Чинники формування інформаційної безпеки Естонії

3) створення сприятливих умов для проведення європейських тренінгів з питань інофрмаційної безпеки тощо.

2. Розвиток співробітництва між країнами-членами

З 2007 року ENISA підтримує проекти співробітництва між країнами-членами ЄС в сфері інформаційної безпеки. Так, ENISA надала підтримку проектам співпраці між Угорщиною та Болгарією щодо створення Болгарскої урядової комп'ютерної групи швидкого реагування (CERT), а також співробітництва між CERT-FI (Фінляндія) та CSIR/MERAKA (Південна Африка) щодо обміну досвідом та створення Південно-африканської групи реагування на комп'ютерні інциденти (Computer Security Incident Response Team).

ENISA також сприяла розвитку партнерства між приватними і державними структурами щодо обміну інформацією про кіберзлочини між фінансовим сектором і державними органами через Центри фінансової інформації та аналізу (FI-ISAC);

У 2010 році проекти співробітництва будуть спрямовані, насамперед, на заохочення обміну позитивним досвідом у розвитку безпечної інфраструктури, підвищення ролі національних/урядових комп'ютерних груп швидкого реагування (CERTs), зміцнення співробітництва між державним і приватним секторами (зокрема, EISAS, FI-ISAC), розвиток e-ідентичності, аутентичності, захисту даних тощо, з метою визначення основних заходів для підтримання високого рівня безпеки та довіри у життєво важливих сферах діяльності країн-членів ЄС. Планується створення онлайн порталу з інформацією про поточні і завершені проекти, реєстром кращої практики в сфері мережевої та інформаційної безпеки, онлайн публікаціями Доповідей по країнах.

Крім того, Агенцією буде проаналізовано практичну діяльність Комп'ютерних груп швидкого реагування і визначено перспективні послуги, які можуть надавати ці групи, зокрема, моніторинг і раннє попередження про інциденти/атаки, дослідження вразливостей, аналіз шкідливого програмного забезпечення тощо. [5]

Проблема інформаційної безпеки є одним з пріоритетів Сьомої Рамкової програми ЄС (2007-2013 рр.) Дослідження з безпеки інформаційно-комунікаційних технологій в Сьомій Рамковій Програмі спрямовані на розвиток знань і технологій для розбудови відкритого, безпечного інформаційного суспільства в Європі, в якому громадяни та організації можуть повною мірою користуватися перевагами нових технологій. Основний акцент зроблено на підвищенні можливостей користувачів управляти і захищати свої цифрові засоби, ідентичність та персональні дані у цифровому середовищі .

В рамках дослідницької програми розробляються п'ять тематичних блоків:

- безпечні й надійні мережеві інфраструктури та їхній захист від кіберзагроз;

- захист критичних інформаційних інфраструктур та управління їх взаємозалежностями;

- надійні і безпечні інфраструктури обслуговування;

- довіра, приватне життя та ідентичність у цифровій економіці;

- високоефективні технології для безпеки та надійність інформаційно-комунікаційних технологій.

У 2008 році розпочато реалізацію 33 дослідницьких проекти з проблеми безпеки і довіри в інформаційному суспільстві. Бюджет складає понад 160 мільйонів євро.

Значна увага в рамках ЄС приділяється проблемі кібербезпеки як складової інформаційної безпеки.

З 1999 року ЄС реалізує програми «Безпечніший Інтернет» (Safer Internet). Тривалість кожної програми - 4-5 років. Так, в рамках програми «Safer Internet plus» на період 2005-2008 роки з бюджетом у 45 мільйонів євро основна увага приділялась заходам із підвищення обізнаності громадськості, шкідливому онлайн контенту та заходам щодо підвищення безпеки онлайн середовища.

В рамках нової програми «Безпечніший Інтернет» на 2009-2013 роки передбачаються заходи не лише щодо боротьби зі шкідливим контентом, але й з небезпечною поведінкою в мережі. Бюджет програми складає 55 мільйонів євро. Основними цілями програми є підвищення обізнаності громадськості, забезпечення громадськості мережею контактних пунктів для повідомлення про незаконний та шкідливий контент і поведінку; сприяння саморегулюючим ініціативам у цій сфері та залучення дітей до створення безпечнішого онлайн середовища; створення бази знань щодо нових тенденцій у використанні онлайн технологій та їхніх наслідків для життя дітей.

В рамках програми фінансується низка проектів. Перш за все, це Інтернет-центри, які створюються на національному рівні і координуються на європейському рівні. Основна мета діяльності центрів - підвищення обізнаності дітей, батьків, вчителів про онлайн ризики, а також надання порад молоді щодо безпечного користування мережею через телефони довіри та контактні пункти. Такі Інтернет-центри функціонують у 27 країнах-членах ЄС.[5]

2.2 Правові механізми формування інформаційної безпеки Естонії

Домінантною рисою сучасних міжнародних відносин є стрімкий розвиток інформаційного суспільства, основу якого складають інформаційно-комунікаційні технології (ІКТ). Для інформаційного суспільства характерне постійне вдосконалення інформаційних технологій й швидкі темпи їхнього впровадження у всі сфери суспільного життя. Результатом є віртуалізація значної частини суспільних відносин (розвиток державних онлайн послуг, е-комерції, дистанційного навчання та ін.) і посилення залежності країн від електронних мереж та інформаційних систем.

Важливими тенденціями сучасного етапу розвитку людства є також інтенсифікація транскордонних інформаційних потоків, поширення різноманітних способів і засобів інформаційного обміну, що практично не контролюються державою. За цих умов набувають поширення нові - інформаційні - загрози та виклики, що вимагають від держав негайного реагування й застосування нестандартних заходів і рішень.

У зв'язку з цим пріоритетним питанням «порядку денного» на міжнародному, регіональному та національному рівнях стає інформаційна безпека. Активну політику в сфері інформаційної безпеки проводить Європейський Союз.

Серед країн Центрально-Східної Європи, які отримали членство в ЄС, провідні позиції у розробці і впровадженні політики інформаційної безпеки займає Естонія. Розробкою і впровадженням політики інформаційної безпеки займається Міністерство економіки та комунікацій, а точніше такі його структурні підрозділи, як Департамент державної інформаційної системи та Естонський центр інформатики [7].

Департамент державної інформаційної системи уповноважений координувати політичну діяльність в сфері інформаційних технологій та розробляти плани в сфері державних адміністративних інформаційних систем, а саме: державні ІТ-бюджети, законодавство в сфері інформаційних технологій, координація ІТ-проектів, ІТ-аудити, стандартизація, міжнародне співробітництво в сфері державних інформаційних систем.

Естонський центр інформатики є виконавчим органом в загальній системі координації державної інформаційної політики та розвитку державного сектору інформаційних технологій. Основне завдання Центру - координувати розробку і управління державною інформаційною системою. До компетенції Центру відноситься управління проектами, включаючи підготовку ІТ-проектів для державних інституцій; проведення моніторингу ситуації з інформаційними технологіями; створення державних реєстрів; розвиток комп'ютерних мереж; вироблення правових засад для сфери інформаційних технологій; здійснення державних закупівель інформаційних технологій тощо.

Міністерством економіки та комунікацій Естонії розроблено національну політику інформаційної безпеки. Основна мета політики Естонії в сфері інформаційної безпеки - створення безпечного і відкритого для міжнародної співпраці інформаційного суспільства. Більш конкретними цілями політики інформаційної безпеки є усунення неприйнятних ризиків, захист основних прав людини, забезпечення обізнаності та тренінгів в сфері інформаційної безпеки, участь у міжнародних ініціативах з е-безпеки, а також підвищення конкурентоспроможності економіки. Державна політикав сфері інформаційної безпеки охоплює п'ять сфер:

1. Співробітництво з питань е-безпеки, що координується Міністерством економіки та комунікацій. Сюди відносяться координація аналізу ризиків естонського ІКТ-середовища, створення і управління естонською комп'ютерною групою швидкого реагування, участь у діяльності Європейської агенції з питань мережевої та інформаційної безпеки, а також координація транскордонних ініціатив.

2. Кризовий менеджмент та кіберзлочинність, що координується Міністерством внутрішніх справ спільно з Міністерством оборони. Ця сфера діяльності включає підготовку плану державного кризового управління, координацію роботи державних і локальних кризових комітетів та координацію міжнародних ініціатив з кіберзлочинності.

3. Освіта і навчання, що координується Міністерством освіти і науки, Міністерством оборони, Міністерством економіки і комунікацій та Державною канцелярією. Діяльність в цій сфері включає здійснення заходів зі зв'язків з громадськістю, проведення тренінгів, створення інформаційних веб-сайтів, розвиток співпраці зі школами тощо.

4. Безпечне е-врядування, що базується на відповідному законодавстві, стандартах та процедурах, таких як безпекові вимоги до баз даних, послуг та державних закупівель. Нормативні питання узгоджуються Міністерством економіки і комунікацій спільно з Міністерством внутрішніх справ.

5. Сфера додатків, що координується Міністерством внутрішніх справ та Міністерством оборони. Сюди відноситься координація завдань, пов'язаних з безпекою додатків, зокрема, розповсюдження ідентифікаційних карток (ID cards), використання інтегрованих засобів передачі й обробки інформації (телематики) в адміністративних мережах.

8 травня 2008 року урядом Естонії затверджено Стратегію кібербезпеки Естонії на 2008-2013 роки. Згідно зі Стратегією, політика кібербезпеки має здійснюватися за такими напрямами, як оцінка уразливості національної критичної інфраструктури, розробка системи превентивних заходів проти кібератак, визначення повноважень в сфері управління кібербезпекою на національному рівні, а також вдосконалення правової бази, підвищення обізнаності громадськості щодо кіберзагроз та посилення міжнародного співробітництва.

Близько ста експертів в області безпеки, політики та ЗМІ з восьми країн на початку лютого зібралися на організовану Державної канцелярією Естонії конференцію «Психологічний захист, медійні та інформаційні загрози». Учасники конференції міркували як про ерозію мультикультуралізму в Західній Європі, так і про роль ЗМІ у поширенні пропаганди і в реалізації «м'якої сили» (soft power). Хоча такі терміни, як “психологічні операції» та «інформаційні війни» у багатьох асоціюються із періодом холодної війни, для аудиторії конференції згадані теми були як і раніше актуальними.

Вже сам склад учасників заходу вказував на те, як до згаданих тем ставиться політичне керівництво Естонії. На конференції виступили Міністр оборони Естонії Яак Аавіксоо, Міністр юстиції Рейн Ланг, представники структур оборони і безпеки держави. Від початку і до кінця у дводенній конференції брав участь Президент Естонії Тоомас Хендрік Ільвес.

Увага влади Естонії до даної сфери має свою передісторію.«У 21-му столітті безпека - це не тільки танки і артилерія», - такі слова в 2007 році після кібератак на установи Естонії виголосив представник НАТО Джеймс Аппатураї. Естонія висунула в якості однієї з цілей бути флагманом Європи в сфері IT. Крім очевидних здобутків, ця мета пов'язана також з додатковими ризиками: державне управління, ЗМІ та приватні підприємства стають все більш залежними від безпеки в інтернет-середовищі. У 2007 році згадані ризики перетворилися на реальну загрозу, приблизно протягом двох тижнів ряд міністерств, банків і провідних ЗМІ підпадали під атаки хакерів.Добре організовані атаки сприяли створенню в 2008 році в Таллінні Центру кіберзахисту НАТО (Cooperative Cyber Defence Centre of Excellence). Як наголошується на сайті згаданого центру, сучасні військові фахівці готуються використовувати кіберпростір як паралельне поле бою в конфліктах майбутнього.[7]

Національна стратегія кібербезпеки базується на таких принципах:

- інтеграція планів дій з кібербезпеки у систему національної безпеки;

- координація дій усіх зацікавлених сторін як державного, так і приватного секторів;

- високий рівень соціальної обізнаності щодо загроз у кіберпросторі та готовності реагувати на них;

- співробітництво з міжнародними організаціями та іншими країнами для посилення кібербезпеки;

- захист прав людини, персональних даних та ідентичності тощо.

У документі визначено такі стратегічні цілі Естонії у сфері кібербезпеки:

1. створення багаторівневої системи безпекових заходів;

2. розширення компетенції та обізнаності громадян країни з питань інформаційної безпеки;

3. правове регулювання питань кібербезпеки;

4. зміцнення позиції Естонії як однієї з країн-лідерів у міжнародній співпраці в сфері кібербезпеки.

При створенні багаторівневої системи безпекових заходів пріоритетне значення надається захисту критичної інформаційної інфраструктури, розробці і впровадженню заходів безпеки та організаційному співробітництву.

Діяльність щодо захисту критичної інформаційної інфраструктури включає:

- визначення послуг, необхідних для функціонування критичної інформаційної інраструктури;

- визначення взаємозалежності критичної інфраструктури та критичної інформаційної інфраструктури;

- розробка загальної методології оцінки уразливості інформаційних систем критичної інфраструктури;

- збір та обробка інформації щодо поточної ситуації у кіберпросторі для планування превентивних заходів та контрзаходів у сфері національної кібербезпеки.

Розробка та впровадження системи заходів безпеки передбачає визначення додаткових засобів безпеки інформаційних систем; визначення мінімального рівня функціональності інформаційної інфраструктури та забезпечення цього рівня функціонування у кризовій ситуації; визначення заходів протидії у надзвичайній ситуації, якщо на об'єкти критичної інфраструктури здійснено атаку; вироблення економічно прийнятних й оптимальних методів забезпечення інформаційної безпеки; розробка методів тестування для засобів безпеки; вдосконалення систем ідентифікації та моніторингу електромангітного впливу на критичну інфраструктуру; зміцнення інфраструктури Інтернет; підвищення безпеки систем контролю (наприклад, SCADA (Система управління і збору даних) - автоматизована система управління і контролю, що використовуються в промисловості); перевірка рівня безпеки об'єктів критичної інформаційної інфраструктури з точки зору електромагнітних впливів.

Контроль за впровадженням заходів безпеки для критичної інфраструктури здійснює Міністерство внутрішніх справ та Міністерство економіки і комунікацій у співробітництві з іншими міністерствами, що відповідають за різні сектори критичної інфраструктури.

Для зміцнення організаційного співробітництва передбачено реалізацію таких заходів:

- створення Ради з кібербезпеки в Комітеті з питань безпеки естонського уряду, уповноваженого втілювати у життя cтратегію кібербезпеки;

- визначення повноважень структурного підрозділу Міністерства економіки і комунікацій, що відповідає за безпеку державних інформаційних систем;

- вдосконалення методів оцінки ризиків, розроблених міністерствами та використання цих методів в сфері кібербезпеки;

- створення експертної робочої групи ( яка надаватиме професійні поради Раді з кібербезпеки), уповноваженої виявляти прогалини в інформаційній безпеці, визначати необхідні ресурси для оновлення безпекових заходів та обмінюватися оперативною інформацією;

- формулювання пропозицій для внесення поправок у національне і міжнародне законодавство;

- координація заходів щодо підвищення обізнаності в сфері кібербезпеки та визначення органу, відповідального за проведення цих заходів.

Основними способами підвищення компетентності в сфері кібербезпеки визначено організацію навчань (тренінгів) з питань кібербезпеки та проведення досліджень. Сюди відноситься, зокрема, встановлення вимог до знань в сфері інформаційної безпеки та кіберзахисту для робітників державного і приватного секторів та впровадження відповідної системи оцінювання; підвищення рівня підготовленості до кризових ситуацій в державному та приватному секторах; створення в Естонії під егідою НАТО Центру експертизи з питань кооперативної кібер-оборони (NATO Cooperative Cyber Defence Centre of Excellence).[4]

Діяльність щодо правового регулювання сфери кібербезпеки включає розробку правових визначень кібербезпеки та кіберзлочину; впровадження законодавства щодо питань кібербезпеки, включаючи запровадження обов'язкових заходів та стандартів безпеки і встановлення мінімальних вимог до безпеки інформаційних систем; започаткування ініціатив у законотворчій діяльності на міжнародному рівні тощо.

Діяльність щодо зміцнення міжнародної співпраці з питань кібербезпеки передбачає винесення проблем кібербезпеки на міжнародний «порядок денний»; сприяння ратифікації країнами Конвенції Ради Європи про кібезлочинність; обговорення проблем кібербезпеки на конференціях, семінарах та форумах; надання підтримки міжнародним корпораціям, асоціаціям, дослідницьким інститутам та неурядовим організаціям, які займаються проблемами кібербезпеки; просування кращої практики в сфері кібербезпеки на міжнародному рівні; направлення представників Естонії до експертних груп міжнародних організацій, задіяних в сфері кібербезпеки.

Важливу роль у вирішенні проблем інформаційної безпеки в Естонії відіграє Естонська інспекція захисту даних. Це установа державного нагляду, основними напрямами діяльності якої є [11]:

- надання правової допомоги і здійснення контролю (надання порад, роз'яснення, розгляд скарг, здійснення перевірок, участь у діяльності європейських організацій з питань захисту даних);

- створення баз даних державного сектору;

- реєстрація обробки конфіденційних персональних даних;

- авторизація обробки даних (авторизація обробки даних для наукових або статистичних цілей без згоди людини, авторизація передачі персональних даних з недостатнім рівнем захисту до зарубіжних країн);

- здійснення адміністративного примусу та виконання наказів щодо правової відповідальності тощо.

Інспекція здійснює нагляд за власниками інформації та особами, які обробляють персональні дані. Крім приватного сектору, діяльність Інспекції охоплює усі державні установи. У випадках, коли інтереси по захисту персональних даних протирічать інтересам щодо розголошення інформації, роль Інспекції полягає у тлумаченні та застосуванні правових норм так, щоб забезпечити збалансований захист обох благ.

З 2006 року в Естонії працює Комп'ютерна група швидкого реагування (CERT Estonia) - організація, відповідальна за управління безпековими інцидентами в національних комп'ютерних мережах (точніше, мережах домену «.ee»). Організація надає допомогу естонським Інтернет-користувачам у реалізації превентивних заходів, з метою мінімізації шкоди від безпекових інцидентів та у реагуванні на загрози безпеці. Обсяг підтримки, що надається CERT Estonia, залежить від типу та серйозності безпекового інциденту, від кількості потенційно постраждалих користувачів та наявних в організації ресурсів.

Комп'ютерною групою швидкого реагування Естонії надаються такі послуги:

- управління інцидентом - прийняття повідомлень про інцидент, пріоритизація інцидентів залежно від рівня серйозності; аналіз інциденту; надання допомоги у реагуванні на інцидент; координація дій з реагування на інцидент;

- інформування і попередження - інформування користувачів про атаки, віруси, «хробаків», «троянів» в мережах домену першого рівня «.ee» та сповіщення про уразливі місця, виявлені у найбільш популярних в Естонії системах і додатках.

CERT Estonia не надає послуг кінцевим користувачам, тому у разі безпекового інциденту користувачі мають звертатитися до системних адміністраторів їхнього Інтернет-провайдеру, до мережевих адміністраторів або до служби підтримки споживачів.

В Естонії також функціонує декілька неурядових організацій, які роблять свій внесок у зміцнення інформаційної безпеки держави. Серед них - Фонд Look@World та Центр сертифікації.[8]

У 2001 році десять провідних компаній Естонії створили Фонд Look@World з метою підвищення кількості Інтернет-користувачів в країні. Фондом реалізовано такі проекти, як тренінги з користування комп'ютерами та мережею Інтернет для 100,000 громадян, створення середовища eSchool, відкриття 500 пунктів доступу до мережі Інтернет.

23 травня 2006 року основні учасники Фонду Look@World та Міністерство економіки і комунікацій Естонії підписали договір про співпрацю щодо започаткування загальнонаціональної ініціативи під назвою «Computer Protection 2009». Мета проекту - перетворити Естонію на країну з найбільш безпечним інформаційним суспільством у світі до 2009 року [14]. Ініціатива відома під назвою «Look@World 2». Впродовж трьох років партнери Фонду Hansapank, EMT, SEB Eesti Ьhispank та Elion фінансують ініціативу у розмірі 3.83 мільйонів євро.

За договором, сторони зобов'язуються забезпечити стійкий розвиток е-послуг та ІТ-рішень, що надаються державою та приватним сектором; дати можливість користувачам е-послуг активно брати участь у захисті інформаційного суспільства, зберігаючи при цьому стабільне середовище та довіру до цих послуг; сприяти заходам із підвищення обізнаності та вдосконалення навичок, пов'язаних із ІТ-безпекою; створити умови для підвищення простоти, доступності та зручності у користуванні апаратних засобів та програмного забезпечення.

Сторони домовилися об'єднати зусилля для забезпечення розробки і впровадження додатків на базі ідентифікаційної картки (ID card) та сучасної криптографічної системи з відкритим ключем.

Згідно з договором внесок Міністерства економіки і комунікацій Естонії у реалізацію інціативи полягає у наступному:

- надання пріоритетного значення питанням інформаційної безпеки під час розробки стратегій та законодавства стосовно інформаційного суспільства і забезпечення ефективної діяльності Комп'ютерної групи швидкого реагування Естонії;

- використання рішень, що враховують можливості ідентифікаційної картки у розвитку нових безпечних публічних е-послуг та у функціонуванні державної адміністрації;

- сприяння діалогу з питань безпеки мережі Інтернет між державним і приватним секторами;

- пошук і обмін інформацією про програми ЄС, спрямовані на розвиток безпечного інформаційного суспільства;

- поширення досвіду Естонії в сфері електронної ідентифікації в країнах ЄС та полегшення обміну кращим досвідом з іншими країнами;

- участь у розробці та просуванні системи показників безпеки Інтернет та реалізації аналітичних досліджень щодо використання ідентифікаційних карток та е-послуг.

Діяльність Фонду Look@World в рамках ініціативи «Computer Protection 2009» полягає у наступному:

- просування і пріоритетний розвиток ідентифікаційних карток;

- інтеграція ідентифікаційної картки та інших механізмів ідентифікації на базі технології PKI (Public Key Infrastructure) у свої послуги та забезпечення максимального використання цифрового підпису у бізнес-процесах;

- інвестування в інфраструктуру та подібні послуги;

- проведення тренінгів та надання інформації естонським громадянам щодо користування ідентифікаційною карткою в електронних системах;

-розробка і впровадження нових послуг, що базуються на ID-картках;

- надання консультацій підприємствам та установам щодо розвитку послуг на базі ідентифікаційних карток;

- реалізація заходів щодо підвищення громадської обізнаності в сфері інформаційної безпеки, зокрема створення і підтримку порталу, присвяченого безпеці інформаційних технологій;

- поширення інформації про безпеку інформаційних технологій через засоби інформації;

- розробка показників Інтернет-безпеки та їхнє просування.

З метою інформування громадськості про ідентифікаційну картку як найбільш простий та безпечний механізм самозахисту під час використання е-послуг створено сайт http://koolitus.id.ee, на якому пояснюється, чому необхідна ідентифікаційна картка, як її отримати, як нею користуватися, як зробити електронний підпис тощо. Інформація доступна естонською та російською мовою. Крім того, створено сайт, де розміщено корисну інформацію з питань безпеки інформаційних технологій: www.arvutikaitse.ee (естонська версія), www.infosecurity.ee (російська версія).

У лютому 2001 року двома провідними банками Естонії Hansapank і SEB спільно з двома телекомунікаційними компаніями Elion і EMT створено Центр сертифікації. Це єдина установа в Естонії, яка видає сертифікати на аутентифікацію та електронний підпис для ID-карток. Основна функція Центру - забезпечення надійності та цілісності електронної інфраструктури для ідентифікаційних карток. Центр не лише видає сертифікати на ідентифікаційні картки, але й надає послуги, пов'язані із юридичною дієвістю сертифікатів та використанням електронних підписів. Послугами Центру користуються естонські банки, судові органи і нотаріуси, правоохоронні органи, Республіки Латвія та Литва та багато інших [11].

Центром сертифікації та його партнерами створено безпечну, надійну й зручну технологію DigiDoc, яка дозволяє створювати електронні підписи у будь-яких формах комунікації. Технологія, яка стала стандартом в Естонії, використовується здебільшого державним сектором (судами, урядом, органами місцевого самоврядування, банками тощо).

Таким чином, в рамках ЄС інформаційна безпека розглядається, насамперед, як такий стан інформаційних мереж і систем, що забезпечує достатній рівень захисту цілісності, доступності й конфіденційності інформації та належний рівень протидії зовнішнім негативним впливам. Відповідно одним з пріоритетів політики країн ЄС в сфері інформаційної безпеки є розробка і впровадження програм та різних технічних засобів, які дозволяють підтримувати певний рівень захисту інформаційно-комунікаційних технологій. Поряд з цим, значна увага в рамках ЄС приділяється правовим засадам інформаційної безпеки, що передбачає розробку нормативно-правових актів, які б встановлювали перелік злочинів, пов'язаних із інформаційними технологіями, й визначали відповідну кримінальну відповідальність. Іншим пріоритетом політики ЄС є інформаційна безпека громадян. По суті це високий рівень обізнаності громадськості щодо ризиків та загроз, пов'язаних з інформаційними технологіями, та щодо способів захисту своїх інформаційних систем/мереж від небажаних впливів. Сюди відноситься не лише протидія кібератакам, але й захист персональних даних, виявлення шкідливого контенту в мережі Інтернет тощо.

РОЗДІЛ 3. Когнітивний аналіз чинників формування інформаційної безпеки в Естонії

3.1 Аналіз чинників формування інформаційної безпеки в Естонії

Важливою змістовною складовою національної безпеки є інформаційна безпека. Із зростанням науково-технічного прогресу буде зростати і важливість питання інформаційної безпеки громадянина, суспільства, держави. Тобто інформація стала чинником, який може призвести до значних технологічних аварій, військових конфліктів та поразок у них, дезорганізувати державне управління, фінансову систему, роботу наукових центрів, і чим вищий рівень інтелектуалізації та інформатизації суспільства, тим потрібнішою стає надійна інформаційна безпека, оскільки реалізація інтересів, людей та держав все більше здійснюється за допомогою інформатизації. Враховуючи той факт, що під впливом інформаційних атак може цілеспрямовано змінюватися кругозір та мораль як окремих осіб, так і суспільства в цілому, нав'язуються чужі інтереси, мотиви, спосіб життя, на перший план випливає аналіз сутності та форм проявів сучасних методів скритого агресивного впливу, вияву дій, що мають цілеспрямований агресивний характер і які протирічать інтересам національної безпеки, вироблення механізмів протидії їм у всіх напрямах.[2]

Отже, інформатизаційна безпека суспільства, держави характеризується ступенем їх захищеності, та, як наслідок, стійкістю головних сфер життєдіяльності у відношенні до небезпечних інформаційних впливів. Інформаційна безпека визначається здатністю нейтралізувати такі впливи. Загальноприйнятим є таке визначення інформаційної безпеки, як стан захищеності життєво важливих інтересів громадян, суспільства та держави в інформаційній сфері.

Розрізняють внутрішні та зовнішні джерела інформаційної безпеки. Під внутрішніми джерелами розуміють відсутність історичного, політичного та соціального досвіду життя у правовій державі, що торкається процесу практичної реалізації конституційних прав та свобод громадян, в тому числі в інформаційній сфері. Е. Макаренко та В. Кирик вважають внутрішнім джерелом інформаційної безпеки посилення організованої злочинності та збільшення кількості комп'ютерних злочинів, зниження рівня освіченості громадян, що суттєво ускладнює підготовку трудових ресурсів для використання новітніх технологій, в тому числі інформаційних . Недостатня координація діяльності вищого державного керівництва, органів влади та військових формувань в реалізації єдиної державної політики забезпечення національної безпеки теж можна вважати таким джерелом. До цього слід додати і відставання Естонії від розвинутих країн за рівнем інформатизації органів державної влади, юридично-фінансової сфери, промисловості та побуту громадян.

До зовнішніх джерел належать діяльність іноземних політичних, військових, економічних та розвідувальних структур в інформаційній сфері; політика домінування деяких країн в інформаційній сфері; діяльність міжнародних терористичних груп; розробка концепцій інформаційних війн будь-якими структурами; культурна експансія у відношенні до конкретної країни.

З урахуванням майбутнього розвитку інформатизації, проникнення інформаційних технологій у найважливіші сфери життя суспільства необхідно передбачити перехід від принципу забезпечення безпеки інформації до принципу інформаційної безпеки. Розгляд інформаційної безпеки з позицій системного підходу дозволяє побачити відмінність наукового розуміння цієї проблеми від повсякденного. В повсякденному житті інформаційна безпека розуміється лише як необхідність боротьби з відтоком закритої (таємної) інформації, а також з розповсюдженням хибної та ворожої інформацій. Осмислення нових інформаційних безпек у суспільстві ще тільки починається .

Комісія з питань національної безпеки визначила такі потенційні загрози в інформаційній сфері: незбалансованість державної політики та відсутність необхідної інфраструктури в інформаційній сфері; повільне входження до світового інформаційного ринку, інформаційна експансія з боку інших країн; відтік інформації, що містить державну таємницю, а також конфіденціальної інформації, що є власністю держави.

Особливо складна сьогодні проблема завчасного створення засобів, необхідних для інформаційного протиборства, або, якщо користуватися американською термінологією, - «інформаційної війни» .

У цій сфері розвитку озброєнь розглядаються два типи дій і, відповідно, дві групи засобів. Перша сукупність засобів зв'язку, що пов'язана з «інформаційною війною» як специфічним видом протиборства, можливо не пов'язаного з традиційними військовими діями, в особливій сфері, що називається «інфосферою». При цьому зачіпаються усі компоненти інформаційного потенціалу держав: інформація і її інформаційні носії, центри зосередження інформації; наукові і всі інші кадри - творці та споживачі інформації; технічні засоби збору, переробки, накопичення, збереження і передачі інформації; програмно-математичні засоби; інфраструктура всебічних систем управління; органи управління інформаційними ресурсами держави.[3]

Хоча така війна буде вестись спеціальними структурами, у ній є суттєвий військовий аспект, поскільки можливі наслідки, що знизять бойові можливості збройних сил, а саме: блокування системи управління ракетно-ядерною зброєю та іншими стратегічними системами військового призначення; порушення роботи систем управління військово-транспортними перевезеннями та іншими системами забезпечення військових формувань (матеріалами, енергією, тощо); різке погіршення морально-політичної обстановки у військових формуваннях, серед їх резерву і зниження бойового духу особового складу внаслідок дезінформації, порушення систем забезпечення життєдіяльності, дезорганізації систем управління тощо.

Серед нових найбільш важливих засобів «інформаційної війни» сьогодні називають різні математичні, програмні засоби типу «вірусів» і «закладок», засоби дистанційного витирання інформації, що записана на магнітних носіях, генераторами електромагнітних імпульсів, засоби неконтрольованого включення у закриті інформаційні мережі та ін.

У більш вузькому розумінні слова «інформаційна війна» стає однією із різновидів дій - інформаційних (ІВД), або важливою фазою безпосередньої підготовки до них.

Так, наприклад, у США, судячи з публікацій, використовують наступне визначення для ІВД: дії, прийняті для досягнення інформаційної переваги в інтересах національної військової стратегії і здійснюючі шляхом впливу на інформацію і інформаційні системи противника при одночасному захисті власної інформації і своїх інформаційних систем .

Основними складовими ІВД потрібно вважати інтегруючі воєдино, наступні види дій (протидій), що ще недавно вважалися самостійними: розвідку (протидію розвідці супротивника, включаючи маскування і дезінформацію); РЕБ (забезпечення поміхозахисту, поміхостійкості власної зброї від засобів РЕБ супротивника); зв'язок, передачу даних (порушення систем зв?язку і обміну даними супротивника); автоматизоване управління військами і зброєю (протидія автоматизованим системам управління противника); розпізнання державної приналежності об'єктів військового призначення, їх ідентифікація (протидія супротивнику у вирішенні аналогічних завдань); навігаційне забезпечення своїх військ (сил) і засобів (зрив навігаційного забезпечення супротивника); психологічне забезпечення власних військ (сил) (психологічне подавлення супротивника).

Завдання цих традиційних видів воєнної діяльності, що розглядаються не тільки в рамках відповідних систем, але і в інтегрованій «системі систем», стають завданнями ІВД. Інтеграція є не тільки, і навіть не стільки організаційною, скільки технічною. «Системи систем» з'являються не самі по собі, а за рахунок нових засобів захищеного обміну даними, їх програмного забезпечення, удосконалення стандартів та умови сумісності систем.

Але ІВД не обмежуються тільки перерахованими системами. Інформатизація і автоматизація проникають практично на всі рівні військової ієрархії і практично у всі системи сучасної зброї.

Найважливішими складовими концепції «Інформаційна війна» є: оперативна безпека, введення супротивника в оману, психологічні операції, електронна війна і вогневе знищення, які проводяться в комплексі з глибокою і всебічною розвідкою як для дезорганізації системи управління противника, так і для захисту власної системи управління в ході бойових дій. При цьому інформація, що циркулює в системі управління, розглядається як високопріорітетний об'єкт впливу і захисту, зниження або підвищення достовірності. Для Пентагону, який використовує кілька сот різних інформаційних систем і мереж, питання інформаційної безпеки тісно примикають до питань військової безпеки.

3.2 Когнітивний аналіз чинників формування інформаційної безпеки Естонії

Когнітивний аналіз складається з декількох етапів, на кожному з яких реалізується певне завдання. Послідовне вирішення цих завдань приводить до досягнення головної мети когнітивного аналізу. Дослідники наводять різну номенклатуру етапів залежно від специфіки досліджуваного об'єкта . Якщо підсумувати й узагальнити всі ці підходи, то можна виділити такі етапи, які є характерними для когнітивного аналізу ситуації:

1. формулювання мети і завдань дослідження;

2. вивчення ситуації стосовно поставленої мети: збір, систематизація, аналіз існуючої статистичної та якісної інформації щодо об'єкта управління і його зовнішнього середовища, визначення властивих досліджуваної ситуації вимог, умов і обмежень.

3. виділення основних факторів, якіздійснюють вплив на розвиток ситуації;

4. визначення взаємозв'язку між факторами шляхом розгляду причинно-наслідкових ланцюжків (побудова когнітивної карти у вигляді орієнтованого графа);

5. вивчення сили взаємовпливу різних факторів, тому для цього використовуються як математичні моделі, які описують залежності між факторами, так і суб'єктивні уявлення експерта щодо формалізації якісних взаємин факторів.(В результаті проходження етапів 3, 4 та 5 етапів будується когнітивна модель ситуації (системи), яка відображається у вигляді функціонального графа. Тому можна сказати, що етапи з 3 по 5 являють собою когнітивне моделювання).

6. перевірка адекватності когнітивної моделі реальної ситуації (верифікація когнітивної моделі).

7. визначення за допомогою когнітивної моделі можливих варіантів розвитку ситуації, виявлення шляхів, механізмів впливу на ситуацію з метою досягнення бажаних результатів, запобігання небажаних наслідків, тобто вироблення стратегії управління.

Розробка та впровадження системи заходів безпеки передбачає визначення додаткових засобів безпеки інформаційних систем; визначення мінімального рівня функціональності інформаційної інфраструктури та забезпечення цього рівня функціонування у кризовій ситуації; визначення заходів протидії у надзвичайній ситуації, якщо на об'єкти критичної інфраструктури здійснено атаку; вироблення економічно прийнятних й оптимальних методів забезпечення інформаційної безпеки; розробка методів тестування для засобів безпеки; вдосконалення систем ідентифікації та моніторингу

8 травня 2008 року урядом Естонії затверджено Стратегію кібербезпеки Естонії на 2008-2013 роки. Згідно зі Стратегією, політика кібербезпеки має здійснюватися за такими напрямами, як оцінка уразливості національної критичної інфраструктури, розробка системи превентивних заходів проти кібератак, визначення повноважень в сфері управління кібербезпекою на національному рівні, а також вдосконалення правової бази, підвищення обізнаності громадськості щодо кіберзагроз та посилення міжнародного співробітництва.

Національна стратегія кібербезпеки базується на таких принципах:

- інтеграція планів дій з кібербезпеки у систему національної безпеки;

- координація дій усіх зацікавлених сторін як державного, так і приватного секторів;

- високий рівень соціальної обізнаності щодо загроз у кіберпросторі та готовності реагувати на них;

- співробітництво з міжнародними організаціями та іншими країнами для посилення кібербезпеки;

- захист прав людини, персональних даних та ідентичності тощо.[5]

ВИСНОВКИ

Отже, кожна нова оцінка іншої країни - це можливість оцінити Україну збоку. Кожна країна з колишнього Радянського Союзу - це можливість зробити аналіз того, як Україна скористалася своїми можливостями порівняно з іншими. На жаль, після оціки Естонії не можна сказати, що ми аж такі молодці.

Навіть порівняно із іншими балтійськими країнами цій дуже маленькій країні є чим пишатися. Перш за все, перемогою над корупцією. Секрет Естонії унікальний, бо навіть самі естонці зізнавалися, що не стільки щось дуже нове створили, а скільки вдало впровадили те, що придумали інші.

Відповідно до свідчень місцевого населення і до звітів міжнародних організацій, корупція в Естонії є скоріше винятком і не становить сьогодні реальну загрозу ні населенню, ні інвесторам. Як і в Грузії, місцеве населення говорить, що дати хабар поліцейському неможливо - всі дії службовців записуються на відео та реєструються у відповідному журналі. Відразу ж після набуття незалежності Естонії суспільство спромоглося ініціювати новий договір, який би створив рівні умови для всіх.

Досліджуючи методологічну та джерельну базу інформаційної безпеки держави, ми зрозуміли, що її можна представити двома складовими частинами: інформаційно-технічною та інформаційно-психологічної безпекою яка удосконалює системи управління інформаційною безпекою на державному та місцевому рівнях; Проаналізувавши історичну еволюцію розвитку інформаційної безпеки, ми бачимо активну роботу Естонії, стрімкий розвиток та постійне вдосконалення інформаційної безпеки. Європейська Рада розробила програму та узгодила конкретні заходи з її виконання для Естонії тому в ній розвинута галузь інформації, її безпеки та безпеки суспільства. За допомогою когнітивної аналізу очевидно реальний факт, що в Естонії здійснено багато програм та актів які формують інформаційну безпеку та забезпечення миру в країні, також розроблено багато стратегій щодо усунення проблем з безпекою інформації в цілому. Аналізуючи переваги на недоліки інформаційної безпеки Естонії за допомогою когнітивної карти, ми бачимо перевагу позитивних чинників формування ніж негативних.

Також країна активно бере участь у Міжнародний організаціях. Історія еволюції Естонії говорить про те,що за роки її існування сворювала агенції, проводила консультативні збори з метою попередження і реагування на проблеми, пов'язані з інформаційною безпекою.

СПИСОК ВИКОРИСТАНОЇ ЛІТЕРАТУРИ

1. О.М. Городецька. «МІЖНАРОДНА ІНФОРМАЦІЯ». Навчальний посібник для вищих навчальних закладів 2001.

2. Офіційний веб-сайт Посольства Естонії в Києві [Електронний ресурс]. - Режим доступу: http://www.estemb.kiev.ua/ukr

3. Стаття у мережі « Естонці розмірковують про інформаційні війни». Режим доступу: http://bbs-news.info/security/estontsyi-rassuzhdayut-ob-informatsionnyi/

4. Гуцалюк М.В. Інформаційні технології у професійній підготовці працівників правоохоронних органів // Наук. вісник Національної акад. внутрішніх справ України. - К., 2000. - № 1. - С. 140

5. Варакин Л.Е. Глобальное информационное общество: критерии развития и социально?экономические аспекты / Л.Е Варакин .? М.: Междунар. акад. связи, 2001. ? 43с., ил.

6. 2010 - A European Information Society for growth and employment [Електронний ресурс]. - Режим доступу: http://www.epractice.eu/files/media-/media_212.pdf

7. Information Society Index [Електронний ресурс]. - Режим доступу: www.idc.com

8. Measuring information society 2010 [Електронний ресурс] // International Telecommunication Union. - Режим доступу: http://www.itu.int-/ITUD/ict/publications/idi/2010/Material/MIS_2010_without_annex_4-e.pdf

9. Measuring information society 2012 [Електронний ресурс] // International Telecommunication Union. - Режим доступу: http://www.itu.int/net/pressoffice/backgrounders/general/pdf5.pdf

10. Чернов А.А. Становление глобального информационного общества: проблемы и перспективы [Електронний ресурс] / А.А. Чернов. - Режим доступу: http://www.iu.ru/biblio/archive/chernov_stanovlenie/

11. Цимбаленко Є.C. Інформаційне суспільство: стан розбудови і проблеми [Електронний ресурс] / Є.С. Цимбаленко. - Режим доступу: http://www.nbuv.gov.ua/portal/soc_gum/is/2011_14/Tsymbale.pdf

12. Фонд «Информационное общество» [Електронний ресурс]. - Режим доступу: http://www.isu.org.ua/infoobshestvoukraini/

Annotation

The goal of Estonian security information is to retain Estonia's independence and sovereignty, territorial integrity, constitutional order and public safety. Our membership in NATO and the EU helps us to fulfill these goals. Since international security is indivisible from our own, the guiding principle of Estonian security and defence policy is to be an active provider of security on its own and to participate in crisis management and peace support operations led by different international organisations. These principles have also been set out in the National Security Concept of the Republic of Estonia, passed in the Riigikogu in 2010.

Анотація

Головною метою інформаційної безпеки Естонії є збереження і зміцнення незалежності та територіальної цілісності країни, а також забезпечення конституційного порядку і безпеки населення. Політика безпеки Естонії грунтується на принципі неподільності безпеки, необхідності міжнародної співпраці і захисту демократичних цінностей. Естонія намагається внести максимальний внесок у забезпечення міжнародного миру і стабільності, будучи не тільки споживачем, а й виробником безпеки.

Размещено на Allbest.ru

...