Економічна безпека підприємств, організацій та установ - Ортинський В. Л. - 6.8. Особливості захисту інформації в різних сферах діяльності

Захисту підлягає будь-яка документацій на інформація, оскільки неправомірне її використання може завдати збитків її власникові, користувачеві та іншим особам. Неправомірний доступ до інформаційних ресурсів може завдати втрат громадянам, організаціям (юридичним особам) та державі загалом, а також базі нормативно-технічних документів з ТЗІ. Метою захисту інформації має бути:

O запобігання відтоку, розкраданню, втраті, перекручуванню, підробці інформації;

O запобігання загрозам державної безпеки, безпеки особистості, суспільства загалом;

O запобігання несанкціонованим діям зі знищення, модифікації, копіювання, блокування інформації; запобігання іншим формам незаконного втручання в інформаційні ресурси та інформаційні бази даних і системи, забезпечення правового режиму документованої інформації як об'єкта власності;

O захист конституційних прав громадян на збереження особистої таємниці та конфіденційності персональних даних, що є в інформаційних системах і ресурсах суб'єктів і об'єктів різних форм власності;

O збереження державної таємниці, конфіденційності документованої інформації згідно з чинним законодавством;

O забезпечення прав суб'єктів в інформаційних процесах під час розроблення, виробництва та застосування інформаційних систем, технологій і засобів їх забезпечення.

Режим захисту інформації має передбачати поділ інформаційних ресурсів за такими критеріями:

O відносне віднесення відомостей до державної таємниці уповноваженими органами на основі Закону України "Про державну таємницю";

O конфіденційність документування інформації власником інформаційних ресурсів чи уповноваженою особою на основі Закону України "Про захист інформації*";

O збереження персональних даних на основі Закону України "Про захист інформації*".

Органи державної влади та організації, що несуть відповідальність за формування й використання інформаційних ресурсів, що підлягають захисту, а також органи та організації, що розробляють і застосовують інформаційні системи й технології для формування та використання інформаційних ресурсів з обмеженим доступом, керуються у своїй діяльності законодавством України.

Органи державної влади здійснюють контроль за дотриманням вимог щодо захисту інформації та експлуатації спеціальних програмно-технічних засобів захисту, вживають організаційних заходів захисту інформаційних систем, що опрацьовують інформацію, з обмеженим доступом в недержавних структурах. Організації, які опрацьовують інформацію з обмеженим доступом, що є власністю держави, створюють спеціальні служби для захисту інформації. Однак є й приватні структури, які займаються наданням послуг щодо захисту інформації.

Власник інформаційних ресурсів або уповноважені ним особи мають право здійснювати контроль за виконанням вимог до захисту інформації та забороняти чи призупиняти оброблення інформації у разі невиконання цих вимог, а також може звертатися в органи1 державної влади з приводу оцінювання правильності виконання та дотримання вимог захисту його інформації в інформаційних системах. Ці органи дотримуються вимог конфіденційності інформації та результатів перевірки.

Власник документів інформаційних систем, згідно з чинним законодавством, забезпечує умови доступу користувачів до інформації та порядок надання їм інформації. Підставою для забезпечення рівня захисту інформації є чинне законодавство України.

Власник документів має сповіщати власника інформаційних ресурсів та систем про всі факти порушення режиму захисту інформації.

Захист прав суб'єктів у сфері формування та користування інформаційними ресурсами, розроблення, виробництва та застосування інформаційних систем, технологій і засобів їх забезпечення здійснюється з метою запобігання правопорушенням, неправомірним діям, відновлення порушених прав та відшкодування заподіяної шкоди.

Захист прав суб'єктів у вказаній формі здійснюється судами з урахуванням специфіки правопорушення та завданих збитків. Для перегляду конфліктних ситуацій і захисту прав учасників у сфері формування, використання інформаційних ресурсів та їх технологій і засобів їх забезпечення можуть створюватись тимчасові і постійні третейські суди.

Донедавна Інтернет використовували практично кожна фірма, кожне підприємство незалежно від форми власності та виду господарської діяльності, переважно для опрацювання інформації простих протоколів:

O електронна пошта;

O передавання файлів;

O віддалений доступ.

Нині завдяки великому поширенню технологій www дедалі активніше застосовують засоби розподіленого опрацювання мультимедійної інформації. Одночасно з цим зростає обсяг даних, що опрацьовуються в середовищах клієнт/сервер і призначені для одночасного колективного доступу великої кількості абонентів. Розроблено кілька протоколів прикладного рівня, що забезпечують інформаційну безпеку таких додатків:

O електронна пошта (PEM, PGP і т. і.);

O www (Secure HTTP, SSL і т. п.);

O мережеве управління (SNMPv2 тощо).

Проте наявність засобів гарантування безпеки у базових протоколах сімейства TCP/IP дасть змогу здійснювати інформаційний обмін між широким спектром різних додатків і сервісних служб.

Засоби безпеки протоколу IP дають змогу управляти захистом всього ІР-трафіка від джерела інформації до її одержувача. Можливості управління безпекою ІР (ІР Security Management) в системі Windows 2000 дозволяють призначати і застосовувати політику безпеки ІР, яка гарантує захищений обмін інформацією для всієї мережі.

Механізм безпеки ІР є реалізацією протоколу безпеки ІР (ІР Security, IPSec), прозорою для користувача, адміністрування безпеки централізоване і поєднує гарантії безпечного обміну інформацією із легкістю застосування.

Захист мереж, заснованих на протоколі ІР, сьогодні є реальною потребою, має велике значення і зростає з кожним роком. Нині у взаємозв'язаному діловому світі мереж Інтернет, інтранет, екстранет (extränet - корпоративна мережа, складові частини якої зв'язані через відкриті мережі, наприклад через Інтернет), філіалів і віддаленого доступу у мережах передається важлива інформація, конфіденційність якої має бути дотримана. Однією з основних вимог до мережі з боку мережевих адміністраторів та інших професіоналів, що обслуговують і використовують мережі, є вимога гарантії, що цей трафік буде захищений:

O доступу суб'єктів, що не мають на це прав;

O перехоплення, перегляду або копіювання;

O модифікації даних під час шляху в мережі.

Ці проблеми характеризуються такими показниками:

O цілісність даних;

O конфіденційність;

O достовірність.

Одночасно захист від повторного використання (replay protection) запобігає прийняттю повторно надісланого пакету.

Схожі статті




Економічна безпека підприємств, організацій та установ - Ортинський В. Л. - 6.8. Особливості захисту інформації в різних сферах діяльності

Предыдущая | Следующая