Передмова

Різними аспектами проблем захисту інформації займаються юристи, військові, економісти, програмісти, а особливо інженери.
Цей посібник орієнтований на студентів, які навчаються за галуззю знань “Інформаційна безпека”, а також керівників організацій та підприємств, начальників служб безпеки підприємств, інженерів та інших спеціалістів у галузі інформаційної безпеки.
Метою посібника є формування необхідних знань у вищезгаданих осіб для ефективної побудови комплексної системи санкціонованого доступу, а також керування процесом захисту інформації у ході функціонування системи безпеки.
Книга є актуальною, оскільки інформаційна безпека останніми роками інтенсивно розвивається. До того ж більшість раніше книг опублікованих книг у галузі захисту інформації є вузькоспеціалізованими та орієнтованими на певний конкретний напрям захисту (криптографія, технічний захист, організаційний захист тощо). Посібник охоплює широке коло питань, пов’язаних з принципами та методами побудови комплексної системи санкціонованого доступу.
Оскільки неможливо запропонувати вирішення питань побудови комплексної системи санкціонованого доступу, які були б однаковими для всіх типів підприємств, організацій тощо, то в нижченаведеному матеріалі будуть розглянуті основні принципи побудови такої системи без надмірної деталізації. На основі наведених принципів та рекомендацій, залежно від мети, яка ставиться перед розробниками комплексної системи санкціонованого доступу для конкретного підприємства чи організації, а також із використанням власного бачення, розробники зможуть ефективно розв’язати поставлену задачу.

Вступ

З давніх часів людство забезпечувало своє існування, експлуатуючи природні ресурси (землеробство, полювання тощо). Пізніше, в епоху індустріалізації, розвиток цивілізації спирався на промислове виробництво. А вже на сучасному етапі постіндустріального суспільства велику роль відіграє переробка інформації, оскільки в інформаційній сфері в розвиненому суспільстві задіяно не менше ніж 70 % працездатного населення.
У сучасних умовах інформація відіграє, можливо, найважливішу роль в процесі економічного розвитку та в ході конкурентної боротьби на національному та міжнародному ринках. Конкуренція, яка загострюється на основі науково-технічного прогресу, сильно впливає на тих, хто не може її витримати. Ареною напруженої боротьби стало передусім суперництво за переваги на економічному ринку, внаслідок чого розвивається промисловий шпіонаж як сфера таємної діяльності із здобування, збирання, аналізу, збереження та використання конфіденційної інформації. Промисловому шпіонажу сприяє насамперед стрімкий розвиток засобів та методів несанкціонованого та прихованого здобування інформації, які все частіше використовуються не лише в державних спецслужбах, але й в багатьох злочинних угрупованнях.
Варто зазначити, що жодна сфера життя цивілізованої держави не може ефективно функціонувати без розвиненого інформаційного середовища. Безпека інформації стає першочерговою і є однією з пріоритетних державних задач. На інформаційну безпеку держави, організації чи підприємства впливає дуже багато різноманітних факторів.
Після розпаду Радянського Союзу республіки, що входили до його складу, вступили в період нових економічних перетворень. Тому все більшого значення почали набувати питання забезпечення економічної та інформаційної безпеки, оскільки вони є одними з найважливіших принципів економічного й соціального розвитку країни.
За часів Радянського Союзу підприємства республік не дуже піклувалися про економічну безпеку, тому що в державі із суспільною власністю результат виробництва ставав відразу суспільним надбанням. Очевидно, що тут говорити про було економічну або інформаційну таємницю не було сенсу, а навпаки, усяке досягнення на локальному рівні відразу ставало надбанням усіх.
Своєю чергою, повний захист стратегічно важливих технологій, виробництва, зовнішньоекономічних та військових секретів виконувала єдина система органів Державної безпеки, що здійснювала як захист своїх таємниць, так і, за можливості, одержання чужих.
На сучасному етапі нових економічних відносин та орієнтації на ринкову економіку недосконалість чинного законодавства породила абсолютно нову форму злочинів, що набули великого розмаху та виникають у межах легальної законної діяльності. Такі злочини та порушення дуже важко викрити, бо практично немає доказів. Коло жертв інформаційних та комп’ютерних злочинів дуже велике і передусім це стосується підприємств різних форм власності та банків.
Інформаційна безпека підприємства – це захищеність інформації, якою володіє підприємство (виробляє, передає або отримує) від несанкціонованого доступу, порушення, модифікації, розкриття та затримок під час надходження.
Взагалі метою інформаційної безпеки є забезпечення безперебійної роботи організації та зведення до мінімуму збитків від подій, які становлять загрозу безпеці, за допомогою запобігання їм та зведення наслідків до мінімуму.
Нині питання побудови системи захисту є дуже актуальними та постійно ускладнюються. Це зумовлено стрімким розвитком сучасного ринку інформаційних та комп’ютерних технологій, засобів електронного обміну інформацією, засобів захисту інформації, а також засобів несанкціонованого отримання інформації. У зв’язку з цим з’явились та постійно вдосконалюються різноманітні технічні, програмні, організаційні та інші способи вирішення питань пов’язаних з побудовою комплексних систем санкціонованого доступу та питань, пов’язаних узагалі із захистом інформації загалом, незважаючи на її належність (державної, військової, комерційної, фінансової тощо).
Одним з найефективніших підходів до розв’язання задачі комплексної безпеки об’єктів різної форми власності є використання комплексних систем санкціонованого доступу.
Грамотна побудова та правильна експлуатація комплексних систем санкціо¬но¬ваного доступу на об’єкті дає змогу закрити несанкціонований доступ на його територію, в будівлю, окремі поверхи та приміщення. Водночас функціонування системи не спричиняє додаткових незручностей та перешкод для проходу персоналу та відвідувачів у дозволені їм для проходу зони.
Система контролю та керування доступом на об’єкті у наш час не усуває необхідності контролю з боку людини, але значно підвищує ефективність роботи служби безпеки. Це особливо важливо за умов наявності численних зон ризику на об’єкті з різним рівнем доступу. Комплексні системи санкціонованого доступу позбавляють охоронців від рутинної роботи із ідентифікації користувачів та надає їм додатковий час на виконання основних функцій: охорони об’єкта та захисту працівників та відвідувачів від злочинних посягань.
Оптимальне співвідношення людських та технічних ресурсів у такій системі вибирають відповідно до поставлених задач і мети та виявленого рівня можливих загроз. Зацікавленість в системах санкціонованого доступу останнім часом стрімко зростає у зв’язку з автоматизацією процесу ідентифікації та можливістю виконання системою багатьох додаткових функцій.
Розв’язання задач побудови комплексної системи санкціонованого доступу основується на двох складових: теоретичній (науковій) та практичній (отриманій на основі певного досвіду). Оптимальним є варіант, коли на основі певного теоретичного обґрунтування різноманітних варіантів розв’язання поставленої задачі будуть вироблені практичні рекомендації, які згодом будуть використані. Хоча на практиці досить часто все відбувається не завжди в такій послідовності. Є багато випадків, коли практичні рекомендації та способи вирішення часто випереджають теоретичні. Якщо технічні рішення, які використовуються в деякій послідовності побудови комплексної системи захисту, не пов’язані єдиним системним проектом, не варто очікувати позитивного результату від реалізації окремих елементів системи. Отже, вирішуючи питання захисту інформації, неможливо обійтися без науково обґрунтованого комплексного підходу для розв’язання поставлених задач захисту, який би враховував різноманітні загрози, зокрема суспільству, установам, особистості тощо.
Підприємства вже більше не бажають викидати гроші на створення над¬лишкового захисту своїх ресурсів, вони бажають купляти лише те, що справді є необхідним для забезпечення комплексної системи санкціонованого доступу та комплексної безпеки підприємства і з мінімальними витратами.
Метою комплексної інформаційної безпеки є збереження інформаційної системи підприємства в цілісності, захист та гарантована повнота і точність інформації, яка зберігається, обробляється та видається, мінімізація можливих втрат та моди¬фікацій інформації.
Сучасні інформаційні, комп’ютерні та телекомунікаційні технології надають широкі можливості для автоматизованого доступу, обробки, зберігання та передавання різноманітних державних, комерційних, та персональних даних, а також для несанкціонованого доступу до них. Тому у наш час практично кожна організація чи установа враховує появу таких ризиків, пов’язаних з можливою втратою інформації, та вводить у свою структуру спеціальні підрозділи, які розробляють власні комплексні способи захисту інформації.
Не всі засоби, принципи та методи захисту є прийнятними в будь-якому середовищі, їх необхідно використовувати вибірково з урахуванням місцевих умов та виду діяльності організації. Більшість принципів, методів, заходів та засобів контролю доступу, які будуть описані в цьому навчальному посібнику, широко використовують спеціалісти з інформаційної безпеки на багатьох підприємствах. Їх рекомендують застосовувати з урахуванням обмежень, які накладаються особливостями, технологією функціонування, видом організації та навколишнім середовищем. Ці принципи, методи, заходи та засоби є базовими, оскільки їх сукупність визначає базовий промисловий стандарт на підтримку режиму безпеки підприємства та контролю доступу.
Деколи в організації санкціонованого доступу на підприємстві є явні надлиш¬ковості. Наприклад, прохід на підприємство відбувається через кілька прохідних; приміщення, де встановлені комп’ютери, замикають на кілька замків, які відкри¬вають лише в присутності директора чи начальника охорони; можливо, сам комп’ютер на ніч закривають у сейф тощо. Такої надлишковості варто уникати, оскільки вона потребує значних матеріальних витрат та людських ресурсів.
Забезпечення безпеки інформації потребує значних коштів, і не лише через затрати на закупівлю або встановлення засобів захисту, а також і через те, що дуже важко кваліфіковано визначити межі розумної безпеки та забезпечити відповідну підтримку системи санкціонованого доступу в працездатному стані.
Засоби для систем санкціонованого доступу не варто проектувати, купляти чи встановлювати доти, доки не буде виконаний відповідний аналіз. Аналіз ризиків повинен дати об’єктивну оцінку багатьох факторів (ймовірності появи порушень роботи системи, збитків від комерційних втрат, зниження коефіцієнта готовності системи, суспільних відносин, юридичних проблем) та подати інформацію для визначення найпридатніших типів та рівнів безпеки.

Про авторів

ГАРАСИМЧУК Олег Ігорович
Кандидат технічних наук, доцент кафедри захисту інформації Національного університету "Львівська політехніка".
Напрям науково-інженерних досліджень: комплексні системи санкціонованого доступу, елементи та пристрої електронного та фізичного захисту інформації, системи захисту інформації, обчислювальна техніка, генератори псевдовипадкових чисел, генератори імпульсних послідовностей з пуассонівським законом розподілу.

ДУДИКЕВИЧ Валерій Богданович
Доктор технічних наук, професор, завідувач кафедри захисту інформації Національного університету "Львівська політехніка".
Напрям науково-інженерних досліджень: вимірювальні перетворювачі частотних сигналів, число-імпульсні перетворювачі кодів для засобів вимірювання та керування, медичне приладобудування, вимірювальні випробувальні комплекси, методи і засоби технічного захисту інформації.

РОМАКА Володимир Афанасійович
Доктор технічних наук, кандидат фізико-математичних наук, заступник директора Інституту комп'ютерних технологій, автоматики та метрології Національного університету "Львівська політехніка", професор кафедри захисту інформації.
Коло наукових інтересів: розроблення фізичних засад, методів та засобів вимірювання температури та систем "нічного бачення" (тепловізори) з використанням інтерметалічних напівпровідників.