Загальна теорія організації інформаційної безпеки щодо захисту інформації
в автоматизованих системах від злочинних посягань
Входження України в інформаційне суспільство потребує наукового обґрунтування його тенденцій, явищ, зокрема в контексті нового змісту такої складової суспільних відносин, як інформаційна безпека в умовах інформатизації стосовно захисту інформації в автоматизованих системах від злочинних посягань.
Критична маса науково-практичних знань, у тому числі на рівні експертних оцінок і системного аналізу емпіричного матеріалу історії розвитку інформаційних відносин, дозволяють сформувати елементи загальної теорії організації інформаційної безпеки щодо захисту інформації в автоматизованих системах.
Формування елементарної бази цієї теорії, з точки зору наукознавства, передбачає визначення методологічних аспектів та взаємозв’язків з іншими науковими дисциплінами.
На основі теорії критичної маси інформації визначається тенденція, що у своїй єдності за наукове явище, формується як міжгалузевий комплексний інститут (наукова дисципліна), що створюється на межі поєднання технічних і гуманітарних наук: правової інформатики, інформаційного права та тектології (теорії організації соціальних систем). Тобто, за природою свого походження інформаційна безпека має триєдиний зміст, що доповнюється і у перспективі буде доповнюватися спеціальними знаннями з інших галузей, підгалузей, інституцій технічних та суспільних наук.
З точки зору теорії організації і теорії систем, у їх науковому синтезі – теорії організації систем управління, формування цілеспрямованих, керованих систем (у тому числі будь-яких практичних заходів) – передбачає наявність визначення елементів системи та осмислення проблематики предметної галузі (її природи) в цілому.
Зазначимо, що елементами системи інформаційної безпеки щодо захисту інформації в автоматизованих системах від злочинних посягань виступають такі найважливіші чинники.
Елементи соціальної системи першого порядку:
перший – суб’єкти (окремі люди, їх спільноти, різного роду організації, суспільство, держава, інші держави, їх союзи, світове співтовариство);
другий – відносини між суб’єктами (суспільні відносини), що визначаються за певними об’єктивно існуючими критеріями - умовами.
Адміністративно-правові та кримінально-правові відносини виникають, змінюються і припиняються за умов волевиявлення суб’єкта, наділеного публічною владою для управління певною соціальною організацією (це, переважно, держава в особі органів публічної влади, керівники, посадові особи). При таких видах суспільних відносин переважає воля органу публічної влади, що покликана чітко визначити, сформулювати, закріпити у відповідній юридичній формі свою волю щодо суспільних відносин і створити механізм їх дотримання, переважно за допомогою методів переконання та примусу (адміністративно-правової чи кримінально-правової відповідальності).
Цивільно-правові відносини виникають, змінюються і припиняються на умовах юридичної незалежності і рівності сторін, при взаємному волевиявленні цих сторін (суб’єктів).
Третій чинник – об’єкт суспільних відносин – інформація в автоматизованих (комп’ютерних) системах.
Відповідно до положень теорії систем визначимо елементи другого порядку – підсистеми, що є складовими системи першого порядку.
Серед таких існує класифікація суб’єктів суспільних відносин, яку можна розширювати залежно від потреб дослідження предметної галузі. Наприклад, суб’єкти інформаційної безпеки можна поділити на декілька категорій стосовно: правового статусу регулювання відносин – суб’єкти регулювання відносин та суб’єкти учасників відносин; мети учасників правовідносин – правомірні учасники та правопорушники тощо.
Класифікація суспільних відносин стосовно безпеки інформації в автоматизованих (комп’ютерних) системах має багатоаспектний зміст, який визначається залежно від галузей знань. Проте умовно їх можна поділити на два загальні види: соціальні та технічні.
Визначальними для них є тектологічні критерії: організаційно-управлінські, організаційно-правові та організаційно-технічні (останні визначаються також і через категорію “інженерно - технічні”).
У суспільно-правовому розумінні правовідносини інформаційної безпеки щодо захисту інформації в автоматизованих системах мають забезпечувати нормальне (безпечне) функціонування інформаційних систем, технічну основу яких складають засоби комп’ютерної техніки та засновані на них технології.
Провідна системна мета правовідносин – захист суспільних інформаційних відносин від негативних впливів на них: соціогенних (соціальних), у тому числі криміногенних; техногенних (аварій, технічних катастроф); природних (стихійних) впливів (стихійних лих).
Важливим аспектом загальних положень інформаційної безпеки стосовно захисту інформації в автоматизованих системах є наукове визначення і формулювання принципів її реалізації.
З точки зору теорії організації систем соціального управління, зазначені принципи повинні мати чітку ієрархічну структуру, визначення за певними критеріями. Виходячи з положень природи інформаційної безпеки як тектологічного явища, пропонується поділ принципів за групами першого порядку та подальшими (підсистемні, субсистемні). До першого порядку можна віднести: організаційно-правові; організаційно-управлінські; організаційно-технічні.
Залежно від науково-практичних потреб організаційної діяльності (організовування) принципи інформаційної безпеки можуть поділятися на групи другого та подальшого порядків.
Важливим аспектом проблем теорії організації інформаційної безпеки є визначення її напрямів на засадах комплексного підходу методів захисту. Умовно можна визначити такі напрями організації захисту інформації в автоматизованих системах: правові, управлінські, інженерно - технологічні.
Формування будь-якої теорії у методологічному аспекті передбачає визначення методів пізнання предметної галузі та науково обгрунтованого впливу (організація, управління) на предметну галузь.
Аналіз науково-практичних джерел та емпіричного матеріалу дозволив сформулювати предметний метод інформаційної безпеки (“метод застосування методів”, метод-принцип, мета-метод) – це комплексне застосування управлінських, правових та інженерно-технологічних методів захисту інформації в автоматизованих системах.
На основі зазначених положень можна зробити висновок про існування потреби формування проблематики окремих аспектів (інститутів) загальної теорії та практики інформаційної безпеки щодо захисту інформації в автоматизованих системах. У зв’язку з цим існує можливість виділення двох частин теорії: загальної частини (фундаментальних, загальних положень) та особливої частини (відносин щодо окремих напрямів функцій на основі загальних положень).
На загальнотеоретичному рівні визначимося у наступних ключових особливих проблемах інформаційної безпеки стосовно організаційного аспекту захисту інформації в автоматизованих системах.
Першу групу складають інститути проблем:
1) доступу до інформації;
2) забезпечення цілісності інформації щодо загроз її порушення;
3) комплексного контролю за інформаційними ресурсами у певному середовищі їх функціонування відповідно до матеріальних носіїв інформації – людських (соціальних), людино-машинних (людино-технічних) та технологічних;
4) сумісності систем захисту інформації в автоматизованих системах з іншими системами безпеки відповідної організаційної структури;
5) виявлення можливих каналів несанкціонованого витоку інформації;
6) блокування (протидії) несанкціонованого витоку інформації;
7) виявлення, кваліфікації, документування, порушення стану інформаційної безпеки, визначення санкцій і притягнення винних до відповідальності.
На базі аналізу наявного матеріалу пропонується здійснити узагальнення на рівні теоретичних засад (основ) організації захисту інформації в автоматизованих системах як функції. Для цього організацію захисту інформації в автоматизованих системах умовно поділяємо на три рівні. За основу поділу визначено такий критерій, як середовище, в якому знаходиться інформація:
а) соціальне середовище (окрема людина, спільноти людей, держава);
б) інженерно-технологічне (машинне, апаратно-програмне, автоматичне) середовище;
в) людино - машинне (автоматизоване) середовище.
Кожен з рівнів середовища об’єктивно доповнює і взаємообумовлює інші рівні, утворюючи триєдину гіперсистему: організація стану інформаційної безпеки у просторі, колі осіб, на певний момент часу. В цій гіперсистемі визначальними є такі напрями (підрівні, субрівні), що визначаються на основі інтегративного підходу протилежностей (антиподів) – впливу і протидії:
1. Організація протидії небажаному для суб’єкта впливу за допомогою технічних засобів захисту, тобто засоби захисту інформації повинні бути адекватними засобам її добування (наприклад, розвідки: протидія розвідці (контррозвідка) технічними засобами, відповідними технічними засобами захисту; створення системи просторового зашумлення для приховування інформації у відповідному середовищі (акустично - звуковому); аудіо- відео- електромагнітному чи екранування засобів комп’ютерної (електронно-обчислювальної) техніки у приміщенні).
2. Організація протидії негативному впливу на учасників інформаційних відносин (наприклад, конкурентів – на персонал організації з метою отримання інформації; протидія підкупу персоналу; впровадження представника конкурента в організацію для отримання інформації з обмеженим доступом тощо). Стосовно цього фактору та деяких інших можна застосувати принцип, що визначено у народній мудрості: “Клин клином вибивають”.
3. У разі порушення функціонування інформаційної системи – визначення майнових втрат та їх мінімізація (наприклад, у випадку виявлення несанкціонованого доступу до інформації – визначення матеріальних і моральних втрат, за необхідності – взаємодія з державними правоохоронними та судовими органами щодо притягнення винних до відповідальності згідно з законодавством).