logo search
БОГУШ,ЮДИН

О.К.Юдін, в.М.Богуш

ІНФОРМАЦІЙНА

БЕЗПЕКА

ДЕРЖАВИ

2004

УДК 355.40

Рецензенти:

доктор технічних наук, професор С.Я. Жук

доктор технічних наук, професор Ю.О.Смірнов

Юдін O.K., Богуш В.М.

Інформаційна безпека держави. — Харків: Консум, 2004. — 508 с.

ISBN 966

Приведена систематизована сукупність відомостей про інформаційну безпеку держави та шляхи її забезпечення. Визначене місце інформаційної безпеки в загальній системі національної безпеки, вплив дестабілізуючих факторів та інформаційних загроз на безпеку особистості, суспільства та держави, основи інформаційного протиборства та інформаційної боротьби, зміст і форми психологічних операцій та інформаційно-психологічної безпеки, а також загальні підходи до забезпечення безпеки інформаційних технологій. Детально розглядаються основні положення інформаційної безпеки України, способи та форми її забезпечення.

Призначається для студентів, що навчаються за усіма спеціальностями освітнього напряму "Інформаційна безпека".

ISBN 966

©О.К.Юдін,В.М.Богуш, 2004

ВСТУП

На початок 21 сторіччя припадає революційна фаза розви­тку суспільства — на зміну індустріальному суспільству приходить інформаційно-індустріальне суспільство, в якому велике значення набувають системи розповсюдження, зберігання і оброблення інфор­мації. Відображаючи реальну дійсність, інформація проникає в усі напрямки діяльності держави, суспільства, громадянина.

З появою нових інформаційних технологій, заснованих на широ­кому впровадженні засобів обчислювальної техніки, зв'язку, систем телекомунікації, вона стає постійним і необхідним атрибутом забез­печення діяльності держави, юридичних осіб, суспільних об'єднань і навіть пересічних громадян. Дійсно, системи електронного доку­ментообігу в державних установах, система електронних платежів, карткова система сплати телефонних дзвінків, телевізор із телетекс­том або телефонні та відеотелефонні розмови через Інтернет уже стали часткою повсякденного життя.

Іншою стороною цих процесів є збільшення кількості цінної ін­формації, яка обробляється в автоматизованих системах, від якості, достовірності і оперативності одержання якої залежить більшість ва­жливих рішень, що приймаються на різних рівнях — від голови дер­жави до громадянина. Як наслідок — нормальне життя суспільства все більше залежить від правильності функціонування таких інфор­маційних систем. Більш того, вони стають і найважливішим об'єктом для атаки з боку сил, ворожих для суспільства (або окремої держа­ви). Інформаційна сфера стає не тільки однією з найважливіших сфер міжнародного співробітництва, але і об'єктом суперництва.

Інформаційний вплив на державу, суспільство, громадянина за­раз більш ефективний і економний, ніж політичний, економічний і навіть воєнний. Країни з більш розвиненою інформаційною інфра­структурою, установлюючи технологічні стандарти й, надаючи по­купцям свої ресурси, визначають умови формування і діяльності ін­формаційних структур в інших країнах, здійснюють суттєвий вплив

3

ВСТУП

на розвиток їхніх інформаційних сфер. При формуванні державної інформаційної політики і програми входження в інформаційне су­спільство одним із найбільших пріоритетів стає розвиток і гаранту­вання безпеки інформаційної сфери на основі створення державної системи інформаційної безпеки.

Навчальний посібник відображає сучасні погляди на стан та за­безпечення інформаційної безпеки особистості, суспільства та держа­ви. Причому інформаційна безпека особистості це, насамперед, захи­щеність психіки і свідомості людини від небезпечних інформаційних впливів: маніпулювання свідомістю, дезінформування, спонукання до самогубства, образ і т.ін. Інформаційна безпека держави (суспіль­ства) характеризується мірою захищеності держави (суспільства) та стійкості основних сфер життєдіяльності (політики, економіки, нау­ки, техносфери, сфери управління, воєнної сфери і т.ін.) відносно не­безпечних (дестабілізуючих, деструктивних, що уражають державні інтереси і т.ін.) інформаційних впливів, причому як з упровадження, так і добування інформації. Інформаційна безпека держави визнача­ється як здатність нейтралізувати такі впливи.

Перша частина посібника присвячена розгляду сучасних основ інформаційної безпеки держави.

Докладно окреслене місце й роль інформаційної безпеки в загаль­ній системі національної безпеки:

До основних положень інформаційної безпеки віднесені:

4

ВСТУП

нату, інформаційної кооперації та у формі інформаційного про­тиборства.

Інформаційне протиборство характеризується, з однієї сторони, впливом на системи добування, оброблення, розповсюдження та збе­рігання інформації противника, а з іншої — застосуванням заходів за­хисту своїх подібних систем від деструктивного та керуючого впливу. Приведена загальна характеристика основних форм інформаційного протиборства: інформаційної війни, інформаційного тероризму, ін­формаційної злочинності.

Інформаційна війна розглядається як комплексний вплив на ін­формаційну сферу противника, який має за мету створення умов для ведення бойових дій (інформаційна боротьба), або як самостій­ний фактор, що змушує конфронтуючу державу (а не окремі дер­жавні органи) відмовитися від намічених політичних, економічних та інших цілей.

Визначені основні поняття інформаційної війни. Сформульова­не поняття концепції інформаційної війни як системи поглядів на інформаційну війну та шляхи її ведення. Приведені поняття орга­нів інформаційної війни, їхні функції та завдання, а також загальна характеристика основних форм ведення інформаційної війни на дер­жавному та воєнному рівнях.

Основи теорії інформаційної боротьби можуть бути подані за­гальними основами теорії інформаційної боротьби, теорією уражен­ня інформації та теорією захисту інформації.

Власне інформаційна боротьба включає комплекс заходів інфор­маційного забезпечення, інформаційного захисту та інформаційної протидії, які здійснюються за єдиним замислом і планом із метою захоплення й утримання інформаційної переваги.

Порядок і прийоми застосування сил і засобів інформаційної бо­ротьби для захоплення й утримання інформаційної переваги над противником при підготовці і проведенні бойових дій визначається способами інформаційної боротьби, що поділяються на три основні категорії: силові, інтелектуальні та комбіновані, а також за аналогі­єю із збройною боротьбою вони можуть бути як наступальними, так і оборонними.

Оцінка ефективності інформаційної боротьби розглядається як сукупність способів, прийомів визначення кількісних значень пока­зників інформованості протидіючих сторін та розрахунку ступеня інформаційної переваги однієї з них над іншою у відповідності до мети інформаційної боротьби.

5

ВСТУП

В окремому розділі розглядаються основи психологічної війни та інформаційно-психологічної безпеки держави:

• забезпечення інформаційно-психологічної безпеки на основі ство­рення державної системи інформаційно-психологічної безпеки, визначення її функцій, структури, сил та засобів, а також напрямів діяльності — ліцензування, сертифікації, експертизи в галузі інформаційно-психологічної діяльності та контролю за її станом. В заключному розділі першої частини посібника приведені основи державної інформаційної політики, які полягають у визначенні основних напрямів діяльності держави в основних галузях інформа­ційної сфери, змісту програми входження держави в інформаційне суспільство та політики забезпечення інформаційної безпеки.

У другій частині посібника викладені загальні основи безпеки ін­формаційних технологій.

В окремому розділі розглядаються основні властивості інформа­ції як предмета захисту, основні характеристики інформаційних си­стем як об'єктів безпеки та основні проблеми безпеки інфор­маційних технологій.

Детально розглядаються фундаментальні основи безпеки інфор­маційних ресурсів:

6

ВСТУП

• безпека мереж телекомунікації подається на основі рекоменда­цій міжнародної спілки електрозв'язку Х.800 та стандарту між­народної організації стандартизації ISO 7498-2 щодо архітектури безпеки в моделі взаємодії відкритих систем, приводиться опис процедур захисту та сервісних служб захисту.

Стандарти вимог і критерії оцінки захищеності інформаційних технологій призначені для взаємодії між виробниками, споживача­ми і експертами з кваліфікації продуктів інформаційних технологій у процесі створення та експлуатації захищених систем оброблення інформації.

У посібнику надається (у хронологічному порядку) загальна ха­рактеристика критеріїв оцінки захищеності інформаційних техно­логій: Критерії безпеки комп'ютерних систем, Європейські критерії безпеки інформаційних технологій, Федеральні критерії безпеки ін­формаційних технологій, Канадські критерії безпеки комп'ютерних систем, Загальні критерії безпеки інформаційних технологій.

Розглядаються основні положення та складові частини Загаль­них критеріїв: потенційні загрози та типові завдання захисту, полі­тика безпеки, продукт інформаційних технологій, профіль захисту, проект захисту, функціональні вимоги безпеки, вимоги гарантій та рівні гарантій безпеки, а також шляхи та перспективи застосування Загальних критеріїв в Україні.

В останньому розділі другої частини посібника розглядається проблема створення ефективних систем інформаційної безпеки на основі сучасних методів менеджменту, основною метою яких ста­ло би скорочення матеріальних втрат, зв'язаних із порушенням ін­формаційної безпеки. Приводяться основні положення міжнародного стандарту ISO 17799, основна ідея якого — допомогти державним та комерційним організаціям вирішити достатньо складне завдання: не тільки забезпечити надійний захист інформації, але також організу­вати ефективний доступ до даних та нормальну роботу з ними.

У третій частині посібника розглядаються підходи до забезпече­ння інформаційної безпеки України.

Проведений аналіз інформаційної безпеки України:

7

ВСТУП

Система методів та заходів забезпечення інформаційної безпеки України повинна включати загальні правові, організаційно-технічні й економічні методи та заходи, а також методи та заходи, які мо­жуть застосовуватися у різноманітних сферах життєдіяльності дер­жави та суспільства — у сфері економіки, внутрішньої та зовнішньої політики, оборони, духовного життя, у галузі науки і техніки, в за­гальнодержавних інформаційних і телекомунікаційних системах, у правоохоронній і судовій сферах, в умовах надзвичайних ситуацій.

Невід'ємною частиною інформаційної безпеки України повинне стати міжнародне співробітництво в галузі забезпечення інформа­ційної безпеки як складової частини політичної, воєнної, економічної, культурної та інших видів взаємодії країн, що входять до світового співтовариства.

У посібнику приведені основні функції та основні елементи орга­нізаційних основ системи забезпечення інформаційної безпеки Укра­їни. Сформульовані основні положення політики інформаційної без­пеки України та перелік першочергових заходів щодо її реалізації.

Посібник містить також словник додаткових термінів і понять та покажчик ключових термінів і понять. Ключові терміни та поняття інформаційної безпеки, які формулюються у основному тексті посі­бника та у словнику додаткових термінів і понять виділені жирним шрифтом, а посилання на них — курсивом. Наведені англійські екві­валенти термінів і понять, а також їхня етимологія, тобто визначення походження слова шляхом зіставлення його з спорідненими словами тієї або іншої мови. Це дозволяє досить докладно окреслити пре­дметну частину інформаційної безпеки держави та використовувати посібник як тлумачний словник.

8

ПЕРЕЛІК АБРЕВІАТУР І СКОРОЧЕНЬ

Українська мова

АСК — автоматизована система ке­рування

ВГБ — вимога гарантій безпеки

ІПБ — інформаційно-психологічна безпека

ІС — інформаційна система

IT — інформаційна технологія

ЗМІ — засоби масової інформації

ЕОМ — електронно-обчислювальна машина

КПП — контрольно-пропускний пункт

МВВС — модель взаємодії відкри­тих систем

МОІ — мережа обміну інформацією

МОС — Міжнародна організація

стандартизації

МСЕ — Міжнародна спілка еле­ктрозв'язку

НСД — несанкціонований доступ

ОЗУ — оперативний запам'ятовую­чий пристрій

ПЕОМ — персональна електронно-обчислювальна машина

ПРД — правила розмежування до­ступу

РЕЗ — радіоелектронні засоби

СЗІБ — система забезпечення ін­формаційної безпеки

ФВБ — функціональна вимога без­пеки

ЦП — центральний процесор

Англійська мова

BIOS — Basic Input/Output System (базова система вводу-виводу)

СТСРЕС — Canadian Trusted Computer Product Evaluation Cri­teria (Канадські критерії безпеки комп'ютерних систем) DAA — Designated Approving Authority (орган сертифікації) FCITS – Federal Criteria for Information Technology Security (Фе­деральні критерії безпеки інформа­ційних технологій)

ІСМР — Internet Control Message Protocol (міжмережний протокол керуючих повідомлень)

ІЕС — International Electrotechnical Commission (Міжнародна електро­технічна комісія)

IP — Internet Protocol (міжмере­жний протокол)

ISO — International Organization for Standardization (Міжнародна орга­нізація стандартизації)

IT — Information Technology (інфор-

9

ПЕРЕЛІК АБРЕВІАТУР І СКОРОЧЕНЬ

маційні технології)

ITSEC — Information Technology Security Evaluation Criteria (Євро­пейські критерії безпеки інформа­ційних технологій) ITU-T — International Telecommuni­cation Union Telecommunication standardization sector (сектор теле­комунікаційної стандартизації Між-

народної спілки електрозв'язку) HUMINT — HUMan Intelligence (агентурна розвідка)

OSI — Open Systems Interconnection (model) (модель взаємодії відкритих систем)

TCSC — Trusted Computer System Criteria (Критерії безпеки комп'ю­терних систем)

Скорочення

ам. — американізм (англійська мова

в США)

англ. — англійська мова

араб. — арабська мова

букв. — буквально

голл. — голландська мова

грец. — давньогрецька мова

дат. — датська мова

ісп. — іспанська мова італ. — італійська мова

лат. — латинська мова

нім. — німецька мова

польс. — польська мова

сканд. — скандинавські мови франц. — французька мова

10