8.2. Елементи формування основ тектології інформаційної безпеки

Питання культури інформаційної безпеки широко висвітлюються у спеціальній літературі. Сьогодні критична маса науково-практичних знань щодо розвитку суспільних інформаційних відносин у такому аспекті дає змогу сформувати на теоретичному рівні елементи загальної теорії організації інформаційної безпеки в умовах формування інформаційного суспільства — захисту інформації в автоматизованих комп'ютерних системах.
Зазначений аспект теорії має зворотний зв'язок з культурою практики: формування організаційних підходів, методів, засобів систем захисту комп'ютеризованих соціальних інформаційних систем; формування змісту навчальних дисциплін у навчальних закладах, а також формування комплексу знань фахівців, які спеціалізуються на організації захисту інформації, її безпеки у відповідних соціальних структурах (установах, організаціях, підприємствах тощо).
Аналіз наукової думки та емпіричного матеріалу дає змогу визначити такі принципові положення організації захисту інформації в умовах інформатизації у контексті інформаційної безпеки.
1. Культура інформаційної безпеки як наукове явище сьогодні формується на рівні міжгалузевого комплексного соціоінженерного інституту (наукової дисципліни), який утворився на межі поєднання технічних і гуманітарних наук: правової інформатики, інформаційного права та тектології (теорії організації соціальних систем).
2. За природою походження культура інформаційної безпеки в умовах інформаційного суспільства має триєдиний зміст: організаційний, інженерно-технічний (у тому числі програмно-математичний) та правовий.
3. У перспективі сутність інформаційної безпеки, у тому числі щодо захисту інформації у соціотехнічних системах, буде доповнюватися спеціальними знаннями з інших галузей, підгалузей, інституцій технічних та суспільних наук.
З погляду теорії організації і теорії систем, у науковому синтезі їх — теорії організації систем управління — формування цілеспрямованих, керованих систем (у тому числі будь-яких практичних заходів) передбачає визначення елементів системи та осмислення проблематики предметної галузі (її природу) в цілому.
На нашу думку, провідними елементами системи інформаційної безпеки, у тому числі щодо захисту інформації в автоматизованих комп'ютерних системах, є такі найважливіші чинники.
Суб'єкти — окремі люди, спільноти їх, різного роду організації, суспільство, держава, інші держави, союзи їх, світове співтовариство.
Об'єкт — правовідносини між суб'єктами (суспільні відносини), які визначаються за певними об'єктивно існуючими критеріями.
Провідний предмет суспільних правовідносин — інформація в автоматизованих (комп'ютерних) системах (у тому числі електронних телекомунікаціях, зокрема в Інтернеті).

8.2.1. Сутність теорії інформаційної безпеки
8.2.2. Напрямки інформаційної безпеки
8.2.3. Інститути тектології інформаційної безпеки
8.2.4. Інформаційна безпека як функція

8.2.1. Сутність теорії інформаційної безпеки

Наступне, що потрібно з'ясувати, — сутність теорії інформаційної безпеки щодо захисту інформації в автоматизованих (комп'ютерних) системах. Відповідно до положень теорії гіперсистем визначимо підсистеми нижчих порядків.
Перш за все — це класифікація суб'єктів суспільних відносин, яку можна розширювати залежно від потреб дослідження предметної галузі. Суб'єктів щодо інформаційної безпеки можна поділити на кілька категорій:
- щодо правового статусу регулювання відносин: суб'єкти регулювання відносин та учасників відносин;
- щодо мети учасників правовідносин: правомірні учасники та правопорушники тощо.
Класифікація суспільних відносин щодо безпеки інформації має багатоаспектний зміст, який визначається залежно від галузей знань. Але все ж їх можна поділити на такі загальні види: соціальні, технічні та соціотехнічні.
Визначальними також є тектологічні (організаційні) критерії: організаційно-управлінські, організаційно-правові та організаційно-технічні (у числі останніх виокремлюють ще організаційно-технологічні).
У суспільно-правовому змісті правовідносини інформаційної безпеки щодо захисту інформації мають сутність організовування нормального (безпечного) функціонування інформаційних систем, у тому числі тих, технічну основу яких становлять засоби комп'ютерної техніки та базовані на них електронні інформаційні технології (у тому числі технології телекомунікації).
Провідна системна мета правовідносин — захист суспільних інформаційних відносин від негативних впливів соціальних, техногенних та природних (стихійних) впливів.
Важливим аспектом загальних положень інформаційної безпеки щодо захисту інформації в автоматизованих системах є наукове визначення і формулювання принципів її реалізації.
Зазначені принципи повинні мати чітку ієрархічну структуру і критерії. Виходячи з положень природи інформаційної безпеки як тектологічного явища, пропонується поділ принципів на такі групи першого порядку: організащино-правові; оргашзацшно-управлшські; організащино-технічні.
Залежно від науково-практичних потреб організаційної діяльності (організовування) принципи інформаційної безпеки можуть поділятися на групи другого та наступних порядків.

 

8.2.2. Напрямки інформаційної безпеки

Визначальним у проблематиці теорії організації інформаційної безпеки є з'ясування її напрямків на засадах комплексного підходу щодо методів захисту. Умовно можна визначити такі напрямки організації захисту: правові, управлінські, інженерно-технологічні. У складі останніх як автономні визначаються програмно-математичні (комп'ютерні програмні продукти захисту).
Формування будь-якої теорії у методологічному аспекті передбачає визначення методів пізнання предметної галузі та науково обґрунтованого впливу (організовування, управління тощо) на предметну галузь.
Аналіз науково-практичних джерел та іншого емпіричного матеріалу дав змогу сформулювати предметний метод ("метод застосування методів", метод — принцип) — комплексне застосування управлінських, правових та інженерно-технічнотехнологічних методів захисту інформації в автоматизованих комп'ютерних системах.
На основі зазначених положень можна зробити висновок про наявність потреби формування проблематики окремих аспектів (інститутів) загальної теорії і практики інформаційної безпеки щодо захисту інформації в автоматизованих комп'ютерних системах. У зв'язку з цим є можливість виокремлення двох частин теорії: загальної (фундаментальних, загальних положень) та особливої частин (відносин щодо окремих напрямків функцій на основі загальних положень).

 

8.2.3. Інститути тектології інформаційної безпеки

На загальнотеоретичному рівні визначимося в таких ключових, особливих проблемах інформаційної безпеки щодо організаційного аспекту захисту інформації в автоматизованих системах:
Першу групу утворюють такі проблемні інститути:
1) проблеми організації доступу до інформації;
2) проблеми організації забезпечення цілісності інформації щодо загроз її порушення;
3) проблеми організації комплексного контролю за інформаційними ресурсами у відповідному середовищі функціонування їх відповідно до матеріальних носіїв інформації (людських (соціальних), людино-машинних (людино-технічних, соціотехнічних) та технологічних);
4) проблеми організації сумісності систем захисту інформації в автоматизованих (комп'ютерних) системах з іншими системами безпеки відповідної організаційної структури;
5) проблеми організації виявлення можливих каналів несанкціонованого витоку інформації (фізичних, соціотехнічних, соціальних);
6) проблеми організації блокування (протидії) несанкціонованого витоку інформації;
7) проблеми організації виявлення, кваліфікації, документування порушення інформаційної безпеки (як стану у визначеному просторі, часі і колі осіб);
8) формулювання відповідальності та правове визначення санкцій та організація притягнення винних до відповідальності (дисциплінарної, цивільної, адміністративної, кримінальної).

8.2.4. Інформаційна безпека як функція

На базі аналізу накопиченого емпіричного матеріалу пропонується узагальнити на рівні теоретичних засад (основ) організацію захисту інформації в автоматизованих (комп'ютерних) системах як функції. Задля цього організацію захисту інформації в автоматизованих системах умовно поділяють на три види функцій. За основу поділу визначено такий критерій, як середовище, в якому перебуває інформація: а) соціальне (окрема людина, спільноти людей, держава); б) інженерно-технікологічне (машинне, апаратно-програмне, автоматичне); в) соціотехнічне (людино-машинне).
Кожен названий рівень щодо середовища об'єктивно доповнює і взаємозумовлює інші функції, в основі утворюючи триєдину гіперсистему: організація інформаційної безпеки. У цій гіперсистемі визначними є такі напрямки (підрівні), що визначаються на основі інтегративного підходу протилежностей (антиподів) — воздії і протидії.
1. Організація протидії небажаній для суб'єкта воздії за допомогою технічних засобів захисту, тобто засоби захисту мають бути адекватними засобам добування (наприклад, протидія розвідці (котррозвідка) відповідними технічними засобами захисту: створення системи просторового зашумлення для приховування інформації у відповідному середовищі (акустичному (звуковому), аудіо (відео), електромагнітному) чи екранування технічних засобів у приміщенні).
2. Організація протидії негативному впливу на учасників інформаційних відносин (наприклад, конкурентів на персонал організації з метою отримання інформації (протидія підкупові персоналу, впровадження представника конкурента в організацію для отримання інформації з обмеженим доступом тощо). Щодо цього та деяких інших факторів можна застосувати принцип, визначений у народній мудрості: "Клин клином вибивають".
3. У разі порушення функціонування інформаційної системи — визначення майнових втрат та мінімізація їх (наприклад, у разі виявлення несанкціонованого доступу до інформації визначення матеріальних і моральних втрат, за необхідності — взаємодія з державними правоохоронними та судовими органами щодо притягнення винних до відповідальності відповідно до законодавства).
На названі напрямки організації інформаційної безпеки відповідного об'єкта захисту впливають такі визначальні фактори:
а) фактор рівня досягнень науково-технічного прогресу (переважно в галузі розвитку, удосконалення технічних засобів);
б) технологічний фактор (в окремих джерелах його ще називають алгоритмічним фактором, коли техніка може бути одна, а технології її застосування різні, цей фактор ще є визначальним для формування методик: як отримання інформації, так і захисту її);
в) соціальний (людський) фактор.