Згідно закону "Про
інформацію" (ст. 28) інформація поділяється на відкриту
та інформацію з обмеженим доступом. Інформація з обмеженим доступом,
у свою чергу, за своїм правовим режимом поділяється на конфіденціальну
і таємну.
Конфіденціальна інформація - це відомості,
які знаходяться у володінні, користуванні або розпорядженні
окремих фізичних чи юридичних осіб і поширюються за їх бажанням
відповідно до передбачених ними умов. Громадяни, юридичні особи,
які володіють інформацією професійного, ділового, виробничого,
банківського, комерційного та іншого характеру, одержаною на
власні кошти, або такою, яка є предметом їх професійного, ділового,
виробничого, банківського, комерційного та іншого інтересу і
не порушує передбаченої законом таємниці, самостійно визначають
режим доступу до неї, включаючи належність її до категорії конфіденціальної,
та встановлюють для неї систему (способи) захисту. Виняток становить
інформація комерційного та банківського характеру, а також інформація,
правовий режим якої встановлено Верховною Радою України за поданням
Кабінету Міністрів України (з питань статистики, екології, банківських
операцій, податків тощо), та інформація, приховування якої являє
загрозу життю і здоров'ю людей.
Державна таємниця - це вид таємної
інформації, що охоплює відомості у сфері оборони, економіки,
науки і техніки, зовнішніх відносин, державної безпеки та охорони
правопорядку, розголошення яких може завдати шкоди національній
безпеці України та які визнані державною таємницею і підлягають
охороні державою.
Охорона державної таємниці - це комплекс організаційно-правових,
інженерно-технічних, криптографічних та оперативно-розшукових
заходів, спрямованих на запобігання розголошенню секретної інформації
та втратам її матеріальних носіїв. Тобто, забезпечення таємності
такої інформації є одним з аспектів безпеки держави. Спеціально
уповноваженим органом державної влади у сфері забезпечення охорони
державної таємниці Департамент спеціальних телекомунікаційних
систем та захисту інформації Служби безпеки України.
4.1. Поняття та сутність інформаційної
безпеки. Основні терміни та визначення.
Широке впровадження інформаційних технологій зумовило поширення
значних масивів інформації у телекомунікаційних, обчислювальних
мережах. Разом з тим значно розширилися можливості для несанкціонованого
отримання інформації за допомогою нових технічних засобів.
Початок процесу розвитку захисту інформації як наміру закрити
інформацію від стороннього ока можна відлічувати ще з V віку
до н.е., коли древньогрецький історик Герадот впровадив поняття
тайнопису (криптографії).
Сьогодні інформаційна безпека як наука об'єднує багато напрямків
та галузей, основними серед яких є:
- "Інформаційна безпека держави" - охоплює головні
напрямки загальнодержавного захисту інформації, до яких відносяться:
розробка моделей загроз інформаційній безпеці держави і захисту
від них (захист державних та військових таємниць, захист систем
урядового зв'язку, забезпечення інформаційної безпеки особи,
захист інформаційної безпеки судочинства, захист інформаційної
незалежності та ін.), а також розподілення за окремими галузями
знань виконання наукових та технічних розробок щодо захисту
інформації.
- "Технічний захист інформації"
- охоплює організацію, розробку, впровадження та функціонування
технічних методів та засобів захисту інформації, але не шляхом
шифрування (тобто без криптографічного захисту).
- "Криптографічний захист інформації" - охоплює організацію,
розробку, впровадження та функціонування криптографічного захисту
інформації.
- "Захист інформаційного простору держави від впливів",
що можуть бути викликані як ворожими діями окремих сторонніх
держав, так і неконституційними діями окремих громадських організацій
та громадян (інформаційна війна).
"Інформаційна безпека" - це комплексна наука, що повинна
надійно забезпечити безпечне функціонування в інформаційному
просторі як всього людства в цілому, так і окремих держав та
осіб, які складають населення Земної кулі та кожної держави.
Злочинні посягання на інформацію можуть бути реалізовані шляхом
викрадення, пошкодження, спотворення та знищення інформації.
Все це є порушенням цілісності інформації.
Інформаційний захист полягає у протидії
спробам порушення цілісності інформації, які можуть бути як
злочинного, так і ненавмисного характеру.
Інформаційна безпека в правоохоронних органах полягає у збереженні
цілісності інформації, що циркулює там, і має свої особливості.
В першу чергу це стосується інформації, що містить державну
таємницю. Перелік таких відомостей надано у "Зводі
…", що є додатком до Закону про державну таємницю (затверджений
наказом Голови Служби безпеки України № 52 від 1 березня 2001
р.).
Крім того, захисту потребує конфіденційна інформація в автоматизованих
системах, каналах зв'язку та у робочих приміщеннях підрозділів
ОВС. Правоохоронні органи потребують також захисту від дезінформації.
Розглянемо основні терміни та визначення щодо інформаційної
безпеки.
Адміністратор безпеки - уповноважений
представник (особа або група осіб), відповідальна за забезпечення
безпеки в автоматизованих системах
та мережах.
Активна загроза інформаційній безпеці
- загроза навмисної зміни стану системи.
Акустичний канал витоку інформації
- фізичний шлях від джерела акустичних сигналів (людина, техніка)
до зловмисника за рахунок механічних коливань середовища розповсюдження
(повітря, жорсткі середовища, вода, рідини).
Аналізатор телефонних ліній - пристрій,
призначений ля контролю стану телефонних ліній та виявлення
несанкціонованих підключень на дільниці від аналізатора до АТС.
Апаратна закладка - електронний пристрій,
що розміщується чи підключаться до елементів технічних засобів
обробки, призначений для підслуховування, перехоплення інформації
та виведення технічних засобів і їх вузлів із ладу.
Апаратні засоби захисту - механічні,
електромеханічні, електронні, оптичні, лазерні, радіотехнічні
та інші пристрої, системи і споруди, призначені для захисту
інформації від несанкціонованого доступу, копіювання, крадіжки
чи модифікації.
Апаратура знімання інформації - спеціальні
технічні засоби, призначені для отримання інформації шляхом
прийому акустичних, електромагнітних, світлових, теплових та
інших сигналів (випромінювань), що несуть оперативно значимі
дані.
Автентифікація - перевірка належності
суб'єкту захисту пред'явленого ним ідентифікатора.
Безпека інформації - забезпечення
захисту інформації від випадкового або навмисного доступу осіб,
які не мають на це права.
Блокування інформації - дії, внаслідок
яких інформація стає недоступною для суб'єкта, що має право
доступу до неї.
Дезінформація - спосіб маскування,
що полягає у навмисному поширенні неправдивих відомостей про
об'єкти, їх склад і діяльність, а також імітації їхньої діяльності
відповідно до цих даних.
Дешифратор - пристрій для автоматичної
розшифровки повідомлення (сигналу). Застосовується в системах
криптографічного захисту інформації.
Доступ до інформації - ознайомлення
з інформацією, її обробка, зокрема, копіювання, модифікація,
створення і знищення інформації.
Загроза - потенційна можливість несанкціонованого
зняття інформації
Захист інформації - сукупність заходів,
що забезпечує попередження несанкціонованого доступу до конфіденційної
інформації.
Канал проникнення - фізичний шлях
від зловмисника до джерела конфіденційної інформації,
через який можливий несанкціонований доступ до відомостей, що
охороняються.
Канал витоку інформації - потенційні
напрями несанкціонованого доступу до інформації, обумовлені
архітектурою, технологічними схемами електронно-обчислювальної
техніки, а також невиконанням організаційно-режимних заходів.
Ключ криптографічний - послідовність
символів, що управляють процедурами шифрування та дешифрування.
Криптоаналіз - розкриття зашифрованого
криптографічними методами тексту за допомогою відомого ключа
чи без нього (за рахунок розкриття невідомого ключа шляхом аналізу
як за допомогою технічних засобів, так і без них).
Криптографічний захист - захист даних
методом їх шифрування (кодування).
Криптографія - наука, що використовує
математичні методи, досягнення науки і техніки для перетворення
відкритої захищаємої інформації у закриту, що ускладнює відновлення
відкритої інформації.
Криптологія - наука про безпеку (секретність)
зв'язку. Включає криптографію (шифрування) і криптоаналіз.
Крекери - різновид хакерів,
які займаються крадіжкою чужої інформації.
Перехоплення інформації - дія, спрямована
на здобування інформації шляхом використання електромагнітних,
акустичних, механічних або інших засобів.
Пошуковий прилад - пристрій, призначений
для оперативного виявлення і визначення місцезнаходження електронних
пристроїв зняття і контролю інформації.
Радіоелектронний захист - комплекс
заходів по забезпеченню стійкої роботи радіоелектронних засобів
від порушення їх роботи, несанкціонованого підслуховування.
Радіозакладний пристрій (радіозакладка)
- прихований малогабаритний радіопередавач, що передає у ефір
перехоплену акустичну або іншу інформацію.
Скануючий приймач - пристрій, призначений
для оперативного виявлення несанкціонованих радіопередавальних
пристроїв.
Скремблер - пристрій, призначений
для шифрування речового сигналу і захисту факсимільних повідомлень,
що передаються телефонною мережею загального користування.
4.2. Кримінально-правові основи захисту
інформації в Україні.
Дослідження проблем боротьби з правопорушеннями в інформаційній
сфері свідчать про широкий спектр правових підходів до цих питань
в різних країнах.
З аналізу, проведеного ФБР відомо, що у законодавстві більшості
країн (Бельгія, Німеччина, Італія, Люксембург і т. д.) відмічаються
дві концепції:
- небажання застосовувати класичні законодавчі положення щодо
розкрадання та розтрати майна (речей) у разі несанкціонованого
зняття інформації в автоматизованих
системах. Ця концепція, як правило, потребує наявності матеріальних
цінностей (речей) як об'єкта (предмета) розкрадання. З цих міркувань
вводяться нові норми, що визначають окремі правопорушення, предметом
посягання яких є інформація, в тому числі та, що обробляється
за допомогою комп'ютерних технологій. Тобто визначається, що
речове право і інформаційне право - автономні інституції в системі
законодавства;
- визначення інформації як товару, тобто як об'єкта права власності.
За цією концепцією не суттєво, на яких матеріальних носіях знаходиться
інформація як об'єкт правового захисту, а отже, захист її здійснюється
на загальних підставах як і матеріальних цінностей. Тобто використовуючи
принцип аналогії права на законодавчому рівні, змінюється зміст
складу правопорушень (вводиться нова редакція норми).
У багатьох країнах форма вираження інформації не має суттєвого
значення для кваліфікації правопорушень. Наприклад, крадіжка
інформації у формі комп'ютерних програм не відрізняється від
крадіжки інформації на паперових носіях. Для їх правового захисту
застосовуються норми національного
авторського права. В деяких країнах - норми щодо захисту
інтелектуальної власності, в межах комплексного інституту -
права власності.
Однак, враховуючи реальне положення (наприклад, той факт, що
основою підприємницької діяльності є продаж комп'ютерних програм,
а їх крадіжки досягли масового розповсюдження), виникає потреба
виділення в окрему інституцію публічного права захист нових
форм інформаційних відносин - відносин в умовах інформатизації.
В цьому аспекті виділяється три правові доктрини щодо удосконалення
публічно-правового регулювання інформаційних правовідносин.
За першою, в деяких країнах особливу значимість набуває розширення
змісту законодавства на базі положень авторського права як на
національному, так і на міжнародному рівнях.
За другою - формуються нові комплексні (автономні) міжгалузеві
інституції на зразок інформаційного права, правового регулювання
захисту інформації в автоматизованих
(комп'ютерних) системах, "комп'ютерне право" тощо.
За третьою - ідуть шляхом застосування в комплексі зазначених
двох попередніх. Цей шлях, зокрема, вибраний правовою доктриною
українськими правотворцями.
Як приклад, розглянемо практику законотворення деяких країн:
- Великобританія - діє закон про зловживання комп'ютерною технікою.
- Австралія - закон про комп'ютери Національного законодавства.
- Німеччина - ст. 202а кримінального кодексу.
- Польща - ст. 270 кримінального кодексу.
- США - більше ніж 300 законодавчих актів, що регулюють захист
комп'ютерної інформації.
Щодо законодавства України, то Кримінальний кодекс, який введено
в дію 01.09.2001 р., містить розділ ХVI "Злочини у сфері
використання електронно-обчислювальних машин (комп'ютерів),
систем та комп'ютерних мереж", в якому є три статті: ст.361,
ст.362 та ст.363.
За чотири роки існування системи електронних платежів, яка розроблена
НБУ, здійснювались неодноразові спроби її злому. За оперативними
даними, тільки у 1997 р. виявлено та знешкоджено біля 30 організованих
злочинних угруповань, які спеціалізуються на крадіжках грошей
у банківській сфері.
При кваліфікації злочинів, в яких предметом вчинення є комп'ютерні
інформаційні технології, слід користуватися поняттями, визначеннями
та положеннями, які подаються в таких нормативних актах:
Закони України:
- "Про інформацію" (від
2 жовтня 1992 р.);
- "Про державну таємницю"
(від 21 січня 1994 р.);
- "Про власність" (від
7 лютого 1991 р.);
- "Про науково-технічну інформацію"
(від 25 червня 1995 р.);
- "Про авторське право і суміжні
права" (від 23 грудня 1993 р.);
- "Про охорону прав на винаходи
і корисні моделі" (від 15 грудня 1993 р.);
- "Про охорону прав на топографії інтегральних мікросхем"
(від 5 листопада 1997 р.);
- "Про національний архівний
фонд і архівні установи" (від 24 грудня 1993 р.);
- "Про захист інформації в автоматизованих
системах" (від 5 липня 1994 р.);
- "Про Національну програму інформатизації"
(від 4 лютого 1998 р.);
- "Про Концепцію Національної
програми інформатизації" (від 4 лютого 1998 р.).
Нормативні акти Уряду:
- "Положення про технічний захист інформації в Україні"
(затверджено Постановою КМ України 09 вересня 1994 р. №632)
тощо.
Отже, можна зробити висновок, що за законодавством України інформація
є об'єктом права. Відповідно до Закону України "Про інформацію"
інформація є товаром і на неї визначено право власності.
Виходячи з цього, при кваліфікації правопорушень, в яких предметом
посягання є інформація (державна, комерційна таємниці тощо),
можна застосовувати весь спектр існуючих засобів захисту не
тільки цивільного та адміністративного права, але й кримінального.
Першочерговими заходами щодо реалізації державної політики у
сфері ТЗІ є:
- створення правових засад реалізації державної політики у сфері
ТЗІ, визначення послідовності та порядку розроблення відповідних
нормативно-правових актів;
- визначення перспективних напрямів розроблення нормативних
документів з питань ТЗІ на основі аналізу стану відповідної
вітчизняної та зарубіжної нормативної бази, розроблення зазначених
нормативних документів;
- визначення номенклатури вітчизняних засобів обчислювальної
техніки та базового програмного забезпечення, оргтехніки, обладнання
мереж зв'язку, призначених для оброблення інформації з обмеженим
доступом інших засобів забезпечення ТЗІ в органах державної
влади та органах місцевого самоврядування, Національній академії
наук, Збройних Силах, інших військових формуваннях, органах
внутрішніх справ;
- налагодження згідно з визначеною номенклатурою виробництва
засобів обчислювальної техніки та базового програмного забезпечення,
оргтехніки, обладнання мереж зв'язку із захистом інформації,
інших вітчизняних засобів забезпечення ТЗІ;
- завершення створення та розвиток системи сертифікації вітчизняних
та закордонних засобів забезпечення ТЗІ;
- визначення реальних потреб системи ТЗІ у фахівцях, розвиток
та вдосконалення системи підготовки, перепідготовки та підвищення
кваліфікації фахівців з питань ТЗІ.
Зазначені положення подані в Концепції технічного захисту інформації
в Україні (затверджена Постановою Кабінету Міністрів України
від 8 жовтня 1997 р. №1126).
При визначенні рівня захищеності інформації в системі ключовим
елементом є визначення каналу витоку інформації
(каналу впливу). Саме з визначення каналів витоку починається
розвиток нових напрямів у галузі захисту інформації. Причому
недооцінка значення будь-яких каналів витоку може дати супротивнику
можливість здійснити прорив засобів захисту.
Так, нині широко розповсюджені засоби електронного
цифрового підпису (ЕЦП) реалізовані на ЕОМ загального користування
або вмонтовані в якусь інформаційну систему. Особливістю таких
систем є те, що результатом перевірки підпису під документом
є однозначна відповідь "так" чи "ні". Ця
відповідь для її візуалізації і архівації виходить з криптографічної
системи, і при цьому може бути атакована супротивником. Тут
каналом потенційного впливу на критичну інформацію є програмне
середовище ЕОМ, а модель загрози від супротивника - можливість
впливу на нього. Вимоги полягають у створенні програмно-технічних
засобів, стійких до стороннього впливу.
Сьогодні іноді захист інформації розуміється як набір послуг
в деякій системі обробки і передачі інформації. Таке розуміння
не може претендувати на адекватний опис системи захисту. По
суті, засоби і методи захисту інформації являють собою систему
заходів, що призначена перешкодити можливості перехоплення і
викривлення інформації за сукупністю відомих і потенційних каналів
витоку в умовах передбачених моделей порушників і загроз та
спрямовану на досягнення певного рівня вимог щодо захищеності
інформації.
Засоби і методи захисту інформації в цілому повинні складати
цільну архітектуру безпеки, що включає в себе математичні, криптографічні,
алгоритмічні, технічні, організаційні, правові заходи захисту,
які призвані попереджати небезпечний вплив на інформацію чи
небажане ознайомлення з нею.
Потенційні канали перехоплення і впливу на інформацію можна
класифікувати на зовнішні і внутрішні. До зовнішніх каналів
відноситься вплив через канали зв'язку і фізичні канали розповсюдження
інформації, до внутрішніх відносяться способи впливу на інформацію
з боку операторів та іншого обслуговуючого персоналу. Крім того,
є самостійні канали впливу на парольну і ключову інформацію,
що розповсюджується на власних носіях.
Основні засоби захисту - це технічне блокування потенційних
каналів витоку, шифрування даних при їх зберіганні і при передачі
каналами зв'язку, ЕЦП, засоби захисту від
несанкціонованого доступу (НСД),
зокрема, засоби розмежування доступу.
Вимоги до захисту від НСД визначають необхідний рівень захищеності
інформації від обслуговуючого персоналу на основі системи розмежування
доступу (до інформації, технічним засобам, програмному забезпеченню).
Криптографічні вимоги будуються на базі шеннонівського підходу
до визначення складності дешифрування повідомлень (стійкості
шифрування) і на сучасній концепції задач, що важко вирішуються.
Основу криптографічних вимог складають трудомісткість отримання
відкритого тексту і обсяг прочитаної інформації. Вимоги до ЕЦП
включають в себе поняття трудомісткості підробки підпису, а
для ХЕШ - функції трудомісткості побудови колізії. Криптографічні
вимоги включають в себе надійнісні характеристики шифрувальної
техніки, які визначають рівні захищеності інформації при відмовах
обладнання, збоях живлення і т. д. Також до цих вимог включаються
спеціальні вимоги до ключової та іншої криптографічної інформації.
Організаційно-технічні вимоги включають режимні вимоги по охороні
приміщень, технічних засобів, ключових документів; правила поводження
з ключами при їх зберіганні і використанні; правила доступу
до приміщення, де обробляється критична до впливу інформація;
правила і інструкції з обладнання приміщень (акустичний і оптичний
канали); правила по розміщенню технічних засобів. В це коло
вимог також входять всі питання щодо підбора, навчання і контролю
за діяльністю персоналу.
В розвинутих країнах, де широко використовується обчислювальна
техніка у всіх сферах життя суспільства, збиток від комп'ютерних
злочинів вимірюється процентами національного валового продукту.
Так, в США середній збиток від одного комп'ютерного злочину
складає біля 450 тис. дол., максимальний розмір - біля 1 млрд.
дол. Річні втрати деяких фірм США складають 5 млрд. дол.
У світовій практиці відомі сотні випадків терористичних актів,
розкрадань, фінансових зловживань і несанкціонованого доступу
до інформації в комп'ютерних системах. Сьогодні існують співтовариства
комп'ютерних хуліганів - хакерів,
які проникають в комп'ютерні мережі, зчитуючи інформацію і призводячи
її знищення. Ще більш небезпечними можуть бути дії кваліфікованого
програміста, який здійснює напад на обчислювальні системи установ
з метою розкрадання крупних грошових сум чи отримання конфіденційної
інформації.
Щодо України, по деяким оцінкам загальні витрати на захист навіть
невеликої банківської чи іншої фінансової установи складає біля
5-10 тис. дол.
У системі МВС України та в інших відомствах розроблено підзаконні
акти, які регламентують порядок організації, контролю та виконання
робіт, використання засобів захисту інформації, їх перевірки,
атестації, надання дозволів та ліцензій.
Державна політика у галузі технічного захисту інформації з обмеженим
доступом реалізується Державною службою з питань технічного
захисту інформації при Кабінеті Міністрів України. Організація
загальної безпеки інформаційного забезпечення МВС України впроваджується,
контролюється та забезпечується Центром технічного захисту інформації
МВС України, службами оперативного зв'язку та оперативної інформації,
які визначають та впроваджують відповідні заходи ТЗІ.
Серед підзаконних актів, що діють у системі МВС України слід
відзначити:
1. Наказ МВС України № 314 від 16.05.95 р. "Про створення
Центру технічного захисту інформації в системі МВС та підрозділів
з ТЗІ"
2. Наказ МВС України № 059 від 14.06.98 р. "Про організацію
та виконання робіт з технічного захисту інформації з обмеженим
доступом в системі МВС України".
Серед загальнодержавних:
- ДСТУ 3396.0-96. Захист інформації. Технічний захист інформації.
Основні положення.
- ДСТУ 3396.1-96. Захист інформації. Технічний захист інформації.
Проведення робіт.
- "Тимчасові рекомендації з технічного захисту інформації
від витоку по каналах побічних електромагнітних випромінювань
та наводок (ТР ТЗІ ПЕМВН - 95)".
Всі розробки загальнодержавних інструкцій, стандартів, та інших
документів, у тому числі - ліцензування робіт з ТЗІ
та криптографічного захисту, провадяться
під керівництвом або контролем Департаменту спеціальних телекомунікаційних
систем та захисту інформації СБУ. Перелік ліцензіантів, які
працюють в цій галузі, опубліковано в журналі "Бизнес и
безопасность", К., № 1, 2000, С. 30-33.