УДК 004.056.5

АНАЛІЗ НОРМАТИВНО-ПРАВОВОГО ЗАБЕЗПЕЧЕННЯ ЗАХИСТУ ДЕРЖАВНИХ ІНФОРМАЦІЙНИХ РЕСУРСІВ В ІНФОРМАЦІЙНО-ТЕЛЕКОМУНІКАЦІЙНИХ СИСТЕМАХ

С.С. Бучик, к.т.н, доц.

Житомирський військовий інститут імені С.П. Корольова
Національного авіаційного університету

e-mail: s_stbu@rambler.ru

Аналізуючи основні напрями забезпечення інформаційної безпеки в цілому [1], елементом якої є державні інформаційні ресурси (ДІР), можна зробити висновок, що для забезпечення комплексного захисту інформації (КЗІ) від загроз відокремлюють наступні основні напрями захисту інформації: правовий захист, організаційний захист, інженерно-технічний захист.

Аналізуючи поняття нормативно-правового забезпечення в цілому, можна надати визначення щодо поняття нормативно-правового забезпечення захисту ДІР, під яким слід розуміти сукупність правових норм, які визначають порядок створення, правовий статус і функціонування захищених інформаційних, телекомунікаційних, інформаційно-телекомунікаційних систем (далі ІТС), регламентують порядок одержання, перетворення та використання інформації і інформаційних ресурсів, які є власністю держави.

Тобто нормативно-правове забезпечення регламентує та визначає порядок захисту визначених політикою безпеки властивостей інформації (конфіденційності, цілісності та доступності) під час створення та експлуатації інформаційної мережі; регламентує порядок ефективного знешкодження і попередження загроз для ресурсів шляхом побудови комплексної системи захисту інформації; статус інформаційної системи з точки зору інформаційної безпеки; права, обов'язки й відповідальність персоналу роботи яких пов’язані з інформаційною безпекою; правові положення окремих видів процесу керування та управління доступом в захищених ІТС; порядок створення й використання захищених ІТС; етапи побудови ІТС [1,2,3,4].

Таким чином, вивчення та подальше вдосконалення одного з основних напрямків захисту інформації – правового захисту по відношенню до ДІР, є актуальним.

Проаналізуємо, де ж зустрічається і в зв’язку з якою нагодою поняття ДІР в основних нормативно-правових актах (НПА)? Вперше офіційно поняття ДІР в Україні з’явилося в Законі України “Про захист інформації в інформаційно-телекомунікаційних системах”, де в ст.10 щодо повноваження державних органів у сфері захисту інформації вказано, що вони здійснюють заходи щодо виявлення загроз державним інформаційним ресурсам від несанкціонованих дій в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах та дають рекомендації з питань запобігання таким загрозам.

В подальшому був виданий Указ Президента України “Про заходи щодо захисту інформаційних ресурсів держави”  від 10.04.2000 р., яким у складі Служби безпеки України як орган державного управління створено Департамент  спеціальних  телекомунікаційних систем та захисту інформації якому доручено реалізацію державної політики у сфері захисту державних  інформаційних ресурсів у мережах передачі даних, криптографічного та технічного захисту інформації.

Таким чином, був створений орган виконавчої влади, якому доручено питання  реалізації державної політики щодо захисту ДІР.

У подальшому необхідно було вирішувати питання, яке б регулювало певний порядок здійснення захисту ДІР. Таким НПА став Наказ новоствореного Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України “Про затвердження Порядку захисту державних інформаційних ресурсів у інформаційно-телекомунікаційних системах” №76 від 24.12.2001, який був чинний більше п’яти років (втратив чинність Наказом того ж Департаменту від 16.06.2006 №74), у якому вперше з’являється визначення поняття державні інформаційні ресурси, яке буде представлено нижче.

Надалі поняття ДІР можна прослідкувати в Постанові КМУ від 16 листопада 2002 р. №1772 “Про затвердження Порядку взаємодії органів виконавчої влади з питань захисту ДІР в інформаційних та телекомунікаційних системах”, яка визначає механізм взаємодії органів виконавчої влади з питань захисту державних інформаційних ресурсів в інформаційних та телекомунікаційних системах.

Нарешті, у Законі України “Про Державну службу спеціального зв'язку та захисту інформації України” від 23 лютого 2006 р. №3475-IV, кінцево визначено термін державні інформаційні ресурси, які представляють собою інформацію, яка є власністю держави та необхідність захисту якої визначено законодавством.

У результаті подальшого вдосконалення НПЗ захисту ДІР, з’являються “Правила забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах”, затверджені Постановою КМУ від 29.03.2006 р. №373, які визначають загальні вимоги та організаційні засади забезпечення захисту державних інформаційних ресурсів або інформації, вимога щодо захисту якої встановлена законом, в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах.

Розвиваючи питання захисту ДІР в ІТС наступним важливим правовим документом, який регламентує порядок захисту є безпосередньо  “Порядок оцінки стану захищеності державних інформаційних ресурсів в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах”, введений у дію в 2008 році. Даний НПА регламентує правові та організаційні засади проведення оцінки стану захищеності ДІР в ІТС органів державної влади, органів місцевого самоврядування, військових формувань, утворених відповідно до законів України, підприємств, установ і організацій незалежно від форм власності.

Вже розвиваючи та підсумовуючи все вищеприведене, в Білій книзі Держспецзв'язку [5] вводиться цілий розділ присвячений захисту державних інформаційних ресурсів в інформаційно-телекомунікаційних системах.

Таким чином, були проаналізовані основні НПА, в яких в прямій постановці проглядається поняття державні інформаційні ресурси. Хоча дане поняття з’явилося ще в Законі України “Про захист інформації в інформаційно-телекомунікаційних системах”, 1994 р., саме кінцеве визначення даного поняття було приведено лише в Законі України “Про Державну службу спеціального зв'язку та захисту інформації України”, 2006 р.. Аналіз НПА щодо захисту ДІР в ІТС свідчить про малосис­темний характер відповідної діяльності. Виходячи з [6], для побудови ефективної КСЗІ необхідно: виявити можливі загрози та надати рекомендації щодо їх запобігання. В цьому напрямку і формується основне НПЗ захисту ДІР, але з приведеного аналізу можна бачити, що не всі питання ще розглянуті, а деякі потребують подальшого вдосконалення.

Не чітко визначено загрози різним видам інформації (або мало деталізовані), на концептуальному рівні не закріплено перелік органів державної влади, повноваження яких дозволяли б повністю захистити інформаційні ресурси держави, не розроблено стандарт щодо визначення поняття державні інформаційні ресурси та його складових. Не розроблено положення про модель порушника державних інформаційних ресурсів, за якою можна б було визначити можливі наміри порушника, ступень небезпечності, категорію осіб, серед яких може бути порушник, припущення про кваліфікацію порушника та характер його дій. Не в повній мірі розроблена політика безпеки державних інформаційних ресурсів, яка б представляла певний набір вимог, правил, обмежень, рекомендацій, які регламентують порядок оброблення інформації і спрямовані на захист державних інформаційних ресурсів від певних загроз. Як вказано в [7], наслідком таких, здавалося би,  тільки теоретичних недоліків стає, приміром, неконтрольоване несанкціоноване поширення баз даних, сформованих в органах державної влади, які містять докладну інформацію про майновий стан фізичних та юридичних осіб, місце їх проживання (реєстрації), номери телефонів та інші персональні дані.

У зв’язку з чим виникає протиріччя між наявними державними інформаційними ресурсами, які постійно тільки зростають та не до кінця визначеною термінологією (відсутність єдиного стандарту), необхідністю внесення змін в законодавчу базу, відсутністю моделі порушника та відповідно дієвої методології оцінки ступеня захищеності державних інформаційних ресурсів, не деталізовані їх загрози, що в свою чергу обумовлює актуальність подальшого проведення досліджень в цьому напрямку.

ЛІТЕРАТУРА

1.       Інформаційна безпека. Нормативно-правове забезпечення: підруч. / О.К. Юдін. – К.: НАУ, 2011. – 640 с.

2.       Чунарьова А.В., Чунарьов А.В. Аналіз нормативно-правового забезпечення захисту інформації сучасних ІКСМ Захист інформації № 2, 2012.

3.       Юдін О.К. Захист інформації в мережах передачі даних: підруч. / Г.Ф. Конахович, О.Г. Корченко, О.К. Юдін. – К.: Вид-во ТОВ НВП “ІНТЕРСЕРВІС”, 2009. – 714 с.

4.       Богуш В.М., Юдін О.К. Інформаційна безпека держави. – К.: “МК-Прес”, 2005. – 432с.

5.       Біла книга Держспецзв'язку. – Режим доступу:

http://www.dsszzi.gov.ua/dstszi/control/uk/publish/article?art_id=49942&cat_id=49941.

6.       Про захист інформації в інформаційно-телекомунікаційних системах: Закон України від 05.07.1994 № 81/94-ВР//ВВР. – 1994. – № 31. – С.287.