CC BY
12
Посилання на статтю_
Маракова И.И. Проблемы комплексного обеспечения безопасности информации в Украине/И.И. Маракова// Управлшня проектами та розвиток виробництва: Зб.наук.пр. - Луганськ: вид-во СНУ iM. В.Даля, - 2004. - № 2(10). - C.131-135._
УДК 621.391
И.И. Маракова
ПРОБЛЕМЫ КОМПЛЕКСНОГО ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В УКРАИНЕ
В современных условиях эффективность процессов управления во многом определяется использованием новых информационных технологий совместно с комплексом мер безопасности. Криптография - основа большинства методов защиты информации - становится неотъемлемым элементом грамотности все более широкого круга специалистов. Понимание комплексного характера проблемы защиты информации имеет первостепенное значение для ее успешного решения на самых различных уровнях. Рис. 1, ист. 4.
1.1. Маракова
ПРОБЛЕМИ КОМПЛЕКСНОГО ЗАБЕЗПЕЧЕННЯ БЕЗПЕКИ 1НФОРМАЦП В УКРА1Н1
У сучасних умовах ефективнють процеав управлЫня в багатьох визначаеться використанням нових Ыформацмних технолопй сильного з комплексом засобiв безпеки. Криптографiя - основа б^ьшост методiв захисту Ыформацп -становиться невщ'емним елементом грамотности все бтьш широкого кола спецал^в. РозумЫня комплексного характеру проблеми захисту Ыформацп мае першочергове значення для ТТ успшного виршення на самих рiзних рiвнях. Рис. 1, дж. 4.
I.I. Marakova
PROBLEMS OF COMPLEX INFORMATION SECURITY SUPPORT IN UKRAINE
Nowadays the managerial effectiveness depends on latest IT application simultaneously with corresponding security measures. Cryptography considered to be the base for the most information security methods becomes the integral part of competence for a wide circle of specialists. Comprehension of complex character of information security is paramount for its successful application on various levels.
Общенаучная проблема. Политическая, экономическая, научно-техническая сила государства, предприятий сегодня во многом определяется завоеванием мирового информационного пространства, умением им оперативно и безопасно пользоваться. Информация - фундамент практически любого вида деятельности. Как нет смысла строить здание в болотистой местности без специальных мер, так и нет смысла информации без ее защиты. Например, новые информационные технологии электронной торговли сами по себе никаких проблем решить не могут. Будет ли электронная коммерция развиваться и приносить реальные доходы зависит от правительственных, финансовых, управленческих структур.
Во многих странах нарушения безопасности в системах обработки и передачи информации приносят большие потери. Они наиболее значительны в
"Управлшня проектами та розвиток виробництва", 2004, № 2(10)
1
системах телекоммуникаций, обслуживающих банковские и торговые учреждения (системы автоматизированного перечисления денежных средств). В США, например, убытки от несанкционированного проникновения в эти системы оцениваются в десятки миллионов долларов ежегодно. О степени опасности электронных преступлений можно судить по тем затратам на средства защиты, которые считаются допустимыми и целесообразными. По оценкам специалистов США, общие затраты на защиту финансового или торгового учреждения можно привести к 2 тыс. дол. в расчете на одного клиента, причем в эту сумму входит только стоимость аппаратных и программных средств. Последствия же от несанкционированного получения информации имеют самый различный масштаб: от безобидной проказы до финансовых потерь больших размеров.
Цели и задачи статьи. Длительное время методы защиты информации (ЗИ) разрабатывались только государственными органами, а их внедрение рассматривалось как исключительное право того или иного государства. Однако в последние годы с развитием коммерческой и предпринимательской деятельности увеличилось число попыток несанкционированного доступа к конфиденциальной информации, а проблемы защиты информации оказались в центре внимания многих ученых и специалистов из различных стран. Следствием этого процесса стало появление потока открытых публикаций об исследованиях и разработках в этой области. Значительно возросла потребность в специалистах по ЗИ. Однако распространенными являются исследования в рамках некоторого конкретного подхода, метода. Безусловно, развитие самых различных направлений обеспечения ЗИ весьма важно, но только в комплексе со всеми другими подходами. Цель статьи - разработка комплексного подхода к ЗИ и соответствующей управленческой структуры.
Основной материал исследований. Существует множество различных способов несанкционированного доступа к информации. Не углубляясь в их исследование, очевидно, что никакое отдельно взятое средство защиты не в состоянии обеспечить адекватную безопасность. Сколько-нибудь надежная защита может быть гарантирована лишь при создании механизма комплексного обеспечения безопасности. Можно выделить три основные составляющие такого комплекса: нормативно-правовая; организационная; техническая.
Нормативно-правовые средства защиты определяются законодательными актами страны, которыми регламентируются правила использования, обработки и передачи информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил. В статье 34 Конституции Украины рассматривается право граждан Украины на информацию, обеспечения информационных процессов [1]. Эта и некоторые другие статьи Конституции должны стать основой развития информационного законодательства. То, что действующее законодательство Украины не отвечает современным требованиям информационного развития является одной из основных проблем в области решения вопросов по защите информации и при наличии в стране довольно мощного научно-технического потенциала может привести к особенно тяжелым последствиям. При построении правовой базы системы безопасности информации в Украине предстоит решить следующие задачи.
Разработать в качестве правовой основы системы обеспечения безопасности информации базового закона, регламентирующего отношения и разграничивающего сферы полномочий всех участников информационных отношений, а также определяющего государственные органы, обеспечивающие информационную безопасность и способы контроля со стороны государства за разграничением доступа к информации.
2
"Управлшня проектами та розвиток виробництва", 2004, № 2(10)
Разработать законодательные акты и правовые нормы, всесторонне охватывающие все проблемы защиты информации и отражающие специфику подходов к обеспечению безопасности информации в различных сферах деятельности государства и общества.
Регламентировать уровни безопасности информации и адекватных им методов и средств защиты. Одной из наиболее важных составных частей правового обеспечения системы безопасности информации является стандартизация и сертификация. На основании накопленного опыта развитых стран в Украине необходимо создать пакет основополагающих стандартов организационно-методического и терминологического обеспечения системы защиты информации, а также стандартизировать требования по защите информации в средствах вычислительной техники, в автоматизированных системах, информационных сетях и средствах телекоммуникации.
Общий порядок осуществления криптографической защиты информации в Украине определен Положением о порядке криптографической защиты информации (КЗИ) в Украине, введенным в действие Указом Президента Украины от 22.05.98 г. № 505. Основным нормативно-правовым актом, регулирующим вопросы разработки, производства и эксплуатации средств защиты информации является Положение о порядке разработки, изготовления, эксплуатации средств КЗИ, утвержденное приказом ДСТСЗИ СБ Украины от 30.11.99.№53 и зарегистрированное в Министерстве юстиции Украины 15.12.99 г. за №868/4161.
Нельзя не принимать во внимание морально-этические средства защиты, реализуемые в виде всевозможных норм, которые сложились традиционно в данной стране или обществе. Эти нормы большей частью не являются обязательными, как законодательные меры, однако их несоблюдение ведет обычно к потере авторитета и престижа сотрудника, организации и т.д.
Технические средства представляют собой электрические, механические, электромеханические или электронные устройства. Вся совокупность технических средств делится на физические и аппаратно-программные. Физические средства реализуются в виде автономных устройств и систем и выполняют функции общей защиты объектов, на которых обрабатывается информация. К ним относятся, например, устройства защиты территорий и зданий, замки на дверях, где размещена аппаратура, решетки на окнах, электронно-механическое оборудование охранной сигнализации. Под аппаратными техническими средствами принято понимать устройства, встраиваемые непосредственно в вычислительную технику, в телекоммуникационную аппаратуру, или устройства, которые сопрягаются с подобной аппаратурой по стандартному интерфейсу. Из наиболее известных аппаратных средств можно отметить схемы контроля информации по четности, схемы защиты массивов памяти по ключу и др. Программные средства представляют собой программное обеспечение, специально предназначенное для выполнения функций защиты информации.
Необходимо также отметить, что все рассмотренные средства защиты делятся на формальные, выполняющие защитные функции строго по заранее предусмотренной процедуре без непосредственного участия человека, и неформальные, определяемые целенаправленной деятельностью человека либо регламентирующие эту деятельность.
Организационные средства защиты представляют из себя организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания и функционирования какой-либо структуры. Другими словами, только на основе нормативно-правовой базы и при наличии аппаратно-
"Управлшня проектами та розвиток виробництва", 2004, № 2(10)
3
программных средств возможно эффективное управление в условиях повсеместного внедрения новых информационных технологий. Практика сегодняшнего дня показывает на недооценку этих вопросов руководителями различных организаций.
При разработке комплекса по информационной безопасности необходимо понимать, что защищенность является не атрибутивным, а внешним свойством информации, присущим информации, находящейся в конкретной эргасистеме, изменяющимся при переносе в другую эргасистему. Существуют такие эргасистемы, например, межбанковские системы электронных платежей, для которых характерна минимальная информационная избыточность. Весьма показательна разработанная комплексная концепция обеспечения ЗИ в банковской системе электронных платежей [2].
Несомненно, что комплексность реализации ЗИ во многом зависит от совершенства соответствующей управленческой структуры. При наличии характерных признаков в каждом конкретном случае необходимо учитывать специфику (рис.1).
Концепция комплексности ЗИ позволяет централизовать процедуру управления, что особенно ценно при распределенных объектах, многочисленных абонентах. Процедура управления становится адаптивной, что особенно важно при обеспечении ЗИ. Становится возможным оперативное реагирование на попытки несанкционированных действий, выявление новых алгоритмов и стратегий, минимизации возможных потерь.
Выводы. Выявленный комплексный характер мероприятий по защите информации, являющейся основой успеха внедрения новых информационных технологий, позволяет сделать вывод о неоспоримой важности профессиональной подготовки административных менеджеров в области защиты информации. Появление таких специалистов на рынке труда неизбежно будет стимулировать развитие нормативно-правовой базы и технические средства защиты информации отечественного производства.
С другой стороны, основой большинства средств информационной защиты является криптография. Неоспорима ценность бурно развивающихся криптографических методов закрытия информации. Бес^орно перспективным является использование асимметричных криптографических методов для обеспечения персональных подписей. С каждым днем все больше появляется экзотических криптографических протоколов самого широкого функционального применения [3,4]. Переход ведущих зарубежных стран к электронному делопроизводству предъявляет к специалистам самого широкого профиля требования знания безопасных процедур такой деятельности, как подписание контрактов, нотариальные акты, криптографические протоколы, электронные платежи и т.д. Необходимость профессиональной подготовки менеджеров в области защиты информации подтверждается и внешними причинами.
4
"Управлшня проектами та розвиток виробництва", 2004, № 2(10)
Рис. 1. Классификация задач управления комплексом по ЗИ
С точки зрения практического применения весьма важным является разработка специализированных систем поддержки принятия решений в области ЗИ, которые должны стать основой при организации управленческих процедур в данной сфере.
ЛИТЕРАТУРА
1. Конститу^я Укра'ши, Т.10.
2. Устинов И.Г. О решении задач обеспечения юридической значимост електпронных платежных документов в АСБР Московського региона // Обозрение прикладной и промшленной математики. - 2002. - Т.9. - Вып.1. - С. 7-17.
3. Информационные системы в экономике./ Под ред. Проф..В.В. Дика - М.: Финансы и статистика. - 1996.
4. Электронная коммерция. Пер. С англ. Москва: ИТД "Русская редакция". -2001.
Стаття надмшла до редакцп 28.05.2004 р.
"Управлшня проектами та розвиток виробництва", 2004, № 2(10)
5
