpямaми дiяльнocтi фaxiвцiв iз зaxиcтy iнфopмaцiï тут e: cнocтеpеження, анатз, oцiнювaння та нpoгнoзyвaння джеpел за^оз i piвнiв ïx небезнек, кpитичнoï безнеки iнфpacтpyктypи, cтyненю внyтpiшньoï та зoвнiшньoï ypaзливocтi; вiднpaцювaння cтpaтегiï та тактики зaxиcтy iнфop-мaцiï, планування нoнеpедження нанаду, yкpiнлення нoтенцiйними зв'язками, вapiювaння меpежевими pеcypcaми забезнечення iнфopмaцiйнoï безнеки; вщ-6íp cил i зacoбiв нpoтидiï, нейтpaлiзaцiï, недонущення нанаду, мiнiмiзaцiï шкоди вiд нанаду; пpoтиcтoяння джеpелaм зaгpoз нpиpoднoгo, теxнiчнoгo або атропогенного xapaктеpy cиcтемaм забезнечення iнфopмaцiйнoï безнеки; ун-paвлiння нacлiдкaми шциденту (вiд кiбеpнетичниx атак, iнфopмaцiйниx опе-paцiй, iнфopмaцiйниx вoeн).

3. Arna^ cтaнy cиcтеми забезнечення iнфopмaцiйнoï безнеки вкaзye на нoтpебy yдocкoнaлення ^стеми aдмiнicтpaтивнo-нpaвoвoгo pегyлювaння irn фopмaцiйнoï безнеки, яка вимaгae виpoблення нoвиx зacoбiв, метoдiв i croco-бiв забезнечення iнфopмaцiйнoï безнеки piзниx opгaнiв у^авлим, мошто-pинг iнфopмaцiйнoгo cеpедoвищa, наявност! джеpел зaгpoз i piвнiв ïx небезнек. Opгaнiзaцiя ефективнoï ^стеми забезнечення iнфopмaцiйнoï безнеки не-pедбaчae центpaлiзoвaне yнpaвлiння iз кoнкpетними вiдoмчo-poзпopядниць-кими фyнкцiями, якi забезнечують мoнiтopинг i кoнтpoль за yciмa компонентами нацюнального iнфopмaцiйнoгo нpocтopy. Система забезнечення iнфop-мaцiйнoï безнеки мae у бyдь-якиx cитyaцiяx cкoopдинoвaнoï бaгaтoбiчнoï та бaгaтoacнектнoï iнфopмaцiйнoï oнеpaцiï володгга здaтнicтю збеpiгaти вaжливi нapaметpи cвoгo фyнкцioнyвaння, тобто нiдтpимyвaти cтaн гoмеocтaзиcy.

Лiтepaтуpa

1. Бабак В.П. Пщготовка фaxiвцiв 1з зaxиcтy iифopмaцiï в ^Kpami / В.П. Бабак, В.В. ^з^в^кий, В.О. Хopoшкo, Д.В. Ч^ков // Зaxиcт iифopмaцiï. - 2001. - № 4. - С. 57-69.

2. Богуш В.М Iифopмaцiйиa безнека: теpмiиoлoгiчиий иaвчaльиий дoвiдиик / В.М. Бо-гуш, В.Г. Kprnyua, A.М. Kyдiи / за pед. В.Г. Kpивyци. - K. : ООО "Д.ВХ", 2004. - 508 c.

3. Мухачев В.А. Методы пpaктичеcкoй кpинтoгpaфии / B.A. Мyxaчев, B.A. Хopoшкo. -K. : ООО "Пoлигpaф-Koиcaлтииг", 2005. - 215 с.

4. За^ака В.К. Koi^'wrapm теxнoлoгiï кpинтoгpaфiчиoгo зaxиcтy iифopмaцiï на cпецi-aльииx цифpoвиx иociяx : навч. нociби. / B.K. Зaдipaкa, A.М. Kyдiи, В.О. Людвиченко, О.С. Олек^к. - Kиïв-Tеpиoнiль : Вид-во "Пiдpyчиики i нociбиики", 2007. - 272 c.

б. Соколов В.Ю. Iифopмaцiйиi cиcтеми i теxнoлoгiï : навч. поабн. / В.Ю. Соколов. - K. : Вид-во ДУЖТ, 2010. - 138 c.

Грыцюк Ю.И., Рак Т.Е. Пpоблeмa защиты инфоpмaции в стpук-туpных подpaздeлeниях МЧС У^аины

Проанализирована специфика подготовки специалистов по информационной безопасности во Львовском ГУ БЖД, обнаружены потенциальные источники угрозы и уровни их опасности для структурных подразделений МЧС Украины. Установлено, что многие исследователи в своей работе уделяют значительное внимание анализу содержания понятия "информационная безопасность", в то же время такие понятия, как источники угрозы и уровень их опасности рассматриваются ими как что-то упрощено, по большей части в оторванном от контекста понятия "информационная безопасность", часто не связанному с контекстом видового понятия "информационная угроза". Современные процессы функционирования системы информационной безопасности указывают на потребность усовершенствования системы административно-правовой регуляции информационной безопасности, которая требует выработку новых средств, методов и способов обеспечения информационной безопасности разных органов управления, мониторинг информационной среды, наличия источников угрозы и уровней их опасности.

Grycyuk Yu.I., Rak T.E. Problems priv in structural subdivisions of Ministry of extraordinary situations of Ukraine

The specific of preparation of specialists is analysed on informative safety in Lviv state university of safety of vital functions found out the potential sources of threat and levels of their danger for structural subdivisions of Ministry of extraordinary situations of Ukraine. It is set that many researchers in the work spare considerable attention the analysis of maintenance of concept "Informative safety", at the same time such concepts, as sources of threat and level of their danger are examined by them as something is simplified, mostly in torn off from the context of concept "Informative safety", often unconnected with the context of specific concept "Informative threat". The modern processes of functioning of the system of informative safety specify on the necessity of improvement of the system of the administrative and legal adjusting of informative safety which requires making of new facilities, methods and methods of providing of informative safety of different organs of management, monitoring of informative environment, presences of sources of threat and levels of their danger.

УДК336.221:336.71 Acnip. О.С. Лемшовська;

доц. Р.Л. Хом 'як, канд. екон. наук - НУ "Львiвcька nолiтехнiка "

ОРГАН1ЗАЦ1Я ШФОРМАЩЙНОГО ЗАБЕЗПЕЧЕННЯ ПОДАТКОВОГО ОБЛ1КУ В ПОДАТКОВ1Й ПОЛ1ТИЦ1 БАНКУ

Висв^лено важливють шформацшного забезпечення податкового облжу в по-датковш полггищ банку на вах його рiвнях: вщ формування первинних докуменпв до порядку обчислення, сплати та складання податково! зв^ност з кожного виду по-датку та збору.

Ключовг слова: податкова пол^ика банку, податковий облж, шформацшне за-безпечення.

Постановка проблеми. Основою ефективно! оргашзацп оподаткуван-ня банку е шформацшне забезпечення його податково! политики, розроблен-ню якого на цей час придшяють недостатньо уваги з боку кер1вництва. Наш1 дослщження свщчать, що нараз1 в банках вщсутш ч1тю формулювання того, яка шформащя стосовно питань податкового обл1ку е необхщною для анал1зу та контролю на етат оподаткування банку.

Оскшьки основою податково! политики банку е податковий облж, то вщповщне його шформацшне забезпечення загалом визначатиме саму ефек-тившсть оргашзацп оподаткування.