Прийнятий в 1991р. чотирма європейськими країнами (Франція, Німеччина, Великобританія і Нідерланди) документ "Критерії оцінки безпеки інформаційної технології" (ITSEC) розглядають наступні складові частини інформаційної безпеки:
– конфіденційність – захист від несанкціонованого доступу (отримання) інформації;
– цілісність – захист від несанкціонованої зміни або руйнування інформації;
– доступність – захист від несанкціонованого приховування інформації [7,с.10].
Саме ці критерії є сутністю проблеми інформаційної безпеки з чисто інформаційної точки зору.
Проблема інформаційної безпеки постала у 80-х роках, коли виник новий міжнародний економічний порядок. 1 грудня 1999р. ООН прийняла резолюцію "Досягнення у сфері інформатизації і телекомунікації в контексті міжнародної безпеки". Проблему інформаційної безпеки було визначено глобальною.
Дефініцію "інформаційна безпека" (ІБ) в українському законодавстві не можна вважати повністю визначеною. Немає єдиного методологічного підґрунтя, на базі якого можна визначити її сутність, потреби на межі використання.
Найперше визначення ІБ дає Закон України "Про Концепцію Національної програми інформатизації". ІБ є невід’ємною частиною економічної, оборонної та інших складових національної безпеки. Об’єктами ІБ є ІР, канали інформаційного обміну і телекомунікації, механізми забезпечення функціонування телекомунікаційних систем і мереж та інші елементи інформаційної інфраструктури країни [12,с.32].
Систему ІБ конкретизовано через визначення загроз та основних напрямів державної політики. Під загрозами національної безпеки в інформаційній сфері розуміють: прояви обмеження свободи слова та доступу громадян до інформації; поширення засобами масової інформації культу насильства, жорстокості, порнографії, комп’ютерна злочинність та комп’ютерний тероризм; розголошення інформації, яка становить державну та іншу, передбачену законом таємницю, а також конфіденційної інформації, що є власністю держави або спрямована на забезпечення потреб національних інтересів суспільства і держави; намагання маніпулювати суспільною свідомістю, зокрема, шляхом поширення недостовірної, неповної або упередженої інформації.
Основним напрямом державної політики з питань національної безпеки в інформаційній сфері визначено: забезпечення інформаційного суверенітету України; удосконалення державного регулювання розвитку інформаційної сфери через створення нормативно-правових та економічних передумов для розвитку національної інформаційної інфраструктури та ресурсів, упровадження новітніх технологій у цій сфері, наповнення внутрішнього та світового інформаційного простору достовірною інформацією про Україну; активне залучення засобів масової інформації до боротьби з корупцією, зловживаннями службовим становищем, іншими явищами, які загрожують національній безпеці України, недопущення неправомірного втручання органів державної влади, місцевого самоврядування у діяльність засобів масової інформації, дискримінації в інформаційній сфері й переслідування журналістів за політичні позиції, вжиття комплексних заходів щодо захисту національного інформаційного простору та протидії монополізації інформаційної сфери України.
Політика інформаційної безпеки формується на основі інформаційного й технічного обстеження ІС, аналізу інформаційних ризиків і оцінки захищеності інформації, відповідно з вимогами Українських нормативно-управлінських документів, а також рекомендацій міжнародних стандартів в області захисту інформації (наприклад ISO 17799), що є особливо важливим для підприємств, які взаємодіють з іноземними партнерами.
Концепцією національної безпеки України закріплено, що основними загрозами в інформаційній сфері України є: невиваженість державної політики, відсутність необхідної інфраструктури в інформаційній сфері, повільність входження України до світового інформаційного простору, інформаційна експансія з боку інших держав, витік інформації, яка складає державну і іншу передбачену законом таємницю [17,с.23]. Слід відмітити, що законодавство враховує не всі фактори, що впливають на безпеку інформаційної сфери. Із Концепції випливає той факт, що більшість основних загроз ІБ походить від діяльності органів публічної влади України (суб’єктом державної політики, невиваженість якої називається загрозою є безумовно українська держава, цензура як правило, також запроваджується державою і її органами). Таким чином треба розмежовувати безпосередні загрози ІБ та засоби забезпечення цієї безпеки, які спрацьовують лише при виникненні загроз.
Для концепцій ІБ країн СНД головною особливістю є те, що вони будуються не на об’єктно-цільовій базі, а на базі "загроз та інтересів", яка веде до недієздатності самої концепції. Адже такі категорії як "загрози" та "інтереси" є надто аморфними і суб’єктивними для того, щоб їх викладати лаконічною і формалізованою мовою нормативно-правових актів.
Досвід західноєвропейських країн, певні елементи концепції ІБ Росії свідчать, що більш багатообіцяючим з точки зору прогресу є інший елемент ІБ – "позитивний", який охоплює комплекс заходів щодо підвищення рівня самої безпеки. Цей елемент ІБ охоплює значно широкий спектр суспільних відносин.
Основними принципами забезпечення інформаційної безпеки держави є:
– пріоритет прав людини;
– верховенство права;
– пріоритет договірних засобів у вирішенні інформаційних конфліктів;
– адекватність заходів захисту національних інтересів держави в інформаційній сфері реальним та потенційним загрозам;
– громадський контроль за діяльністю органів державної влади, що входять до системи забезпечення ІБ держави;
– додержання балансу інтересів особи, суспільства, держави, їх взаємна відповідальність;
– чітке розмежування повноважень та функцій органів державної влади в системі забезпечення ІБ [10, с. 47].
Успіх у сфері ІБ може принести тільки комплексний підхід, що поєднує заходи чотирьох рівнів:
– законодавчого;
– адміністративного;
– процедурного;
– програмно-технічного.
Законодавчий рівень є найважливішим для забезпечення ІБ. Необхідно всіляко підкреслювати важливість проблеми ІБ; сконцентрувати ресурси на найважливіших напрямах досліджень; скоординувати освітню діяльність; створити і підтримувати негативне відношення до порушників ІБ – все це функції законодавчого рівня.
Українські правові акти в більшості своїй мають обмежувальну дію. У законах не передбачена відповідальність державних органів за порушення ІБ. Потрібно розробити механізми реалізації прав громадян на інформацію загального використання, розробити регламент інформаційного обміну для органів державної влади і управління, методи і засоби оцінки ефективності систем і засобів ІБ і їх сертифікація. Але самі по собі ліцензування і сертифікація не забезпечують безпеки. Реальність така, що в Україні в забезпеченні ІБ на допомогу держави розраховувати не доводиться.
Головне завдання заходів адміністративного рівня – сформувати програму робіт в області інформаційної безпеки і забезпечити її виконання через виділення необхідних ресурсів і контроль стану справ.
Основою програми є політика безпеки, що відображає підхід організації до захисту своїх інформаційних активів.
Заходи процедурного рівня орієнтовані на людей (а не на технічні заходи) і підрозділяються на наступні види: управління персоналом; фізичний захист; підтримка працездатності; реагування на порушення режиму безпеки; планування відновлюваних робіт. На цьому рівні застосовані важливі принципи безпеки:
– безперервність у просторі та часі;
– розподіл обов’язків;
– мінімізація привілеїв.
Програмно-технічні заходи спрямовані на контроль комп’ютерного устаткування, програм і даних. Заходи безпеки поділяють на: превентивні, які перешкоджають порушенням ІБ; заходи по виявленню порушень; ті що локалізують, звужують зону дії порушень; заходи по відновленню режиму безпеки. До таких заходів відносяться: тунелювання, екранування, управління, забезпечення відмовостійкості і безпечного відновлення тощо, але ця сфера є досить специфічною і не відноситься до теми даної роботи [17,с.23].
Необхідно відмітити, що порушенню ІБ сприяє безсистемність захисту інформації і слабка координація дій по захисту інформації в загальнодержавному масштабі. На сучасному етапі в Україні немає реальних гарантів ІБ, відсутній комплекс нормативно-правових актів відносно захисту ІР і інформаційної інфраструктури. Невирішеність проблем ІБ призводить до уповільнення процесів становлення в Україні дійсно інформаційного суспільства, створює реальну загрозу інформаційної експансії інших країн. Державна політика забезпечення ІБ повинна бути відкритою і передбачати інформування суспільства про діяльність державних органів і суспільних інститутів у сфері ІБ з урахуванням обмежень, встановлених чинним законодавством України [22,с.267]. Вона має виходити з принципу безумовної правової рівності всіх суб’єктів інформаційних відносин незалежно від їхнього політичного, соціального та економічного статусу, ґрунтування на обов’язковому забезпеченні прав громадян і організацій на вільне створення, пошук, отримання, накопичення, зберігання, перетворення і поширення інформації у будь-який законний спосіб.
Стратегічним має бути пріоритетний розвиток вітчизняних сучасних якісних інформаційних і телекомунікаційних технологій, виробництво технічних і програмних засобів, здатних забезпечити удосконалення національних телекомунікаційних мереж та їх підключення до глобальних інформаційних мереж. Державна політика повинна сприяти розробці та впровадженню новітніх інформаційних технологій, конкуренції, створенню сприятливих умов та економічній підтримці розвитку об’єктів національного інформаційного простору України, захисту прав суб’єктів всіх форм власності на ці об’єкти. Необхідно визначити серед об’єктів національного інформаційного простору України об’єкти стратегічного значення і закріпити це законодавче.