Основні дії щодо збирання, зберігання, передачі та розповсюдження суспільно значущої інформації, як відомо, здійснюються за допомогою спеціальних технічних засобів та технологій. З розвитком науки та техніки ці інформаційні засоби і технології перетворюються на один із найважливіших компонентів інформаційних процесів, поряд із самою інформацією та суб'єктами інформаційних відносин. А це, у свою чергу, ставить відповідні вимоги щодо рівня безпеки інформаційних засобів і технологій та правового регулювання їх функціонування.

Слід зазначити, що на практиці існують значні розбіжності, навіть щодо визначення обсягів відповідної сфери. Найбільш обґрунтованим виглядає підхід, згідно з яким, до об'єктів цієї сфери відносять, зокрема, "інформаційні системи і інформаційні технології, засоби їх забезпечення", де під інформаційною системою розуміють "організаційно впорядковану сукупність документів (масивів документів) і інформаційних технологій, в тому числі з використанням засобів обчислювальної техніки і зв'язку, які реалізують інформаційні процеси"[150, 63]. Цілком логічним виглядає застереження "в тому числі" по відношенню до комп'ютерних технологій. Адже автоматизовані засоби обробки інформації з'явилися за історичними мірками зовсім недавно. І навпаки, протягом кількох тисячоліть існують традиційні способи обробки та передачі інформації - поштовий зв'язок, кур'єрська доставка тощо. Вже з початком ХХ століття до них поступово додалися телеграфні, телефонні, радіо, телевізійні і, нарешті, комп'ютерні мережі передачі інформації.

Дуже часто, при вирішенні питань інформаційної безпеки, інформаційні системи, що виступають об'єктом захисту, розглядають виключно крізь призму інформаційно-обчислювальної техніки, визначаючи, наприклад, інформаційно-телекомунікаційну систему як "організаційно-технічну сукупність, що складається з автоматизованої системи та мережі передачі даних"[212]. Аналогічним шляхом пішли і автори Закону України "Про телекомунікації" визначивши інформаційну систему як сукупність телекомунікаційних мереж та засобів для накопичення, обробки, зберігання та передавання даних (ст. 1)[104].

Але звуження технологічного аспекту інформаційної безпеки виключно до інформаційних систем, як сукупності фізичних об'єктів, на нашу думку є невиправданим. Інформаційна безпека є комплексною категорією, що обумовлюється багатьма факторами. Інформаційні системи працюють не самі по собі. Будь-яка інформаційна система, особливо автоматизована, "поділяється на функціональну частину та частину забезпечення, кожна з яких поділяється на складові елементи мінімально можливої розмірності"[149, 152]. Функціональна частина інформаційної системи спрямована на виконання функцій і завдань, що підлягають реалізації за допомогою цієї системи. Частина забезпечення представляє собою "наповнення" функціональної частини, за допомогою якого фактично реалізуються функції і завдання системи. Узагальнюючи такий підхід ми можемо говорити, що інформаційна система функціонує за тими ж самими правилами і законами, що і будь-який інший вид систематизованої діяльності з розподілом ролей і функцій. Створення будь-якої системи обробки чи передачі інформації, починаючи від поштової служби і закінчуючи комп'ютерними мережами, включає величезну кількість етапів та елементів. До цього переліку входить: створення фізичних об'єктів, на яких ця система розміщується, створення технічного і програмного забезпечення, підготовка кадрів, забезпечення фінансовими та енергетичними ресурсами тощо. І загрози інформаційній безпеці можуть виникати на будь-якому етапі створення та експлуатації інформаційної системи.

Це означає, що існує певна сукупність об'єктів, суб'єктів та відносин між ними, що забезпечує здійснення інформаційних процесів у державі в цілому. Тому важливим для вивчення технологічного аспекту інформаційної безпеки є створення чіткого визначення і окреслення меж відповідної сфери.

Цікавий комплексний підхід до проблеми запропоновано у Концепції Національної програми інформатизації", згідно з якою передбачається формування національної інфраструктури інформатизації (НІІ), яка включає:

• міжнародні та міжміські телекомунікаційні і комп'ютерні мережі,
• систему інформаційно-аналітичних центрів різного рівня,
• інформаційні ресурси,
• інформаційні технології,
• систему науково-дослідних установ з проблем інформатизації,
• виробництво та обслуговування технічних засобів інформатизації,
• системи підготовки висококваліфікованих фахівців у сфері інформатизації [79].

Можна побачити, що під терміном "інфраструктура" поєднуються як технічні засоби та технології, так і установи і організації, що забезпечують процес інформатизації, починаючи з виробництва і обслужування технічних засобів і закінчуючи підготовкою відповідних кадрів. Подібна інфраструктура повинна забезпечувати процеси інформатизації суспільства.

Якщо мати на увазі саме інформаційні процеси, що відбуваються в державі, то ми можемо говорити про відповідну інформаційну інфраструктуру, що ці процеси забезпечує. На відміну від визначеної законом інфраструктури інформатизації, інформаційна інфраструктура не включатиме безпосередньо інформаційні ресурси, адже вони є не компонентом, а предметом, що обробляється за допомогою цієї інфраструктури.

На нашу думку, саме термін "інформаційна інфраструктура", компонентами якого є технічні засоби, програмне забезпечення, різного роду установи і організації, найбільш чітко відображає їх сутність і загальне призначення - сприяти реалізації інформаційних процесів. Інформаційну інфраструктуру України можна визначити як сукупність технічних засобів і технологій, підприємств, установ і організацій, які реалізують інформаційні процеси і на які розповсюджується юрисдикція держави. Інформація або інформаційні ресурси незалежно від форми власності є наповненням цієї інфраструктури, продуктом її діяльності. На нашу думку, існує нагальна потреба закріплення такого визначення на законодавчому рівні, що надасть можливість більш ефективної реалізації державою своїх владно-розпорядчих повноважень щодо регулювання розвитку і використання об'єктів інформаційної інфраструктури для захисту національних інтересів і безпеки.

Ще однією важливою проблемою є визначення конкретних факторів, які необхідно враховувати, щоб охарактеризувати безпечність як конкретного інформаційного засобу або технології, так і всієї інформаційної інфраструктури, що знаходиться на території України. Для цього необхідно виходити з функціонального призначення систем та об'єктів інформаційної інфраструктури. Головне їх завдання полягає у реалізації інформаційних процесів. А головною цінністю є та інформація, яка обробляється в цих системах.

В рамках Закону України "Про телекомунікації" (ст. 1) інформаційна безпека розглядається як "здатність телекомунікаційних мереж забезпечувати захист від знищення, перекручення, блокування інформації, її несанкціонованого витоку або від порушення встановленого порядку її маршрутизації"[104]. Таким чином, інформаційна інфраструктура в цілому повинна захищати інформацію або інформаційні ресурси, які обробляються від потенційно, або реально можливих дій, що приводять до неправомірного заволодіння або розпорядження відомостями, що охороняються.

Видами таких неправомірних дій можуть бути:

• ознайомлення з конфіденційною інформацією різними шляхами і способами без порушення її цілісності,
• модифікація інформації в протиправних цілях як часткова або значна зміна складу і змісту відомостей,
• руйнування (знищення) інформації як акт вандалізму або з метою заподіяння прямої матеріальної шкоди.

Результатом неправомірних дій з інформацією є "порушення її конфіденційності, повноти, достовірності та доступності, що у свою чергу призводить до порушення як режиму управління, так і його якості (підкреслено нами - Б.К.) в умовах спотвореної або неповної інформації"[363, 18].

Таким чином ми можемо говорити про те, що головним об'єктом загрози для інформаційної інфраструктури є суспільні відносини, які складаються з приводу управління і користування об'єктами цієї інфраструктури. А безпосереднім предметом загрози - інформаційні ресурси та інформація, що обробляється. В аспекті безпеки інформаційна інфраструктура представляє собою певну оболонку, яка захищає інформацію, що знаходиться всередині її, від негативного впливу зовнішніх факторів.

Ці негативні фактори впливу можна класифікувати, в залежності від його джерела, на три групи [22, 643]:

Антропогенні фактори (безпосередньо створені людьми), які складають:

• ненавмисні або навмисні діяння обслуговуючого і управлінського персоналу, програмістів, користувачів, служби безпеки інформаційної системи;
• дії несанкціонованих користувачів (діяльність іноземних розвідувальних і спеціальних служб, кримінальних структур, недобросовісних партнерів та конкурентів, а також протиправна діяльність інших окремих осіб).

Техногенні фактори (викликані випадковим впливом технічних об'єктів):

• внутрішні (неякісні технічні і програмні засоби обробки інформації; засоби зв'язку, охорони, сигналізації; інші технічні засоби, що застосовуються в установі);
• глобальні техногенні загрози (небезпечні виробництва, мережі енерго-, водопостачання, каналізації, транспорт тощо), які призводять до зникнення або коливання електропостачання і інших засобів забезпечення і функціонування, відмов та збоїв апаратно-програмних засобів;
• електромагнітні випромінювання і наводки, витік через канали зв'язку (оптичні, електричні, звукові) тощо.

Природні фактори (вплив негативних природних чинників) - стихійні лиха, магнітні бурі, радіоактивний вплив.

Звідси для інформаційної інфраструктури взагалі і для кожного об'єкта її, зокрема, важливим є забезпечити незмінність внутрішніх умов обробки інформації при зміні (в тому числі і негативному) зовнішніх умов. Таким чином, безпеку інформаційних систем та інформаційної інфраструктури держави взагалі можна охарактеризувати як стан забезпеченості необхідних умов і параметрів інформаційних процесів, що реалізуються за їх допомогою, від негативного впливу ззовні.

В даному випадку під рівнем безпеки слід розуміти певні характеристики застосування будь-якої інформаційної технології, які гарантують конфіденційність, повноту, достовірність та доступність інформації. Адже дотримання правових режимів інформації безпосередньо залежить від умов і параметрів всіх процесів, що відбуваються з нею, в тому числі від технічних характеристик носіїв інформації та засобів її зберігання.

Неважко зрозуміти, що контроль над інформаційною інфраструктурою одночасно означає і контроль над параметрами і умовами інформаційних процесів, що здійснюються за її допомогою, а безпека інформаційної інфраструктури багато в чому визначає і безпеку інформації, що обробляється за її допомогою. Цей контроль за інформаційною інфраструктурою може здійснюватися двома способами, які застосовуються паралельно. Перший забезпечується державною власністю на найбільш важливі (стратегічні) елементи інформаційної інфраструктури і полягає в безпосередньому державному управлінні відповідними об'єктами. Другий забезпечується юрисдикцією держави на власній території і полягає в запровадженні єдиних, обов'язкових стандартів інформаційних процесів, які повинні дотримуватися власниками або операторами об'єктів інформаційної інфраструктури.