У цьому розділі розглядаються загальні питання забезпечення інформаційної безпеки телекомунікаційних систем. Інформаційна безпека має першорядне значення у зв’язку із значним поширенням атак, яким постійно піддаються як окремі мережі підприємств, так і національні мережі в цілому. Перед керівниками держав і компаній гостро постає проблема втілення термінових заходів щодо захисту своїх активів, оскільки вони, у більшості випадків, не забезпечені навіть базовими механізмами захисту і є нестача професіоналів, здатних їх сформувати, впровадити й експлуатувати.

Під час розгляду питань безпеки автори виходили з необхідності розгляду цілісного підходу до управління інформаційною безпекою й навчання методам безпеки мереж. У розділі комплексно розглядаються правові, організаційні, криптографічні й технічні питання захисту інформації. Подано основні визначення, необхідні фахівцеві в галузі інформаційної безпеки, розглядаються різні типи загроз і методи їхній протидії, криптографічний захист інформації, механізм електронного цифрового підпису, формування інфраструктури відкритого ключа, основні радіоканали витоку інформації, питання протидії несанкціонованому зніманню інформації за допомогою закладних пристроїв, методи виявлення й протидії побічним електромагнітним випромінюванням, питання використання спеціальної апаратури для виявлення каналів витоку інформації.

Інформація — це відомості про особи, предмети, факти, явища і процеси незалежно від форми їхнього подання.

Інформація, що захищається, — це інформація, що є предметом власності якого-небудь суб’єкта (держави, відомства, групи осіб або окремого громадянина) і підлягає захисту відповідно до вимог правових документів або вимог, які встановлюються власником інформації. До такого типу інформації належить інформація з обмеженим доступом і критична інформація. Саме така інформація, найчастіше, циркулює в телекомунікаційних системах.

Інформаційні відносини в Україні регулюються Законом України про інформацію. Їхніми основними принципами є:

• гарантованість права на інформацію;
• відкритість, доступність інформації й свобода обміну інформацією;
• об’єктивність, вірогідність інформації;
• повнота й точність інформації;
• законність отримання, використання, поширення й зберігання інформації.

Під несанкціонованим доступом до інформації розуміється доступ до інформації з порушенням установлених прав і правил доступу.

Захистом інформації від несанкціонованого доступу є діяльність, спрямована на запобігання отримання інформації, що захищається, зацікавленим суб’єктом з порушенням установлених правовими документами або власником інформації прав або правил доступу до інформації, що захищається. При цьому зацікавленим суб’єктом, що здійснює несанкціонований доступ до інформації, що захищається, може бути держава, громадська організація, група або окремі громадяни.

Захистом інформації від несанкціонованого впливу є діяльність, спрямована на запобігання впливу на інформацію, що захищається, з порушенням установлених прав й (або) правил модифікації, що призводить до її перекручення, знищення, блокування доступу до інформації, а також до втрати, знищення або збою функціонування носія інформації. Несанкціонований вплив на інформацію здійснює організований порушник, що переслідує мету руйнування інформації або інформаційної системи.

Захистом інформації від ненавмисного впливу є діяльність, спрямована на запобігання впливу на інформацію, що захищається, в результаті помилкових дій її користувача, збою технічних і програмних засобів інформаційних систем, природних явищ або інших нецілеспрямованих впливів, що призводять до перекручення, знищення, копіювання, блокування доступу до інформації, а також до втрати, знищення або збою функціонування носія інформації. Ненавмисний вплив на інформацію має випадковий характер, однак він здатен зруйнувати інформацію або інформаційну систему.

Законодавство України поділяє інформацію на відкриту інформацію й інформацію з обмеженим доступом. У свою чергу, інформацію з обмеженим доступом поділяють на конфіденційну інформацію та державну таємницю.

Конфіденційна інформація — це відомості, які перебувають у володінні, використанні або розпорядженні окремих фізичних або юридичних осіб і поширюються за їхнім бажанням відповідно до передбачених для них умов. Конфіденційну інформацію поділяють на безліч видів таємниць: службову таємницю, таємницю листування, таємницю телефонних, поштових, телеграфних й інших повідомлень, нотаріальну таємницю, адвокатську таємницю, лікарську таємницю, банківську таємницю тощо.

До інформації, що становить державну таємницю, відносять інформацію, що містить передбачену Законом таємницю, розголошення якої спричинить завдання збитків громадянину, суспільству й державі в цілому. Порядок роботи з державною таємницею та процедура її захисту визначається відповідними державними органами з урахуванням вимог законів України про інформацію й державну таємницю.

Безпека — це стан об’єкта, при якому йому не загрожує небезпека, зберігається його незалежність, надійність, цілісність, є захищеність від небезпек або існуючих загроз. Безпека будь-якого об’єкта свідчить про те, що він здатний розв’язати поставлені перед ним завдання, а у разі виникнення різного роду непередбачених обставин, небезпек або загроз — захиститися від них або відновити свою працездатність.

Метою інформаційної безпеки є завдання зберегти властивості системи, захистити й гарантувати точність і цілісність інформації та мінімізувати наслідки, які можуть мати місце, якщо інформація буде модифікована або зруйнована. Досягнення мети вимагає обліку всіх подій, у ході яких інформація створюється, модифікується, забезпечується доступ до неї або її поширення за допомогою відкритих мереж.

Інформаційна безпека має надавати гарантію того, що досягаються такі цілі:

• конфіденційність критичної інформації;
• цілісність інформації та пов’язаних з нею процесів (створення, введення, обробка та відображення);
• актуальність (своєчасність відновлення) і доступність інформації (коли вона потрібна авторизованим користувачам);
• облік всіх процесів, пов’язаних з інформацією.

Менеджмент безпеки (або управління безпекою) компанії — поняття, що порівняно недавно з’явилося в лексиконі фахівців. Більшість керівників компаній має на увазі під цим у першу чергу організацію охоронно-режимної діяльності, однак це поняття набагато ширше. У нього включаються такі напрямки, як:

• економічна безпека;
• інформаційна безпека;
• матеріальна (фізична) безпека — класична охоронно-режимна діяльність.

У найбільш загальному вигляді питання забезпечення безпеки набагато складніші (рис. 12.1.1) і їх розглядають абсолютно по-різному на міжнародному, національному та персональному рівнях безпеки.

Рис. 12.1.1. Питання забезпечення безпеки

До системи забезпечення безпеки входять такі елементи:

• об’єкт безпеки — те, на що спрямовано дії суб’єкта по забезпеченню його безпеки. Об’єктами безпеки на різних ієрархічних рівнях виступають: економічна система держави, галузь народного господарства, економіка регіону, фірма або підприємство будь-якої організаційно-правової форми як господарюючий суб’єкт, домашнє господарство, особистість;
• суб’єкти безпеки — ті організації, державні інститути, служби, окремі особистості, які забезпечують безпеку об’єкта на основі практичних дій при введенні в дію механізму забезпечення безпеки й організації практичних дій;
• механізм забезпечення безпеки — теоретичне обґрунтування послідовності подій, що відбуваються, й практичних дій щодо забезпечення безпеки.

Ці елементи перебувають в умовах постійної взаємодії та стані не протиріччя. Невиконання цих умов призводить до компрометації системи забезпечення безпеки.

Таблиця 12.1.1 Класифікація загроз безпеки

Потреби забезпечення безпеки формуються під впливом цілої множини факторів: об’єктивних і суб’єктивних, внутрішніх і зовнішніх, прогнозованих і непередбачених тощо. У концентрованій формі вони можуть виступати як деструктивні, що негативно впливають на безпеку. Виділяють кілька ступенів деструктивних факторів:

• поява зони ризику — можливість виникнення обстановки, здатної породити небезпеку;
• виклик — провокаційні дії або засіб тиску;
• небезпека — реальна можливість заподіяти зло, завдати шкоди;
• загроза — намір цілеспрямовано завдати шкоди.

В основі організації, планування й здійснення практичних дій щодо забезпечення безпеки є аналіз концепції загрози, оцінка характеру реальних і потенційних внутрішніх/зовнішніх небезпек і загроз, кризових ситуацій, а також інших несприятливих факторів. Система реальних і потенційних загроз не є постійною; загрози можуть з’являтися й зникати, наростати й зменшуватися, при цьому змінюватиметься їхня значимість для безпеки. Класифікацію загроз подано в табл. 12.1.1.

Управління безпекою крупних організацій, що використовують інформаційні та телекомунікаційні технології, рекомендується здійснювати на основі стандартів BS 7799/ISO 17799 ISO/IEC 27001. На сьогодні активно використовується стандарт ISO 17799 і відбувається поступовий перехід до стандартів серії 27001. Управління безпекою націлено на захист усіх складових, що сприяють здійсненню бізнес-процесу, який організовано на підприємстві (рис. 12.1.2).

Рис. 12.1.2. Загальна схема управління безпекою бізнес-процесів на основі телекомунікацій

Серія 27001 являє собою модель системи менеджменту в сфері інформаційної безпеки (СМІБ, Information Security Management System, ISMS). Як і будь-яка сучасна система менеджменту, СМІБ — це набір організаційних заходів і процедур управління і вона не є, по суті, технічним стандартом. В основі стандарту полягає процесний підхід до розробки, реалізації, експлуатації, моніторингу, аналізу, супроводу та покращанню СМІБ організації. Він складається зі створення та використання системи процесів управління, які взаємопов’язані у безперервному циклі планування, використання, перевірки та покращання СМІБ (рис. 12.1.2, частина бізнес-процесу). Додатково в групі стандартів рекомендовано перелік механізмів захисту інформації програмно-технічного рівня, що можуть використовуватися на різних стадіях здійснення бізнес-процесу (рис. 12.1.2, частина технології).

Основним механізмом СМІБ є періодичний аналіз ризиків інформаційної безпеки. Аналіз ризиків може здійснюватися на основі методів CORAS, CRAMM, Magerit, Mehari, Octave та інших. Аналіз ризиків має доповнюватися процедурами аудиту, який сприяє глибшому розумінню бізнес-процесів, які опановані в організації. Аудит може проводитися, наприклад, на основі стандарту CobiT (Control Objectives for Information and related Technology, цілі управління для інформаційних та суміжних технологій).

Рис. 12.1.3. Місце системи управління інформаційною безпекою в системі менеджменту організації

Верхівка керівництва організації також здійснює процес управління СМІБ прийняттям рішень на основі результатів аналізу ризиків, результатів внутрішнього аудиту й інших механізмів СМІБ. З погляду процесів управління, СМІБ належить до загальної системи менеджменту організації та надає додаткові механізми управління щодо забезпечення захисту критичної інформації (рис. 12.1.3). Положення управління інформаційною безпекою формують політику безпеки організації — позицію керівництва щодо питань з захисту процесів накопичення, зберігання, передачі та знищення інформаційних цінностей, відповідності й організаційним зобов’язанням.

Розглянемо тепер більш детально основні підходи до забезпечення інформаційної безпеки об’єктів телекомунікаційної системи.