Сучасні інформаційні технології

Технічні науки

К. т. н, доцент Маркозов Д.О.

Харківський національний автомобільно-дорожній університет, Україна

 

Система забезпечення безпеки критично важливих об'єктів інформатизації

 

В сучасних умовах забезпечення комплексного захисту критично важливих об’єктів від несанкціонованого доступу до об’єкту інформатизації є однією з пріоритетних задач динамічного розвитку України. У зв’язку із цим, виникає необхідність розробки та впровадження сучасних методів і засобів захисту інформації в інформаційних системах, що використовуються в життєво важливій для країни інфраструктурі, відмова або руйнування якої може призвести до істотних негативних впливів на національну безпеку.

Під об’єктом інформатизації критично важливого об’єкта у науковій літературі найчастіше розуміють «кошти обчислювальної техніки (автоматизовані системи різного рівня та призначення, обчислювальні мережі та центри, автономні стаціонарні і персональні обчислювальні машини, а також копіювально-розмножувальні засоби, в яких для обробки інформації застосовуються числові методи) разом з програмним забезпеченням, яке використовується для обробки інформації та входить до складу критично важливого об’єкта, використовується для забезпечення надійного функціонування і управління процесами об’єкта, порушення або припинення функціонування якого призводить до значних негативних наслідків для національної безпеки, міжнародних відносин та економічних збитків» [1, с. 666]. Забезпечення надійного функціонування критично важливих об’єктів інформатизації досягається шляхом реалізації на об’єкті комплексу засобів і систем інформаційної безпеки (для забезпечення цілісності, конфіденційності та доступності) і його фізичного захисту від несанкціонованого доступу.

Не існує двох об’єктів інформатизації, які б мали однакові властивості інформаційної безпеки та фізичного захисту. Різниця визначається ступенем цінності оброблюваної інформації, її конфіденційністю, штатним чисельним складом користувачів, застосуванням засобів фізичного захисту. Важливу роль при цьому відіграють призначення та характеристики критично важливих об’єктів. Однак деякі критично важливі об’єкти інформатизації мають близькі за певними критеріями властивості. Це дозволяє провести розподіл всієї множини об’єктів інформатизації на групи і розробити для кожної із них типові вимоги безпеки, які будуть виступати в якості основи для формування вимог інформаційної безпеки.

Необхідно враховувати і те, що кожен об’єкт інформатизації є складовою частиною конкретного критично важливого об’єкту, від призначення якого в значній мірі залежить процес функціонування, а в кінцевому результаті і можливий збиток від реалізації загроз інформаційній безпеці та фізичного захисту об’єктів інформатизації. З цього випливає, що розбиття об’єктів інформатизації на непересічні групи можливо буде доцільно проводити для критично важливих об’єктів, що належать конкретному відомству, міністерству, державному органу. Цим самим ми обмежимо число типових об’єктів інформатизації, що мають подібні властивості, конкретизуємо використовувані при проведенні класифікації показники і більш обґрунтовано сформулюємо вимоги інформаційної безпеки та фізичного захисту.

Слід відзначити, що більшість матеріалів, які публікуються у відкритих джерелах інформації по методикам створення та функціонування критично важливих об’єктів інформатизації, мають загальний характер, а статистичні дані з безпеки об’єктів, що вивчаються, є закритими. Однак, враховуючи те, що функціонування критично важливих об’єктів інформатизації здійснюється в рамках єдиного адміністративно-територіального та економічного простору держави, можна припустити, що для зазначених об’єктів в тій чи іншій мірі будуть застосовні загальні підходи по виділенню даних, пов’язаних з побудовою їх інформаційного та інженерно-технічного захисту.

Основу сучасних систем забезпечення інформаційного та інженерно-технічного захисту критично важливих об’єктів інформатизації від несанкціонованого доступу складають нормативно-правові та організаційно-технічні методи захисту інформації, що дозволяють сформувати необхідне нормативне та організаційне забезпечення для організації інфраструктури таких систем, а також реалізувати підтримку прийняття відповідних управлінських рішень в питаннях безпеки об’єктів.

Забезпечення надійного функціонування об’єктів інформатизації критично важливих об’єктів досягається реалізацією на об’єкті комплексу засобів і систем інформаційної безпеки для забезпечення цілісності, конфіденційності, доступності та його фізичного захисту від несанкціонованого доступу.

Сьогодні в Україні відбувається активний процес по формуванню національного нормативно-правового забезпечення в галузі захисту критично важливих об’єктів інформатизації від несанкціонованого доступу. Однак прийняті нормативно-правові акти в більшості випадків носять відомчий характер, що призводить до зниження ефективності взаємодії між різними органами управління та відомствами, так як при наявності їх великої кількості рівень та якість зв’язків залишається низькою. Також слід зазначити, що в області інформаційного права гостро стоять питання про вивчення і застосування міжнародного законодавства та гармонізації правових норм, що існують в Україні, з міжнародним правом.

Одним з основних принципів протидії загрозам безпеки критично важливих об’єктів інформатизації учені вважають превентивність прийнятих заходів захисту, так як усунення наслідків прояву загроз вимагає значних фінансових, часових і матеріальних витрат [2].

З урахуванням того, що в системах захисту критично важливих об’єктів інформатизації використовуються апаратно-програмні засоби охорони, існують загрози, пов’язані з можливим впровадженням у вироби компонентів, що реалізують функції, не передбачені документацією, а також програмного забезпечення, що порушує функціонування системи захисту. Аналіз організаційно-технічного забезпечення при побудові систем захисту критично важливих об’єктів інформатизації дозволяє визначити комплекс заходів щодо їх захисту на стадії проектування системи, забезпечивши оптимальне поєднання організаційних і технічних заходів захисту інформації.

Забезпечення комплексної безпеки критично важливих об’єктів інформатизації нерозривно пов’язано з інженерно-технічними засобами та системами захисту, що дозволяють забезпечити захист від несанкціонованого фізичного доступу до об’єкта чи ресурсів об’єкту. Причинами виникнення загроз інженерно-технічного захисту критично важливих об’єктів інформатизації, як зазначає С.М. Вишняков, можуть бути дії людини, форс-мажорні обставини, відмова обладнання та внутрішніх систем життєзабезпечення [3]. Але основною причиною таких загроз є навмисна дія людини, яка є порушником інформаційної безпеки. Потенційний порушник, для реалізації своїх задумів, керується певною мотивацією і намірами, володіє сукупністю необхідних знань, умінь та навичок для вчинення протиправних дій.

Слід зазначити, що факти практичної реалізації загроз інженерно-технічного захисту критично важливих об’єктів інформатизації, пов’язані з несанкціонованим фізичним доступом до об’єкта чи ресурсів об’єкту, як правило, спрямовані на порушення властивостей цілісності, доступності та конфіденційності засобів і систем обробки інформації, а також каналів телекомунікації таких об’єктів.

Сучасні системи забезпечення безпеки критично важливих об’єктів інформатизації представляють собою багаторівневі, територіально розподілені, автоматизовані інформаційні системи, що здійснюють моніторинг стану безпеки як окремих об’єктів, так і їх територіально-адміністративних об’єднань [4]. Основу побудови таких систем становлять апаратно-програмні засоби та методи забезпечення комплексної безпеки критично важливих об’єктів інформатизації, завданням яких є практична реалізація інформаційного та інженерно-технічного захисту з урахуванням специфіки виникаючих загроз. В свою чергу, основою апаратно-програмних засобів і методів забезпечення інформаційної та інженерно-технічної безпеки є [5]: технології передачі даних; програмне забезпечення засобів та систем захисту; апаратно-програмні засоби і системи захисту інформації; інтегровані системи технічних засобів охорони; автоматизовані системи передачі сповіщень; системи управління ризиками.

Таким чином, в умовах сучасного інформаційного суспільства, для ефективної роботи системи забезпечення безпеки критично важливих об’єктів інформатизації необхідно проектувати їх функціонування з урахуванням принципів однакової міцності усіх засобів захисту, узгодженості критеріїв безпеки та інформаційної єдності.

 

Література:

1. Мелех О.В. Классификация критически важных объектов информатизации по требованиям физической защиты с использованием методов кластерного анализа / О.В. Мелех, Е.П. Максимович, В.К. Лисенко // Искусственный интеллект. – 2010. – №4. –  С. 666–677.

2. Белов С.В. Автоматизированная система анализа физической защищенности объектов обработки информации: дис. ... канд. техн. наук / С.В. Белов. – Астрахань, 2005. – 140 с.

3. Вишняков С.М. Системы комплексной безопасности, категории и уровни защищенности стационарных объектов / С.М. Вишняков // Системы безопасности. – 2004. – №1 (55). – С. 26–32.

4. Зуев А.Г. Категорирование потенциально опасных объектов как основа создания эффективных систем обеспечения безопасности / А.Г. Зуев // Системы безопасности. – 2002. – № 3 (45). – С. 14–19.

5. Лыньков Л.М. Защита объектов различных форм собственности от несанкционированного доступа: монография / Л.М. Лыньков, В.В. Маликов, Т.В. Борботько; под ред. Л.М. Лынькова. – Минск: Полиграфический центр МВД Респ. Беларусь, 2008. – 187 с.