Загальні поняття про інформаційну безпеку. Види інформації, які потребують захисту

• дані,   необхідні   для   функціональної   діяльності   всіх підрозділів організації.

 
При проведенні переговорів:

• відомості про надані замовлення та пропозиції;

 

•  відомості про факти підготовки і ведення переговорів;

 

•  відомості про осіб, які проводять переговори, керівництво підприємства, їх характеристика. [15,C.133-134] 
  

Втрата інформації, яка складає комерційну таємницю, може відбуватись по двох каналах: зовнішньому  і внутрішньому.

Зовнішній канал -   безпосередня діяльність недобросовісних конкурентів або злочинних елементів. Їх дії можуть бути спрямовані на:

• одержання   інформації за допомогою  підслуховуючих пристроїв;
• викрадення або зняття копій з документів та інших носіїв інформації, що містять комерційну таємницю;
• одержання інформації у процесі її проходження через комунікаційні мережі;
• знищення інформації або пошкодження її носіїв;
• підкуп,  шантаж  співробітників  підприємства  з  метою одержання – інформації, яка містить комерційну таємницю;
• переманювання   провідних  спеціалістів  на  конкуруюче підприємство.[15,C.134] 
  

Внутрішній  канал  пов'язаний  з   непорядністю  окремих співробітників підприємства, незадоволених платнею або відносинами з керівництвом. Вони можуть видати комерційну таємницю  конкурентам  або знищити  важливу  інформацію.Іншим внутрішнім джерелом може бути балакучість співробітників, що ведуть службові розмови у невідповідних місцях. [15,C.134]

Персональна таємниця - це інформація, яка містить відомості про фізичну особу і дозволяє цю фізичну особу ідентифікувати. До відомостей, що становлять персональну таємницю, належать:

• особова справа працівника організації;
• відомості про клієнтів і працівників після звільнення;
• заходи із забезпечення збереження, цілісності і достовірності   персональних даних;
• результати аудиту використання і захисту персональних даних. [14,C.105]

 

 

 

 

 

 

 

2. Проблеми захисту інформації

2.1.  Інститути тектології інформаційної безпеки

На загальнотеоретичному рівні виділяють такі ключові, особливі проблеми інформаційної безпеки щодо організаційного аспекту захисту інформації в інформаційних системах:

1). проблеми організації доступу до інформації;

2). проблеми організації забезпечення цілісності інформації щодо загроз її порушення;

3). проблеми організації комплексного контролю за інформаційними ресурсами у відповідному середовищі функціонування їх відповідно до матеріальних носіїв інформації (людських (соціальних), людино-машинних (людино-технічних, соціотехнічних) та технологічних);

4). проблеми організації сумісності систем захисту інформації в автоматизованих (комп'ютерних) системах з іншими системами безпеки відповідної організаційної структури;

5). проблеми організації виявлення можливих каналів несанкціонованого витоку інформації (фізичних, соціотехнічних, соціальних);

6). проблеми організації блокування (протидії) несанкціонованого витоку інформації;

7). проблеми організації виявлення, кваліфікації, документування порушення інформаційної безпеки (як стану у визначеному просторі, часі і колі осіб);

8). формулювання відповідальності та правове визначення санкцій та організація притягнення винних до відповідальності (дисциплінарної, цивільної, адміністративної, кримінальної). [18, C.218]

2.2. Інформаційна безпека як функція

Організацію захисту інформації в автоматизованих системах умовно поділяють на три види функцій. За основу поділу визначено такий критерій, як середовище, в якому перебуває інформація: а) соціальне (окрема людина, спільноти людей, держава); б) інженерно-технікологічне (машинне, апаратно-програмне, автоматичне); в) соціотехнічне (людино-машинне). [18, C.219]

Кожен названий рівень щодо середовища об'єктивно  доповнює і взаємозумовлює інші функції, в основі утворюючи триєдину гіперсистему: організація інформаційної безпеки. У цій гіперсистемі визначними є такі напрямки (підрівні), що визначаються на основі інтегративного підходу протилежностей (антиподів) — воздії і протидії.

1. Організація протидії небажаній для суб'єкта воздії за допомогою технічних засобів захисту, тобто засоби захисту мають бути адекватними засобам добування (наприклад, протидія розвідці відповідними технічними засобами захисту: створення системи просторового зашумлення для приховування інформації у відповідному середовищі (акустичному (звуковому), аудіо (відео), електромагнітному) чи екранування технічних засобів у приміщенні). 

2. Організація протидії негативному впливу на учасників інформаційних відносин (наприклад, конкурентів на персонал організації з метою отримання інформації (протидія підкупові персоналу, впровадження представника 
конкурента в організацію для отримання інформації з об меженим доступом тощо). Щодо цього та деяких інших факторів можна застосувати принцип, визначений у народній мудрості: "Клин клином вибивають".

3. У разі порушення функціонування інформаційної системи — визначення майнових втрат та мінімізація їх (наприклад, у разі виявлення несанкціонованого доступу до інформації визначення матеріальних і моральних втрат, за необхідності — взаємодія з державними правоохоронними та судовими органами щодо притягнення зинних до відповідальності відповідно до законодавства). [18, C.219-220]

На названі  напрямки організації інформаційної  безпеки відповідного об'єкта захисту впливають такі визначальні фактори:

а) фактор рівня досягнень науково-технічного прогресу

б) технологічний фактор

в) соціальний (людський) фактор

 

2.3.  Агреговані моделі  тектології  інформаційної системи

Загальний аналіз проблем організовування захисту  інформації в інформаційних комп'ютерних  системах дає можливість визначити три агреговані організаційні моделі заходів:

1. організація запобіжних заходів;
2. організація блокування (протидії) реальним загрозам, що реалізуються;
3. організація подолання наслідків загроз, які не вдалося блокувати або запобігти їм. [18, C.221]

Важливий елемент  організації інформаційної безпеки  — захисту інформації — поділ  заходів на групи щодо протидії. У теорії і практиці майже однозначно виокремлюють три такі групи: активні  засоби захисту (наприклад, розвідка, дезінформація, зашумлення тощо); пасивні засоби захисту (наприклад, встановлення екранів несанкціонованому витоку інформації тощо); комплексні засоби захисту (органічне поєднання названих груп).

Організаційні заходи при блокуванні (протидії) несанкціонованого доступу до автоматизованої інформаційної системи та подоланні наслідків загроз, які не вдалося блокувати або запобігти їм можуть бути спрямовані: на документування методів несанкціонованих дій щодо доступу до автоматизованої системи для наступного дослідження їх; збереження слідів правопорушення; взаємодію (у разі необхідності) з державними правоохоронними органами щодо виявлення та розкриття правопорушення (в тому числі за готування до злочину і за замах на злочин); сприяння притягненню винних до відпо відної відповідальності (кримінальної, адміністративної, цивільно-правової, дисциплінарної).

Всі заходи організації  інформаційної безпеки, у тому числі  в умовах застосування автоматизованих  комп'ютерних систем, базуються на знаннях і використанні певних фізичних явищ, що характеризують відповідні форми подання (виразу) інформації. Ці фізичні явища, зокрема ті, що може використати зловмисник, добре відомі. [18, C.222]

 У ході  організації (в тому числі створення  алгоритмів (методик) захисту інформації  технічними засобами) завдання суб'єктів полягає не тільки в удосконаленні існуючих засобів технічного захисту інформації, а й урахуванні можливих новацій. При цьому переважно має реалізовуватися принцип агрегації новацій до наявної системи захисту. Найкраще, коли можна інтегрувати через новації засоби захисту і вилучити із системи захисту застаріле обладнання. Але водночас не слід забувати, що старі засоби захисту, які можуть функціонувати автономно в системі захисту, не повинні "зніматися з озброєння" бездумно.

Організовуючи захист інформації в автоматизованих  системах, слід враховувати, що хоч  в основі автоматизованої системи  є технічний пристрій, який обробляє інформацію, але при його використанні так чи інакше присутній людський фактор. При цьому людина виступає в ролі або безпосередньо (як користувач автоматизованої системи), або опосередковано (як розробник системи). [18, C.223]

З цього випливає, що на надійність системи захисту  інформації в автоматизованих комп'ютерних системах впливають дві групи взаємопов'язаних факторів: людські (соціальні) та інженерно-технологічні.

 

2.4 Необхідність захисту даних інформаційних систем

Разом з підвищенням  стратегічного значення сфери обробки  інформації у компанії усе більшу роль відіграє вимога комплексної захищеності ІС і створених на її основі інформаційних ресурсів. Цю якість системи варто забезпечувати на всіх етапах процесу обробки інформації. Найбільш широко відома і зрозуміла проблема забезпечення захищеності даних (від утрати чи псування), а також вимога правового захисту даних (захист чиїхось персональних даних від несанкціонованого доступу) - вони вже є класичними вимогами до будь-якої ІС. Інформаційні системи мають бути захищені і від технічних відмовлень, і від технологічних порушень при експлуатації.

Захист від  катастроф чи аварій при експлуатації ІС сьогодні є необхідною умовою захищеності. Це може бути власна страховка (наприклад, запасний сервер) чи використання спеціального плану захисних заходів, що за необхідності забезпечують доступ до стороннього сервера. Заходи щодо захисту даних у багатьох компаніях, звичайно, уже детально розроблені і добре знайомі працівникам, що відповідають за їх виконання. Захист системи не може бути ідеальним і не повинен будуватися як абсолютний. Це потребувало б істотного збільшення витрат як на її створення, так і на її експлуатацію. Захист має будуватися раціонально, тобто з оптимальними за деяким критерієм характеристиками, що в кожному випадку зважуються фахівцями й керівництвом компанії. [8, C.217-218]

Виробництво інформації крім правового має також і технологічний аспект. Розвиток сфери інформаційного обслуговування, розширення застосування комп'ютерів і інформаційних технологій у різних галузях постійно підвищують значимість цього аспекту. Усі складні системи створюються в середовищі погоджених, як правило, наукомістких технологій і реалізують їх у своїй роботі.

Як практично  будь-яка складна структура, інформаційна система вразлива в плані можливості порушення її роботи. Ці порушення можуть мати як випадковий, так і зумисний характер, можуть викликатися як зовнішніми, так і внутрішніми причинами. Відповідно до цього на всіх етапах життя системи необхідно вживати спеціальні заходи для забезпечення її надійного функціонування й захищеності.

Порушення, викликані внутрішніми причинами, варіюються, насамперед, методами забезпечення надійності. У цьому ІС мають багато спільного з іншими складними системами в тому, що стосується причин несправностей і проявів відмовлень.

 

 

 

 

 

3. Методи  та засоби захисту інформації на прикладі компанії ВАТ „Голден Телеком ”

3.1. Загальна інформація про підприємство

Компанія Голден Телеком заснована у 1996 році як спільне  українсько-американське підприємство. Основним іноземним партнером виступила  міжнародна Телекомунікаційна компанія Global TeleSystems Group, Inc. (GTS), що має унікальний досвід проведення Телекомунікаційних мереж у Європі й Азії, зокрема і в країнах СНД.

Відкривши 6 грудня 1996 року першу в Україні мережу цифрового мобільного зв’язку стандарту GSM, Голден Телеком стала першим оператором у Східній Європі, що запропонувала послуги мобільного зв’язку найсучаснішого стандарту – GSM 1800. Водночас компанія Голден Телеком розпочала надавати послуги фіксованого телефонного зв’язку бізнес-клієнтам у м. Києві.

У 1998 році компанія розширила спектр послуг, включивши в нього передачу даних та інтернет. З цього моменту Голден Телеком залишається єдиною на українському ринку компанією, що надає повний комплекс телекомунікаційних послуг вищої якості.

У лютому 1999 року відбулося офіційне відкриття міжнародного центра комутації Голден Телеком; компанія Голден Телеком стала повноправним міжнародним оператором зв’язку.

У 1999 році була створена компанія «Голден Телеком, Інк.» («NASDAQ: «GLDN»), головним завданням якої стало представдлення інтересів компанії Global TeleSystems Group, Inc. на пострадянському просторі. У лютому 2000 року Голден Телеком об’єднався з одним з найбільших українських провайдерів послуг передачі даних та інтернету «Совам Телепорт». Послуги об’єднаної компанії — інтегровані телекомунікаційні рішення у сфері телефонії, передачі даних та інтернету — надаються під торговельною маркою Голден Телеком.