Однією з відмінних, визначних ознак сучасного світового соціального прогресу є зростання значимості інформації в суспільних відносинах. Суспільні інформаційні відносини постійно розвиваються, особливо з удосконаленням техніки та технологій збирання, обробки, зберігання та передавання інформації. Зазначені процеси визначають сутність інформаційного суспільства. Поряд із позитивними здобутками в інформаційному суспільстві виникли соціальні проблеми криміногенного характеру, які потребують вирішення. Захист інформації – це сукупність організаційних, технічних та правових заходів, спрямованих на запобігання нанесенню збитків інтересам власника інформації.

Всі заходи та засоби по захисту інформації можна поділити на декілька груп:

• закони України «Про інформацію», «Про захист інформації в інформаційно-телекомунікаційних системах», «Про державну таємницю», «Про захист персональних даних», «Про авторське право і суміжні права»

• статті 361 - 363 Кримінального кодексу, в яких йде мова про пошкодження інформаційних систем. (Закон України про "Захист

інформації в автоматизованих системах")

Юридичні заходи передбачають наявність законів, які визначають відповідальність осіб, що знищують,

пошкоджують інформацію, використовують її без належного дозволу, або сприяють цьому.

Адміністративні (організаційні) - це заходи, що регламентують

процес функціонування системи, використання її ресурсів, діяльність персоналу, тощо.

До них відносяться:

розробка правил обробки інформації

проектування будівель для обробки інформації

з урахування впливу зовнішнього середовища

організація пропускної системи, організація

обліку

відбір персоналу

зберігання і знищення документів та носіїв

інформації з обмеженим доступом

організація розподілу зберігання паролів,

криптографічних ключів

сертифікація технічних і програмних засобів

Фізичні заходи захисту включають охорону приміщень, техніки та персоналу, встановлення на дверях приміщень

кодових замків, систем санкціонованого доступу тощо.

Технічні засоби передбачають використання пристроїв, які зменшують ймовірність руйнування та

викрадання інформації. Серед найбільш відомих можна назвати:

блоки безперебійного живлення (UPS), які дозволяють

працювати на ЕОМ деякий час після виключення електричного струму

спеціальні комп'ютери разом із специфічним програмним забезпеченням (брандмауери), які обмежують або

фільтрують доступ до інформаційної системи із глобальних мереж

електронні картки

Програмні засоби використовуються для :

визначення та обмеження прав користувачів по доступу до системи

шифрування та розшифрування інформації, що зберігається

фіксування дій користувачів доступу до системи або інформації

відновлення знищеної інформації на носіях, якщо знищення відбулось на

логічному, а не фізичному рівні, тощо

Подібні програми можуть входити у стандартний комплект поставки того чи іншого програмного продукту загального

призначення, або розроблятися під конкретне робоче місце проектувальниками

інформаційних систем.

Технологічні засоби передбачають включення у технологічний процес спеціальних операцій, які

будуть перешкоджати та запобігати пошкодженню, руйнуванню та витоку інформації

Такі засоби повинні надавати можливість відновити інформацію і програмні засоби з мінімальними

витратами часу і праці

Технологічні засоби тісно пов'язані із програмними. Більшість технологічних операцій по захисту

інформації вимагають роботи спеціальних програм

Одним з напрямків захисту інформації в інформаційних системах є технічний захист

інформації (ТЗІ).

У свою чергу, питання ТЗІ розбиваються на два великих класи завдань: захист інформації від

несанкціонованого доступу і захисту інформації від витоку технічними каналами.

Захист від НСД може здійснюватися в різних

складових інформаційної системи:

Для захисту інформації на рівні прикладного й

системного ПЗ використовуються:

Для захисту інформації на рівні апаратного

забезпечення використовуються:

прикладне й системне ПЗ;

апаратна частина серверів і робочих станцій;

комунікаційне устаткування й канали зв'язку;

периметр інформаційної системи.

системи розмежування доступу до інформації;

системи ідентифікації й аутентифікации;

системи аудита й моніторингу;

системи антивірусного захисту.

апаратні ключі; системи сигналізації; засоби блокування

пристроїв і інтерфейсів вводу-виводу інформації.

У комунікаційних системах використовуються наступні засоби мережевого захисту інформації:

міжмережеві екрани (Firewall) — для блокування атак із зовнішнього середовища (Cisco PIX Firewall, Symantec Enterprise FirewallTM, Contivity Secure Gateway і Alteon Switched Firewall від компанії Nortel Networks). Вони управляють проходженням мереженого трафіка відповідно до правил (policies) безпеки. Як правило, міжмережеві екрани встановлюються на вході мережі й розділяють внутрішні (частки) і зовнішні (загального доступу) мережі;

системи виявлення вторгнень (IDS - Intrusion Detection System) — для виявлення спроб несанкціонованого доступу як ззовні, так і усередині мережі, захисту від атак типу "відмова в обслуговуванні" (Cisco Secure IDS, Intruder Alert і NetProwler від компанії Symantec). Використовуючи спеціальні механізми, системи виявлення вторгнень здатні запобігати шкідливим діям, що дозволяє значно знизити час простою в результаті атаки й витрати на підтримку працездатності мережі;

засоби створення віртуальних приватних мереж (VPN - Virtual Private Network) — для організації захищених каналів передачі даних через незахищене середовище (Symantec Enterprise VPN, Cisco IOS VPN, Cisco VPN concentrator). Віртуальні приватні мережі забезпечують прозоре для користувача з'єднання локальних мереж, зберігаючи при цьому конфіденційність і цілісність інформації шляхом її дінамічного шифрування;

засоби аналізу захищеності - для аналізу захищеності корпоративної мережі й виявлення можливих каналів реалізації погроз інформації (Symantec Enterprise Security Manager, Symantec NetRecon). Їхнє застосування дозволяє запобігти можливим атакам на корпоративну мережу, оптимізувати витрати на захист інформації й контролювати поточний стан захищеності мережі.

Найбільш надійними являються криптографічні методи захисту інформації

Криптографічний захист – це захист даних за допомогою криптографічного перетворення: кодування та шифрування. Для кодування використовуються кодувальні книги і таблиці, що вміщують набори часто використовуваних фраз, кожній з

яких відповідає кодове слово. Для декодування використовується така ж книга.

Другий тип криптографічного перетворення – шифрування – представляє собою процедуру (алгоритм) перетворення

символів вихідного тексту до форми, недоступної для розпізнання (зашифрований текст).

Під шифром розуміють сукупність перетворень множини відкритих даних на множину зашифрованих, заданих

алгоритмом криптографічного перетворення. В шифрі завжди розрізняють два елемента:

алгоритм і ключ.

Сучасна криптографія містить у собі чотири великих розділи:

Симетричні криптосистеми

Криптосистеми з відкритим

ключем

Системи електронного

підпису

Керування ключами

Шифрування – процес перетворення: вихідний текст, що носить також назву відкритого тексту, заміняється шифрованим текстом.

Дешифрування – зворотний шифруванню процес. На основі ключа

шифрований текст перетворюється у вихідний. Ключ – інформація, яка необхідна для безперешкодного шифрування і дешифрування.

Криптографічна система являє собою сімейство перетворень відкритого тексту. Члени цього сімейства індексуються, чи позначаються символом k; параметр k є ключем. Простір К – це набір можливих значень ключа.

Звичайно ключ являє собою послідовний ряд букв і алфавіту.

Всі перераховані методи інформаційної безпеки реалізуються за допомогою основних засобів захисту: фізичних , апаратних , програмних , апаратно-програмних , криптографічних , організаційних , законодавчих та морально-етичних .

Фізичні засоби захисту призначені для зовнішньої охорони території об'єктів та захисту компонентів інформаційної системи організації .

Апаратні засоби захисту - це пристрої , вбудовані в блоки інформаційної системи ( сервера , комп'ютери і т.д.). Вони призначені для внутрішнього захисту елементів обчислювальної техніки та засобів зв'язку

Програмні засоби захисту призначені для виконання функцій захисту інформаційної системи за допомогою програмних засобів ( Антивірусний захист, міжмережеві екрани і т.д.)

Апаратно -програмні засоби захисту .

Криптографічні засоби - засоби захисту інформації, пов'язані із застосуванням інструментів шифрування.

Організаційні засоби - заходи регламентують поведінку співробітника організації .

Законодавчі засоби - правові акти , які регламентують правила використання, обробки та передачі інформації і встановлюють міри відповідальності .

Морально-етичні засоби - правила і норми поведінки співробітників в колективі.

Інформаційна сфера відіграє все зростаючу роль у забезпеченні безпеки всіх сфер життєдіяльності суспільства, тому захист інформації є одним з важливих напрямків

діяльності держави.

Список нормативних документів щодо інформаційної безпеки в Україні (Актуальні зміни на сайті Державної служби спецзв'язку та захисту

інформації: http://www.dstszi.gov.ua)

Закони України:

• Закон України «Про інформацію» від 02.10.1992 № 2657-XII — zakon.rada.gov.ua

• Закон України «Про захист інформації в інформаційно-телекомунікаційних системах» від 05.07.1994 № 80/94-ВР — zakon.rada.gov.ua

• Закон України «Про державну таємницю» від 21.01.1994 № 3855-XII — zakon.rada.gov.ua

• Закон України «Про захист персональних даних» від 01.06.2010 № 2297-VI — zakon.rada.gov.ua

Постанови КМУ:

• Постанова Кабінету міністрів України «Про затвердження Правил забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах» від 29.03.2006 №373 — zakon.rada.gov.ua

• Постанова Кабінету міністрів України «Про затвердження Інструкції про порядок обліку, зберігання і використання документів, справ, видань та інших матеріальних носіїв інформації, які містять конфіденційну інформацію, що є власністю держави» від 27 листопада 1998 р. №1893 — zakon.rada.gov.ua

Нормативні документи в галузі технічного захисту інформації (НД ТЗІ)[1] та державні стандарти України (ДСТУ) стосовно створення і функціонування КСЗІ:

• НД ТЗІ 3.7-003-05 Порядок проведення робіт із створення комплексної системи захисту інформації в інформаційно-телекомунікаційній системі

• Державний стандарт України. Захист інформації. Технічний захист інформації. Порядок проведення робіт. ДСТУ 3396.1-96

• НД ТЗІ 1.4-001-2000 Типове положення про службу захисту інформації в автоматизованій системі

• НД ТЗІ 2.5-004-99 Критерії оцінки захищеності інформації в комп’ютерних системах від несанкціонованого доступу

• НД ТЗІ 2.5-005-99 Класифікація автоматизованих систем і стандартні функціональні профілі захищеності оброблюваної інформації від несанкціонованого доступу

• НД ТЗІ 2.5-008-02 Вимоги із захисту конфіденційної інформації від несанкціонованого доступу під час оброблення в автоматизованих системах класу 2

• НД ТЗІ 2.5-010-03 Вимоги до захисту інформації WEB-сторінки від несанкціонованого доступу

• НД ТЗІ 3.7-001-99 Методичні вказівки щодо розробки технічного завдання на створення комплексної системи захисту інформації в автоматизованій системі

• НД ТЗІ 3.6-001-2000 Технічний захист інформації. Комп’ютерні системи. Порядок створення, впровадження, супроводження та модернізації засобів технічного захисту інформації від несанкціонованого доступу

• Автоматизированные системы. Требования к содержанию документов РД 50-34.698

• Техническое задание на создание автоматизированной системы. ГОСТ 34.602-89

• НД ТЗІ 1.1-002-99 Загальні положення щодо захисту інформації в комп'ютерних системах від несанкціонованого доступу

Використані джерела інформації:

Богуш В.М., Довидьков О.А., Кривуца В. Г. Теоретичні основи захищених інформаційних технологій. Навч. посібник. – К.: ДУІКТ, 2010. – 454 с.

Кузьменко Б.В., Чайковська О.А. Захист інформації. Навчальний посібник. Ч.1. (Організаційно-правові засоби забезпечення інформаційної безпеки) - К., 2009. – 83 с.

Соколов В. Ю. Інформаційні системи і технології: Навчальний посібник. - К .: ДУІКТ, 2010. - 138 с.

Чунарьова А.В., Зюбіна Р.В. Проблеми захисту інформації в сучасних інформаційно-комунікаційних системах та мережах [Електронний ресурс]. – Режим доступу: http://www.rusnauka.com/6_PNI_2011/Informatica/4_80227.doc.htm. – Назва з екрану.

Швець О.Ю., Лазаренко В.В. Аналіз методів і засобів захисту інформації та сучасних вимог до них [Електронний ресурс]. – Режим доступу: http://www.rusnauka.com/25_DN_2008/Informatica/28842.doc.htm. – Назва з екрану.

Захист інформації - українське законодавство у сфері захисту інформації [Електронний ресурс]. – Режим доступу: http://library.detut.edu.ua/index.php/zahustinformacii. – Назва з екрану.