Стан, тенденції та проблеми технічного захисту інформації в інформаційних системах в Україні

Трутнєв М. В.
20.05.2005 | 13:59
На цей час в Україні йде інтенсивне впровадження в усі сфери життєдіяльності особи, суспільства та держави новітніх інформаційних технологій, створення автоматизованих систем обробки даних, локальних і територіально розподілених обчислювальних мереж, систем електронної пошти, інтеграція відомчих мереж та їх взаємодія за допомогою телекомунікаційних каналів з закордонними корпоративними та глобальними мережами, у тому числі з Internet.

До найбільш важливих автоматизованих систем державного значення належать Єдина автоматизована інформаційна система митних органів України, Автоматизована інформаційно-аналітична система Кабінету Міністрів України, автоматизовані системи Державної податкової адміністрації та Рахункової палати Верховної Ради України, Єдина державна автоматизована паспортна система, Міжвідомча інтегрована інформаційно-аналітична система правоохоронних органів, Єдина супутникова система передачі інформації, Єдина база статистичних даних та статистичної звітності Міністерства статистики України та інші. Крім того, є нагальна потреба у створенні подібних інформаційних систем в інших галузях.

Все це зумовлює поширення в інформаційних системах та системах зв’зку великих обсягів інформації, яка становить державну та іншу передбачену законом таємницю, конфіденційної інформації, відкритої інформації, важливої для особи, суспільства та держави, а також створює передумови для витоку інформації, порушення її цілісності та блокування. Результати аналізу стану ТЗІ в АС та цифрових відомчих АТС, які експлуатуються або створюються в обласних державних адміністраціях, свідчать, що в усіх регіонах цим питанням приділяється недостатня увага. Це зумовлено наступними основними причинами: відсутністю або недостатньою кількістю кваліфікованих спеціалістів у предметній галузі (є регіони, в яких немає жодного ліцензіата Держкомсекретів); в облдержадміністраціях та органах місцевого самоврядування не передбачено штатних посад для спеціалістів по захисту інформації, бо це (а також і розрахунки їх трудозатрат) не передбачено відповідними нормативними документами; практична відсутність як централізованого фінансування робіт, так і з місцевих бюджетів. В результаті при впровадженні АС та ЦАТС вжитих заходів недостатньо для ефективного захисту інформації, що обмежує сферу використання цифрової техніки лише окремими категоріями інформації і призводить до низького рівня ефективності її використання.

Разом з тим, як позитивний факт слід вважати, що в ряді органів виконавчої влади розпочато роботи із створення та удосконалення відомчої нормативно-правової та нормативної бази з питань захисту інформації в АС та СЗ, розроблюються і впроваджуються відомчі положення про порядок обробки інформації засобами обчислювальної техніки, концепції створення систем захисту інформації, порядок класифікації відомчої інформації з обмеженим доступом тощо.

Активізувалися роботи із створення нормативної бази з питань захисту інформації в інформаційних системах. На цей час розроблено проекти 9 основоположних нормативних документів: “Критерії оцінки захищеності інформації в комп’ютерних системах від несанкціонованого доступу”, “Класифікація автоматизованих систем та стандартні класи захищеності інформації від НСД”, “Загальні положення щодо захисту інформації в комп’ютерних системах від НСД. Терміни та визначення”, “Методика оцінки захищеності інформації (базова) в програмно-керованих АТС загального користування” тощо. Загалом, впровадження цих документів дасть змогу вже найближчим часом встановити в державі єдині стандартизовані вимоги до захищених АС та АТС, що складає мінімально необхідну нормативну базу для регламентації процесів їх створення, а також дає об’єктивну (формалізовану) шкалу для оцінки ефективності захисту.

Зараз нормативними документами системи технічного захисту інформації передбачені процедури оцінювання захищеності інформації в сфері захисту інформаційних систем:

- сертифікація окремих засобів та програмно-апаратних комплексів захисту інформації;

- видача дозволів на використання засобів ТЗІ та продукції, яка містить їх у своєму складі, імпортного виробництва;

- атестація засобів обчислювальної техніки, засобів захисту інформації від витоку технічними каналами.

Однак, зазначені процедури не можуть бути застосовані для оцінки захищеності інформації в цілому в АС. До того ж, сертифікація на відповідність вимогам ТЗІ багатьох програмно-апаратних засобів і комплексів як вітчизняного, так і, особливо, закордонного виробництва у зв’язку з їх логічною складністю виявляється неможливою або недоцільною, що підтверджується загально визнаною практикою виконання таких робіт у розвинутих країнах.

Отже, є нагальна необхідність запровадження в державі процедури оцінки рівня захищеності інформації та видачі дозволу на її обробку в АС. Методологічною основою виконання такої оцінки має бути експертиза технічних рішень та організаційних заходів, яка базується як на узагальненні висновків окремих експертів, так і на результатах інструментальних вимірювань. Впровадження такої процедури дозволить отримати об’єктивну оцінку рівня захищеності інформації в АС та ефективності окремих засобів захисту інформації, сформувати перелік рекомендованих до використання продуктів, звести до мінімуму витрати коштів на проведення таких робіт, привести інформаційні відносини в частині оцінки ефективності захисту інформації у відповідність до міжнародних норм і правил.

БІБЛІОГРАФІЧНИЙ СПИСОК

1. Концепція технічного захисту інформації в Україні. Затверджена постановою Кабінету Міністрів України від 8 жовтня 1997 р., № 1126.