Розділ 5. Захист інформації в світових інформаційних системах

5.1. Загрози безпеці інформаційних систем та їх характеристика

Посилення уваги до питань захисту інформації обумовлене зростанням доступу до неї. У нинішньому інформаційному столітті нові покоління електронно-обчислювальних машин з'являються з надзвичайною швидкістю. Збільшується пам'ять машин, змінюється їх структура й операційна система. Творці нової обчислювальної техніки намагаються за певними параметрами суміщати нову техніку із застарілою. Проте поява процесорів Pentium, здатних паралельно виконувати кілька задач, свідчить, що програми, написані для старих, повільних чипів, не варті того, щоб витрачати кошти на їх удосконалення. Для чипів Pentium створено нове сімейство програм. Однак помилки, що допускалися в старих версіях програм, неухильно з'являються і в нових версіях. Зазначимо, що операційні системи завжди відрізнялися недосконалістю та складністю своєї документації. Навіть найпоширеніша операційна система Windows, не зважаючи на регулярне відновлення, не позбавлена помилок. Це викликає особливу тривогу, тому що сучасна індустрія досить сильно залежить від роботи комп'ютерної мережі. Ситуація ускладнюється ще й зростанням кількості витончених вірусних атак.

Для гарантованої безпеки функціонування інформаційної мережі застосовуються різні протоколи шифрування конфіденційної інформації, електронні підписи, здійснюється сертифікація інформації. Заборона на несанкціоноване переміщення даних між локальною мережею міжнародної компанії та глобальною мережею може забезпечуватися спеціальними комп'ютерами або програмами (брандмауерами). Інтелектуальні скарби нації мають бути надійно захищені. Як справедливо зазначає Михайло Згуровський [88], найважливішим напрямком захисту знань є "інвентаризація рідкісних даних із занесенням їх у "білу книгу" та визначення пріоритетів їхнього захисту", необхідно подбати про "розвиток нового виду діяльності — менеджменту даних". Автор підкреслює важливість "захисту та конфіденційності наукових даних на індивідуальному, національному і корпоративному рівні". Л. С. Винарик, О. М. Щедрін,

Н. Ф. Васильєва стверджують: "Входження України до світового інформаційно-економічного простору може бути забезпечено лише через створення відповідної нормативно-правової бази" [44]. Реалізація цього завдання вимагає вивчення досвіду, накопиченого передовими державами у цій галузі. У нашій країні відносини з приводу захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах на Україні регулюється Законом України "Про захист інформації в інформаційно-телекомунікаційних системах" [4].

Автоматизовані інформаційні системи, відкриваючи нові можливості для організації міжнародної економічної діяльності, для підвищення її якості та надійності, водночас є однією з найуразливіших сторін міжнародної компанії, яка притягує до себе зловмисників як із числа персоналу компанії, так і тих, що працюють поза межами підприємства.

Гострота проблеми безпеки автоматизованих систем обумовлена низкою об'єктивних причин. Основна з них — високий рівень довіри до автоматизованої системи. Цілком вірогідно, що незаконне маніпулювання такою інформацією може призвести до величезних збитків.

Проблема безпеки інформації ускладнюється ще й у зв'язку з розвитком та розширенням мереж ЕОМ. Розподілені системи і системи з віддаленим доступом висунули на перший план питання захисту інформації, що обробляється та передається.

Під безпекою інформаційної системи розуміється її захищеність від випадкового або навмисного втручання в нормальний процес її функціонування, а також від спроб розкрадання, модифікації або руйнування її компонентів. Інакше кажучи, це спроможність протидіяти різноманітним діям, що завдають шкоди інформаційній системі.

Безпека інформаційної системи досягається організацією конфіденційності оброблюваної інформації, а також цілісністю і доступністю компонентів і ресурсів системи.

Конфіденційність інформації — це властивість інформації бути відомою тільки для допущених суб'єктів системи (користувачів, програм, процесів і т. ін.), які пройшли відповідну перевірку.

Таких суб'єктів у літературі називають авторизованими. Для інших об'єктів системи ця інформація ніби не існує.

Цілісність компонента (ресурсу) — це властивість компонента бути незміненим (у семантичному, змістовному розумінні) у процесі функціонування системи.

Доступність компонента (ресурсу) — це властивість компонента бути доступним для використання авторизованими суб'єктами в будь-який час.

Метою будь-яких заходів щодо організації безпеки автоматизованої інформаційної системи (АІС) є захист власника і законних користувачів

АІС від нанесення їм матеріального чи морального збитку в результаті випадкового або навмисного впливу на систему.

Розрізняють зовнішню і внутрішню безпеку АІС. Зовнішня безпека системи передбачає її захист як від випадкових зовнішніх впливів (наприклад, природних — повінь, пожежа і т. ін.), так і від несанкціонованого доступу до інформації і будь-яких несанкціонованих дій. Внутрішня безпека пов'язана з регламентацією діяльності користувачів інформаційної системи і обслуговуючого персоналу, з організацією дисципліни прямого або непрямого доступу до ресурсів системи і до інформації.

Центральним питанням безпеки АІС є захист інформації. Один із напрямків організації інформаційної системи полягає у створенні інтегрованих систем обробки даних (ІСОД). Як правило, при цьому забезпечується мінімальна вартість створення й функціонування інформаційної системи, оскільки використовуються колективні ресурси для всіх її користувачів, до яких належать апаратні й програмні засоби обробки інформації, засоби її збереження і т. ін. Вдало вибрана організація й можливості колективного користування (обсяг пам'яті, швидкодія центральної електронної обчислювальної машини (ЕОМ) і т. ін.) значно знижують вартість створення й експлуатації систем.

Проте використання можливостей колективного ресурсу не означає його доступності для кожного користувача. Відповідний доступ має бути санкціонованим і визначатися тими правилами (вимогами), що формулюються під час створення інформаційної системи. Реалізація всіх вимог санкціонованого доступу вимагає деякого збільшення вартості заходів створення й реалізації системи.

Використання персональної обчислювальної машини (ПЕОМ), підключення їх до локальних обчислювальних мереж, а тим більше — до глобальних мереж, ускладнюють реалізацію заходів безпеки інформаційних систем. Це пов'язано із забезпеченням цілісності інформації як у пам'яті ЕОМ, так і на носіях, що зберігаються окремо від ЕОМ а також з ідентифікацією прийнятої інформації та зі збереженням її достовірності під час передачі по каналах зв'язку.