Загальна теорія організації інформаційної безпеки щодо захисту інформації в автоматизованих системах від злочинних посягань
Входження України в інформаційне суспільство потребує наукового обґрунтування його тенденцій, явищ, зокрема в контексті нового змісту такої складової суспільних відносин, як інформаційна безпека в умовах інформатизації стосовно захисту інформації в автоматизованих системах від злочинних посягань.
Критична маса науково-практичних знань, у тому числі на рівні експертних оцінок і системного аналізу емпіричного матеріалу історії розвитку інформаційних відносин, дозволяють сформувати елементи загальної теорії організації інформаційної безпеки щодо захисту інформації в автоматизованих системах.
Формування елементарної бази цієї теорії, з точки зору наукознавства, передбачає визначення методологічних аспектів та взаємозв’язків з іншими науковими дисциплінами.
На основі теорії критичної маси інформації визначається тенденція, що у своїй єдності за наукове явище, формується як міжгалузевий комплексний інститут (наукова дисципліна), що створюється на межі поєднання технічних і гуманітарних наук: правової інформатики, інформаційного права та тектології (теорії організації соціальних систем). Тобто, за природою свого походження інформаційна безпека має триєдиний зміст, що доповнюється і у перспективі буде доповнюватися спеціальними знаннями з інших галузей, підгалузей, інституцій технічних та суспільних наук.
З точки зору теорії організації і теорії систем, у їх науковому синтезі – теорії організації систем управління, формування цілеспрямованих, керованих систем (у тому числі будь-яких практичних заходів) – передбачає наявність визначення елементів системи та осмислення проблематики предметної галузі (її природи) в цілому.
Зазначимо, що елементами системи інформаційної безпеки щодо захисту інформації в автоматизованих системах від злочинних посягань виступають такі найважливіші чинники.
Елементи соціальної системи першого порядку:
перший – суб’єкти (окремі люди, їх спільноти, різного роду організації, суспільство, держава, інші держави, їх союзи, світове співтовариство);
другий – відносини між суб’єктами (суспільні відносини), що визначаються за певними об’єктивно існуючими критеріями - умовами.
Адміністративно-правові та кримінально-правові відносини виникають, змінюються і припиняються за умов волевиявлення суб’єкта, наділеного публічною владою для управління певною соціальною організацією (це, переважно, держава в особі органів публічної влади, керівники, посадові особи). При таких видах суспільних відносин переважає воля органу публічної влади, що покликана чітко визначити, сформулювати, закріпити у відповідній юридичній формі свою волю щодо суспільних відносин і створити механізм їх дотримання, переважно за допомогою методів переконання та примусу (адміністративно-правової чи кримінально-правової відповідальності).
Цивільно-правові відносини виникають, змінюються і припиняються на умовах юридичної незалежності і рівності сторін, при взаємному волевиявленні цих сторін (суб’єктів).
Третій чинник – об’єкт суспільних відносин – інформація в автоматизованих (комп’ютерних) системах.
Відповідно до положень теорії систем визначимо елементи другого порядку – підсистеми, що є складовими системи першого порядку.
Серед таких існує класифікація суб’єктів суспільних відносин, яку можна розширювати залежно від потреб дослідження предметної галузі. Наприклад, суб’єкти інформаційної безпеки можна поділити на декілька категорій стосовно: правового статусу регулювання відносин – суб’єкти регулювання відносин та суб’єкти учасників відносин; мети учасників правовідносин – правомірні учасники та правопорушники тощо.
Класифікація суспільних відносин стосовно безпеки інформації в автоматизованих (комп’ютерних) системах має багатоаспектний зміст, який визначається залежно від галузей знань. Проте умовно їх можна поділити на два загальні види: соціальні та технічні.
Визначальними для них є тектологічні критерії: організаційно-управлінські, організаційно-правові та організаційно-технічні (останні визначаються також і через категорію “інженерно - технічні”).
У суспільно-правовому розумінні правовідносини інформаційної безпеки щодо захисту інформації в автоматизованих системах мають забезпечувати нормальне (безпечне) функціонування інформаційних систем, технічну основу яких складають засоби комп’ютерної техніки та засновані на них технології.
Провідна системна мета правовідносин – захист суспільних інформаційних відносин від негативних впливів на них: соціогенних (соціальних), у тому числі криміногенних; техногенних (аварій, технічних катастроф); природних (стихійних) впливів (стихійних лих).
Важливим аспектом загальних положень інформаційної безпеки стосовно захисту інформації в автоматизованих системах є наукове визначення і формулювання принципів її реалізації.
З точки зору теорії організації систем соціального управління, зазначені принципи повинні мати чітку ієрархічну структуру, визначення за певними критеріями. Виходячи з положень природи інформаційної безпеки як тектологічного явища, пропонується поділ принципів за групами першого порядку та подальшими (підсистемні, субсистемні). До першого порядку можна віднести: організаційно-правові; організаційно-управлінські; організаційно-технічні.
Залежно від науково-практичних потреб організаційної діяльності (організовування) принципи інформаційної безпеки можуть поділятися на групи другого та подальшого порядків.
Важливим аспектом проблем теорії організації інформаційної безпеки є визначення її напрямів на засадах комплексного підходу методів захисту. Умовно можна визначити такі напрями організації захисту інформації в автоматизованих системах: правові, управлінські, інженерно - технологічні.
Формування будь-якої теорії у методологічному аспекті передбачає визначення методів пізнання предметної галузі та науково обгрунтованого впливу (організація, управління) на предметну галузь.
Аналіз науково-практичних джерел та емпіричного матеріалу дозволив сформулювати предметний метод інформаційної безпеки (“метод застосування методів”, метод-принцип, мета-метод) – це комплексне застосування управлінських, правових та інженерно-технологічних методів захисту інформації в автоматизованих системах.
На основі зазначених положень можна зробити висновок про існування потреби формування проблематики окремих аспектів (інститутів) загальної теорії та практики інформаційної безпеки щодо захисту інформації в автоматизованих системах. У зв’язку з цим існує можливість виділення двох частин теорії: загальної частини (фундаментальних, загальних положень) та особливої частини (відносин щодо окремих напрямів функцій на основі загальних положень).
На загальнотеоретичному рівні визначимося у наступних ключових особливих проблемах інформаційної безпеки стосовно організаційного аспекту захисту інформації в автоматизованих системах.
Першу групу складають інститути проблем:
1) доступу до інформації;
2) забезпечення цілісності інформації щодо загроз її порушення;
3) комплексного контролю за інформаційними ресурсами у певному середовищі їх функціонування відповідно до матеріальних носіїв інформації – людських (соціальних), людино-машинних (людино-технічних) та технологічних;
4) сумісності систем захисту інформації в автоматизованих системах з іншими системами безпеки відповідної організаційної структури;
5) виявлення можливих каналів несанкціонованого витоку інформації;
6) блокування (протидії) несанкціонованого витоку інформації;
7) виявлення, кваліфікації, документування, порушення стану інформаційної безпеки, визначення санкцій і притягнення винних до відповідальності.
На базі аналізу наявного матеріалу пропонується здійснити узагальнення на рівні теоретичних засад (основ) організації захисту інформації в автоматизованих системах як функції. Для цього організацію захисту інформації в автоматизованих системах умовно поділяємо на три рівні. За основу поділу визначено такий критерій, як середовище, в якому знаходиться інформація:
а) соціальне середовище (окрема людина, спільноти людей, держава);
б) інженерно-технологічне (машинне, апаратно-програмне, автоматичне) середовище;
в) людино - машинне (автоматизоване) середовище.
Кожен з рівнів середовища об’єктивно доповнює і взаємообумовлює інші рівні, утворюючи триєдину гіперсистему: організація стану інформаційної безпеки у просторі, колі осіб, на певний момент часу. В цій гіперсистемі визначальними є такі напрями (підрівні, субрівні), що визначаються на основі інтегративного підходу протилежностей (антиподів) – впливу і протидії:
1. Організація протидії небажаному для суб’єкта впливу за допомогою технічних засобів захисту, тобто засоби захисту інформації повинні бути адекватними засобам її добування (наприклад, розвідки: протидія розвідці (контррозвідка) технічними засобами, відповідними технічними засобами захисту; створення системи просторового зашумлення для приховування інформації у відповідному середовищі (акустично - звуковому); аудіо- відео- електромагнітному чи екранування засобів комп’ютерної (електронно-обчислювальної) техніки у приміщенні).
2. Організація протидії негативному впливу на учасників інформаційних відносин (наприклад, конкурентів – на персонал організації з метою отримання інформації; протидія підкупу персоналу; впровадження представника конкурента в організацію для отримання інформації з обмеженим доступом тощо). Стосовно цього фактору та деяких інших можна застосувати принцип, що визначено у народній мудрості: “Клин клином вибивають”.
3. У разі порушення функціонування інформаційної системи – визначення майнових втрат та їх мінімізація (наприклад, у випадку виявлення несанкціонованого доступу до інформації – визначення матеріальних і моральних втрат, за необхідності – взаємодія з державними правоохоронними та судовими органами щодо притягнення винних до відповідальності згідно з законодавством).
На зазначені напрями забезпечення інформаційної безпеки відповідного об’єкта захисту впливають такі фактори:
а) фактор рівня досягнень науково-технічного прогресу (переважно в галузі розвитку, удосконалення технічних засобів);
б) технологічний фактор (в окремих джерелах його ще називають алгоритмічний фактор, коли техніка може бути однаковою, а технології її застосування різні; цей фактор ще є визначальним для формування методик як отримання інформації, так і її захисту);
в) соціальний (людський) фактор.
Загальний аналіз проблем організації захисту інформації в автоматизованих системах дозволяє визначити три агреговані організаційні моделі заходів:
1. Організація запобіжних заходів;
2. Організація блокування (протидії) реальних загроз, що реалізуються;
3. Організація подолання наслідків загроз, яких не вдалося запобігти чи блокувати.
Важливим елементом організації інформаційної безпеки – захисту інформації – є поділ з
активні засоби захисту (наприклад, розвідка, дезінформація, зашумлення тощо);
пасивні засоби захисту (встановлення екранів несанкціонованого витоку інформації);
комплекс засобів захисту (органічне поєднання вищевказаних груп).
Звернемо увагу на організаційні заходи при блокування (протидії) несанкціонованого доступу до автоматизованої інформаційної системи та подолання наслідків загроз, яким не вдалося запобігти. Вони можуть бути спрямовані на: документування методів несанкціонованих дій щодо доступу до автоматизованої системи для подальшого їх дослідження; збереження слідів правопорушення; взаємодію, за необхідності із державними правоохоронними органами, щодо виявлення та розкриття правопорушення, в тому числі за виявлення підготовки до злочину і розкриття замаху на злочин; сприяння у притягненні винних до відповідальності (кримінальної, адміністративної, цивільно-правової, дисциплінарної).
Всі організаційні заходи щодо інформаційної безпеки, у тому числі в умовах застосування автоматизованих систем, базуються на знаннях і використанні тих чи інших фізичних явищ, що характеризують відповідні форми подання (виразу) інформації. Дані фізичні явища, зокрема ті, що може використати зловмисник, є достатньо відомими.
Завдання організації інформаційної безпеки щодо захисту інформації в автоматизованих системах визначаються за напрямом, протилежним до загрози безпеці. При реалізації заходів захисту інформації важливим аспектом є визначення і перевірка стану безпеки. В теорії і практиці це знаходить вираз в такій категорії, як “метрологія”. За допомогою метрологічної діяльності з’ясовується рівень розробки і наявність відповідних засобів, норм і методик, що дозволяють оцінити якість функціонування системи захисту інформації, тобто визначити, чи відповідає існуючим нормам система захисту.
Формалізація норм і методів метрології стану інформаційної безпеки об’єкта знаходить вираз у відповідних нормативних актах, що в теорії права називають “юридико-технічними” нормами (технічними стандартами, методичними рекомендаціями тощо).
При застосуванні визначених у них нормативів слід враховувати природну властивість – втрачати з часом актуальність. Це пов’язане з тим, що з розвитком науково-технічного прогресу можуть змінюватися норми і методи контролю захищеності інформації у відповідному середовищі її існування. Практика свідчить, що, як правило, норми і методи контролю мають тенденцію до удосконалення. Попередні нормативи виступають за орієнтири, точки опори для формування нових нормативів. Сам термін “норматив” свідчить про те, що існують фундаментальні межі можливих існуючих фізичних приладів метрології на певному етапі пізнання людством законів природи.
У ході організації, в тому числі створення алгоритмів (методик) захисту інформації технічними засобами, завдання суб’єкта полягає не тільки у нарощуванні існуючих засобів технічного захисту інформації, але й в урахуванні можливих новацій. При цьому переважно повинен реалізовуватися принцип агрегації новацій до існуючої системи захисту. Краще, коли існує можливість інтеграції через новації засобів захисту і вилучення з системи захисту застарілого обладнання. Але при цьому не слід забувати, що старі засоби захисту, що можуть функціонувати автономно в системі захисту, не повинні зніматися з “озброєння” бездумно.
Стосовно організації захисту інформації в автоматизованих системах, то слід враховувати, що хоч в основі автоматизованої системи знаходиться технічний пристрій, який обробляє інформацію, але при його використанні так чи інакше присутній людський фактор. При цьому людина виступає безпосередньо як користувач автоматизованої системи, або опосередковано як розробник такої системи.
З цього виходить, що на можливість надійності системи захисту інформації в автоматизованих системах впливає два взаємопов’язані фактори: людський та інженерно-технологічний.
В аспекті теорії систем організація захисту інформації в автоматизованих системах передбачає обумовлене виділення внутрішньосистемних і зовнішньосистемних ознак, що утворюють діалектичну гіперсистему організації меж безпеки.
Зазначені елементи основ теорії організації захисту інформації зумовлюють необхідність формування і розвитку окремих теорій інформаційної безпеки, зокрема її складової – теорії організації захисту інформації в автоматизованих системах, у таких аспектах: організаційному; пов’язаному з ним правовому та інженерно-технологічному. Останній поєднує в собі взаємопов’язані технічний (апаратний) та алгоритмічний (програмний) аспекти, що можуть знаходити відображення у відповідних юридико-технічних нормах.
Будь-яка загальна теорія вважається науковою, коли вона має чітко визначені методи пізнання предметної області (галузі, сфери), закономірностей природи (фізики) і суспільства. Таким чином, щоб претендувати на статус науковості, загальна теорія організації інформаційної безпеки повинна мати визначену сукупність методів пізнання її предмета і об’єкта.
Враховуючи міжгалузевий характер теорії організації інформаційної безпеки, в ній поєднуються методи пізнання традиційних фундаментальних наук: соціології та фізики. Це зумовлено безпосереднім предметом теорії – людино - машинними системами, якими є автоматизовані інформаційні системи.
Звичайно, сферою дослідження теорії є практика захисту інформації в автоматизованих системах: її закономірності, принципи, різного рівня проблеми і завдання їх вирішення. Сьогодні формалізація проблем і завдань здійснюється переважно за допомогою методів евристики: формально-евристичним та евристичним методами. Домінуюче положення серед цих методів займає метод експертних оцінок та метод оцінки критичної маси інформації (прикладний системний аналіз). За допомогою цих методів, зокрема, робляться оцінки функціонування систем захисту інформації. Проте, ці методи мають і свої недоліки: наявність людського фактору – суб’єктивізм експерта та потенційне обмеження інформації у формі знань, якими володіє експерт.
Подоланню цих недоліків допомагає когнітологія – наука про знання. Відповідно до положень цієї науки в загальній теорії захисту інформації визначаються за аксіоми когнітологічні положення про рівень і відносність ентропії (невизначеності) системи пізнання (людини, спільноти) та її вплив на формування теоретичних положень, їх відносну істинність на певний момент часу. Відносність істини визначається кількісними і якісними характеристиками множини знань, якими володіє той чи інший суб’єкт відносин, навичками їх застосування, інтелектуальним потенціалом та швидкістю розумових реакцій на певні ситуації. Відносність захисту інформації визначається відносністю знань суб’єкта захисту і відносністю загроз захисту, зокрема знань зловмисника.
У контексті визначення об’єктивності експертної оцінки організації захисту інформації, подолання суб’єктивізму, наприклад при визначенні стану інформаційної безпеки об’єкта, застосовується метод залучення кількох експертів. Але, як справедливо відмічають деякі дослідники, при цьому виникає питання: хто може вважатися висококваліфікованим експертом (кваліфікаційні ознаки експерта) і скільки таких експертів потрібно для істинності висновків, подолання суб’єктивізму? [1]
Наявність людського фактору має провідне значення в теорії організації захисту інформації. Через цей елемент теорія організації захисту інформації як система знань має предметний гіперзв’язок з такими фундаментальними гуманітарними науками, як соціологія та соціальна психологія.
За своєю природою організації захист інформації має комплексний характер, тобто, між окремими її складовими існує певний зв’язок. У межах теорії організації захисту інформації чітко визначився постулат стосовно того, що організація захисту інформації повинна враховувати не тільки складність технічних та технологічних компонентів системи, а й людський фактор, наявність можливих ресурсів, якими володіє суб’єкт захисту. При формуванні конкретної системи технічного захисту повинні враховуватися якісні індивідуально- та соціально-психологічні, моральні, етичні та інші особисті характеристики людей, яких задіяно в системі захисту інформації.
У даному аспекті визначається також напрям теорії щодо оцінки, характеристики зловмисників, які посягають на безпеку інформаційної системи. В цьому аспекті теорія захисту інформації має логічний зв’язок з кримінологією, її складовими вченнями: віктимологією та теорією формування соціально-психологічного портрету зловмисника.
Правовий напрям теорії захисту інформації також визначається необхідністю формування правил поведінки, відносин у так званому вертуальному чи кібер просторі. У даному аспекті теорія захисту інформації пов’язана з інформаційним правом та правовою інформатикою. Щодо формування методик виявлення та розкриття злочинів, що вчиняються за допомогою сучасних інформаційних технологій, теорія захисту інформації формує понятійний апарат такої інституції криміналістики, як криміналістична інформатика.
При формуванні системи захисту інформації виникає необхідність застосування методів інтеграції та агрегації складових системи, її підсистем, що стає можливим при адаптації до предметної області теорії алгоритмізації, моделювання, теорії систем.
Як приклад, що демонструє невраховування основних положень теорій організації, можна зазначити деякі нормативно-правові акти органів державної влади з питань інформаційної безпеки та захисту інформації щодо їх форми, назви, відповідності форми і змісту: Закон України “Про Концепцію Національної програми інформатизації”; Положення про технічний захист інформації в Україні (затверджене Постановою Кабінету Міністрів України від 09.09.1994 р. № 632) та ряд інших законодавчих та підзаконних нормативних актів центральних органів виконавчої влади. Зразу ж зазначимо, що важливість цих нормативних актів не принижується; вони, безсумнівно, мають велике значення в системі регулювання суспільних відносин. Ми звертаємо увагу на їх суспільно-когнітивний та праксеологічний аспекти.
Когнітивно-юридичний аналіз зазначених нормативно-правових актів з позицій накопичених наукових знань сьогодення свідчить про те, що в суспільстві вже сформувалося усвідомлення необхідності формування інституції суспільних відносин – інформаційної безпеки (захисту інформації). Але рівень ентропії, який існував на момент прийняття нормативно-правових актів у цій галузі суспільних відносин об’єктивно не дозволив сформувати їх зміст в обсязі, необхідному для практики. До того ж практика розвивалася, апробуючи юридичні норми за стандарти (алгоритми).
Зазначені нормативно-правові акти створили передумову формування умовно автономної теорії, в рамках якої повинен сформуватися специфічний понятійний апарат (термінологія, категорії), який би став стандартом для розуміння широким загалом суті нових соціальних явищ, у тому числі передачі інформації у формі знань в межах навчальної дисципліни при підготовці фахівців (кадрів) у сфері інформаційної безпеки, захисті інформації.
1. Див.: Организация и современные методы защиты информации / Под общ. ред. С. А. Диева, А. Г. Шаваева. – М.: Банковский деловой центр, 1998. – С.36.