Інформаційна безпека now: яких елементів не вистачає?

29 жовтня Міжнародний день Інтернету. Спеціально до цієї дати експерти ЕЦПЛ зробили детальний огляд документів, законів, ресурсів, які має Україна у сфері інформаційної безпеки.Використання ...

Додано:
experthrcenter

information security

experthrcenter

29 жовтня Міжнародний день Інтернету. Спеціально до цієї дати експерти ЕЦПЛ зробили детальний огляд документів, законів, ресурсів, які має Україна у сфері інформаційної безпеки.

Використання всесвітньої мережі та нових технологій супроводжується такими явищами, як низький рівень культури безпеки, збільшення онлайн користувачів і залежності від цифрової інфраструктури, поширення небажаного контенту, розвиток кібер-шахрайства, витоки інформації, втрата даних, несанкціонований доступ до інформації.

Кібервійни та кібертероризм набувають глобального характеру та вираженої динаміки, що ускладнює їх виявлення та можливості протидії.

Також зростає злочинність у сфері банківської діяльності, збільшилась кількість несанкціонованого втручання в роботу комп’ютерів, а відповідальність за такі злочини не відповідає стандартам міжнародної конвенції про кібербезпеку.

Наприклад, за даними кримінального провадження  №  554/8338/17 у Полтаві трьома людьми було викрадено у 41 людини 1,16 млн грн, покарання особи отримали незначне, а таких випадків чимало, адже у 2018 році кіберполіція зареєструвала 11 131 кримінальне провадження.

Збільшення кількості інформаційних злочинів за останні п’ять років у 2,5 рази означає, що кожному з нас, особливо державі, варто посилити інформаційну безпеку.

computer (1)

Що таке інформаційна безпека?

В українському законодавстві термін закріплено лише у Законі України «Про Основні засади розвитку інформаційного суспільства в Україні на 2007-2015 роки» [1]. Також визначення можна знайти в Угоді держав-учасниць СНД [2].

Якщо навести приклади, то інформаційна безпека – це про захист коштів на банківській картці, цілісність медичних даних у системі helsi, не заборонений контент у соціальних мережах, неможливість стороннього редагування законів на rada.gov.ua, конфіденційність повідомлень у месенджерах, а також захист від кібер- атак об’єктів критичної інфраструктури [3], наприклад аеропорту Бориспіль.

Які пріоритети держави у цій сфері?

Відповідно державної стратегії у сфері інформаційної безпеки та плану її виконання  – в Україні немає.

Навіть, Стратегія розвитку Кабінету міністрів України не містить жодних пріоритетів у сфері інформаційної безпеки [4].

phone

У Доктрині інформаційної безпеки України визначено, що до національних інтересів України в інформаційній сфері віднесено такі життєво-важливі інтереси особи, як:

  • забезпечення конституційних прав і свобод людини на збирання, зберігання, використання та поширення інформації;
  • забезпечення конституційних прав людини на захист приватного життя;
  • захищеність від руйнівних інформаційно-психологічних впливів.

Проте, цей документ являє собою сукупність теоретичних понять про цілі, принципи та правові складові інформаційної безпеки.

Відтак, з нього не зрозуміло чітких завдань та відповідальних суб’єктів за інформаційну безпеку, оскільки він є лише  основою для розроблення проектів, концепцій, стратегій, цільових програм і планів дій із забезпечення інформаційної безпеки України.

Протягом останніх років значно зросла необхідність в комплексному та ефективному підході до процесу забезпечення безпеки національного інформаційного простору, і це проглядається у нормативних документах зарубіжних країн.

Наприклад, у Молдові діє Стратегія інформаційної безпеки яка містить опис безпекових та правових проблем,  цілі, задачі, KPI [5], та план її реалізації із чітким розподілом відповідальних суб’єктів.

У Данії також на державному рівні розроблено стратегію інформаційної та кібер безпеки яка комплексно охоплює інформаційну безпеку – від найвищого державного рівня –  до безпеки людини в мережі.

В Естонії, яка вважається європейським  лідером  із застосування цифрових технологій в економіці та адмініструванні дбають про інформаційний захист з 1996 року.

Дизайн без назви (1)

Які є перспективи в Україні?

На мою думку, враховуючи досвід найкращих світових практик, інформаційну безпеку в Україні маємо розглядати як систему, що складається з чотирьох компонентів: правового, технічного, комунікаційного та освітнього.

Правовий компонент повинен встановити норми та гарантувати юридичні механізми системи захисту інформації в державі, забезпечувати відповідний механізм попередження, реагування та розслідування будь-яких посягань на інформаційну безпеку.

Технічний компонент має забезпечити інженерно-технічними заходами конфіденційність, цілісність та доступність інформації;

Комунікаційний компонент – забезпечення системи моніторингу та формування контенту у соціальних мережах;

Освітній компонент – інтегроване систематичне навчання інформаційній безпеці у закладах освіти, а також підвищення кваліфікації для працівників органів державної влади та місцевого самоврядування, які працюють з інформацією.

Відштовхуючись від цих 4-х компонентів, можна виокремити необхідні перші кроки для посилення інформаційної безпеки:

1.Виявити специфічні сегменти, що вимагають реформування у сфері інформаційної безпеки. Наприклад, провести комплексні аудити (правовий, технічний, комунікаційний та освітній) у сфері інформаційної безпеки у державних органах із залученням зацікавлених суб’єктів.

2.На основі виявлених вразливостей із фахівцями у сфері інформаційної безпеки сформувати національну стратегію інформаційної безпеки та реалістичний план її виконання.

3.Розпочати реалізацію реформи інформаційної безпеки.

*****

[1] Інформаційна безпека – стан захищеності життєво важливих інтересів людини, суспільства і держави, при якому запобігається нанесення шкоди через: неповноту, невчасність та невірогідність інформації, що використовується; негативний інформаційний вплив; негативні наслідки застосування інформаційних технологій; несанкціоноване розповсюдження, використання і порушення цілісності, конфіденційності та доступності інформації.

[2] Інформаційна безпека – стан захищеності інформаційного середовища суспільства, що забезпечує його формування, використання і розвиток в інтересах громадян, організацій, держави.

[3] Об’єкти критичної інфраструктури – підприємства та установи (незалежно від форми власності) таких галузей, як енергетика, хімічна промисловість, транспорт, банки та фінанси, інформаційні технології та телекомунікації (електронні комунікації), продовольство, охорона здоров’я, комунальне господарство, що є стратегічно важливими для функціонування економіки і безпеки держави, суспільства та населення.

[4] У цілі 12.1 стратегії йдеться мова лише про захист юридично значущої інформації (про права на нерухомість, транспортні засоби, корпоративні права та інші вартісні об’єкти).

[5] KPI – ключові показники ефективності (Key Performance Indicators), — фінансова та нефінансова система оцінювання, яка допомагає організації визначити досягнення стратегічних цілей.

Автор: Анастасія Апетик, Експертний центр з прав людини

#інформаційнабезпека #кібербезпека #ЕЦПЛ


Тематика публікації:    

Останні публікації цього розділу:

Дослідження «Євромапа України. Рейтинг євроінтеграції областей»

Посібник «Свобода вираження поглядів під час збройного конфлікту. Огляд практики Європейського суду з прав людини»

Стратегічне планування в секторі охорони здоров’я в об’єднаних громадах - посібник

Кваліфікаційне оцінювання: error чи loading

Соціальне підприємництво: посібник для викладачів курсу

Законодавча гіперопіка у сфері інтерв’ю