USER-MASTER.ORG

Емельянов С. Л. Особливості інтегрального підхіду до проблеми інформаційної безпеки / С. Л. Ємельянов: Матеріали щорічної міжнародної науково-практичної конференції "Стратегія регіонального розвитку: формування та механізми реалізації". – ОРІДУ НАДУ, 31 жовтня 2007 р., м. Одеса. – 2007. – Т.1. – С.397–399.

Про актуальність проблеми інформаційної безпеки для держави, окремих юридичних та фізичних осіб свідчать чисельні факти нашого повсякдення: "касетні" скандали, кримінальні справи, де фігурують спеціальні технічні засоби негласного з’йому інформації, проникнення в закриті державні та приватні комп’ютерні системи та мережі, спотворення чи знищення комп'ютерної інформації, розкрадання і розголошення персональних відомостей з комп'ютерних баз і банків даних, шахрайства в сфері електронних платежів, розмах комп’ютерного пиратства і т.д.

Тому сьогодні інформаційна безпека розглядається як невід'ємна частина політичної, економічної, оборонної й інших складових національної безпеки України [1, 2].

Але аналіз останніх досліджень та публікацій [3-6] свідчить, що як науково-технічна проблема інформаційна безпека ще далека від теоретичного і практичного розрішення.

Існуюча нормативно-правова база декларативно розглядає інформаційну безпеку взагалі і захист інформації зокрема як інтегральну проблему, ефективне практичне рішення якої можливо тільки на основі комплексного сполучення різних по сфері дії, прояву, фізичній сутності, реалізації і т.д. механізмів. Однак саме така інтегральність (комплексність, междисциплінарность і т.д.) проблеми обумовлює основні труднощі в її теоретичному і практичному розв’язанні. Наприклад, практичні рішення даної проблеми погоджуються з видом інформації, що захищається, по режиму доступу (відкрита, конфіденційна, таємна), типами інформаційних об'єктів (автоматизована система, операційна система, локальний комп'ютер, локальна чи глобальна комп'ютерна мережа, комплексний об'єкт інформатизації, система банківських електронних платежів і т.д.), етапами їхнього життєвого циклу (розробка, виробництво, експлуатація, модернізація і ремонт) і іншими конкретними факторами.

З одного боку, такий "спеціалізований" підхід до проблеми інформаційної безпеки є обґрунтованим, тому що звуження предметної області дозволяє поглибити теоретичні дослідження, а конкретизація об'єкта захисту - побудувати адекватні моделі загроз і порушників, вибрати політику безпеки і запропонувати ефективні практичні методи і засоби захисту для конкретного об'єкта. Застосування такого підходу дозволяє вирішувати ряд часткових задач, що торкаються різних (спеціальних) аспектів інформаційної безпеки: організаційно-правових, технічних, криптографічних (математичних), програмно-технічніх, метрологічних, організаційно-режимних, виявлення і розкриття комп'ютерних злочинів і ін. Однак при такому підході можуть залишитися поза полю зору всі інші аспекти проблеми інформаційної безпеки.

На відміну від "спеціалізованого" при інтегральному підході, що знайшов розвиток у недавніх монографіях і публікаціях [7-9], в обов'язковому порядку розглядаються всі складові інформаційної безпеки, питома вага і стислий зміст яких для типової інформаційної системи (ІС) приведені на Рис.1, 2 відповідно.

Проілюструємо застосування інтегрального підхіду до інформаційної безпеки на прикладі побудови комплексної антивірусної системи захисту [10].

Правові методи тут засновані на нормотворчій, виконавчій та правозастосувальній діяльності, що вводять і підтримують адміністративну і кримінальну відповідальність за навмисне створення і поширення вірусів з метою нанесення збитку.

Рис. 1. Основні складові системи захисту інформації

Рис. 2. Побудова СЗІ

Наприклад, диспозиція ст. 361 КК України розглядала в якості однієї з об'єктивних сторін злочину поширення комп'ютерного вірусу шляхом застосування програмних і технічних засобів, призначених для незаконного проникнення в ІС. Однак залучення до відповідальності за таке правопорушення законодавець погоджував з настанням визначених наслідків – перекручування чи знищення комп'ютерної інформації або носіїв такої інформації.

Таке трактування істотно знижувало межі відповідальності за операції зі шкідливими програмами. Зокрема, було визначене покарання лише за поширення вірусів і залишені без уваги інші злочини – створення і використання шкідливих програм. Тому в 2004 р. КК був доповнений ст. 361– 1, що передбачає відповідальність за створення з метою використання, поширення чи збуту, а також поширення чи збут шкідливих програмних чи технічних засобів, призначених для несанкціонованого втручання в роботу електронно-обчислювальних машин (комп'ютерів), автоматизованих систем, комп'ютерних мереж чи мереж електрозв'язку.

Організаційні методи антивірусного захисту засновані на строгому дотриманні визначених технологічних операцій з носіями і джерелами інформації. Їхня спрямованість, повнота і твердість багато в чому залежать від призначення і характеру ІС, що експлуатується. Доцільно розробити і підтримувати правильні процедури придбання, установки програм і контролю за внесенням у них змін. Процедура приймання повинна бути досить тривалою і всебічною, у нею повинні бути включені спеціальні операції по провокуванню відомих вірусів.

Програмні методи нейтралізації вірусів сьогодні є найбільш поширеними. В даний час мається велике число антивірусних програмних засобів як вітчизняного, так і закордонного виробництва. Вони засновані на пошуку та подальшому вилученню у файлах та програмах відомих типів (кодів) вірусів.

Але потребують подальшого розвитку питання побудови універсальних та адаптивних програмних антивірусів, які здатні боротися з новими, раніше невідомими типами вірусів [10].

Таким чином, проблема антивірусної безпеки ІС, як і інформаційна безпека в цілому, повинні вирішуватися тільки інтегральним шляхом на основі сполучення правових організаційних та програмно-технічних механізмів захисту.

Література.

  1. Конституція України.
  2. Закон України "Про основи національної безпеки України" від 19.06.2003 р.
  3. Защита информации и безопасность компьютерных систем / В. В. Домарев. – К.: Изд-во "Диа Софт", 1999. – 480 с.
  4. І. Горбенко та ін. Системний аналіз переходу від концепції національної інформаційної політики до доктрини інформаційної безпеки України / www.security.ukrnet.
  5. В. А. Ліпкан, Ю. Є. Максименко, В. М. Желіховський. Інформаційна безпека України в умовах євроінтеграції: навчальний посібник.–К.: КНТ, 2006. – 280 с.
  6. А. О. Антонюк. Основи захисту інформації в автоматизованих системах: навчальний посібник. – К.: Видавн. дім "КМ Академія", 2003. – 244 с.
  7. Домарев В. В. Безопасность информационніх технологий. Методология создания систем защиты. – К.: ООО "ТИД ДС", 2001. – 688 с.
  8. Барсуков В. С., Водолазкий В. В. Современные технологии безопасности. М.: "Нолидж", 2000. – 496 с.
  9. Емельянов С. Л. Некоторые аспекты информационной безопасности как интегральной проблемы // Наукові записки Міжнародного гуманітарного університету, наук. збірник, вип.1., Одеса – 2004, С.165–170.
  10. Емельянов С. Л., Яковлев И. А. Принципы построения комплексной системы антивирусной защиты // Правове, нормативне та метрологічне забезпечення системи захисту інформації в Україні. Київ-2004 р., вип. 8, С.124-129.

Добавить комментарий

Защитный код
Обновить

Поиск