УДК 004.056.5
*О.К. Юдін, д-р техн. наук, проф.; **С.С. Бучик, к.т.н, доц.;
*Р.В. Зюбіна
*Національний
авіаційний університет
** Житомирський
військовий інститут імені С.П. Корольова
Державного
університету телекомунікацій
ПРАВОВІ АСПЕКТИ ФОРМУВАННЯ ТЕРМІНОЛОГІЇ ЗАГРОЗ ДЕРЖАВНИМ ІНФОРМАЦІЙНИМ
РЕСУРСАМ
Здійснюючи аналіз
напрямків забезпечення інформаційної безпеки держави, які являють нормативно-правові, організаційні, інженерно-технічні
категорії, орієнтовані на забезпечення комплексного захисту інформації від
внутрішніх та зовнішніх загроз на державному рівні, особисте значення набуває такий
напрямок, як правовий. Правовий захист ДІР повинен формуватися
на тлі загальної та спеціальної законодавчої бази держави, інших нормативних актів,
постанов, стандартів, правил, що забезпечують захист інформації та
безпосередньо її властивостей: конфіденційності, доступності, цілісності [2,6].
Проведений
аналіз нормативно-правового забезпечення захисту державних інформаційних
ресурсів (ДІР) в інформаційній сфері нашого суспільства свідчить про малосистемний характер відповідної
діяльності, спостерігається нечітка спрямованість визначення класів загроз
різним видам ДІР (мало деталізовані або відсутні). Крім того, на концептуальному та нормативному рівні не визначено перелік і класифікацію загроз інформаційним
ресурсам держави, не розроблено нормативно-правового документу, стандарту із
визначенням поняття державних
інформаційних ресурсів, його складових та відповідної їм моделі загроз [2,3,6].
Виходячи з наведеного,
необхідно провести аналіз існуючого
нормативно-правового та Законодавчого забезпечення (НПЗ), вітчизняних і
міжнародних стандартів галузі «Інформаційна безпека», деталізації напрямків, що
регламентують питання класифікації загроз ДІР, проведенні аналітично-правового
аналізу, як підґрунтя для побудови моделі загроз ДІР, а також дослідженні
загально-сформованої системи та найбільш поширених класів загроз інформаційним
ресурсам підприємств, організацій і установ з різними формами власності. Як
наслідок даного дослідження – надання більш розширених визначень таким поняттям
як загроза ДІР та атака на ДІР.
Проводячи
аналітично-правовий аналіз побудови класифікатора та моделі загроз ДІР, а також
розглядаючи загально-сформовану систему та найбільш поширені класифікації
загроз інформаційним ресурсам підприємств, організацій і установ з різними
формами власності, можна зробити висновок про відсутність загально-спрямованої системи
класифікації загроз ДІР.
Відповідна діяльність органів державної влади, носить розрізнений відомчий характер щодо формування реєстру ДІР, та безпосередньо системи
класифікації загроз ресурсам держави. Не розроблено положення про модель загроз
і порушника ДІР, за якою можна було би
визначити вірогідні наміри порушника, ступінь небезпечності дій та
несанкціонованих процесів; категорію осіб, серед яких може бути порушник,
припущення про кваліфікацію та характер його дій, тощо. Не в повній мірі
стандартизована політика безпеки державних інформаційних ресурсів, яка б
представляла певний набір вимог, правил, обмежень, рекомендацій згідно
класифікації ресурсів і загроз. З приведеного аналізу можна бачити, що ця проблематика
існує, а деякі питання потребують негайного подальшого вдосконалення.
Матеріал представлений авторами має достатнє
підґрунтя, що сформоване спираючись на попередні дослідження та встановлені
підходи до аналізу системи загроз ДІР.
Тому, що б не втратити логіку викладення матеріалу, запропонуємо основні
отримані висновки і положення з зазначеного напрямку [2,3,4,5,6]. Авторами було сформовано сучасне визначення ДІР, а
саме:
Державні інформаційні
ресурси - це результати інтелектуальної та практичної
діяльності, що сформовані в усіх сферах
життєдіяльності людини, суспільства і держави, зафіксовані і систематизовані на
відповідних матеріальних носіях інформації, як окремі документи і масиви
документів, банки і бази даних та знань,
усі види архівів і бібліотек,
музейні фонди, інформаційні
ресурси які обробляються й передаються у інформаційних
системах державного і/або
загального призначення, інші ресурси, що містять
дані, відомості і знання, які є об’єктом
права власності держави незалежно від форми
власності на час їх створення і мають споживчу цінність, а також такі,
що призначені для розвитку і задоволення потреб громадян, суспільства, держави та підлягають захисту згідно
визначеної політики безпеки й чинного законодавства.
У Законі України «Про Державну
службу спеціального зв'язку та захисту інформації України» (зі змінами 09 квітня 2014 року №1194-18) наведений оновлений термін для ДІР: державні
інформаційні ресурси – систематизована інформація, що
є доступною за допомогою інформаційних технологій, право на володіння,
використання або розпорядження якою належить органам державної влади, іншим
державним органам, військовим формуванням, а також інформація, створення якої
передбачено законодавством, та яка обробляється фізичними або юридичними
особами відповідно до наданих їм повноважень суб’єктами владних повноважень.
Проведений аналіз
висвітлює існуючу проблематику та подальші напрями досліджень - відсутність
детального визначення й стандартизації класифікації ДІР, ускладнює або
унеможливлює побудову моделі загроз
ресурсам держави.
Загрози інформаційній безпеці [information security threat] — сукупність умов і факторів, що створюють небезпеку
життєво важливим інтересам особистості, суспільства і держави в інформаційній
сфері [1].
На даний час, існує достатньо
великий перелік визначень поняття загроз інформації. Наведемо основні діючі
нормативні визначення.
Загроза для інформації - витік,
можливість блокування чи порушення цілісності інформації; таке визначення дає ДСТУ 3396.2–97 «Захист інформації. Технічний захист інформації. Терміни та визначення».
Загроза інформації - будь-які обставини чи події, що можуть спричинити порушення політики
безпеки інформації та (або) нанесення збитку інформаційно-комунікаційній
системі (ІКС) [5].
Загроза інформації (дія) – це можлива небезпека (потенційна або така, що існує
реально) вчинення будь-якого діяння (дії або бездіяльності), спрямованого проти
об’єкта захисту (інформаційних ресурсів), яке завдає збитку власнику або
користувачу, що проявляється як небезпека спотворення або втрати інформації [5].
Загроза (threat) —
будь-які обставини або події, що можуть бути причиною порушення політики
безпеки інформації і/або нанесення збитків АС [НД ТЗІ 1.1-003–99 «Термінологія в галузі захисту інформації в
комп’ютерних системах від несанкціонованого доступу»].
До захищених інформаційних систем належать інформаційні системи, які у
певних умовах експлуатації забезпечують політику безпеки інформаційних ресурсів
(конфіденційність, цілісність, доступність), що належать системі, та
підтримують свою працездатність в умовах впливу на них заданої множини загроз.
Політика безпеки інформації (information security
policy), визначена в державі нормативним документом НД ТЗІ 1.1-003–99 «Термінологія
в галузі захисту інформації в комп’ютерних системах від несанкціонованого доступу», як: сукупність законів, правил, обмежень, рекомендацій, інструкцій
тощо, які регламентують порядок оброблення інформації.
Під загрозою
безпеки інформаційним ресурсам будемо розуміти дії, які можуть призвести до
спотворення, несанкціонованого використання або, навіть, до руйнування
інформаційних ресурсів керованої системи, а також програмних і апаратних
засобів [5]. Таким чином, загроза в загальному вигляді буде
представляти собою будь-який потенційно можливий несприятливий вплив (дію або
бездіяльність), який (яка) завдає збиток суб’єкту інформаційної діяльності
і\або власнику ресурсів.
В цілому, будь яка інформаційна
система піддана впливу наступним основним групам загроз щодо порушення
властивостей інформаційних ресурсів [2]: конфіденційності; цілісності;
доступності.
Під загрозою державним інформаційним
ресурсам (ЗДІР) можна розуміти протиправні дії, які можуть призвести до
спотворення, несанкціонованого використання або
руйнування державних інформаційних ресурсів (їх безпосередніх властивостей:
конфіденційності, цілісності, доступності), які є власністю держави та необхідність захисту яких
визначено законодавством [5].
Підсумовуючи все вищевикладене, можна
дати більш повне визначення загрози
державним інформаційним ресурсам.
Загроза державним інформаційним ресурсам
- це потенційний або реальний стан
небезпеки державним інформаційним ресурсам та безпосередньо їх властивостям
(конфіденційності, цілісності, доступності), який може бути сформовано на
основі реалізації будь-якого процесу та/або вчиненні діяння (та/або
бездіяльності), спрямовано на порушення політики безпеки об’єкта інформаційної діяльності (державних інформаційних
ресурсів) та такий, що завдає збитку державі.
Носіями загроз безпеці інформації є
джерела загроз. Загрози, як
можливі небезпечності здійснення будь-якої дії, спрямованої проти об'єкта
захисту, проявляються не самі по собі, а через уразливості (фактори), що
призводять до порушення безпеки інформації на конкретному об'єкті інформаційної
діяльності. Кожній загрозі можуть бути
зіставлені різноманітні уразливості. Усунення або суттєве послаблення
уразливостей впливає на можливість реалізації загроз безпеці інформації.
Таким чином, завжди існує сталий взаємозв’язок, між загрозою та ймовірністю її реалізації. При
формуванні визначення - загроза, край необхідно мати висвітлення
взаємно залежному з ним поняттю: атака.
Атака, це наслідки загрози, що
реалізована з встановленою (або не встановленою) ймовірністю. Ґрунтуючись на зазначеному та
враховуючи попередні дослідження, надамо визначення поняттю атаки на ДІР [1,2,4]:
Атака на державні інформаційні ресурси — це можливі наслідки реалізації загрози
державним інформаційним ресурсам, що сформовані на основі
взаємодії джерела загрози через наявні фактори уразливості об’єкту
інформаційної діяльності та такі, що приводять до різних видів збитків державі.
ЛІТЕРАТУРА
1. Богуш В.М., Юдін О.К. Інформаційна безпека держави. – К.: “МК-Прес”, 2005.
– 432с.
2. Інформаційна безпека.
Нормативно-правове забезпечення: підруч./О.К. Юдін. – К.: НАУ, 2011. – 640с.
3. Юдін О.К., Бучик С.С. Правові аспекти формування системи
державних інформаційних ресурсів / Безпека інформації.–2014.–№20(1) / Технічні
науки.–С.76–82.
4.
Юдін О.К., Бучик С.С. Концептуальний аналіз
уразливості державних інформаційних ресурсів / Наукоємні
технології.–2013.–№3(19) / Технічні науки.–С.299–304.
5.
Юдін О.К., Бучик С.С. Аналіз загроз державним
інформаційним ресурсам / Проблеми інформатизації та управління.–2013.–№4(44) /
Технічні науки.–С.93–99.
6.
Yudin О., Buchyk S. The analysis of normatively–legal providing
of defence of state informative resources in informatiоn–telecommunication systems / Science-based technologies
. – 2013. – №2 (18) / Engineering Sciences. – P.202-206.