Поняття інформаційної безпеки
Перш ніж говорити про інформаційну безпеку необхідно визначитися з поняттям “інформація”. Це поняття сьогодні вживається дуже широко і різнобічно. Важко знайти таку галузь знань, де б воно не використовувалося. Повсякденно під час здійснення різних видів діяльності користуються таким поняттям:
Інформація – нові дані про людей, предмети, факти, події, явища і процеси незалежно від форми їхнього представлення.
У галузі інформаційних систем рекомендується таке означення інформації:
Інформація – це відомості, які є об’єктом зберігання, передавання і оброблення.
Відомо, що інформація може мати різну форму, зокрема, дані в комп’ютерах, листи, пам'ятні записи, досьє, формули, креслення, діаграми, моделі продукції, дисертації, судові документи й ін.
Як і всякий продукт, інформація має споживачів, що потребують її, і тому володіє певними споживчими якостями, а також має і своїх власників або виробників.
Відповідно до різноманітності поняття інформації, словосполучення “інформаційна безпека” в різних контекстах може мати різний сенс. Так, у Законі України “Про Основні засади розвитку інформаційного суспільства в Україні на 2007-2015 роки” наводиться таке поняття інформаційної безпеки:
Інформаційна безпека – стан захищеності життєво важливих інтересів людини, суспільства і держави, при якому запобігається нанесення шкоди через: неповноту, невчасність та невірогідність інформації, що використовується; негативний інформаційний вплив; негативні наслідки застосування інформаційних технологій; несанкціоноване розповсюдження, використання і порушення цілісності, конфіденційності та доступності інформації.
Спеціальне законодавство в галузі безпеки інформаційної діяльності представлено низкою законів. У їхньому складі особливе місце належить базовому Закону “Про інформацію, інформатизацію і захист інформації”, що закладає основи правового визначення всіх найважливіших компонентів інформаційної діяльності:
інформації та інформаційних систем;
суб’єктів – учасників інформаційних процесів;
правовідносин виробників – споживачів інформаційної продукції;
власників інформації – обробників і споживачів на основі відносин власності при забезпеченні гарантій інтересів громадян і держави.
У даному посібнику увагу буде зосереджено на процесах зберігання, оброблення і передавання інформації. Тому термін “інформаційна безпека” використовуватиметься у вузькому сенсі, як це прийнято, наприклад, в англомовній літературі.
Інформаційна безпека (ІБ) – це стан захищеності інформації та інфраструктури, що її підтримує, від випадкових або навмисних дій природного або штучного характеру, які можуть завдати неприйнятного збитку суб’єктам інформаційних відносин, зокрема, власникам і користувачам інформації та інфраструктури.
Таким чином, правильний з методологічної точки зору підхід до проблем ІБ починається з виявлення суб’єктів інформаційних відносин та інтересів цих суб'єктів, пов’язаних з використанням інформаційних систем (ІС). Загрози інформаційній безпеці – це зворотна сторона використання інформаційних технологій.
Тут необхідно зауважити, що трактування проблем, пов'язаних з інформаційною безпекою, для різних категорій суб'єктів може істотно різнитися. Для ілюстрації досить зіставити режимні державні організації і навчальні заклади. У першому випадку “хай краще все зламається, ніж ворог дізнається хоч один секретний біт”, у другому – “немає у нас жодних секретів, аби все працювало”. Отже, інформаційна безпека не зводиться виключно до захисту від несанкціонованого доступу до інформації, це поняття принципово ширше.
Суб’єкт інформаційних відносин може постраждати (зазнати збитки та/або одержати моральний збиток) не тільки від несанкціонованого доступу, але й від поломки системи, що викликала перерву в роботі. Більш того, для багатьох відкритих організацій власне захист від несанкціонованого доступу до інформації стоїть за важливістю зовсім не на першому місці.
Повертаючись до питань термінології, відзначимо, що термін “комп’ютерна безпека”(як еквівалент або замінник ІБ) є дуже вузьким. Комп'ютери – тільки одна із складових інформаційних систем, і хоч наша увага буде зосереджена в першу чергу на інформації, яка зберігається, обробляється і передається за допомогою комп'ютерів, її безпека визначається всією сукупністю складових і, в першу чергу, найслабкішою ланкою, якою в переважній більшості випадків виявляється людина.
Згідно з визначенням інформаційної безпеки, вона залежить не тільки від комп’ютерів, але й від інфраструктури, що її підтримує, до якої можна віднести системи електро-, водо- і теплопостачання, кондиціонери, засоби комунікацій і, звичайно, обслуговуючий персонал. Ця інфраструктура має самостійну цінність, але нас цікавитиме лише те, як вона впливає на виконання інформаційною системою своїх функцій.
Звернемо увагу, що у визначенні ІБ перед іменником “втрати” знаходиться прикметник “неприйнятний”. Очевидно, застрахуватися від усіх видів втрат неможливо, тим більше неможливо зробити це економічно доцільним способом, коли вартість захисних засобів і заходів не перевищує розмір очікуваних втрат. Значить, з чимось доводиться миритися і захищатися слід тільки від того, з чим змиритися ніяк не можна. Іноді такими неприпустимими витратами є нанесення шкоди здоров'ю людей або стану навколишнього середовища, але частіше поріг неприйнятності має матеріальний (грошовий) вираз, а метою захисту інформації стає зменшення розмірів втрат до припустимих значень.
- Поняття інформаційної безпеки
- Основні задачі інформаційної безпеки
- Важливість і складність проблеми інформаційної безпеки
- Об’єктно-орієнтований підхід до інформаційної безпеки
- Основні положення системи зАхисту інформації
- Поняття системи захисту інформації
- Вимоги до захисту інформації
- Вимоги до системи захисту інформації
- Види забезпечення системи захисту інформації
- Основні поняття
- Загрози безпеці інформації
- Основні поняття і класифікація загроз
- Основні загрози доступності
- Основні загрози цілісності
- Основні загрози конфіденційності
- Шкідливе програмне забезпечення
- Інформація, що підлягає захисту
- Основні поняття
- Сфери розповсюдження державної таємниці на інформацію
- Комерційна таємниця
- Персональні дані
- Дії, що призводять до неправомірного оволодіння конфіденційною інформацією
- Перехоплення даних та канали витоку інформації
- Порушники інформаційної безпеки
- Модель поводження потенційного порушника
- Класифікація порушників
- Методика вторгнення
- Умови, що сприяють неправомірному оволодінню конфіденційною інформацією
- Основні поняття законодавчого рівня інформаційної безпеки
- Система забезпечення інформаційної безпеки України
- Правові актИ
- Структура правових актів
- Нормативно-правові документи
- Форми захисту інформації
- Правові норми забезпечення безпеки і захисту інформації на підприємстві
- УкраїнськЕ законодавство в галузі інформаційної безпеки
- Зарубіжне законодавство в галузі інформаційної безпеки
- Стандарти і специфікації в галузі безпеки інформаційНих систем
- “Помаранчева книга” як оцінний стандарт
- Класи безпеки інформаційних систем
- Технічна специфікація X.800
- Стандарт iso/iec 15408
- Поняття політики безпеки
- Розробка політики безпеки
- Програма реалізації політики безпеки
- Синхронізація програми безпеки з життєвим циклом систем
- Управління ризиками
- Основні класи заходів організаційного рівня
- Управління персоналом
- Фізичний захист
- Заходи щодо захисту локальної робочої станції
- Підтримка працездатності
- Реагування на порушення режиму безпеки
- Планування відновлювальних робіт
- Служба безпеки підприємства
- Поняття інженерно-технічного захисту
- Фізичні засоби захисту
- Види фізичних засобів
- Охоронні системи
- Охоронне телебачення
- Охоронне освітлення та засоби охоронної сигналізації
- Захист елементів будинків і приміщень
- Апаратні засоби захисту
- Програмні засоби захисту
- Криптографічні засоби захисту
- Основні поняття криптографії
- Методи шифрування
- Криптографічні протоколи
- Контроль цілісності
- Технологія шифрування мови
- Стеганографічні засоби захисту
- Особливості сучасних інформаційних систем з погляду безпеки
- Принципи Архітектурної безпеки
- Ідентифікація та автентифікація
- Логічне управління доступом
- Протоколювання та аудит
- Основні поняття
- Активний аудит
- Склад засобів активного аудиту
- Екранування
- Аналіз захищеності
- Забезпечення високої доступності
- Тунелювання
- Управління інформаційними системами
- Афоризми і постулати інформаційної безпеки
- Список літератури
- Додаткова
- 1 Галузь використання
- 2 Нормативні посилання
- 3 Загальні положення
- 4 Побудова системи захисту інформації
- 4.1 Визначення й аналіз загроз
- 4.2 Розроблення системи захисту інформації
- 4.3 Реалізація плану захисту інформації
- 4.4 Контроль функціювання та керування системою захисту інформації
- 5 Нормативні документи системи тзі
- 21021, М. Вінниця, Хмельницьке шосе, 95, внту
- 21021, М. Вінниця, Хмельницьке шосе, 95, внту