АвтоАвтоматизацияАрхитектураАстрономияАудитБиологияБухгалтерияВоенное делоГенетикаГеографияГеологияГосударствоДомДругоеЖурналистика и СМИИзобретательствоИностранные языкиИнформатикаИскусствоИсторияКомпьютерыКулинарияКультураЛексикологияЛитератураЛогикаМаркетингМатематикаМашиностроениеМедицинаМенеджментМеталлы и СваркаМеханикаМузыкаНаселениеОбразованиеОхрана безопасности жизниОхрана ТрудаПедагогикаПолитикаПравоПриборостроениеПрограммированиеПроизводствоПромышленностьПсихологияРадиоРегилияСвязьСоциологияСпортСтандартизацияСтроительствоТехнологииТорговляТуризмФизикаФизиологияФилософияФинансыХимияХозяйствоЦеннообразованиеЧерчениеЭкологияЭконометрикаЭкономикаЭлектроникаЮриспунденкция

У разі порушення функціонування інформаційної системи — визначення майнових втрат та мінімізація їх

Читайте также:
  1. A. Порушення щодо заявника кримінальної справи
  2. I. Визначення здібностей школяра шляхом спостереження.
  3. А) визначення повинно бути співмірним; б) визначення не повинно робити кола; в) визначення має бути чіткім.
  4. Адміністративна відповідальність за екологічні правопорушення
  5. Адміністративні правопорушення в галузі охорони праці та здоров'я населення. Ведення адвокатом таких справ.
  6. Адміністративні правопорушення в галузі охорони природи, використання природних ресурсів, охорони пам'яток історії та культури. Ведення адвокатом таких справ.
  7. Адміністративні правопорушення у сільському господарстві. Ведення адвокатом такшґсправ.
  8. Адміністративні правопорушення, що посягають на власність. Ознаки відмежування їх від злочинів проти власності. Ведення адвокатом таких справ.
  9. Адміністративні правопорушення, що посягають на встановлений порядок управління. Ведення адвокатом таких справ.
  10. Аналіз освітлення робочої зони розробника проекту з метою визначення та забезпечення його оптимального значення.
  11. Аналіз оцінки системи управління розподілом готової продукції підприємства
  12. АНАТОМІЧНІ ОСОБЛИВОСТІ СЕЧОВИВІДНОЇ СИСТЕМИ

(наприклад, у разі виявлення несанкціонованого доступу до інформації визначення матеріальних і моральних втрат, за необхідності — взаємодія з державними правоохорон­ними та судовими органами щодо притягнення винних до відповідальності відповідно до законодавства).

На названі напрямки організації інформаційної безпе­ки відповідного об'єкта захисту впливають такі визна­чальні фактори:

а) фактор рівня досягнень науково-технічного прогресу (переважно в галузі розвитку, удосконалення технічних за­собів);

б) технологічний фактор (в окремих джерелах його ще називають алгоритмічним фактором, коли техніка може бути одна, а технології її застосування різні, цей фактор ще є визначальним для формування методик: як отриман­ня інформації, так і захисту її);

в) соціальний (людський) фактор.


8.3. АГРЕГОВАНІ МОДЕЛІ ТЕКТОЛОГІЇ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ

Загальний аналіз проблем організовування захисту інформації в автоматизованих комп'ютерних системах дає можливість визначити три агреговані організаційні моделі заходів:

1) організація запобіжних заходів;

2) організація блокування (протидії) реальним загрозам, що реалізуються;

3) організація подолання наслідків загроз, які не вдало­ся блокувати або запобігти їм.

Важливий елемент організації інформаційної безпеки — захисту інформації — поділ заходів на групи щодо протидії. У теорії і практиці майже однозначно виокремлюють три такі групи: активні засоби захисту (наприклад, розвідка, дезінформація, зашумлення тощо); пасивні засоби захис­ту (наприклад, встановлення екранів несанкціонованому витоку інформації тощо); комплексні засоби захисту (органічне поєднання названих груп).

Ми не будемо докладно їх пояснювати. Звернемо увагу на організаційні заходи при блокуванні (протидії) несанк­ціонованого доступу до автоматизованої інформаційної сис­теми та подоланні наслідків загроз, які не вдалося бло­кувати або запобігти їм. Зазначимо, що ці заходи можуть бути спрямовані: на документування методів несанкціоно­ваних дій щодо доступу до автоматизованої системи для на­ступного дослідження їх; збереження слідів правопорушен­ня; взаємодію (у разі необхідності) з державними право­охоронними органами щодо виявлення та розкриття пра­вопорушення (в тому числі за готування до злочину і за замах на злочин); сприяння притягненню винних до відпо-


 

 

Розділ 8

Інформаційна безпека як об'єкт інформаційного права


 


відної відповідальності (кримінальної, адміністративної, цивільно-правової, дисциплінарної).

Всі заходи організації інформаційної безпеки, у тому числі в умовах застосування автоматизованих комп'ютер­них систем, базуються на знаннях і використанні певних фізичних явищ, що характеризують відповідні форми по­дання (виразу) інформації. Ці фізичні явища, зокрема ті, що може використати зловмисник, добре відомі.

Завдання організовування інформаційної безпеки щодо захисту інформації в автоматизованих системах визнача­ються за напрямком, протилежним до загроз безпеки. При реалізації заходів захисту інформації важливим аспектом є визначення і перевірка стану безпеки. У теорії і практиці це набуває втілення в категорії "метрологія". За допомо­гою метрологічної діяльності з'ясовують рівень розробки і наявність відповідних засобів, норм і методик, які дають можливість оцінити якість функціонування системи захи­сту інформації, тобто визначити, чи задовольняє чинним нормам система захисту на певний момент часу.

Формалізація норм і методів метрології стану безпеки об'єкта набуває втілення у відповідних нормативних ак­тах. Застосовуючи визначені в них нормативи слід врахо­вувати природну властивість таких нормативів з часом втрачати актуальність. Це пов'язано з тим, що в міру роз­витку науково-технічного прогресу можуть змінюватися норми і методи контролю захищеності інформації у відпо­відному середовищі її існування. Практика свідчить, що, як правило, норми і методи контролю мають тенденцію до удосконалення. Попередні нормативи виступають як орієн­тири, точки опори для формування нових нормативів. Сама назва "норматив" свідчить про те, що є фундаментальні межі можливостей існуючих фізичних приладів метрології на певному етапі пізнання людством законів природи.

У ході організації (в тому числі створення алгоритмів (методик) захисту інформації технічними засобами) завдан-


ня суб'єктів полягає не тільки в удосконаленні існуючих засобів технічного захисту інформації, а й урахуванні мож­ливих новацій. При цьому переважно має реалізовуватися принцип агрегації новацій до наявної системи захисту. Найкраще, коли можна інтегрувати через новації засоби захисту і вилучити із системи захисту застаріле обладнан­ня. Але водночас не слід забувати, що старі засоби захис­ту, які можуть функціонувати автономно в системі захис­ту, не повинні "зніматися з озброєння" бездумно.

Організовуючи захист інформації в автоматизованих системах, слід враховувати, що хоч в основі автоматизова­ної системи є технічний пристрій, який обробляє інформа­цію, але при його використанні так чи інакше присутній людський фактор. При цьому людина виступає в ролі або безпосередньо (як користувач автоматизованої системи), або опосередковано (як розробник системи).

З цього випливає, що на надійність системи захисту ін­формації в автоматизованих комп'ютерних системах впли­вають дві групи взаємопов'язаних факторів: людські (со­ціальні) та інженерно-технологічні.

В аспекті теорії систем організація захисту інформації в автоматизованих системах передбачає обумовлене виок­ремлення внутрішньо- і зовнішньо-системних ознак, які утворюють діалектичну гіперсистему організації рубежів безпеки.


 

 

Розділ 8

Інформаційна безпека як об'єкт інформаційного права


 


8.4. МЕТОДОЛОГІЧНІ ПОЛОЖЕННЯ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ

Названі елементи основ теорії організації захисту інфор­мації зумовлюють необхідність формування і розвитку окремих теорій інформаційної безпеки (зокрема її складо­вої — теорії організації захисту інформації в автоматизо­ваних системах) у таких аспектах: організаційному, інже­нерно-технологічному та пов'язаному з ними правовому. Як відомо, інженерно-технологічний аспект поєднує взає­мопов'язані технічний (апаратний) та алгоритмічний (про­грамний) аспекти (саме тому ми вжили раніше категорію "інженерно-технікотехнологічний").

Будь-яка загальна теорія вважається науковою, якщо вона має чітко визначені методи пізнання предметної га­лузі, закономірностей природи (фізики) і суспільства. Та­ким чином, щоб претендувати на статус науковості, загаль­на теорія організації інформаційної безпеки повинна мати визначену множину методів пізнання її предмета й об'єкта.

Враховуючи міжгалузевий характер теорії організації інформаційної безпеки, в ній поєднуються методи пізнан­ня традиційних фундаментальних наук: соціології та фізи­ки. Це зумовлено безпосереднім предметом теорії: л юди­но-машинними (соціотехнічними) системами, якими є ав­томатизовані комп'ютерні інформаційні системи.

Звичайно сферою дослідження теорії є практика захисту інформації в автоматизованих (комп'ютерних) системах: її закономірності, принципи, різного рівня проблеми і завдан­ня вирішення їх. Нині проблема і завдання формалізують переважно за допомогою методів евристики: формально-ев­ристичного та інтуїтивно-евристичного. Домінуюче стано­вище серед цих методів мають методи експертних оцінок та оцінки критичної маси інформації, за допомогою яких, зок­рема, оцінюють функціонування систем захисту інформації.


Проте ці методи мають і недоліки: наявність людського фак­тора — суб'єктивізм експерта та потенційне обмеження інформації у формі знань, якими володіє експерт.

Подоланню цих недоліків допомагає когнітологія — наука про знання. Відповідно до положень цієї науки в загальній теорії захисту інформації визначаються як аксіо­ми когнітологічні положення про рівень і відносність ент­ропії (невизначеності) системи пізнання (людини, спільно­ти та ін.) і її вплив на формування теоретичних положень, відносну істинність їх (у часі та колі осіб). Відносність істи­ни визначається кількісними і якісними характеристика­ми множини знань, якими володіє певний суб'єкт відно­син, навичками застосування їх, інтелектуальним потен­ціалом та швидкістю розумових реакцій на відповідні си­туації. Відносність захисту інформації визначається віднос­ністю знань суб'єкта захисту і відносністю загроз захисту, зокрема знань зловмисника.

У контексті визначення об'єктивності експертної оцінки організації захисту інформації, подолання суб'єктивізму, наприклад при визначенні стану інформаційної безпеки об'єк­та, застосовують метод залучення кількох експертів. Але, як справедливо зазначають деякі дослідники, при цьому ви­никає питання, хто може вважатися висококваліфікованим експертом (кваліфікаційні ознаки експерта) і скільки таких експертів потрібно для істинності висновків, подолання су­б'єктивізму (Организация и современные методы защиты информации / Под общ. ред. С.А. Диева, А.Г. Шаваева. — М.: Банковский Деловой Центр, 1998. — С. 36).


15 -4-1260

 


 

Розділ 8

 

Інформаційна безпека як об'єкт інформаційного права


 


8.5. ЛЮДСЬКИЙ ФАКТОР В ОРГАНІЗАЦІЇ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ

Наявність людського фактора має провідне значення в теорії організації захисту інформації. Через цей елемент теорія організації захисту інформації як система знань має предметний гіперзв'язок з фундаментальними гуманітар­ними науками — соціологією, соціальною психологією, соціальною інженерією.

За природою організації захист інформації має комплекс­ний характер, тобто між окремими її складовими є певний зв'язок. У рамках теорії організації захисту інформації чітко визначився постулат, що організація захисту інфор­мації повинна враховувати не тільки складність технічної і технологічної компонент системи, а й людський фактор. Тобто, формуючи конкретну систему технічного захисту, слід враховувати якісні індивідуально- і соціально-психо­логічні, моральні, етичні та інші особисті характеристики людей, задіяних у системі захисту інформації.

У такому аспекті визначається також напрямок теорії щодо оцінки, характеристики зловмисників, які посяга­ють на безпеку інформаційної системи. У цьому аспекті теорія захисту інформації має зв'язок з кримінологією, її складовими вченнями: віктимологією та теорією формуван­ня соціально-психологічного портрету зловмисника.


8.6. ПРАВОВИЙ АСПЕКТ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ

8.6.1. Основні питання правової культури щодо інформаційної безпеки

Правовий напрямок теорії охорони та захисту інфор­мації визначається необхідністю формування правил по­ведінки, відносин у так званому віртуальному або кібер-просторі. У цьому аспекті теорія захисту інформації пов'я­зана з інформаційним правом та правовою інформатикою. Щодо формування методик виявлення та розкриття зло­чинів, які вчиняються за допомогою сучасних інформа­ційних технологій, теорія захисту інформації формує по­нятійний апарат такої інституції криміналістики, як кри­міналістична інформатика.

При формуванні системи захисту інформації виникає необхідність застосування методів інтеграції та агрегації складових системи як її підсистем, що можливо при адап­тації до предметної галузі теорії алгоритмізації, моделю­вання, теорії систем тощо.

Когнітивно-юридичний аналіз нормативно-правових актів у сфері суспільних інформаційних відносин, з позицій накопичених наукових знань сьогодення, свідчить про те, що в суспільстві вже сформувалося усвідомлення необхід­ності формування інституції суспільних відносин інформа­ційної безпеки: захисту інформації. Але рівень ентропії, наявний на момент прийняття нормативно-правових актів у цій сфері суспільних відносин, об'єктивно не дозволив сформувати їхній зміст у обсязі, необхідному для практи­ки. До того ж практика розвивалася, апробовуючи юри­дичні норми як соціотехнічні стандарти (алгоритми) одно­значно розуміння їхнього змісту широким загалом суб'єк­тів суспільних відносин.


 

Розділ 8

 

Інформаційна безпека як об'єкт інформаційного права


 


Сьогодні створено передумови для формування умовно автономної теорії, в рамках якої має сформуватися специ­фічний понятійний апарат (термінологія, категорії), зміс­товний аспект якого є проблематикою теорії для задово­лення потреб практики: напрацювання стандартів кате­горій для розуміння широким загалом сутності нових соці­альних явищ, у тому числі передачі інформації у формі знань у межах відповідної навчальної дисципліни.

Сучасний рівень суспільної ентропії — теоретичної роз­робленості проблематики — дає можливість визначити об'єк­тивність потреб формування у вітчизняній науці системи знань, ідей, доктрин, концепцій щодо інформаційної без­пеки, формулювання (формалізації) її у змістовному, сут-нісному, понятійному аспектах тощо. При цьому як мету визначено формування ядра самої загальної теорії на еле­ментарному рівні. Такі положення покликані форму­вати синтетичний науковий напрямок на межі багатьох наук, в яких проблематика інформаційної безпеки, захис­ту інформації визначена фрагментарно, ситуаційно, роз­порошена серед багатоманітної галузевої проблематики. Передбачається, що з часом сформується розвинута теорія організації інформаційної безпеки, захисту інформації в автоматизованих (комп'ютерних) системах у таких науках, як правова інформатика та інформаційне право.

Базуючись на методології гіперсистем права та теорії критичної маси норм правовідносин, можна прогнозувати, що в майбутньому інформаційна безпека, у міру розвитку інформаційного суспільства, виокремиться з інформацій­ного права в окрему субінституцію подібно до права інте­лектуальної власності, його провідних складових — ав­торського права та права промислової власності.


1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 | 19 | 20 | 21 | 22 | 23 | 24 | 25 | 26 | 27 | 28 | 29 | 30 | 31 | 32 | 33 | 34 | 35 |

Поиск по сайту:



Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Студалл.Орг (0.006 сек.)