Сучасний стан розвитку системи захисту інформації з обмеженим доступом в Україні

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Національний технічний університет України «Київський політехнічний інститут імені Ігоря Сікорського»

Інститут спеціального зв'язку та захисту інформації

Сучасний стан розвитку системи захисту інформації з обмеженим доступом в Україні

The current state of development of the information protection system with limited access in Ukraine

Коц Д.В.,

У статті визначено й проаналізовано сучасний стан розвитку системи захисту інформації з обмеженим доступом в Україні. Визначаючи й характеризуючи кожну складову системи захисту інформації з обмеженим доступом в Україні, автор з урахуванням уже опублікованих ним наукових праць, доводить існування в нашій державі складових досліджуваної системи та їхній взаємний зв'язок. На основі власного підходу до формування поняття «система захисту інформації з обмеженим доступом», за якого враховані законодавчі визначення суміжних понять, автором визначено й проаналізовано складові системи захисту інформації з обмеженим доступом, також досліджено їхнє законодавче підґрунтя для визначення функціонування таких складових як системи.

Визначення складових досліджуваної системи проведено в розрізі приписів нормативно-правових актів чинного національного законодавства України, які формують, змінюють і припиняють (врегульовують) суспільні правовідносини, пов'язані з питаннями захисту інформації з обмеженим доступом в Україні. Вказане дало змогу дійти висновку, що всі складові досліджуваної системи на сучасному етапі її розвитку не тільки повністю наявні в інформаційному суспільному житті нашої країни, але й нормативно врегульовані. Також в результаті спостереження за динамікою розвитку нормативно-правового регулювання складових досліджуваної системи відзначено, що складові системи постійно змінюються, прямі зв'язки в системі вдосконалюються пошуком новітніх, науково обґрунтованих засобів і заходів впливу суб'єктів системи на її об'єкти. Така трансформація відбувається через появу нових і зміну наявних зовнішніх чинників, які впливають на систему в цілому й на її складові. Своєю чергою нормативно-правове регулювання можливості отримання суб'єктами досліджуваної системи від її об'єктів зворотних зв'язків про стан системи через унормування критеріїв, показників якості, методів оцінювання, аудиту, інших способів визначення якості впливу суб'єктів на об'єкти для надійного функціонування системи дещо відстає від такого ж регулювання інших складових системи.

Ключові слова: система захисту інформації, інформація з обмеженим доступом, захист інформації, державна безпека, інформаційна безпека.

The article defines and analyzes the current state of development of the information protection system with limited access in Ukraine. By identifying and characterizing each component of the information protection system with limited access, the author, taking into account the already published scientific works, proves the existence of the components of the system and their mutual connection. Based on their own approach to the concept of “information protection system with limited access”, which takes into account the legislative definitions of related concepts, the author identifies and analyzes the components of the system, and investigates their legal basis to determine the functioning of components as system under study.

Determination of components of the investigated system is made in the context of the prescriptions of legal acts of the current national legislation, which form, change and terminate public legal relations related to the protection of information with limited access in Ukraine. This made it possible to conclude that all components of the system under study at the current stage of its development are not only fully available in the information public life of our country, but also normatively regulated. As a result of observing the dynamics of legal regulation of the components of the system, it is noted that the components of the system are constantly changing, direct links in the system are being improved by searching for new, scientifically substantiated means and measures of influence of the subjects of the system on its objects. This transformation occurs through the emergence of new ones and the change of existing external factors that affect the system as a whole and its components. In turn, the legal regulation of the getting subjects of the system under study from its objects feedback on the state of the system through definition of criteria, quality indicators, methods of assessment, audit, other ways of determining the quality of the impact of subjects on objects for reliable functioning of the system is slightly behind the same regulation of other components of the system.

Key words: information security system, information with limited access, information protection, state security, information security.

Постановка проблеми

Доктринальним надбанням дослідження стали праці вчених, які вивчали питання розвитку системи захисту інформації, періодизації захисту інформації й визначали стан такого захисту в певний період часу або принаймні стан складових досліджуваної системи. Це, зокрема, праці A. М. Гуза, Б.А. Кормича, В.А. Ліпкана, О.В. Шапети, B. І. Діоріци, Л.Ю. Веселової, В.І. Гурковського та деяких інших учених. У зв'язку з таким станом розроблення питання, яке підлягає аналізу, найбільш цікавим і дискусійним залишається визначеність і розвинутість складових частин системи захисту інформації на сучасному етапі її існування.

Деякі науковці (О.В. Шапета, В.І. Діоріца та інші) приділяли увагу питанням розвитку сучасної системи одного з видів захисту інформації в Україні, висвітлюючи питання в розрізі основного предмета свого дослідження й у взаємозв'язку з ним. Цікавим є також розуміння проблеми розвитку захисту інформації в Україні А.М. Гуза [1, с. 112-127]. Однак розвідані й висвітлені вказаними науковцями питання не охоплюють у цілому сучасну систему захисту інформації з обмеженим доступом (далі - система, досліджувана система), є дотичними до аналізованого в цьому дослідженні питання, але сприятимуть аналізу та його висвітленню з урахуванням сучасних поглядів.

Мета статті - визначити й проаналізувати стан розвитку системи захисту інформації з обмеженим доступом на сучасному етапі розбудови нашої держави.

Виклад основного матеріалу дослідження

Що ж відбувається з досліджуваною системою на сучасному етапі? Чи функціонує система для виконання завдань за призначенням? Для відповіді на ці запитання нагадаємо синтезоване автором раніше визначення системи. Система захисту інформації з обмеженим доступом - сукупність суб'єктів, що провадять діяльність із захисту інформації з обмеженим доступом, об'єктів, щодо яких здійснюється такий захист, і взаємопов'язаних заходів науково-технічного, інформаційного, освітнього характеру, організаційних, правових заходів, а також інженерно-технічних та інших заходів [2, с. 251].

Тож для аналізу сучасного стану системи в нашій державі слід визначити її складові частини, охарактеризувати їхній склад і сучасний стан.

Так, під загальним об'єктом системи в наведеному вище визначенні системи розуміємо сукупність об'єктів, щодо яких здійснюється суб'єктами системи захист.

Із проаналізованих законодавчих понять системи технічного захисту інформації, наведених у ч. 1 ст. 1 Закону України «Про Державну службу спеціального зв'язку та захисту інформації України» [3] та національної системи кібербезпеки (ч. 1 ст. 8 Закону України «Про основні засади забезпечення кібербезпеки України» [4]), а також виходячи з розуміння Законом України «Про захист інформації в інформаційно-телекомунікаційних системах» (ст. 2) об'єктів захисту в системі [5] до об'єктів системи слід віднести насамперед інформацію (відомості та/або дані), програмні й апаратні засоби, призначені для обробки інформації, а також їх сукупності: комунікаційні системи всіх форм власності, у яких обробляються національні інформаційні ресурси та/або які використовуються в інтересах органів державної влади, органів місцевого самоврядування, правоохоронних органів і військових формувань, утворених відповідно до закону; об'єкти критичної інформаційної інфраструктури; комунікаційні системи, які використовуються для задоволення суспільних потреб і/або реалізації правовідносин у сферах електронного урядування, електронних державних послуг, електронної комерції, електронного документообігу. Тобто крім інформації та засобів її оброблення до об'єктів системи відносимо інформаційні, комунікаційні, технологічні, інформаційно-телекомунікаційні системи, в яких обробляється таємна (в широкому розумінні, не тільки державна таємниця), службова та/або конфіденційна інформація.

Суб'єкти системи - це насамперед держава в особі уповноважених органів і посадових осіб, які вживають заходи щодо об'єктів системи: Верховна Рада України,

Президент України, Рада національної безпеки і оборони України, Кабінет Міністрів України, Служба безпеки України, інші органі, які здійснюють розвідувальну, контррозвідувальну й оперативно-розшукову діяльність, Держспецзв'язку, Національний банк України, Міністерство оборони України, інші міністерства, центральні органи виконавчої влади, місцеві державні адміністрації, а також органи місцевого самоврядування, власники інформаційних, комунікаційних, технологічних, інформаційно- телекомунікаційних систем (підприємства, установи, організації, інші суб'єкти господарювання).

Повноваження вказаних суб'єктів системи визначаються Конституцією України, базовими законами про цих суб'єктів, а також спеціальними законами, які регулюють суспільні правовідносини в Україні, пов'язані з захистом інформації з обмеженим доступом. Причому коло суб'єктів і їх правосуб'єктність є плинними, постійно змінюючись, реагуючи на зміну й виникнення нових подразників (зовнішніх чинників) системи. Адже досліджувана система, як будь-яка система, має бути рівноважною (перебувати у внутрішній збалансованості) й реагувати на зміну й появу нових загроз для системи.

Прямі й зворотні зв'язки в системі можливо виразити через системні, взаємопов'язані заходи науково-технічного, інформаційного, освітнього характеру, організаційні, правові заходи, а також інженерно-технічні та інші заходи (прямі зв'язки), які здійснюють суб'єкти системи щодо об'єктів, впливаючи на них для досягнення очікуваного результату, бажаної мети (зворотних зв'язків).

Тож заходи, які здійснюються суб'єктами в системі стосовно об'єктів, є прямими зв'язками досліджуваної системи, а досягнення мети й відповідних результатів вжитих суб'єктами заходів є зворотними зв'язками системи. Бажаними (позитивними) результатами здійснених суб'єктами системи заходів є такі:

- належний рівень захищеності інформації з обмеженим доступом у системах, у яких вона обробляється;

- захищеність державної таємниці та іншої інформації, вимоги щодо захисту якої встановлені законом [6];

- досконала система підготовки кадрів у сферах інформаційної безпеки, захисту інформації, спеціального зв'язку, кібербезпеки, яка ґрунтується на передових досягненнях науки й техніки;

- безпека об'єктів критичної інфраструктури [7];

- належний стан інформаційної безпеки, кібербезпеки, державної, національної безпеки.

На сучасному етапі розвитку системи захисту інформації з обмеженим доступом в Україні наявні всі її складові. Об'єкти, суб'єкти системи й прямі зв'язки визначено на рівні законів України, а зворотні зв'язки - підзаконними актами.

Також чинне законодавство нашої держави окреслює об'єкти системи (Конституція України, Закони України «Про національну безпеку», «Про основні засади забезпечення кібербезпеки», «Про захист інформації в інформаційно-телекомунікаційних системах», «Про державну таємницю», «Про інформації», «Про доступ до публічної інформації», «Про захист персональних даних», «Про банки і банківську діяльність», Цивільний кодекс України, Господарський кодекс України та інші).

Прямі зв'язки системи унормовано в Україні також Законами України «Про оборону», «Про наукову і науково- технічну діяльність», «Про освіту», «Про вищу освіту», «Про професійну (професійно-технічну) освіту», «Про Національну програму інформатизації», «Про військовий обов'язок і військову службу» та іншими.

Щодо зворотних зв'язків системи наведені законодавчі акти лише в загальному окреслюють створення певних порядків і критеріїв оцінки рівня захищеності інформації з обмеженим доступом для отримання інформації про досягнення мети чи отримання бажаних результатів прямих зв'язків.

Так, Законами України «По основні засади забезпечення кібербезпеки України», «Про захист інформації в інформаційно-телекомунікаційних системах», а також базовими законами про суб'єктів, які здійснюють заходи щодо захисту інформації з обмеженим доступом, передбачаються повноваження таких суб'єктів щодо встановлення певних правил (порядків, нормативів, критеріїв тощо) оцінювання рівня захищеності інформації (у тому числі з обмеженим доступом). Усталеною є нормопроєктувальна практика, за якої законами не визначаються деталі правил, нормативів і стандартів, порядків, даючи повноваження державним органам підзаконними актами деталізувати такі правила, нормативи, стандарти, порядки.

Так, по-перше, Кабінетом Міністрів України в розвиток Закону України «Про основні засади забезпечення кібербезпеки України» затверджено Загальні вимоги до кіберзахисту об'єктів критичної інфраструктури (Постанова Кабінету Міністрів України від 19 червня 2019 р. № 518), якими визначено організаційно-методологічні, технічні й технологічні умови кіберзахисту об'єктів критичної інфраструктури, що є обов'язковими до виконання підприємствами, установами й організаціями, які відповідно до законодавства віднесені до об'єктів критичної інфраструктури, а також критерії й вимоги до об'єктів критичної інформаційної інфраструктури об'єкта критичної інфраструктури [8].

По-друге, Адміністрацією Держспецзв'язку в розвиток Закону України «Про Державну службу спеціального зв'язку та захисту інформації» затверджено «Порядок оцінки стану захищеності державних інформаційних ресурсів у інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах» (Наказ адміністрації Держспецзв'язку від 2 грудня 2014 р. № 660), яким визначено правові й організаційні засади оцінювання стану захищеності державних інформаційних ресурсів в інформаційних, телекомунікаційних й інформаційно-телекомунікаційних системах державних органів, органів місцевого самоврядування, військових формувань, утворених відповідно до законів України, підприємств, установ і організацій [9].

По-третє, Національним банком України у розвиток Законів України «Про Національний банк України», «Про банки і банківську діяльність», «Про захист інформації в інформаційно-телекомунікаційних системах» розроблено і затверджено Положення про організацію заходів із забезпечення інформаційної безпеки в банківській системі України (Постанова правління Національного банку України від 28 вересня 2017 р. № 95), яким визначені обов'язкові мінімальні вимоги до банків щодо організації заходів із забезпечення інформаційної безпеки та кіберзахисту, принципи управління інформаційною безпекою, вимоги до інформаційних систем банку, що взаємодіють з інформаційними системами Національного банку України з урахуванням напрямів розвитку криптографічного захисту інформації [10].

Такі порядки й правила визначили шляхи отримання певних зворотних зв'язків досліджуваної системи, вони також є важливими й дають змогу учасникам інформаційних правовідносин правильно розуміти й виконувати норми законів у частині захисту інформації, в тому числі з обмеженим доступом, а також визначають порядок отримання суб'єктами системи зворотних зв'язків про результат своєї діяльності щодо об'єктів системи та/або уявлення про межі допустимих критеріїв об'єктів системи.

Також національні стандарти з питань інформаційної безпеки, зокрема ДСТУ КО/ГЕС 27000:2019 «Інформаційні технології. Методи захисту. Системи керування інформаційною безпекою. Огляд і словник термінів», ДСТУ КО/ГЕС 27005:2019 «Інформаційні технології. Методи захисту. Управління ризиками інформаційної безпеки» та ДСТУ КО/ГЕС тS 27008:2019 «Інформаційні технології. Методи захисту. Настанова щодо оцінювання захисту інформаційної безпеки» [11], є вагомою складовою частиною формування зв'язків системи. Зазначені стандарти гармонійно зі стандартами міжнародної спільноти розвивають прямі й зворотні зв'язки системи.

За таких обставин всі складові частини досліджуваної системи на сучасному етапі її розвитку не тільки повністю наявні в інформаційному суспільному житті нашої країни, але й нормативно врегульовані.

Також важливим є те, що спостереження за динамікою розвитку нормативно-правового регулювання складових частин досліджуваної системи дає можливість дійти висновку, що складові частини системи постійно змінюються, прямі зв'язки в системі вдосконалюються шляхом віднайдення новітніх, науково обґрунтованих засобів і заходів впливу суб'єктів системи на її об'єкти. Така трансформація відбувається через появу нових і зміну наявних зовнішніх чинників, які впливають на систему загалом і на її складники.

Крім цього правове регулювання отримання суб'єктами системи від її об'єктів зворотних зв'язків про стан системи через унормування критеріїв, показників якості, методів оцінювання, аудиту, інших способів визначення якості впливу суб'єктів на об'єкти для надійного функціонування системи дещо відстає від такого ж регулювання інших складових частин системи.

захист інформація обмежений доступ

Висновки

Крім цього перетворення, які відбуваються з об'єктами й суб'єктами системи, неминуче впливають на зміну прямих і зворотних зв'язків у системі для відновлення її внутрішньої врівноваженості (збалансованості) під впливом нових викликів, продиктованих часом. Проте нормативне визначення зворотних зв'язків відстає від темпів перетворення інших складових частин системи, що не може не відбиватися на її збалансованості.

Список використаних джерел

1. Гуз А.М. Історія захисту інформації в Україні та провідних країнах світу: навчальний посібник. Київ: КНТ, 2007. 260 с.

2. Коц Д.В. Становлення й розвиток системи захисту інформації з обмеженим доступом в Україні (1991-2019 рр.) Вісник НТУУ «КПІ». Серія «Політологія. Соціологія. Право». 2019. Вип. 3 (43). С. 250-254.

3. Про Державну службу спеціального зв'язку та захисту інформації України: Закон України від 23 лютого 2006 р. № 3475-М Відомості Верховної Ради (ВВР). 2006. № 30. Ст. 258.

4. Про основні засади забезпечення кібербезпеки України: Закон України від 5 жовтня 2017 р. № 2163^Ш. Відомості Верховної Ради України (ВВР). 2017. № 45. Ст. 42.

5. Про захист інформації в інформаційно-телекомунікаційних системах: Закон України від 5 липня 1994 р. № 80/94-ВР Відомості Верховної Ради України (ВВР). 1994. № 31. Ст. 286.

6. Доктрина інформаційної безпеки України: Указ Президента України від 25 лютого 2017 р. № 47. URL: https://zakon.rada.gov.ua/ laws/show/47/2017.

7. Стратегія національної безпеки України: Указ Президента України від 26 травня 2015 р. № 287. URL: https://zakon.rada.gov.ua/ laws/show/287/2015.

8. Загальні вимоги до кіберзахисту об'єктів критичної інфраструктури: Постанова Кабінету Міністрів України від 19 червня 2019 р. № 518. URL: https://zakon.rada.gov.ua/laws/show/518-2019-%D0%BF.

9. Порядок оцінки стану захищеності державних інформаційних ресурсів в інформаційних, телекомунікаційних та інформаційно- телекомунікаційних системах: Наказ адміністрації Державної служби спеціального зв'язку та захисту інформації України від 2 грудня 2014 р. № 660. URL: https://zakon.rada.gov.ua/laws/show/z0090-15.

10. Положення про організацію заходів із забезпечення інформаційної безпеки в банківській системі України: Наказ Національного банку України від 28 вересня 2017 р. № 95. URL: https://zakon.rada.gov.ua/laws/show/ v0095500-17.

11. Про прийняття та скасування національних стандартів, прийняття поправок до національних стандартів: Наказ Державного підприємства «Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості» від 16 жовтня 2019 р. № 312. URL: http://uas.org.ua/ua/services/standartizatsiya/nakazi-dp-ukrndnts/2019-2.

Размещено на Allbest.ru