close

Вход

Забыли?

вход по аккаунту

;doc

код для вставкиСкачать
НАЦИОНАЛЬНАЯ АКАДЕМИЯ НАУК УКРАИНЫ
ИНСТИТУТ ПРОБЛЕМ РЕГИСТРАЦИИ ИНФОРМАЦИИ
НАН УКРАИНЫ
НАЦИОНАЛЬНАЯ АКАДЕМИЯ ПРАВОВЫХ НАУК
УКРАИНЫ
НАУЧНО-ИССЛЕДОВАТЕЛЬСКИЙ ИНСТИТУТ
ИНФОРМАТИКИ И ПРАВА
НАЦИОНАЛЬНЫЙ ТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ
УКРАИНЫ «КПИ»
УЧЕБНО-НАУЧНЫЙ ЦЕНТР ИНФОРМАЦИОННОГО
ПРАВА И ПРАВОВЫХ ВОПРОСОВ ИНФОРМАЦИОННЫХ
ТЕХНОЛОГИЙ ФСП
ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ
И БЕЗОПАСНОСТЬ:
ОСНОВЫ ОБЕСПЕЧЕНИЯ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
ВЫПУСК 14
КИЕВ – 2014
2
Рекомендовано к печати ученым советом
Института проблем регистрации информации НАН Украины
(протокол № 4 от 24 июня 2014 г.)
Информационные технологии и безопасность: основы
обеспечения информационной безопасности. Материалы
международной научной конференции ИТБ-2014. – К.:
ИПРИ НАН Украины, 2014. – 180 с. ISBN: 978-966-2344-34-9
В сборник вошли материалы, представленные на
Международной конференции «Информационные технологии
и безопасность: основы обеспечения информационной
безопасности» (ИТБ-2014), которая проходила 28 мая 2014
года в г.Киев, Украина.
Сборник охватывает широкий круг актуальных проблем
обеспечения
информационной
безопасности
при
использовании
современных
сетевых
информационных
технологий,
правового
обеспечения
информационной
безопасности,
методического
обеспечения
систем
организационного управления.
Редакционная коллегия:
А.Г. Додонов,
д.т.н.,
профессор;
В.Г. Пилипчук,
д.ю.н.,
профессор, член-корр. НАПрН Украины; А.М. Богданов, д.т.н.,
профессор; Д.В. Ландэ, д.т.н., с.н.с.; В.В. Мохор, д.т.н.,
профессор; Н.А. Ожеван, д.ф.н., профессор; В.Н. Фурашев,
к.т.н., с.н.с.; Е.С. Горбачик, к.т.н., с.н.с.; М.Г. Кузнецова,
к.т.н., с.н.с.
ISBN 978-966-2344-34-9
© Институт проблем
регистрации информации
НАН Украины, 2014
© Научно-исследовательский
институт информатики и
права НАПрН Украины,
2014
© Учебно-научный центр
информационного права и
правовых вопросов
информационных
технологий ФСП НТУУ
«КПИ», 2014
© Коллектив авторов
3
МЕТОДИКА АНАЛИТИЧЕСКОГО
ИССЛЕДОВАНИЯ ДИНАМИКИ СОБЫТИЙ НА
ОСНОВЕ МОНИТОРИНГА ВЕБ-РЕСУРСОВ
СЕТИ ИНТЕРНЕТ
Додонов А.Г., Ландэ Д.В.
Институт проблем регистрации информации
НАН Украины
Введение, постановка задачи
В настоящее время контент сети Интернет
образует
значимый
динамический
сегмент
информационного
пространства,
информационные
потоки, содержание и объемы которых необходимо
учитывать
при
проведении
аналитических
исследований практически в любой области. Основным
объектом анализа при этом являются событийные или
тематические
срезы
этих
потоков
–
массивы
информационных
сообщений,
документов,
соответствующих
определенным
событиям
или
тематикам.
Динамика
информационных
потоков
определяется комплексом как внутренних, так и
внешних
нелинейных
механизмов,
которые
отражаются, возможно, в неявном виде. Зачастую
удовлетворительным
оказывается
упрощенное
понимание информационного сюжета как некоторой
зависимой от времени величины n(t ) , поведение
которой описывается нелинейными уравнениями [1, 2].
Таким информационным потокам можно ставить в
соответствие временные ряды, для анализа которых все
чаще обоснованно применяются формальные методы:
статистического, фрактального, Фурье или вейвлетанализа.
Для эффективного проведения информационноаналитических исследований на основе анализа
контента сети Интернет (а точнее ее веб-ресурсов)
авторами предлагается последовательность шагов,
этапов обработки информации, каждый из которых сам
4
по себе обеспечивает получение продукта. Совокупность
таких
этапов,
базирующихся
на
использовании
необходимых и доступных инструментальных средств,
специальных приемов, можно рассматривать как
методику, процедуру проведения действий, нацеленных
на получение аналитических материалов, которые могут
использоваться для поддержки принятия решений.
Любая
методика
рассчитана
на
решение
конкретных задач. При проведении информационноаналитических исследований на базе интернет-контента
к таким задачам можно отнести:
1. Нахождение релевантных публикаций по
тематике.
2. Определение
динамики
тематических
публикаций.
3. Определение критических точек в динамике
тематических публикаций.
4. Выявление объектов мониторинга.
5. Выявление и визуализация взаимосвязей
событий и объектов мониторинга, а также
объектов мониторинга между собой.
6. Прогнозирование развития событий.
Этапы информационно-аналитического
исследования
В соответствии с приведенными выше задачами
предлагается
выделить
следующие
этапы
информационно-аналитического исследования:
1. Выбор
системы
интеграции
интернетдокументов.
2. Формирование запроса в среде выбранной
системы.
Нахождение
тематических
публикаций по запросу с помощью систем
контент-мониторинга.
3. Определение
динамики
тематических
публикаций по запросу.
4. Определение критических точек в динамике
тематических публикаций.
5. Определение основных событий в критических
точках.
5
6. Выявление объектов мониторинга.
7. Выявление и визуализация взаимосвязей.
8. Прогноз развития событий.
Рассмотрим эти этапы подробно.
Выбор системы интеграции интернетдокументов
Для получения репрезентативной информации об
объекте исследования необходимо воспользоваться
поисковой системой с аналитическими функциями,
охватывающей
достаточный
объем
информации,
относящейся к исследуемому объекту/событию. Для
анализа
динамики
информационных
потоков
необходимо
каким-то
образом
получить
соответствующую статистику, представленную в виде
временных
рядов.
Многие
современные
информационно-аналитические системы содержат в
своем составе средства отображения статистики
вхождения в базы данных понятий, соответствующих
пользовательским запросам. В настоящее время
существует несколько открытых информационных
сервисов, в рамках которых можно наблюдать
временную
динамику
объемов
публикаций
по
тематикам, определяемым запросами. Так Google books
Ngram
Viewer
(http://ngrams.googlelabs.com/),
предоставляет визуализацию динамики количества
книг, в которых упоминаются слова. Сервис «Яндекс
пульс блогосферы» (http://blogs.yandex.ru/pulse/) также
позволял отображать динамику публикаций в блогах,
содержащих заданные пользователем ключевые слова,
однако был закрыт ввиду малой посещаемости. Сегодня
этот
сервис
доступен
лишь
по
специальному
разрешению
компании
«Яндекс».
На
сайте
Национального корпуса русского языка (НКРЯ) в бетарежиме
запущен
сервис
N-грамм
(http://www.ruscorpora.ru/ngram.html),
близкий
по
функциональности сервису Google books Ngram Viewer.
Безусловно, самыми эффективными для решения
задач анализа динамического контента являются
специализированные системы интеграции сетевого
контента. В частности, в рамках исследований
6
авторами использовалась система контент-мониторинга
веб-ресурсов
InfoStream
(www.infostream.ua),
реализующая
необходимую
функциональность
и
охватывающая около 100 тыс. документов в сутки с
7000 веб-сайтов.
Формирование запроса в среде выбранной
системы
Массив тематических документов (тема – события,
связанные с Евромайданом в Киеве 2013-2014 гг.)
выбирается с помощью системы InfoStream путем ввода
запроса на языке данной системы:
(майдан|евромайдан)&(избиен|разгон|штурм|
беркут|молотов|титушк|погиб)&lang.RUS,
по которому в период с ноября 2013 года по март 2014
года
было
опубликовано
свыше
200
тысяч
тематических публикаций на веб-сайтах (рис. 1).
Рис. 1 – Поисковый интерфейс системы InfoStream
Система InfoStream обеспечивает поиск, а также
просмотр списка и полных текстов релевантных
документов.
7
Определение динамики
публикаций по запросу
тематических
Режим динамики событий системы интеграции
интернет-ресурсов позволяет получить данные о
количестве публикаций по заданному запросу за
указанный промежуток времени. Эти данные могут
быть загружены в настольную систему обработки
данных и отображаются в виде графика (рис. 2). В
интерфейсе пользователя обеспечивается переход к
просмотру релевантных документов по выбранной дате.
После этого данные временной динамики за
каждые сутки нормируются, т.е. в среде системы Excel
формируется
временной
ряд,
содержащий
относительные
значения,
равные
отношению
количества тематических сообщений к общему потоку
сообщений за сутки.
Рис. 2 – Режим «Динамика событий» системы интеграции
Это, в частности, позволяет избавиться от
недельной периодичности в количестве тематических
публикаций. Затем происходит переход к процедуре
определения критических точек в данном временном
ряде.
8
Определение критических точек в
динамике сообщений
Критические точки как локальные максимумы
временного
ряда
динамики
публикаций
можно
определить,
например,
визуально
по
графику,
представленному на рис. 2. Вместе с тем, существуют
несколько
научно-обоснованных
методик,
базирующихся на
методах цифровой
обработки
сигналов.
Кривая цикла информационных операций
В результате анализа многочисленных диаграмм
поведения ТИП, были выявлены наиболее типичные,
базовые профили их поведения [3, 4]. Предложенные
модели полностью соответствуют реальным данным,
которые
экстрагируются
системами
контентмониторинга. Поэтому приведенные зависимости могут
быть использованы как шаблоны, например, для
выявления информационных операций – как путем
анализа ретроспективного фонда сетевых публикаций,
так и для оперативного мониторинга появления
некоторых их признаков в реальном времени.
В частности, для выявления информационных
операций [5] следует внимательно следить за динамикой
публикаций по целевой теме и, если есть возможность,
пользоваться доступными аналитическими средствами,
средствами
цифровой
обработки
данных
и
распознавания образов, например, вейвлет-анализом.
На рис. 3 приведен обобщенная диаграмма,
соответствующая всем этапам жизненного цикла
информационных операций, обоснованная авторами в
[2].
Для выявления степени «близости» фрагментов
исследуемого временного ряда приведенной диаграмме
в различных масштабах предлагается использовать так
называемый «вейвлет-анализ» [6], который в настоящее
время нашел широкое применение как в естественных
науках, так и в социологии [7].
9
Рис. 4 – Жизненный цикл информационных операций: 1 –
фон; 2 – затишье; 3 – «артподготовка»; 4 – затишье; 5 –
атака/триггер роста; 6 – пик завышенных ожиданий; 7 –
утрата иллюзий организаторов; 8 – общественное осознание; 9
– продуктивность/фон
Главная идея вейвлет-преобразования заключается
в том, что нестационарный временной ряд разделяется
на отдельные промежутки (так называемые «окна
наблюдения»), и на каждом из них
вычисляется
величина,
показывающая
степень
близости
закономерностей исследуемых данных с разными
сдвигами некоторого вейвлета (специальной функции) в
разных масштабах. Вейвлет-преобразование генерирует
набор коэффициентов, которые являются функциями
двух переменных: времени и частоты, и потому
образовывают поверхность в трехмерном пространстве.
Непрерывное
вейвлет-преобразование
для
функции
f (t ) строится с помощью непрерывных
масштабных преобразований и переносов выбранного
вейвлета
ψ (t )
с
произвольными
значениями
масштабного коэффициента a и параметра сдвига b :
∞
1
 t −b 
W ( a, b ) = ( f (t ),ψ (t ) ) =
f ( t )ψ * 
 dt .
∫
a −∞
 a 
Полученные
вейвлет-коэффициенты
можно
представить в графическом виде, если по одной оси
отложить сдвиг вейвлета (ось времени), а по другой масштабы (ось масштабов), и раскрасить точки
полученной схемы в зависимости от величины
10
соответствующих
коэффициентов
(чем
больше
коэффициент, тем ярче цвета).
Эти
коэффициенты,
которые
показывают,
насколько поведение процесса в данной точке
аналогично вейвлету в данном масштабе. Чем ближе от
анализируемой зависимости в окрестности данной
точки к виду вейвлета, тем большую абсолютную
величину
имеет
соответствующий
коэффициент.
Применение этих операций, с учетом свойства
локальности вейвлета в частотно-временной области,
позволяет анализировать данные на разных масштабах
и точно определять положение их характерных
особенностей во времени.
На скейлограмме видные все характерные
особенности исходного ряда: масштаб и интенсивность
периодических изменений, направление и значение
трендов, наличие, расположение и продолжительность
локальных особенностей.
В работе [2] показано, что вейвлеты «мексиканская
шляпа» и Морле (рис. 4) наиболее точно отражает
динамику информационных операций, результаты
применения этого вейвлета приведены на рис. 5,
благодаря чему выбраны три даты (2013.11.30,
2014.01.22, 2014.02.19), соответствующие критическим
точкам исследуемого процесса.
Рис. 4. Вейвлеты mexh, Морле
11
а
б
Рис. 5 – Вейвлет-спектограммы исследуемого временного ряда
(а – «мексиканская шляпа», б – вейвлет Морле)
Следует отметить, что инструменты построения
вейвлет-спектограмм доступны как в ряде пакетов
математических программ, например, в Matlab, так и
через
Интернет
в
режиме
онлайн
(http://ion.researchsystems.com/cgi-bin/ion-p?page=
wavelet.ion).
Определение основных событий в
критических точках
После определения критических точек с помощью
системы контент-мониторинга выполняется построение
основных
сюжетных
цепочек
из
сообщений,
соответствующих запросу за выбранные даты. Таким
образом определяются основные события за указанные
даты (рис. 6).
Для последующего анализа отбирается три массива
сообщений, соответствующие трем выбранным датам,
объекты из которых (в простейшем случае – персоны и
веб-источники) могут рассматриваться как объекты
мониторинга.
12
Рис. 6 – Основные сюжетные цепочки за выбранные даты
Выявление объектов мониторинга
С
помощью
методов
экстрагирования
фактических данных, применяющихся в системах
интеграции
интернет-ресурсов,
в
интерфейсе
пользователя
формируются
так
называемые
«информационные портреты», охватывающие списки
персон,
топонимов,
языков,
компаний
и
т.п.,
содержащиеся в документах, релевантных некоторому
заданному запросу.
В нашем случае из «информационного портрета»,
соответствующего тематическому запросу выбираются
наиболее упоминаемые персоны и/или веб-ресурсы за
выбранные даты (рис. 7 и 8). Эти списки могут
агрегироваться,
в
результате
чего
возможно
определение взаимосвязей событий и объектов (рис. 9).
В качестве системы визуализации авторами
выбрана система анализа и отображения сетей Gephi
(www.gephi.org).
13
Рис. 7. Списки «доминирующих» персон
Рис. 8. Списки «доминирующих» веб-ресурсов
Рис. 9. Пример визуализации связей событий и объектов
14
Эти же данные позволяют выявлять взаимосвязи
между объектами, например, между указанными
аналитиками веб-ресурсами и персонами (рис. 10).
Рис. 10. Визуализация взаимосвязей веб-ресурсов и персон
На рис. 9 можно видеть, что каждому массиву
(узлы, идентифицированные датами) соответствуют
объекты. При этом в центральной части сети
располагаются объекты, общие для нескольких событий
(О-зона), а «гребешки» на периферии соответствуют
специальным
объектам,
отражающим
специфику
конкретных событий (С-зоны).
Также можно предложить критерий релевантности
события, связанного с конкретной датой, общей
тематике: чем большая часть объектов из него попадает
в О-зону, тем он более релевантен тематике. Формально
значение этого критерия ki , N для сюжета i тематики s
может быть записано следующим образом:
15
ki , N =
Ti , N ∩ Ts , N
,
N
где N – количество объектов, Ti , N – множество значимых
объектов события
i , – Ts , N
– множество значимых
объектов для всей тематики.
Подход к прогнозу: R/S-анализ
Для
решения
задач
прогнозирования
перспективным представляется
применение
теории
фракталов
при
анализе
информационного
пространства.
Фрактальный
анализ
самоподобия
информационных массивов может рассматриваться как
технология,
предназначенная
для
осуществления
аналитических
исследований
с
элементами
прогнозирования,
пригодная
к
экстраполяции
полученных зависимостей.
Важнейшей характеристикой рядов, которые
имеют хаотичное поведение, является, как известно,
показатель Херста ( H ), определяемый в результате так
называемого
R / S -анализа
[8].
Этот
показатель
базируется на анализе
нормированного разброса –
отношения разброса значений исследуемого ряда R к
стандартному отклонению S .
Достаточно часто, когда соотношение R / S имеет
постоянный тренд, можно говорить о соотношении:
R / S = ( N 2) ,
H
где H – показатель Херста, который для достаточно
широкого класса рядов связан с хаусдорфовой
(фрактальнй) размерностью
D
постой формулой:
D+H =2.
На рис. 11 представлено соотношения R / S для
рассматриваемого в этой работе временного ряда. Как
можно видеть, кривая нормированного размаха
удовлетворительно
аппроксимируется
прямой
в
двойном
логарифмическом
масштабе.
Численные
значения
H
характеризуют
разные
типы
коррелированной динамики (персистентности). При
16
H = 0,5 наблюдается некоррелированное поведение
значений ряда, а значение 0,5 < H < 1 соответствует
степени автокорреляции ряда.
Рис. 11. Кривая R/S в двойной логарифмической шкале
Как можно видеть, значение показателя Херста для
исследуемого информационного потока соответствует
величине 0,81, что подтверждает предположение о
самоподобии
и
итеративности
рассматриваемых
процессов в информационном пространстве. Это
означает, что общая информационная напряженность
остается на большом уровне, как только исчезает
«шлейф» одного сюжета по выбранной тематике
информационных, ему на смену возникает новый
сюжет, т. е. его поведение в дальнейшем будет близко к
предшествующему поведению.
Выводы
В докладе представлена методика аналитического
исследования, которая базируется на использовании
современных инструментальных средствах анализа и
визуализации информационных потоков и временных
рядов.
Предложенную методику можно использовать в
качестве основы для проведения аналитической и
17
прогнозной деятельности на основе исследования
контента современных компьютерных сетей.
Литература
1. Додонов А.Г., Ландэ Д.В. Моделирование и анализ
тематических информационных потоков // Информационное
противодействие угрозам терроризма, 2013. – № 20. – C. 5259.
2. Ланде Д.В. Новітні підходи й технології інформаційноаналітичної підтримки прийняття рішень // Національна
безпека: український вимір: щокв. наук. зб. / Рада нац.
безпеки і оборони України, Ін-т пробл. нац. Безпеки, 2008. –
Вип. 1-2 (20-21). – C. 87-105.
3. Ланде Д.В. Тренди відображення інформаційних
операцій в інформаційному просторі // Інформація і право,
2013. – N 1 (7). – C. 82-88.
4. Додонов А.Г., Ландэ Д.В., Прищепа В.В., Путятин В.Г.
Конкурентная разведка в компьютерных сетях.– К.: ИПРИ
НАН Украины, 2013. – 248 с.
5. Горбулін В.П., Додонов О.Г., Ланде Д.В. Інформаційні
операції
та
безпека
суспільства:
загрози,
протидія,
моделювання: монографія. – К.: Інтертехнологія, 2009. – 164 с.
6. Астафьева Н.М. Вейвлет-анализ: основы теории и
примеры применения // Успехи физических наук, 1996. –
166. – № 11. – P. 1145-1170.
7. Давыдов
А.А.
Системная
социология.
–
М.:
Издательство ЛКИ, 2008. – 192 с.
8. Федер Е. Фракталы. – М., Мир, 1991. – 261 с.
18
ОСОБЛИВОСТІ РОЗУМІННЯ ПОНЯТЬ
«ІНФОРМАЦІЙНА БЕЗПЕКА» ТА «БЕЗПЕКА
ІНФОРМАЦІЇ»
Архипов О.Є, Архипова Є.О.
НТУУ «Київський політехнічний інститут»
Постановка проблеми. Цілком закономірним є те,
що в сучасному суспільстві, яке часто називають
інформаційним, питання, що лежать у площині
інформаційної безпеки, викликають підвищену увагу в
наукових та професійних колах, а також серед широкої
громадськості.
Терміни
«інформаційна
безпека»,
«безпека інформації», «кібербезпека», «захист інформації»
тощо вже досить давно увійшли в широкий обіг, а
визначення деяких із них закріплені у міжнародних та
вітчизняних нормативно-правових актах. Проте, на
жаль, аналіз наукових та правових джерел демонструє
відсутність одностайного трактування термінів в сфері
інформаційної
безпеки,
а
їх
визначення
на
законодавчому рівні потребує уточнення та ретельного
узгодження.
Тому одним із пріоритетних завдань в галузі
інформаційної безпеки наразі, на наш погляд, є
визначення самого поняття “інформаційна безпека”, бо
відсутність однозначного розуміння суспільством цієї
ключової
дефініції
обумовлює
методологічну
невизначеність ряду інших положень та термінів
означеної галузі.
Таким чином, метою даної статті є уточнення
сутності поняття інформаційної безпеки та з’ясування
його співвідношення з терміном «безпека інформації».
Виклад основних положень. У третьому розділі
Закону України «Про Основні засади розвитку
інформаційного суспільства в Україні на 2007 – 2015
роки» визначено, що «інформаційна безпека – стан
захищеності життєво важливих інтересів людини,
суспільства і держави, при якому запобігається
19
нанесення шкоди через: неповноту, невчасність та
невірогідність
інформації,
що
використовується;
негативний інформаційний вплив; негативні наслідки
застосування
інформаційних
технологій;
несанкціоноване розповсюдження, використання і
порушення цілісності, конфіденційності та доступності
інформації» [10].
Але не дивлячись на існування офіційного
визначення інформаційної безпеки, а також на досить
високий професійний рівень її вивчення, на поточний
момент з визначенням поняття " інформаційна безпека "
склалася парадоксальна ситуація. З одного боку, термін
"інформаційна безпека" давно відомий і широко
використовується в публікаціях, навчальній літературі
та законодавчих документах різного рівня, а з іншого
боку, в це поняття досі вкладається різний зміст. Так, в
навчальному посібнику Шаньгіна В.І. [11, 10] наведено
гранично
звужене
поняття
інформаційної
безпеки:«захищеність
інформації
від
незаконного
ознайомлення, перетворення і знищення, а також
захищеність інформаційних ресурсів від впливів,
спрямованих на порушення їх працездатності». Тобто в
даному
випадку
під
інформаційною
безпекою
розуміється лише технічна її складова, а діалектично
пов'язана з нею соціальна, суб’єктивна складова –
захист від негативних інформаційних впливів на
свідомість людини – ігнорується.
Зрізом розвитку проблеми інформаційної безпеки в
суспільстві можна вважати спеціалізовані конференції
та виставки: переважна більшість їх учасників – це
компанії, які займаються технічними аспектами
інформаційної
безпеки,
а
саме
захистом
від
комп'ютерних вірусів, різноманітними програмноапаратними
рішеннями,
комплексними
Securіtyрішеннями.
Часто
поняття
безпеки
інформації
та
інформаційної безпеки ототожнюються, або ж в одне і
те саме поняття в різних джерелах, в тому числі у
правових, вкладається різний зміст, що порушує
основоположні принципи теорії систем та ускладнює
20
подальший розвиток практичних та теоретичних
досліджень в цій сфері.
Певною мірою така термінологічна невизначеність
пояснюється тим, що проблематика інформаційної
безпеки є дуже складною і багатоаспектною. Надмірна
увага до проблем захисту інформації та нехтування
іншими аспектами інформаційної безпеки обумовлена
процесом збільшення цінності інформації в усіх її
проявах, темпи якого невпинно зростають починаючи
зсередини ХХ століття. Дуже швидко у свідомості людей
вкоренилося розуміння того, що основним ресурсом
сучасного глобалізованого суспільства є інформація, а
створені на її основі інформаційні продукти є умовою
ефективного функціонування та комфортного існування
в даному соціумі. Здатність отримувати, обробляти і
використовувати інформацію багато в чому детермінує
рівень успішності людини в інформаційному суспільстві,
адже інформація сьогодні виступає і специфічним
ресурсом, і важливим фактором влади, і основою
організації та управління.
У
суспільній
свідомості
інформація
почала
сприйматися як товар, а тому виникла потреба у його
(товару)захисті від неправомірних та/або небажаних
посягань. Основними властивостями інформації як
об'єкта
захисту
прийнято
вважати
доступність,
цілісність та конфіденційність. Розширюючи цей
перелік, до нього додають такі характеристики, як
невідмовність, достовірність, адекватність, актуальність,
точність, повнота тощо.
Крім того, часто вітчизняні та російські дослідники
запозичують основний зміст визначення терміну
«інформаційна безпека» з міжнародних стандартів ISO /
IEC з управління та менеджменту інформаційної
безпеки,
не
враховуючи,
що
словосполучення
«Іnformatіon Securіty» може перекладатися з англійської
як «інформаційна безпека», так і як «безпека
інформації». Але оскільки дані стандарти належать до
сфери безпеки інформаційних технологій, то і об'єкт
захисту в них звужений: це не людина, суспільство чи
держава,
а
інформація
та
інформаційна
інфраструктура.
21
Таке
фрагментарне
запозичення
ключових
термінів з іншомовних джерел без урахування
загального контексту документів є, на наш погляд,
основною причиною термінологічної плутанини.
З цих позицій видається корисним ґрунтовне
опрацювання чинних міжнародних стандартів, в яких
акумульовано
світовий
досвід
управління
інформаційною безпекою, зокрема ті розділи, де
здійснюється аналіз та дослідження підходів, понять,
визначень, які ще не мають єдиного усталеного
сприйняття у вітчизняному нормативно-правовому та
навчально-методичному
забезпеченні
галузі
інформаційної безпеки.
В першу чергу до цих стандартів належать
британський національний стандарт BS 7799, який було
затверджено в 2000 році як перший міжнародний
стандарт з управління інформаційною безпекою, серія
стандартів ISO/IEC 13335, які у 2003 – 2005 рр.
отримали статус державних стандартів України з
управління інформаційною безпекою [4-6], та серія
стандартів з менеджменту інформаційної безпеки
ISO/IEC 27000, зокрема стандарт [16] цієї серії.
Перш за все з’ясуємо, який зміст вкладається в
термін «Іnformatіon Securіty” у міжнародних стандартах.
Так в ISO/IEC 17799 цим терміном визначається
забезпечення
конфіденційності,
цілісності
та
доступності інформації. В стандартах ISO/IEC 13335-1
та ISO/IEC 27001 визначення цього терміну більш
широке: додається забезпечення таких властивостей
інформації як обліковість, достовірність, невідмовність
та надійність, а головне, підкреслюється, що стан
«Іnformatіon Securіty» – це змінна у часі величина, що
інтегрує у собі всі наведені вище властивості інформації
та залежить від рівнів цих властивостей на даний
момент часу. Зміна рівнів обумовлюється непостійністю
характеристик та варіюванням кількості діючих
зовнішніх і внутрішніх загроз: чим більша кількість
загроз і вища їх інтенсивність, тим нижчий (гірший)
стан «Іnformatіon Securіty».
Для побудови ефективної системи інформаційної
безпеки
необхідно
виміряти
рівень
значущості
22
(важливості, суттєвості) загроз інформації. При цьому
слід враховувати, що хоч загрози можуть бути
спрямовані
на
різні
властивості
інформації
(конфіденційність, цілісність, доступність, надійність
тощо), необхідно якимсь чином забезпечити можливість
співставлення та порівняння значущості цих загроз, а
також
обрахування
інтегральної
оцінки
рівня
значущості всієї множини загроз. Міжнародні стандарти
у якості показника значущості загроз рекомендують
використовувати ризик загроз, під яким розуміють
ймовірну шкоду, що виникає внаслідок реалізації
часткової загрози або усієї множини загроз [13].
Орієнтація ризику на кінцевий результат, наслідок дії
загрози (сукупності загроз), а не на фіксацію змін певної
властивості інформації, на яку спрямована загроза,
забезпечує використання ризику як універсального
показника рівня небезпеки.
За своєю структурою ризик є добутком ймовірності
реалізації загрози та кількісної оцінки шкоди,
обумовленої реалізацією цієї загрози
[6; 13; 15]. В
процесі оцінювання шкоди стикаємося з необхідністю
вирішення ще одного принципового питання: в яких
межах слід аналізувати і визначати можливі наслідки
впливу загроз? Відповідь на це питання дозволяє
виявити різницю між поняттями «інформаційна
безпека» та «безпека інформації».
Зокрема терміну «безпека інформації» відповідає
ситуація, коли оцінювання шкоди засновано на чисто
формальному обрахуванні змін у блоці інформації, які
виникли внаслідок реалізації загроз. Можна вважати,
що цей прийом базується на підході, прийнятому в
математичній теорії зв’язку, де втрати інформації
внаслідок впливу шумових збурень (загроза) в каналі
зв’язку оцінюються шляхом кількісного співставлення
форми вихідного повідомлення та повідомлення,
отриманого
на
прийомі
[12].
Зокрема,
при
представленні інформації двійковим кодом у разі
порушення цілісності інформації рівень шкоди може
бути виміряний кількістю невірно прочитаних бітів
інформації. Кількість бітів, не сприйнятих через
порушення умов доступу до інформації, визначатиме
23
розмір шкоди, спричиненої внаслідок порушення
цілісності
інформації.
У
разі
порушення
конфіденційності інформації показником шкоди можна
вважати кількість правильно сприйнятих бітів за умов
відсутності у отримувача прав санкціонованого доступу
до блоку інформації.
У наведених вище прикладах шкода від реалізації
загроз визначається шляхом формального обчислення
втрат інформації (внаслідок її знищення, спотворення
або несанкціонованого отримання), яке ніяк не враховує
важливість змісту втраченої інформації та обумовлені
цим наслідки (збитки) в соціальній, політичній,
економічній, виробничій та інших сферах людської
діяльності. У цьому випадку маємо справу із
порушенням «стану інформації, у якому забезпечується
збереження
визначених
політикою
безпеки
властивостей
інформації»,
тобто
із
безпекою
інформації, як вона зафіксована у [7].
На відміну від наведеного формального підходу до
оцінювання шкоди, обумовленої реалізацією загроз
інформації, в міжнародних стандартах [13; 15; 16]
шкода визначається значно ширше. Так, у вступній
частині
стандарту
ISO/IEC
17799
завданням
інформаційної безпеки визнається захист інформації
«від широкого спектру загроз з метою забезпечення
неперервності бізнесу, мінімізації шкоди, максимізації
прибутку... і створення сприятливих можливостей
бізнесу» [13]. При цьому термін бізнес (англ. «business»)
слід інтерпретувати як «види діяльності, що є основними
для існування організації» [16]. Після з’ясування того,
яким чином діяльність організації залежить від
використовуваних
нею
інформаційнотелекомунікаційних технологій, можна встановити межі
аналізу можливих наслідків від реалізації загроз
інформації, підрахувати ризики за окремими загрозами
і, врешті-решт, оцінити сукупний ризик від можливої
реалізації всієї множини загроз інформації для певної
організації [1]. Знайдене кількісне значення сукупного
ризику
становитиме
характеристику
рівня
інформаційної безпеки даної організації. У разі
створення в організації системи інформаційної безпеки
24
(СІБ), дієвість цієї системи об’єктивно характеризується
різницею сукупних ризиків, оцінених до і після
введення захисту від інформаційних загроз, а
ефективність захисту – віднесенням цієї різниці до суми
загальних витрат на проектування та реалізацію СІБ.
Таким чином стає можливою оптимізація СІБ за
складністю та вартістю при заданому значенні рівня
інформаційної безпеки організації, тобто стає реальним
свідоме керування станом захищеності організації в
інформаційній сфері.
Слід зазначити, що навіть виокремлення галузі
застосування
стандартів
[4-6;
13;
15;
16]
–
інформаційно-телекомунікаційні технології
(ІТТ), –
призводить до появи певних обмежень в сфері аналізу
наслідків реалізації інформаційних загроз. Дійсно, за
стандартом [15] ІТТ включає в себе інформацію (дані),
технічні засоби, програмне забезпечення, систему
зв’язку та персонал. Відповідно, саме на ці складові
мають бути спрямовані інформаційні загрози, наслідки
яких детально вивчаються та досліджуються на предмет
визначення можливої шкоди та ризиків. Однак
очевидно, що до складу цих загроз не входять негативні
інформаційні впливи, наприклад наклеп чи обмова, які
реалізуються через чутки, засоби масової інформації і
т.п., бо цілями цих впливів є зовнішні по відношенню до
ІТТ об’єкти. Через це наслідки дії таких загроз можуть
залишитися поза межами аналізу. Прикладом подібної
ситуації є компрометація продукції якої-небудь фірми.
Кінцевим результатом цієї компрометації може стати
зменшення збуту продукції фірми, що обумовить
фінансові збитки, імовірне зменшення інвестицій й т.п..
При цьому інформація, що обробляється на фірмі
засобами ІТТ, може зберігати абсолютну недоторканість,
а
традиційні
загрози
цілісності,
доступності,
конфіденційності та іншим властивостям інформації
будуть відсутні. Тобто формально не виникає навіть
приводу для оцінювання якоїсь шкоди.
Крім того, слід зазначити, що в наведеному вище
прикладі негативним інформаційним впливом на
діяльність фірми може бути оприлюднення навіть
правдивої інформації. Так, якщо фірма використовує
25
технології, що призводять до забруднення оточуючого
середовища,
то
оприлюднення
такої
інформації
призведе до погіршення іміджу фірми і, можливо, інших
втрат, в тому числі фінансових, хоча, з точки зору
суспільних інтересів, ця інформація має бути відома
громадськості. Тобто для фірми в цьому випадку поява
правдивої
інформації
щодо
її
діяльності
буде
негативним інформаційним впливом.
Тому при повному аналізі інформаційної безпеки
організації треба виходити за межі інформаційної
безпеки ІТТ та аналізувати усі можливі інформаційні
загрози бізнесу. В цьому випадку фактично єдиним
ефективним методом оцінювання можливої шкоди від
інформаційних загроз стає ситуаційний аналіз, який
дозволяє досліджувати ймовірні наслідки реалізації
інформаційних загроз будь-якого походження [2],
зокрема без їх прив’язки до ІТТ.
Після викладеного вище варто повернутися до
початку статті, де наведено законодавче визначення
поняття інформаційної безпеки [10], і зробити спробу
його розширеної інтерпретації, виходячи з контексту
міжнародних стандартів [4-6; 13; 15; 16]. Для цього
перш за все проаналізуємо зміст словосполучення «стан
захищеності». Захищеність – це убезпеченість чого-,
кого-небудь від загроз. Іменник «стан» визначає
характеристику предмета, явища відповідно до певних
вимог щодо якості, ступеня готовності [6]. Отже,
словосполучення «стан захищеності» слід сприймати як
кількісну
або
якісну
ознаку
(параметр)
рівня
захищеності кого-, чого-небудь. Так, для якісної оцінки
можливі характеристики захищеності на зразок:
мінімальна, задовільна, низька, достатня, абсолютна
тощо. Зокрема, згідно зі стандартом Information Security
Technology Evaluation Criteria (так звані «Європейські
критерії» [14]) маємо три рівні безпеки: базовий,
середній, високий; в стандартах [4-6] використовується
поняття базового рівня захисту. Зважаючи, що стан
захищеності – це змінна у часі величина, яка залежить
від інтенсивності та значущості інформаційних загроз, а
також дієвості та ефективності системи захисту, вираз
«базовий рівень захисту» означає, що поточний рівень
26
захищеності за умов нормального функціонування
систем захисту не повинний бути нижче заданого
порогу.
Наступне
словосполучення
з
визначення
інформаційної безпеки [10], яке слід інтерпретувати, –
це «важливі інтереси людини, суспільства та держави».
В статті 1 Закону України «Про основи національної
безпеки України» [9] визначено поняття «національні
інтереси»
–
це
«життєво
важливі
матеріальні,
інтелектуальні і духовні цінності українського народу...,
визначальні потреби суспільства і держави...». В
стандартах [4-6; 13; 15; 16] використовується поняття
«активи», яке за своїм змістом наближене до поняття
«важливі інтереси». Зокрема, в ДСТУ ISO/IEC 13335-1
визначається: «активи організації – усе, що має цінність
для організації». За аналогією, до активів (взагалі, а не
лише організації) можна віднести все, що має цінність
для особистості, суспільства, держави. Якщо хтось
(щось) потерпає від інформаційних загроз, то саме через
ступінь оцінки ушкодженості активів, обумовленої
реалізацією загроз, визначається рівень сукупної шкоди
та обчислюється сукупний ризик загроз. Відкритим
залишається питання: що саме віднести до активів?
Відповідь на нього залежить від того, хто (що) становить
об’єкт
інформаційних
загроз
(ОІЗ):
конкретна
особистість, її існування, виробнича та суспільна
діяльність; підприємство з системою ресурсів та
технологій, спрямованих на забезпечення певного виду
діяльності; будь-які інші організації і т.п. Зауважимо, що
встановлення переліку активів не є самоціллю, а лише
засобом, елементом процедури визначення рівня шкоди,
заподіяної реалізацією інформаційної загрози. В
принципі шкоду можна визначити і у інший спосіб,
наприклад шляхом прямого експертного оцінювання.
Останнім
елементом
в
інтерпретованому
визначенні інформаційної безпеки є перелік можливих
інформаційних загроз, який містить два класи загроз:
загрози, орієнтовані безпосередньо на інформацію,
інформаційні ресурси та складові інформаційної
інфраструктури об’єкту захисту (для протидії цим
загрозам створюється система захисту інформації, що
27
має гарантувати безпеку інформації на ОІЗ), та
інформаційні загрози більш загального характеру, які,
зокрема, впливають на елементи середовища, що оточує
об’єкт захисту. Для визначення можливої шкоди від
загроз другого класу необхідне проведення глибокого
аналізу семантики цих загроз, співставлення його
результатів із задачами та метою діяльності ОІЗ та
визначення найбільш суттєвих наслідків реалізації
загроз. Потрібний рівень інформаційної безпеки в цьому
випадку забезпечується створенням СІБ.
Отже, в контексті стандартів [4-6; 13; 15; 16]
наведене в Законі [10] визначення інформаційної
безпеки можна дещо переформулювати: інформаційна
безпека – це поточний стан захищеності об’єкта від
інформаційних загроз, який визначається рівнем
шкоди,
що
може
бути
заподіяна
існуванню,
функціонуванню чи діяльності об’єкта в разі реалізації
цих загроз через:
а) використання
неповної,
несвоєчасної
і
недостовірної інформації;
б) здійснення негативного інформаційного впливу;
в) протиправного
застосування
інформаційних
технологій;
г) несанкціонованого
розповсюдження
і
використання інформації, порушення її цілісності,
конфіденційності та доступності.
В даному визначенні основний наголос робиться не
на захисті життєво важливих інтересів (категорії
достатньо аморфної і суб’єктивної через відсутність
чіткого законодавчого визначення), а на забезпеченні
(збереженні)
умов,
необхідних
для
нормального
існування, життєдіяльності, функціонування об’єкту
захисту, причому загальноприйняті вимоги щодо цих
умов визначаються та регулюються низкою документів,
зокрема
Загальною
декларацією
прав
людини,
Конституцією
України,
Господарським
кодексом
України тощо.
Висновки. У підсумку зазначимо, що поняття
«безпека
інформації»
та
«інформаційна
безпека»
безумовно пов'язані між собою. Оскільки зміст поняття
«безпека» визначається вибором об'єкта захисту, то
28
якщо цим об'єктом виступає власне інформація, тоді
поняття «інформаційна безпека» і «безпека інформації»
синонімічні. Але якщо в якості об'єкта/суб'єкта захисту
розглядається деякий учасник інформаційних відносин,
то слово «інформаційна» в даному терміні вказує на
напрямок діяльності, яка може заподіяти шкоду
об'єкту/суб'єкту захисту. У цьому випадку поняття
«інформаційна безпека» слід трактувати як стан
захищеності
деякого
об'єкта/суб'єкта
від
загроз
інформаційного характеру. Таким чином, поняття
«інформаційна безпека» слід вважати родовим по
відношенню до поняття «безпека інформації», а їх
взаємозамінність є неприпустимою.
На жаль, в Україні коло питань інформаційної
безпеки практично звужено до проблем безпеки
інформації,
і
основна
увага
громадськості
сконцентрована переважно на проблемі захисту
інформації.
У той же час в умовах надмірної насиченості
інформаційного середовища вкрай гостро стоїть
проблема
захисту
людини
від
деструктивного
інформаційного впливу, який здатний призвести до
формування викривленої моделі сприйняття інформації,
віртуалізації
оточуючого
середовища,
порушення
механізмів культурної та соціальної ідентичності,
деформації суб’єктності [3].
Дослідження питань захисту від негативних
інформаційних впливів представлені в основному або
описами окремих ситуацій і сценаріїв, або у вигляді
вельми абстрагованої узагальненої теорії. З огляду на це,
актуальними напрямками подальших досліджень в
галузі інформаційної безпеки є наукова розробка
загальнотеоретичних, правових та
методологічних
аспектів цієї проблеми, у тому числі вироблення
світоглядної
інтерпретації
філософської
концепції
інформаційної безпеки.
Література
1. Архипов А.Е. Практические аспекты оценивания
рисков реализации угроз в информационных системах //
Інтелектуальні системи прийняття рішень і проблеми
29
обчислювального інтелекту (ISDMCI’2014, Залізний порт, 28 –
31 травня 2014 р.): Матеріали міжнародної наукової
конференції. – Херсон: ХНТУ, 2014. – С.194-196.
2. Архипов
О.Є.,
Касперський
І.П.
Застосування
методології передбачення для оцінювання шкоди, заподіяної
витоком секретної інформації // Правове, нормативне та
метрологічне забезпечення системи захисту інформації в
Україні. – 2007. – Вип. 2(15). – С. 13-19.
3. Архипова
Е.А.
Социальная
составляющая
информационной безопасности / Е.А. Архипова // Безпека
інформації: Наук.-практ. журнал. – 2012. – Том 18, № 2 (2012)
– С.28-32.
4. ДСТУ ISO/IEC TR 13335-1-2003 Інформаційні
технології. Настанови з керування безпекою інформаційних
технологій (ІТ). Частина 1. Концепції й моделі безпеки ІТ
(ISO/IEC TR 13335-1:1996, IDT).
5. ДСТУ ISO/IEC TR 13335-2-2003 Інформаційні
технології. Настанови з керування безпекою інформаційних
технологій (ІТ). Частина 2. Керування та планування безпеки ІТ
(ISO/IEC TR 13335-2:1997, IDT).
6. ДСТУ ISO/IEC TR 13335-3-2003 Інформаційні
технології. Настанови з керування безпекою інформаційних
технологій (ІТ). Частина 3. Методи керування захистом ІТ
(ISO/IEC TR 13335-3:1998, IDT).
7. НД ТЗІ 1.1-003-99. Термінологія в галузі захисту
інформації в комп’ютерних системах від несанкціонованого
доступу. – ( Чинний від 1999.04.28). – К.: ДСТСЗІ СБУ, 1999. –
№22.
8. Новий тлумачний словник української мови. – Т.3 /
Укладачі: В.В. Яремко, О.М. Сліпушко. – К.: Аконіт, 2007. – 862
с.
9. Про основи національної безпеки: Закон України від
19.06.03 р. № 537-V // Відомості Верховної Ради України. –
2003. – N 39. – Ст.351.
10. Про Основні засади розвитку інформаційного
суспільства в Україні на 2007-2015 роки: Закон України від
09.01.07 р. № 537-V // Відомості Верховної Ради України. –
2007. – № 12. – Ст.102.
11. Шаньгин
В.И.
Информационная
безопасность
компьютерных систем и сетей: Учеб.пособие / В.И. Шаньгин. –
М.: ИД "Форум": ИНФРА-М, 2008. – 416 с.
12. Шеннон К. Работы по теории информации и
кибернетики. – М.: Изд-во иностр. литер-ры, 1963. – 830 с.
30
13. BS ISO/IEC 17799:2005. Information technology –
Security techniques – Code for practice for information security
management.
14. Information Security Technology Evaluation Criteria.
Harmonized Criteria of France – Germany – Netherlands – United
Kingdom. – Department of Trade and Industry. London. 1991.
15. ISO/IEC 13335-1:2004 Information technology –
Security
techniques
–Management
of
information
and
communications technology security – Part 1: Concepts and
models for information and communications technology security
management.
16. ISO/IEC 27001:2005 Information technology – Security
techniques – Information security management systems –
Requirements.
31
ІНФОРМАЦІЙНІ ТЕХНОЛОГІЇ ЯК ФАКТОР
ТРАНСФОРМАЦІЇ СИСТЕМ
ОРГАНІЗАЦІЙНОГО УПРАВЛІННЯ
Горбачик О.С.
Інститут проблем реєстрації інформації НАН
України
Термін теорії управління «система організаційного
управління» сьогодні має достатньо багато різних
тлумачень, що можна пояснити, перш за все, суттєвим
зростанням уваги не лише науковців, а й громадськості
до проблем управління на різних рівнях, від державного
до підприємницького. Так, система організаційного
управління (СОУ) у публікаціях визначається як:
•
спосіб об’єднання технічних, автоматизованих та
соціальних систем у єдину систему для досягнення
бажаного результату;
•
система організуючих впливів, які забезпечують
координацію дій, нормальне функціонування і
розвиток об’єкта управління;
•
сукупність правил, законів та процедур, які
регламентують взаємодію учасників реалізації
ділового процесу;
•
сукупність організаційної структури і механізмів
функціонування,
що
забезпечують
розподіл
обов’язків, координацію дій людей для досягнення
поставленої мети із залученням необхідних
ресурсів;
•
сукупність дій, які спрямовані на організацію дій
для отримання бажаного результату;
•
систематизований набір засобів збору відомостей
про об’єкт управління і засобів впливу на його
поведінку з метою прийняття управлінських
рішень, що спрямовані на досягнення бажаного
результату.
Наявність великої кількості визначень із різними
змістовними відтінками засвідчує, що цей термін
активно використовується у дослідженнях широкого
32
спектру
управлінських
проблем.
Зрозуміло,
що
ускладнення навколишнього світу призводить й до
принципових змін у самих процесах управління.
Сучасне суспільство входить в нову епоху, коли
віртуальна реальність, що створюється засобами масової
інформації,
завдяки
розвитку
та
поширенню
інформаційних
та
комунікаційних
технологій,
сприймається
масовою
аудиторією
як
більш
правдоподібна, приваблива й достовірна, ніж справжня
реальність. У таких умовах особливого значення набуває
не лише розуміння впливу інформаційних технологій на
зміну світоглядної парадигми, на безпеку особистості,
суспільства, країни, а й наявність засобів для
своєчасного
корегування
процесів
управління,
сприйняття відповідних трансформацій в системах
організаційного управління різного рівня.
Цільовим
призначенням
будь-якої
СОУ
є
забезпечення надійного і безпечного функціонування,
стійкого
розвитку
об’єкта
управління
шляхом
формування, збереження і удосконалення способів
взаємозв’язку і взаємодії системи із зовнішнім
середовищем і внутрішньої взаємодії елементів системи.
Системоутворюючим фактором для СОУ є певне
рішення, яке приймається з метою розв’язання
конкретної проблемної ситуації.
До основних характеристик СОУ, що обумовлені її
суттю, властивостями і цільовим призначенням слід
віднести:
раціональність,
стійкість,
адаптивність,
гнучкість, керованість, комунікативність, надійність.
Сучасне організаційне управління спирається на
сукупність процесів, методологій, метрик і програмного
забезпечення і спрямовано на комплексну оцінку
характеристик об’єкта управління у зовнішньому
середовищі. Методики і бізнес-процеси управління
сьогодні підтримуються різноманітними проблемноорієнтованими
інформаційними
технологіями.
У
сучасних СОУ підтримка й автоматизація основних
управлінських бізнес-процесів можлива на різних
рівнях управління (див. рис.1).
33
Рис. 1 – Підтримка процесів організаційного управління
34
На
вищому
рівні
управління
відбувається
стратегічне планування, формується збалансована
система показників якості функціонування об’єкта
управління. Ці процеси значною мірою спираються на
практичний досвід та інтуїцію керівних осіб, які можуть
іноді
скористатися
послугами
консультантів
чи
експертів, можливостями автоматизованих систем
підтримки прийняття рішень, методами системного
аналізу
тощо.
Так,
сьогодні
досить
поширено
застосування методів системно-динамічного аналізу для
опрацювання
економічних
процесів.
На
основі
системно-динамічних
моделей
можна
проводити
сценарний аналіз, програвати різні рішення й
прогнозувати їх наслідки, аналізувати ризики й
оптимізувати управляючі параметри.
Реалізація обраної стратегії відбувається на рівні
цільового управління, для підтримки якого розроблено
багато різноманітних інформаційних технологій (рис.1).
У разі, якщо процеси управління цього рівня потребують
врахування
багатьох
факторів
різної
природи,
опрацювання великих обсягів інформації, проведення
аналітичної
роботи,
то
доцільно
впровадження
інтегрованої
платформи
бізнес-аналітики
для
підтримки
аналітичної
діяльності,
обробки,
систематизації, накопичення та подання інформації.
На рівні оперативного управління процесами в
сучасних СОУ, як правило, використовуються технології
корпоративних інформаційних систем.
Інформаційні технології застосовуються сьогодні й у
процесах реалізації всіх основних функцій СОУ:
інформаційного забезпечення реалізації бізнес-процесів,
планування та підтримки прийняття управлінських
рішень,
управління
процесами,
контролю
за
виконанням технологічних процесів та оцінювання ходу
виконання
завдань,
прогнозування
подій,
документування дій, реєстрації дій та подій для аналізу
виконання бізнес-процесу та оцінки функціонування
СОУ,
підтримки
безпеки
функціонування
та
корегування управління при виникненні небажаних
зовнішніх чи внутрішніх впливів, вилучення знань з
накопичених даних та зареєстрованої інформації.
35
Впровадження
комп’ютерних
засобів
та
інформаційних технологій в процеси управління є не
тільки ІТ-проектом, а й бізнес-проектом, оскільки
призводить до трансформації методології управління,
стандартів, розподілу відповідальності і повноважень
посадових осіб, процедур напрацювання та прийняття
рішень тощо.
Як
правило,
впровадження
ІТ-технологій
приводить до змін в організаційній структурі тому, що
зміни у бізнес-процесах, бізнес-функціях, способах
прийняття рішень призводять до появи нових
підрозділів, трансформації чи зникнення старих.
Можуть з’явитися в СОУ структурні підрозділи, які
відповідають за автоматизацію.
ІТ-фахівці мають доступ практично до всіх
інформаційних ресурсів та систем бізнесу. Стають
стратегічно
важливими
зв’язки
«ІТ-фахівці
–
інформаційна безпека», бо рівень безпеки сьогодні є
індикатором функціональної стабільності і успішного
розвитку будь-якої компанії. ІТ-фахівців слід робити
особисто зацікавленими у результатах бізнесу, доцільна
їх присутність на найвищому, стратегічному рівні
управління. Отже, зростає кількість керівників на
вищому рівні СОУ, що мають владу і можуть приймати
рішення й контролювати їх виконання.
Наслідком
впровадження
інформаційних
технологій є тенденція до ліквідації проміжних ланок –
непотрібні посередники між джерелом і одержувачами
інформації, а це також призводить до змін в
організаційній структурі СОУ. Можлива ліквідація цілих
ланок, спрощуються ієрархічні зв’язки і відповідно стає
раціональнішою інформаційна інфраструктура.
Впровадження тої чи іншої системи ERP, Workflow,
системи бухгалтерського обліку чи будь-яких інших
застосувань, які містять вимоги до організаційної
структури, призводять до трансформацій в СОУ.
Якщо висувається вимога збереження існуючої
організаційної структури і традиційних схем взаємодії,
то впровадження комп’ютерних засобів і технологій
можливо
лише частково, дещо «хаотично» буде
відбуватися й модернізація методів роботи, можливо
36
будуть створені комунікації, та раціоналізації робочих
місць може не відбутися.
У
разі
комплексної
автоматизації
процесів
управління безумовно відбувається трансформація
існуючої СОУ. Створюється ІТ-інфраструктура й
застосування, які забезпечують інтеграцію бізнесфункцій і бізнес-процесів. Іноді перехід до реалізації
бізнес-процесу як транзакції призводить до «вимивання»
фахівців середньої ланки, тому що пришвидшення
інформаційних
потоків
на
оперативному
рівні
управління приводить до того, що управлінські рішення
з рівня цільового управління, які надходять із
затримкою на час напрацювання та прийняття, стають
неадекватні поточному стану об’єкта управління. У той
же час, якщо бізнес-процеси не орієнтовані на масових
клієнтів, наприклад консалтингові центри, проектні
організації, то впровадження інформаційних технологій
дозволяє фахівцям середньої ланки, спираючись на
більші обсяги поточної і напрацьованої аналітичної
інформації, приймати навіть рішення стратегічного
рівня. Іноді взагалі, завдяки автоматизації, зникає
потреба у фахівцях нижчого рівня ієрархії СОУ.
Впровадження комп’ютерних засобів і технологій
може призвести до руйнування функціональних
бар’єрів, до втрати мотивів для приховування
інформації, взагалі до зміни організаційного клімату,
стимулюючи інформаційний обмін між співробітниками
і підрозділами. Можуть відбутися й дисциплінарні зміни,
оскільки співробітники повинні підкорятися дисципліні,
що передбачається технологіями.
Створення єдиного робочого середовища з чітким
розподілом обов’язків й повноважень і чітким
формуванням загальної цілі, усунення посередників в
інформаційному обміні, підвищення інформованості
співробітників призводить до суттєвих трансформацій в
СОУ, змінює організаційний клімат, збільшує мотивацію
співробітників до творчого виконання своїх обов’язків.
Та слід визнати, що організаційні трансформації
потребують значно більше часу й зусиль, ніж
технологічні, до того ж, співробітники найчастіше ніяк
не стимулюються при переході до роботи за новими
37
технологіями, не завжди враховується, на скільки
складним є перехід до формальних жорстких алгоритмів
дій, а також й те, що деякі із співробітників втрачають
певні важелі впливу, що відбувається руйнація
неформальних зв’язків між співробітниками тощо.
Досвід практичного впровадження інформаційних
технологій свідчить, що подолати несприйняття нових
технологій і середовища роботи можливо шляхом
створення мережі представників ІТ-проекту, які повинні
бути присутні практично в усіх підрозділах компанії, де
відбувається впровадження, і роз’яснювати ідеї проекту
безпосередньо у колективі співробітників компанії, і в
той же час, вони мають стати постачальниками
інформації про вимоги майбутніх користувачів до
проекту, забезпечуючи зворотній зв’язок. Проведення
групової роботи, ділових ігор, формування спільних
робочих груп тощо також може застосовуватися для
подолання опору посадових осіб організаційним
трансформаціям.
Серед
вагомих
аргументів
привабливості
переходу
на
роботу
за
новими
інформаційними технологіями в СОУ можна виділити
наступні:
•
впровадження засобів автоматизації суттєво
скорочує
витрати
на
час
отримання
та
опрацювання інформації;
•
створювані автоматизовані робочі місця мають
дружній
інтерфейс,
засоби
для
реалізації
службових завдань з урахуванням особистих
побажань користувача;
•
обов’язкове проведення курсу навчання та
тренажу співробітників, починаючи від виконання
найпростіших прикладних задач в рамках
впроваджуваних технологій;
•
поступовість впровадження (реалізація спочатку
первинної, базової конфігурації комп’ютерних
засобів з подальшим розширенням як кола
користувачів, так і числа прикладних задач).
Результат переходу на роботу із застосуванням
інформаційних технологій, який відчувається вже на
початковій стадії впровадження комп’ютерних засобів
38
та
технологій
–
економія
часу
співробітників.
Зекономлений час може дати відчутний економічний
ефект у разі раціонального використання його на
досягнення
інших
поточних
цілей
конкретного
підрозділу.
Застосування сучасних інформаційних технологій
в
СОУ
гарантує
точність,
несуперечливість
та
своєчасність надходження інформації для прийняття
рішення. Керівники верхніх рівнів управління, завдяки
технологіям, можуть делегувати більше відповідальності,
прав,
функцій
менеджерам
середнього
рівня,
залишаючи за собою можливість поточного контролю,
аналізу й прогнозування розвитку ситуації на об’єкті
управління. Відбуваються зміни в роботі й рівні
завантаження співробітників та менеджерів, оскільки:
•
зникає
потреба
у
рутинних
порадах
висококваліфікованих
фахівців,
оскільки
ці
знання можуть бути занотовані й надаватися, у
разі необхідності, як допомога користувачу,
•
висококваліфіковані фахівці отримують час і
інструментарій
для
проведення
аналітичної
діяльності, а їх знання та досвід може бути
збережений
як
корпоративний
аналітичний
ресурс;
•
частина
завдань
фахівців
вищого
рівня
управління може бути передана для виконання
фахівцями нижчих рівнів;
•
інтенсивність
адміністративної
роботи
підвищується, але вона підтримана відповідними
інформаційними й аналітичними ресурсами та
технологіями;
•
створюються нові підрозділи та нові робочі місця,
зокрема, із сфери ІТ;
•
з’являються
час
і
нові
можливості
для
персонального розвитку фахівців всіх рівнів;
•
зростає точність, ефективність і продуктивність
роботи;
•
з’являється можливість дистанційної роботи.
Практика
свідчить,
що
комплексне
впровадження комп’ютерних засобів та інформаційних
39
технологій в СОУ призводить до трансформації всіх
елементів, що визначають процес управління, та сприяє
постійному підвищенню кваліфікації співробітників
щодо засобів інформаційної підтримки та супроводу
управління.
40
ЖИВУЧІСТЬ ІНФОРМАЦІЙНИХ
ОБ’ЄКТІВ ПРИ ДОВГОТЕРМІНОВОМУ
ЗБЕРІГАННІ ІЗ ВИКОРИСТАННЯМ
АРХІВНИХ НОСІЇВ
Березін Б.О., Ланде Д.В., Шиховець О.В.
Інститут проблем реєстрації інформації НАН
України
Враховуючи обсяги накопиченої в світі інформації,
актуальним
є
забезпечення
безпеки,
живучості
інформаційних
ресурсів
при
довготерміновому,
архівному
зберіганні.
Особливо
треба
виділити
довготерміновe
зберігання
наукової
інформації,
інформації про ДНК, технічної документації, інформації
про сховища радіоактивних відходів, інформації про
культурну спадщину тощо.
Живучість – це властивість об’єкту виконувати свої
основні функції в умовах негативних впливів, при
необхідності тимчасово або постійно відмовляючись від
виконання
менш
важливих
функцій,
змінюючи
структуру,
пристосовуючись
до
умов
свого
функціонування [1]. Довготермінове зберігання даних
часто розглядають з точки зору загроз при зберіганні
(відмови / старіння носіїв або обладнання, старіння ПЗ
або форматів даних, мережеві атаки, помилки
операторів, природні катастрофи тощо) і відповідних
стратегій подолання цих загроз. Тобто безпеку,
живучість ІО при зберіганні в умовах негативних
впливів можна розглядати як забезпечення деякого
рівноважного, збалансованого стану між потоком
помилок, відмов носіїв, обладнання і т.д і потоком
відновлення, корекції цих відмов. Наприклад, при
довготерміновому
зберіганні
в
децентралізованій
комп'ютерній мережі LOCKSS для компенсації потоку
відмов обладнання використовується певна кількість
резервних реплік (копій) наукових публікацій, що
зберігаються в цій мережі разом з відповідними
41
процедурами відновлення. Для компенсації відмов при
помилках читання носіїв в приводах використовуються
відповідні засоби корекції помилок, зокрема код РідаСоломона. Враховуючи, що рівень корекції помилок має
межу, іншим напрямом забезпечення живучості ІО може
бути зниження інтенсивності відмов носіїв, наприклад
за рахунок використання високостабільних матеріалів, тобто використання архівних носіїв. У разі оптичних
носіїв це може бути металокераміка (М-Disc), кварцеві
та
вольфрамо-нітрідокремнієві
носії
[2,3],
що
досліджуються в Європі, скляні та сапфірові підкладки,
оптичні носії на основі яких створені в ІПРІ НАН
України [4] тощо. У разі архівних носіїв, для оцінки
негативних впливів (тобто інтенсивності відмов) і
забезпечення живучості ІО досліджуються природне або
прискорене старіння носіїв.
Рис. 1. Дані про вибірку з 150 DVD дисків, ранжирувані за
кількістю помилок з апроксимацією степеневою функцією
З природного старіння носіїв авторами було
проведено дослідження колекції DVD дисків та зроблена
оцінка показників для вибірки з колекції CD дисків
Бібліотеки Конгресу США [5]. Було проведено тестування
вибіркового масиву приблизно з 150 носіїв із колекції
DVD дисків, записаних у 2006-2012 р. Для вимірювання
щільності помилок використовується значення PIE
(Parity Inner Error) – кількість рядків парності блоку ECC
із помилками (Error Correction Code – код корегування
42
помилок), а точніше PI Sum 8 – значення для 8
послідовних ECC з блоку. Максимальне допустиме
значення PI Sum 8 складає 280 помилок. Для виявлення
особливостей розподілу характеристик DVD-дисків при
природному старінні, дані про вибірку з 150 носіїв було
ранжирувано за кількістю помилок. Отриманий розподіл
наведено на рис. 1. Він може бути апроксимований за
допомогою степеневої функції (Power Law) із степеневим
показником – 0,827 та достовірністю апроксимації 0,87.
Для порівняння характеристик CD та DVD дисків при
природному старінні, аналогічне ранжирування було
виконано для частини даних, розрахованих на основі
результатів дослідження колекції CD-дисків Бібліотеки
Конгресу США в 1999 р. Отриманий розподіл також
може бути апроксимований за допомогою степеневої
функції із степеневим коефіцієнтом – 0,724 та
достовірністю апроксимації 0,91. З прискореного
старіння
носіїв
зараз
проводяться
дослідження
показників архівних CD дисків на скляній і сапфіровій
підкладках та відповідних зразків. При дослідженні
архівних носіїв методом прискореного старіння одним з
основних негативних впливів є підвищена температура
зберігання ІО.
В якості одного з показників виконання функцій
оптичним носієм
може розглядатися
коефіцієнт
пропускання скляних зразків напилених ніхромом, що
використовуються при створенні архівних носіїв.
Підвищення їх коефіцієнту пропускання веде до
зменшення відбиття лазерного промінню при зчитуванні
інформації з оптичних дисків, тобто зниження якості
носія. Результати досліджень з прискореного старіння
двох серій скляних зразків, напилених ніхромом за
допомогою
вакуумної
установки
ВУ-1а,
що
витримувалися при заданих температурах в діапазоні
150-300° С з послідуючим вимірюванням коефіцієнту
пропускання спектрофотометром СФ-46 (біля п’ятдесяти
вимірювань майже по десяти зразкам) наведено на рис.
2. Серії зразків відрізняються товщиною шару ніхрому.
Аналогічні випробування проводяться також для зразків
лейкосапфіру, напилених ніхромом.
43
При дослідженні носіїв методом прискореного
старіння
розглядалося
підвищення
коефіцієнту
пропускання зразків відносно початкового рівня на
10%, 15% та 20%, що характеризує відповідне зниження
функціональності носія і може використовуватися для
опосередкованої оцінки живучості архівного носія.
Рис. 2. Графіки зростання коефіцієнтів пропускання для двох
серій скляних зразків, напилених ніхромом під впливом
температур 150-300оС в залежності від часу впливу
Для однієї з серій зразків сімейство графіків
Арреніуса наведено на рис. 3. Поруч з кожним графіком
– відповідне рівняння, отримане в результаті лінійної
екстраполяції. По вісі абсцис представлені значення
зворотних температур в градусах Кельвіна. По вісі
ординат – логарифми значень, зворотних часу до
досягнення
відповідними
показниками
носіїв
визначених граничних величин в секундах. Для
порівняння, крім отриманого сімейства графіків для
скляних зразків, на рис. 3 наведені графіки для
кварцового носія з нанорешіткою та вольфрамонітрідокремнієвого носія, що розроблюються [2,3], а
також для мікрофільмів.
44
Рис. 3. Графіки Арреніуса для скляних зразків, напилених
ніхромом (група з трьох графіків у центрі), а також графіки
для кварцового (ліворуч), вольфрамо-нітрідокремнієвого носіїв
(два графіка нижче) та мікрофільмів (праворуч вище)
Отримане
сімейство
графіків
може
характеризувати живучість архівних носіїв (тобто
властивість виконувати основні функції в умовах
негативних впливів) в залежності від температурного
впливу, часу дії температури та допустимого рівня
погіршення функціональності. На основі рівнянь,
отриманих
в
результаті
лінійної
екстраполяції
побудованих графіків можуть бути розраховані оцінки
строку служби носіїв при заданих температурах
зберігання
та
допустимих
рівнях
погіршення
функціональності
носіїв
(збільшення
коефіцієнту
пропускання ніхрому, напиленого на скляні зразки). В
роботі [2] строк служби кварцового носія при
температурі зберігання 30°С оцінюється як 3*1020 років
(одне з проведених випробувань показало, що матеріал
може витримувати 1000°С до 2 годин без помітних
пошкоджень). В роботі [3] для оцінки строку служби
45
вольфрамо-нітрідокремнієвого носія на основі рівняння
Арреніуса було запропоновано спрощену модель,
відповідно до якої, якщо носій без пошкоджень
витримує 1 годину при 188°С то строк служби може
складати близько 1 млн. років, а якщо витримує 1
годину при 236°С то строк служби може скласти біля 1
млрд. років.
Висновки. Показано, що розглянуті залежності
між температурою (як негативним впливом) та
очікуваним строком служби носіїв при заданому
допустимому рівні зниження їх функціональності,
можуть використовуватися для оцінки живучості
архівних
носіїв.
Разом
із
статистичними
характеристиками відмов оптичних дисків, отриманими
при дослідженні природного старіння, ці оцінки
доцільно
використовувати
для
планування
довготермінового зберігання інформаційних об’єктів.
Подальші дослідження будуть пов’язані з аналізом
живучості зразків та носіїв на основі сапфіру, завданні
їх рівнів функціональності у вигляді коефіцієнтів
відбиття, показників помилок при зчитуванні тощо.
Література
1. Додонов А.Г., Ландэ Д.В. Живучесть информационных
систем. – К.: Наук. думка, 2011. – 256 с.
2. Zhang J. Gecevičius M, Beresna M, Kazansky PG.
Seemingly Unlimited Lifetime Data Storage in Nanostructured
Glass //Physical Review Letters. – 2014. – Т. 112. – №. 3. – С.
033901.
3. de Vries J. Schellenberg, D., Abelmann, L., Manz, A.,
Elwenspoek, M. Towards Gigayear Storage Using a SiliconNitride/Tungsten
Based
Medium
//arXiv
preprint
arXiv:1310.2961. – 2013.
4. Петров В.В., Семиноженко В.П. Новітня технологія
довготривалого зберігання інформації на сапфірових оптичних
дисках. Вісн. НАН України, 2014, № 4 - C. 24-32.
5. Березін Б.О., Ланде Д.В. Дослідження стану оптичних
носіїв при довгостроковому зберіганні цифрової інформації //
Студії з архівної справи та документознавства / Держ. архів.
служба України, УНДІАСД. - К., 2012. - Т. 20. - C. 133-139.
46
ЕЛЕКТРОННІ ЕНЦИКЛОПЕДИЧНІ РЕСУРСИ
ЯК ЕЛЕМЕНТ ТЕХНОЛОГІЇ ІНФОРМАЦІЙНОЇ
БЕЗПЕКИ
Брайчевський С.М.,
Інформаційний центр «Електронні вісті»
1. В умовах широкого використання великих обсягів
інформації, поточний стан які технічно важко (а іноді
неможливо) контролювати, можливі ситуації, коли
формальні
показники
відповідають
пред’явленим
вимогам, але її зміст спотворюється. В результаті вона
може стати непридатною до використання. Найгіршим в
таких ситуаціях є те, що фактично ми не маємо
ефективної технології виявлення спотворених наборів
даних та їх відтворення [1].
2. Тому одним з важливих питань інформаційної
безпеки є захист інформаційних систем від подібних
проблем.
3. Причини, що призводять до таких проблем,
можуть бути різні, як за своєю природою, так і за
механізмами – від диверсії до випадкових збоїв в
технічному забезпеченні. Тому в рамках даної роботи ми
не бачимо сенсу в дослідженні процесів, які можуть мати
такі наслідки. Ми зосередимо увагу на технологічних
аспектах проблеми, які дають змогу протистояти подібним
загрозам незалежно від джерела їх виникнення.
При цьому більш чи менш умовно ми можемо
виділити дві окремі задачі: запобігання пошкодженню
даних та відтворення спотвореної інформації. Зрозуміло,
що, взагалі кажучи, для кожної з них потрібні відповідні
засоби, як технологічні, так і організаційні. Але існують
підходи, що дозволяють застосовувати в цьому плані
комплексні підходи до вирішення основної задачі. Один з
них є темою обговорення в пропонованій роботі.
4. В загальній концепції інформаційної безпеки
останнім часом набуває популярності застосування
розподілених систем зберігання даних. Воно має два
позитивні моменти, що становлять для нас інтерес:
47
•
суттєве зменшення імовірності пошкодження
всього інформаційного масиву;
• спрощення доступу до даних і, відповідно,
можливість оперативного контролю за окремими
інформаційними блоками.
Очевидно, що для практичної реалізації другого
моменту необхідно включити в структуру програмноапаратний комплекс інформаційної системи ефективні
засоби перегляду і модифікації даних. Це дає технічну
можливість достатньо швидко виявити спотворені дані та
відновити їх (організаційні аспекти проблеми ми в даній
роботі не розглядаємо).
5. Окремий випадок використання розподілених
систем накопичення даних, який ми вважаємо
перспективним в плані вирішення проблем інформаційної
безпеки, становлять мережні ресурси, побудовані на
технології MediaWiki [2]. Ця технологія вільно поширюється
і надає можливість користувачам мережі Інтернет
створювати свої власні інформаційні ресурси, придатні
для накопичення великих обсягів інформації. Вона також
передбачає можливості модифікації даних довільній
кількості зареєстрованих користувачів. Модифікація може
здійснюватись як інтерактивно, так і пакетно. На цей час
існує багато бібліотек, що містять різноманітні програмні
засоби, призначені для маніпуляції даними.
Широкі верстви користувачів переважно знають
технологію MediaWiki як засіб створення різноманітних
енциклопедій. Однак її реальні можливості значно ширші
[3, 4]. Головна перевага технології MediaWiki полягає в
тому, що вона дозволяє легко і зручно працювати з
гіпертекстом, причому і в розумінні його створення, і в
розумінні використання. Але в рамках пропонованої
роботи нас цікавлять можливості MediaWiki в плані
забезпечення збереження і відтворення інформації [3].
6.
Перспективність
використання
технології
MediaWiki з точки зору збереження інформації полягає в
першу чергу в тому, що вона надає реальну можливість
користувачам мережі Інтернет створювати власні сховища
різноманітних даних, які значною мірою дублюють одне
одного. Крім того, за рахунок використання семантично
48
вбудованих в основний текст гіперпосилань на зовнішні
мережні
ресурси
можна
суттєво
розширювати
інформаційний простір кожної заданої теми. Таким
чином, автор статті в MediaWiki-ресурсі має широкі
можливості створювати великі структуровані тексти,
активно використовуючи дані інших інформаційних
ресурсів. Такі тексти здатні успішно виконувати роль
інформаційних резервів, зберігаючи загальнодоступну
інформацію, яка може бути втрачена в інших місцях
накопичення.
7. Але головна перевага технології MediaWiki в сфері
інформаційної безпеки полягає в наявності розвинених
інструментальних засобів модифікації та відтворення
інформації [5]. Наведемо основні її функціональні
можливості:
• збереження в інформаційному сховищі всіх
версій кожної статті, що дає можливість заміни
поточної редакції будь-якою іншою;
• можливість відстежувати модифікації кожної
статті;
• зберігання історії модифікації кожної статті,
включно з даними про те, хто і коли модифікував
дані;
• засоби інтерактивної модифікації статей;
• засоби пакетної модифікації окремих статей, а
також їх наборів.
8. Слід також зазначити, що накопичення інформації
в таких ресурсах може здійснюватися багатьма
користувачами, що зумовлює потенційно високі темпи їх
наповнення.
9. Прикладом подібного інформаційного ресурсу
може слугувати «Електронна енциклопедія законодавства
України» (http://dict.ippi.org.ua/), створена в Науководослідному інституті інформатики і права НАПрН України
[6, 7].
Література
1. Горбулін В.П., Додонов О.Г., Ланде Д.В. Інформаційні
операції
та
безпека
суспільства:
загрози,
протидія,
моделювання: монографія. - К.: Інтертехнологія, 2009. - 164 с.
49
2. Daniel J. Barrett. MediaWiki. – O’Reilly Media, Inc.,
2009. – 376 p.
3. Ландэ Д.В., Фурашев В.Н. WikiLeaks - технологии,
информация, общество // Телеком, 2011. - N 3. - C. 46-50.
4. Ландэ Д.В., Фурашев В.Н. WikiLeaks - начало
переформатирования
информационного
общества
//
Открытые
информационные
и
компьютерные
интегрированные технологии: сб.науч. тр. - Х.: Нац. авиокосм.
ун-т "ХАИ", 2011. - Вып. 49. - С. 238-247.
5. Ланде
Д.В.,
Брайчевський
С.М.
Формування
незалежних інформаційних ресурсів на основі технології
MediaWiki Информационные технологии и безопасность.
Оценка состояния: Материалы международной научной
конференции ИТБ-2013. - К.: ИПРИ НАН Украины, 2013. - С.
114-119.
6. Ланде Д.В., Брайчевський С.М. Можливості доідкових
мережевих ресурсів для створення електронної енциклопедії
законодавства України Інформація і право, 2013. - N 2 (8). - C.
72-76.
7. Пилипчук
В.Г.,
Фурашев
В.М.,
Ланде
Д.В.,
Брайчевський
С.М.
Комплекс
комп'ютерних
програм
"Електронна енциклопедія законодавства України" ("КПП
"ЕлЕнЗ") Свідоцтво про реєстрацію авторського права на твір
N 51598 від. 07.10.2013
50
ПРОБЛЕМИ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ
В СИСТЕМАХ ОРГАНІЗАЦІЙНОГО
УПРАВЛІННЯ
Кузнєцова М.Г.
Інститут проблем реєстрації інформації НАН
України
Тенденцією сучасного світу є все ширше
впровадження інформаційних технологій у бізнесі,
політиці, виробництві, освіті тощо. Відповідно зростає
залежність від якості інформаційних ресурсів та
інформаційно-комунікаційної
інфраструктури,
їх
захищеності, доступності, ефективності. Поступове
усвідомлення того, що інформаційний вплив може бути
більш ефективним, ніж матеріальний або фінансовий,
що інформаційне протистояння стає реальною зброєю
конкурентної боротьби, підсилює увагу до
ролі
інформаційної безпеки, яка має забезпечуватись
одночасно із впровадженням чи використанням
інформаційних технологій.
Зазвичай у проблемах інформаційної безпеки
виділяють такі її аспекти:
гуманітарний (пов’язаний із неконтрольованим
використанням і розповсюдженням персональних даних
громадян, вторгненням в особисте життя, наклепом і
крадіжкою особистості);
економічний і юридичний (пов’язаний з витоком,
спотворенням, втратою комерційної і фінансової
інформації, крадіжками брендів і інтелектуальної
власності, розкриттям інформації про матеріальний стан
громадян, промисловим шпіонажем і розповсюдженням
даних, що шкодять репутації компаній);
технічний
і
технологічний
(пов’язаний
з
руйнуванням
чи
пошкодженням
інформаційнотелекомунікаційної інфраструктури);
політичний
(з’являється
у
результаті
інформаційних війн, кібервійн, електронної розвідки в
інтересах політичних груп, компрометації державної
51
таємниці, атак на інформаційні системи важливих
військових,
транспортних,
промислових
об’єктів,
неповного
інформування
чи
дезінформування
керівників установ).
Всі ці аспекти мають враховуватись у системах
організаційного управління (СОУ). Сучасні системи
організаційного управління є складною системою збору,
аналізу та опрацювання інформації з метою отримання
максимального кінцевого результату в умовах певних
обмежень, наприклад, наявності ресурсів різних видів, і
являють собою спосіб об’єднання розрізнених дій людей
у впорядковану систему.
До основних функцій СОУ відносять:
• інформаційне
забезпечення
діяльності
організації,
• планування
та
підтримка
прийняття
управлінських рішень,
• управління процесами (доведення рішень до
виконавців, розподілу завдань та повноважень,
виділення
ресурсів,
процесами
реалізації
технологічних процесів тощо),
• контроль за виконанням технологічних процесів
та оцінювання ходу виконання завдань,
• прогнозування подій,
• документування дій,
• реєстрація дій та подій для аналізу виконання
процесів управління та оцінки функціонування
СОУ,
• підтримка
безпеки
функціонування
та
корегування
управління
при
виникненні
небажаних зовнішніх чи внутрішніх впливів,
• вилучення знань з накопичених даних та
зареєстрованої інформації.
Сучасні СОУ передбачають широке впровадження
інформаційних технологій, спираються на розвинуту
інформаційну інфраструктуру, використовують технічні
і технологічні засоби автоматизації процесів управління,
комп’ютерні засоби, бази даних і знань тощо [ 1].
Інформаційна безпека СОУ - стан захищеності
інформації та інфраструктури СОУ від випадкових та
52
навмисних впливів природного чи штучного характеру.
Особливості вирішення проблем інформаційної безпеки
для СОУ пов’язані, перш за все, із самою сутністю СОУ,
які є системами управління (а інформація є основою
управління), системами організації діяльності колективів
людей, мають високі вимоги щодо якості процесів
обробки, збору, збереження інформації, напрацювання
управлінської
інформації,
процесів
підтримки
прийняття рішень.
З системної точки зору СОУ можна розглядати як
складну систему з визначеною ціллю функціонування,
великою кількістю взаємодіючих елементів та підсистем
різної природи, складною ієрархією управління, певною
кількістю
внутрішніх
протиріч,
складністю
і
невизначеністю поведінки. Для таких систем важко
створити формальний опис, і завдання забезпечення
безпеки такої системи є складним.
СОУ є динамічною системою, процеси управління
в якій можуть відбуватися досить швидко, і підтримка
таких процесів потребує швидкого реагування та
відпрацювання.
СОУ
постійно
розвивається
впровадженням нових функцій та входженням до
системи
нових
об’єктів
управління,
а
також
запровадженням нових інформаційних технологій, що
безумовно впливає на її безпеку.
Елементи СОУ знаходяться у постійній взаємодії
між собою та із зовнішнім середовищем, піддаються
впливам різної природи. Для організаційних систем,
навіть із високим рівнем впровадження інформаційних
технологій, лишається актуальною проблема, пов’язана
із впливом людського фактору.
Кожний
рік
зростає
кількість
порушень
конфіденційності інформації через вину співробітників
компаній, за статистикою, у 2013 році таких витоків
сталося біля 57%! [2]. Більшість інцидентів стається
через такі канали зв’язку, як електронна пошта
(переплутали адресу, переслали дані не партнерам, а
конкурентам), Skype, ICQ, соціальні мережі, чати,
відеоконференції, форуми тощо.
Інколи такі витоки стаються через неуважність
співробітників, але досить часто причиною стають
53
злочинні наміри співробітників – в середньому, у 34%
звільнень колишні співробітники забирали із собою
клієнтські бази даних, нові проекти і напрацювання
компаній, персональні дані колег та керівників та іншу
конфіденційну інформацію. Слід підкреслити, що
спеціалісти з інформаційних технологій, які створюють і
підтримують інформаційну інфраструктуру СОУ, мають
доступ до всіх її ресурсів і систем захисту, і це теж слід
враховувати при вирішенні завдань забезпечення
інформаційної безпеки СОУ.
СОУ потребують також захисту від впливів на
технічну та технологічну структуру, оскільки втручання,
пов’язані з модифікацією, крадіжкою, спотворенням
інформації можуть мати впливи на якість прийняття
рішень у СОУ.
Суттєвою функцією СОУ є збір інформації,
вилучення знань з накопичених даних та зареєстрованої
інформації, формування нових знань. Якщо під
знаннями розуміється сукупність відомостей, відбитих у
структурі системи і функціональних елементах цієї
структури,
то
зрозуміло,
що
певні
структурні
модифікації можуть призводити навіть до руйнування
системи.
Чим важливіша інформація для прийняття рішень,
що використовується у системі, тим важливіша
раціонально
побудована
система
забезпечення
інформаційної
безпеки,
яка
має
гарантувати
захищеність цієї інформації від загроз в інформаційній
сфері.
У сучасних СОУ, як правило, наявні засоби захисту
інформації, певний технічний персонал, сформульовано
політику безпеки, впроваджено противірусні засоби
тощо. Найбільш проблемними залишаються питання
мінімізації
витоків
інформації
через
персонал,
організації роботи персоналу компанії таким чином, щоб
зменшити можливості порушень безпеки, впровадження
рішень щодо безпеки так, щоб підвищити загальну
ефективність компанії, а не просто витратити певну
суму.
При
створенні
системи
забезпечення
інформаційної безпеки часто використовують так
54
званий продуктовий підхід, коли обирається набір
засобів захисту, аналізуються функції цих засобів, і на
основі аналізу функцій визначається політика доступу
до інформаційних ресурсів. Альтернативою такому
підходу виступає проектний підхід, коли спочатку
розробляється політика безпеки, визначаються правила
доступу до інформаційних ресурсів, визначаються
функції, які має забезпечити система інформаційної
безпеки, і на основі цього вже обираються готові засоби
чи розробляються нові для виконання визначених
функцій [3].
Проектний
підхід
передбачає
впровадження
певних стандартизованих рішень, з використанням
напрацьованих засобів і технологій, а це потребує:
• визначення цілей забезпечення безпеки;
• створення системи управління інформаційною
безпекою;
• визначення
і
розрахунку
сукупності
деталізованих не лише якісних, а й кількісних
показників
для
оцінки
відповідності
інформаційної безпеки задекларованим цілям;
• застосування
інструментарію
забезпечення
інформаційної безпеки й оцінювання її поточного
стану;
• використання методик управління безпекою із
обґрунтованою
системою
метрик
та
мір
забезпечення
інформаційної
безпеки,
які
дозволяють об’єктивно оцінити захищеність
інформаційних
активів
і
керувати
інформаційною безпекою. [4]
Слід зауважити, що такі стандартизовані рішення
добре відомі й порушникам інформаційної безпеки, і не
завжди ефективно вирішують специфічні проблеми
конкретної СОУ.
Для
забезпечення
інформаційної
безпеки
конкретної системи організаційного управління слід
додатково розробити:
• моделі аналізу інформаційних ризиків та їх
впливу на СОУ, бізнес-процеси та об’єкти
управління;
55
•
сценарії розпізнавання та реагування на загрози
інформаційній безпеці конкретної СОУ;
• засоби та сценарії попередження реалізації таких
загроз;
• методи
та
засоби
протидії
загрозам
інформаційній безпеці на засадах механізмів
підвищення
живучості
(розпізнавання,
відновлення, протидії, адаптації, компенсації,
реконструкції, реорганізації і реконфігурації [5]);
• безпечні технології
роботи з інформаційним
ресурсом в СОУ;
• програми підготовки та навчання персоналу для
протидії загрозам інформаційної безпеки.
Для побудови і дослідження запропонованих
моделей, методів та сценаріїв, їх ефективності та
доцільності можна застосувати комп’ютерні моделюючі
комплекси (КМК) [6]. Засобами КМК можна дослідити
організаційну структуру та процеси взаємодії елементів
у реальних СОУ; проаналізувати можливі варіанти
поведінки
системи
і
персоналу
у
«критичних»
(надзвичайних) обставинах; доопрацювати регламенти
функціонування щодо вимог безпеки СОУ й оточуючого
середовища; оптимізувати заходи щодо протидії
виявленим загрозам і щодо підтримки безпеки;
визначити технічні вимоги до механізмів безпеки і
умови гарантованості їх реалізації; обрати специфікації
безпеки та варіант реалізації системи безпеки.
Література
1. Додонов О.Г., Горбачик О.С., Кузнєцова М.Г. Комп’ютерні
засоби й інформаційні технології підтримки
процесів
управління реалізацією ділових процесів // Реєстрація,
зберігання і обробка даних: зб. наук. праць за матеріалами
Щорічної підсумкової наукової конференції 14-15 травня 2014 /
НАН України. Інститут проблем реєстрації інформації, відпов.
ред. В.В.Петров. – К.: ІПРІ НАН України, 2014. – С.54-58
2. Королевский урок, или зачем защищать корпоративные
данные
[Электронный
ресурс].
Режим
доступа:
http://falcongaze.ru/?yclid=5729380621205562129
3. Итоги
конференции
"Актуальные
проблемы
информационной
безопасности:
подходы
и
56
решения"[Электронный
ресурс].
–
Режим
доступа:
http://citforum.ru/seminars/security2003/
4. Петренко
С.
Методические
основы
защиты
информационных активов компании [Электронный ресурс]. –
Режим доступа: http://citforum.univ.kiev.ua/security/articles/
zahita_aktivov/
5. Додонов О.Г., Кузнєцова М.Г., Горбачик О.С.
Методологічні аспекти створення корпоративних інформаційноаналітичних систем підвищеної живучості //Реєстрація,
зберігання і обробка даних, 2012.–N 3,– Т.14.– С. 58- 69.
6. Додонов О.Г., Горбачик О.С., Кузнєцова М.Г. Системи
організаційного управління: інформаційні технології та безпека//
Информационные технологии и безопасность. Оценка состояния:
Материалы Международной
науч. конференции ИТБ-2013.В.13.-К.:ИПРИ НАНУ, 2013.-С.5-11.
57
СИСТЕМА ІНДИКАТОРІВ ОЦІНКИ СТАНУ
ІНФОРМАЦІЙНОЇ БЕЗПЕКИ ДЕРЖАВИ
Левченко О.В.
Міністерство оборони України
Оцінка стану національної безпеки держави в
інформаційній
сфері
здійснюється
визначеними
органами державної влади на основі аналізу виявленого
іноземного інформаційного впливу, спрямованого проти
інтересів нашої держави та впроваджених рішень,
заходів і дій органів державної влади України, інших
суб’єктів системи інформаційної безпеки щодо захисту
національних інтересів в інформаційній сфері.
Для оцінки стану інформаційної безпеки держави
може бути використана система кількісних і якісних
індикаторів її стану.
Виходячи з досвіду іноземних держав щодо аналізу
зовнішнього негативного інформаційного впливу та
узагальнення результатів практичної роботи з оцінки
такого впливу на Україну, для оцінки стану
інформаційної
безпеки
держави
пропонується
використовувати такі індикатори:
інтенсивність зовнішнього інформаційного
впливу – це показник, який відображає активність
проведення суб’єктом впливу інформаційних заходів за
певний проміжок часу. Має кількісне вираження у
співвідношенні кількості негативних інформаційних
заходів (матеріалів) до періоду часу, за який вони
проводилися (оприлюднювалися). Граничне значення
показника – не більше 60 відсотків;
питома
вага
негативних
матеріалів
зовнішнього інформаційного впливу – це показник,
який відображає частку негативу в загальній сукупності
інформаційних матеріалів за певною тематикою.
Визначається як співвідношення кількості негативних
інформаційних
заходів
(матеріалів)
до
загальної
кількості інформаційних заходів (матеріалів), виявлених
протягом певного періоду. Граничне значення – не
більше 60 відсотків;
58
індекс розвитку інформаційно-комунікативних
технологій у державі (IDI, IСТ Development Index) який
визначається виходячи з аналізу 11 показників, таких,
як число стаціонарних і мобільних телефонів на 100
мешканців країни, кількість родин, які мають власний
комп’ютер, кількість користувачів мережі Інтернет,
рівень освіченості тощо і полягає у наданні рейтингу
держави Міжнародним союзом електрозв’язку. Граничне
значення – не нижче 35 місця;
індекс мережевої готовності (NRI, Network
Readiness Index), який надає Світовий економічний
форум. Відображає рівень доступу країни та залучення
її суспільства до глобальних інформаційних мереж.
Граничне значення – не менше 50 відсотків;
індекс свободи преси, який надає Світовий
економічний форум. Граничне значення – не менше 50
відсотків;
ступінь довіри населення країни до державних
ЗМІ, який визначається за результатами регулярних
соціологічних досліджень. Граничне значення – не
менше 50 відсотків;
присутність
національного
контенту
в
загальному обсязі ЗМІ, у тому числі електронних ЗМІ.
Визначається
за
результатами
регулярного
соціологічного моніторингу. Граничне значення – не
менше 50 відсотків;
ступінь
захищеності
об’єктів
критичної
інформаційної інфраструктури, який визначається
шляхом експертних оцінок. Граничне значення – не
менше 50 відсотків.
В результаті порівняння визначених значень
індикаторів стану з їх граничними значеннями з
урахуванням поточної ситуації і динаміки її розвитку
стан національної безпеки держави в інформаційній
сфері визначається як:
стабільний;
нестійкий;
вимагає прийняття невідкладних заходів.
У разі оцінки стану інформаційної безпеки як
стабільного відповідними органами державної влади
мають розроблятися і реалізовуватися довгострокові
59
заходи
щодо
захисту
національних
інтересів
і
удосконалення системи інформаційної безпеки держави.
У разі оцінки стану інформаційної безпеки як
нестійкого державним органом, що координує діяльність
із забезпечення інформаційної безпеки, сумісно з
виконавцями мають розроблятися і реалізуватися
управлінські
рішення
короткострокового,
середньострокового і довгострокового характеру з
метою покращення стану національної безпеки в
інформаційній сфері.
У разі оцінки стану інформаційної безпеки як
такого, що вимагає прийняття невідкладних заходів,
відповідальними органами державної влади мають
формулюватися і виноситись на розгляд Кабінету
міністрів України і Президенту України пропозиції щодо
прийняття невідкладних заходів зі стабілізації стану
інформаційної безпеки, запобігання кризових ситуацій
або мінімізації їх можливих негативних наслідків.
Враховуючи те, що стан національної безпеки
України в інформаційній сфері визначається не лише
зовнішніми чинниками, але залежить і від внутрішніх
чинників, рішення про надання оцінки цього стану має
готуватися Радою національної безпеки та оборони
України (наприклад, в рамках засідань Міжвідомчої
комісії
з
питань
інформаційної
політики
та
інформаційної безпеки при Раді національної безпеки та
оборони України) і прийматися виключно на рівні
вищого державного керівництва. Це обумовлено
необхідністю
узагальнення
широкого
спектра
інформації, яка надходить до вищого державного
керівництва від різних органів державної влади.
60
КОНЦЕПЦІЯ ПОБУДОВИ ІНФОРМАЦІЙНОАНАЛІТИЧНОЇ СИСТЕМИ УПРАВЛІННЯ
МІГРАЦІЙНИМИ ПРОЦЕСАМИ В УКРАЇНІ
Сенченко В.Р.
Інститут проблем реєстрації інформації НАН
України
Міграція це об'єктивний процес, зумовлений
головним чином неоднорідністю якості життя населення
в різних місцях та країнах світу. За даними
Міжнародної організації з міграції (МОМ) у 2005 році
кількість мігрантів налічувала 190,6 млн., тобто понад 3
% населення світу. Прогнози МОМ на 2050 рік
передбачають зростання кількості мігрантів до 230
мільйонів [1]. Не існує держави, яка б на різних етапах
свого розвитку тією чи іншою мірою не була задіяна у
світових міграційних процесах. Особливістю сьогодення
є те, що масове переселення народів відбувається без
масштабних
військових
конфліктів.
Тому
демографічний, етнічний та культурний стан країни
може бути або змінений стихійно, або зорієнтований у
бажаному напрямку свідомо, про що свідчать й останні
події на південному сході України.
Вітчизняна трудова міграція носить переважно
нелегальний характер. Такий тип міграції розбалансовує
людський потенціал, посилює навантаження на систему
соціального забезпечення населення, оскільки мігранти
не сплачують пенсійних внесків, не поповнюють
пенсійний фонд та не забезпечують собі в Україні
пристойної пенсії [2]. Слід підкреслити, в еміграційному
потоці
України
близько
третини
становлять
висококваліфіковані фахівці, які, зазвичай, виїжджають
на довготерміновий період або на постійне проживання,
а здобуті в Україні знання та досвід використовують для
примноження капіталу інших країн. За освітнім цензом,
трудова міграція з України, певною мірою, може бути
охарактеризована як «відтік мізків». Окрім суто
економічної шкоди така тенденція поширює, переважно
61
серед молоді, негативне ставлення до держави як такої.
В міжнародній спільноті Україна характеризується не
тільки як донор, але і як реципієнт.
Метою
концепції
побудови
інформаційноаналітичної системи управління міграційними
процесами (концепція) є визначення підходів до
формування та створення інформаційно-аналітичної
системи, яка дасть можливість автоматизувати процеси
діяльності Державної міграційної служби (ДМС),
здійснювати обмін інформацією з іншими органами
державної влади при реалізації ними державної
політики у сфері міграції, у тому числі протидії
нелегальній міграції, громадянства, реєстрації фізичних
осіб, біженців та інших категорій мігрантів, а також
сприятиме
удосконаленню
системи
державного
управління міграційними процесами відповідно до
міжнародних стандартів у сфері реалізації прав людини.
Концепція [5] спрямована на побудову аналітичної
системи, яка створюється з урахуванням державних і
міжнародних стандартів у сфері міграції. Застосування
сучасних технологій обробки інформації дозволяє
суттєво заощадити фінансові витрати та скоротити
термін створення системи управління міграційними
процесами. Концепція передбачає:
1. створення та ведення реєстрів громадян України,
а також іноземців, що перебувають на території
країни:
• обліку громадян України, що від’їжджають за
кордон;
• обліку та контролю за діяльністю суб’єктів
господарювання, які надають послуги щодо
працевлаштування
громадян
України
за
кордоном;
• обліку та контролю іноземців та осіб без
громадянства;
• обліку та контролю іноземців та осіб без
громадянства, що утримуються в пунктах
тимчасового перебування;
62
•
контролю іноземців та осіб без громадянства з
фіксуванням їх біометричних даних та інтеграції
до загальноєвропейських систем обліку мігрантів;
• впровадження системи ідентифікації біженців з
підключенням до міжнародних систем обліку
мігрантів;
2. впровадження технологій і методів статистики та
аналізу
багатовимірних
даних,
включаючи
методи Data Mining, кластерний аналіз, ETL:
• збір
і
консолідація
інформації
стосовно
міграційних процесів, які відбуваються в країні;
• автоматизована перевірка отриманих відомостей
на відповідність умовам контролю відомчої і
державної статистичної звітності (ETL);
• аналіз та виявлення негативних тенденцій та
процесів у міграційній сфері як у середині
країни, так і за її межами (Data Mining);
• визначення причин виникнення негативних
процесів та тенденцій у міграційній сфері
держави;
• прогнозування наслідків негативних тенденцій та
процесів серед міграційного потоку на соціальноекономічний стан держави;
• створення баз знань, які містять досвід інших
країн по вирішенню негативних тенденції у
міграційній сфері;
• підготовки пропозицій та шляхів зменшення
негативного впливу міграційних процесів на
соціально-економічний стан держав;
3. впровадження технологій електронного підпису
та документообігу:
• запровадження електронного цифрового підпису
для посадових осіб підрозділів міграційних
органів різного рівня;
• удосконалення
системи
електронного
документообігу між підрозділами ДМС та
інтеграції до системи документообігу органів
державної влади;
63
•
удосконалення
механізму
доступу
до
інформаційних
ресурсів
органів
державної
влади;
4. створення відомчої телекомунікаційної мережі
ДМС
на
базі
Національної
системи
конфіденційного зв’язку:
• організації каналів зв'язку між підрозділами
міграційних
органів
різного
рівня
з
застосуванням сучасних технологій передача
даних (включаючи відеоконференції);
• організації міжнародних каналів зв'язку для
виконання угод з інформаційного обміну;
• створення системи телефонного зв'язку, передачі
відео зображення та передачі даних на основі
сучасних технологічних рішень;
5. впровадження
засобів
криптографічного
і
технічного захисту інформації:
• впровадження засобів криптографічного та
технічного захисту інформації, ідентифікації та
автентифікацiї користувачів;
• захисту
інформації
від
несанкціонованого
втручання та неконтрольованого ознайомлення,
модифікації,
знищення,
копіювання,
несанкціонованого поширення;
• протоколювання
дії
користувачів,
спроб
несанкціонованих доступ до інформації та її
обробки, перевірка цілісності засобів захисту
інформації;
• створення
комплексної
системи
захисту
інформації на базі типових рішень (регіональний
та районний рівень) та відомчого центру
сертифікації ключів.
6. побудови центру адміністрування та управління
для:
• адміністрування та управління центру обробки
даних, центральним i резервним реєстрами
даних та базами знань;
• управління вузлами відомчої інформаційнотелекомунікаційної мережі, телекомунікаційним
обладнанням;
64
•
управління
інформаційними
серверами, робочими станціями,
технічними комплексами, тощо.
системами,
програмно-
Архітектура інформаційно-аналітичної
складової
Концепція заснована на парадигмі, яка підтримує
архітектуру, що дозволяє провадити модернізацію
програмно-технічних засобів у процесі експлуатації
системи управління міграційними процесами без змін
програмного та інформаційного забезпечення в цілому.
Архітектура інформаційно-аналітичної складової
(рис. 1.) будується як трирівнева модель сервісів з
виконання державних функцій та послуг у сфері
міграції,
оперативного
отримання
актуальної
i
достовірної
інформації
про
стан
та
тенденції
міграційних процесів, виявлення причинно-наслідкових
зв’язків та їх негативних впливів на соціальноекономічний стан в Україні.
Рівень «Бази даних» реалізує задачі з надійного
збереження, санкціонованого доступу, модифікації,
архівування/відновлення даних. Сервери баз даних
будуються на основі СУБД Oracle Database Enterprise
Edition. На основі зазначеної модифікації системи
управління базами даних необхідно розгорнути Real
Application Cluster з метою забезпечення прозорої
масштабованості Системи, а також високої доступності
рівня збереження даних, мінімізації ризиків втрати
даних.
Середній рівень «Відображення» реалізує процеси
Системи на основі технології Universal Description,
Discovery and Integration (UDDI), яка передбачає ведення
реєстру Web-сервісів – довідник всіх сервісів ДМС
України. Для зручності використання Web-сервісів має
бути здійснена класифікація реєстру, яка забезпечує
групування сервісів по бізнес-функціям, підрозділам,
джерелам даних або навіть за версією вихідного коду.
65
Рис. 1. Трирівнева архітектура «Бази даних –
відображення – Web-сервіси»
66
Підключившись до цього реєстру, користувач
Системи зможе знайти Web-сервіси, які задовольняють
його
потребам.
Фізично
рівень
«Відображення»
складається із серверів програмних застосувань та Webсерверів (формування Web-сторінок) для відображення
Web-сервісів на АРМі кінцевого користувача. Реалізація
рівня
«Відображення»
потребує
використання
високошвидкісних каналів передачі даних (мінімум 1
Гбіт/с).
Клієнтський рівень «Web-сервісів» складається з
типових сценаріїв та інтерфейсів, які саме й реалізують
закладену в сервіс функціональність. Типові сценарії
відповідають основним бізнес-процесам, які мають
реалізовуватися в Системі. В інтерфейсі сервісу
визначені параметри звернення до нього і описаний
результат, тобто інтерфейс визначає суть сервісу, а не
технологію його реалізації. SOA пропонує єдину схему
взаємодії сервісів незалежно від того, чи знаходиться
сервіс в тому ж самому програмному застосуванні, або в
іншому
адресному
просторі.
Інтерфейс
сервісу
описується
мовою,
наприклад,
WSDL.
Кінцеві
користувачі взаємодіють з Web-сервісом у спосіб,
зазначений в його опису, використовуючи повідомлення
в стандарті SOAP, що передаються з використанням
HTTP і XML і в поєднанні з іншими стандартами, що
відносяться до Web-технології.
Реалізація Концепції дасть змогу:
•
істотно підвищити ефективність державного
управління міграційними процесами;
•
забезпечувати державні органи влади всіх рівнів
актуальною
i
достовірною
статистичною
інформацією;
•
налагодити міжнародне співробітництво у сфері
міграції, зокрема з європейськими країнами;
•
сприяти інтеграції мігрантів, що перебувають в
Україні на законних підставах, у суспільство;
•
підвищити рівень національної безпеки за
рахунок прогнозування напрямків міграційних
67
потоків
з
урахуванням
сучасної
та
передбачуваної
соціально-економічної
і
суспільно-політичної
ситуації
використання
трудових ресурсів;
•
запобігти виникненню нових і мінімізувати
наявні негативні наслідки неконтрольованих
міграційних потоків.
Заключні положення
Створення
інформаційно-аналітичної
системи
сприятиме виконанню Плану дій щодо лібералізації
Європейським Союзом візового режиму для України,
який схвалено на саміті Україна [6] - Європейський
Союз (22 листопада 2010 р., м. Брюссель, Королівство
Бельгія), та ліквідації різниці між міграційними
процедурами в Україні та країнах Європейського Союзу.
Література
1. Вільна
енциклопедія.
[Електронний
ресурс].
–
Доступний з http://www.uk.wikipedia.org.
2. Міграція в Україні факти і цифри [Електронний
ресурс].
–
Доступний
з
http://iom.org.ua/ua/pdf/Facts&Figures_b5_ua_f.pdf
3. Сайт Державного комітету статистики України.
[Електронний
ресурс].
–
Доступний
з
http://www.ukrstat.gov.ua.
4. Біль М.М. Управління міграційними процесами в
контексті їх впливу на інтелектуально-трудовий потенціал
України
[Електронний
ресурс].
–
Доступний
з
http://www.nbuv.gov.ua/portal/soc_gum/sre/2010_1/49.pdf
5. Розпорядження кабінету міністрів України «Про
схвалення
Концепції
створення
єдиної
інформаційноаналітичної системи управління міграційними процесами» від
7 листопада 2012 р. № 870-р.
6. Указ Президента України «Національний план з
виконання Плану дій щодо лібералізації Європейським Союзом
візового режиму для України» № 494/2011.
68
АКТУАЛЬНІ ПИТАННЯ ЗАХИСТУ
ПЕРСОНАЛЬНИХ ДАНИХ В
ІНФОРМАЦІЙНИХ РЕСУРСАХ
Мельник К.С.
Державна служба України з питань захисту
персональних даних
У зв’язку з широким розповсюдженням та
використанням інформаційних технологій у XX-XXI
століттях, методів автоматизованої обробки даних,
формуванням глобальних інформаційних систем перед
світовою спільнотою гостро постало питання постійного
удосконалення правового та технічного регулювання
захисту приватного життя людини. З одного боку, всі
переваги вільного доступу до інформації забезпечують
особі реалізацію одного з головних її прав – право на
свободу
інформації,
а
ведення
масштабних
автоматизованих баз даних суттєво полегшує особі
доступ до різного роду матеріальних та нематеріальних
благ, до послуг цифрового ринку: від використання
платіжних банківських карток до дистанційного
замовлення різного роду соціальних послуг. З іншого
боку, широке використання персональних даних
органами
державної
влади,
комерційними
та
громадськими організаціями суттєво посилює ризик
незаконного доступу певних осіб у приватне життя
людини, а відтак – створює загрозу порушення права
людини на недоторканість приватного життя та захист
персональних даних.
Нагальною стає необхідність прийняття дієвих
заходів
щодо
захисту
персональних
даних
у
національних інформаційних ресурсах. Насамперед,
такі заходи полягають у забороні доступу до такої
інформації сторонніх осіб на законодавчому рівні, а для
цього існує потреба в упорядкуванні процесів обробки
(збирання, зберігання, поширення) персональних даних.
Також існує необхідність у встановлені обмежень щодо
формування непомірно великих баз персональних даних
69
без конкретно визначеної законної мети, що допоможе
захистити конфіденційну інформацію про фізичну особу
від несанкціонованого використання.
Статтею 5 Конвенції про захист осіб у зв'язку з
автоматизованою
обробкою
персональних
даних,
ратифікованої
Законом
України
№2438-VI
від
06.07.2010, зокрема, встановлено, що персональні дані,
які піддаються автоматизованій обробці, повинні:
зберігатися для визначених і законних цілей та не
використовуватися в спосіб, не сумісний із цими
цілями;
бути
адекватними,
відповідними
та
ненадмірними
стосовно
цілей,
для
яких
вони
зберігаються.
Положення зазначеної Конвенції деталізовано в
рекомендаціях Комітету Міністрів Ради Європи, зокрема
Рекомендації
Комітету
Міністрів
Ради
Європи
CM/Rec(2010)13 про
захист
осіб у зв’язку із
застосуванням автоматизованої обробки персональних
даних та у контексті використання таких даних –
профайлінг (Рекомендація Комітету Міністрів Ради
Європи CM/Rec(2010)13 про захист осіб у зв’язку із
застосуванням автоматизованої обробки персональних
даних та у контексті використання таких даних
(профайлінг)
http://www.medialaw.kiev.ua/laws/
laws_international/106/).
Рекомендації
Комітету
Міністрів Ради Європи в першу чергу покликані в
повній мірі розкривати зміст окремих положень
міжнародних договорів та носять рекомендаційний
характер. Оскільки Україна прагне належним чином
імплементувати законодавство Європейського Союзу та
Ради Європи в національне законодавство вважаємо,
що окремі положення зазначених рекомендацій мають
враховуватись при розробці проектів нормативноправових актів України.
Відзначаючи,
що
інформаційно-комунікаційні
технології дозволяють провадити збір та обробку даних у
великих масштабах, у тому числі і персональних даних в
державному секторі, Рекомендація Комітету Міністрів
Ради Європи CM/Rec(2010)13 визначає, що: «Збір та
обробка персональних даних у контексті профайлінгу
можуть бути виконані тільки:
70
а. якщо це передбачено законом, або
b. якщо це дозволено законом, а також:
- суб'єкт даних або його законний представник дав
свою вільну, конкретну і обґрунтовану згоду;
- необхідно для виконання договору, учасником
якого
є
суб'єкт
даних
або
для
здійснення
переддоговірних заходів, впроваджених на вимогу
суб'єкта даних;
- необхідно для виконання поставленого завдання,
що здійснюється в громадських інтересах або для
виконання
службових
повноважень,
наданих
розпоряднику або третій особі, якій надаються
персональні дані;
- необхідно
для
цілей
законних
інтересів
розпорядника або третьої сторони або сторін, яким
розголошуються «профілі» або дані, крім випадків, коли
міркування основних прав і свобод суб'єктів даних
переважають такі інтереси;
- необхідно згідно життєво важливих інтересів
суб'єкта даних».
Статтею
11
Закону
України
«Про
захист
персональних даних» (далі – Закон) передбачено
підстави для обробки персональних даних, до яких
належить, зокрема: згода суб’єкта персональних даних
на обробку його персональних даних; дозвіл на обробку
персональних даних, наданий володільцю персональних
даних відповідно до закону виключно для здійснення
його повноважень.
Обробка
персональних
даних
повинна
здійснюватися для конкретних і законних цілей,
визначених за згодою суб'єкта персональних даних, або
у випадках, передбачених законами України, у порядку,
встановленому законодавством (частина п’ята статті 6
Закону).
Володільці, розпорядники персональних даних
самостійно визначають порядок обробки персональних
даних, враховуючи специфіку обробки персональних
даних у різних сферах, відповідно до вимог, визначених
Законом України «Про захист персональних даних» та
Типового порядку обробки персональних даних,
затвердженого наказом Уповноваженого Верховної Ради
71
України з прав людини від 08.01.2014 № 1/02-14, та
вживають
заходів
щодо
забезпечення
захисту
персональних даних на всіх етапах їх обробки, у тому
числі за допомогою організаційних та технічних заходів.
Захист
персональних
даних
передбачає
заходи,
спрямовані на запобігання їх випадкових втрати або
знищення, незаконної обробки, у тому числі незаконного
знищення чи доступу до персональних даних.
Згідно статті 10 Закону України «Про захист
інформації
в
інформаційно-телекомунікаційних
системах» державні органи в межах своїх повноважень
за
погодженням
відповідно
із
спеціально
уповноваженим центральним органом виконавчої влади
з питань організації спеціального зв'язку та захисту
інформації або підпорядкованим йому регіональним
органом встановлюють особливості захисту інформації,
яка є власністю держави, або інформації з обмеженим
доступом, вимога щодо захисту якої встановлена
законом.
Порядок
захисту
інформації
з
обмеженим
доступом, вимога щодо захисту якої встановлена
законом
(зокрема,
персональних
даних),
має
визначатись профільним органом державної влади
відповідно до його компетенції та з урахуванням
специфіки його діяльності (сфера охорони здоров’я,
нотаріат тощо). Отже, наприклад, програма захисту
державних інформаційних ресурсів від протиправного
втручання в їх діяльність, а також план заходів щодо
захисту
державних
інформаційних
ресурсів
від
протиправного втручання в їх діяльність мають
розроблятись з урахуванням положень статті 10 Закону
України «Про захист інформації в інформаційнотелекомунікаційних системах».
Організаційні заходи щодо захисту персональних
даних в інформаційних ресурсах охоплюють:
– визначення порядку доступу до персональних
даних
працівників
володільця/розпорядника
персональних даних;
– визначення порядку ведення обліку операцій,
пов’язаних з обробкою персональних даних суб’єкта та
доступом до них;
72
–
розробку
плану
дій
на
випадок
несанкціонованого доступу до персональних даних,
пошкодження технічного обладнання, виникнення
надзвичайних ситуацій;
–
регулярне
навчання
співробітників,
які
працюють з персональними даними.
В органах державної влади, органах місцевого
самоврядування,
а
також
у
володільців
чи
розпорядників персональних даних, що здійснюють
обробку
персональних
даних,
яка
підлягає
повідомленню відповідно до Закону, створюється
(визначається) структурний підрозділ або відповідальна
особа, яка організовує роботу, пов’язану із захистом
персональних даних при їх обробці. З метою виконання
вказаних завдань відповідальна особа/структурний
підрозділ:
–
забезпечує
реалізацію
прав
суб’єктів
персональних даних;
– користується доступом до будь-яких даних, які
обробляються володільцем/розпорядником та до всіх
приміщень володільця/розпорядника, де здійснюється
така обробка;
– у разі виявлення порушень законодавства про
захист персональних даних повідомляє про це керівника
володільця/розпорядника з метою вжиття необхідних
заходів;
– аналізує загрози безпеці персональних даних.
Вимоги відповідальної особи до заходів щодо
забезпечення безпеки обробки персональних даних є
обов’язковими для всіх працівників, які здійснюють
обробку персональних даних. Факти порушень процесу
обробки та захисту персональних даних повинні бути
документально зафіксовані відповідальною особою або
структурним підрозділом, що організовує роботу,
пов’язану із захистом персональних даних при їх
обробці.
Висновки. Широке впровадження інформаційних
технологій у сферу державного управління, розвиток
електронного урядування, державних інформаційних
73
ресурсів, діяльність правоохоронних органів1 щодо
боротьби з правопорушеннями в умовах сучасного
розвитку інформаційних технологій створює високі
ризики порушення права людини на недоторканість
приватного життя.
Зважаючи
на
вкрай
важливе
значення
забезпечення захисту персональних даних, необхідним
вбачається координація дій всіх органів державної
влади щодо недопущення порушення права людини на
недоторканість приватного життя.
1 Має відбуватись з урахуванням Рекомендації Комітету
Міністрів Ради Європи № (87) 15 «Про захист персональних
даних у секторі поліції» (1987 р.).
74
ЗАХИСТ ПЕРСОНАЛЬНИХ ДАНИХ ОСІБ,
ЯКІ НАВЧАЮТЬСЯ У ВИЩИХ НАВЧАЛЬНИХ
ЗАКЛАДАХ УКРАЇНИ, ЯК СКЛАДОВА
ІНФОРМАЦІЙНОЇ БЕЗПЕКИ
ОСОБИСТОСТЕЙ
Кронівець Т.М.
Вінницький державний педагогічний
університет ім. М. Коцюбинського
За
умов
швидкого
розвитку
глобального
інформаційного суспільства, широкого використання
ІКТ у всіх сферах життя особливого значення набувають
проблеми інформаційної безпеки. В ч.13 розділу ІІІ
Закону України «Про Основні засади розвитку
інформаційного суспільства в Україні на 2007-2015
роки»
вказано, що інформаційна безпека - стан
захищеності життєво важливих інтересів людини,
суспільства і держави, при якому запобігається
нанесення шкоди через: неповноту, невчасність та
невірогідність
інформації,
що
використовується;
негативний інформаційний вплив; негативні наслідки
застосування
інформаційних
технологій;
несанкціоноване розповсюдження, використання і
порушення цілісності, конфіденційності та доступності
інформації.
Вирішення
проблеми
інформаційної
безпеки, серед іншого, має здійснюватися шляхом
вдосконалення
нормативно-правової
бази
щодо
забезпечення інформаційної безпеки, зокрема захисту
інформаційних
ресурсів,
протидії
комп'ютерній
злочинності, захисту персональних даних [1].
Метою дослідження є аналіз нормативно-правових,
судових актів, що стосуються захисту персональних
даних осіб, які навчаються у вищих навчальних
закладах України та вироблення пропозицій для
вдосконалення існуючої системи захисту персональних
даних.
Для гарантування безпеки обігу (недоторканності)
персональних даних осіб, які навчаються, у навчальному
75
процесі необхідно максимально зменшити доступ до цієї
інформації третіх осіб, які не мають повноважень щодо
їх обробки. Слід звернути увагу на те, що навчальний
заклад для перевірки якості знань вихованців здійснює
контроль шляхом оцінювання, результати якого є
персональними даними особи й також підлягають
захисту. Водночас у переважній більшості закладів такі
результати оприлюднюють без відповідного дозволу
суб'єкта цих даних (шляхом розміщення результатів на
дошці оголошень, усного оприлюднення у групі чи
класі), що є порушенням законодавства у сфері захисту
обігу персональних даних. Більше того, відсутність
відповідних роз'яснень призводить до того, що робота
над помилками має ідентифікуючий характер, й особа,
помилки якої аналізують, може стати об'єктом знущань і
насмішок. Є ризик, що в майбутньому це неодмінно
стане предметом судових позовів щодо завдання
моральних збитків через неправомірне використання
персональних даних особи.
Для уникнення подібних ситуацій у більшості
провідних країн світу функціонують електронні реєстри,
які містять усі відомості про особу, зокрема і про її
успішність. Доступ для обробки цих відомостей є
обмеженим для всіх розпорядників бази даних у межах
їхніх
службових
повноважень.
Наприклад,
таку
практику закріплено положенням статті 29 Статуту
Факультету
гуманітарних
і
природничих
наук
Пряшівського університету[2].
Чимало ВНЗ в Україні з метою індивідуалізації
навчального процесу також запроваджують практику
ведення електронних журналів обліку успішності
студентів, що дозволяє убезпечувати їхні персональні
дані від стороннього доступу та одночасно дає змогу
контролювати
всіх учасників навчально-виховного
процесу. Наприклад, наказом ректора ДВНЗ «КНЕУ
імені Вадима Гетьмана» № 121 від 24/02/2010
затверджене Положення про електронний журнал обліку
навчальної роботи студентів академічної групи [3].
Відмінність у тому, що в Україні поряд із електронним
журналом все одно продовжує існувати дублювання
76
даних на паперових носіях, як того вимагає
Міністерство освіти і науки України.
Крім того, процес
здобуття вищої
освіти
передбачає отримання диплома. Так, наприклад, ст. 27
Закону України «Про освіту» визначає, що випускнику
державного або іншого акредитованого (атестованого)
навчального закладу видається відповідний документ
про освіту встановленого зразка. Зразки документів про
освіту затверджуються Кабінетом Міністрів України.
Постановою Кабінету Міністрів України від 12.11.1997
№ 1260 «Про документи про освіту та вчені звання»
затверджено перелік і зразки документів про освіту, у
тому числі дипломів та додатків до дипломів [4].
Наказами Міністерства освіти і науки України від
10.12.2003 № 811 (із змінами, внесеними згідно з
наказом Міністерства освіти і науки, молоді та спорту
від 18.07.2011 № 806) «Про затвердження Положення
про ІВС «ОСВІТА» (далі - Положення про ІВС «ОСВІТА»)
та Порядку замовлення, видачі та обліку документів про
освіту
державного
зразка»
(далі
Порядок),
зареєстрованим
в
Міністерстві
юстиції
України
16.02.2004 за № 201/8800 [5], та від 15.12.2004 №939
«Про затвердження Положення про Вузли державної
інформаційно-виробничої системи для інформаційного
та документарного забезпечення фізичних і юридичних
осіб даними з питань освіти
(ІВС “ОСВІТА”)
встановлений порядок замовлення, видачі та обліку
документів про освіту державного зразка [6].
Як визначено Порядком документ про освіту
державного зразка - це персональні дані про освітній чи
освітньо-кваліфікаційний
рівень
випускника
навчального
закладу
України,
які
занесені
в
централізований банк даних Міністерства освіти і науки
України та відтворені в пластиковій картці (далі Картка).
Основою для створення первинних та виправлених
документів про освіту державного зразка, виготовлення
їх Карток і дублікатів Карток є замовлення в
електронному
вигляді,
створені
за
допомогою
спеціалізованого
програмного
забезпечення
ІВС
«ОСВІТА» (пункт 2.5 Порядку).
77
Водночас, згідно із пунктами 3.4 та 4 Положення
про ІВС «ОСВІТА» інформаційними ресурсами в межах
цього Положення є первинні і вторинні дані, що
відповідно
складають
первинні
та
вторинні
інформаційні ресурси, а також процедури обробки цих
даних. У склад первинних інформаційних ресурсів
включаються дані щодо випускників та студентів. Збір
інформації щодо випускників та студентів для
первинного введення даних безпосередньо виконують
навчальні заклади.
Також Порядком передбачено обсяг персональних
даних, які передаються на замовлення та виготовлення
документів про освіту державного зразка. Зокрема для
замовлення на виготовлення дипломів молодшого
спеціаліста, бакалавра, спеціаліста та магістра прізвище, ім'я, по батькові випускника, паспортні дані,
дата народження.
Указом Президента України від 30.09.2010 № 926
«Про заходи щодо забезпечення пріоритетного розвитку
освіти в Україні» покладено обов'язок на Міністерство
освіти і науки України щодо створення відкритої єдиної
державної електронної бази освіти[7]. Положення про
Єдину державну електронну базу з питань освіти,
затверджене постановою Кабінету Міністрів України від
13.07.2011 № 752, визначає, що Єдина державна
електронна база з питань освіти (далі - Єдина база) є
джерелом даних, що використовуються, зокрема під час
виготовлення документів про освіту державного зразка,
вчені звання та наукові ступені, ліцензій на надання
освітніх послуг та сертифікатів про акредитацію,
студентських квитків [8]
До Єдиної бази вносяться відомості, що містяться у
базах даних, реєстрах, а також підготовлені у паперовій
та електронній формі дані, що використовувалися у
сфері освіти до створення Єдиної бази. Відповідно до
Закону України “Про захист персональних даних ” у
разі збирання персональних даних про фізичних осіб учасників освітнього процесу забезпечується отримання
їх згоди на обробку відповідних даних в Єдиній базі за
формою згідно додатку до листа Міністерства від
19.04.2012 р. № 1/9-302. При доданні особи в ЄДЕБО
78
про отриману згоду ставиться відповідна позначка.
Проте, процедура отримання згоди не врегульована
остаточно, зокрема залишається відкритим питання про
отримання згоди від неповнолітніх осіб, які відповідно
до чинного законодавства мають право з 16 років
самостійно змінювати своє ім’я та прізвище, а в
окремих випадках згоду дитини на зміну її даних
запитують з 7 років, однак, за неповнолітніх осіб, згоду
на обробку їхніх персональних даних надають їхні
батьки чи інші законні представники.
Також, однією з основних проблем в сфері захисту
персональних даних на які звертає увагу міжнародна
спільнота є практична можливість застосування особою
так званої «електронної смерті», тобто повного
видалення персональних даних особи. Крім того
знаходять своє вирішення і інші права, зокрема
видалення застарілих даних, або таких, що втратили
актуальність. Важливим прецедентом тут є рішення
Європейського суду з прав людини 13 травня 2014 року,
яким суд зобов’язав пошукову систему
Google
редагувати деякі результати пошуку
на запит
користувачів. Така система отримала назву «право бути
забутим» (right to be forgotten). [9] Цікавим є приклад
вирішення цих питань в Російській Федерації. Зокрема,
наказом №588 від 24 грудня 2009 року Московський
авіаційний інститут ( державний технічний авіаційний
інститут (державний технічний університет «МАИ»
затвердив бланк «Згоди особи, яка навчається на
обробку персональних даних». Згода передбачає
збирання, систематизації, накопичення, зберігання,
уточнення, поновлення, зміни, використання, ( в тому
числі для передачі, знеособлення, блокування, знищення
і транскордонної передачі персональних даних. Що
цікаво таку згоду особа, що навчається дає на 75 років
[10].
В
українському
законодавстві
практичний
механізм реалізації права на видалення даних в освітній
сфері також не прописаний, про що свідчить аналіз
судової практики. З усіх прецедентів, зафіксованих в
Єдиному державному реєстрі судових рішень станом на
01.04.2014 року, жодний позивач, який ставив вимогу
79
про видалення своїх даних з ЄДЕБО не домігся
задоволення своїх позовних вимог [11].
Задля врегулювання вищезазначених прогалин
необхідно здійснити конкретні кроки. Основним
документом який урегульовує взаємовідносини між
особою, що навчається та вищим навчальним закладом
є договір про навчання на комерційних засадах або
угода про підготовку фахівців за кошти державного
замовлення. Форма цих документів затверджена
Міністерством освіти і науки України, тобто ВНЗ
самостійно не можуть їх змінювати. У випадку коли
особа, що навчається у ВНЗ є неповнолітньою, то
договори про навчання на комерційних засадах поряд із
цією особою підписує її законний представник, який
вказує свої персональні дані у договорі. Було б доречно,
окремим пунктом договору передбачити взаємні
зобов’язання
сторін
по
забезпеченню
безпеки
персональних даних особи. Таким чином, оскільки
даний договір діє протягом всього періоду навчання у
ВНЗ питання про захист персональних даних було б
вирішено один раз при зарахуванні особи на навчання
та врегульовано до закінчення навчання. Не потрібно
було контролювати отримання згоди від неповнолітньої
особи після досягнення її повноліття. Після закінчення
навчання, на письмову вимогу особи, яка навчалася у
ВНЗ, в договорі варто передбачити механізм знищення
персональних даних про неї.
Література
1. Про Основні засади розвитку інформаційного
суспільства в Україні на 2007-2015 роки: Закон України від
09.01.2007 № 537-V [Електронний ресурс]// Режим доступу:
http://zakon2.rada.gov.ua/laws/show/537-16.
2. Різак М. Правові аспекти захисту персональних
даних, які підлягають обробці в навчальному процесі/
Михайло Різак // Віче – 2012 – №8
3. Про затвердження Положення про електронний
журнал обліку навчальної роботи студентів академічної групи:
наказ ректора ДВНЗ «КНЕУ імені Вадима Гетьмана» № 121 від
24/02/2010 [Електронний ресурс] // Режим доступу:
80
kneu.edu.ua/userfiles/...
/polojennya2.doc.doc
–
Дата
доступу:01.04.2014.
4. Про документи про освіту та вчені звання: Постанова
Кабінету Міністрів України від 12.11.1997 № 1260
[Електронний
ресурс]//
Режим
доступу:
http://zakon1.rada.gov.ua/laws/show/1260-97-%D0%BF
5. Про затвердження Положення про ІВС «ОСВІТА»
Порядку замовлення, видачі та обліку документів про освіту
державного зразка: Наказ Міністерства освіти і науки України
від 10.12.2003 № 811 [Електронний ресурс]// Режим доступу:
http://zakon1.rada.gov.ua/
laws/show/z0201-04
–
Дата
доступу:01.04.2014.
6. Про затвердження Положення про Вузли державної
інформаційно-виробничої системи
для інформаційного та
документарного забезпечення фізичних і юридичних осіб
даними з питань освіти (ІВС “ОСВІТА”): Наказ Міністерства
освіти і науки України від 15.12.2004 №939 [Електронний
ресурс]//Режим
доступу:
http://zakon1.rada.gov.ua/
laws/show/z1669-04 – Дата доступу: 01.06.2014.
7. Про заходи щодо забезпечення пріоритетного
розвитку освіти в Україні: Указ Президента України від
30.09.2010 № 926 [Електронний ресурс] // Режим доступу:
http://zakon2.rada.gov.ua/laws/show/926/2010
8. Про створення Єдиної державної електронної бази з
питань освіти: постановою Кабінету Міністрів України від
13.07.2011 № 752 [Електронний ресурс] // Режим доступу:
http://zakon1.rada.gov.ua/laws/ show/752-2011-%D0%BF –
Дата доступу: 01.04.2014.
9. http://webtun.com/google/6448-poiskovaya-sistemagoogle-nachala-udalyat-personalnuyu-informaciyu-svoihpolzovateley.html.
10.
http://rodinaprav.info/index.php/raz-yasneniyaadvokatov/91-statya-advokata-o-a-yakovlevoj-o-sborepersonalnykh-dannykh-iz-knigi-novye-tekhnologii-i-pravacheloveka. – Дата доступу:04.06.2014.
11. www.reyestr.court.gov.ua. – Дата доступу: 04.06.2014.
81
ОЦІНКА ЕКОНОМІЧНОЇ БЕЗПЕКИ
ПІДПРИЄМСТВА НА ОСНОВІ СЦЕНАРНОГО
АНАЛІЗУ ТОЧКИ БЕЗЗБИТКОВОСТІ
Бойко Ю.Д.1, Бойко Г.Ф.2, Дулеба Н.В.2
1Інститут проблем реєстрації інформації
НАН України
2Національний транспортний університет
України
Вступ
Перехід діяльності підприємств до умов ринкової
економіки передбачає зміни в діяльності підприємства, і
перш за все, в управлінні ними. Майже всі суб’єкти
господарювання опинились „віч на віч” із мінливим
навколишнім середовищем, різноманітні чинники якого
погрожують нормальному стану їх господарювання,
створюють проблему економічної безпеки і навіть
виживання.
Поряд із загрозливими обставинами зовнішнього
характеру на першому плані опинились і внутрішні
загрози, до яких відносяться фінансово-економічні
показники діяльності підприємства, технологічні і
трудові чинники. Це поставило питання пошуку шляхів
щодо
удосконалення
системи
управління
підприємствами у напрямку орієнтації системи на
підтримку достатнього рівня економічної безпеки.
У даний час для більшості підприємств усіх галузей
велике значення має проблема забезпечення стійкості
розвитку їхньої діяльності. Разом з тим, в існуючих
екстремальних обставинах слід враховувати можливість
планувати свою роботу, спрямовану на стійкий
розвиток підприємства в перспективі.
Для адекватної і оперативної оцінки рівня
економічної безпеки підприємства постають наступні
основні завдання:
1) Визначення
механізму
оцінки
рівня
економічної безпеки підприємства, з можливістю його
оперативного визначення;
82
2) Пропозиція
відповідних
інформаційних
технологій для визначення рівня економічної безпеки
підприємства з можливістю прогнозування її стану в
залежності як від внутрішніх, так і зовнішніх умов.
Далі розглядаються запропоновані підходи до
вирішення цих задач.
Аналіз існуючих методів оцінки економічної
безпеки підприємства
Методи оцінки економічної безпеки підприємства
можна розділити на три групи:
1) Комбінація
загальновідомих,
перевірених
практикою методик, таких як STEP-аналіз, SWOTаналіз, SPACE-аналіз, ФСА;
2) Методи оцінки фінансового стану підприємства
та загроз банкрутства, а саме: модель Е. Альтмана,
дискримінантна модель, модель Тофлера, модель
Ж. Депаляна,
модель
Спрингейта,
і
так
звана
універсальна шестифакторна модель оцінки загрози
банкрутства;
3) Визначення комплексного критерію за рівнями
основних
показників
функціонування
за
їхніми
рангами.
Розглянемо основні характеристики цих методів.
1. Використання
STEP-аналізу
дає
змогу
охарактеризувати
зовнішню
економічну
ситуацію
комплексно, на підставі оцінки впливу суспільних
технологічних,
економічних
та
політико-правових
факторів [1]. Частина аналізу виконується за схемою
«фактор-підприємство». Результати розрахунків та
проведеного аналізу оформляються у вигляді матриці,
яка задається факторами мікросередовища та силою їх
впливу, яка сама по собі оцінюється в балах, рангах та
інших одиницях виміру. Результати STEP-аналізу
надають можливість оцінити зовнішню економічну
ситуацію
на
досліджуваному
підприємстві,
що
складається у сфері виробництва та комерційної
діяльності. Оскільки STEP-аналіз має чітко спрямовану
зовнішню орієнтацію, то його результат може
83
розглядатися як оцінка конкурентного становища
підприємства на зовнішніх та внутрішніх ринках.
SWOT-аналіз дозволяє виявити сильні і слабкі
сторони компанії, можливості і загрози (strength,
weaknesses, opportunities and threats) при проведенні
стратегічного аудиту [2]. Після проведення аудиту
з‘являється велика кількість інформації різного ступеню
важливості і надійності. SWOT-аналіз допомагає
очистити дану інформацію і виділити найбільш важливі
результати внутрішнього і зовнішнього аудиту. Невелика
кількість
опорних
пунктів
дозволяє
компанії
сконцентрувати на них свою увагу.
Недоліком перелічених методів є їхній експертний
характер, відтак застосування їх пов‘язане з ризиком
неповного врахування впливу чинників зовнішнього
середовища на економічну безпеку підприємства. Разом
з тим, намагання охопити якомога більше чинників
призводить до дріб‘язковості окремих з них, або
надмірного
«навантаження»
матриці,
що
перешкоджатиме адекватно сприймати інформацію,
правильно визначати основні обґрунтовані рішення [1].
2. Модель Е. Альтмана, заснована на оцінці
показників фінансової стійкості підприємства, що
характеризується співвідношенням прибутку, виручки
від
реалізації,
величини
обороту
до
активів
підприємства, власного капіталу до позикового.
Складність використання формули полягає в тому,
що коефіцієнти, які входять в модель, з одного боку, не
відображають реальної ситуації, що склалася на
досліджуваному підприємстві, а з іншого – серед
наведених індикаторів кілька її показників не мають
відповідних аналогів оцінки роботи вітчизняних
підприємств [1].
За моделлю Альтмана неспроможні підприємства,
що мають високий рівень четвертого показника
(власний капітал/позиковий капітал), дістають дуже
високу оцінку, що не відповідає дійсності. У зв‘язку з
недосконалістю діючої методики переоцінки основних
фондів, коли старим зношеним фондам надають такого
самого
значення,
як
і
новим,
необґрунтовано
збільшується частка власного капіталу за рахунок фонду
84
переоцінки.
У
підсумку
складається
нереальне
співвідношення власного і позикового капіталу. Тому
моделі, у яких є цей показник, можуть спотворити
реальну картину [3].
3. Оцінка
рівня
економічної
безпеки
підприємства
на
основі
індикаторного
підходу
передбачає визначення з високим ступенем точності
бази порівняння – індикаторів. Саме рівень точності
індикатора в цьому випадку і є проблемою, яка полягає
в тому, що на сьогодні відсутня методична база
визначення індикаторів, які враховують особливості
діяльності підприємства, обумовлені його галузевою
приналежністю,
формою
власності,
структурою
капіталу, існуючим організаційно-технічним рівнем.
Якщо
ще
додати
необхідність
постійного
уточнення величини індикатора внаслідок постійної
динаміки зовнішнього середовища і внутрішніх змін в
діяльності підприємства, то складність проблеми
багатократно
збільшується,
оскільки
індикаторипоказники взаємопов‘язані і взаємообумовлені. У цьому
випадку виникає необхідність постійного коректування
системи показників, що призводить до збільшення
трудомісткості управлінських робіт, потребує залучення
висококваліфікованих спеціалістів.
Отже, з наведеної вище критичної оцінки методів
визначення рівня економічної безпеки підприємства
випливають основні недоліки, які ускладнюють їх
застосування при оцінці рівня економічної безпеки на
українських підприємствах:
1) Методи першої групи мають чітко спрямовану
зовнішню
орієнтацію,
а
їхній
результат
може
розглядатися як оцінка конкурентного становища
підприємства на зовнішніх та внутрішніх ринках;
2) Методи другої групи мають експертний
характер, тому застосування їх пов’язане з ризиком
неповного врахування впливу чинників зовнішнього
середовища на економічну безпеку підприємства.
Намагання
охопити
якомога
більше
чинників
призводить до дріб’язковості окремих з них, або
надмірного
«навантаження»
матриці,
що
85
перешкоджатиме адекватно сприймати інформацію,
правильно визначати основні обґрунтовані рішення;
3) Методи третьої групи дозволяють провести
аналіз економічного стану підприємства у стані статики,
тоді як для оцінки економічної безпеки потрібно
розглядати економіку підприємства в динаміці. Для
планування
виробничої
діяльності
підприємства
потрібно використовувати програмно-цільовий підхід,
розробляти
стратегічні
плани,
зорієнтовані
на
довгострокову перспективу, підпорядковуючи цій меті
цілі, умови, стан та розвиток підприємства.
Для
забезпечення
можливості
оперативного
визначення рівня економічної безпеки підприємства
необхідно віднайти метод, який дозволить обчислювати
в реальному часі автоматизованим способом числове
значення рівня економічної безпеки на основі наявних
показників діяльності підприємства.
Визначення точки беззбитковості діяльності
підприємства
Для
оцінки
рівня
економічної
безпеки
підприємства пропонується визначити чи досягло
підприємство беззбиткового рівня своєї операційної
діяльності.
З
цією
метою
розраховують
точку
беззбитковості діяльності (ТБД) підприємства.
Беззбитковість – це такий стан, коли бізнес не дає
ні прибутку, ні збитків [3]. Для досягнення «точки
беззбитковості діяльності» підприємство повинно
забезпечити такий об’єм реалізації продукції (послуг),
при якому сума чистого операційного доходу (валового
операційного доходу за відрахуванням суми податкових
платежів з нього) зрівняється з сумою витрат – як
постійних, так і змінних [4].
Щоб визначити фактори, що впливають на ТБД,
потрібно визначити ступінь кореляційної залежності між
усіма
показниками
господарської
діяльності
підприємств і їхньою точкою беззбитковості діяльності.
Для цього спочатку будуємо матрицю коефіцієнтів
парної кореляції, яка є симетричною і має такий вигляд:
86
(1)
де R – матриця кореляції;
–
кореляції між
та
коефіцієнт
коефіцієнт
парної
факторами;
кореляції
між
залежною
змінною та факторами.
Використовуючи варіаційні ряди досліджуваних
факторів розраховуємо коефіцієнти парної кореляції.
Чим ближче значення коефіцієнтів парної кореляції
лежать до 1, це вказує на щільний зв’язок між
досліджуваними факторами або на мультиколінеарність.
Для виявлення зв’язку між точкою беззбитковості
діяльності підприємства і факторами, що на неї
впливають, побудуємо багатофакторну
регресійну
модель.
(2)
де
залежна змінна;
незалежні змінні,
фактори;
невідомі
параметри;
випадкова величина, або помилка.
Вектор невідомих параметрів ми знаходимо за
методом найменших квадратів, мінімізуючи суму
квадратів залишків:
(3)
В якості факторів, на основі яких виконується
оцінка
економічної
безпеки,
пропонується
використовувати економічні та фінансові показники
господарчої діяльності підприємства.
Базою для побудови регресійної моделі обираємо
фактори, які мають щільність зв’язку (кореляцію) з
точкою беззбитковості діяльності підприємств більшу
0,8: власний капітал, первісна вартість основних
засобів, дебіторська заборгованість, постійні витрати,
87
змінні
витрати,
сума
витрат
на
виробництва, вартість сукупних активів.
здійснення
Сценарний аналіз точки беззбитковості
Для визначення значення точки беззбитковості
діяльності (ТБД) підприємства необхідна наявність
відповідних
засобів
у
складі
автоматизованої
інформаційно-аналітичної системи (ІАС). Побудова
сучасних ІАС з розширеною аналітикою передбачають
наявність засобів аналізу даних і прогнозування подій
за рахунок побудови і моделювання різних сценаріїв
розвитку цих подій [5].
Оцінки рівня економічної безпеки підприємства
вимагає створення відповідних засобів в складі ІАС, а
використання засобів розширеної аналітики на базі
сценарного аналізу дозволяє не тільки оцінювати
поточний стан економічної безпеки, але й прогнозувати
рівень безпеки в майбутньому шляхом моделювання
виконання різних сценаріїв розвитку подій.
Сценарний аналіз з використанням сценаріїв є
одним
з
видів
логіко-лінгвістичних
моделей,
призначених для відображення розгорнутих у часі
послідовностей взаємопов'язаних подій, операцій або
процесів [6,7,8]. Сценарії мають структуру, в якій
встановлені умови переходу до тієї чи іншої приватної
стратегії, або відображені можливі альтернативи без
вказівки умов.
Структура
запропонованих
засобів
оцінки
економічної безпеки підприємства у складі ІАС
приведена на рис. 1.
88
Рис. 1. Структура засобів ІАС сценарного аналізу
економічної безпеки підприємства
Оцінка
економічної
безпеки
підприємства
базується на економічних і фінансових показниках
господарської діяльності підприємства, які фіксуються
Обліковою системою підприємства у Корпоративній
базі даних. Оцінка поточного показника економічної
безпеки підприємства на основі розрахованого значення
ТБД і його прогнозованих значень виконуються з
використанням сформованих користувачами сценаріїв
розвитку подій, які накопичуючись н БД сценаріїв разом
з результатами моделювання їх виконання утворюють
Базу
знань.
Формування
сценаріїв
користувачі
виконують
із
використанням
Засобів
побудови
(формування) сценаріїв у їх графічному представленні,
які зберігаються у БД сценаріїв. Для виконання
обчислень значення ТБД під час моделювання
виконання сценарію використовується підсистема
Математичні обчислення, яка реалізує відповідні
математичні
методи.
Середовище
моделювання
(виконання)
сценаріїв
забезпечує
відпрацювання
вибраних сценаріїв із налаштованими користувачем
вихідними даними, керування процесом моделювання,
візуалізацію і аналіз отриманих результатів.
89
Висновки
Проведений аналіз існуючих методів оцінки
економічної безпеки підприємства показав їх недоліки з
точки зору їх використання для оперативного
визначення і можливого прогнозування.
Запропоновано
використовувати
точку
беззбитковості діяльності (ТБД) підприємства для оцінки
його економічної безпеки, базуючись на основних
економічних і фінансових показниках господарської
діяльності підприємства. Наведено математичний опис
обчислення ТБД, який дає можливість на його основі
створити відповідні засоби у складі автоматизованої ІАС
підприємства.
Використання засобів розширеної аналітики на
базі сценарного аналізу в ІАС дозволить не тільки
оцінювати поточний стан економічної безпеки з
використанням ТБД, але й прогнозувати рівень безпеки
в майбутньому шляхом моделювання виконання різних
сценаріїв розвитку подій.
Представлено структуру засобів ІАС сценарного
аналізу
економічної
безпеки
підприємства,
які
забезпечать оперативне обчислення значення ТБД
підприємства
на
основі
поточних
показників
господарської діяльності і розрахунок прогнозних його
значень на основі сценарного аналізу з метою оцінки
економічної безпеки підприємства – у поточному часі і в
перспективі.
Література
1. Ареф‘єва О.В., Кузенко Т.Б. Планування економічної
безпеки підприємств / О.В. Ареф‘єва, Т.Б. Кузенко //К.: Видво Європ. ун-ту, 2005. – 170 с.
2. Котлер Ф. Основы маркетинга / Котлер Филип,
Армстронг Гари, Сондерс Джон, Вонг Вероника; пер. с англ. –
2-е европ. изд. // М.; СПб.; К.; Издательский дом «Вильямс»,
2003. – 944 с.
3. Савицька
Г.В.
Економічний
аналіз
діяльності
підприємства: навч. посіб. / Г.В. Савицька // К.: Знання,
2004. – 654 с.
90
4. Бланк И.А. Основы финансового менеджмента. В 2 т. –
3-е изд. // К.: Эльга, Ника-Центр, 2007. Т.1. – 624с.
5. The Top 10 Strategic Technology Trends for 2013. —
©2012 Gartner.
6. Юдицкий С.А. Сценарно-целевой подход к системному
анализу //Автоматика и телемеханика, 2001. — №4. — С.63175.
7. Згуровский М.З.
Стратегия
инновационной
деятельности на основании методологии технологического
предвидения / М.З. Згуровский, Н.Д. Панкратова //
Реєстрація, зберігання і оброб. даних. — 2010. — Т.12, №2.
8. Koval O.V. Formation of Analytical activity Scenarios /
Koval O.V., Zaytseva K.A., Boyko Yu.D. // System Research and
Information Technologies. — 2013. — N 4 / Institute for Applied
System Analysis, National academy of sciences of Ukraine.
91
ВИЗНАЧЕННЯ ПОНЯТЬ "ПРОПАГАНДА" ТА
"СПЕЦІАЛЬНА ІНФОРМАЦІЙНА ОПЕРАЦІЯ":
ПОРІВНЯЛЬНИЙ АНАЛІЗ
Панченко В.М.
Національна академія Служби безпеки
України
На сьогодні спостерігаємо активне застосування
проти України заходів інформаційного впливу з боку
РФ.
Для
позначення
зазначених
заходів
використовується
широкий
набір
термінів
–
"інформаційна війна", "інформаційне протистояння",
"пропаганда", "спеціальна інформаційна операція",
"акція інформаційного впливу". Часом ці терміни
вживаються одночасно для характеристики однієї і тієї
ж події або явища. Разом з тим, кожний із перелічених
заходів має свої особливості, а ефективність протидії їм
безпосередньо залежить від того, наскільки точно
вдається
встановити,
з
якою
саме
формою
інформаційного впливу маємо справу.
Аналіз низки вітчизняних та зарубіжних публікацій
[1-9] свідчить, що і в науковій літературі немає
однозначного тлумачення даних понять. Зокрема, серед
вітчизняних науковців найбільш ґрунтовне дослідження
спеціальних інформаційних операцій, їх характеристик,
особливостей, форм і методів проведення здійснювалося
О. Литвиненком, але в його роботах [3-5] відсутнє
однозначне
визначення
поняття
"спеціальна
інформаційна операція". Метою даного дослідження є
уточнення
визначення
понять
"пропаганда"
та
"спеціальна
інформаційна
операція",
які
часто
помилково ототожнюються.
Відповідно до Великого тлумачного словника
сучасної української мови пропаганда – це поширення і
постійне, глибоке та детальне роз'яснення яких-небудь
ідей, поглядів, знань; ідейний вплив на широкі маси або
певні групи людей, що має політичний або релігійний
92
характер; система засобів масового поширення ідей,
поглядів і т. ін. [10].
Термін "спеціальна інформаційна операція" є
характерним для спеціальних служб, і, як свідчить
аналіз загальнодоступних публіцистичних та наукових
джерел, запроваджений до широкого використання
американською науковою школою, на основі досліджень
якої побудовано польові статути FM 100-23 «Миротворчі
операції» та FМ 33-5 "Ведення психологічної війни" [11].
Одним із найбільш визначальних висновків цієї
наукової школи є принципова можливість використання
розроблених методів не тільки під час бойових дій, а й
за мирних часів.
Маючи свої витоки з теорії інформаційних війн,
окремі
елементи
дослідження
спеціальних
інформаційних операцій (СІО) представлені в роботах
військових науковців [12-15]. Застосування апарату
військової науки для вивчення інформаційних війн
відповідним чином позначилося і на термінології
фахівців інформаційно-психологічного протиборства
(інформаційна атака, операція, кампанія, інформаційне
протистояння тощо).
У широкому контексті військової науки та
розвідки СІО досліджував А. Даллес, який спеціальні
інформаційні операції розглядає як одну з основних
форм діяльності спецслужб [16].
Вивчення широкого кола наукових джерел у галузі
масової комунікації, психології, соціології, політології,
лінгвістики, безпекознавства, у яких висвітлювались
питання форм та методів інформаційного впливу, дає
підстави
автору
стверджувати,
що
спеціальна
інформаційна операція – це сукупність заходів гласного
та негласного характеру, спрямованих на приховане
керування процесами інформаційної сфери з боку
певних державних (насамперед, спеціальних служб) і
недержавних установ, діяльність яких підпорядкована
спільній меті, має один об’єкт і відпрацьовану у часі
синхронність.
Так, В. Крисько [2] та В. Кальниш [7] вказують на
два
основні
методи
психологічного
впливу
переконання (формування стійких, осмислених мотивів
93
поведінки й діяльності людей на основі отриманої та
проаналізованої ними інформації) та навіювання (вплив
на
індивідуальну
чи
суспільну
свідомість,
що
ґрунтується на некритичному, часто неусвідомленому
сприйнятті інформації).
Ці ж механізми покладені в основу спеціальних
інформаційних операцій. Зокрема, О. Литвиненко
виділив три типи СІО [4]:
• спрямовані на підсилення чинної гегемонії
(системи
ідейно-політичних
уявлень
суспільства);
• спрямовані на соціально-політичні зміни у
межах чинної гегемонії;
• спрямовані на підрив чинної гегемонії.
В той же час, В. Крисько [2] та М. Варій [1]
говорять про три рівні маніпулювання:
• перший рівень - посилення існуючих у
суспільній свідомості ідей, установок, мотивів,
цінностей,
норм,
що
влаштовують
маніпулятора;
• другий рівень - пов'язаний з частковими,
незначними змінами поглядів на ті чи інші
події, процеси, факти;
• третій рівень - докорінна, кардинальна зміна
життєвих установок.
Вважається,
що
за
допомогою
такого
психологічного прийому, як маніпулювання, можна
домогтися швидкої зміни життєвих установок в
основному на перших двох рівнях [1, С. 224].
Кардинальні зміни поглядів окремої людини чи групи
потребують комплексного впливу на свідомість протягом
тривалого часу (зміни стереотипів мислення). Зміна
ідейно-політичних установок, що протягом відносно
короткого періоду часу можлива лише під впливом
сильного
емоційного
шоку,
викликаного
різко
негативними,
дестабілізуючими
враженнями:
"Як
правило, для маніпуляції свідомістю використовується
почуття страху, оскільки страх є базовим чинником, що
визначає поведінку людини. Сприятливі умови для
94
використання почуття страху створює криза, реальна
чи штучна, яка здійснює вплив на почуття" [17].
На прикладі заходів інформаційного впливу, що
супроводжували операцію спецслужб РФ щодо анексії
Криму,
можемо
показати
це
таким
чином.
Пропагандистські гасла про те, що "Крим завжди був
частиною Росії (Царської імперії, РСФСР)", "треба
відновити історичну справедливість - повернути Крим
Росії" лунали ще з часів президентства Л. Кучми. Як
елементи спеціальної інформаційної операції можемо
охарактеризувати заходи, які активно застосовувалися з
боку РФ протягом березня 2014 року: соціальну рекламу
на території Криму про "фашистську" владу України
(листівки та плакати); оголошення через гучномовці,
спрямовані на українські військові частини, про
переваги переходу на бік РФ; блокування мовлення
українських телеканалів; заяви президента та інших
офіційних осіб РФ, що у Криму немає російських
військових тощо. Емоційний шок, страх, панічні настрої
були
викликані
з
самого
початку
проведення
спецоперації погрозами про введення російських військ
в Україну.
З огляду на викладене, можемо відобразити
особливості пропаганди та спеціальної інформаційної
операції у таблиці (табл. 1).
Таблиця 1
Порівняльний аналіз понять
"пропаганда" та "спеціальна інформаційна операція"
Характеристика
тривалість
проведення
канали
інформації
тип заходів
Пропаганда
тривалий час
(фактично постійно)
ЗМІ, експерти,
офіційні особи,
соцмережі, які
координуються
центральним органом
державної влади
мають виключно
інформаційний
характер
СІО
обмежений час
ЗМІ, експерти, офіційні
особи, соцмережі, листівки,
соціальна та політична
реклама, "п’ята колона", які
координуються
спецслужбами
інформаційні акції та
створення подій (провокації,
мітинги, замовні убивства
тощо)
95
Характеристика
"напрямок"
мовлення
інтенсивність
інформаційних
акцій
мета
Пропаганда
інформування
(поширення власної
позиції)
слабка або помірна
СІО
інформування та цензура,
блокування інформаційних
каналів супротивника
висока
формування суспільної
свідомості, ідейнополітичних
стереотипів
формування масової
свідомості (громадської
думки) з метою отримання
переваг у "реальному світі"
(матеріальних благ)
Таким чином, пропаганда – це фундамент для
проведення спеціальних інформаційних
операцій.
Пропаганда застосовується як підґрунтя для проведення
короткотривалих інформаційних операцій, спрямованих
на кардинальну зміну стереотипів. За допомогою
пропаганди
здійснюється
підготовка
суспільної
свідомості до такої зміни. Вона здійснюється протягом
тривалого часу і може продовжуватись вже після
проведення СІО для "м’якого" виходу з операції.
Натомість спеціальна інформаційна операція триває
обмежений час, зосереджена на конкретній меті і
завданнях, відбувається із застосуванням не лише
заходів інформаційного впливу. Якщо пропаганда
використовується для формування стійкої системи
ідейно-політичних уявлень суспільства (підсилення
чинної гегемонії), то СІО - для забезпечення соціальнополітичних змін у межах чинної гегемонії або для
підриву останньої.
Література
1. Варій М.Й. Політико-психологічні передвиборні та
виборчі
технології:
навчально-методичний
посібник
/
М.Й.Варій. – К.: Ельга, Ніка-Центр, 2003. – 400 с.
2. Крысько В.Г. Секреты психологической войны (цели,
задачи, методы, формы, опыт) / [ред. Тарас А.Е.]. – Мн.:
Харвест, 1999. – 448 с.
96
3. Литвиненко О. Інформаційні впливи та інформаційні
операції: механізми самоорганізації / О. Литвиненко //
Людина і політика. – 1999. – № 6. – С. 32–36.
4. Литвиненко О.В. Спеціальні інформаційні операції:
монографія / О.В.Литвиненко. – К.: Рада нац. безпеки і
оборони України, Нац. ін–т стратег. дослідж. – 1999. – 163 с. –
(Нац. безпека; Вип.3).
5. Литвиненко О.В. Інформаційні впливи та операції:
теорет.–аналіт. нариси / О.В.Литвиненко. – К.: Нац. ін–т
стратег. дослідж. – 2003. – 239 с. – (Сер. Нац. безпека; Вип. 6).
6. Манойло А.В.
Информационно–психологические
операции как организационная форма реализации концепции
информационно–психологической войны / А.В.Манойло,
Д.Б.Фролов // Проблемы информационной безопасности.
Компьютерные системы. – 2003 – № 2. – С. 7–14.
7. Петрик В.М.
Сучасні
технології
та
засоби
маніпулювання свідомістю, введення інформаційних війн і
спеціальних інформаційних операцій: навч. посіб. /
[В.М.Петрик, О.А.Штоквиш, В.І.Полевий та ін.]. – К.: Росава,
2006. – 208 с.
8. Поляруш О.О. Парадигма інформаційно–психологічних
впливів на соціальні системи / О.О.Поляруш // Інформаційна
безпека людини, суспільства, держави: науково–практичний
журнал. – 2008. – № 1 (1). – С. 21–25.
9. Почепцов Г.Г. Информационные войны / Г.Г.Почепцов.
– М.: Рефл–бук, 2001. – 576 с.
10. Великий тлумачний словник сучасної української мови
[Електронний ресурс] / Вид-во "Перун". - 2005. – Программа
ABBYY Lingvo x3. - Explanatory (Uk-Uk). - 250 тис. ст.
11. Вилко В.М. Інформаційно-психологічне забезпечення
ЗС США в локальних війнах і збройних конфліктах 19502000рр. (історичний аспект) / В.М.Вилко; дис. к. іст. наук:
20.02.22. – військова історія: НАО України. – К., 2005р. – 284
с.
12. Жарков Я.М. Інформаційно-психологічне протибор–
ство (еволюція та сучасність): монографія / [Я.М.Жарков,
В.М.Петрик, М.М.Присяжнюк та ін.]. – К.: ПАТ «Віпол», – 2013.
– 248 с.
13. Кливець В.В. Деякі методичні підходи з ідентифікації
інформаційно-психологічного впливу в засобах масової
інформації / В.В.Кливець // Сучасні інформаційні технології у
сфері безпеки та оборони. – 2008. – № 2 (2). – С. 62–64.
14. Жук С.Я.
Тенденції
та
перспективи
розвитку
інформаційної боротьби й інформаційної зброї / С.Я.Жук,
97
В.О.Чмельов, Т.М.Дзюба // Наука і оборона. – 2006. – № 2. – С.
35–41.
15. Рось А.О. Інформаційна безпека держави у контексті
протидії інформаційним війнам: навчальний посібник /
[А.О.Рось, А.М.Явтушенко, Я.М.Жарков та ін.; за ред. В. Б.
Толубка]. – К.: НАОУ, 2004. – 176 с.
16. Даллес А. Искусство разведки: пер. с англ. с
сокращениями / А.Даллес. – М.: Международные отношения. –
МП «Улисс», 1992. – 288 с.
17. Дмитрук О.В. Маніпулятивні стратегії в сучасній
англомовній комунікації (на матеріалі текстів друкованих та
Інтернет-видань 2000-2005 років): Автореф. дис... канд. філол.
наук: 10.02.04 / Київський національний ун-т ім. Тараса
Шевченка. — К., 2006. — 19 с.
98
ФОРМУВАННЯ СИСТЕМИ ПОНЯТЬ У ГАЛУЗІ
УПРАВЛІННЯ ІНФОРМАЦІЙНОЮ БЕЗПЕКОЮ
Мохор В.В., Богданов О.М., Бакалинський О.О.,
Цуркан В.В.
ІСЗЗІ НТУУ «КПІ»
Перспективним
напрямком
вдосконалення
державної політики у галузі управління інформаційною
безпекою
визначено
приведення
національного
законодавства у відповідність до міжнародного [1]. Це
спонукає до забезпечення усталеного використання
термінів і визначень шляхом формування системи
понять в означеній галузі [2]. Для виконання цього
завдання розглянуто терміносистему поточної редакції
міжнародного стандарту ISO/IEC 27000:2014 [3].
Зокрема, у стандарті оглянуто системи управління
інформаційною безпекою та визначено терміни, що
використовуються при впровадженні таких систем.
Разом з тим, для позначення належності терміну
введено поняття розпорядника як стандарту, яким
вперше визначається даний термін та регламентується
його переглядання, оновлення або виключення.
З огляду на це, для формування системи понять
взято терміни та визначення з галузей управління
ризиками, управління якістю, інженерії систем та
програмного забезпечення, здійснення аудитів систем
управління.
Такий підхід дозволяє, по-перше, використати
міжнародний стандарт ISO/IEC 27000:2014 як джерело
термінів та визначень; по-друге, сформувати систему
понять шляхом узгодження вітчизняної та міжнародної
терміносистем у галузі управління інформаційною
безпекою; по-третє, забезпечити як цілісність, так і
повноту означеної системи. Як наслідок, по-четверте,
сприяти розвиткові української науково-технічної мови
[2].
99
Література
1. Про рішення Ради національної безпеки і оборони
України від 28 квітня 2014 року «Про заходи щодо підвищення
ефективності планування в секторі безпеки і оборони»: Указ
Президента України від 01.05.2014 № 449/2014 [Електронний
ресурс] / Укази // Офіційні документи. – Режим доступу:
http://www.president.gov.ua/documents/17588.html. – Дата
доступу: травень 2014.
2. Термінологія.
Засади
і
правила
розроблення
стандартів на терміни та визначення понять: ДСТУ 3966:2000.
– Чинний з 2000-06-12. – К.: Держстандарт України, 2000. –
32 с.
3. Information technology. Security techniques. Information
security management systems. Overview and vocabulary:
ISO/IEC 27000:2014. – Third edition 2014-01-15. – Geneva,
2014. – 32 p.
100
АНАЛІЗ СОЦІОІНЖЕНЕРНИХ АТАК НА
ЛЮДИНУ В КІБЕРПРОСТОРІ
Мохор В.В.1, Цуркан О.В.2,
1ІСЗЗІ НТУУ «КПІ», 2ДП «Укртехінформ»
Однією з найбільш небезпечних загроз безпеці
інформації в кіберпросторі є використання соціальної
інженерії [1]. Реалізації цієї загрози можлива завдяки
здійсненню таких соціоінженерних атак [2]:
1.
Фішінг (Phishing) – масове розсилання
електронної
пошти
великій
групі
адресатів.
Ознайомлення з електронними листами спонукає їх до,
наприклад, відкриття вкладення до листа, переходу за
посиланням на веб-сторінку.
2.
Фармінг (Pharming) – перенаправлення
користувачів на шахрайські сайти для отримання їх
логіну
та
паролю.
Це
досягається
завдяки
розповсюдженню
електронної
пошти
серед
користувачів, наприклад, соціальних мереж, онлайнбанкінгу, поштових веб-сервісів.
3.
Прітекстінг
(Pretextй)
–
отримання
інформації або спонукання до вчинення певних дій
обманом на основі заздалегідь складеного сценарію або
створення фіктивної ситуації. Застосовується через
телефон та потребує проведення попередніх досліджень
для входження в довіру.
4.
Смішінг (Smishing) – отримання інформації
шляхом масового розсилання SMS повідомлень з
посиланням на веб-ресурси або з реквізитами
організацій (наприклад, фінансових). Внаслідок цього
здійснюються відповідні дії, наприклад, дзвінок до
банку для перевірки стану рахунку з зазначення
конфіденційних даних: номеру картки, терміну дії.
5.
Вішінг (Vishing) – отримання інформації
шляхом входження в довіру під час розмови через ipтелефон.
6.
Спір фішінг (Spear Phishing) – надсилання
листа електронної пошти конкретному адресату, що
101
спонукає його до обов’язкового перегляду та відповіді на
отриманий лист.
7.
Вейлінг (Whaling) – надсилання листа
електронної
пошти
представнику
керівництва
організації, що спонукає його до обов’язкового перегляду
та відповіді на отриманий лист.
Таким чином, сутність соціоінженерної атаки
полягає в маніпулятивному впливові на свідомість
(підсвідомість) людини через властиві їй вразливості.
Зокрема, її слабкості, потреби, манії (пристрасті),
захоплення. Маніпулювання ними дозволяє отримати
несанкціонований доступ до інформації без руйнування
та
перекручування
головних
для
людини
системоутворюючих якостей – цілісності, розвитку [3].
При цьому маніпулювання вразливостями людини
виражається
в
таких
формах
як,
наприклад,
шахрайство, обман, афера, інтрига, містифікація,
провокація. Разом з тим, використанню кожної з
означених форм передує визначення її змісту шляхом
ретельного планування, організації та контролювання
[3].
Так (див. табл.1), отримання несанкціонованого
доступу до інформації за допомогою фішингу, фармінгу,
смішінгу, вішінгу, спір фішінгу, вейлінгу здійснюється
шляхом використання таких форм маніпулятивного
впливу як шахрайство та обман. Тоді як основою для
створення фіктивних ситуацій при прітекстінгу є афера,
інтрига, містифікація та провокація.
Таким чином, реалізація соціоінженерних атак
орієнтована на отримання несанкціонового доступу до
інформації
шляхом
маніпулятивного
впливу
на
свідомість або підсвідомість людини проти волі, але за її
згодою. В кінцевому випадку це призводить до нової
моделі поведінки людини та створення сприятливих
обставин
реалізації
соціоінженерних
атак
в
кіберпросторі.
102
Таблиця 1
Різновиди маніпулятивного впливу при
соціоінженерних атаках
Містифікація
Провокація
Фішінг
Фармінг
Прітекстінг
Смішінг
Вішінг
Спір фішінг
Вейлінг
Інтрига
1.
2.
3.
4.
5.
6.
7.
Афера
Різновид атаки
Обман
№
п/п
Шахрайство
Форми маніпулятивного впливу
+
+
+
+
+
+
+
+
+
+
+
+
+
+
−
−
+
−
−
−
−
−
−
+
−
−
−
−
−
−
+
−
−
−
−
−
−
+
−
−
−
−
Тому подальшим напрямком наукових досліджень
є розроблення моделі соціального інженера як об'єкта
атаки та людини як суб'єкта атаки, а також методу
оцінювання
негативних
наслідків
реалізації
соціоінженерних атак на людину в кіберпросторі.
Література
1. Мохор В. В.
Наставления
по
кибербезопасности
(ISO/IEC
27032:2013)
/
В. В. Мохор,
А. М. Богданов,
А. С. Килевой. К.: ООО «Три-К», 2013. – 129 с.
2. Winterfeld
S.
The
Basics
of
Cyber
Warfare:
Understanding the Fundamentals of Cyber Warfare in Theory and
Practice / S. Winterfeld, J. Andress. – Waltham: Elsevier, 2013. –
248 с.
3. Цуркан О.В. Використання соціальної інженерії для
негативного інформаційно-психологічного впливу на людину в
кібернетичному просторі / О.В. Цуркан, В.В. Мохор, В.В.
Цуркан // Актуальні проблеми управління інформаційною
безпекою держави: збірник матеріалів науково-практичної
конференції, 20 березня 2014 року, м. Київ. – К.: Наук.-вид.
центр НА СБ України, 2014. – Ч. 1. – С. 214 – 215.
103
ОПТИМАЛЬНОЕ РАЗМЕЩЕНИЕ СРЕДСТВ
КОНТРОЛЯ ДЛЯ ЗАЩИТЫ ОБЪЕКТА:
ЗАДАЧИ, МОДЕЛИ, РЕАЛИЗАЦИЯ В EXCEL
Кузьмичев А.И.
Институт проблем регистрации информации
НАН Украины
Рассматривается глобальная задача – поиск
критических точек или узких мест (bottleneck) в
организационной,
транспортной,
информационной,
правовой и проч. системе.
Три типа узких мест:
• инфраструктурные (различные переходы)
• регуляторные (нормы, правила, стандарты)
• логистические цепочки поставок ресурсов.
Общая
постановка
оптимизационных
задач:
существует практически бесконечное количество мест
размещения средств контроля разного типа, требуется
определить минимальное количество таких средств, их
типы и места их размещения, обеспечивающих
заданный уровень защиты объекта по критерию
минимизации общих затрат.
Средства контроля:
• люди – постовые, охранники, смотрители
• специальная
техника:
сенсоры,
регистрирующая аппаратура
• их комбинации (люди + техника разного
типа),
• различаемые по техническим возможностям
и, соответственно, полной стоимостью.
Чаще
всего
целевая
функция
этих
задач
представляет собой зависимость суммарных денежных
затрат от искомого количества (и типов) средств
контроля.
Ограничения
на
значения
искомых
неизвестных и классы используемых математических
моделей
задач
оптимизации
определяются
из
технических требований, способов защиты и общих
свойств инфраструктуры.
104
Рассматривается два класса задач оптимизации, где
используются две модели - дискретного и потокового
программирования, доступная среда реализации –
процессор электронных таблиц Excel со встроенными
средствами математической оптимизации.
Преимуществом построенных табличных моделей
является
возможность
получения
решения
непосредственно
на
рабочем
месте
с
учетом
дополнительных ограничений.
Класс
1:
сосредоточенное
размещение
(в
помещениях).
Класс
2:
распределенное
размещение
(на
территориях).
1.
музее
Оптимальное размещение смотрителей в
В музее в дневное время смотрителей обычно
размещают в проемах дверей, чтобы они могли
контролировать две смежные комнаты.
Пример. Контролируемое помещение имеет 38
комнат, соединенных между собой 44-мя дверями – это
потенциальные места размещения смотрителей:
Рис. 1
Решение задачи дискретного программирования с
44 неизвестными и 76 ограничениями – минимум числа
смотрителей 20 чел., их размещение:
105
Рис. 2
Следующий эта – модификация модели для учета
специальных требований, например, замена найденных
мест нужными; размещение в некоторых местах больше
2-х контролеров; учет контролируемых площадей и
ценности
содержимого
комнат,
нелинейной
зависимости финансовых затрат и проч.
2.
Оптимальное размещение сенсоров для
групп объектов
Пример: в ночное и нерабочее время помещение
контролируются
специальной
аппаратурой,
размещаемой
над
группой
комнат.
Решение:
размещение 13 приборов, каждый из которых способен
контролировать 3 или 4 комнаты:
Рис. 3
106
3.
Оптимальное размещение сканеров
перекрестках дорог
на
Дорожная сеть состоит из потенциальных 25
узлов-перекрестков и 50 дуг, контролируемых участков
дорог. На перекрестках устанавливают сенсоры,
способные круглосуточно контролировать движение
транспорта одновременно на нескольких участках
дорог.
Для
определения
минимального
количества
сканеров и мест из размещения используется модель
дискретного программирования с возможностью учета
стоимостных параметров.
Пример и решение (рис. 4, 5)
4.
Размещение контролеров по зонам
(коридорам)
В торговых центрах регистрирующую аппаратуру
размещают так, чтобы контролировать коридоры и
протяженные проходы, куда выходят фасады с
товарами
или
двери
отдельных
помещений.
Контролеров обычно размещают на пересечениях
коридоров.
Аналогично:
«зоны»,
складские
территории,
парковки транспортных средств и проч. Пример и
решение (рис. 6, 7)
Рис. 4 Решение: необходимо 18 сканеров, 42 участка
под контролем 1 сканера, 8 – двух:
107
Рис. 5
Рис. 6 Решение: найдено 5 мест (3 6 14 16 19), из
которых видны все двери
Рис. 7
5. Оптимальное размещение средств контроля
в дорожной сети
Доступ к защищаемому территориальному объекту
(природные
ресурсы,
предприятия,
источники
108
снабжения пищевыми и энергоресурсами, склады,
организации
стратегического
значения,
пункты
перехода
межгосударственных
границ
и
т.п.)
осуществляется по имеющейся сети дорог, требуется
определить минимальное количество контролеров и их
типы (посты ГАИ, сенсоры, блок-посты, заградительные
сооружения), чтобы управлять доступом: его исключить,
ограничить или регистрировать.
Пример: дорожная сеть содержит 18 узлов –
населенных пунктов, 18 ориентированных и 24
неориентированных дуг-участков дорог, всего, после
замены,
имеется
66
ориентированных
дуг
–
потенциальных мест размещения контролеров.
Используется
классическая
модель
о
поиске
максимального потока - минимального сечения во
взвешенной смешанной сети (max-min).
Минимальное сечение – минимальное количество дуг,
удаление которых рассекает сеть пополам, отделяя
стоки от источников потоков.
Проблематика: пресечение потоков криминального
содержания: наркотиков, эмигрантов, контрабанды,
террористов и проч.
В примере минимальное сечение – наименьшее
количество участков дорог, блокирование которых
отделяет узлы защищаемых объектов от узловисточников угроз.
3 типа узлов: 6 источников, 8 промежуточных и 4
стока
2
типа
дуг:
18
ориентированных
и
24
неориентированных.
Параметр дуги: пропускная способность (иначе,
затраты на создание и эксплуатацию блок-поста)
Картосхема и оптимальный план размещения 18
сканеров, отделивших 6 источники угроз от 4-х
объектов контроля (рис. 8, 9).
109
Рис. 8
Рис. 9
Литература
1. Anderson L. Application of the Maximum Flow Problem to
Sensor Placement on Urban Road Networks for Homeland
Security. – Homeland Security Affairs, 2007. – Vol. 1.
2. Додонов О.Г., Кузьмичов А.І. Модель “max-min” у
задачах захисту об'єктів комунікаційних мереж // Реєстрація,
зберігання і обробка даних, 2009. – Т. 11, № 4. – С. 78-88
3. Кузьмичов А.І. Оптимізаційні
методи
і
моделі:
Практикум в Excel. – К.: АМУ, 2013. – 438 с.
110
ДОСЛІДЖЕННЯ ЗАКОНОМІРНОСТЕЙ
ВІДВІДУВАННЯ РЕФЕРАТИВНОЇ БАЗИ
ДАНИХ «УКРАЇНІКА НАУКОВА»
Балагура І.В.
Інститут проблем реєстрації інформації НАН
України
В доповіді представлено аналіз реферативної бази
даних (БД) «Україніка наукова», яка є найбільшим
політематичним ресурсом в Україні і представлена до
користування на сайті Національної бібліотеки України
ім. Вернадського (НБУВ) [1]. Аналіз проведено за даними
з січня 2010 по травень 2011 року. При підрахунку
враховувалась лише кількість унікальних ip-адрес. Цей
метод
розрахунку
використовується
для
оцінки
відвідувань публікацій в мережі «Соціонет» та НБУВ
[1,2].
В результаті досліджень було показано, що середня
кількість відвідувань веб-сторінки «Україніка наукова»
складає 350-400 унікальних ip-адрес за добу. Відповідно
до отриманих даних спостерігається спад відвідування у
п’ятницю та вихідні і різке зростання у понеділок до
середини тижня. Значний вплив відіграють на загальну
статистику державні свята.
Найменша активність користувачів спостерігалась
у серпні, що пояснюється періодом відпусток. В осінній
(найбільше в листопаді) та весняний (найбільше у
березні)
періоди
спостерігається
зростання
зацікавленості
користувачів
реферативною
БД
«Україніка наукова». Загальна кількість відвідувань за
листопад 2010 року склала 16086, тобто приблизно 536
унікальних ip-адрес за добу. Аналіз звернень до
повнотекстової бази даних на сайті НБУВ також дає
максимальні точки у березні та листопаді [1].
При порівнянні даних 2010 та 2011 років
спостерігається кореляція між часовими рядами
середньої кількість відвідувань за добу. При порівнянні
даних за січень 2010 та 2011 років, спостерігається
111
значна подібність активності, враховуючи зсув днів
тижня був отриманий коефіцієнт кореляції 0,83. Дані за
квітень мають значні розбіжності, що можна пояснити
наявністю національних вихідних днів присвячених
перехідному святу «Пасха».
В результаті досліджень показано, що активність
відвідування РБ даних «Україніка наукова» має
систематичний характер та значну залежність від
особливостей стилю життя українського народу.
Запропоновано проводити профілактичні сервісні
роботи в часи зменшення активності відвідування
користувачів, а в періоди збільшення активності
забезпечувати надійну підтримку роботи.
Література
1. Національна бібліотека України ім. Вернадського
[електронний ресурс] – Режим доступу: http://nbuv.gov.ua/.
2. Онлайновая научная инфраструктура «Соционет»
[електронний ресурс] – Режим доступу: http://socionet.ru/.
112
ІНФОРМАЦІЙНА ВІЙНА – КОМПЛЕКС
ІНФОРМАЦІЙНИХ ЗАГРОЗ
Скулиш Є.Д., Довгань О.Д.
Національна академія Служби безпеки
України
Концентрованою реалізацією всього комплексу
інформаційних загроз є інформаційна війна. Вона є
узгодженою діяльністю з використання інформації як
зброї для ведення бойових дій. Головним стратегічним
національним ресурсом стає інформаційний простір,
тобто
інформація,
мережева
інфраструктура
та
інформаційні технології [1].
Інформаційна війна являє собою «мозаїку» різних
форм, а не якусь одну певну форму. Серед великого
різноманіття способів інформаційних впливів, які
реалізуються
в
інформаційно-телекомунікаційних
системах або через них, можна виділити такі:
поширення
спеціально
підібраної
інформації
(дезінформації). Цей спосіб інформаційних впливів
здійснюється у формі: розсилки e-mail (електронних
листів); організації новинних груп; створення сайтів з
елементами інтерактивної взаємодії їх відвідувачів
(чати, оп-lіnе-голосування); розміщення інформації на
приватних за змістом веб-ресурсах (блоги, соціальні
мережі), в електронних версіях періодичних видань і
мережевого мовлення (трансляції передач радіо- і
телестанцій) або в мультимедійних архівах, наприклад
Youtube; заміна інформаційного змісту веб-сайтів, що
полягає в підміні сторінок або їх окремих елементів у
результаті проникнення до ресурсів сайту з порушенням
процедур, встановлених власником сайту. Такі дії
проводяться, в основному, у формі атак для
привернення уваги до атакуючої сторони, а також так
званих семантичних атак, що полягають в проникненні
до ресурсів веб-сайту і подальшому непомітному
розміщенні на них свідомо хибної інформації;
реєстрація в пошукових системах сайтів протилежного
змісту за однаковими ключовими словами, а також
113
перенаправлення (підміна) посилань на іншу адресу, що
призводить до відкриття спеціально підготовлених
протидіючою
стороною
сторінок;
зниження
ефективності функціонування структурних елементів
ІТС, що реалізується шляхом масового розсилання на
вузли мережі електронних листів (спаму), проведенням
атаки типу «відмова в обслуговуванні», впровадженням
мережевих комп’ютерних вірусів; віддалене приховане
управління ресурсом ІТС за відсутності правомірного
доступу до нього. Форми прихованого управління
визначаються умовою активізації засобу управління: за
часом; за діями, які виконує операційна система; за
ключовими
повідомленнями;
захист
ресурсів
в
інформаційно-телекомунікаційних системах у формах
динамічного
захисту
та
захисту
від
контенту;
комп’ютерна
розвідка.
Основними
формами
комп’ютерної розвідки є сканування, інвентаризація та
розширення прав доступу до ресурсів інформаційнотелекомунікаційних системах [2].
Дослідниками у цій мозаїці виділяються: війна у
сфері
управління
військами,
розвідувальноінформаційна війна, електронна війна, психологічна
війна, хакер-війна, економічна інформаційна війна,
кібервійна [3]. Набір можливих варіантів для впливу на
об’єкт інформаційної війни
залежить від власних
можливостей нападаючої сторони, системи протидії
об’єкта та в кінцевому підсумку, стратегічних завдань
нападу.
Локальні війни й збройні конфлікти кінця XX –
початку XXI століття свідчать про те, що боротьба в
інформаційній сфері стає їх невід’ємною частиною.
Зароджується система багаторівневих спеціальних
інформаційних операцій і даний напрям
реалізації
силового тиску відкриває ще небачені раніше
перспективи.
Це в свою чергу стимулює провідні країни світу
робити помітний акцент на розвиток відповідних
технологій, удосконалення доктринальної бази ведення
інформаційно-психологічної
війни.
У
зв’язку
з
глобальними змінами у сфері інформаційних технологій
та комунікацій відбувається переформатування підходів
114
до цієї сфери. Найбільш повно організаційні та технічні
питання цього спрямування розроблено штабами армій
блоку НАТО та відображено у Польових статутах. Ці, а
також інші документи армій країн – членів НАТО мають
спільну
методологічну
платформу
ведення
інформаційно-психологічних операцій (ІПсО) у мирний і
у воєнний час. Концептуально ці погляди зведено до
таких принципів:
а) командування повинно розглядати ІПсО як
важливий самостійний інструмент впливу на особовий
склад
армій
і
населення
противника
і
несе
відповідальність за готовність відповідних підрозділів до
їх ведення;
б) ІПсО проводяться на плановій основі, з
використанням
засобів
пропаганди
та
методів
психологічного впливу разом з іншими способами
впливу на супротивника (з акціями економічного,
політичного, спеціального характеру);
в) завдання ІПсО полягають у: відповідному впливі
на населення; маскуванні планів дії своїх військ;
організації рухів опору; впливі у потрібному напрямі на
нейтральні країни; визначають його моральний стан,
психолог
може
прогнозувати
поведінку
військ
супротивника за різних обставин;
г) проведенню ІПсО повинно передувати: вивчення
ідеології супротивника, його культури, релігії, настроїв,
менталітету, сильних і слабких місць його морального
духу, а також – використання спеціальних підрозділів у
тилу супротивника для проведення акцій саботажу,
диверсій, терору та «чорної» пропаганди [4].
Як показує практика, боротьба в інформаційній
сфері стає невід’ємною частиною локальних війн й
збройних конфліктів (кінець XX – початок XXI століття).
Лише
останні
десять
років
минулого
століття
продемонстрували
цей
факт
цілим
рядом
багаторівневих спеціальних інформаційних операцій: в
умовах збройних конфліктів «Морський ангел», 1991p.;
«Буря в пустелі», 1991-1992 pp.; «Відродження нації»,
1992p.; «Грім у пустелі», 1993 p.; «Об'єднаний щит», 1995
p.; «Спільні зусилля», 1996 р.; «Лис у пустелі», 1998 p.;
«Союзницька
сила»,
1999
р.
Нове
тисячоліття
115
продовжило цей трагічний перелік, що найбільш
резонансно проявилось в «революціях» арабського світу
та на Україні.
Наряду з посиленням негативного зовнішнього
впливу на інформаційний простір України, зростанням
потенційних
і
реальних
інформаційних
загроз,
руйнівних можливостей інформаційної зброї, що
загрожує національній безпеці України недостатніми
залишаються
обсяги
вироблення
конкуренто–
спроможного національного інформаційного продукту.
Ефективна реалізація стратегічних пріоритетів та
основних принципів і завдань державної політики у
сфері інформаційної безпеки потребує вдосконалення
правових та організаційних механізмів управління
інформаційною
безпекою,
його
відповідного
інтелектуально-кадрового і ресурсного забезпечення.
Правові аспекти організації інформаційної безпеки
мають стати обов’язковим компонентом майбутніх
законів, концепцій, доктрин, стратегій і програм, в тому
числі
Закону України про кібернетичну безпеку
України, Стратегії розвитку інформаційного простору
України, Стратегії кібернетичної безпеки України, нової
редакції Доктрини інформаційної безпеки України та
ін.., а також внесення змін до деяких законів України
(«Про основи національної безпеки України», «Про
інформацію», «Про захист інформації в інформаційнокомунікаційних системам», «Про Службу безпеки
України» та ін..). Ці компоненти в сукупності мають
складати
єдине
ціле, правову основу безпекового
супроводу інформаційних процесів.
Отже,
в
процесі
вдосконалення
стратегії
національної безпеки України з урахуванням основних
тенденцій
розвитку
інформаційного
суспільства
набуває особливого значення розробка актуальних
проблем організації інформаційної безпеки держави,
необхідності прискорення розробки та впровадження
національних стандартів і технічних регламентів
застосування інформаційно-комунікаційних технологій,
гармонізованих
з
відповідними
європейськими
стандартами,
що
має
сприяти
розвитку
конструктивного співробітництва.
116
Література
1. Закон України «Про Службу зовнішньої розвідки
України» // Відомості Верховної Ради України. – 2006. – № 8. –
Ст.94.
2. Шестаков В.I.,
Чернишук С.В.
Визначення
характеристик
інформаційного
впливу
на
складові
інформаційно-телекомунікаційних
систем
в
умовах
інформаційного протиборства // Проблеми створення,
випробування, застосування та експлуатації складних
інформаційних систем. – Вип. 4. – Житомир: ЖВІ НАУ, 2011. –
С.162.
3. Демидов Б.О., Величко О.Ф., Волощук І.В. Системноконцептуальные основи деятельности в военно-техничной
сфере. Книга 2. Организационно-методические основи
деятельности в военно-технической области. – К.: 2006. –
1152с.,128 ил.
4. Смола Л.Є.
Детермінанти
політичного
процесу
сучасності: теоретико-методологічний аналіз в інформаційнопсихологічному вимірі. – К.: Видавничий дім Дмитра Бураго,
2010. – С. 351.
117
МІЖНАРОДНА ІНФОРМАЦІЙНА БЕЗПЕКА:
СУЧАСНІ КОНЦЕПЦІЇ В МІЖНАРОДНОМУ
ПРАВІ
І.М. Забара
Інститут міжнародних відносин
КНУ ім. Т. Шевченка
Постановка проблеми
Проблематика
інституту
міжнародної
інформаційної безпеки виокремилась в міжнародному
праві у дев’яностих роках ХХ сторіччя. Цьому сприяла
низка факторів, у першу чергу - різноманіття
негативних
проявів
використання
інформаційнокомунікаційних технологій. Ці нові технології виявились
здатними здійснювати негативний вплив як на
реалізацію основних прав і свобод людини, так і на
цілісність державних інфраструктур. Їх швидкий і
широкомасштабний розвиток, різноманітний вплив на
суб’єктів відносин та зростаюча залежністю світового
співтовариства
від
належного
функціонування
інформаційно-комунікаційних мереж і систем посилила
увагу до цих нових проблем як з практичної, так і
теоретичної точок зору.
Аналіз останніх досліджень і публікацій
свідчить, що серед представників доктрини значна
увага проблемам міжнародної інформаційної безпеки
була приділена в роботах А. Балера, І.Л. Бачило,
Ю.М. Батурина, Д. Біго, В.А. Василенка, А.Г. Волеводз,
М. Герке, К. Гирса, С. Гормана, М. Грокса, М. Дюмонтьє,
Н.Н. Ємельянова, А.М. Жодзішського, І.Е. Кванталіані,
Р. Кларка,
В. Кіютіна,
Р. Кнейка,
С. Комова,
С. Короткова,
А.В. Крутських,
В.Г. Машликіна,
Т. Морера, А. Новікова, С.П. Расторгуєва, Д. Робинсона,
А. Сегала,
П. Сінгера,
А.І. Смирнова,
В. Сомерса,
А. Стрельцова, В. Талімончик, А.В. Федорова, К. Форда
та інших. Серед розглянутих авторами значне місце
посіли теоретичні питання щодо окремих аспектів
міжнародно-правових проблем інституту міжнародної
118
інформаційної безпеки, питання співробітництва в
рамках регіональних міжнародних організацій. Певною
мірою були дослідженні питання ролі ООН та МСЕ у
формуванні норм інституту міжнародної інформаційної
безпеки. В той же час, одними з малодосліджених
залишаються концептуальні підходи до проблематики
міжнародної інформаційної безпеки. Ці питання
епізодично розглядалось у іноземній та вітчизняній
доктрині міжнародного права. Між тим, тема
міжнародної інформаційної безпеки виступає в якості
одного з напрямків міжнародного співробітництва, має
достатній для аналізу обсяг правового матеріалу і
викликає не тільки теоретичний, але й практичний
інтерес.
Метою статті є дослідження концепцій
розвитку
міжнародної
інформаційної
безпеки
в
міжнародному праві. Вважаємо, що вартими розгляду є
питання, пов’язані із розумінням, трактуванням,
основними
точками
зору,
керівними
ідеями
і
принципами, що формувались протягом періоду з другої
половини сімдесятих років ХХ сторіччя і до сьогодні в
доктрині міжнародного права.
Виклад основного матеріалу. Дослідження
наукових підходів, і у першу чергу правових, до
міжнародної
інформаційної
безпеки,
дозволяє
стверджувати, що протягом останніх десятиліть
склалось загальне бачення і розуміння низки важливих і
принципових питань цієї теми.
Фактично мова йде про два підходи, які лягли в
основу і дозволили визначити основні положення
сучасних концепцій. Особливістю є те, що будучи
висловленими, вони відразу лягли в основу позицій
держав, і залишаються майже незмінними до
теперішнього часу [1, с. 41], [2], [3].
Вважаємо за доцільне визначити спочатку спільні
для двох концепцій положення. Вони характеризують
однаковим усвідомленням і розумінням:
1. місця і значення інформаційних технологій, їх
взаємозв’язку в рамках інформаційного простору
(кіберпростору), ролі в реалізації загальної концепції
інформаційного суспільства;
119
2. необхідності
захисту
найважливіших
національних інфраструктур, глобальних інформаційнокомунікаційних мереж та систем, а також цілісності
накопиченої інформації;
3. складності, серйозності та чисельності загроз
для інформаційно-комунікаційних технологій (далі ІКТ), пов’язаних як з процесами природного і
антропогенного характеру, так і діяльністю людини;
4. неефективності традиційних стратегій (таких,
як заходи, що аналогічно застосовуються в процесі
контролю за озброєнням або їх стримання);
5. державних
задач,
що
постають
на
національному і міжнародному рівнях;
6. необхідності
об’єднання
зусиль
з
метою
збереження і розширення вкладу, який ІКТ вносять в
забезпечення безпеки і цілісності держав;
7. необхідності міжнародної взаємодії в питанні
розробки стратегій зменшення ризиків для ІКТ.
До цього варто додати і спільну мету: створення
глобальної культури кібербезпеки, сформульовану в
рамках Організації Об'єднаних Націй.
Разом з тим, привертають до себе увагу і
розбіжності в концепціях. Мова йде про низку положень
щодо принципів, структурних і функціональних
елементів, місця міжнародної інформаційної безпеки.
1. Загальновизнано, що міжнародна діяльність
держав повинна сприяти соціальному і економічному
розвитку і здійснюватись таким чином, щоб бути
сумісною із задачами підтримки миру та міжнародної
безпеки, відповідати загальновизнаним принципам і
нормам міжнародного права, включаючи принципи
мирного
врегулювання
спорів
та
конфліктів,
незастосування сили у міжнародних відносинах,
невтручання у внутрішні справи інших держав, поваги
до суверенітету держав, основних прав і свобод людини.
Не менш важливими, в умовах різноманітного і
широкомасштабного використання ІКТ, невизначеності
в ідентифікації джерел і суб’єктів протиправних дій, є
принципи забезпечення міжнародної інформаційної
безпеки. Так, державам пропонується враховувати в
своїй міжнародній інформаційній діяльності принцип
120
неподільності безпеки та принцип відповідальності за
власний інформаційний простір (ст.5) [3]. Принцип
неподільності безпеки означає, що безпека кожної з
держав нерозривно пов’язана із безпекою усіх інших
держав і світового співтовариства в цілому, а також те,
що держави не будуть зміцнювати свою безпеку на
шкоду безпеці інших держав. Принцип відповідальності
за
власний
інформаційний
простір
передбачає
відповідальність держави як власне за свій державний
інформаційний простір, так і за його безпеку, а також
за зміст інформації, що в ньому розміщується [Там
само].
Прихильники
різних
концепцій
займають
протилежні позиції: від їх невизнання, і до розуміння їх
важливості і актуальності. Сьогодні немає єдиної думки
щодо
принципів
забезпечення
міжнародної
інформаційної безпеки. Така різниця в поглядах
впливає і на інші питання.
2. Одним із самих дискусійних було і залишається
питання щодо структурних елементів міжнародної
інформаційної безпеки та необхідності їх міжнародноправового регулювання. Це принципове питання
постало перед доктриною міжнародного права у зв’язку
з широкомасштабним застосуванням ІКТ при скоєнні
транскордонних кримінальних правопорушень, а також
їх використанням у терористичних та військових цілях,
що виявились несумісним із задачами забезпечення
міжнародної безпеки та стабільності.
Принципові розбіжності у доктринальних поглядах
були саме і викликані відношенням сторін до потреби в
міжнародно-правовому регулюванні цих аспектів. Вони
полягають у наступному.
Прихильники першої концепції наполягають на
тому, що основу міжнародної інформаційної безпеки
складає
тільки
один
елемент
–
боротьба
із
кримінальними злочинами в сфері інформаційнокомунікаційних технологій Саме він, на думку
прихильників,
потребує
міжнародно-правового
регулювання. Вірогідним другим складовим елементом,
який має певну перспективу подальшого міжнародноправового регулювання, прихильники цього підходу
121
називають боротьбу із тероризмом в області ІКТ.
Можливість
міжнародно-правового
регулювання
використання ІКТ у військовій сфері не розглядається в
якості необхідної, оскільки вважається, що існуючих
міжнародно-правових
засобів
достатньо
для
регулювання військових конфліктів та війн.
Прихильники другої концепції базують свою
позицію
на
широкому
розумінні
проблематики
міжнародної інформаційної безпеки. В його основу
покладено
принципи
неподільності
безпеки
та
відповідальності держав за свій інформаційний простір.
Його прихильники, в свою чергу, наполягають на тому,
що
протидія
загрозам
військового
(військовополітичного), терористичного і кримінального характеру
з використанням ІКТ, повинна здійснюватись сукупно.
Відповідно, міжнародно-правове регулювання повинно
бути поширено на усі зазначені структурні елементи, і
задля досягнення цього запропоновано прийняття
міжнародної угоди на універсальному рівні.
Це
питання
щодо
структурних
елементів
міжнародної інформаційної безпеки та необхідності їх
міжнародно-правового
регулювання
залишається
дискусійним протягом 15 (!) років. Принципові
розходження продовжують зводитись до розв’язання
наступної дилеми: чи повинно міжнародно-правове
регулювання поширюватись тільки на один структурний
елемент чи на весь комплекс структурних елементів
міжнародної інформаційної безпеки?
3. Наступним спірним питанням є необхідність у
міжнародно-правовому регулюванні функціональних
елементів міжнародної інформаційної безпеки.
Справа в тім, що існують два основні напрямки
міжнародно-правового регулювання використання ІКТ:
інформаційний
(«змістовний»)
та
комунікаційний
(«технічний»). В доктрині відповідні інформаційний та
комунікаційний елементи визначаються в якості
функціональних.
У
міжнародно-правовій
проблематиці
інформаційної безпеки вони розглядаються з позицій
протидії використанню ІКТ, що спрямовані на шкоду
1) основним правам і свободам людини та 2) критично
122
важливим структурам держав. Зокрема, у випадку з
інформаційним («змістовним») напрямом – це протидія
транскордонному поширенню за допомогою ІКТ
інформації, що суперечить принципам і нормам
міжнародного
права,
розпалює
міжнаціональну,
міжрасову та міжконфесійну ворожнечу, поширює
расистські,
ксенофобські
письмові
матеріали,
зображення або будь-яку демонстрацію ідей або теорій,
що пропагують, підбурюють до ненависті, дискримінації
або насилля проти будь-якої особи або групи осіб. Крім
того, прояви можуть виражатися через використання
інформаційної
інфраструктури
для
розміщення
інформаційних ресурсів, що пропагують насильницькі
дії з метою залякування, пригнічення та нав’язування
певної лінії поведінки; поширення закликів до
повалення існуючого державного ладу та уряду в інших
державах,
проведення
екстремістських
та
терористичних актів; повідомлень про скоєні або
заплановані акти (в тому числі і в інформаційнокомунікаційних мережах) тощо [4, с. 66]. У випадку з
комунікаційним («технічним») напрямом - це протидія
використанню комунікаційних систем, процесів и
ресурсів проти комунікаційних мереж і критично
важливих структур інших держав, що заподіює шкоду
функціонуванню фінансовій, політичній, економічній та
соціальній системам.
Ці функціональні елементи (інформаційний та
комунікаційний) тісно пов’язані із структурними
елементами
(кримінальним,
терористичним
та
військовим). Фактично складається ситуація, коли
кожному із структурних елементів відповідає певне коло
різнорівневих
функціональних
елементів.
Підтвердженням цього зв’язку є положення низки
регіональних міжнародних угод, зокрема: Угоди про
співробітництво
держав-учасниць
Співдружності
Незалежних Держав у боротьбі із злочинами у сфері
комп’ютерної
інформації
від
1
червня
2001
року [5, с. 244-250], Конвенції про кіберзлочинність від
23 листопада 2001 року [6], та Додаткового протоколу
до Конвенції про кіберзлочинність, який стосується
криміналізації дій расистського та ксенофобського
123
характеру, вчинених через комп’ютерні системи від 28
січня 2003 року, що були прийняті в рамках Ради
Європи, Угоди між урядами держав-членів ШОС про
співробітництво в області забезпечення міжнародної
інформаційної безпеки від 16 червня 2009 року [7].
Розбіжності у доктринальних поглядах щодо
регулювання функціональних елементів міжнародної
інформаційної безпеки теж викликані відношенням
сторін до потреби в міжнародно-правовому регулюванні
цих аспектів. Вони зводяться до наступного.
В рамках першої концепції, у зв’язку з тим, що її
прихильники
не
розглядають
терористичний
та
військовий елементи в якості складових елементів
міжнародної інформаційної безпеки, питання про
регулювання функціональних елементів (інформаційного
та комунікаційного) не розглядається як перспективне
для міжнародно-правового регулювання. Вважається,
що існуючої Конвенції про кіберзлочинність від
23 листопада 2001 року та Додаткового протоколу до
Конвенції про кіберзлочинність, який стосується
криміналізації дій расистського та ксенофобського
характеру, вчинених через комп’ютерні системи від 28
січня 2003 року, в яких поєднані функціональні
елементи, є достатнім для міжнародно-правового
регулювання.
Друга
концепція
передбачає
можливість
регулювання функціональних елементів (інформаційного
та комунікаційного) в сукупності із структурними
елементами
(кримінальним,
терористичним
та
військовим). Прикладом реалізації такого поєднання
виступає Угода між урядами держав-членів ШОС про
співробітництво в області забезпечення міжнародної
інформаційної безпеки від 16 червня 2009 року, у якій
знайшли відображення відповідні положення цієї
концепції.
4. Наступне
питання
пов’язано
із
місцем
міжнародної
інформаційної
безпеки
в
системі
міжнародної
безпеки.
Йдеться
про
визнання
міжнародної інформаційної безпеки в якості складової в
системі міжнародної безпеки.
124
Питання
здебільшого
має
теоретичну
спрямованість і на початковому етапі було пов’язано із
запропонованою у восьмидесяті роки ХХ сторіччя
концепцією всеосяжної системи міжнародної безпеки.
Незважаючи на те, що концепція створення всеосяжної
системи міжнародної безпеки представляла собою
політичну
концепцію
досягнення
безпеки
усією
міждержавною системою [8, с.15], в правовій доктрині її
пов’язували з міжнародним правом [9, с. 5], [10, с. 9-12],
[11, с. 14].
Висловлювались
думки,
що
розвиток
інституту міжнародної інформаційної безпеки повинен
проходити в рамках моделі всеосяжної системи
міжнародного миру і безпеки [12, с. 270-271]. 4 грудня
1986 року на 41 сесії ГА ООН була схвалена резолюція
41/92 «Про створення всеосяжної системи міжнародного
миру і безпеки»; її положення отримали подальший
розвиток в резолюції ГА ООН «Всеосяжної система
міжнародного миру і безпеки», прийнятої 7 грудня 1987
року на 42 сесії ГА ООН. Першим кроком в просуванні
ідеї міжнародної інформаційної безпеки стала винесена
у листопаді 1987 року на обговорення 42 сесії ГА ООН
пропозиція про створення Всесвітньої інформаційної
програми в рамках всеосяжної системи міжнародного
миру і безпеки. В комплексі з іншими сферами цієї
всеосяжної системи, інформаційна безпека, повинна
була зайняти особливе місце в ієрархії сфер безпеки і
сприяти розв’язанню проблем людства.
На сьогодні проблема міжнародної інформаційної
безпеки відокремлена в самостійну наукову проблему, і,
як вважають окремі фахівці, «має соціологічні,
економічні та правові аспекти» [13, с. 225].
Погляди представників доктрини на правові
аспекти міжнародної інформаційної безпеки різняться.
Прихильники першої концепції не вбачають
потреби у побудові складної ієрархічної і розгалуженої
системи міжнародної безпеки, де окреме місце було б
визначено міжнародній інформаційній безпеці.
Прихильники
другої
концепції
розглядають
міжнародну інформаційну безпеку в якості одного з
ключових аспектів системи міжнародної безпеки
125
(п. 3 преамбули) [3], що безумовно потребує міжнародноправового регулювання.
Варто відмітити, що викладені положення не
розглядаються в якості усталених. Причиною цього є те,
що низка держав світу продовжує розробки як
інформаційної
зброї,
так
і
концепцій
ведення
мережевих та інформаційних війн. В той же час
привертає увагу і той факт, що пошуки прийнятного
для усіх сторін варіанта врегулювання проблеми
міжнародної інформаційної безпеки продовжується.
Координуюча роль належить ООН, діяльність якої
зосереджена на питаннях пов’язаних із (1) боротьбою із
злочинним використанням інформаційних технологій
(Резолюції
ГА ООН
«Боротьба
із
злочинним
використанням інформаційних технологій» №55/63 від
4 грудня 2000 року, №56/121 від 19 грудня 2001 року),
(2) міжнародною інформаційною безпекою (Резолюції ГА
ООН «Досягнення в сфері інформації та комунікації в
контексті міжнародної безпеки» №53/70 від 4 грудня
1998 року, №54/49 від 1 грудня 1999 року, №55/28 від
20 листопада 2000 року, №56/19 від 29 листопада 2001
року, №57/53 від 22 листопада 2002 року, №58/32 від 8
грудня 2003 року, №59/61 від 3 грудня 2004 року,
№60/45 від 8 грудня 2005 року, №61/54 від 6 грудня
2006 року, №62/17 від 5 грудня 2007 року, №63/37 від 2
грудня 2008 року, №64/25 від 2 грудня 2009 року,
№65/41 від 8 грудня 2010 року, №66/24 від 13 грудня
2011 року, №67/27 від 3 грудня 2012), (3) створенням
глобальної
культури
кібербезпеки
і
захистом
найважливіших інформаційних структур (Резолюції
ГА ООН «Створення глобальної культури кібербезпеки і
захист
найважливіших
інформаційних
структур»№57/239 від 20 грудня 2002 року, №58/199
від 23 грудня 2003 року, №64/211 від 21 грудня
2009 року).
Продовжує діяльність Група урядових експертів
ООН (2004-2005 рр., 2009-2010 рр. та 2010-2013 рр.),
створена з метою дослідження існуючих та потенційних
загроз в сфері міжнародної інформаційної безпеки і
можливих спільних заходів з їх усунення.
126
Значне коло питань з проблематики міжнародної
інформаційної
безпеки,
входить
до
компетенції
Міжнародного союзу електрозв’язку.
Висновки
Таким чином, розглянувши питання, пов’язані із
концептуальними положеннями розвитку міжнародної
інформаційної безпеки в міжнародному праві, можна
зазначити наступне:
- в доктрині міжнародного права склалось дві
концепції
міжнародно-правового
регулювання
інформаційної безпеки;
- концепції мають однакове розуміння місця, ролі і
значення інформаційно-комунікаційних технологій у
забезпеченні захисту найважливіших національних
інфраструктур,
глобальних
інформаційнокомунікаційних мереж та систем, збереженні інформації
і реалізації концепції інформаційного суспільства;
- концепції мають принципові розходження в
питаннях щодо принципів забезпечення, структурних і
функціональних
елементів,
місця
міжнародної
інформаційної безпеки в системі міжнародної безпеки;
- важливу координуючу роль у розробці спільної
концепції міжнародної інформаційної безпеки відіграє
ООН.
Література
1. Крутских А.В.,
Федоров А.В.
О
международной
информационной безопасности / А.В. Крутских, А.В. Федоров
// Международная жизнь. – 2000, – №2. – С.37-47.
2. Достижения
в
сфере
информатизации
и
телекоммуникаций в контексте международной безопасности.
Доклад Группы правительственных экспертов по достижениям
в сфере информатизации и телекоммуникаций в контексте
международной безопасности. ООН, Нью-Йорк, 2012. –
Режим доступу:
http://disarmament.un.org/DDApublications/index.html.
3. Конвенция
об
обеспечении
международной
информационной безопасности (концепция) – Режим доступу:
http://www.mid.ru/bdomp/ns-osndoc.nsf/e2f289bea
6297f9c325787a0034c255/542df9e13d28e06ec3257925003542c
4!OpenDocument.
127
4. Забара І.М. Міжнародна
інформаційна
безпека
в
міжнародному праві: до питання визначення / І.М. Забара //
Український часопис міжнародного права. – 2012, - №4. – С.
63-69.
5. Соглашение о сотрудничестве государств-участников
Содружества
Независимых
Государств
в
борьбе
с
преступлениями в сфере компьютерной информации от 1
июня 2001 года // Московский журнал международного
права. 2008. №4 (72). С. 244-250.
6. Конвенції про кіберзлочинність від 23 листопада 2001
року
–
Режим доступу:
http://zakon2.rada.gov.ua/laws/show/994_575.
7. Соглашение между правительствами государств-членов
ШОС о сотрудничестве в области обеспечения международной
информационной безопасности от 16 июня 2009 года –
Режим доступу:
http://base.spinform.ru/show_doc.fwx?rgn=28340.
8. Тункин Г.И.
Создание
всеобъемлющей
системы
международной безопасности и международное право /
Г.И. Тункин // Советский ежегодник международного права.
1986. М.: Изд-во «Наука», 1987. С. 11-29.
9. Рыбаков Ю.М. Правовые аспекты обеспечения ВСМБ и
развитие международного сотрудничества / Ю.М. Рыбаков //
Всеобъемлющая система международной безопасности и
международное право / Под. ред. В.С. Верещетина,
М.М. Славина, Р.А. Тузмухамедова. М.: Институт государства и
права АН СССР, 1987. - 124 с.
10. Мюллерсон Р.А. Роль и возможности международного
права в создании ВСМБ / Р.А. Мюллерсон // Всеобъемлющая
система международной безопасности и международное право
/
Под.
ред.
В.С. Верещетина,
М.М. Славина,
Р.А. Тузмухамедова. М.: Институт государства и права АН
СССР, 1987. - 124 с.
11. Ушаков Н.А. ВСМБ и прогрессивное развитие
международного права / Н.А. Ушаков // Всеобъемлющая
система международной безопасности и международное право
/
Под.
ред.
В.С. Верещетина,
М.М. Славина,
Р.А. Тузмухамедова. М.: Институт государства и права АН
СССР, 1987. – 124 с.
12. Василенко В.А. Основы
теории
международного
права. – К.: Вища шк. Головное изд-во, 1988. – 288 с.
13. Талимончик В.П.
Международно-правовое
регулирование отношений информационного обмена. – Спб.:
Издательство «Юридический центр-Пресс», 2011. – 382 с.
128
СКРЫТЫЕ СВЯЗИ В СОЦИАЛЬНЫХ СЕТЯХ
Зоринец Д.И.1, Ландэ Д.В.2, Снарский А.А.1,2
1НТУУ «КПИ»,
2ИПРИ НАН Украины
В последнее время все большую популярность
получает область дискретной математики, называемая
теорией сложных сетей (complex networks), изучающая
характеристики сетей, учитывая не только их
топологию,
но
и
статистические
феномены,
распределение весов отдельных узлов и ребер, эффекты
протекания и проводимости в таких сетях тока,
жидкости, информации и т.д. Оказалось, что свойства
многих реальных сетей существенно отличаются от
свойств классических случайных графов [1-3].
Несмотря на то, что в теории сложных сетей
рассматривают
и
изучают
различные
сети
–
электрические,
транспортные,
информационные,
наибольший вклад в
развитие этой теории внесли
исследования социальных сетей. Термин «социальная
сеть» обозначает совокупность социальных объектов,
которые можно рассматривать как сеть (или граф), узлы
которой - объекты, а связи - социальные отношения.
В теории сложных сетей выделяют три основных
направления:
исследование статистических свойств,
которые характеризуют поведение сетей; создание
модели сетей; предсказание поведения сетей при
изменении структурных свойств. В прикладных
исследованиях обычно применяют такие, типичные для
сетевого анализа характеристики, как размер сети,
сетевая плотность, степень центральности и т.п.
При анализе сложных сетей, как и в теории
графов, исследуются параметры отдельных узлов;
параметры сети в целом; сетевые подструктуры.
Существует множество параметров сети, дающих
различные ее характеристики, например, входная
степень узла - количество ребер графа, которые входят в
узел; выходная степень узла - количество ребер графа,
которые выходят из узла; расстояние от данного узла до
129
каждого из других; среднее расстояние от данного узла
до
других;
эксцентричность
(наибольшее
из
геодезических расстояний от данного узла к другим;
посредничество (показывающее, сколько кратчайших
путей проходит через данный узел); центральность
(общее количество связей данного узла по отношению к
другим) и много других [1-3].
Здесь
нас
будет
интересовать
такие
характеристики,
которые
бы
характеризовали,
насколько два заданных узла связаны друг с другом.
Таких характеристик может быть множество, например,
такая характеристика, как кратчайший путь (число
связей), по которому можно пройти от одного узла к
другому. Однако такая характеристика не учитывает
общее число и длину путей, связывающих два таких
узла. Учет таких данных и некоторых других можно
воспользоваться т.н. резистивным расстоянием - RD
(resistance distance) [3], которое представляет собой
сопротивление между двумя узлами. При этом
предполагается,
что
сеть
представляет
собой
электрическую сеть, каждая связь которой имеет
единичное
сопротивление.
Такой
характеристике
посвящен ряд публикаций (см. литерутуру в [3,4]).
Существует несколько способов вычисления матрицы
элементы
которой
представляют
собой
RD ,
сопротивления между соответствующими узлами сети,
например, использование псевдообратной матрицы
Мура-Пенроуза
или
используя
спектр
матрицы
смежности.
Введем теперь определение скрытых связей HL
(Hidden Links). Такой термин уже известен и
употребляется в разных смыслах, см. например, [5].
Здесь мы следуя [6] рассмотрим пары несвязанных
узлов, RD которых меньше некоторого наперед
заданного значения – RDc . Будем считать, что такие
пары узлов связаны скрытыми связями.
В простейшем случае все связи имеют единичный
вес, однако можно рассматривать и обобщённое
понятие HL, когда связи имеют вес, так что
130
приписываемое
сопротивление
связи
обратно
пропорционально весу.
Для примера, на рис. 1 приведены скрытые связи
для простого графа для двух случаев RDc
1а
1б
1в
Рис.1 Скрытые связи для простого графа:
а – исходный граф, б, в – скрытые вязи для
различных уровней RD / RDc
Рассмотрим теперь применение понятия скрытых
связей для анализа социальных сетей. Пусть мы имеем
некоторую сеть, узлами которой являются люди
(персоны), а ребрами - некоторые отношения между
ними (как такие отношения, можно рассматривать
общие интересы, упоминаемость в одних и тех же
документах, и т.п.). При этом каждый из узлов связан с
некоторым количеством других узлов этой сети.
Актуальной является задача исследования такой сети выяснение, какие узлы в ней играет ведущую роль и,
главное, на сколько эти главные узлы «хорошо связаны»,
между
собой.
Формальной
характеристикой
качественного понятия «хорошо связаны» и может быть
такая
характеристика
как
скрытая
связь.
Представляется логичны, что два узла (например
человека в социальной сети), не имея прямой связи,
связаны друг с другом достаточно сильно, если они
имею много путей соединяющих их опосредованно,
через других людей. Также, вполне вероятно (много
опосредованных связей и отсутствие прямой), что
прямая связь при этом ими намерено скрыты. Именно
131
поэтому, такие связи естественно называть скрытыми
связями.
На рис.2 приведена реальная сеть (совместных
упоминаний политических персон) и указаны скрытые
связи.
Рис. 2 Срытые связи для реальной сети
Литература
1. S. N. Dorogovtsev; J. F. F. Mendes, Advances in Physics,
51, 1079 (2002).
2. M. E. J. Newman, Networks: an Introduction (Oxford
University Press, Computers, 2010. – 720 pages).
3. E.Estrada, The Sructure of Conplex Netwirks (Oxford
University Press, 2011. – 466 pages).
4. R. B. Bapat. Graphs and Matrices (Springer, jointly
published with Hindustan Book Agency (HBA), New Delhi, India
1st Edition., 2010, 171 p).
5. A. Clauset, C. Moore, and M. E. J. Newman, Nature 453,
98 (2008).
6. M.I. Zhenirovskyy, D.V. Lande, A.A. Snarskii, Detection
Implicit Links and G-betweenness, arXiv:1008.4073 [condmat.dis-nn]
132
ОЦІНКА ВЛАСТИВОСТЕЙ
ТЕРОРИСТИЧНИХ МЕРЕЖ
ВІДНОВЛЕННЯ
Нечаєв О.О.
ІСЗЗІ НТУУ «КПІ»
На даний час, перед правоохоронними органами
України
стоїть
завдання
ефективної
протидії
незаконним військовим угрупуванням на Сході країни.
Пряме протистояння може нанести значні втрати
мирного населення. Відповідно, необхідно застосовувати
новітні механізми виявлення членів терористичних
груп, а також осіб, які надають їм сприяння;
ефективного
деструктивного
впливу
на
такі
угрупування з мінімізацією втрат.
У вказаному контексті, терористичне угрупування
можливо представити як мережу осіб, які зв’язані
певними контактами між собою. Аналізом, у т.ч.
моделюванням ефективних атак на великі системи
зв’язаних вузлів займається відносно новий науковий
напрям, що має назву теорія складних мереж. Вперше о
2002 році американським науковцем Валдісом Кребсом
було застосовано зазначений напрям для виявлення
вразливостей Аль-Каїди [1]. Дана робота спричинила
розвиток та застосування даної теорії в діяльності
правоохоронних органів та спецслужб розвинутих країн
світу. Природно, що розробки у цьому напрямку не
висвітлюються у відкритих джерелах.
Поміж тим, відкрито теорія складних мереж
застосовується у соціології, хімії, фізиці тощо. Хоча
мережі
різної
природи
мають
специфічні
характеристики, були знайдені спільні статистичні дані,
які об’єднують майже всі складні мережі та можуть бути
застосовані у протидії також і злочинним угрупуванням.
На основі даних щодо виявлених контактів між
окремими достовірно відомими особами, причетними до
терористичного угрупування, можливо побудувати
мережу або граф, в якому вузлами будуть виступати
окреслені особи, а ребрами зв’язки між ними.
133
Відомо, що терористичні організації відрізняються
від звичайних організованих злочинних угрупувань
чітко вираженою військовою ієрархією. Важливою
задачею є з’ясування ролі кожного вузла в мережі, а
саме тих осіб, які виконують роль керівників того чи
іншого ступеня.
Поміж тим, зі світової практики відомо, що члени
терористичних угрупувань намагаються приховувати
контакти один з одним, для уникнення ідентифікації їх
правоохоронними органами.
З викладеного слідує, що для ідентифікації
структурної ієрархії та ролі кожного вузла в
терористичній мережі необхідно застосувати метод,
який дозволить побудувати мережу стійких зв’язків між
членами терористичної групи, навіть тих, які вони
приховують.
Метод математичного розрахунку виявлення
латентних або нечітких зв’язків
Уявимо мережу в якій всі існуючі зв’язки
представлені ймовірностями їх існування та можуть
бути знайдені за певними змістовними ознаками, або
отриманими експертним шляхом. В цьому випадку
мережа може бути представлена у вигляді так званої
«матриці неявних зв’язків», елементами якої є
ймовірностями зв’язків між об’єктами.
Основа методу, що розглядається, – обчислення
ймовірностей
не
тільки
між
двома
вузлами
безпосередньо, але й урахування ймовірностей зв’язку
через треті, четверті і т. д. вузли. Розглянемо для
пояснення методу найбільш простий випадок, мережу,
що складається з трьох вузлів – V1 , V2 , V3 . Проста
формула розрахунку ймовірності зв’язку між об’єктами
при наявності певних ймовірностей їх непрямого
з’єднання p1,2 , p1,3 , p2,3 :
1
p1,2
= 1 − (1 − p1,2 )(1 − p1,3 p2,3 ).
(1)
134
У загальному випадку якщо шляхи між вузлами i
та j можливі через декілька вузлів, то загальна формула
ймовірності зв’язку між ними буде мати такий вигляд:
pi1, j = 1 − (1 − pi , j ) ∏ (1 − pi , k pk , j )
k ≠i, j
∏
k ≠i ≠l ≠ j
(1 − pi , k pk ,l pl , j )...
(2)
В результаті можливо знайти матрицю нечітких
зв’язків, яка враховую всі шляхи від одного вузла до
іншого із певною заданою довжиною цього шляху, де
вірогідність з’єднання може коливатись від нуля до
одиниці.
Побудувавши мережу з високоймовірносними
зв’язками між вузлами можливо виявити роль та місце
кожної особи в ієрархічній соціальній структурі.
Як правило, у критичний момент, коли мережа
може втратити зв’язність, вони використовує всі свої
приховані ресурси для відновлення її нормального
функціонування.
З урахуванням викладеного, необхідно вказати, що
зазначений метод можливо використовувати для
модулювання динаміки відновлення мережі під час
проведення атак на окремі її вузли.
У вказаному контексті пропонується метод
математичної оцінки загальної здатності мережі до
відновлення.
Здатність мережі до відновлення
Щоб дати оцінку здатності мережі до відновлення,
слід виділити два основних метода, кожен з яких
спирається на аналіз окремих ймовірностей кожного
зв’язку системи:
1)
видалення
зв’язку
та
розрахунок
вірогідності його відновлення;
2)
видалення
вузла,
та
розрахунок
ймовірності окремої зв’язності між собою всіх вузлів,
між якими був посередником цей вузол (але які не
мають іншого безпосереднього зв’язку).
Видалення вузла є досить грубим впливом на
мережу. Говорячи про діяльність правоохоронних
органів, це може затриманням окремої особи, для чого
необхідно попередньо здобути всю доказову базу, або, у
135
випадку
радикальних
терористичних
угрупувань
можлива фізична ліквідація особи. Така дія може
вплинути
на
тимчасове
припинення
діяльності
злочинного угрупування або застосування більш дієвих
заходів конспірації.
Під видаленням зв’язку у такій мережі розуміється
певний інформаційний вплив на окремий вузол або
пару, в результаті якого їхній зв'язок практично
руйнується. У наведеному сенсі видалення зв’язку
можливо реалізувати навіть без розшифровки роботи
правоохоронного органу по виявленому угрупуванню, у
той час завдаючи необхідний вплив на структуру
системи.
Отже, аналіз мережі на предмет її здатності до
відновлення
будемо
розглядати
як
сукупність
ймовірностей відновлення кожного окремого наявного у
мережі зв’язку.
З метою визначення адекватної оцінки здатності
мережі до відновлення власних зв’язків пропонується
наступний алгоритм:
1. Видалення і-го зв'язку між вузлами.
2. За формулою (2) обчислювалася вірогідність і-го
зв’язку через другі і треті вузли.
3. Зберігання даних щодо ймовірності відновлення
розглянутого зв’язку та циклічний перехід до першого
кроку, доки не будуть пройдені всі зв’язки.
Відновлення мереж реальних та штучних
Для порівняння відновлювальних властивостей
реальних і штучних мереж було побудовано моделі за
методом Барабаши–Альберт, перекидання зв’язків, а
також побудовано мережу на основі реальних даних,
екстрагованих з новинних веб-ресурсів.
Мережа Барабаші-Альберт
Згідно з методом, розробленим Ласло Барабашем і
Рекою
Альберт,
мережа
у
початковий
момент
розглядається з кількістю вузлів m0 із зв’язками між
ними [6]. Починаючи з невеликої кількості вузлів, на
кожному часовому кроці додається один новий вузол із
136
зв’язками, які з’єднують цей новий вузол з різними
вузлами, що вже існували m ( m < m0 );
Коли обираються вузли, до яких приєднується
новий вузол, передбачається, що ймовірність Π , з якою
новий вузол буде з’єднуватися з вже існуючим вузлом i,
залежить від кількості зв’язків qi , якими цей вузол
зв’язаний з іншими вузлами, так що Π (qi ) = qi
∑q
j
.
j
Модель перекидання зв’язків
Принцип побудови моделі мережі методом
перекидання відноситься до мережі з фіксованою
кількістю вузлів і полягає у наступному:
Якщо розподіл випадкової величини pk задано, то
процедура
формування
безмасштабної
мережі
зводиться до наступних операцій [7]:
1.
Генератором
псевдовипадкових
чисел
формується
послідовність
чисел,
яка
відповідає
степеневому розподілу. Обирається N чисел ki , де
i = 1,..., N .
2. Кожній вершині i мережі присвоюється ki
«заготовок» (кінців) для майбутніх ребер.
3.
Із
степеневої
послідовності
випадково
виділяються пари «заготовок». Вони з’єднуються в тому
випадку, якщо нове ребро не призведе до появи реберциклів (петель) або мультиребер.
4. Попередній крок виконується доти, поки
залишаються «заготовки», що не використані.
Перевагою
даного
алгоритму
є
його
універсальність, так як з його допомогою можливо
побудувати мережі з будь-яким розподілом степенів
вузлів.
Мережа персон з новинного контенту мережі
Інтернет
Мережа прізвищ персон сформована на базі
змістовного аналізу масиву електронних публікацій, які
було
отримано
системою
контент-моніторингу
Infostream [8]. Ребра мережі було обрано наступним
137
чином: якщо у веб-публікації в одному реченні
з’являлося два прізвища (вузла), то вважалося що ці
персони зв’язані інформаційним зв’язком, тобто до ваги
ребра між ними додавалася одиниця.
Схожість властивостей отриманих мереж
Так, для дослідження були використані три
мережі: реальна мережа персон і моделі, побудовані у
відповідності з методами: із заданим степеневим
розподілом та Барабаші-Альберт. Кількість вузлів для
всіх мереж однакова, дорівнює 500. На рис. 1 показані
логарифмічні графіки розподілу ступенів вузлів кожної з
побудованих мереж.
Рис. 1 Розподіл степенів мереж, що досліджуються
Видно, що розподіли досить подібні, отже можливо
провести порівняльний аналіз на предмет відновлення
зв’язків та зробити висновок щодо доцільності
використання розглянутих моделей при моделюванні
відновлювальних процесів.
Побудова мережі нечітких ймовірнісних
зв’язків
Для кожної із розглянутих мереж за описаним
вище алгоритмом були побудовані лінії ймовірнісного
відновлення існуючих зв’язків.
138
Рис. 2 Ймовірності відновлення зв’язків різних
мереж
На рис. 2 показані три лінії, що відображають
аналіз одного з видів розглянутих мереж. Значення
кожної з ліній – це сукупність ймовірностей відновлення
кожного зв’язку, відсортована в порядку зростання.
Доля відновлювальних зв’язків у представлених мережах
відрізняється. Якщо у реальній мережі відновлюється
близько 50% зв’язків, то у штучних мережах їх число
близько 25%.
Загальну стійкість мережі до атак можливо
розглядати як середнє арифметичне від ймовірностей
відновлення кожного окремого зв’язку мережі, тобто:
V = ∑ i =1
n
pi
(3)
n
де pi – ймовірність відновлення і-го зв’язку, n –
загальна кількість зв’язків.
Звідси підставивши формулу (2) у, отримаємо
загальну формулу розрахунку сукупності ймовірностей
відновлюваності мережі:


(1 − pi , k pk , j ) ∏ (1 − pi , k pk ,l pl , j ).. 
∑ 1 − (1 − pi, j )k∏
≠i , j
k ≠i≠l ≠ j


(4)
V=
n
139
Представлений метод дозволяє:
оцінювати ймовірність відновлення окремого
вузла у мережі;
• виявляти нечітких або латентні зв’язків;
• оцінювати загальні властивості мережі щодо
відновлення власних зв’язків.
В результаті роботи наведеного методу можливо
будувати схему нечітких високоймовірносних зв’язків у
мережі. що дає можливість визначення ієрархії та ролі
кожного вузла у мережі, а також надасть допомогу у
плануванні ефективних атак на мережу з урахуванням з
урахуванням її здатності до відновлення.
•
Література
1. Krebs V.E. Uncloaking terrorist networks // First Monday,
№ 4 – 2002. – С.1-16.
2. Newman M.E.J. The structure and function of complex
networks // SIAM Review, 2003. – 45. – Р. 167-256.
3. Clauset A., Moore C., Newman M. E. G. Hierarchical
structure and the prediction of missing links in networks //
Nature. – 2000. – № 453. – P. 98–101.
4. Додонов О.Г., Ланде Д.В. Імовірнісна модель виявлення
латентних зв'язків у мережах понять// Реєстрація, зберігання
і обробка даних, 2011. – № 2, – 13. – С. 38-46.
5. Додонов А.Г., Ландэ Д.В. Факторы сетевой мобилизации
// Материалы XII Международной научно-практической
конференции «Информационная безопасность». – Ч. 1. –
Таганрог: Изд-во ТТИ ЮФИ, 2012. – С. 19-27.
6. Albert R., Barabasi A.-L. Statistical mechanics of complex
networks, 2002.– Rev. Mod. Phys. – 74. – P. 47; Preprint Arxiv:
cond-mat/0106096.
7. Ландэ Д.В. Моделирование контентных сетей //
Проблеми інформатизації та управління: Збірник наукових
праць: Випуск 1(37). – К.: НАУ, 2012. – С. 78-84.
8. Григорьев А.Н.,
Ландэ Д.В.,
Бороденков С.А.,
Мазуркевич Р.В.,
Пацьора В.Н.
InfoStream.
Мониторинг
новостей из Интернет: технология, система, сервис: научнометодическое пособие. – Киев: Старт-98, 2007. – 40 с.
140
ІНФОРМАЦІЙНА БЕЗПЕКА У СФЕРІ
ОБОРОНИ ЯК СКЛАДОВА ВОЄННОЇ
БЕЗПЕКИ УКРАЇНИ
Косогов О.М.
Міністерство оборони України
На сьогодні інформаційна боротьба стає однією з
важливих, а не рідко й основних форм вирішення
суперечностей між державами, і в цій боротьбі шляхом
проведення
інформаційних
операцій
досягаються
стратегічні цілі [1–4].
В
умовах
перманентного
інформаційного
протиборства у світі стрімко зростає рівень та значно
розширюється спектр інформаційних загроз. Така
ситуація становить серйозну небезпеку національній і
міжнародній
безпеці
та
призводить
до
важкопрогнозованих
і
часом
непередбачуваних
наслідків у воєнно-політичній, економічній, військовотехнічній, екологічній та інформаційній сферах.
Не залишається осторонь світових тенденцій і
Україна, яка, з огляду на своє геополітичне положення,
існуючу навколо неї воєнно-політичну обстановку та
наявність
досить
розвинутої
інформаційної
інфраструктури, перебуває під потужним іноземним
інформаційним
впливом.
Маючи
системний
і
цілеспрямований характер, у підсумку зовнішній
негативний інформаційний вплив призводить до появи
загроз національній безпеці України в інформаційній
сфері, які завдають державі відчутних збитків.
Особливо це стосується виконання завдань оборони
країни,
оскільки
ця
діяльність
безпосередньо
спрямована на захист національних інтересів держави
від зовнішніх загроз і пов’язана з підготовкою та
веденням війни з можливим агресором.
Безпосередньо
у
військовій
справі
рівень
інформаційного
потенціалу
все
більшою
мірою
обумовлює оперативність прийняття рішень, структуру і
141
якість озброєнь, оцінку рівня їх достатності, дієвість
пропаганди, ефективність дій союзників і власних
збройних сил і, в підсумку, результат збройного
протистояння.
Значущість інформаційної безпеки як складової
воєнної безпеки України пояснюється залежністю
реалізації найбільш важливих інтересів України у
воєнній сфері від інформаційних загроз. З аналізу
найбільш небезпечних загроз важливим національним
інтересам України у воєнній сфері випливає, що
реалізаційною основою більшості цих загроз є
інформаційна [5].
З-поміж інших загроз стабілізації воєнно-політичної
обстановки та недопущення збройних конфліктів в
Центральній Європі розглядаються такі:
• висунення
територіальних
претензій
до
України;
• втручання у внутрішні справи України;
• нестабільність воєнно-політичної обстановки
навколо України;
• активізація
сепаратистських
сил
і
підтримання їх ззовні; заяви та акції, що
дискредитують
внутрішню
і
зовнішню
політику України;
• войовничість політичного керівництва сусідніх
країн;
• загострення міжетнічних і міжконфесійних
суперечностей;
• нестабільність
соціально-політичної
обстановки в суміжних з Україною країн.
Не виникає сумніву в тому, що всі ці загрози тією
чи іншою мірою реалізуються на інформаційному рівні,
причому їх інформаційна складова досить вагома.
Крім того, за оцінками вітчизняних експертів з
проблем інформаційної безпеки [5], що сформовані на
основі аналізу іноземного впливу на інформаційний
медіа – і кіберпростір України, існують ознаки реальних
загроз для нашої держави. Про це свідчать такі основні
тенденції:
142
•
цілеспрямоване
формування
окремими
іноземними
державами
негативного
міжнародного іміджу України;
• активізація критики вищого державного
керівництва України;
• здійснення рядом зарубіжних країн потужного
інформаційного тиску на Україну з метою
спонукання українського керівництва до
прийняття вигідних для цих країн рішень у
внутрішньо- та зовнішньополітичній сферах;
• посилення
інформаційних
заходів
з
перешкоджання
реалізації
Україною
її
зовнішньополітичного курсу та спонукання її
до участі в проектах, які в сучасних умовах не
вигідні нашій державі;
• дискредитація нашої держави як конкурента у
сфері
міжнародного
військово-технічного
співробітництва;
• зростання для України загроз кібернетичних
атак, що обумовлено появою нових, більш
досконалих зразків кібернетичної зброї.
Однією
з
істотних
загроз
підтримуванню
боєздатності формувань Воєнної організації є втрата
престижності воєнної служби і зниження моральнопсихологічного рівня особового складу. Ця загроза має
інформаційний характер.
Такі загрози розвитку вітчизняної воєнної науки, як
зниження вимог до неї, послаблення уваги до розвитку
сучасного
воєнного
мистецтва,
відставання
в
розробленні
критичних
технологій
і
технологій
подвійного призначення та послаблення контролю за
системою підготовки наукових кадрів мають суто
інформаційний характер.
Слід зазначити, що йдеться не про абсолютизацію
інформаційних факторів у реалізації наведених загроз, а
про те, що вони, поряд з економічними, політичними,
соціальними та іншими факторами, є домінуючими.
Тому
ефективність
своєчасного
виявлення
та
нейтралізації розглянутих загроз національній безпеці у
воєнній сфері істотно залежить від виваженості й
143
активності заходів щодо забезпечення воєнної безпеки
на інформаційному рівні.
Література
1. Горбулін В.П. Проблеми захисту інформаційного
простору України: монографія / В.П. Горбулін., М.М. Биченок.
– К.: Інтертехнологія, 2009. – 136 с.
2. Толубко В.Б. Складові інформаційної боротьби /
В.Б. Толубко, А.О. Рось // Наука і оборона. – 2002. – № 2. – С.
23–28.
3. Богуш В.М. Інформаційна безпека держави /
В.М. Богуш, О.К. Юдін. — К.: «МК-Прес», 2005. — 432 с.
4. Галушко С.О.
Протиборство
в
інформаційному
просторі //Оборонний вісник. – 2011. – № 11. – С.16-19.
5. Ю.І. Радковець, О.В. Левченко, Косогов О.М. Погляди
на створення системи інформаційної безпеки України та її
Збройних Сил // Наука і оборона. – 2014. – № 1. – С. 38–41.
144
ПІДХОДИ ДО ВИЗНАЧЕННЯ КОМПЕТЕНЦІЇ
ФАХІВЦІВ ЩОДО ІНФОРМАЦІЙНОЇ
БЕЗПЕКИ В КОРПОРАТИВНОМУ
МЕРЕЖЕВОМУ СЕРЕДОВИЩІ
Додонов О.Є.
ІПРІ НАН України
Постановка проблеми. Проблеми забезпечення
безпеки підприємств, пошук інноваційних підходів
щодо її здійснення, розробка технік та технологій для
діяльності суб’єктів безпеки, визначення специфічних
методів її забезпечення є завжди актуальними і
потребують
науково-теоретичного
осмислення
та
обґрунтування. Вирішення цієї проблеми потребує
об’єднання зусиль фахівців різних наукових галузей
знань: юристів, психологів, програмістів – фахівців з
інформаційної безпеки тощо.
Забезпечення інформаційної безпеки суб’єктів
господарювання
на
системному
рівні
вимагає
вирішення не тільки питань пов’язаних з організацією
цієї системи, а й утворення оптимальної структури
управління. Розглядаючи процеси організації та
управління
системою
інформаційної
безпеки
підприємств як підсистему загального управління
організацією, ми повинні розуміти, що вона має свої
специфічні особливості, які пов’язані з специфікою
діяльності суб’єктів по забезпеченню безпеки суб’єкта
господарської діяльності.
Організація управління системою інформаційної
безпеки, виходячи з специфіки діяльності суб’єктів її
забезпечення, потребує пошуку нових інноваційних
підходів, адаптування існуючих концепцій та теорій
управління.
Управління системою інформаційної безпеки
підприємства – це об’єктивно зумовлена послідовність
управлінських дій з забезпечення інформаційної
безпеки підприємства [1, с. 130-143]. До основних його
елементів
слід
віднести:
визначення
потреб
у
145
забезпеченні безпеки, сили та засоби забезпечення
безпеки, а також організаційно-господарський механізм
забезпечення функціонування підприємства та його
безпеки, формулювання цілей та задач забезпечення
безпеки [2, с. 55-59].
Метою
статті
є
визначення
необхідності
адаптування та використання сучасних концепцій
управління в організації та управлінні системою
інформаційної безпеки підприємств відповідно до
специфічних умов забезпечення безпеки.
Виклад основного матеріалу дослідження.
Організаційно-діяльнісна
психологічна
концепція
управління була розроблена у 1980-1982рр. професором
О.М. Столяренко з метою використання її в системі
управління правоохоронними органами, як суб’єктами
забезпечення безпеки [4, с. 337-340]. Пріоритетами цієї
концепції є людина в системі управління, соціальні цілі,
цінності,
психологія
організації
управління
та
організаційного
клімату,
психологічні
механізми
самоорганізації діяльності колективів та співробітників
[5, с. 183-218].
Відповідно до цієї Концепції керівник не
використовує підлеглих як засіб або «інструмент» для
вирішення поставлених завдань, а спирається на них як
професіоналів
своєї
справи.
Тобто
організація
характеризується узгодженою колективною діяльністю
однодумців – професіоналів, які прагнуть добитися
поставленої цілі, при цьому керівник не вирішує за всіх
шляхом віддання наказів, а спирається на думку
підлеглих.
Особливістю цієї Концепції є те, що управління
здійснюється на підставі презумпції довіри до
працівника,
як
добросовісної
та
професійно
підготовленої людини, що має свою життєву та
професійну позицію, свою систему цінностей, свої
життєві проблеми, при цьому керівник відмовляється
розглядати свого підлеглого як «засіб» або «виконавця»
своєї волі. Тобто завданням керівника є утворення
таких внутрішньо організаційних умов, при яких,
кожний підлеглий бажає і має можливість проявити,
розвити та задовольнити свої професійні та особистісні
146
можливості при здійсненні професійної діяльності.
До основних положень організаційно-діяльнісної
психологічної концепції управління відносяться [6]:
1.
Рівна пріоритетність соціальних, професійних
та людських цінностей і завдань управління. Підлеглий
не пасивний виконавець завдань керівництва, а
особистість: об’єкт – суб’єкт управління. Управління
повинне не тільки управляти ним, а й служити його
інтересам. Тільки професійно зацікавлений, включений
в діяльність колективу працівник, знайшовши в ньому
своє місце та самозатвердившись в ньому, правомірно
задовольняючий свої потреби, задоволений працею,
може вирішувати професійні завдання згідно з своїми
переконаннями,
з
бажаннями,
самовіддачею,
з
почуттям обов’язку та відповідальності.
2.
Управління реалізується у двох видах
діяльності:
організації
управління
та
поточному
управлінні. Управління направлено не на індивіда, а на
«людину в організації» - особистість. Умови для реалізації
підлеглого в організації утворюються організацією
управління і діяльністю персоналу. До них відноситься:
встановлення чіткої структури організації, розподіл прав
та обов’язків, забезпечення їх виконання і чіткої
взаємодії.
3.
Організація
управління
вимагає
удосконалення організаційного порядку, який включає в
себе чотири підструктури (рис.1): ціннісну – цільову,
організаційних відносин, інформаційно-комунікативну
та управлінських впливів. Кожна з цих підструктур має
свій організаційний, психологічний та інші змісти.
Головна задача керівника полягає не в безперервному
керівництві окремими підлеглими, а в тому, щоб
привести у дію соціально – психологічні і особистісні
механізми саморегуляції, взаємодії, утворити соціально –
психологічні та економічні умови, при яких кожний
підлеглий добросовісно виконував би свої професійні
обов’язки. Вирішення цієї задачі не можливе без
оптимізації всієї структури управління організацією, її
системо утворюючих зв’язків та механізмів.
4.
Управління – це не тільки одноосібна
діяльність
керівника,
а
налагоджена
діяльність
147
управлінської підсистеми організації, яка представляє
спільну діяльність груп осіб, які приймають участь в
управлінні
«управлінська
команда».
Піраміда
управління не може функціонувати оптимально та
ефективно якщо все управління концентрується в одній
точці – вершині, у першого керівника, який намагається
керувати всіма та всюди. Необхідно утворити в
організації управлінську підсистему, у яку включаються
всі керівники середньої та низової ланки, представники
громадських об’єднань, які працюють в організації та
найбільш підготовлені та ініціативні працівники. Таке
управління реалізує демократичний стиль управління,
але потребує від керівника певної управлінськопсихологічної підготовленості.
5.
Поточне управління – це функціональні
обов’язки осіб всіх ланок управлінської підсистеми
організації, яка здійснюється на рівні саморегуляції,
самостійно без участі вищого рівня управління. Вплив у
цю систему керівника здійснюється лише при
виникненні нестандартних ситуацій, для підтримки
зовнішніх зв’язків чи перспективного управління.
Рис.1. Структура організаційно-діяльнісної концепції
управління
148
Розглядаючи
систему
економічної
безпеки
підприємств як сукупність різних суб’єктів, діяльність
яких спрямована на забезпечення безпеки, ми можемо
зробити припущення, що система управління цими
суб’єктами повинна відрізнятися від існуючих систем
управління на підприємстві.
Використовуючи основні підходи організаційнодіяльнісної психологічної концепції управління в системі
інформаційної безпеки дозволить нам утворити умови
для всебічного використання потенціалу зовнішніх та
внутрішніх суб’єктів безпеки в системі безпеки
підприємства, залучити персонал підприємства до цієї
діяльності.
Разом з тим, виходячи з цієї концепції при
організації управління системою інформаційної безпеки
використовуються різні методи (рис.2) управління.
Характерною рисою цих методів є те, що вони
застосовуються
як
при
управлінні
системою
інформаційної
безпеки
так
і
при
управлінні
підприємством в цілому, але зміст їх буде різний [7].
Метод
(від
грец.
µέθοδος
—
«спосіб»)
–
систематизована
сукупність
дій,
які
необхідно
виконати, для вирішення певної задачі або досягнути
певну ціль. Розглядаючи систему економічної безпеки
підприємства як процес та вид професійної діяльності
суб’єктів її забезпечення, ми розуміємо необхідність
використання різноманітних методів, направлених на
забезпечення виконання завдань і реалізації функцій
суб’єктами безпеки, а також організації управління.
До основних методів організації та управління
системою
інформаційної
безпеки
суб’єктів
господарювання слід віднести наступні методи:
• організаційні;
• правові;
• інформаційні;
• психологічні;
• технічні;
• економічні;
• спеціальні.
149
Рис.2. Методи забезпечення функціонування та
управління системою інформаційної безпеки суб’єктів
господарської діяльності
Сукупне використання цих методів на основі
організаційно-діяльнісної
психологічної
концепції
управління дозволить утворити інноваційну систему
управління
системою
інформаційної
безпеки
з
забезпеченням її складових: організаційних відносин,
управлінських впливів, ціннісно–цільового забезпечення
управління та інформаційно-комунікативної складової
управління. Кожен з вищеперерахованих методів може
використовуватися як окремо так і в поєднанні один з
одним, утворюючи при цьому сукупність методів
управління системою інформаційної безпеки.
Слід чітко розуміти, що командний підхід до
управління персоналом навряд чи зможе заставити
його бути дійсними суб’єктами забезпечення безпеки на
своєму підприємстві [8, с. 197-216]. Тому необхідно
шукати нові підходи до управління, що дозволять:
150
•
•
•
•
розглядати безпеку як корпоративну цінність на
підприємстві, орієнтуючи кожного працівника на
забезпечення
її.
Це
досягається
шляхом
встановлення відповідних принципів і методів
забезпечення безпеки та організації контролю за
чітким їх виконанням;
в системі організаційних відносин «працівник організація» прописати права та обов’язки
працівника по забезпеченню безпеки [9, с. 217228]. Він повинен розуміти і бути мотивований
на забезпечення безпеки у своєму підприємстві.
Крім
того,
відношення
працівника
до
забезпечення
безпеки,
підтримки
режимів
безпеки повинне бути оцінено при його атестації
у разі
прийняття рішень, щодо переведення
працівника на інші посади (по вертикалі або
горизонталі);
утворити
інформаційно-комунікативну
структуру, яка дозволить здійснювати отримання
інформації, її інформаційний обмін та оцінку в
системі управління економічною безпекою на
підприємстві.
Керівництво
підприємства
повинне
розробити
систему
інформування
працівників про стан безпеки на підприємстві,
про випадки порушень режимів безпеки,
розробити механізми взаємодії працівника з
представниками
підрозділу
безпеки
на
підприємстві;
проводити чіткий аналіз причин та виявлення
порушень вимог безпеки. Кожний випадок їх
недотримання з боку персоналу підприємства або
сторонніх осіб повинен бути розглянутий та
оцінений
керівником
підприємства
з
обов’язковим
прийняттям
управлінського
рішення на підставі здійснення внутрішніх
службових
розслідувань[10].
Накази,
розпорядження інші документи підприємства,
які стосуються забезпечення безпеки повинні
нести певні управлінські впливи на підлеглих –
об’єктів або суб’єктів економічної безпеки [11].
151
При цьому управлінський впив може бути
направлений на інтелектуальну, емоційно –
вольову або мотиваційно-споживацьку сферу
особистості.
Таким чином ми можемо визначити, що система
економічної безпеки підприємства – організаційна
підсистема підприємства, що складається з сукупності
організаційних, управлінських, технічних, правових і
інших заходів і заходів, сукупності сил і засобів,
направлених на забезпечення безпеки підприємства,
захисту законних інтересів його керівництва і
інвесторів, сприяння забезпеченню стійкого розвитку
підприємства.
Система забезпечення інформаційної безпеки
підприємства – цільова підсистема системи управління
підприємством, системи стратегічного менеджменту –
сукупність методів і ресурсів, необхідних для здійснення
управління безпекою на основі виробленої політики в
області безпеки підприємства.
Висновки. Виходячи з вищевикладеного, ми
можемо зробити наступні висновки:
1.
Використання
організаційно-діяльнісної
психологічної концепції управління, яка була розроблена
професором О. Столяренко можливе при розробці
системи забезпечення економічної безпеки вітчизняних
підприємств.
2. Зміст та структура зазначеної Концепції
відповідає специфіці завдань, які повинні вирішуватись
суб’єктами управління при здійсненні управління
інформаційної безпекою підприємств.
3. Для використання даної Концепції в системі
управління
інформаційної
безпекою
необхідне
додаткове здійснення науково – прикладних досліджень
та їх адаптування до сучасних вимог щодо забезпечення
безпеки.
4.
Необхідною
умовою
використання
організаційно-діяльнісної
психологічної
концепції
управління в управлінні інформаційної безпекою є
професійно-управлінська
підготовленість
керівника
підприємства щодо здійснення управління на підставі
цієї Концепції.
152
5. Методи забезпечення функціонування системи
інформаційної
безпеки
та
методи
управління
підприємством є ідентичними за назвою, але за змістом
та спрямованістю використання – різними.
Література
1. Теоретико-методологические и прикладные основы
обеспечения
экономической
безопасности
субъектов
хозяйственной деятельности: монографія.
/ Захаров О.І.,
Пригунов П.Я., Гнилицкая Л.В. // К.: ТОВ «Дорадо-Друк»,
2011. – 290 с.
2. Бєлоусова І.А. Управлінський облік – інформаційна
складова
системи
економічної
безпеки
підприємства:
монографія. – К.: Дорадо – Друк, 2010. – 432с.
3. Ляшенко О.М.
Концептуалізація
управління
економічною безпекою підприємства: монографія. – Луганськ:
вид-во СНУ ім. В.Даля, 2011. – 400с.
4. Энциклопедия юридической психологии / Под. общ.
ред. проф. Столяренко А.М. – М.: ЮНИТИ – ДАНА, Закон и
право, 2003. – 607с.
5. Прикладная
юридическая
психология:
Учебное
пособие. // Под ред. проф. Столяренко А.М. – М.: ЮНИТИ –
ДАНА, 2001. – 639с.
6. Столяренко А.М., Амаглобели Н.Д. Психология
менеджмента: Учебное пособие. – М.: Закон и право, 2005. –
608с.
7. Яскевич В.И. Секьюрити: Организационные основы
безопасности фирмы. – М.: «Ось - 89», 2005. -368с.
8. Райзберг Б.А. Психология в экономике и управлении.
– М.: МПСИ, 2005. – 552с.
9. Ложкін Г.В., Комаровська В.Л., Воленюк Н.Ю.
Економічна
психологія.
Навчальний
посібник.
–
К.:
«Професіонал», 2008. – 464с.
10. Столяренко А.М. Экстремальная психопедагогика.
Учебное пособие. – М.: ЮНИТИ – ДАНА, 2002. – 607с.
11. Гнилицька Л.В. Обліково-аналітичне забезпечення
економічної безпеки підприємства: монографія / Л.В.
Гнилицька. – К.: КНЕУ, 2012. – 305c.
153
АНАЛІЗ ПУБЛІКАЦІЙНОЇ АКТИВНОСТІ З
НАПРЯМКУ «ЗАХИСТ ІНФОРМАЦІЇ» ЗА
РЕФЕРАТИВНОЮ БАЗОЮ ДАНИХ
«УКРАЇНІКА НАУКОВА»
Добровська С.В.
ІПРІ НАН України
Важливість науково-практичних досліджень в
напрямку захисту інформації ґрунтується на тому, що
безпека
інформаційного
простору
є
визначним
чинником
військово-політичної
та
економічної
стабільності держави. Так, за даними Computer Security
Institute, загальний обсяг фінансових втрат внаслідок
порушень безпеки в Internet лише в 2002 р. становив
202 млн. дол. [1].
Реферативна
база
даних
(РБД)
"Україніка
наукова", формування якої здійснюється протягом 15
років Інститутом проблем реєстрації інформації НАН
України (ІПРІ) та Національною бібліотекою України
імені В. І. Вернадського (НБУВ), стала невід’ємною
складовою національного інформаційного ресурсу. Вона
дозволяє покращати якість інформаційного сервісу
науковців, поглибити взаємодію наукових і науковоосвітніх
установ
з
суспільством
та
створює
інформаційну основу наукометричних досліджень.
Досліджено
потік
наукових
публікацій
у
реферативній БД “Україніка наукова” з інформаційної
безпеки (захисту інформації). Вивчення тенденцій
розвитку науки, зокрема з цього напряму, має важливе
значення для науково-технічної інформації.
Під час створення реферативної БД “Україніка
наукова” та українського реферативного журналу УРЖ
«Джерело» відбувається формування фонду первинної
інформації
та
розподілене
аналітико-синтетичне
опрацювання потоку наукових видань, зокрема, з
напрямку «Захист інформації».
Науковий напрямок «Захист інформації» входить
до тематичного розділу «Електроніка. Обчислювальна
154
техніка» серії 2 «Техніка. Промисловість. Сільське
господарство» українського реферативного журналу
«Джерело» та реферативної бази даних «Україніка
наукова». Складність вивчення теми «Захист інформації»
полягає у тому, що значна частина періодичних видань
включає у себе безліч напрямків, тому одне видання
(наприклад,
збірник
наукових
праць
«Вісник
Національного університету “Львівська політехніка”»,
«Искусственный интеллект» та ін.) може фігурувати в
технічних та гуманітарних серіях УРЖ одного випуску.
[2].
На початку дослідження за напрямом «Захист
інформації»
проведено
розширенний
пошук
у
реферативній БД “Україніка наукова” за кількістю
прореферованих записів, зокрема, статей в періодичних
виданнях в 2003 — 2011 рр. та за певним індексом
рубрикатора, тобто було обрано три пошукових
елемента: вид документа (статті з періодичних та
продовжуваних видань), рік, індекс рубрикатора. [3]
За рубрикатором НБУВ в БД “Україніка наукова”
“Інформаційна та обчислювальна техніка” має індекс
З97. Дані з захисту інформації шукаємо за індексом
рубрикатора З970.40.
Захист інформації — сукупність методів і засобів,
що
забезпечують
цілісність,
конфіденційність
і
доступність інформації за умов впливу на неї загроз
природного або штучного характеру, реалізація яких
може призвести до завдання шкоди власникам і
користувачам інформації. Останнім часом найбільш
поширеними є такі загрози, як: віруси, троянські
програми
та
«інтернет-черви»;
неправомірні
дії
співробітників з використанням інформаційних систем;
спам; втрати конфіденційності про клієнтів; DOS-атаки;
фінансове шахрайство з використанням інформаційних
систем; неправомірне використання ІТ-систем із
залученням третьої особи; фізична безпека; погана
якість
програмного
забезпечення;
викрадення
конфіденційної інформації. [4]
В нашій країні правові відносини, пов’язані з
захистом персональних даних, регулює закон України
“Про захист персональних даних”. Він спрямований на
155
захист основоположних прав і свобод людини і
громадянина, зокрема, права на невтручання в
особисте життя людини у зв’язку з обробкою
персональних
даних.
Комп’ютерний
тероризм
в
законодавстві України можна зустріти в статті 7 Закону
України “Про основи національної безпеки України”, у
якій зазначено, що “однією з реальних і потенційних
погроз національної безпеки України є комп’ютерна
злочинність і комп’ютерний тероризм”. [5]
Проведено дослідження щодо кількості публікацій
(КП) із тематики “Захист інформації” в реферативній БД
«Україніка наукова» за роками 2003 - 2011, дані зведено
в таблицю 1.
Таблиця 1
Кількість записів в РБД «Україніка наукова» з
захисту інформації
Рік
2003
2004
2005
2006
2007
2008
2009
2010
2011
Кількість
статей
31
70
82
66
140
134
168
197
224
Кумулятивна КП
31
101
183
249
389
523
691
888
1112
Загальна кількість записів в базі даних «Україніка
наукова» з тематики “Захист інформації” 1365. Це
високий показник наповнення бази даних з вузької
тематики.
Побудовано діаграму динаміки публікаційної
активності з напрямку “Захист інформації” (див. рис. 1).
156
Рис. 1. Динаміка публікаційної активності
з тематики «Захист інформації»
Наочно видно збільшення статей з кожним роком.
Але у 2006 р. було невелике зменшення наповнення бази
даних з цієї тематики, а в 2007 р. – стрімке зростання.
Так, у 2011 р. кількість статей у базі даних збільшилась
у 4,3 рази у порівнянні з 2003 р. Це свідчить про
розвиток науки в цій сфері, зацікавленість науковців у
цій тематиці.
Також
побудовано
діаграму
кумулятивного
розподілу кількості публікацій в базі даних “Україніка
наукова” з тематики «Захист інформації» (див. рис. 2).
Зроблено апроксимацію експоненціальною функцією з
коефіцієнтом кореляції R2 = 0,9254. Прогноз описується
експоненціальною
моделлю,
це
свідчить
про
перспективність тематики.
Рис. 2. Кумулятивний розподіл КП з
тематики “Захист інформації”
157
Зроблено аналіз журналів, в яких найбільше
публікується статей за напрямом “Захист інформації”.
Найбільша кількість записів за 2003 – 2011 рр.
опублікована в провідних журналах (див. табл. 2).
Таблиця 2
Провідні фахові видання з тематики “Захист інформації”
Журнали
Вид
Рік
заснування
Вісник Національного
університету “Львівська
політехніка”
Восточно-Европейский
журнал передовых
технологий
Захист інформації
Искусственный интеллект
Кибернетика и системный
анализ
Правове, нормативне та
метрологічне забезпечення
системи захисту
інформації в Україні
Проблемы управления и
информатики
Радіоелектроніка.
Інформатика. Управління
Радіоелектронні і
комп’ютерні системи
Реєстрація, зберігання і
обробка даних
Системи обробки
інформації
Системи управління,
навігації та зв’язку
Управляющие системы и
машины
збірн
1964
Кількість
рефератів в РБД
“Україніка
наукова”
87
журн
2002
26
журн
журн
журн
1999
1995
1965
155
56
27
збірн
2000
167
журн
1956
20
журн
1999
20
журн
2003
68
журн
1999
33
збірн
1996
91
збірн
2007
28
журн
1972
21
Серед 13 провідних журналів з тематики “Захист
інформації” найбільша кількість записів у БД припадає
на 3 журнали: “Правове, нормативне та метрологічне
забезпечення системи захисту інформації в Україні”,
158
“Захист інформації” та “Системи обробки інформації”.
Перші 2 випускаються в Києві, 3-й в Харкові.
Інші журнали, в яких публікуються статті з
тематики, наведено в табл. 3. Це журнали та збірники
вузів.
Таблиця 3
Фахові видання з тематики “Захист інформації”
Журнали
Вид
Рік
заснування
Актуальні проблеми
економіки
Вісник Вінницького
політехнічного
інституту
Вісник Сумського
державного
університету
Електроніка та системи
управління
Інформатика та
математичні методи в
моделюванні
Збірник наук. праць
Харківського
університету
Повітряних сил
Известия вузов.
Радиоэлектроника
Наукові вісті НТУУ
“КПІ”
Праці Одеського
політехнічного
університету
Проблеми
програмування
Системні дослідження
та інформаційні
технології
Системні технології
Системи озброєння і
військова техніка
журн
2000
Кількість
рефератів в
РБД “Україніка
наукова”
11
журн
1993
18
журн
1994
15
журн
2003
16
журн
2011
10
збірн
2005
17
журн
1958
12
журн
1997
6
збірн
1996
14
журн
1999
15
журн
2001
13
збірн
журн
1997
2005
12
10
159
Висновки
Досліджено зростання публікаційної активності
тематики
«Захист
інформації».
Використання
реферативної БД дозволяє проведення наукометричних
досліджень, які надають можливість спрогнозувати
високі тенденції розвитку наукового знання з цього
напрямку в Україні. Показано закономірність зростання
кількості публікацій з тематики «Захист інформації», яка
відзначається стрімким розвитком за 2003 — 2011 рр. в
4,3 рази в реферативній базі даних «Україніка наукова».
Наведено журнали, в яких публікується найбільша
кількість статей з тематики «Захист інформації»,
виокремлено з них 13 провідних. Дослідження потоку
наукових публікацій показали, що «Захист інформації» є
перспективним, а також науковим напрямком, що
стрімко розвивається в Україні.
Література
1. Герасимов Б.М. // Мережні вторгнення та захист від
них в інформаційних системах / Б. М. Герасимов, О. І.
Романов, П. В. Хусаїнов // НТІ. – 2006. - №1(27). – С. 38-43.
2. Крючин А.А. Наукометричні дослідження з напрямку
“Захист інформації” за реферативною базою даних “Україніка
наукова” / А.А. Крючин, С.В. Добровська, І.В. Балагура //
Информационные
технологии
и
безопасность:
оценка
состояния: Материалы международной научной конференции
ИТБ-2013. – К.: ИПРИ НАН Украины, 2013. — Вып.13. — С.
87-94.
3. Реферативна база даних «Україніка наукова»
[електронний
ресурс].
–
Режим
доступу:
http://nbuv.gov.ua/db/ref.html. – Назва з екрану.
4. Додонов О.Г. Живучість складних систем: аналіз та
моделювання. Навчальний посібник у 2-х частинах / О.Г.
Додонов, М.Г. Кузнєцова, О.С. Горбачик – К.: НТУУ «КПІ»,
2009. – 264с.
5. Вертузаєв М.С. Комп’ютерний тероризм: природа,
особливості та шляхи подолання. // Информационные
технологии и безопасность: оценка состояния: Материалы
международной научной конференции ИТБ-2013. – К.: ИПРИ
НАН Украины, 2013. — Вып. 13. - С. 38-45.
160
РЕАКЦІЯ РОЗВАЖАЛЬНОГО КОМПОНЕНТУ
УКРАЇНСЬКОЇ ПРЕСИ НА ДЕЗІНФОРМАЦІЮ
РОСІЙСЬКИХ ЗМК
Михайлюта О.О.
Інститут журналістики КНУ ім. Т. Шевченка
Дезінформація, яку ретранслювали російські
мовники останні місяці про події в Україні, спричинила
резонанс в українському суспільстві. У соціальних
мережах
активно
тиражуються
вдалі
дотепні
зображення і вислови на складні події сьогодення,
зокрема реагує суспільство і мас-медіа на інформаційну
війну Росії. Зараз в Інтернеті з’явилось безліч анекдотів,
карикатур на гострі соціальні теми, гумор спирається на
події сьогодення. На телебаченні це випуски студії «95
квартал» «Вечірній квартал», «Казкова Русь», фотожаби в
соціальних мережах та на порталах, зокрема ряд
зображень із сайтів «Буквоїда», «Цензор.Нет», «ТвІ»,
«ТСН»,
«Обозреватель»,
«Главред»,
«Gazeta.ua».
Активізацією і актуальною необхідність сатири на
теперішній момент можна пояснити також і те, що
редакція газети «Газета по-українськи», журналу
«Країна»
і
сайт
«Gazeta.ua»
проводять
перший
міжнародний конкурс карикатур «Майдан». Громадське
об’єднання
«Телекритика»
проводить
конкурс
журналістських матеріалів про інформаційні війни.
«Телекритика» готує спеціальний приз за кращий
демотиватор, графічний колаж («фотожаба») або
інфографіку.
На сьогодні тимчасово заборонена ретрансляція на
території України чотирьох російських каналів –
«Первый канал. Всемирная сеть», «РТР-Планета»,
«Россия-24», «НТВ-Мир». Втім, українська аудиторія має
доступ до російських ЗМІ завдяки Інтернету, (до
прикладу
сайт російського агентства РИА-новости
можна переглядати і в Україні ). Національна рада з
питань телебачення і радіомовлення подала на розгляд
суду понад 40 сторінок цитат – витягів із програм, в
161
яких, за узагальненнями фахівців регулятора, містилися
заклики
до
національної
ворожнечі,
порушення
територіальної цілісності України, перекручення наявної
інформації, маніпуляції свідомістю громадян. Варто
проаналізувати,
як
інформаційна
агресія
Росії
відобразилась у пресі, зокрема в її розважальному
компоненті.
Згідно з твердженням теоретика соціальних
комунікацій З. Партико, мета інформаційної війни –
створити хибну, фіктивну реальність. Вона створена в
Росії, там, де немає альтернативних джерел інформації,
також в Криму та на Сході України, де озброєні
бойовики вимкнули українське мовлення. Як зазначає
науковець
З.
Партико,
під
час
проведення
інформаційної війни населення не відчуває, що його
піддають інформаційній атаці. Проте населення
відчуває дискомфорт, оскільки від нього вимагають
зміни світогляду й певних дій [1]. Жителі України ж
розуміють і усвідомлюють, що повідомлення російських
ЗМІ стосовно подій в Україні часто неправдиві чи
недостовірні. Свою обурення українці висловлюють у
соціальних мережах, реагує на інформаційну агресію й
аналітична преса, яка окрім статей на політичні і
соціальні теми, містить розважальний компонент
(карикатури, анекдоти). Крім того, військова агресія та
брехня також відображена у гуморі і сатирі. Зокрема, на
сайті «Українського тижня» регулярно розміщуються
фотожаби та карикатури, останні на тему військової
агресії Росії – 20 зображень (за 3 березня 2014).
Найпопулярнішим різновидом зображальної сатири на
сьогодні є так звана фотожаба – це графічна
карикатура,
шарж;
сленгова
назва
різновиду
фотомонтажу, переробки зображення за допомогою
растрового або векторного графічного редактора із
застосуванням спецефектів комп'ютерного дизайну.
Рідше сленгове «жаба» використовується як вираз
недовіри по відношення до змісту поста або коментаря,
в тому числі не графічного, а текстового [3]. Ці жанри є
похідними від традиційної карикатури.
Дослідниця історії української преси О. Хобта
влучно
зазначає,
що
«розквіт
карикатури
був
162
закономірним явищем у час війни та революції, адже
вона – найдієвіший засіб боротьби»[4].
Сміхова реакція на складні події виконує важливу
функцію у соціальних комунікаціях, особливо в
нестабільний
час.
Зокрема,
науковці
визначили
афективно-комунікативну функцію. Вона належить до
емоційної сфери особистості, визначає її ставлення до
явищ навколишнього світу. Весь спектр людських
емоцій виникає і розвивається в процесі спілкування
людей. Потреба у спілкуванні часто виникає у зв'язку з
необхідністю змінити свій емоційний стан. У процесі
спілкування людей може змінитися інтенсивність
емоційних станів партнерів: відбувається зближення
цих станів, або їх поляризація, взаємне посилення або
ослаблення. Людина в спілкуванні може емоційно
розрядитися
або,
навпаки,
підсилити
емоційну
напруженість [2].
Отже,
порушення
правил
інформування
суспільства російськими мас-медіа
не лишилось не
поміченим. На вищому державному рівні вжито заходів
стосовно
мовників,
які
порушують
українське
законодавство, відреагувало на дезінформацію і
суспільство (варто констатувати, що це та частина, яка
упродовж тривалого часу мала доступ до українських
джерел інформації). Мас-медіа публікують окрім
аналітичних статей на тему інформаційної війни ще й
розважальні
матеріали
(фотожаби,
карикатури,
анекдоти). Розважальний компонент виконує важливу в
нестабільний час функцію – висміювання і засудження
інформаційного ворога, має на меті змінити інтенсивні
емоційні стани – тривоги, страху на позитивні завдяки
засобам гумору та сатири.
Література
1. Партико З. Масова інформація і держава: Лекція 5. –
[Електронний
ресурс].
–
Режим
доступу:
http://journlib.univ.kiev.ua/index.php?act=article&article=1180.
2. Психологія / Винославська О. В., Бреусенко-Кузнєцов
О. А., Зливков В. Л., Апішева А. Ш., Васильєва О. С.
[Електронний
ресурс]
–
Режим
доступу:
http://ualib.com.ua/b_147.html.
163
3.Словник молодіжного сленгу. – [Електронний ресурс]. –
Режим
доступу:
http://teenslang.su/content/
%D1%84%D0%BE%D1%82%D0%BE%D0%B6%D0%B0%D0%B1
%D0%B0.
4. Хобта О. Особливості Одеської газетної карикатури
1010-1920 рр. / Олена Хобта // Збірник праць Науководослідного центру періодики. – Львів, 2003. – Вип. 11. – С. 583
– 583.
164
КОМПЛЕКСНАЯ ОЦЕНКА БЕЗОПАСНОСТИ
ИНФОРМАЦИИ НА ОСНОВЕ
НЕЙРОСЕТЕВЫХ ТЕХНОЛОГИЙ
Штыфурак Ю.М.
Служба безопасности Украины
Построение
надежной
защиты
информации
невозможно без предварительного анализа возможных
угроз.
Угрозами
информационной
безопасности
называются потенциальные источники нежелательных
событий, которые могут нанести ущерб ресурсам
информационной системы. Все угрозы безопасности,
направленные против программных и технических
средств информационной системы, в конечном итоге
оказывают влияние на безопасность информационных
ресурсов.
Решение
данной
задачи
необходимо
рассматривать как комплексную оценку безопасности
информации в различных сферах. Количество сфер, по
которым проводится оценка безопасности информации,
может быть значительным.
Учитывая нелинейную связь классификаций угроз
с комплексной оценкой безопасности информации,
аналитическая
методика
количественной
оценки
безопасности является важной и актуальной задачей.
Для определенности изложения возьмем пять
разных
классификаций
угроз
безопасности
информации. Анализ известных подходов к расчету
интегральных
функций
оценки
безопасности
информации
[1-4]
показал,
что
наиболее
распространенным подходом к решению данной задачи
является использование линейной функции.
Линейный характер данной интегральной функции
достаточно прост для проведения вычислений, но носит
приближенный характер, поэтому его применение
возможно только для проведения ориентировочных
расчетов безопасности информации.
165
Более точным и достоверным является подход,
основанный на применении нелинейной интегральной
функции. Однако субъективизм выбора вида данной
интегральной
функции
существенно
снижает
достоверность полученных оценок стабильности. Для
устранения
данных
недостатков
целесообразно
использовать
метод
расчета,
основанный
на
искусственных нейронных сетях [4].
Следует отметить, что однослойная нейронная сеть
позволяет
решить
только
простейшее
линейное
разделение пространства классифицируемых угроз,
поэтому круг проблем, которые под силу однослойному
перцептрону, очень ограничен.
На практике гораздо большее применение находят
многослойные
нейронные
сети,
построенные
на
перцептронах.
Сложность
задач,
решаемых
перцептроном для решения поставленной задачи,
существенно зависит от количества слоев.
Каждый
слой
рассчитывает
нелинейное
преобразование от линейной комбинации результатов
оценки предыдущего слоя. Отсюда видно, что линейная
функция активации может применяется только для тех
моделей сетей, где не требуется последовательное
соединение слоев нейронов друг за другом. Для
многослойных сетей функция активации должна быть
нелинейной, иначе можно построить эквивалентную
однослойную сеть, и многослойность оказывается
ненужной.
Если
применена
линейная
функция
активации, то каждый слой будет давать на выходе
линейную комбинацию входов.
Для реализации нейронных сетей все исходное
множество
замеров
классифицируемых
угроз
разбивается на обучающее (95% ) и тестовое (5%).
Результаты
оценки
точности
построения
алгоритмической модели показали, что за счет
нелинейности алгоритмических связей и за счет
реализации
алгоритма обучения сети в режиме
«оффлайн» путем коррекции весов после предъявления
всех примеров обучающей выборки обеспечиваются
высокие точности построения модели.
166
Анализ результатов показывает, что 92% исходного
множества были распознаны с ошибкой 2.6*10-3, а 100%
исходного множества - с ошибкой 1.6*10-2. Это говорит
о высоком качестве построения алгоритмического
аналога
функции
и
позволяет
рассматривать
применение многослойной нейронной сети для решения
поставленной задачи.
Предложен
методологический
подход
к
количественной оценке безопасности информации. Он
позволяет получить комплексную оценку безопасности
информации
с
учетом
всех
рассматриваемых
классифицируемых
угроз.
Методической
основой
является аппарат искусственных нейронных сетей,
который обеспечивает достаточно высокую точность
расчета аналитической модели данного процесса.
Литература
1. Качинский А.Б. Засади системного аналізу складних
систем./А.Б. Качинский – К.: НВЦ «Євроатлантикінформ»,
2006. – 336 с.
2. Горбулін В.П. Системно-концептуальні засади наці–
ональної безпеки України / Горбулін В.П., Качинський А.Б. –
К.: НВЦ «Євроатлантикінформ», 2007. – 592 с.
3. Богданович В.Ю. Теоретико-методологічні засади
забезпечення національної безпеки держави у її визначальних
сферах./Богданович В.Ю., Семенченко А.І., Єгоров Ю.В.,
Бортник О.О., Муха В.А. - К.: Кий, 2007.-370 с.
4. Паклин Н., Орешков В. Бизнес–аналитика: от данных
к знаниям. – СПб.: Питер, 2010.
167
ЗАГАЛЬНІ ПІДХОДИ ДО УПРАВЛІННЯ
ІНФОРМАЦІЙНИМИ РИЗИКАМИ
Іванов В.В.
Інститут проблем реєстрації інформації НАН
України
Робота по мінімізації інформаційних ризиків (ІР)
полягає в попередженні несанкціонованого доступу до
даних, а також аварій і збоїв устаткування і
програмного забезпечення. Під ризиком, як правило,
розуміється можливість того, що будь-які цілі під час
реалізації проекту автоматизації діяльності підприємства
не будуть досягнуті.
Оскільки кількість подій і умов, що впливають на
результат проекту, надто велика, то їх сукупність
зазвичай на практиці не розглядається. Із всієї
сукупності виділяють обмежений перелік характеристик
прийнятого рішення. Ці ознаки можуть торкатися як
суто технічних рішень, так і організації робіт, пов'язаних
із реалізацією рішення, і є факторами ризику.
Інформаційні ризики - це небезпека виникнення
збитків або шкоди в результаті застосування компанією
інформаційних технологій. ІР пов'язані із створенням,
передачею, зберіганням та використанням інформації за
допомогою електронних носіїв та інших засобів зв'язку. З
кількісної точки зору розмір ризику є функцією
ймовірності реалізації певної загрози, а також величини
можливого збитку.
Інформаційні ризики розраховують за формулою:
R= P * L
(1)
де, R – ризик; P – ймовірність подій (ранг ймовірності);
L – кількість втрат в результаті небажаних подій.
Основні підходи до методів оцінки та мінімізації
ризиків описані в нормативних документах ISO/IEC. Із
усіх методів відбору ризиків пропонується обрати метод
мозкового штурму. Для проведення мозкового штурму
зазвичай
створюють
дві
групи:
учасники,
що
168
пропонують нові варіанти вирішення завдання; члени
комісії, що обробляють запропоновані рішення.
У мозковому штурмі бере участь колектив з
декількох фахівців і ведучий. Перед самим сеансом
мозкового штурму провідний виробляє чітку постановку
задачі, що підлягає вирішенню. В ході мозкового штурму
учасники висловлюють свої ідеї, спрямовані на
вирішення поставленого завдання, причому як логічні,
так і абсурдні. Якщо у мозковому штурмі беруть участь
люди різних чинів або рангів, то рекомендується
заслуховувати ідеї в порядку зростання ранжиру, що
дозволяє виключити психологічний фактор «угоди з
начальством».
У процесі мозкового штурму, як правило, спочатку
рішення не відрізняються високою оригінальністю, але
після
деякого
часу
типові,
шаблонні
рішення
вичерпуються, і в учасників починають виникати
незвичайні ідеї. Ведучий записує або якось інакше
реєструє всі ідеї, що виникли в ході мозкового штурму.
Потім, коли всі ідеї висловлені, проводиться їх аналіз,
розвиток і відбір. У підсумку знаходиться максимально
ефективне і часто нетривіальне рішення задачі.
Для аналізу загроз використовують метод оцінки
можливої частоти прояву уразливості і збитки, які
можуть настати при її реалізації. При організації захисту
ІС підбираються дані, які максимально відображають
адекватний ступінь ризиків і наслідки подій ІБ. Введені
дані відзначають від 1 до 5 або за іншою шкалою, при
необхідності деталізації. Загальний коефіцієнт вважають
шляхом множення показника частоти на наслідки
(табл. 1).
Застосувавши таблицю аналізу ризиків, можна
вирішивши, які саме ризики існують і потребують
першочергового втручання та мінімізації.
Як і всяку іншу діяльність, реалізацію і перевірку
нових
регуляторів
безпеки
слід
попередньо
розпланувати.
У плані необхідно врахувати наявність фінансових
засобів, терміни навчання персоналу. Потрібно скласти
план тестування (автономного і комплексного), якщо
мова йде про програмно-технічному механізмі захисту.
169
Таблиця 1. – Аналіз ризиків
Назва подій (ризиків)
Апаратні закладки
Програмний вплив або
веб атаки
Випромінювання техніки
Ранг
ймовірності
(Р)
2
Збитки (L)
Рівень
ризику
3
6
4
4
16
3
2
6
Помилки в роботі
персоналу
Розголошення
працівниками
Стихійні лиха
3
2
6
2
4
4
1
3
3
Розриви кабелів
2
3
6
Збій енергозабезпечення
3
3
9
Коли
намічені
заходи
прийняті,
необхідно
перевірити їх дієвість, тобто переконатися в тому, що
залишкові ризики стали прийнятними. Якщо це
насправді так, значить, все в порядку і можна спокійно
намічати дату найближчої переоцінки. В іншому
випадку доведеться проаналізувати в терміновому
порядку помилки, які були допущені, і провести
повторний сеанс управління ризиками.
Оцінюючи вартість захисних заходів, доводиться,
зрозуміло, враховувати не тільки прямі витрати на
закупівлю обладнання та або програм, але і витрати на
впровадження новинки і, зокрема, на навчання і
перепідготовку персоналу. Цю вартість також можна
виразити за трибальною шкалою і потім зіставити її з
різницею між обчисленим і прийнятним ризиком. Якщо
за цим показником новий засіб виявляється економічно
вигідним, його можна прийняти до подальшого розгляду
(придатних засобів, ймовірно, буде декілька). Однак,
якщо засіб виявиться дорогим, його не слід відразу
відкидати, пам’ятаючи про наближеність розрахунків.
170
Важливою обставиною є сумісність нового засобу
зі сформованою організаційною і апаратно-програмної
структурою, з традиціями організації. Заходи безпеки,
як правило, носять недружній характер, що може
негативно позначитися на ентузіазмі працівників.
Часом
збереження
духу
відкритості
важливіше
мінімізації матеріальних втрат. Втім, такого роду
орієнтири повинні бути розставлені в політиці безпеки
верхнього рівня.
Література
1. Додонов А.Г., Ландэ Д.В Живучесть информационных
систем. — К.: Наукова думка, 2011. -256 с.
2. Богуш В.М.,
Довидьков О.А.
Теоретичні
основи
захищених інформаційних технологій – К.: ДУІКТ, 2006. –
508 с.
171
АВТОМАТИЗИРОВАННАЯ СИСТЕМА
ОБРАБОТКИ ИНФОРМАЦИИ И УПРАВЛЕНИЯ
Додонов А.Г., Ландэ Д.В., Путятин В.Г.
ІПРІ НАН України
В настоящее время эффективное управление
сегодня
немыслимо
без
применения
передовых
информационных технологий, среди которых одно из
важных мест занимают автоматизированные системы
обработки информации и управления (АСОИУ).
Необходимость применения АСОИУ в структурных
подразделениях органов управления (ОУ) вызвана
следующим рядом причин:
• большой объем информации и постоянное его
изменение привел к тому, что поиск необходимой
информации для целей управления прежними методами
стал делом длительным и трудоемким;
• сложился весьма широкий круг потребителей
информации в структурных подразделениях ОУ и ее
применения в практической деятельности;
• возникла острая необходимость в оперативном
получении точной и полной информации;
• возросла
потребность
в
интеграции
информационных ресурсов.
Для
эффективного
функционирования
ОУ
требуется
информация,
которая
может
быть
предоставлена только в результате использования
современных информационных технологий.
К этой информации предъявляются требования
полноты,
достоверности,
обоснованности
и
оперативности.
Для
повышения
оперативности
принятия
управленческих
решений
необходимо
уменьшать
затраты времени на сбор информации о состоянии
объекта управления, обработку и предоставление
управленческой информации, под которой понимается
совокупность сведений, о процессах, протекающих
внутри
ОУ
и
в его
окружении,
уменьшающих
172
неопределенность управления и принятия решений. В
то же время для повышения их обоснованности –
необходимо увеличивать временные затраты на
компьютерную (информационную аналитику) решаемых
задач.
Анализ показывает, что традиционные технологии
управления не могут устранить эти противоречия.
Достигнуть качественно нового уровня в автоматизации
процессов
управления
деятельностью
самих
ОУ
возможно только путем интеграции всех средств
получения и аналитической обработки информации в
единую
высокоэффективную,
как
правило,
территориально-распределенную
АСОИУ,
обеспечивающую сбор и аналитическую обработку
информации,
предназначенной
для
достоверного
информационно-аналитического
обеспечения
подготовки, выработки вариантов управленческих
решений (сценариев) и принятия управленческих
решений органами управления на всех уровнях [1].
Для
организации
эффективного
функционирования АСОИУ важное значение имеет
возможность доступа к источникам информации. При
этом
главной
проблемой
является
нахождение
содержательных и надежных источников из всех
доступных.
Когда
такие
источники
найдены,
включаются аналитические механизмы (компьютерная
или информационная аналитика) превращения данных
в знания, синтезированные выводы, рекомендации для
принятия решений [2].
Информационная
(компьютерная)
аналитика
представляет собой производство нового знания на
основе переработки имеющейся информации в целях
оптимизации принятия управленческих решений.
Задачами информационной аналитики являются:
1. Количественное преобразование информации
(информационное свертывание – библиографирование,
аннотирование, реферирование; консолидация больших
информационных массивов в виде БД и БнД);
2.
Структурное
упорядочение
информации
(систематизация, предметизация);
173
3. Качественно-содержательное преобразование
информации (производство нового знания, но не
опытно-экспериментальным путем, а на основе анализа
и интерпретации существующих теорий, описаний
фактов средствами информационного моделирования
реальности).
Основными
задачами
информационноаналитического обеспечения АСОИУ являются:
• информационное
обеспечение
процесса
принятия управленческих решений;
• интеграция разнородных потоков информации
из разных источников, упорядочение и консолидация
поступающей информации, представление ее в удобной
для пользователей-управленцев форме;
• оперативное обслуживание их информационных
потребностей;
• предоставление мощного (развитого) инструмента
аналитической обработки.
Общая
целевая
направленность
АСОИУ
достигается путем реализации ее основных целей,
которые включают:
• внешние
цели
–
повышение
качества
принимаемых управленческих решений;
• внутренние цели – повышение оперативности,
обработки и предоставления данных для выработки
управленческих решений;
• интегральные цели – повышение эффективности
человеко-машинного взаимодействия при подготовке,
принятии и контроле исполнения управленческих
решений.
АСОИУ
путем
использования
современных
информационных
технологий
решает
следующие
задачи:
1) создание, сбор, хранение, прием и анализ и
передача информации, используемой ОУ в процессе
своей деятельности;
2)
обеспечение
непротиворечивости
и
достоверности
хранимой
и
предоставляемой
информации;
174
3) информационное обеспечение аналитической
деятельности персонала ОУ и предоставления и
использования соответствующих ресурсов;
4) подготовка
и
визуальное
представление
прогнозной и аналитической информации, основанной
на своевременных, непротиворечивых и достоверных
сведениях;
5)
взаимодействие
АСОИУ
со
смежными
информационными и технологическими системами;
6)
информационное
и
технологическое
обеспечение прочих функций персонала АСОИУ в
соответствии
с
должностными
регламентами
и
полномочиями.
Пользователи
АСОИУ,
с
одной
стороны,
обеспечивают функционирование этой системы, а с
другой
стороны,
используют
результаты
ее
функционирования. Взаимодействие пользователей с
системой осуществляется через единый адаптивный
интерфейс и обеспечивать выполнение:
документального поиска:
- поиск документов;
- выявление новых событий;
- построение обобщенных отчетов;
фактографического поиска:
- поиска фактографической информации;
- извлечения фактов, упоминаемых в текстовых
документах;
выявление взаимосвязей понятий и объектов
наблюдения:
- выявление неявных взаимосвязей;
- визуализацию взаимосвязей;
поиск ценовой информации:
- поиск ценовой информации;
- визуализацию таблиц ценовой информации;
- визуализацию ценовых трендов и аномалий.
Адаптивный (пользовательский) интерфейс –
взаимосвязанная
совокупность
программных
и
технических
средств,
позволяющая
конечному
пользователю наиболее эффективно использовать все
предоставленные
системой
возможности
путем
175
автоматически
настраиваемого
интерфейса
под
конкретного пользователя.
Основной принцип построения системы агрегации
документальных информационных потоков, состоит в:
1)
разработке
автоматической
процедуры
агрегации используемых данных и информации,
поступающей из внешних источников;
2) организации хранения данных;
3) реализации процедур оперативного доступа к
ним;
4) полнофункциональной аналитической обработке
информационных массивов.
Программно-технологические
решения,
положенные
в
основу
программно-технического
комплекса
информационной
поддержки
АСОИУ,
предоставляя
структурированный
и
персонализированный
обзор
информации,
обеспечивают [3,4]:
- высокий
уровень
объективности
и
беспристрастности при подготовке и принятии решений
в результате получения, учета и обработки больших
массивов информации по определенной теме;
- экономию
времени,
средств,
трудовых
и
материальных ресурсов;
- своевременное
выявление
кризисных
и
конфликтных явлений;
- соответствие последним мировым тенденциям.
В результате накопленного опыта внедрения
комплекса определились дополнительные требования,
реализация которых возможна путем:
- использования
баз
данных,
документов,
сообщений в ретроспективе;
- интеграции информации, полученной из сети
Интернет с другими электронными и печатными
источниками в едином банке данных;
- интеграции
баз
данных
полнотекстовых
документов с базами данных фактографической
информации, что позволяет получать ее количественные
и качественные срезы.
176
Литература
1. Путятин В.Г., Валетчик В.А., Додонов В.А. Системный
подход к проектированию автоматизированных систем
обработки информации и управления // Реєстрація,
зберігання і обробка даних, 2007, Т.9. №1. Київ-2007. – C. 5672.
2. Додонов А.Г., Ландэ Д.В., Прищепа В.В., Путятин В.Г.
Конкурентная разведка в компьютерных сетях. –К: ИПРИ НАН
Украины, 2013. – 248 с.
3. Ланде Д.В., Путятін В.Г. Моніторинг, адаптивне
агрегування та узагальнення потоків інформації з глобальних
комп'ютерних мереж для інформаційно-аналітичної діяльності
// Реєстрація, зберігання і обробка даних: зб. наук. праць за
матеріалами Щорічної наукової конференції 01-02 березня
2012 року / НАН України. Інститут проблем реєстрації
інформації / відпов. ред. В.В. Петров. – К.: ІПРІ НАН України,
2012. – C. 78-82.
4. Додонов А.Г., Ланде Д.В., Путятін В.Г., Жигало В.В.
Архітектура системи моніторінгу, адаптивного агрегування та
узагальнення інформації. // Реєстрація, зберігання і обробка
даних, 2013, Т.15. №4. Київ-2007. – C. 56-72. –С. 32-40.
177
СОДЕРЖАНИЕ
Додонов А.Г., Ландэ Д.В.
МЕТОДИКА АНАЛИТИЧЕСКОГО ИССЛЕДОВАНИЯ
ДИНАМИКИ СОБЫТИЙ НА ОСНОВЕ
МОНИТОРИНГА ВЕБ-РЕСУРСОВ СЕТИ
ИНТЕРНЕТ………………………………………………………
Архипов О.Є, Архипова Є.О.
ОСОБЛИВОСТІ РОЗУМІННЯ ПОНЯТЬ
«ІНФОРМАЦІЙНА БЕЗПЕКА» ТА «БЕЗПЕКА
ІНФОРМАЦІЇ»…………………………………………………..
Горбачик О.С.
ІНФОРМАЦІЙНІ ТЕХНОЛОГІЇ ЯК ФАКТОР
ТРАНСФОРМАЦІЇ СИСТЕМ ОРГАНІЗАЦІЙНОГО
УПРАВЛІННЯ…………………………………………………..
Березін Б.О., Ланде Д.В., Шиховець О.В.
ЖИВУЧІСТЬ ІНФОРМАЦІЙНИХ ОБ’ЄКТІВ ПРИ
ДОВГОТЕРМІНОВОМУ ЗБЕРІГАННІ ІЗ
ВИКОРИСТАННЯМ АРХІВНИХ НОСІЇВ……………….
Брайчевський С.М.
ЕЛЕКТРОННІ ЕНЦИКЛОПЕДИЧНІ РЕСУРСИ ЯК
ЕЛЕМЕНТ ТЕХНОЛОГІЇ ІНФОРМАЦІЙНОЇ
БЕЗПЕКИ……………………………………………………….
Кузнєцова М.Г.
ПРОБЛЕМИ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ
В СИСТЕМАХ ОРГАНІЗАЦІЙНОГО
УПРАВЛІННЯ…………………………………………………..
Левченко О.В.
СИСТЕМА ІНДИКАТОРІВ ОЦІНКИ СТАНУ
ІНФОРМАЦІЙНОЇ БЕЗПЕКИ ДЕРЖАВИ………………
Сенченко В.Р.
КОНЦЕПЦІЯ ПОБУДОВИ ІНФОРМАЦІЙНОАНАЛІТИЧНОЇ СИСТЕМИ УПРАВЛІННЯ
МІГРАЦІЙНИМИ ПРОЦЕСАМИ В УКРАЇНІ…………..
Мельник К.С.
АКТУАЛЬНІ ПИТАННЯ ЗАХИСТУ ПЕРСОНАЛЬНИХ
ДАНИХ В ІНФОРМАЦІЙНИХ
РЕСУРСАХ…………………………………………………..….
3
18
31
40
46
50
57
60
68
178
Кронівець Т.М.
ЗАХИСТ ПЕРСОНАЛЬНИХ ДАНИХ ОСІБ,
ЯКІ НАВЧАЮТЬСЯ У ВИЩИХ НАВЧАЛЬНИХ
ЗАКЛАДАХ УКРАЇНИ, ЯК СКЛАДОВА
ІНФОРМАЦІЙНОЇ БЕЗПЕКИ ОСОБИСТОСТЕЙ….….
Бойко Ю.Д., Бойко Г.Ф., Дулеба Н.В.
ОЦІНКА ЕКОНОМІЧНОЇ БЕЗПЕКИ
ПІДПРИЄМСТВА НА ОСНОВІ СЦЕНАРНОГО
АНАЛІЗУ ТОЧКИ БЕЗЗБИТКОВОСТІ…………………..
Панченко В.М.
ВИЗНАЧЕННЯ ПОНЯТЬ "ПРОПАГАНДА" ТА
"СПЕЦІАЛЬНА ІНФОРМАЦІЙНА ОПЕРАЦІЯ":
ПОРІВНЯЛЬНИЙ АНАЛІЗ…………………………………..
Мохор В.В., Богданов О.М., Бакалинський О.О.,
Цуркан В.В.
ФОРМУВАННЯ СИСТЕМИ ПОНЯТЬ У ГАЛУЗІ
УПРАВЛІННЯ ІНФОРМАЦІЙНОЮ БЕЗПЕКОЮ……..
Мохор В.В., Цуркан О.В.
АНАЛІЗ СОЦІОІНЖЕНЕРНИХ АТАК НА ЛЮДИНУ
В КІБЕРПРОСТОРІ………………………………………..….
Кузьмичев А.И.
ОПТИМАЛЬНОЕ РАЗМЕЩЕНИЕ СРЕДСТВ
КОНТРОЛЯ ДЛЯ ЗАЩИТЫ ОБЪЕКТА:
ЗАДАЧИ, МОДЕЛИ, РЕАЛИЗАЦИЯ В EXCEL……..…
Балагура І.В.
ДОСЛІДЖЕННЯ ЗАКОНОМІРНОСТЕЙ
ВІДВІДУВАННЯ РЕФЕРАТИВНОЇ БАЗИ ДАНИХ
«УКРАЇНІКА НАУКОВА»………………………………….….
Скулиш Є.Д., Довгань О.Д.
ІНФОРМАЦІЙНА ВІЙНА – КОМПЛЕКС
ІНФОРМАЦІЙНИХ ЗАГРОЗ………………………………..
Забара І.М.
МІЖНАРОДНА ІНФОРМАЦІЙНА БЕЗПЕКА:
СУЧАСНІ КОНЦЕПЦІЇ В МІЖНАРОДНОМУ
ПРАВІ……………………………………………………………..
Зоринец Д.И., Ландэ Д.В., Снарский А.А.
СКРЫТЫЕ СВЯЗИ В СОЦИАЛЬНЫХ СЕТЯХ………..
Нечаєв О.О.
ОЦІНКА ВЛАСТИВОСТЕЙ ВІДНОВЛЕННЯ
ТЕРОРИСТИЧНИХ МЕРЕЖ………………………………..
74
81
91
98
100
103
110
112
117
128
132
179
Косогов О.М.
ІНФОРМАЦІЙНА БЕЗПЕКА У СФЕРІ ОБОРОНИ ЯК
СКЛАДОВА ВОЄННОЇ БЕЗПЕКИ
УКРАЇНИ…………………………………………………………
Додонов О.Є.
ПІДХОДИ ДО ВИЗНАЧЕННЯ КОМПЕТЕНЦІЇ
ФАХІВЦІВ ЩОДО ІНФОРМАЦІЙНОЇ БЕЗПЕКИ В
КОРПОРАТИВНОМУ МЕРЕЖЕВОМУ
СЕРЕДОВИЩІ………………………………………………….
Добровська С.В.
АНАЛІЗ ПУБЛІКАЦІЙНОЇ АКТИВНОСТІ З
НАПРЯМКУ «ЗАХИСТ ІНФОРМАЦІЇ» ЗА
РЕФЕРАТИВНОЮ БАЗОЮ ДАНИХ «УКРАЇНІКА
НАУКОВА»…………………………………………………….…
Михайлюта О.О.
РЕАКЦІЯ РОЗВАЖАЛЬНОГО КОМПОНЕНТУ
УКРАЇНСЬКОЇ ПРЕСИ НА ДЕЗІНФОРМАЦІЮ
РОСІЙСЬКИХ ЗМК…………………………………………...
Штыфурак Ю.М.
КОМПЛЕКСНАЯ ОЦЕНКА БЕЗОПАСНОСТИ
ИНФОРМАЦИИ НА ОСНОВЕ НЕЙРОСЕТЕВЫХ
ТЕХНОЛОГИЙ………………………………………………....
Іванов В.В.
ЗАГАЛЬНІ ПІДХОДИ ДО УПРАВЛІННЯ
ІНФОРМАЦІЙНИМИ РИЗИКАМИ………………………..
Додонов А.Г., Ландэ Д.В., Путятин В.Г.
АВТОМАТИЗИРОВАННАЯ СИСТЕМА ОБРАБОТКИ
ИНФОРМАЦИИ И УПРАВЛЕНИЯ………………………..
140
144
153
160
164
167
171
180
Национальная академия наук Украины
Институт проблем регистрации информации
Национальная академия правовых наук Украины
Научно-исследовательский институт информатики и
права
Национальный технический университет Украины «КПИ»
Учебно-научный центр информационного права и
правовых вопросов информационных технологий ФСП
Сборник научных трудов
Информационные технологии
и безопасность:
основы обеспечения информационной
безопасности
Выпуск 14
Подписано к печати 26.06.2014. Тираж 100 экз.
Заказ № 812/a. ООО “Инжиниринг”
1/--страниц
Пожаловаться на содержимое документа