ISBN 978–966–2970–87–6 1 page

В. Л. БУРЯЧОК, Р. В. ГРИЩУК, В. О. ХОРОШКО

ПОЛІТИКА

ІНФОРМАЦІЙНОЇ БЕЗПЕКИ

П і д р у ч н и к

За загальною редакцією

Доктора технічних наук, професора Хорошка В.О.

Київ

ПВП «Задруга»

БКК 351.86:004.056](075/8)

Б 91

УДК 67.401.212_я73

Бурячок В. Л., Грищук Р. В., Хорошко В. О.

ISBN 978–966–2970–87–6

У підручнику розглядаються основи політики інформаційної безпеки інформаційних технологій. Розкривається сутність та зміст інформаційної безпеки та її складових. Значна увага приділяється методології формування множини загроз інформаційній безпеці. Приводиться порядок здійснення процедур щодо вибору засобів захисту інформації, їх доопрацювання в процесі експлуатації за призначенням та управління безпекою інформаційних технологій.

Підручник орієнтований на фахівців у галузі інформаційної безпеки та захисту інформації, а також наукових та науково-педагогічних працівників, профіль діяльності яких пов’язаний з цими процесами. Викладений матеріал може бути корисним для аспірантів, магістрантів і студентів вищих навчальних закладів, котрі спеціалізуються у сфері управління інформаційною безпекою та систем захисту інформації й навчаються за спеціальностями освітнього напряму “Інформаційна безпека”.

ББК 67.401.212_я73

УДК 351.86:004.056](075/8)

Рекомендовано вченою радою Національного авіаційного університету

до друку та використання в навчальному процесі

(протокол № 9 від 23.12.2013 року)

Р е ц е н з е н т и:

ЗМІСТ

стр.

ПЕРЕЛІК УМОВНИХ СКОРОЧЕНЬ

ПЕРЕДМОВА

Поняття інформаційної безпеки (ІБ) відоме нині майже кожному жителеві планети Земля. Останнім часом воно на слуху навіть у людей, доволі далеких від інформаційних технологій (ІТ), не говорячи вже про фахівців в області обчислювальної техніки яким, швидше за все, і є читач. Дійсно, інформаційні технології все глибше проникають у всі області людської діяльності, точніше, людство все більш сміливо інтегрується з інформаційними технологіями. І коли інформація стає провідником в світ людей, коли залежність людської цивілізації від інформаційних потоків, а отже й технологій їх обслуговуючих – інформаційних, не ставиться під сумнів, на арені з’являється інформаційна безпека.

Проте, сама по собі категорія ІБ є досить абстрактним поняттям. Очевидно, що повинен бути деякий практичний додаток до неї, основу якого складатимуть правила, які дозволять застосувати технології ІБ до реального середовища і таким чином забезпечать заданий рівень безпеки інформаційного простору. Саме на цьому етапі й виникає таке поняття, як політика інформаційної безпеки (ПІБ).

На сьогодні відомо достатньо велику кількість визначень ПІБ. Приведемо далеко не повний їх перелік. Наприклад:

1) політика інформаційної безпеки – це сукупність правил, що визначають і обмежують види діяльності об’єктів і учасників, системи ІБ;

2) політика інформаційної безпеки – це сукупність документованих управлінських рішень і розроблених превентивних заходів, направлених на захист інформаційних ресурсів (ІР);

3) політика інформаційної безпеки – це комплекс превентивних заходів щодо захисту конфіденційних даних та інформаційних процесів на підприємстві (організації).

Приведені вище дефініції однієї і тієї самої категорії наведені у передмові невипадково. Річ у тім, що мало хто, навіть з вузького кола фахівців, розуміє дійсну сутність ПІБ, а ще менша кількість людей спроможна до розробки та впровадження такої політики у конкретну організацію. Тому, як показує аналіз сучасного стану питання і власний практичний досвід, справи у визначеній галузі йдуть не кращим чином, у тому числі і в сенсі відсутності висококваліфікованих кадрів, для підготовки яких і створена книга, яку Ви тримаєте в руках.

Таким чином, розробка політики інформаційної безпеки – це процес суто практичного характеру, що безпосередньо ґрунтується на знаннях набутих студентами за усіма розділами інформаційної безпеки та який в першу чергу спрямовується на створення каркасу ІБ, тобто конкретних правил і рекомендацій, що регламентують функціонування всіх рівнів системи забезпечення інформаційної безпеки. Отже, розробка політики інформаційної безпеки – питання зовсім не тривіальне. Від ретельності її опрацьовування залежатиме дієвість решти всіх рівнів забезпечення ІБ – адміністративного, процедурного і програмно-технічного. Крім того, труднощі з розробкою ПІБ пов’язані з проблематичністю використання чужого досвіду, оскільки розроблювана політика ґрунтується на виробничих ресурсах і функціональних залежностях усередині самої організації. Потреба у розробці ПІБ також пояснюється необхідністю формування основ планування і менеджменту ІБ. Метою розробки ПІБ можна визначити мінімізацію ризиків бізнесу шляхом захисту інтересів компанії в інфосфері, планування і підтримки безперервності функціонування, зниження витрат і підвищення ефективності інвестицій в захист інформації. Зважаючи на це основними напрямами розробки ПІБ можуть бути:

визначення переліку даних, які підлягають захисту і рівня такого захисту;

визначення, хто і який збиток може нанести компанії в інформаційному аспекті;

оцінювання ризиків ІБ і визначення схеми зменшення їх до прийнятної величини.

Головними етапами створення політики ІБ є:

1) визначення (виявлення) інформаційних об’єктів і потоків, які необхідно захищати;

2) вивчення поточного стану системи ІБ з метою визначення, що з класичних методик захисту інформації вже реалізоване, в якому об’ємі, і на якому рівні;

3) класифікація всіх інформаційних об’єктів на класи відповідно до їх конфіденційності, вимог до доступності і цілісності (незмінності);

4) ідентифікація загроз безпеці, виявлення уразливостей і оцінка ризиків;

5) розробка політики безпеки підприємства, яка забезпечить належні рівні, як окремих ризиків, так і інтегрального ризику;

6) опис всіх технічних і адміністративних заходів, що плануються до реалізації;

7) затвердження ПІБ у керівництва фірми, її впровадження (доведення ПІБ до всіх співробітників організації), а також подальший перегляд і коректування.

Як результат замовник отримує положення і інструкції, що регламентують як технічні, так і організаційні аспекти захищеності, тобто ефективну економічно обґрунтовану ПІБ на основі проведеного обстеження систем забезпечення ІБ, а також вимоги до персоналу, менеджерів і технічних служб тощо.

Розробка адекватної і актуальної ПІБ дозволить підвищити рівень довіри до компанії з боку акціонерів, потенційних інвесторів, ділових партнерів, професійних учасників ринку цінних паперів, уповноважених державних органів і інших зацікавлених сторін. Також впровадження ПІБ дозволить:

підвищити загальний рівень захисту ІР і ІТ – інфраструктури організації;

скоординувати, формалізувати і зафіксувати вимоги і процедури забезпечення ІБ;

мінімізувати ризики бізнесу шляхом захисту інтересів компанії в інфосфері;

зафіксувати відповідальність між адміністраторами, користувачами і керівниками структурних підрозділів в частині, щ стосується ІБ;

забезпечити безпечне, довірене і адекватне управління підприємством;

планувати і підтримувати безперервність бізнесу;

підвищити якість діяльності щодо забезпечення ІБ;

знизити витрати і підвищити ефективність інвестицій в ІБ;

забезпечувати ІБ з урахуванням вимог національних і міжнародних стандартів.

Після короткого екскурсу в предметну область, перед Вами – шановними читачами, розвернулось масштабне полотно під назвою «політика інформаційної безпеки». Навчальної літератури з даного питання украй мало, якщо не сказати, що в систематизованому вигляді майже не існує. Хоча, як на думку авторів, розробці ПІБ за бажання можна навчитися і без відповідних підручників. Для цього, по-перше, потрібно стати фахівцем в галузі ІБ. По-друге, необхідно вивчити ціле зведення документації і законодавства в цій галузі. І, нарешті, не обійтися без деякого досвіду практичної розробки і застосування правил ІБ. На щастя, для тих, хто не збирається вчитися на своїх помилках, і написана ця книга. Вона містить все, що Вам буде необхідно і є самодостатнім джерелом інформації.

Тут Ви знайдете і терміни, і визначення, і математичне подання інформації. З використанням підручника Ви зможете прояснити всі організаційні моменти, зможете навчитися самостійно аналізувати ризики ІБ і, як наслідок, особисто розробляти ПІБ. Також Ви дізнаєтесь про організацію відділу інформаційного захисту, від чисельності до структури і фінансування. Для того, щоб заощадити Ваш час, ми привели в кінці книги додаткові законодавчі і нормативні документи, перевірку актуальності яких, втім, ніхто не відміняв.

Ми сподіваємося, що книга принесе користь керівникам організацій і підприємств, буде незамінною для фахівців в галузі ІБ, студентам цієї спеціальності, що збираються ступити на нелегку стежку інформаційної війни (безумовно, як захисники).

Автори висловлюють щиру вдячність професорам Єрохіну В. Ф. (Інститут спеціального зв’язку та захисту інформації НТУУ “КПІ”), Лєнкову С. В. (Військовий інститут національного університету ім. Т. Г. Шевченка), Самохвалову Ю.Я. (Військовий інститут телекомунікацій та інформатизації Державного університету телекомунікацій) та Сосніну О. В. (Національна академія державного управління при Президентові України), зауваження і поради яких сприяли значному покращенню та поглибленню викладеного у підручнику матеріалу. Крім того автори висловлюють подяку за співробітництво та поради спеціалістам Служби безпеки України, Служби зовнішньої розвідки та Державної служби спеціального зв’язку та захисту інформації.

РОЗДІЛ 1

ІНФОРМАЦІЯ ТА ІНФОРМАЦІЙНІ ТЕХНОЛОГІЇ

1.1. Інциденти у сфері високих технологій

Науково-технічна революція останніх десятиліть поступово викликала в сучасному суспільстві глибинний переворот, порівнянний з індустріальною революцією. У результаті з’явилася нова інформаційна цивілізація, розвиток якої базується на синтезі двох технологій – комп’ютерної і телекомунікаційної та певним чином залежить від сформованих на рубежі тисячоліть так званих інформаційного і кіберпросторів. Під інформаційним простором нині розуміють глобальне інформаційне середовище, яке в реальному масштабі часу забезпечує комплексну обробку відомостей про протиборчі сторони та їх навколишнє оточення в інтересах підтримки прийняття рішень по створенню оптимального, для досягнення поставлених цілей, складу сил і засобів та їх ефективного застосування в різних умовах обстановки. Під кіберпростором, зважаючи на відсутність в Україні гостованого визначення цього терміну та враховуючи результати багатокритерійного аналізу визначень цього поняття (табл. 1.1), будемо розуміти віртуальний простір, отриманий у результаті взаємодії користувачів, програмного та апаратного забезпечення, мережевих технологій (у т.ч. Інтернет) для підтримки та управління процесами перетворення інформації (електронних інформаційних ресурсів) з метою забезпечення інформаційних потреб суспільства.

Головними критеріями, які були використані в ході аналізу є критерії (див. табл. 1): віртуальності (Virt); врахування людського чинника (HF); врахування програмного забезпечення (Soft); наявності фізичної інфраструктури (PhI) та мережевої складової (Net); врахування поняття Інтернету (INet); можливості надання інформаційних послуг (IServ); врахування інформаційних ресурсів (IRes); наявності системи управління (MSys) та врахування інформаційних процесів (IPr). Про важливість кіберпростору свідчить поява концепцій ведення боротьби у ньому, створення у ЗС ряду країн світу спеціальних структур, призначених для ведення так званої кіберборотьби – комплексу заходів, спрямованих на здійснення управлінського та/або деструктивного впливу на автоматизовані ІТ системи протиборчої сторони й захисту від такого впливу власних інформаційно-обчислювальних ресурсів шляхом використання спеціально розроблених програмно-апаратних засобів, а також проведення ряду спеціалізованих навчань. Такий стан справ, а також глибинні зміни у відношенні більшості держав земної кулі до безпеки власних інформаційного і кіберпросторів (рис. 1.1) і, як наслідок, до кібербезпеки.

Характерними ознаками, які нині уособлюють поняття кібербезпеки (стану захищеності кіберпростору держави в цілому або окремих об’єктів його інфраструктури /ІКС, спеціальних ІКС тощо/ від ризику стороннього кібервпливу, за якого забезпечується їх сталий розвиток, а також своєчасне виявлення, запобігання й нейтралізація реальних і потенційних викликів, кібернетичних втручань і загроз особистим, корпоративним та/або національним інтересам) – є сукупність активних захисних і розвідувальних дій, що в процесі інформаційного протиборства зусиллями поодиноких інсайдерів або організованих кіберугруповань розгортаються навколо ІР, ІКТ і ІТС та які спрямовані на досягнення і утримання потенційними протиборчими сторонами переваги у протидії новим загрозам безпеці для власних об’єктів критично важливої інформаційної (кібер) інфраструктури.

Нині, з метою уникнення багатозначності у трактуванні термінів кібервтручання (фактично неприховані спроби впливу протиборчих сторін на інформаційний і кіберпростори один одного за рахунок використання засобів сучасної обчислювальної та/або спеціальної техніки й відповідного програмного забезпечення) і кіберзагрози (прояви дестабілізуючого негативного впливу на певний об’єкт, що реалізуються за рахунок використання технологічних можливостей інформаційного і кіберпросторів, створюючи при цьому небезпеку як для них самих, так й для свідомості людини у цілому), інструктивні матеріали Інтерполу рекомендують поділяти деструктивні інциденти у сфері високих технологій під якими розумітимемо порушення встановленого рівня їх безпеки (рис. 1.2) на такі основні групи:

власне комп’ютерні інциденти, що полягають, наприклад, у втручанні в роботу обчислювальних систем, порушенні авторських прав на програмне забезпечення, а також розкраданні даних і комп’ютерного часу тощо;

мережеві інциденти, що сприяють здійсненню незаконних угод.

інциденти “пов’язані з комп’ютерами”, що супроводжують головним чином протиправні дії за напрямом фінансового шахрайства.

Інша класифікація таких дій визначає сім основних їх груп, які, скоріше, можна віднести до способів або методів, використовуваних зловмисниками для здійснення нападу, а саме: перехоплення паролів інших користувачів; “соціальна інженерія”; використання помилок ПЗ й програмних закладок; використання помилок механізмів ідентифікації користувачів; використання недосконалості протоколів передачі даних; одержання інформації про користувачів стандартними засобами операційних систем; блокування сервісних функцій системи, що атакується.

Найбільший же інтерес з позицій класифікації кібернетичних втручань і загроз нині становить схема, пропонована Конвенцією Ради Європи 2001 року по боротьбі з кіберзлочинністю. У ній говориться про чотири можливі групи таких дій:

1) інциденти, спрямовані проти конфіденційності, цілісності й доступності комп’ютерних даних і систем, що реалізуються через:

несанкціонований доступ в інформаційне середовище (протиправний навмисний доступ до комп’ютерної системи або її частини, а також до ІР протиборчої сторони, зроблений в обхід систем безпеки);

втручання в дані (протиправну зміну, ушкодження, видалення, перекру-

чування або блокування комп’ютерних даних та керуючих команд шляхом проведення кібератак на інформаційні системи, ресурси та мережі державного і військового управління тощо);

втручання в роботу системи (протиправне порушення або створення перешкод функціонуванню комп’ютерної системи шляхом розробки та поширення вірусного програмного забезпечення, застосування апаратних закладок, радіоелектронного та інших видів впливу на технічні засоби та системи телекомунікацій і зв’язку, обробки та передачі інформації, системи захисту ІР, систем і мереж, програмно-математичне забезпечення, протоколи передачі даних, алгоритми адресації та маршрутизації тощо);

незаконне використання комп’ютерного й телекомунікаційного встаткування (виготовлення, придбання для використання, поширення або інші способи зробити доступними: пристрої, включаючи ПЗ, розроблені або пристосовані для здійснення кожного зі злочинів першої групи; комп’ютерні паролі, коди доступу, інші подібні дані, що забезпечують доступ до комп’ютерної системи або її частини) або його повне вилучення;

незаконне перехоплення (протиправне навмисне аудіовізуальне та/або електромагнітне перехоплення непризначених для загального доступу комп’ютерних даних, переданих в обхід заходів безпеки);

2) шахрайство та підробка, пов’язані з використанням комп’ютерів, що полягають у:

підробці документів із застосуванням комп’ютерних засобів (протиправному навмисному внесенні, змінюванні, видаленні або блокуванні комп’ютерних даних, що приводять до зниження вірогідності документів);

шахрайстві із застосуванням комп’ютерних засобів (втручанні у функціонування комп’ютерної системи з метою навмисного протиправного одержання економічної вигоди для себе або для інших осіб);

3) інциденти, пов’язані з розміщенням у мережах протиправної інформації (наприклад, поширенням дитячої порнографії тощо);

4) інциденти відносно авторських і суміжних прав.

Подані вище переліки не є вичерпними, але вони дають можливість:

по-перше, умовно об’єднати зазначені вище типи дій у дві узагальнюючі категорії – втручання і загрози, спрямовані безпосередньо на порушення нормального функціонування ІТС та підключених до них комп’ютерів (тип 1 – за схемою, пропонованою Конвенцією Ради Європи 2001 року), а також “традиційні” протиправні дії (типи 2, 3 і 4 – за тією ж схемою), що або пов’язані з комп’ютером (computer related), або вчинені за його допомогою (computer facilitated);

по-друге, зробити висновок про те, що зазначені та ним подібні дії у кіберпросторі вийшли за межі окремих країн й набули при цьому істотну фінансову підтримку та якісні комунікації;