logo search
Основи інформаційної безпеки / пос_бник_О_Б_МОН

Основні поняття

Виходячи з означення інформаційної безпеки при створенні системи захисту інформації потрібно визначити загрози безпеці інформації, джерела цих загроз, способи їхньої реалізації і мету, а також інші умови і дії, що порушують безпеку. При цьому, варто розглядати і заходи захисту інформації від неправомірних дій, що призводять до збитку.

Для аналізу такого значного набору джерел, об’єктів і дій доцільно використовувати методи моделювання. При цьому варто враховувати, що модель не копіює оригінал, вона простіше. Модель повинна бути досить загальною, щоб описувати реальні дії з урахуванням їх складності.

На рисунку 2.1 наведено концептуальну модель безпеки інформації, яка має чотири основних складові. З одного боку, це інформація, що захищається, а з іншого – загрози цій інформації. Загрози реалізуються за допомогою певних способів доступу, але їм перешкоджає захист інформації.

Рисунок 2.1 – Концептуальна модель безпеки інформації

Джерелами конфіденційної (секретної) інформації є:

Захищають і охороняють, як правило, не всю або не будь-яку інформацію, а найбільш важливу для власника, обмеження поширення якої приносить йому якусь користь або прибуток, можливість ефективно вирішувати завдання, що стоять перед ним.

Власниками інформації, яку захищають, можуть бути:

Конфіденційна або секретна інформація поділяється на такі види:

Засекречування інформації – це сукупність організаційно-правових заходів, регламентованих законами й іншими нормативними актами, щодо введення обмежень на поширення й використання інформації в інтересах її власника.

Основні принципи засекречування інформації.

1) Законність засекречування інформації. Полягає в здійсненні його строго в рамках чинних законів й інших підзаконних нормативних актів. Відступ від цього принципу може завдати серйозної шкоди інтересам захисту інформації, інтересам особистості, суспільства й держави, зокрема незаконним приховуванням від суспільства інформації, яка не вимагає засекречування, або витоку важливої інформації.

2) Обґрунтованість засекречування інформації. Полягає у встановленні шляхом експертної оцінки доцільності засекречування конкретних відомостей, імовірних економічних або інших наслідків цього акту, виходячи з балансу життєво важливих інтересів особистості, суспільства й держави. Невиправдано засекречувати інформацію, імовірність розкриття якої перевищує можливість збереження її в таємниці.

3) Своєчасність засекречування інформації. Полягає у встановленні обмежень на поширення цих відомостей з моменту їх одержання (розробки) або завчасно.

4) Підпорядкованість відомчих заходів щодо засекречування інформації загальнодержавним інтересам. Це в першу чергу стосується захисту державної таємниці. Що стосується комерційної таємниці, то підприємства наділені правами засекречування інформації, крім застережених у законі випадків.

Розсекречення конфіденційної й секретної інформації, робіт, документів, виробів – це діяльність підприємств стосовно зняття (часткового або повного) обмежень на доступ до раніше засекреченої інформації, на доступ до її носіїв, викликана вимогами законів і об'єктивних факторів: зміною міжнародної й внутрішньодержавної обстановки, появою більш досконалих видів певної техніки, зняттям виробів з виробництва, передачею (продажем) науково-технічних рішень оборонного характеру в народне господарство, продажем виробу за кордон і т.д., а також узяттям державою на себе міжнародних зобов'язань щодо відкритого обміну відомостями, які складають державну таємницю.

Інформація повинна залишатися секретною або конфіденційною доти, поки цього вимагають інтереси національної безпеки або конкурентної й комерційної діяльності підприємства.

Інформація розсекречується не пізніше строків, установлених при її засекречуванні.

Розсекреченню (розголошенню) не підлягають відомості, що стосуються особистого (неслужбового) життя громадян країни, якщо на інше немає згоди самих громадян, а у випадку їхньої смерті - їх найближчих родичів. Інший порядок такого розсекречення розглядається через суд.

Будь-яка фірма, займаючись своєю діяльністю, функціонує в деякому просторі (зовнішньому середовищі), і на її розвиток впливає ряд факторів (позитивних або негативних) як зовнішніх, так і внутрішніх. Негативні фактори часто називають факторами загроз або загрозами.

Джерелами зовнішніх загроз є:

Внутрішні загрози створюють:

Об’єктами загроз є відомості про склад, стан і діяльність об’єкта захисту (персоналу, матеріальних і фінансових цінностей, інформаційних ресурсів).

Загрози інформаціїполягають у порушенні її цілісності, конфіденційності, повноти і доступності.

Джерела загроз мають на меті ознайомлення з відомостями, що охороняються, їх модифікацію в корисливих цілях і знищення для нанесення прямого матеріального збитку.

Одержати конфіденційну інформаціюможна у такі способи:

Основними напрямками захисту інформаціїє правовий, організаційний і інженерно-технічний захисти інформації як складові комплексного підходу до забезпечення інформаційної безпеки.

Захист інформації може бути здійснений за допомогою таких засобів:

До способів захистуналежать усілякі заходи, шляхи, способи і дії, що забезпечують попередження протиправних дій, їхнє запобігання, припинення і протидію несанкціонованому доступу.

Концепція безпеки є основним правовим документом, що визначає захищеність підприємства від внутрішніх і зовнішніх загроз.