Інформація як об’єкт захисту

Возненко А Д.

Коваль Ю. О.

Стасюк О. І.

ОСНОВИ ЗАХИСТУ ІНФОРМАЦІЇ

А

УДК 604.056.5

Возненко А. Д. Стасюк О. І, Коваль Ю. О.

Основи захисту інформації.

Навчальний посібник для студентів 1 курсу всіх спеціальностей

Зміст

Основні поняття 5

1.1. Інформація як об’єкт захисту 5

1.2. Визначення, мета, завдання захисту інформації 11

Національні стандарти щодо захисту інформації 16

2.1.Загальні властивості інформації 16

2.2. Цінність та класифікація інформації 23

2.3. Інформація як об’єкт власності 25

2.4. Інформація як комерційна таємниця 30

2.5. Проблеми захисту інформації 43

2.6.Державна політика забезпечення інформаційної безпеки 50

2.7.Законодавчі акти і нормативні документи щодо захисту інформації 55

Організаційно-технічні заходи щодо захисту інформації 62

3.1. Класифікація засобів забезпечення безпеки автоматизованих систем 62

3.2. Організаційні заходи 64

3.3. Служба безпеки 68

3.4 Технічне забезпечення безпеки інформації 76

3.5. Технічні канали витоку інформації 80

3.6. Охоронні системи 84

3.7. Захист машинних носіїв інформації 94

Політика безпеки 96

4.1. Поняття політики безпеки 96

4.2. Види політик безпеки 105

Механізми захисту інформації від несанкціонованого

Доступу 113

5.1. Керування доступом 113

5.2. Ідентифікація та автентифікація 122

Системи криптографічного захисту інформації 142

6.1. Історичні відомості 142

6.2. Базові поняття криптографії 152

6.3. Шифрування в каналах зв’язку 163

6.4. Цифровий підпис 172

Стандарти із захисту інформації 177

7.1. Проблеми створення стандартів 177

7.2. Огляд стандартів із захисту інформації 183

7.3. Державний стандарт (Критерій) України із захисту інформації 197

Література 200

ОСНОВНІ ПОНЯТТЯ

Інформація як об’єкт захисту

Поняття “інформація з обмеженим доступом” є частковим від загального поняття “інформація”. Тому розкриємо зміст останнього.

Найбільш повна характеристика поняття “інформація” подається у визначеннях, закріплених у нормативно-правових актах. Загалом поняття “інформація” зустрічається у багатьох законодавчих та підзаконних нормативно-правових актах. Це, по-перше, зумовлено особливостями розвитку національного законодавства, яке формувалося, виходячи із необхідності термінового врегулювання багатьох сфер суспільного життя. По-друге, інформаційні відносини та інформація як їх предмет є складовою різних видів суспільних відносин. Наприклад, інформація може бути товаром, тобто об’єктом цивільно-правових відносин, обіг управлінської інформації є предметом регулювання адміністративного права тощо. Тому для повного з’ясування змісту поняття “інформація” доцільно проаналізувати існуючі нормативні визначення та класифікації цього поняття.

Основу правового статусу інформації визначає Закон України “Про інформацію”.

Під інформацією у ст.1 Закону України “Про інформацію” розуміється документовані або публічно оголошені відомості про події та явища, що відбуваються у суспільстві, державі та навколишньому природному середовищі.

Цивільний кодекс України дещо коригує визначення поняття “ інформація ”: документовані або публічно оголошені відомості про події та явища, що мали або мають місце у суспільстві, державі та навколишньому середовищі. У визначенні акцентується увага на динаміці подій та явищ, відомості про які є інформацією.

Важливим для розкриття змісту поняття “ інформація ” є визначення, закріплене Законом України “Про захист економічної конкуренції”: “Інформація – відомості в будь-якій формі й вигляді та збережені на будь-яких носіях (у тому числі листування, книги, помітки, ілюстрації (карти, діаграми, органіграми, малюнки, схеми тощо), фотографії, голограми, кіно-, відео-, мікрофільми, звукові записи, бази даних комп’ютерних систем або повне чи часткове відтворення їх елементів), пояснення осіб та будь-які інші публічно оголошені чи документовані відомості”. У даному визначенні акцентується увага на різновидах інформації.

В загальному випадку під інформацією можна розуміти сукупність деяких відомостей щодо стану будь-якої матеріальної системи (особи, організації, предмету, процесу, події і т.д.), що призначена для передачі, обробки, зберігання або безпосереднього використання.

Відповідно до ст.28 Закону України “Про інформацію” інформація поділяється на відкриту інформацію та інформацію з обмеженим доступом.

Інформація з обмеженим доступом – це відомості конфіденційного або таємного характеру, правовий статус яких передбачений законодавством України, які визнані такими відповідно до встановлених юридичних процедур і право на обмеження доступу до яких надано власнику таких відомостей.

Інформація з обмеженим доступом за своїм правовим режимом поділяється на конфіденційну і таємну. Слід зазначити, що у багатьох підзаконних нормативно-правових актах використовується термін “конфіденційна інформація”.

Конфіденційна інформація – це відомості, які знаходяться у володінні, користуванні або розпорядженні окремих фізичних чи юридичних осіб і поширюються за їх бажанням відповідно до передбачених ними умов.

Таємна інформація – це інформація, що містить відомості, які становлять державну та іншу передбачену законом тємницю (банківську, комерційну, службову, професійну, адвокатську тощо), розголошення якої завдає шкоди особі, суспільству і державі.

Конфіденційну інформацію можна поділяти на таку яка є власністю держави, і конфіденційну інформацію, яка не належить державі.

Правовий режим конфіденційної інформації, що є власністю держави, у значній мірі визначається положеннями «Інструкції про порядок обліку, зберігання і використання документів, справ, видань та інших матеріальних носіїв інформації, які містять конфіденційну інформацію, що є власністю держави», затвердженої постановою Кабінету Міністрів України від 27 листопада 1998 р. №1893.

Відповідно до даної Інструкції Переліки конфіденційної інформації, що є власністю держави і якій надається гриф обмеження доступу " Для службового користування " (далі – гриф " Для службового користування"), розробляються і вводяться в дію міністерствами, іншими центральними органами виконавчої влади, Радою міністрів Автономної Республіки Крим, обласними, Київською та Севастопольською міськими державними адміністраціями, в яких утворюються або у володінні, користуванні чи розпорядженні яких перебувають ці відомості.

Таємна інформація має бути передбачена законом. До видів таємної інформації, які передбачені чинним законодавством, відноситься, насамперед: державну, комерційну та банківську таємницю.

Особливості правового статусу державної таємниці визначаються Законом України “Про державну таємницю” відповідно до якого д ержавна таємниця – вид таємної інформації, що охоплює відомості у сфері оборони, економіки, науки і техніки, зовнішніх відносин, державної безпеки та охорони правопорядку, розголошення яких може завдати шкоди національній безпеці України та які визнані такою (державною таємницею) у порядку, встановленому Законом України “Про державну таємницю”, і підлягають охороні державою.

Статтею 505 Цивільного кодексу України визнано, що комерційна таємниця – це інформація, яка є секретною в тому розумінні, що вона в цілому чи в певній формі та сукупності її складових є невідомою та не є легкодоступною для осіб, які звичайно мають справу з видом інформації, до якого вона належить, у зв’язку з цим має комерційну цінність та була предметом адекватних існуючим обставинам заходів щодо збереження її секретності, вжитих особою, яка законно контролює цю інформацію. Комерційною таємницею можуть бути відомості технічного, організаційного, комерційного, виробничого та іншого характеру, за винятком тих, які відповідно до закону не можуть бути віднесені до комерційної таємниці.

Правовий статус банківської таємниці визначається Законом України «Про банки і банківську діяльність», зокрема главою 10 “Банківська таємниця та конфіденційність інформації”, а також Цивільним кодексом України.

Банківська таємниця –це інформація щодо діяльності та фінансового стану клієнта, яка стала відомою банку у процесі обслуговування клієнта та взаємовідносин з ним чи третім особам при наданні послуг банку і розголошення якої може завдати матеріальної чи моральної шкоди клієнту.

Одним із специфічних видів інформації з обмеженим доступом є конфіденційна інформація про особу. ЇЇ правовий статус визначається Законом України “Про інформацію”, а офіційне тлумачення викладене у Рішенні Конституційного Суду України №5-зп від 30 жовтня 1997 року (справа К.Г.Устименка). Зокрема, зазначається, що частину четверту статті 23 Закону України " Про інформацію" треба розуміти так, що забороняється не лише збирання, а й зберігання, використання та поширення конфіденційної інформації про особу без її попередньої згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту, прав та свобод людини.

До конфіденційної інформації про особу, зокрема, належать такі свідчення про особу: освіта, сімейний стан, релігійність, стан здоров’я, дата і місце народження, майновий стан та інші персональні дані.

На визначення змісту конфіденційної інформації про особу спрямовані й інші нормативно-правові акти, зокрема органів судової влади. Аналіз їх матеріалів дає підстави віднести до конфіденційної інформації про особу, також дані про: інтимні сторони життя, захворювання, неблаговидні вчинки, злочинну діяльність тощо.

Розглядаючи інформацію, як об’єкт захисту, звернемо також увагу на наступні поняття.

Повідомлення – це форма представлення інформації (текст, мова, зображення).

Носій інформації (або джерело інформації) – це об’єкт, що зберігає повідомлення (форма представлення повідомлення), а саме:

- матеріально-речовинні носії (паперові документи, носії електронної інформації, вироби, речовини, матеріали і т.д.);

- сигнали (цифрові або аналогові);

- фізичні поля та випромінювання (електромагнітні та акустичні);

- людина;

що реалізують текст, мову або зображення.

Об’єктом противоправних спрямувань (або об’єктом захисту) є людина, процес документообігу, інформаційно-телекомунікаційна система (далі – ІТС) та об’єкт інформаційної діяльності (далі – ОІД).

Інформаційно-телекомунікаційна система (комп’ютерна або автоматизована система) – це сукупність інформаційних та телекомунікаційних технологій, які у процесі обробки інформації діють як єдине ціле.

Об'єкт інформаційної діяльності – це інженерно-технічна споруда з визначеною контрольованою зоною де здійснюється адміністративна, фінансово-економічна, виробнича, науково-технологічна та інша діяльність, пов'язана з інформацією, що підлягає захисту від витоку технічними каналами та спеціальних впливів (будівлі, приміщення, транспортні засоби в яких обробляється мовна інформація).

Контрольована зона – це той периметр (територія) біля ОІД, в рамках якого при використанні режимних заходів безпеки унеможливлюється наявність та неконтрольовані дії потенційного противника (порушника).