УДК 004.43
Рудий Т.В., к.т.н., доцент, Бичинюк 1.В., викладач, Довганик Б.С., викладач© Львшський державный утверситет внутршшх справ
ОРГАШЗАЦШНО-ПРАВОВ1 ЗАСАДИ ЗАХИСТУ 1НФОРМАЦ1ЙНИХ СИСТЕМ ПЩПРИСМСТВ АПК
Розглядаються загальт принципы оргатзацп системы захисту тформацп у ¡нформацтних системах тдприемств АПК. Обгрунтовано запровадження принципу поетапного здтснення захисту ¡нформацтних систем з урахуванням динамжи змти загроз.
Клю^о^^ слова: ¡нформацтш технологи, ¡нформацтна система, захист тформацп, ¡нформацтш загрози, техтчш заходи.
Постановка проблеми. Широке впровадження у системи менеджменту пщприемствами, системи тдтримки управлшських ршень сучасних шформацшних систем (1С) вимагае забезпечення надшного захисту оброблювано! у 1С шформацп. Порушення безпеки функцiонування 1С може ютотно ускладнити виконання управлiнських ршень i виробничих завдань, тому проблема створення ефективно! системи захисту шформацп (31) набувае дуже важливого значення. Автори вважають, що така система 31 повинна бути, у першу чергу, комплексною i адаптивною.
Анал1з останшх дослщжень. Проблемам створення i функцiонування систем 31 присвячено достатньо публшацш як у вiдкритих, так i закритих лiтературних джерелах. 3 доступних, для пересiчного користувача, джерел хочемо вщзначити працi таких вчених як В.Б. Дудикевич, М.П. Карпшський, В.М. Максимович, В.П. Захаров. Важливють наукового здобутку та внеску у теорш i практику шформацшно! безпеки (1Б) згаданих вчених важко переоцшити.
Аналiз лiтературних джерел дае пщстави стверджувати, що у процесi проектування, створення i експлуатування систем 31 е суттевi недолiки, якi знижують ефективнiсть !х функцiонування. Необхiдно обгрунтувати розробку органiзацiйно-правових засад 31, яю визначать стратегiю, тактику системи 31, а також врахують динамiку змш загроз iнформацiйним активам 1С.
Мета дано! публшацп полягае у тому, щоб окреслити оргашзацшно-правову структуру системи 31 у 1С тдприемств АПК. Разом з тим вщзначимо, що це е всього лише однин з аспекив стратеги системи управлшня шформацшними технолопями (1Т) стосовно тдприемств АПК.
Виклад основного матер1алу. Правову основу 31 у 1С тдприемств АПК становлять: Конститущя Укра!ни; 3акони Укра!ни; акти Президента Укра!ни та Кабiнету Мiнiстрiв Укра!ни; нормативно-правовi акти Служби безпеки Укра!ни;
© Рудий Т.В., Бичинюк 1.В., Довганик Б.С.,2013
315
Адмшютрацп Державно! служби спещального зв'язку та захисту шформацп Укра!ни, шших державних органiв; мiжнароднi угоди Укра!ни, згода на обов'язковiсть яких надана Верховною Радою Укра!ни. Видано низку вщомчих актiв Держкомсекретiв Укра!ни - циркулярних листiв, тлумачень, методик тощо, якi е обов'язковими для уах державних органiв, пiдприeмств, установ, оргашзацш пiд час здiйснення ними функцш щодо забезпечення захисту службово! шформацп, перш за все - державно! таемнищ.
Регулятивно-правову основу забезпечення З1 у 1С пiдприемств АПК Укра!ни становлять: Конституцiя Укра!ни; Концепцiя нащонально! безпеки Укра!ни; Закони Укра!ни "Про шформацш", "Про науково-технiчну шформащю", "Про державну таемницю", "Про нацiональний архiвний фонд та архiвнi установи", "Про зв'язок", "Про видавничу справу", "Про доступ до публiчно!' шформацп", "Про захист персональних даних".
Органiзацiйно-правова структура системи З1 в 1С формуеться вiдповiдно до рекомендацiй мiжнародних стандарив та з дотриманням положень чинного законодавства Укра!ни. Такими стандартами е: КОЛЕС 27002:2005 1нформацшш технологi!. Методи захисту. Кодекс практики для управлшня шформацшною безпекою; ISO/IEC 27003:2010 1нформацшш технологi!. Методи захисту. Керiвництво з застосування системи менеджменту захисту шформацп; КОЛЕС 27004:2009 1нформацшш технологi!. Методи захисту. Вимiрювання; ISO/IEC 27005:2008 1нформацшш технологi!. Методи забезпечення безпеки. Управлшня ризиками шформацшно! безпеки; ISO/IEC 27006:2007 1нформацшш технологi!. Методи забезпечення безпеки. Вимоги до оргашв аудиту i сертифiкування систем управлiння iнформацiйною безпекою [1,2,3,4].
У вЫх аспектах забезпечення З1 основним елементом е аналiз можливих загроз щодо порушення роботи 1С, тобто загроз, якi тдвищують уразливiсть iнформацi!, призводять до !! витоку, випадкового або навмисного компрометування, знищення [5]. Розглядаючи загальнi принципи З1 в 1С, доцiльно вщзначити, що комплексний З1 в 1С мае у сво!й основi використання оргашзацшних та програмно-апаратних засобiв 31. Таю засоби повинш забезпечувати щентифжащю та автентифiкування користувачiв, розподiл повноважень доступу до активiв 1С, реестрування та облж спроб НСД.
Система 31 реалiзовуеться у кiлька етатв: перший етап - визначення i аналiз загроз; другий - розробка системи 31; третш етап - реалiзацiя плану 31; четвертий етап - контроль за функщонуванням та управлшням системою 31.
На першому етапi здiйснюеться грунтовний аналiз об'екив 31, ситуативного плану, умов функщонування 1С, оцiнювання ймовiрностi прояву загроз та збитки вщ !х реалiзацi!, пiдготовка даних для побудови моделi загроз.
На другому етапi розробляеться план, який мштить органiзацiйнi, первинш технiчнi та основнi технiчнi заходи 31. Оргашзацшш заходи регламентують порядок шформацшно! дiяльностi (1Д) з урахуванням норм i вимог 31. Мшмально необхiдний рiвень 31 забезпечуеться обмежувальними i фрагментарними заходами протидi! найнебезпечшшш загрозi.
316
Третш етап peani3ye оргашзацшш, первинш техшчш та ochobhî TexHi4Hi заходи 31, встановлюються необхiднi зони безпеки шформацп, проводиться атестування технiчних зaсобiв забезпечення 1Д [6], технiчних зaсобiв 31 на вiдповiднiсть вимогам безпеки. Система 31 передбачае використання захищеного, лiцензiйно чистого програмного забезпечення, техшчних зaсобiв 31 та контролю ефективноси, якi мають сертифiкaт вiдповiдностi вимогам нормативних документiв або дозвiл на ïx використання вiд уповноваженого Кабшетом Мiнiстрiв Укрaïни органу.
На четвертому етат здiйснюеться контроль за функщонуванням системи 31 в 1С, виявлення та запоб^ання порушенням системи 31. Контроль стану 31 в 1С оргашзовуеться вщповщно до плaнiв, затверджених керiвникaми пiдприемств, шляхом проведення перевiрок. Контрольно-iнспекцiйнa робота з 31 включае планування та проведення перевiрок стану 31 в 1С, проведення aнaлiзу та надання настанов з удосконалення зaxодiв 31. Перевiрки подiляються на комплексш, цiльовi (темaтичнi) та контрольна
Пiд час комплексноï перевiрки вивчаеться та ощнюеться стан 31 у 1С, щодо яких здшснюеться 31. Цшьова (тематична) перевiркa полягае у вивченш окремих нaпрямкiв 31, перевiряеться виконання рiшень (розпоряджень, нaкaзiв, настанов) з питань 31 в 1С, щодо яких здшснюеться Т31, виконання завдань або провадження дiяльностi у гaлузi 31 за вiдповiдними дозволами та лiцензiями суб'ектами системи Т31.
Пiд час контрольноï перевiрки перевiряеться усунення недолiкiв, якi були виявлеш пiд час проведення попередньоï комплексноï або цiльовоï перевiрки. Тaкi перевiрки можуть бути плaновi та позапланов^ з попередженням та рaптовi. Позапланова перевiркa здiйснюеться за вкaзiвкою вищого менеджменту пiдприемствa у рaзi виникнення потреби визначення повноти та достатност зaxодiв з 31 за наявност вiдомостей щодо порушень виконання вимог нормативно-правових акив з питань 31.
Керування системою 31 полягае у адаптуванш зaxодiв до поточного завдання 31. 3а фактами змши умов здшснення або виявлення нових загроз заходи 31 реaлiзовуються у найкоротший термiн.
Контроль оргaнiзaцiйниx зaxодiв 31 в 1С включае перевiрку: перел^ вiдомостей, якi пiдлягaють 31; окремоï моделi загроз для 1С; плану контрольовaноï зони пiдприемствa, щодо якого здшснюеться 31; перел^ видiлениx примщень пiдприемствa, щодо якого здiйснюеться 31; проведення категоршвання iнформaцiйниx aктивiв та об'екив.
При кaтегорiювaннi iнформaцiйниx aктивiв та об'ектiв основною склaднiстю е те, що важко визначити ïx цшшсть. Фaxiвцям з iнформaцiйноï безпеки потрiбно розробити ефективнi методики i критерп кaтегорiювaння iнформaцiйниx aктивiв. Вщзначимо, що визначення цiнностi iнформaцiйниx aктивiв дiйсно дуже складний процес [7].
Сформульоваш правила фiксуються у вщповщних документах (документування процедур - одне з основних вимог стандарту ISO 27001). Наголосимо, що основним документом е пол^ика шформацшно' безпеки (П1Б),
317
у якш перераховаш Bei процедури, визначено ступшь вiдповiдальностi посадових oei6 за забезпечення 1Б, а також позищя керiвництва. Автори вважають, що ШБ у 1С пiдприeмства е багаторiвневою системою документiв, якi визначають вимоги безпеки, систему заходiв, вщповщальшсть персоналу та механiзми контролю задля забезпечення захисту iнформацiï у 1С. ШБ розповсюджуеться на всi аспекти дiяльностi 1С та застосовуеться до вах iнформацiйних активiв, якi можуть мати матерiальний iнтерес для кримшальних структур та конкурентiв у разi несанкцiонованого витоку.
Органiзацiйно-технiчнi заходи З1 у 1С, роботи з атестування об'ектiв iнформацiйноï дiяльностi виконуються власними силами або передаються на аутсорсинг суб'ектам тдприемницько1' дiяльностi у галузi 31, якi мають дозвiл i лiцензiю вiд уповноваженого Кабiнетом Мiнiстрiв Украïни органу [8].
Висновки. На пiдставi проведеного аналiзу автори вважають, що ефективна система 31 повинна бути, у першу чергу, комплексною i адаптивною, а у другу чергу - задовольняти умови спостережливост та керованостг
Запропоноваш органiзацiйно-правовi засади формування системи безпеки дають можливють визначати стратегiю i тактику системи 31 з урахуванням динамiки змши загроз iнформацiйним активам 1С тдприемств АШК.
Л1тература
1. Мiжнародний стандарт ISO/IEC 27002 [Електронний ресурс]. - Режим доступу: http://www.wikitntu.org.ua.
2. Мжнародний стандарт ISO/IEC 27003-27004 [Електронний ресурс]. -Режим доступу: http://www.iso27001security.com.
3. Мжнародний стандарт ISO/IEC 27005 [Електронний ресурс]. - Режим доступу: http://www.riskmanagementinsight.com.
4. Мжнародний стандарт ISO/IEC 27006 [Електронний ресурс]. - Режим доступу: http://27000.org.
5. Рудш В.М. Аналiз злочишв, скоених з використанням шформацшних технологш / В.М. Рудш, Т.В. Рудий, В.М. Фiрман / Шроблеми застосування iнформацiйних технологiй, спецiальних техшчних засобiв у дiяльностi ОВС, навчальному процесi, взаемодiï з iншими службами // Матерiали науково-практичноï конференцп 14 грудня 2012 р. - Львiв: Львiвський державний унiверситет внутршшх справ, 2012. - С. 96-99.
6. Рудий Т.В. Шол^ика шформацшно1' безпеки в шформацшних системах оперативних пщроздшв МВС / Т.В. Рудий, Я.Ф. Кулешник, 1.В. Бичинюк, £.Г. Горпинченко / Шроблеми дiяльностi кримшально1' мiлiцiï в умовах розбудови правово1' держави // Шроблеми застосування шформацшних технологш, спещальних технiчних засобiв у дiяльностi ОВС, навчальному процесi, взаемодп з iншими службами // Матерiали науково-практично1' конференцiï 14 грудня 2012 р. - Львiв: Львiвський державний утверситет внутршшх справ, 2012. - C. 18-21.
7. Когут В.В. Порядок атестування систем техшчного захисту шформацп / В.В. Когут, Т.В. Рудий, Я.Ф. Кулешник / Шроблеми дiяльностi
318
кримшально! мшци в умовах розбудови правово! держави // Мaтерiaли HayKOBO-3BiTHOÏ конференци факультету кримiнальноï мiлiцiï Львiвського державного унiверситету внутрiшнiх справ (12 березня 2010 р.). - Львiв: Львiвський державний унiверситет внутрiшнiх справ, 2010. - С. 90-97.
8. Руда О.1. Аутсорсинг у сферi шформацшних технологiй / О.1. Руда, I.I. Руда. / Проблеми застосування iнформaцiйних технологiй, спецiaльних технiчних зaсобiв у дiяльностi ОВС, навчальному процеЫ, взaeмодiï з iншими службами // Мaтерiaли нaуково-прaктичноï конференцiï 24 грудня 2010 р. -Львiв: Львiвський державний унiверситет внутрiшнiх справ, 2010. - C. 196-200.
Summary Rudyy T., Bychynyuk I., Dovganyk B.
Lviv State University of Internal Affairs
ORGANIZATIONAL AND LEGAL PRINCIPLES OF PROTECTION INFORMATION SYSTEMS ENTERPRISES AIC
The general principles of information security in information systems enterprises AIC. Proved the principle of phased implementation of technical protection of information in view of changes threats.
Key words: information technology, information systems, information security, information threats, technical measures.
Рецензент - к.е.н., доцент Колос Б.О.
319