Системи електронного документообігу в діяльності органів державної влади
В основу інформаційно-аналітичного забезпечення роботи органу влади передусім покладено опрацювання документів, які підлягають створенню, фіксуванню та обліку в певній формі. Комплексне запровадження електронного документообігу як однієї зі складових електронного урядування дає змогу отримати найважливіші якості державного управління – оперативність обміну електронними документами, можливість їх дистанційного колективного опрацювання, погодження і підписання, забезпечити накопичення й загальну доступність масивів документів, створення та використання електронних архівів.
Очевидно, що електронний документообіг поширюється на всі сфери діяльності держави й забезпечує взаємодію між органами влади всіх рівнів та гілок (G2G), органами влади і бізнес- структурами (G2B), органами влади та громадянами (G2C). При цьому такі взаємодії виходять за межі обміну лише документами, і виникає необхідність обміну даними або знаннями шляхом створення та функціонування інформаційної системи електронної взаємодії державних електронних інформаційних ресурсів, що, безумовно, є більш складним в організаційному та науково-технічному сенсі.
Запровадження інформаційної взаємодії органів державної влади та органів місцевого самоврядування на базі електронного документообігу з використанням електронного цифрового підпису Концепцією розвитку електронного урядування в Україні визначено одним з основних принципів електронного урядування, реалізація якого має здійснюватися шляхом створення єдиної загальнодержавної системи електронного документообігу та єдиної інформаційно-телекомунікаційної інфраструктури.
Для запровадження електронного документообігу створено нормативно-правову базу, яка забезпечує його здійснення шляхом належної організації відповідних процесів та дотримання вимог до оформлення документів, уніфікації систем організаційно-розпорядчої документації, розроблення єдиної державної системи діловодства та документаційного забезпечення управління тощо.
З цією метою було прийнято два базових закони України: “Про електронні документи та електронний документообіг” та “Про електронний цифровий підпис”, а також низку постанов і розпоряджень Кабінету Міністрів України, які конкретизували відносини у цій сфері та стали основою для врегулювання взаємодії між суб’єктами й встановлення організаційно-правових засад використання електронного документа та електронного документообігу.
Статтею 5 Закону України “Про електронні документи та електронний документообіг” визначено, що електронний документ (ЕД) – це документ, інформація в якому зафіксована у вигляді електронних даних, включаючи обов’язкові реквізити документа, склад та порядок розміщення яких визначається законодавством.
Електронний документ може бути створений, переданий, збережений і перетворений електронними засобами у візуальну форму подання шляхом відображення даних, які він містить, електронними засобами або на папері у формі, придатній для сприймання його змісту людиною. Обов’язковими реквізитами ЕД є дані, без яких він не може бути підставою для його обліку і не матиме юридичної сили.
Відповідно до ст. 6 зазначеного Закону обов’язковим реквізитом ЕД є електронний підпис, який використовується для ідентифікації автора та/або підписувача ЕД іншими суб’єктами електронного документообігу і дає змогу підтвердити його цілісність. Накладанням електронного цифрового підпису завершується створення ЕД. Однак необхідно зауважити, що лише електронний цифровий підпис за правовим статусом прирівнюється до власноручного підпису (печатки), а інші види електронного підпису такого статусу не мають.
Статус ЕД визначається його реквізитом, що набуває таких значень:
- версія – примірник ЕД на стадії створення, який відрізняється від інших його примірників за вмістом;
- оригінал – примірник ЕД, який першим набуває чинності, що фіксується в процесі реєстрації відповідним значенням спеціального реквізиту;
- дублікат – примірник ЕД, який має юридичну силу оригіналу;
- копія – примірник ЕД, який точно відтворює вміст його оригіналу, а також усі його реквізити чи їх частину;
- витяг (з ЕД) – копія ЕД, яка відтворює частину всіх його структур і частину вмісту.
Життєвий цикл ЕД становлять чотири стадії: створення, поширення, виконання та використання, які реалізуються як сукупність послідовних процесів за допомогою комп’ютерів та засобів зв’язку. При цьому виконання операцій із реалізації процесів відбувається автоматично або керується користувачами відповідних інформаційно-телекомунікаційних систем.
Під системою документообігу розуміється сукупність методів, засобів і персоналу, що підтримує документообіг у межах установленого регламенту документообігу.
Система автоматизації документообігу (система електронного документообігу) – організаційно-технічна система, що забезпечує процес створення, управління доступом і поширення електронних документів у комп’ютерних мережах, а також контроль над потоками документів в організації.
Особливе значення має регулювання (регламентування) документообігу, яке пов’язане з електронними документами.
Регламент документообігу являє собою сукупність правил інформаційної діяльності суб’єктів інформаційних відносин, визначених законодавством, нормативними актами або угодами. Регламент документообігу визначає ролі та права суб’єктів щодо створення документів, володіння, користування та розпорядження ними, порядок оформлення і фіксації інформації на носієві інформації.
Узагальнюючи основні поняття, електронний документообіг можна тлумачити як інформаційні технології, що реалізують життєвий цикл електронного документа. При цьому систему електронного документообігу можна визначити як автоматизовану систему оброблення інформації, що реалізує електронний документообіг, та спряжену з іншими системами документообігу.
Слід виокремити такі основні принципи та завдання електронного документообігу:
– одноразова реєстрація документа, що дає змогу однозначно його ідентифікувати в будь- якій підсистемі;
– можливість паралельного виконання операцій, що дає змогу скоротити час руху документів і підвищення оперативності їх виконання;
– безперервність руху документа, завдяки чому можна ідентифікувати відповідального за (завдання) виконання в кожен момент часу існування документа (процесу);
– єдина (або погоджено розподілена) база документної інформації, що унеможливлює дублювання документів;
– ефективно організована система пошуку документів, що відкриває доступ до документів, володіючи мінімальною інформацією про них;
– розвинена система звітності при різних статусах і атрибутах документів, що дає змогу контролювати їх рух по процесах документообігу і приймати управлінські рішення, ґрунтуючись на даних зі звітів.
На рівні центральних органів виконавчої влади та органів місцевого самоврядування залежно від стану інформатизації та структури органу використовуються засоби (інформаційні системи) електронного документообігу, які в основному можна розподілити на такі (табл. 16.2).
Таблиця 16.2. Класифікація систем електронного документообігу
| Клас системи | Функції (особливості) | Зберігання документів |
| “Електронне діловодство“ | Забезпечення роботи з електронними версіями документів і реквізитами реєстраційно-контрольних форм відповідно до існуючих в Україні правил і стандартів діловодства | Робоча станція виконавця |
| “Документообіг“ | Забезпечення чітко регламентованого і формально контрольованого руху документів усередині і поза організацією на основі інформаційно-телекомунікаційних технологій, часткова підтримка процесів роботи над документами | Робоча станція виконавця, файл-сервер |
| “Системи електронного управління документами“ | Забезпечення повного циклу: створення, перетворення, забезпечення безпеки, управління доступом і поширення великих обсягів документів у корпоративних комп’ютерних мережах, забезпечення контролю над потоками документів в установі, знищення тощо | Спеціальні сховища (центральні або розподілені файл-сервери) або в ієрархії файлової системи |
| “Корпоративні системи електронного управління документами“ | Забезпечення спільної роботи над документами і їх публікації, доступної практично всім користувачам, інтеграція з офісними пакетами, наявність інформаційних порталів та зв’язку через мережі Інтернет, Інтранет та Екстранет | Спеціальні сховища (центральні або розподілені файл-сервери) або в ієрархії файлової системи |
Основними властивостями корпоративних систем електронного управління ЕД є:
– можливість управління життєвим циклом ЕД – від авторської розробки до остаточної редакції, затвердження, поширення і архівації;
– забезпечення розподіленого редагування ЕД, що дає змогу співробітникам, які працюють у різних територіально віддалених підрозділах, спільно використовувати ЕД на локальних серверах, зберігаючи при цьому цілісність ЕД у масштабі всього органу (підрозділу) з розподіленою структурою;
– повний набір засобів управління ЕД – оформлення, отримання (виписування), контролю версій, повнотекстового пошуку в масштабах усього керованого інформаційного вмісту системи, контрольних журналів, можливості роботи з шаблонами, надання повідомлень про зміни ЕД та ін.;
– багаторівневий контроль версій ЕД з організацією їх створення і збереження;
– захист даних за допомогою сертифікованих технічних та програмних засобів промислового рівня, засобів повномасштабної ідентифікації користувачів;
– підтримка різноманітних типів файлів подання ЕД, включаючи текстові, графічні зображення, електронні таблиці, аудіо- та відеодані, веб-документи тощо.
Під управлінням електронним документообігом у загальному випадку розуміють організацію руху ЕД між підрозділами установи, окремими користувачами чи їх групами. При цьому під рухом ЕД розуміється не їх фізичне переміщення, а власне передача прав на їх застосування (доступ), що супроводжується повідомленням про це конкретних користувачів, а також контролем за виконанням.
Результати впровадження електронного документообігу
Очікувані результати впровадження інтегрованої системи електронного документообігу:
– більш ефективне управління ЕД за рахунок автоматичного контролю виконання, прозорості діяльності установи на всіх рівнях;
– підтримка ефективного накопичення, управління і доступу до інформації і знань;
– забезпечення кадрової гнучкості за рахунок більшої формалізації діяльності кожного співробітника і можливості збереження всієї історії його діяльності;
– усунення дублювання і багаторазового перетворення інформації;
– чітка авторизація доступу до інформації з обмеженим доступом, за рахунок чого підвищується персональна відповідальність співробітників за виконані дії строго в рамках наданих повноважень;
– протоколювання діяльності установи в цілому (внутрішні службові розслідування, аналіз діяльності підрозділів, виявлення “гарячих точок”);
– оптимізація управлінських процесів, автоматизація механізму їх виконання і контролю;
– виключення або максимально можливе скорочення обігу паперових документів;
– заощадження ресурсів за рахунок скорочення витрат на управління потоками ЕД в організації;
– виключення необхідності чи істотне спрощення і здешевлення збереження паперових документів за рахунок наявності оперативного електронного архіву.
Завдання зі створення єдиної загальнодержавної системи електронного документообігу реалізуються шляхом запровадження системи електронної взаємодії органів виконавчої влади, яка на цей час проходить дослідну експлуатацію. Адміністратором системи є Державне підприємство “Державний центр інформаційних ресурсів України”.
Система призначена для виконання таких функцій:
– формування єдиного інформаційного простору для обміну, обробки та зберігання організаційно-розпорядчих документів в електронному вигляді, що є передумовою для подальшого створення центрального електронного архіву документів;
– прийому/передачі організаційно-розпорядчих електронних документів Секретаріату Кабінету Міністрів та центральних органів виконавчої влади;
– організації погодження проектів нормативних актів між центральними органами виконавчої влади;
– контролю виконання доручень Секретаріату Кабінету Міністрів, погодження проектів нормативних документів Кабінету Міністрів України;
– посилення контролю за виконанням організаційно-розпорядчих документів;
– підвищення оперативності прийняття управлінських рішень;
– створення передумов для переходу на внутрішній електронний документообіг у відомстві з використанням виключно електронного документа.
Основні характеристики системи:
– веб-орієнтована архітектура. Робота із системою здійснюється за допомогою стандартного веб-браузера з використанням мережі Інтернет;
– єдине сховище документів. Після розміщення на файловому сервері документ доступний адресатам та не потребує переміщення між ними, що дає змогу всім користувачам, яким документ адресований, спільно над ним працювати;
– інтеграція із системою електронного документообігу за узгодженим форматом.
Одним із найважливіших завдань, яке необхідно вирішити при обміні даними (документами) між учасниками інформаційної взаємодії, є сумісність даних для різних систем. Це регламентується вимогами до форматів даних електронного документообігу в органах державної влади, затвердженими наказом Міністерства освіти і науки, молоді та спорту України № 1207 від 20 жовтня 2011 р.
Наказом установлюються вимоги до електронного повідомлення, що застосовуються під час створення систем електронного документообігу органів державної влади та/або забезпечення їх взаємодії, і які є обов’язковими при організації електронної взаємодії між установами та організаціями.
Основний зміст вимог такий. Програмне забезпечення, що реалізує необхідний формат, може бути окремим автономним рішенням або інтегроване у внутрішню систему електронного документообігу як його складова частина.
Електронне повідомлення є XML-документом із встановленою цими вимогами структурою і складом елементів та їх атрибутів. Електронне повідомлення передається із системи електронного документообігу відправника в систему електронного документообігу одержувача у вигляді файла.
XML-документ – текстовий документ, складений у повній відповідності із стандартом XML.
Електронне повідомлення – це XML-файл, у який відповідно до вимог вкладаються електронний документ та метадані. Воно в цілому та його складові частини можуть бути незалежно засвідчені електронними цифровими підписами та (або) зашифровані.
Подальший розвиток має відбуватися в напрямі побудови єдиної інфраструктури міжвідомчої інформаційної взаємодії державних органів та суб’єктів господарювання із застосуванням інформаційно-телекомунікаційних технологій, у тому числі системи електронної взаємодії державних електронних інформаційних ресурсів, упровадження та функціонування якої забезпечує створення, використання, обмін та збереження інформації, що належить державі, відповідно до запитів і повноважень державних органів.
Основними завданнями створення системи електронної взаємодії державних електронних інформаційних ресурсів є забезпечення:
– автоматизованої інформаційної взаємодії електронних інформаційних систем та баз даних державних органів, у тому числі прямого автоматичного обміну інформацією та взаємоузгодження логічно пов’язаних і інформаційно залежних реєстрів;
– автоматизованої міжвідомчої електронної взаємодії державних органів у процесі роботи, що проводиться із фізичними та юридичними особами з використанням єдиної, достовірної і несуперечливої інформації, розміщеної в електронних інформаційних системах та базах даних державних органів;
– електронного обслуговування фізичних та юридичних осіб за принципом “ єдиного вікна” із застосуванням електронного цифрового підпису;
– безпеки інформації відповідно до вимог законодавства про захист інформації та персональних даних.
Передбачається, що запровадження системи електронної взаємодії державних електронних інформаційних ресурсів сприятиме забезпеченню ефективного використання інформації, що належить державі, для виконання завдань державного управління та реалізації права громадян на інформацію.
Електронний цифровий підпис
Електронний підпис займає особливе місце в системі електронного документообігу і за своєю сутністю є одним із засобів ідентифікації. За призначенням він являє собою реквізит електронного документа, який дає змогу перевірити його належність власникові та одночасно підтвердити цілісність і відсутність спотворення інформації в електронному документі з моменту формування електронного підпису.
Електронний цифровий підпис (ЕЦП) для електронного документа (ЕД) – повний аналог власноручного підпису під документом на папері, застосування якого реалізується за допомогою інформаційних технологій і здійснюється шляхом певних криптографічних перетворень над ЕД (набором електронних даних), на основі яких відтворюється вміст цього ЕД. За визначених законодавством умов ЕЦП прирівнюється до власноручного підпису і має однакову з ним юридичну силу.
У ст. 1 Закону України “Про електронний цифровий підпис” наведено визначення таких термінів (див. табл. 16.3).
Технологія застосування ЕЦП базується на методах криптографії. З цієї сфери було запозичено термін “ключ”, тобто набір двійкових даних фіксованої довжини. У практичній криптографії використовується пара пов’язаних між собою ключів – для шифрування і, відповідно, для дешифрування.
Зазначені дані слугують параметрами для алгоритмів криптографічних перетворень. У сфері застосування ЕЦП використовується аналогічна пара – особистий ключ (ОК) і відкритий ключ (ВК), перший з якої застосовується для накладання підпису, а другий – для його перевірки. Створення цієї пари ключів забезпечується шляхом їх генерації за допомогою засобів ЕЦП на основі алгоритмів отримання випадкових чисел великої розрядності. При цьому до надійного засобу ЕЦП висувається, зокрема, вимога, згідно з якою за його допомогою пара ключів може бути практично згенерована лише один раз, а їх захищеність має бути достатньо гарантованою, зокрема після перенесення ключів, що згенеровані за допомогою цього засобу на зовнішній носій інформації. Ці дані в такому засобі (наприклад персональний комп’ютер) будуть знищені, тобто стануть у подальшому недоступними. Крім того, технології використання надійного засобу ЕЦП повинні забезпечувати з достатньою гарантією того, що ключі не можуть бути отримані похідними способами, а сам підпис захищений від підробки шляхом використання наявних інформаційних технологій.
Таблиця 16.3. Терміни щодо визначення електронного цифрового підпису
| Термін | Зміст |
| Електронний підпис | Дані в електронній формі, які додаються до інших електронних даних або логічно з ними пов´язані та призначені для ідентифікації підписувача цих даних |
| Електронний цифровий підпис | Вид електронного підпису, отриманого за результатом криптографічного перетворення набору електронних даних, який додається до цього набору або логічно з ним поєднується і дає змогу підтвердити його цілісність та ідентифікувати підписувача. Електронний цифровий підпис накладається за допомогою особистого ключа та перевіряється за допомогою відкритого ключа |
| Засіб електронного цифрового підпису | Програмний засіб, програмно-апаратний або апаратний пристрій, призначені для генерації ключів, накладення та/або перевірки електронного цифрового підпису |
| Особистий ключ | Параметр криптографічного алгоритму формування електронного цифрового підпису, доступний тільки підписувачу |
| Відкритий ключ | Параметр криптографічного алгоритму перевірки електронного цифрового підпису, доступний суб ´єктам відносин у сфері використання електронного цифрового підпису |
| Засвідчення чинності відкритого ключа | Процедура формування сертифіката відкритого ключа |
| Сертифікат відкритого ключа (сертифікат ключа) | Документ, виданий центром сертифікації ключів, який засвідчує чинність і належність відкритого ключа підписувачу. Сертифікати ключів можуть розповсюджуватися в електронній формі або у формі документа на папері та використовуватися для ідентифікації особи підписувача |
| Посилений сертифікат відкритого ключа (посилений сертифікат ключа) | Сертифікат ключа, який відповідає вимогам цього Закону, виданий акредитованим центром сертифікації ключів, засвідчувальним центром, центральним засвідчувальним органом |
| Акредитація | Процедура документального засвідчення компетентності центру сертифікації ключів здійснювати діяльність, пов´язану з обслуговуванням посилених сертифікатів ключів |
| Компрометація особистого ключа | Будь -яка подія та/або дія, що призвела або може призвести до несанкціонованого використання особистого ключа |
| Блокування сертифіката ключа | Тимчасове зупинення чинності сертифіката ключа |
| Підписувач | Особа, яка на законних підставах володіє особистим ключем та від свого імені або за дорученням особи, яку вона представляє, накладає електронний цифровий підпис під час створення електронного документа |
| Послуги електронного цифрового підпису | Надання у користування засобів електронного цифрового підпису, допомога при генерації відкритих та особистих ключів, обслуговування сертифікатів ключів (формування, розповсюдження, скасування, зберігання, блокування та поновлення), надання інформації щодо чинних, скасованих і блокованих сертифікатів ключів, послуги фіксування часу, консультації та інші послуги, визначені цим Законом |
| Надійний засіб електронного цифрового підпису | Засіб електронного цифрового підпису, що має сертифікат відповідності або позитивний експертний висновок за результатами державної експертизи у сфері криптографічного захисту інформації. Підтвердження відповідності та проведення державної експертизи цих засобів здійснюється в порядку, визначеному законодавством |
Захищеність ЕЦП від відтворення чи підробки базується на застосуванні у відповідних технологіях методів криптографії. Так, у разі застосування алгоритму, визначеного ДСТУ 4145 2002 “Інформаційні технології. Криптографічний захист інформації. Цифровий підпис, що ґрунтується на еліптичних кривих. Формування та перевіряння”, для формування та перевірки електронного цифрового підпису з довжиною ключа 264 біт тривалість часу, необхідного для його можливого “зламування” шляхом застосування найсучасніших методів криптоаналізу, експерти оцінюють майже у 1 тис. років. Крім того, додатковою перешкодою для зловмисників, які можуть здійснити спробу “зламування” ОК, є те, що термін його використання обмежується (як правило, не більше року) і підписувач періодично замінює ОК (одночасно з ним і ВК). Підпи- сувач також може замінювати ОК і достроково – за наявності підозри про його компрометацію, тобто виникнення ситуації, коли існує ймовірність того, що він став доступним іншій особі.
При цьому слід зазначити, що відповідно до “ Порядку застосування електронного цифрового підпису органами державної влади, органами місцевого самоврядування, підприємствами, установами та організаціями державної форми власності” ЕЦП не використовують:
– для складання ЕД, які не можуть бути оригіналами у випадках, передбачених законодавством;
– для здійснення правочинів на суму, що перевищує 1 млн грн.
У разі, коли згідно із законодавством необхідне засвідчення справжності підпису печаткою на документах та відповідності копій документів оригіналам, застосовується спеціально призначений для таких цілей ЕЦП, який називається електронною печаткою (ЕП). Хоча із суто технологічного погляду ЕЦП і ЕП цілком аналогічні, одночасна наявність цих об’єктів у законодавстві про ЕД зумовлена різними функціями, які повинні виконуватися за їх допомогою.
Відповідно до законодавства ЕЦП накладається на ЕД, а більш узагальнено – на набір електронних даних і додається до цього набору або логічно з ним поєднується. Таким набором може бути файл, який являє собою вміст ЕД, сформованого, наприклад, за допомогою текстового процесора Microsoft Word чи редактора електронних таблиць Microsoft Excel, текстовий, графічний, аудіо- або відеофайл тощо.
Слід зазначити, що особистий ключ (ОК), відкритий ключ (ВК) та електронний цифровий підпис (ЕЦП, ЕП) аналогічно з ЕД, як правило, подаються в інформаційну систему, формуються і зберігаються в ній і на персональному комп’ютері в електронному вигляді як файли з двійковими даними.
Накладання ЕЦП (ЕП) на ЕД (набір електронних даних) здійснюється за допомогою ОК, який слугує параметром для криптографічного перетворення цих даних. Першим кроком цього криптографічного перетворення даних, або гешування (рос. – хеширование, англ. – hashing), яке називають також геш-функцією (функцією згортання), є отримання геш-значення (геш-коду) ЕД. При цьому геш-код має фіксовану довжину, є унікальним і однозначно представляє ЕД (набір електронних даних), які підписуються. Після цього за допомогою ОК підписувача, який також є кодом фіксованої довжини, здійснюється шифрування геш-коду ЕД і в результаті цього формується код фіксованої довжини, який власне і являє собою ЕЦП, накладений на ЕД. Цілком зрозуміло, що не існує оберненого до гешування перетворення, за допомогою якого з геш-коду ЕД (набору електронних даних) можна відтворити сам ЕД.
З урахуванням того, що ЕЦП являє собою код, тобто набір електронних даних у двійковій формі, то “прочитати” безпосередньо з нього дані про особу підписувача неможливо. Для цього існує і використовується механізм, в основу якого покладено сертифікат відкритого ключа (СВК), що формується для кожного конкретного ВК одним із суб’єктів інфраструктури відкритого ключа (ІВК), – центром сертифікації ключів (ЦСК), акредитованим центром сертифікації ключів (АЦСК) або засвідчувальним центром.
Перевірка справжності ЕЦП (ЕП), накладеного на ЕД (електронний набір даних), здійснюється за допомогою відкритого ключа (ВК).
Першим кроком цієї процедури є дешифрування коду ЕЦП за допомогою коду ВК, у результаті чого отримується первісний геш-код ЕД, тобто той геш-код, який був обчислений під час накладання ЕЦП на ЕД. Потім обчислюється геш-код ЕД, що перевіряється зараз, оскільки не відомо, чи збігається цей ЕД за вмістом із тим ЕД, який підписувався.
Після цього здійснюється порівняння цих двох геш-кодів, за позитивними результатами якого робиться висновок про справжність ЕЦП і цілісність ЕД (набору електронних даних), тобто про те, що після накладання ЕЦП на ЕД до нього не вносилося жодних змін.
Перевірка справжності ЕП, проставленої на ЕД, здійснюється за такою самою процедурою, що й перевірка ЕЦП.
Якщо після перевірки справжності ЕЦП, накладеного на ЕД, за допомогою ВК, який міститься у СВК, буде отриманий позитивний результат, то дані про підписувача у СВК якраз й ідентифікують цю особу. Таким чином і зіставляється власне код (ЕЦП) з особою підписувача.
Слід зазначити, що зміни, внесені до ЕД, точніше до відповідного набору електронних даних, можуть бути, зокрема, наслідком умисної модифікації або знищення даних, здійснених певною особою, впливу шкідливої комп’ютерної програми (комп’ютерного вірусу), збою в роботі комп’ютера тощо. Запобігати таким випадкам мають системи захисту інформації.
Захист інформації в електронному урядуванні
У сучасній системі державного управління у зв’язку з дедалі більшими потребами в інформаційному забезпеченні усіх сфер її діяльності, тобто використання всіх необхідних інформаційних ресурсів, зростає значимість та актуальність однієї з таких супутніх проблем, як надійний захист інформації, що циркулює в системах її обробки. Особливої гостроти ця проблема набуває у зв’язку з повсюдною та масовою комп’ютеризацією інформаційних процесів і, насамперед, у зв’язку з об’єднанням комп’ютерів в інформаційно-обчислювальні локальні та глобальні мережі, що відкриває масовий доступ до інформаційних ресурсів.
Інформатизація всіх сфер життя суспільства ставить питання про комплексний підхід до розв’язання проблеми інформаційної безпеки. Ці питання сьогодні для України стоять на одному рівні із захистом суверенітету і територіальної цілісності, забезпеченням її економічної безпеки.
Захист інформації, що обробляється в інформаційних системах, полягає в створенні і підтримці в дієздатному стані системи заходів як технічних (інженерних, програмно-апаратних), так і організаційно-правових, що дають змогу повністю запобігти виникненню загроз або мінімізувати їх можливість, а також знизити потенційні збитки.
Інформаційна загроза – це сукупність умов і чинників, що створюють потенційну або реально існуючу небезпеку порушення конфіденційності, доступності і (чи) цілісності інформації.
Інформаційна безпека – ознака стабільного стійкого стану системи органів виконавчої влади, яка в разі впливу внутрішніх та зовнішніх загроз та небезпек зберігає суттєво важливі характеристики для власного існування.
Основні засади захисту інформації визначені в Законі України “Про захист інформації в інформаційно-телекомунікаційних системах”.
Згідно з положеннями цього Закону захист інформації в системі – це діяльність, спрямована на запобігання несанкціонованим діям, що проводяться з порушенням порядку доступу до інформації в системі й при цьому призводять до негативних наслідків, а саме:
– блокування інформації в системі – дії, унаслідок яких унеможливлюється доступ до інформації в системі;
– витоку інформації – результату дій, унаслідок яких інформація в системі стає відомою чи доступною фізичним та/або юридичним особам, що не мають права доступу до неї;
– знищення інформації в системі – дії, унаслідок яких інформація в системі зникає;
– порушення цілісності інформації в системі – дії щодо інформації в системі, внаслідок яких змінюється її вміст.
Об’єктами захисту в системі є інформація, що обробляється в ній, та програмно-технічне забезпечення, яке призначене для обробки цієї інформації.
Сутність і зміст інформаційної безпеки проявляються по-особливому на кожному з рівнів системи органів влади, зокрема на стратегічному (загальнодержавному), тактичному (органів влади, установ тощо), оперативному (структурних підрозділів).
Відповідно до рівнів та завдань, що забезпечують інформаційну безпеку, виділяють групи заходів:
– нормативно-правові (закони, нормативно-правові акти тощо);
– адміністративні (дії загального характеру, що виконуються органами влади);
– процедурні (безпосереднє забезпечення інформаційної безпеки);
– програмно-технічні (конкретні заходи щодо забезпечення інформаційної безпеки).
Ужиття заходів інформаційної безпеки на стратегічному та тактичному рівнях належить
до компетенції відповідних органів та підрозділів органу влади.
Серед найбільш частих та суттєвих загроз інформаційно-технічного характеру, що трапляються в організаціях, експерти виділяють такі елементи, як ненавмисні витоки (53% випадків) та крадіжка інформації (42% випадків), неякісне програмне забезпечення, хакерські атаки (зламування), СПАМ, втрата інформації через халатність співробітників. Набули поширення такі явища, як розкрадання баз даних. Менший вплив мають апаратні і програмні збої та крадіжка устаткування.
Таким чином, експерти зазначають, що велику частину в цьому аспекті становить так званий “людський чинник”, а найбільш небезпечними є ненавмисні дії персоналу через некомпетентність та недбалість.
Існуючі методи забезпечення безпеки інформації можна класифікувати на методи перешкоджання, керування доступом, маскування, регламентації, примушення, спонукання, а засоби – на формальні і неформальні. У свою чергу, формальні засоби поділяються на технічні (фізичні і апаратні) та програмні, а неформальні – на організаційні, законодавчі і морально-етичні.
Методи мають такий зміст:
– перешкоджання – фізичні перешкоди доступу зловмиснику до інформації, що захищається;
– керування доступом – захист інформації шляхом регулювання використання всіх ресурсів комп’ютерної інформаційної системи;
– маскування – захист інформації шляхом її криптографічного закриття;
– регламентація – створення таких умов автоматизованої обробки, зберігання й передачі інформації, що захищається, за яких можливості несанкціонованого доступу до неї зводилися б до мінімуму;
– примушення – захист, за якого користувачі й персонал системи змушені дотримуватись правил обробки, передачі й використання інформації, що захищається, під загрозою матеріальної, адміністративної або карної відповідальності;
– спонукання – захист, який спонукає користувача й персонал системи не порушувати встановлений порядок за рахунок дотримання морально-етичних норм, які склалися.
Розглянуті методи забезпечення безпеки реалізуються на практиці за рахунок застосування різних засобів захисту, таких як технічні, програмні, організаційні, законодавчі й морально- етичні. До основних засобів захисту, які використовуються для створення механізму забезпечення безпеки, належать такі:
– технічні – реалізуються у вигляді електричних, електромеханічних та електронних пристроїв. Уся сукупність технічних засобів ділиться на апаратні й фізичні;
– програмні – являють собою програмне забезпечення, спеціально призначене для виконання функцій захисту інформації;
– організаційні – це організаційно-технічні й організаційно-правові заходи, які вживаються в процесі створення та експлуатації обчислювальної техніки, апаратури телекомунікацій для забезпечення захисту інформації. Організаційні заходи охоплюють усі структурні елементи на всіх етапах їх життєвого циклу;
– морально-етичні – реалізуються у вигляді різних норм, які склалися традиційно або складаються в міру поширення обчислювальної техніки й засобів зв’язку в суспільстві. Ці норми здебільшого не є обов’язковими, як законодавчі заходи;
– законодавчі – визначаються законодавчими актами, якими регламентуються норми та правила користування, обробки й передачі інформації обмеженого доступу. За порушення цих правил встановлюється відповідальність.
Таким чином, забезпечення безпеки інформації є неперервним процесом, який полягає в обґрунтуванні й реалізації найбільш надійних та раціональних заходів щодо вдосконалення і розвитку системи захисту, неперервному контролі її стану, виявленні недоліків та протиправних дій.
Безпека інформації може бути забезпечена лише за умови комплексного використання всього арсеналу наявних засобів захисту в усіх структурних елементах системи і на всіх етапах обробки інформації. Найбільший ефект досягається тоді, коли всі використані засоби, методи і заходи об’ єднуються в єдиний цілісний механізм – систему комплексного захисту інформації.