Інформаційна безпека туризму: технології та алгоритми інформаційної безпеки

Размещено на http://allbest.ru

Державний біотехнологічний університет

Інформаційна безпека туризму: технології та алгоритми інформаційної безпеки

Худавердієва Вікторія Анатоліївна

кандидат економічних наук, доцент,

доцент кафедри туризму

м. Харків

Анотація

У статті розглянуто методологічні засади дослідження інформаційних аспектів безпеки туризму. Визначено місце понять «інформаційна безпека туризму» у структурі категорії «безпека туризму». Виділено ключові проблеми розвитку туристичної діяльності, зумовлені соціальними та інформаційними загрозами. Розглянуто методи захисту інформаційних систем від несанкціонованого доступу.

Проблема захисту від несанкціонованого доступу особливо загострилася з поширенням локальних і особливо глобальних комп'ютерних мереж. Визначено перелік основних заходів забезпечення інформаційної безпеки.

Наведено класифікацію алгоритмів шифрування, що використовуються для захисту даних, та розглянуто методи захисту на прикладі операційних систем різних поколінь та в програмному забезпеченні на прикладі операційних систем.

В даний час розроблено цілу систему алгоритмів шифрування, покликаних забезпечити надійний захист на всіх рівнях функціонування інформаційних систем. Особливу увагу приділено актуальному на сучасному етапі розвитку інформаційних технологій безпеки та захисту даних у комп'ютерних мережах.

Вивчено питання захисту інформації під час віддаленого доступу. Так, у міру розширення діяльності підприємств, зростання чисельності персоналу та появи нових філій виникає необхідність доступу віддалених користувачів (або груп користувачів) до обчислювальних та інформаційних ресурсів головного офісу компаній. У зв'язку з цим захист інформації, що передається каналами віддаленого доступу, вимагає особливого підходу. У найближчому майбутньому питання безпеки туризму, очевидно, займе належне місце в маркетингових стратегіях туристичних підприємств, більше того, стане одним із важливих факторів конкурентної боротьби.

Щоб підтримувати інформаційну безпеку на високому рівні, потрібний комплексний підхід. Визначено перспективи подальших досліджень соціальних та інформаційних аспектів інформаційної безпеки туризму.

Ключові слова: інформаційна безпека, загроза безпеці, шифрування інформації, криптографія, інформаційна система, рівень інформаційної безпеки, несанкціонований доступ.

Abstract

Information security of tourism: information security technologies and algorithms

Khudaverdiyeva Viktoriya Anatolyivna Сand. econom. Science, docent of State biotechnological university (SBTU), Kharkiv

The article examines the methodological principles of research into the informational aspects of tourism security. The place of the concepts "tourism information security" in the structure of the "tourism security" category was determined. The key problems of the development of tourism activity caused by social and informational threats are highlighted. Methods of protecting information systems from unauthorized access are considered.

The problem of protection against unauthorized access has become particularly acute with the spread of local and especially global computer networks. A list of the main measures to ensure information security has been determined.

The classification of encryption algorithms used for data protection is presented, and protection methods are considered using the example of operating systems of different generations and in software using the example of operating systems.

Currently, a whole system of encryption algorithms designed to provide reliable protection at all levels of information systems functioning has been developed. Particular attention is paid to the current stage of development of information technologies of security and data protection in computer networks. The issue of information protection during remote access has been studied.

Thus, as enterprises expand, the number of personnel increases, and new branches appear, there is a need for remote users (or groups of users) to access the computing and information resources of the company's head office. In this regard, the protection of information transmitted by remote access channels requires a special approach. In the near future, the issue of tourism security will obviously occupy a proper place in the marketing strategies of tourist enterprises, moreover, it will become one of the important factors of the competitive struggle. To maintain information security at a high level, a comprehensive approach is required. Prospects for further research into the social and informational aspects of tourism information security are determined.

Keywords: information security, security threat, information encryption, cryptography, information system, level of information security, unauthorized access.

Вступ

Постановка проблеми. Туристична галузь - одна з найчутливіших до загроз інформаційної безпеки. Це і не дивно - адже туристичні компанії обробляють найрізноманітнішу конфіденційну інформацію про своїх клієнтів, і навіть звичайні відомості про туриста можуть сказати дуже багато про його смаки, звички, уподобання та стан здоров'я. Інформаційна безпека туристичної фірми може бути забезпечена лише за умови суворого дотримання норм у сфері захисту персональних даних. Крім цього, туризм - одна з галузей, яка найчастіше використовує платежі через інтернет. Бронювання номерів у готелях, резервування авіаквитків та іншої інфраструктури з оплатою через Всесвітню мережу - найзвичайніше явище у сфері подорожей та туризму. Тому одним із найважливіших завдань туристичних компаній є безпечна обробка банківських даних та реалізація всіх вимог PCI DSS (стандарту захисту даних в індустрії платіжних карток) [1]. Інформаційна безпека туристичної фірми, як правило, забезпечується тими самими процедурами та засобами, що й будь-якого іншого комерційного підприємства, але з урахуванням підвищеної кількості чутливих даних та транзакцій.

Аналіз останніх досліджень і публікацій. Проблеми інформаційної безпеки, переважно, як складової національної безпеки досліджують Голод А.П., Галатенко В.А., Брюхомицький Ю.А., Макаревич О.Б., Зубанов Ф.В., Fuchs L. та ін. У той же час, інформаційна складова безпеки туризму залишається майже недослідженим напрямом наукових досліджень. Сучасні інформаційні технології та методи криптографічного захисту пропонують безліч різних рішень проблеми безпеки конфіденційної інформації, що ґрунтуються на тих чи інших механізмах, залежно від ситуації та умов, зміщених у бік того чи іншого складового вектора. Значна кількість публікацій з тематики, їх аналіз у вітчизняних і зарубіжних виданнях підкреслюють значущість і актуальність питання, що розглядається [2-14]. Для визначення оптимального рівня інформаційної безпеки системи необхідно враховувати ступінь взаємодії всіх її складових та вплив їх на роботу кінцевого користувача з урахуванням застосування того чи іншого рішення в конкретній ситуації функціонування інформаційної системи.

Мета статті. Сучасний розвиток світової економіки характеризується дедалі більшою залежністю ринку від значного обсягу інформаційних потоків. Незважаючи на всі зусилля зі створення технології захисту даних, їх вразливість не тільки не зменшується, а й постійно зростає. Тому актуальність проблем, пов'язаних із захистом потоків даних та забезпеченням інформаційної безпеки їх обробки та передачі, дедалі більше посилюється. Проблема забезпечення внутрішньої інформаційної безпеки стає дедалі актуальнішою для вітчизняних компаній. Це пов'язано з загостренням конкурентної боротьби на внутрішніх ринках, і з виходом компаній на міжнародний рівень. Багато хто з них уже не може забезпечити захист комерційної інформації власними силами і змушений користуватися послугами професіоналів.

Виклад основного матеріалу

У зв'язку зі швидким розвитком інформаційних технологій та формуванням сучасного інформаційного суспільства суттєво трансформуються також підходи до трактування інформаційної безпеки туризму. туристичний інформаційний шифрування комп'ютерний

Акценти поступово зміщуються від глобального та державного до локального та індивідуального рівнях.

Особливо актуальними напрямами наукових пошуків є забезпечення безпеки в контексті поширення мережі Інтернет, а також проблеми, пов'язані зі збиранням персональних даних та доступом до них. Конституція України визначає інформаційну безпеку однієї з найважливіших функцій держави та справи всього українського народу. У 2009 році на виконання рішення Ради національної безпеки і оборони України (далі - РНБО) від 21 березня 2008 року «Про невідкладні заходи щодо забезпечення інформаційної безпеки України», введеними в дію Указом Президента України від 23 квітня 2008 року № 377 [5], в Україні була прийнято Доктрину інформаційної безпеки (Указом Президента України від 08 липня 2009 року № 514)[6]. Згідно з Доктриною інформаційної безпеки України (далі - Доктрина), інформаційна безпека є самостійною сферою забезпечення національної безпеки України та одночасно невід'ємною складовою кожної з її сфер.

Основною метою Доктрини є створення в Україні розвиненого національного інформаційного простору та захист її інформаційного суверенітету.

Доктрина визначає:

• засади забезпечення інформаційної безпеки України;

• життєво важливі інтереси в інформаційній сфері України у контексті інтересів особистості, суспільства, держави;

• реальні та потенційні загрози інформаційній безпеці України у сфері державної безпеки та зовнішньополітичної, військової, внутрішньополітичної, економічної, соціальної, гуманітарної, науково-технологічної, екологічної сфер.

В інформаційній сфері України Доктрина виокремлює такі життєво важливі інтереси:

1. інтереси особистості: забезпечення конституційних права і свободи людини на збирання, зберігання, використання та поширення інформації; недопущення несанкціонованого втручання у зміст, процеси обробки, передачі та використання персональних даних; захищеність від негативного інформаційно-психологічного впливу;

2. інтереси суспільства: збереження та примноження духовних, культурних та моральних цінностей українського народу; забезпечення суспільно-політичної стабільності, міжетнічної та міжконфесійної згоди; формування та розвиток демократичних інститутів громадянського суспільства;

3. інтереси держави: недопущення інформаційної залежності, інформаційної блокади України, інформаційної експансії з боку інших держав та міжнародних структур; ефективна взаємодія органів державної влади та інститутів громадянського суспільства при формуванні, реалізації та коригуванні державної політики в інформаційній сфері; побудова та розвиток інформаційного суспільства; забезпечення економічного та науково- технологічного розвитку України; формування позитивного іміджу України; інтеграція України у світовий інформаційний простір.

Відповідно до Доктрини забезпечення інформаційної безпеки України має здійснюватися за такими принципами [6]:

• свобода збору, зберігання, використання та розповсюдження інформації;

• достовірність, повнота та неупередженість інформації;

• обмеження доступу до інформації виключно на підставі закону;

• гармонізація особистих, суспільних та державних інтересів;

• запобігання правопорушенням в інформаційній сфері;

• економічна доцільність;

• гармонізація українського законодавства з міжнародним в інформаційній сфері;

• пріоритетність національної інформаційної продукції.

Для реалізації останнього принципу необхідна державна підтримка вітчизняного виробника інформаційної продукції та телекомунікаційного обладнання, національних операторів телекомунікацій, зокрема шляхом створення нормативно-правових, фінансових, фіскальних та інших передумов для підвищення їх конкурентоспроможності на світовому та національному ринках інформаційних та телекомунікаційних послуг.

Держава для забезпечення інформаційної безпеки України має вживати відповідних заходів у всіх сферах, де існують реальні та потенційні загрози у сфері державної безпеки та зовнішньополітичної, військової, внутрішньополітичної, економічної, соціальної, гуманітарної, науково- технологічної, екологічної сфер. Доктрина інформаційної безпеки України спрямована на забезпечення необхідного рівня інформаційної безпеки України у конкретних умовах даного історичного періоду та є основою для: формування державної політики у сфері інформаційної безпеки України; розроблення проектів концепцій, стратегій, цільових програм та планів дій щодо забезпечення інформаційної безпеки України; підготовки пропозицій щодо подальшого системного вдосконалення правового, методичного, науково-технічного та організаційного забезпечення інформаційної безпеки України.

29 грудня 2016 року РНБО України ухвалила нову Доктрину інформаційної безпеки України, розроблену Міністерством інформаційної політики України. Нова Доктрина визначає національні інтереси в інформаційній сфері, мету, завдання, принципи та механізми формування та реалізації державної інформаційної політики.

Згідно з новою Доктриною, пріоритетами державної політики України в інформаційній сфері є:

• створення та розвиток структур, відповідальних за інформаційно-психологічну безпеку;

• розвиток та захист технологічної інфраструктури забезпечення інформаційної безпеки України;

• забезпечення повного покриття території України цифровим мовленням, насамперед прикордонних та тимчасово окупованих територій.

Будь-яка інформаційна система (ІС) повинна відповідати трьом основним вимогам: функціональність, інформаційна безпека, сумісність. Присвоєння категорій безпеки інформації та інформаційним системам проводиться на основі оцінки збитків, які можуть бути завдані порушеннями безпеки. При цьому виділяють три аспекти інформаційної безпеки: доступність, конфіденційність та цілісність [7]. У кожній організації, незалежно від її розмірів, штату, сфери діяльності та інших факторів, консолідуються малі чи великі інформаційні масиви, які потребують захисту. Вимоги до конфіденційності встановлюються як державним законодавством, регуляторами, так і внутрішньою політикою конкретного підприємства, зацікавленого у охороні комерційної та інших видів таємниць.

Керівники підприємства повинні зайнятися розробкою та подальшим використанням концепції забезпечення кібербезпеки. Ця документація є основною для створення внутрішніх технічних регламентів та систем заходів захисту. Створенням політики безпеки найчастіше займаються сторонні висококваліфіковані фахівці з інформаційної безпеки, які мають солідний досвід у сфері проведення аудиту інформаційних систем, організаційних структур підприємств, бізнес-процесів, що діють, у створенні найбільш відповідного комплексу заходів забезпечення інформаційної безпеки.

До переліку основних заходів забезпечення інформаційної безпеки прийнято відносити [8]:

• Криптографічний захист даних. При реалізації цього заходу використовують спеціальні механізми захисту за допомогою шифрування інформації для забезпечення кібербезпеки організації. Криптографічні захисні методи застосовуються в різних галузях діяльності для зберігання, обробки, передачі інформації по мережах зв'язку та на різних носіях.

• Виявлення кібератак та захист від них. У цьому випадку передбачається використання спеціалізованих систем виявлення вторгнень (IDS), які на сьогоднішній день є одними з найважливіших елементів сучасних систем кібербезпеки внутрішніх мереж підприємств і організацій. Незважаючи на те, що використання технології IDS не гарантує повного захисту даних, вона все одно відіграє значну роль у цій сфері.

• Розмежування доступу до інформаційних систем. Розмежування доступу в сучасних організаціях представлено у вигляді комплексу правил, що визначає для кожного суб'єкта, методу та об'єкта наявність або відсутність прав доступу за допомогою зазначеного методу. Найбільшого поширення зараз мають дві моделі розмежування доступу - дискреційна та повноважна.

• Міжмережні екрани. Представлені у вигляді програмних або програмно-апаратних елементів комп'ютерних систем, основне завдання яких полягає в контролі та фільтрації проходить веб-трафіку відповідно до заданих правил. Міжмережні екрани забезпечують захист сегментів мережі або окремих хостів від несанкціонованого доступу із застосуванням уразливих місць у програмному забезпеченні або протоколах мережевої моделі OSI.

• Антивірусний захист. Антивірусне програмне забезпечення застосовується для профілактики та діагностики вірусного зараження, а також для відновлення функціонування інформаційних систем, які вже були уражені шкідливим програмним забезпеченням. Антивірусні програми є програмним забезпеченням, що використовується для виявлення, знищення вірусів, шкідливого ПЗ, програм-вимагачів, шпигунського софту і т.д.

• Резервне копіювання даних (бекап). Під час резервного копіювання створюються копії файлів на іншому пристрої або в хмарній інфраструктурі у разі втрати або пошкодження основного пристрою. Існує два основні способи резервного копіювання: диференціальне та повне. При повному виконується копіювання всіх файлів, а при диференціальному - вперше копіюється все, а надалі лише ті файли, до яких було внесено зміни

• Захист від відтоку даних. Захист такого типу являє собою реалізацію комплексу заходів, які спрямовані на те, щоб забезпечити збереження і цілісність інформації туристичної компанії, що захищається, для зведення до мінімуму ймовірності виникнення фінансових і репутаційних втрат, якщо такий відтік все ж таки трапиться. Для захисту від відтоків інформації використовуються DLP-системи, які забезпечують повноцінний контроль інформаційних ресурсів підприємства, відстеження вмісту повідомлень та документообігу, попередження про порушення безпекових політик, допомогу при здійсненні розслідувань та запобігання відтоку даних.

• Протоколювання та аудит. Під протоколюванням прийнято розуміти процеси збирання та накопичення інформації про ті події, що відбуваються в інформаційній системі. Аудит - аналіз зібраної інформації, що здійснюється у режимі реального часу або з певною періодичністю. Якщо аудит виконується з автоматичним реагуванням на виявлені нештатні ситуації, його називають активним.

При розгляді проблем захисту даних, наприклад, у комп'ютерних мережах, насамперед, виникає питання щодо класифікації збоїв та порушень прав доступу, які можуть призвести до знищення чи небажаної модифікації даних. Серед таких потенційних «загроз» можна виділити: збої обладнання (збої кабельних систем, перебої електроживлення, збої дискових систем, збої систем архівації даних); втрати інформації через некоректну роботу програмного забезпечення (ПЗ) (збої роботи серверів, робочих станцій, мережевих карт тощо, втрата або зміна даних при помилках ПЗ); втрати, пов'язані з несанкціонованим доступом (втрати при зараженні системи комп'ютерними вірусами, несанкціоноване копіювання, знищення або підробка інформації); втрати інформації, пов'язані з неправильним зберіганням архівних даних; помилки обслуговуючого персоналу та користувачів. В даний час розроблено цілу систему алгоритмів шифрування, покликаних забезпечити надійний захист на всіх рівнях функціонування інформаційних систем:

• симетричні (з секретним, єдиним ключем, одноключові, single-key). До них відносяться: потокові (шифрування потоку даних): з одноразовим або нескінченним ключем (infinite-key cipher); з кінцевим ключем (система Вернама - Vernam); на основі генератора псевдовипадкових чисел (ПВЧ); блокові (шифрування даних поблочно): шифри перестановки (permutation, Р-блоки) і шифри заміни (підстановки, substitution, S-блоки) - моноалфавітні (код Цезаря) і поліалфавітні (шифр Відженера, циліндр Джефферсона, диск Уетстоуна, Enigma) ; складові;

• асиметричні (з відкритим ключем, public-key): Діффі-Хеллман DH (Diffie, Hellman); Райвест-Шамір-Адлеман RSA (Rivest, Shamir, Adleman); Ель Гамаль (ElGamal). Крім того, є поділ алгоритмів шифрування на власне шифри (ciphers) та коди (codes). Шифри працюють із окремими бітами, літерами, символами. Коди оперують лінгвістичними елементами (склади, слова, фрази) [9].

Прикладом може бути файлова система EFS (Encrypting File System), яка свого часу з'явилася в Microsoft Windows 2000, що здійснювала прозоре шифрування файлів. Шифрування виконується на випадковому файловому ключі (FEK - File Encryption Key), який зашифровується асиметричним алгоритмом на відкритому ключі користувача та зберігається разом із зашифрованим файлом. Крім цього, FEK зашифровується і на одному або декількох відкритих ключах агентів відновлення даних і також записується у файловий дескриптор. Таким чином, агент відновлення даних може будь-якої миті розшифрувати файл за допомогою свого секретного ключа. Дана схема є реальним прикладом використання «чорного ходу» - зашифрована користувачем інформація у будь-який момент може бути отримана, наприклад, адміністрацією організації, в якій він працює [10].

Проблема захисту від несанкціонованого доступу особливо загострилася з поширенням локальних і особливо глобальних комп'ютерних мереж. Необхідно також зазначити, що найчастіше шкода завдається не через «злий намір», а через елементарні помилки користувачів, які випадково псують або видаляють життєво важливі дані. У зв'язку з цим, крім контролю доступу, необхідним елементом захисту в комп'ютерних мережах є розмежування повноважень користувачів. У комп'ютерних мережах при організації контролю доступу та розмежування повноважень користувачів найчастіше використовуються вбудовані засоби мережевих операційних систем. Але в такій системі організації захисту все одно залишається слабке місце: рівень доступу та можливість входу до системи визначаються паролем. Для виключення можливості неавторизованого входу в комп'ютерну мережу останнім часом використовується комбінований підхід - пароль + ідентифікація користувача по персональному «ключу». В якості «ключа» може використовуватися пластикова карта (магнітна або з вбудованою мікросхемою - смарт-картка) або різні пристрої для ідентифікації особистості за біометричною інформацією - по райдужній оболонці ока або відбиткам пальців, розмірам кисті руки і т.д.

Оснастивши сервер або мережеві робочі станції, наприклад, пристроєм читання смарт-карток та спеціальним програмним забезпеченням, можна значно підвищити рівень захисту від несанкціонованого доступу. У цьому випадку для доступу до комп'ютера користувач повинен вставити смарт- картку в пристрій читання та ввести персональний код. Програмне забезпечення дозволяє встановити кілька рівнів безпеки, які управляються системним адміністратором. Можливий і комбінований підхід із введенням додаткового пароля, при цьому вжито спеціальних заходів проти «перехоплення» пароля з клавіатури. Цей підхід значно надійніший за застосування паролів, оскільки, якщо пароль підгледіли, користувач про це може не знати, якщо ж зникла картка, можна вжити заходів негайно. Смарт-картки управління доступом дозволяють реалізувати, зокрема, такі функції, як контроль входу, доступ до пристроїв персонального комп'ютера, доступ до програм, файлів і команд.

Захист інформації під час віддаленого доступу: у міру розширення діяльності підприємств, зростання чисельності персоналу та появи нових філій виникає необхідність доступу віддалених користувачів (або груп користувачів) до обчислювальних та інформаційних ресурсів головного офісу компаній. У зв'язку з цим захист інформації, що передається каналами віддаленого доступу, вимагає особливого підходу. Зокрема, в мостах і маршрутизаторах віддаленого доступу застосовується сегментація пакетів - їх поділ і передача паралельно по двох лініях, - що унеможливлює «перехоплення» даних при незаконному підключенні «хакера» до однієї з ліній. До того ж використовується при передачі даних процедура стиснення пакетів, що передаються, гарантує неможливість розшифровки «перехоплених» даних. Крім того, мости та маршрутизатори віддаленого доступу можуть бути запрограмовані таким чином, що віддалені користувачі будуть обмежені у доступі до окремих ресурсів мережі головного офісу.

Розроблені й спеціальні пристрої контролю доступу до комп'ютерних мереж по комутовании лініям. Наприклад, фірмою АТ&T ще в 1995 році був запропонований модуль Remote Port Security Device (PRSD), що представляє собою два блоки розміром зі звичайний модем: RPSD Lock (замок), що встановлюється в центральному офісі, і RPSD Кеу (ключ), що підключається до модему віддаленого користувача. RPSD Кеу і Lock дозволяють встановити кілька рівнів захисту та контролю доступу, зокрема: робочих місць (work location sub-system) і шифрування даних, що передаються по лінії за допомогою генерованих цифрових ключів. В даний час асортимент пропонованих на ринку додатків для обмеження доступу досить широкий і охоплює різноманітні програмні продукти. Одні з них блокують доступ до налаштувань операційної системи, інші - дозволяють контролювати доступ до різноманітних пристроїв, треті - повністю блокують комп'ютер без користувача, четверті - забезпечують приховування персональних даних. Нерідко зазначені можливості поєднуються в тій чи іншій комбінації, що цілком зрозуміло, адже багатьом користувачам для вирішення завдань, що стоять перед ними, потрібно обмежити доступ відразу по кількох напрямках [11].

Таким чином, вибір для конкретних інформаційних систем має бути заснований на глибокому аналізі слабких та сильних сторін тих чи інших методів захисту. Обґрунтований вибір тієї чи іншої системи захисту, загалом, має спиратися на якісь критерії ефективності. На жаль, досі не розроблено відповідних методик оцінки ефективності криптографічних систем. Найбільш простий критерій такої ефективності - ймовірність розкриття ключа чи потужність безлічі ключів, інакше кажучи, криптостійкість. Для її чисельної оцінки можна використовувати також складність розкриття шифру шляхом перебору всіх ключів. Але в цій схемі є ряд недоліків, що визначаються тим, що цей критерій не враховує важливих вимог до криптосистем: неможливість розкриття або осмисленої модифікації інформації на основі аналізу її структури; досконалість використовуваних протоколів захисту; мінімальний обсяг використовуваної ключової інформації; мінімальна складність реалізації (у кількості машинних операцій), її вартість; висока оперативність.

Щоб підтримувати інформаційну безпеку на високому рівні, потрібний комплексний підхід. Найчастіше недостатньо просто встановити на робочі комп'ютери антивіруси, а на вході підприємства поставити камеру відеоспостереження. Для ефективного захисту слід комбінувати та застосовувати різні засоби захисту (адміністративні, технічні, правові, фізичні). Варто окремо сказати про резервне копіювання. Завдяки йому можна швидко відновити вихідні дані, якщо їх було втрачено або спотворено в результаті кібератаки або помилки співробітника. Резервне копіювання - простий та універсальний інструмент, що підвищує стабільність будь-якої системи. Зазвичай резервні копії записують на знімні носії (які зберігають окремо та під замком) або зберігають у хмарі, або поєднують обидва способи. Як додатковий захист часто застосовується шифрування.

Основні засади політики інформаційної безпеки [12-14]:

1. Надавати кожному співробітнику мінімально необхідний рівень доступу до даних - стільки, скільки потрібно для виконання посадових обов'язків. Цей принцип дозволяє уникнути багатьох проблем, таких як витік конфіденційних даних, видалення чи спотворення інформації через порушення в роботі з нею і т.д.

2. Багаторівневий підхід до забезпечення безпеки. Поділ співробітників по секторах та відділах, закриті приміщення з доступом за ключем, відеоспостереження, регламент передачі відомостей, багаторазове резервування даних - чим більше рівнів захисту, тим ефективніша діяльність із забезпечення інформаційної безпеки. Важлива роль такій захисній системі відводиться міжмережевим екранам. Це «контрольно-пропускні пункти» для трафіку, які ще на вході відсіватимуть багато потенційних загроз та дозволять встановити правила доступу до ресурсів, якими користуються співробітники.

3. Дотримання балансу між потенційними збитками від загрози та витратами на її запобігання. Визначаючи безпекову політику на підприємстві, треба зважувати втрати від порушення захисту інформації та витрати на її захист. Важливо розуміти, що жодна система безпеки не здатна дати 100% гарантію захисту даних. Але багаторівнева комплексна система захисту інформації однозначно ефективніша, ніж застосування окремих методів забезпечення інформаційної безпеки. Заходи забезпечення інформаційної безпеки, які приймаються для формування системи кібербезпеки туристичної організації, безпосередньо залежать від нормативно-правових регламентів, що діють щодо компанії, а також від затвердженої всередині організації концепції протидії кіберзагрозам.

Висновки

Отже, в сучасних умовах здійснення туристичної діяльності інформаційні проблеми безпеки туризму набувають все більшої актуальності. Враховуючи це, важливим завданням економічних досліджень безпеки туризму є обґрунтування їх теоретико-методологічних засад, насамперед щодо визначення ключових понять та структурних особливостей. На наш погляд, головним аспектом, який має бути відображений у змісті поняття «інформаційна безпека туризму», є його конструктивна складова, яка полягає в наявності сприятливого для організації туризму інформаційного середовища. В даний час розвиваються не тільки технології інформаційної безпеки, але і технології, які можуть здійснювати різні правопорушення навіть у захищеній системі. Таким чином, будь-яка система забезпечення інформаційноїбезпеки, будучи в певному сенсі надійною, не дає повного забезпечення безпеки. Саме тому необхідно вести дослідження у цій сфері, здійснюючи комплексний підхід при конструюванні систем захисту інформації, використовуючи не тільки перевірені технології та пристрої, а й персонал, який навчений та компетентний у галузі технологій та права.

Література

1. Голод А.П. Безпека туризму як об'єкт регіональних економічних досліджень. Інноваційна економіка: науково-виробничий журнал. - Тернопіль, 2019. № 4(53). С. 190-194.

2. Галатенко В.А. Категорування інформації та інформаційних систем. Забезпечення базового рівня інформаційної безпеки. Jet Info. 2018. № 4. URL: http://www.jetinfo.ru/stati/kategorirovanie-informatsii-i-informatsionnykh-sistem-obespechenie

3. Fuchs L. Roles in information security - A survey and classification of the research area. Computers & Security. 2017. Vol. 30, Iss. 8. P. 748-769. URL: https://doi.org/10.1016/j.cose. 2017.08.002

4. Брюхомицький Ю.А., Макаревич О.Б. Огляд досліджень та розробок з інформаційної безпеки. За матеріалами доповідей ХІІ Міжнар. наук.-практ. конф. «Інформаційна безпека - 2020». Вісті ЮФУ. Технічні науки. 2020. С. 8-21.

5. Рішення Ради національної безпеки і оборони України від 21 березня 2008 року «Про невідкладні заходи щодо забезпечення інформаційної безпеки України», введеними в дію Указом Президента України від 23 квітня 2008 року № 377. URL: https://zakon.rada.gov.ua

6. Доктрита інформаційної безпеки. Указ Президента України від 08 липня 2009 року № 514. URL: https://zakon.rada.gov.ua

7. Корж Н.В. Формування системи економічної безпеки індустрії туризму як складової стійкого розвитку туризму в Україні. Економіка. Управління. Інновації. 2019. №2. URL: http://www.nbuv.gov.ua/e-joumals/eui/2019/2/1 lknvtvy.pdf

8. Kovari I. Safety and Security in the Age of Global Tourism. Applied Studies in Agribusiness and Commerce. Budapest, 2021. №3-4. Vol. 5. P. 59-61.

9. Чмора А.Л. Сучасна прикладна криптографія. 2-ге вид., стер. М: Геліос АРВ, 2014. 256 с.

10. Зубанов Ф.В. Microsoft Windows 2000. Планування, розгортання, встановлення. 2-ге вид. К.: Редакція, 2018. 592 с.

11. Усцелімов В.М. Удосконалення підсистеми інформаційної безпеки на основі інтелектуальних технологій. Прикладна інформатика. 2016. Т. 11, № 3 (63). С. 31-38.

12. Mansfeld Y. Tourism, Security and Safety. From Theory to Practice. Routledge, 2019. 376 p.

13. Michalko G. Tourism Eclipsed by Crime: the Vulnerability of Foreign Tourists in Hungary. Safety and Security in Tourism: Relationships, Management, and Marketing. Routledge, 2020. P. 159-172.

14. Whitman M. Management of Information Security. Cengage Learning, 2019. 576 p.

References

1. Golod, A.P. (2019). Bezpeka turyzmu iak ob'iekt rehional'nykh ekonomichnykh doslidzhen'. Innovatsijna ekonomika: naukovo-vyrobnychyj zhurnal. [Tourism safety as an object of regional economic research. Innovative economy: scientific and industrial journal.] Ternopil', 2019. № 4(53). S. 190-194. [in Ukrainian].

2. Galatenko, V.A. (2018). Katehoruvannia informatsii ta informatsijnykh system. Zabezpechennia bazovoho rivnia informatsijnoi bezpeky. Jet Info. [Categorization of information and information systems. Ensuring a basic level of information security. Jet Info.]. № 4. Retrieved from: http://www.jetinfo.ru/stati/kategorirovanie-informatsii-i-informatsionnykh- sistem-obespechenie [in Ukrainian].

3. Fuchs, L. (2017). Roles in information security - A survey and classification of the research area. Computers & Security. [Roles in information security - A survey and classification of the research area. Computers & Security.] Vol. 30, Iss. 8. P. 748-769. Retrieved from: https://doi.org/10.1016/j.cose.2017.08.002 [in Ukrainian].

4. Briukhomyts'kyj, Yu.A., Makarevych, O.B. (2020). Ohliad doslidzhen' ta rozrobok z informatsijnoi bezpeky. Za materialamy dopovidej Khll Mizhnar. nauk.-prakt. konf. «Informatsijna bezpeka - 2020». Visti YuFU. Tekhnichni nauky. [Overview of information security research and development. According to the reports of the XII International science and practice conf. "Information security - 2020". News of Yufu. Technical sciences], S. 8-21. [in Ukrainian].

5. Rishennia Rady natsional'noi bezpeky i oborony Ukrainy vid 21 bereznia 2008 roku «Pro nevidkladni zakhody schodo zabezpechennia informatsijnoi bezpeky Ukrainy», vvedenymy v diiu Ukazom Prezydenta Ukrainy vid 23 kvitnia 2008 roku № 377. (n.d.). zakon.rada.gov.ua. Retrieved from: https://zakon.rada.gov.ua [in Ukrainian].

6. Doktryna informatsijnoi bezpeky. Ukaz Prezydenta Ukrainy vid 08 lypnia 2009 roku № 514. (n.d.). zakon.rada.gov.ua. Retrieved from: https://zakon.rada.gov.ua [in Ukrainian].

7. Korzh, N.V. (2019). Formuvannia systemy ekonomichnoi bezpeky industrii turyzmu iak skladovoi stijkoho rozvytku turyzmu v Ukraini. Ekonomika. Upravlinnia. Innovatsii. Elektronne naukove fakhove vydannia. [Formation of the system of economic security of the tourism industry as a component of the sustainable development of tourism in Ukraine. Economics. Management. Innovations. Electronic scientific publication.№2. Retrieved from: http://www.nbuv.gov.ua/e-joumals/eui/2019/2/1 lknvtvy.pdf [in Ukrainian].

8. Kovari, I. (2021). Safety and Security in the Age of Global Tourism. Applied Studies in Agribusiness and Commerce. Budapest, 2021. №3-4. Vol. 5. P. 59-61.

9. Chmora, A.L. (2014). Suchasna prykladna kryptohrafiia [Modern applied cryptography]. 2-he vyd., ster. M: Helios ARV. 256 s. [in Ukrainian].

10. Zubanov, F.V. (2018). Microsoft Windows 2000. Planuvannia, rozghortannia, vstanovlennia. 2-he vyd. [Microsoft Windows 2000. Planning, deployment, installation. 2nd edition] K.: Redaktsiia. 592 s. [in Ukrainian].

11. Ustselimov, V.M. (2016). Udoskonalennia pidsystemy informatsijnoi bezpeky na osnovi intelektual'nykh tekhnolohij. Prykladna informatyka. [Improvement of the information security subsystem based on intelligent technologies. Applied informatics.]. 2016. T. 11, № 3 (63). P. 31-38. [in Ukrainian].

12. Mansfeld, Y. (2019). Tourism, Security and Safety. From Theory to Practice / Y. Mansfeld, A. Pizam. Routledge, 2019. 376 p.

13. Michalko, G. (2020). Tourism Eclipsed by Crime: the Vulnerability of Foreign Tourists in Hungary. Safety and Security in Tourism: Relationships, Management, and Marketing. Routledge, 2020. P. 159-172.

14. Whitman, M. (2019). Management of Information Security. Cengage Learning, 576 p.

Размещено на Allbest.ru