Інформаційна безпека в системах електронного урядування

xt-align:justify">Дезінформування полягає в тому, що в оригіналі спотворюється уявлення про об’єкт. Дезінформація може бути усвідомленою і неусвідомленою; залежно від способу внесення дезінформації може бути приховування відомостей, викривлення відомостей, надання неправдивих відомостей, підміна правдивих відомостей неправдивими.

Параінформування полягає в тому, що в оригіналі повідомлення відсутня частина інформації, яка, на думку автора, має зявитись в образі завдяки асоціативним зв’язкам, які виникають у того, хто сприймає інформацію.

Електронне  урядування передбачає систематичне використання урядовими установами інформаційних  та комунікаційних технологій (таких  як локальні мережі, мережа Інтернет, мобільні технології), що дає можливість трансформувати відносини з громадянами, бізнесом та урядом. Основні напрями взаємодії  у системі електронного урядування - «Уряд-Громадяни» (G2C - Government-to-Citizen) , «Уряд-Бізнес» (G2B - Government-to-Business), «Уряд-Уряд» (G2G - Government-to-Government).

Основні форми комунікації у системі  електронного урядування пов’язані  з такими об’єктами як людина, інституціональні структури суспільства, органи державного урядування - їх політичні, культурні  риси, а також комерційні інтереси стають об’єктом захисту у сфері  інформаційних правовідносин.

Відповідно  до розглянутих вище функцій системи  електронного урядування (політичної, соціальної, організаційної, виховної та ін.) виникають певні чинники  загрози інформаційній безпеці, які можуть мати суттєві негативні  наслідки.

Загальною метою всіх видів  інформаційної взаємодії у системі  електронного урядування є створення  ефективної системи зворотного зв‘язку  й інформаційної прозорості діяльності органів державного управління.

 

 

 

Система інформаційної безпеки  відносин соціальних об’єктів у межах  впровадження електронного урядування

Форми взаємодії	Чинник загрози	Можливий наслідок	Шляхи попередження загроз
«Уряд-громадяни»	Різноманітні, часом діаметрально спрямовані інформаційні впливи, маніпулятивні технології, ігнорування гро-мадської думки при прийнятті важливих політичних рішень	Політичне відчу-ження громадян, порушення  демо-кратичних принципів і норм діяльності держави	Забезпечення конституційного  права громадян на доступ до достовірної  та оперативної урядової інформації, що сприяє виробленню соціального «імунітету»  до маніпулятивних технологій
«Уряд-бізнес»	Складність відносин комерційного характеру (купівля-продаж, інвестиційні контракти, стра-хування, банківські послуги, різні форми ділового співро-бітництва та ін.); відсутність доступу до нормативно-правової інформації, Ігнорування повідомлень про факти корупції, зловживань посадових осіб, порушення прав громадян.	«Прозорість» комерційної інформації. Втрата підтримки державної політики з боку підприємницьких структур	Надання органами державної влади  інформації громадянам та інституціональним  структурам суспільства; забезпечення зворотного зв’язку, виявлення тенденцій  і закономірностей розвитку ситуації; регулювання електронного документообігу, підтвердження справжності електронного підпису та інформації у інформаційних продуктах і послугах, створення систем захисту персональної інформації. Відкритість інформації за умов забезпечення встановленої законом конфіденційності комерційної, службової, професійної таємниці, державної  таємниці, режиму інформації про громадян
«Уряд-уряд»	Відсутність зв’язків, «розпорошеність» систематизованих у бібліотеках, архівах, службах діловодства	Порушення ін-формаційних зв’язків і координації інформаційно-управлінських	Підвищення ефективності інформаційного забезпечення державного управління шляхом інтеграції Інтернет-порталів і систем електронного

4. Методи забезпечення інформаційної безпеки

 

Діяльність із забезпечення інформаційної безпеки здійснюється за допомогою різних способів, засобів  і прийомів, які у сукупності й  складають методи. Важливими методами аналізу стану забезпечення інформаційної  безпеки є методи описи і класифікації. Для здійснення ефективного захисту системи управління безпекою слід, по-перше, описати, а лише потім класифікувати різні види загроз та небезпек, ризиків та викликів і відповідно сформулювати систему заходів по здійсненню управління ними.

У якості розповсюджених методів  аналізу рівня забезпечення інформаційної  безпеки використовуються методи дослідження причинних зв'язків. За допомогою даних методів виявляються причинні зв'язки між загрозами та небезпеками; здійснюється пошук причин, які стали джерелом і спричинили актуалізацію тих чи інших чинників небезпеки, а також розробляються заходи по їх нейтралізації. У числі даних методів причинних зв'язків можна назвати наступні: метод схожості, метод розбіжності, метод сполучення схожості і розбіжності, метод супроводжувальних змін, метод залишків [6, с.54].

Забезпечення інформаційної безпеки зазвичай здійснюють на таких рівнях :

1) фізичний;

2) програмно-технічний;

3) управлінський;

4) технологічний;

5) рівень користувача;

          6) мережевий;

7) процедурний.

На фізичному рівні здійснюється організація і фізичний захист інформаційних ресурсів, інформаційних технологій, що використовуються і управлінських технологій.

На програмно-технічному рівні здійснюється ідентифікація і перевірка дійсності користувачів, управління доступом, протоколювання і аудит, криптографія, екранування, забезпечення високої доступності.

На рівні управління здійснюється управління, координація і контроль організаційних, технологічних і технічних заходів на всіх рівнях з боку єдиної системи забезпечення інформаційної безпеки.

На технологічному рівні здійснюється реалізація політики інформаційної безпеки за рахунок застосування комплексу сучасних автоматизованих інформаційних технологій.

На рівні користувача реалізація політики інформаційної безпеки спрямована на зменшення рефлексивного впливу на об'єкти інформаційної безпеки, унеможливлення інформаційного впливу з боку соціального середовища.

На мережевому рівні дана політика реалізується у форматі координації дій компонентів системи управління, які пов'язані між собою однією метою.

На процедурному рівні вживаються заходи, що реалізуються людьми. Серед них можна виділити наступні групи процедурних заходів: управління персоналом, фізичний захист, підтримання працездатності, реагування на порушення режиму безпеки, планування реанімаційних робіт.

Виділяють декілька типів  методів забезпечення інформаційної безпеки:

• однорівневі методи будуються на підставі одного принципу управління інформаційною безпекою;
• багаторівневі методи будуються на основі декількох принципів управління інформаційною безпекою, кожний з яких слугує вирішення власного завдання.
• комплексні методи — багаторівневі технології, які об'єднані у єдину систему координуючими функціями на організаційному рівні з метою забезпечення інформаційної безпеки, виходячи з аналізу сукупності чинників небезпеки, які мають семантичний зв'язок або генеруються з єдиного інформаційного центру інформаційного впливу;
• інтегровані високоінтелектуальні методи — багаторівневі, багатокомпонентні технології, які побудовані на підставі могутніх автоматизованих інтелектуальних засобів з організаційним управлінням.

Загальні методи забезпечення інформаційної безпеки активно  використовуються на будь-якій стадії управління загрозами. До таких стадій належать: прийняття рішення по визначенню області та контексту інформаційної  загрози і складу учасників процесу  протидії; ухвалення загальної стратегії  і схеми дій в політичній, економічній, соціальній та інших сферах життєдіяльності; забезпечення адекватного сприйняття загрози та небезпеки у нижчих організаційних ланках системи управління НБ; виділення необхідних політичних, економічних, соціальних, адміністративних і організаційних ресурсів, достатніх  для реалізації програми відбиття інформаційної  загрози і збереження сталого  розвитку інформаційних ресурсів системи  управління: трансформації результатів  оцінки ризиків у відповідну політику безпеки, включаючи національну.

Захист інформації не обмежується  технічними методами. Для ефективного  забезпечення інформаційної безпеки  важливим є різноманітні моделі та методи оцінки загроз та небезпек. їх варіативність  занадто лабільна і залежить як від  рівня розвитку тієї чи іншої цивілізації, так і від контексту оцінки, що проводиться, наявності всебічних  даних по факторах загрози, алгоритму  вирахування коефіцієнту імовірності  настання та розміру негативних наслідків. Наявність конкретних даних з цього питання дозволяє достатньо точно визначити ступінь впливу інформаційної зброї, рівень загроз та небезпек.

Основним методом аналізу інформаційних ризиків є кількісний та якісний аналіз, факторний аналіз тощо. Мета якісної оцінки ризиків — ранжувати інформаційні загрози та небезпеки за різними критеріями, система яких дозволить сформувати ефективну систему впливу на них.

Важливим методом забезпечення інформаційної безпеки є також метод критичних сценаріїв. У зазначених сценаріях аналізуються ситуації, коли уявний противник паралізує систему державного управління і відповідно знижує здатність підтримувати державне управління в межах оптимальних параметрів. При чому аналіз подій в світі надає усі підстави стверджувати, що інформаційні війни стають органічною частиною політики національної безпеки багатьох розвинених країн.

Також можна зазначити  на метод моделювання, за допомогою якого можна проводити навчання з інформаційної безпеки. Позитивний досвід цього є у США, де на базі однієї з відомих корпорацій постійно проводяться оперативно-дослідницькі навчання, щоб моделювати різні форми інформаційних атак в ході інформаційної війни.

Серед методів забезпечення інформаційної безпеки важливе  значення відіграє метод дихотомії. Для протидії загрозам інформаційній безпеці вживаються необхідні заходи як у напряму надання певного впливу на джерело загрози, так і в напряму укріплення об'єкта безпеки. Відповідно виділяють дві предметні області протидії. Одна з них утворюється сукупністю джерел загроз, а інша — сукупністю заходів по забезпеченню інформаційної безпеки об'єкта.

У цілому ж слід зазначити, що вибір цілей і методів протидії конкретним загрозам та небезпекам інформаційній  безпеці становить собою важливу  проблему і складову частину діяльності по реалізації основних напрямів державної  політики інформаційної безпеки. У  межах вирішення даної проблеми визначаються можливі форми відповідної  діяльності органів державної влади, що потребує проведення детального аналізу  економічного, соціального, політичного та інших станів суспільства, держави і особи, можливих наслідків вибору тих чи інших варіантів здійснення цієї діяльності [3, с.68].

5. Державна політика забезпечення  інформаційної безпеки в системах  електронного урядування

 

Державна політика щодо інформаційної  безпеки в широкому розумінні  повинна враховувати всі аспекти, пов’язані з визначенням, досягненням та додержанням конфіденційності, цілісності, доступності, безвідмовності, підзвітності, автентичності і політики щодо захисту національних, державних та приватних інформаційних ресурсів, що циркулюють в системі електронного врядування і в процесі її взаємодії з оточуючим середовищем – суспільством, мають бути наступні:

1. запобігання витоку, розкраданню, втраті, спотворенню, підробки інформації та несанкціонованим діям із знищення, модифікації, спотворення, копіювання, блокування інформації;
2. запобігання іншим формам незаконного втручання в інформаційні ресурси і інформаційні системи; забезпечення правового режиму документованої інформації як об'єкту власності;
3. захист конституційних прав громадян на збереження особистої таємниці і конфіденційності персональних даних, наявних в інформаційних системах; 
4. збереження державної таємниці, конфіденційності документованої інформації відповідно до законодавства; 
5. гарантія прав суб'єктів в інформаційних процесах і при розробці, виробництві і застосуванні інформаційних систем, технологій і засобів їх забезпечення результатом цих заходів є забезпечення нейтралізації загроз щодо безпеки особи, громадянина, суспільства, держави.

Складність вирішення  проблем інформаційної безпеки  обумовлена підвищеними вимогами до цілісності системного і прикладного програмного забезпечення, СУБД і цілого ряду електронних документів (довідкові, статистичні, звітні документи і інструкції); до автентичності інформації і джерел даних в територіально-розподіленій мережі; забезпечення юридичної значимості електронних документів; забезпечення безпеки інформації на рівні розмежування доступу; забезпечення безпеки на рівні закриття смислового змісту електронних документів, а в деяких випадках і недопущення їх несанкціонованого розмноження.

1. аналіз проблем забезпечення інформаційної безпеки в умовах впровадження системи електронного врядування дає змогу визначити першочергові завдання щодо їх вирішення:
2. створення науково-практичних та теоретико-методологічних основ інформаційної безпеки, що відповідають сучасній геополітичній ситуації та умовам політичного і соціально-економічного розвитку держави;
3. формування нормативно-законодавчої та правової бази щодо забезпечення інформаційної безпеки; розроблення та впровадження механізмів реалізації прав громадян на інформацію;
4. розробка та впровадження комплексної системи захисту інформації на основі сучасних методів і технічних засобів, її сертифікація;
5. вироблення методики та системи показників щодо оцінки ефективності систем і засобів забезпечення інформаційної безпеки;
6. створення мотиваційно-заохочувальної системи для запобігання загроз інформаційній безпеці зі сторони державних службовців-користувачів інформаційних систем і мереж, в яких циркулює конфіденційна та таємна інформація.