Проте ці методи мають і недоліки: наявність людського фактора — суб'єктивізм експерта та потенційне обмеження інформації у формі знань, якими володіє експерт.
Подоланню цих недоліків допомагає когнітологія — наука про знання. Відповідно до положень цієї науки в загальній теорії захисту інформації визначаються як аксіоми когнітологічні положення про рівень і відносність ентропії (невизначеності) системи пізнання (людини, спільноти та ін.) і її вплив на формування теоретичних положень, відносну істинність їх (у часі та колі осіб). Відносність істини визначається кількісними і якісними характеристиками множини знань, якими володіє певний суб'єкт відносин, навичками застосування їх, інтелектуальним потенціалом та швидкістю розумових реакцій на відповідні ситуації. Відносність захисту інформації визначається відносністю знань суб'єкта захисту і відносністю загроз захисту, зокрема знань зловмисника.
У контексті визначення об'єктивності експертної оцінки організації захисту інформації, подолання суб'єктивізму, наприклад при визначенні стану інформаційної безпеки об'єкта, застосовують метод залучення кількох експертів. Але, як справедливо зазначають деякі дослідники, при цьому виникає питання, хто може вважатися висококваліфікованим експертом (кваліфікаційні ознаки експерта) і скільки таких експертів потрібно для істинності висновків, подолання суб'єктивізму (Организация и современные методы защиты информации / Под общ. ред. С.А. Диева, А.Г. Шаваева. — М.: Банковский Деловой Центр, 1998. — С. 36).
| 15 -4-1260 |
| 226 |
| Розділ 8 |
| 227 |
Інформаційна безпека як об'єкт інформаційного права
8.5. ЛЮДСЬКИЙ ФАКТОР В ОРГАНІЗАЦІЇ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ
Наявність людського фактора має провідне значення в теорії організації захисту інформації. Через цей елемент теорія організації захисту інформації як система знань має предметний гіперзв'язок з фундаментальними гуманітарними науками — соціологією, соціальною психологією, соціальною інженерією.
За природою організації захист інформації має комплексний характер, тобто між окремими її складовими є певний зв'язок. У рамках теорії організації захисту інформації чітко визначився постулат, що організація захисту інформації повинна враховувати не тільки складність технічної і технологічної компонент системи, а й людський фактор. Тобто, формуючи конкретну систему технічного захисту, слід враховувати якісні індивідуально- і соціально-психологічні, моральні, етичні та інші особисті характеристики людей, задіяних у системі захисту інформації.
У такому аспекті визначається також напрямок теорії щодо оцінки, характеристики зловмисників, які посягають на безпеку інформаційної системи. У цьому аспекті теорія захисту інформації має зв'язок з кримінологією, її складовими вченнями: віктимологією та теорією формування соціально-психологічного портрету зловмисника.
8.6. ПРАВОВИЙ АСПЕКТ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ
8.6.1. Основні питання правової культури щодо інформаційної безпеки
Правовий напрямок теорії охорони та захисту інформації визначається необхідністю формування правил поведінки, відносин у так званому віртуальному або кібер-просторі. У цьому аспекті теорія захисту інформації пов'язана з інформаційним правом та правовою інформатикою. Щодо формування методик виявлення та розкриття злочинів, які вчиняються за допомогою сучасних інформаційних технологій, теорія захисту інформації формує понятійний апарат такої інституції криміналістики, як криміналістична інформатика.
При формуванні системи захисту інформації виникає необхідність застосування методів інтеграції та агрегації складових системи як її підсистем, що можливо при адаптації до предметної галузі теорії алгоритмізації, моделювання, теорії систем тощо.
Когнітивно-юридичний аналіз нормативно-правових актів у сфері суспільних інформаційних відносин, з позицій накопичених наукових знань сьогодення, свідчить про те, що в суспільстві вже сформувалося усвідомлення необхідності формування інституції суспільних відносин інформаційної безпеки: захисту інформації. Але рівень ентропії, наявний на момент прийняття нормативно-правових актів у цій сфері суспільних відносин, об'єктивно не дозволив сформувати їхній зміст у обсязі, необхідному для практики. До того ж практика розвивалася, апробовуючи юридичні норми як соціотехнічні стандарти (алгоритми) однозначно розуміння їхнього змісту широким загалом суб'єктів суспільних відносин.
| 228 |
| Розділ 8 |
| 229 |
Інформаційна безпека як об'єкт інформаційного права
Сьогодні створено передумови для формування умовно автономної теорії, в рамках якої має сформуватися специфічний понятійний апарат (термінологія, категорії), змістовний аспект якого є проблематикою теорії для задоволення потреб практики: напрацювання стандартів категорій для розуміння широким загалом сутності нових соціальних явищ, у тому числі передачі інформації у формі знань у межах відповідної навчальної дисципліни.
Сучасний рівень суспільної ентропії — теоретичної розробленості проблематики — дає можливість визначити об'єктивність потреб формування у вітчизняній науці системи знань, ідей, доктрин, концепцій щодо інформаційної безпеки, формулювання (формалізації) її у змістовному, сут-нісному, понятійному аспектах тощо. При цьому як мету визначено формування ядра самої загальної теорії на елементарному рівні. Такі положення покликані формувати синтетичний науковий напрямок на межі багатьох наук, в яких проблематика інформаційної безпеки, захисту інформації визначена фрагментарно, ситуаційно, розпорошена серед багатоманітної галузевої проблематики. Передбачається, що з часом сформується розвинута теорія організації інформаційної безпеки, захисту інформації в автоматизованих (комп'ютерних) системах у таких науках, як правова інформатика та інформаційне право.
Базуючись на методології гіперсистем права та теорії критичної маси норм правовідносин, можна прогнозувати, що в майбутньому інформаційна безпека, у міру розвитку інформаційного суспільства, виокремиться з інформаційного права в окрему субінституцію подібно до права інтелектуальної власності, його провідних складових — авторського права та права промислової власності.
8.6.2. Стан правового регулювання охорони та захисту інформації
У контексті проблематики слід звернути увагу на стан правового регулювання питань захисту інформації, зумовлюваний в Україні такими чинниками:
• нормативною невизначеністю понять та категорій, зокрема на рівні юридичних актів (документів);
• недосконалістю правового регулювання в інформаційній сфері, зокрема у сфері захисту таємниць (крім державної), конфіденційної інформації та відкритої інформації, важливої для особи, суспільства та держави;
• недостатністю нормативно-правових актів і нормативних документів з питань проведення досліджень, розроблення та виробництва засобів забезпечення захисту;
• незавершеністю створення системи сертифікації засобів забезпечення технічного захисту інформації (ТЗІ);
• недосконалістю системи атестації на відповідність вимогам ТЗІ об'єктів, робота яких пов'язана з інформацією, що підлягає технічному захисту;
• недостатньою узгодженістю чинних в Україні нормативно-правових актів та нормативних документів з питань ТЗІ з відповідними міжнародними договорами України.
З аналізу нормативно-правової бази захисту інформації в автоматизованих системах впливає, що в сучасних умовах важливе значення щодо захисту інформаційних відносин надається створенню системи технічного захисту інформації. У публічному праві України під системою ТЗІ розуміють сукупність суб'єктів, об'єднаних цілями та завданнями захисту інформації інженерно-технічними заходами, нормативно-правову та матеріально-технічну базу.
| 230 |
| Розділ 8 |
| 231 |
Інформаційна безпека як об'єкт інформаційного права
З позиції когнітивного (пізнавального) підходу таке визначення має, на нашу думку, певні недоліки.
У нашому розумінні редакцію визначення категорії "система технічного захисту інформації" слід подати, таким чином у двох аспектах.
Система організації технічного захисту інформації —
це множина комплексних заходів, що здійснюються визначеними в нормативних актах, на основі наявної матеріально-технічної бази, відповідними суб'єктами, об'єднаних цілями та завданнями захисту інформації інженерно-технічними засобами.
Система ТЗІ — це множина інженерно-технічних засобів, що визначають заходи на основі наявної матеріально-технічної бази у суб'єктів, об'єднаних цілями та завданнями захисту інформації у порядку, визначеному у відповідних нормативно-правових документах (законах та підза-конних актах).
З аналізу чинного законодавства та підзаконних нормативних актів можна зробити узагальнення, що в Україні є національна система правового регулювання захисту інформації в автоматизованих системах. Правову основу забезпечення захисту інформації в Україні як інституції права становлять Конституція України, Концепція (основи державної політики) національної безпеки України, закони України "Про інформацію", "Про захист інформації в автоматизованих системах", "Про державну таємницю", "Про науково-технічну інформацію", інші нормативно-правові акти, в тому числі міжнародні договори України (які відповідним чином ратифіковані Україною), що стосуються сфери інформаційних відносин.