Основні поняття
Виходячи з означення інформаційної безпеки при створенні системи захисту інформації потрібно визначити загрози безпеці інформації, джерела цих загроз, способи їхньої реалізації і мету, а також інші умови і дії, що порушують безпеку. При цьому, варто розглядати і заходи захисту інформації від неправомірних дій, що призводять до збитку.
Для аналізу такого значного набору джерел, об’єктів і дій доцільно використовувати методи моделювання. При цьому варто враховувати, що модель не копіює оригінал, вона простіше. Модель повинна бути досить загальною, щоб описувати реальні дії з урахуванням їх складності.
На рисунку 2.1 наведено концептуальну модель безпеки інформації, яка має чотири основних складові. З одного боку, це інформація, що захищається, а з іншого – загрози цій інформації. Загрози реалізуються за допомогою певних способів доступу, але їм перешкоджає захист інформації.
Рисунок 2.1 – Концептуальна модель безпеки інформації
Джерелами конфіденційної (секретної) інформації є:
документи всіх видів, на будь-яких носіях (у тому числі всі види носіїв, використовуваних в обчислювальній техніці й техніці засобів зв'язку);
персонал (пам'ять людей), що володіє знаннями й персонал (пам'ять людей), що володіє знаннями й кваліфікацією в різних галузях науки і техніки;
організаційні одиниці - наукові, виробничі, управлінські й інші організації, що мають кадрові, технічні, виробничі, фінансові й інші можливості для вирішення певного кола проблем і завдань;
промислові зразки (будь-які матеріальні об'єкти, створені в процесі виробництва), рецептури й технології, програмні засоби, які є результатом наукової й виробничої діяльності людей;
науковий інструментарій (у тому числі автоматизовані системи наукових досліджень, автоматизовані робочі місця науковців і проектувальників, експертні системи і бази знань).
Захищають і охороняють, як правило, не всю або не будь-яку інформацію, а найбільш важливу для власника, обмеження поширення якої приносить йому якусь користь або прибуток, можливість ефективно вирішувати завдання, що стоять перед ним.
Власниками інформації, яку захищають, можуть бути:
держава та її структури (органи);
підприємства, товариства, акціонерні товариства (у тому числі спільні);
громадські організації;
громадяни.
Конфіденційна або секретна інформація поділяється на такі види:
державнатаємниця;
комерційнатаємниця;
банківська таємниця;
податкова таємниця;
службова таємниця;
професійна таємниця;
персональні дані.
Засекречування інформації – це сукупність організаційно-правових заходів, регламентованих законами й іншими нормативними актами, щодо введення обмежень на поширення й використання інформації в інтересах її власника.
Основні принципи засекречування інформації.
1) Законність засекречування інформації. Полягає в здійсненні його строго в рамках чинних законів й інших підзаконних нормативних актів. Відступ від цього принципу може завдати серйозної шкоди інтересам захисту інформації, інтересам особистості, суспільства й держави, зокрема незаконним приховуванням від суспільства інформації, яка не вимагає засекречування, або витоку важливої інформації.
2) Обґрунтованість засекречування інформації. Полягає у встановленні шляхом експертної оцінки доцільності засекречування конкретних відомостей, імовірних економічних або інших наслідків цього акту, виходячи з балансу життєво важливих інтересів особистості, суспільства й держави. Невиправдано засекречувати інформацію, імовірність розкриття якої перевищує можливість збереження її в таємниці.
3) Своєчасність засекречування інформації. Полягає у встановленні обмежень на поширення цих відомостей з моменту їх одержання (розробки) або завчасно.
4) Підпорядкованість відомчих заходів щодо засекречування інформації загальнодержавним інтересам. Це в першу чергу стосується захисту державної таємниці. Що стосується комерційної таємниці, то підприємства наділені правами засекречування інформації, крім застережених у законі випадків.
Розсекречення конфіденційної й секретної інформації, робіт, документів, виробів – це діяльність підприємств стосовно зняття (часткового або повного) обмежень на доступ до раніше засекреченої інформації, на доступ до її носіїв, викликана вимогами законів і об'єктивних факторів: зміною міжнародної й внутрішньодержавної обстановки, появою більш досконалих видів певної техніки, зняттям виробів з виробництва, передачею (продажем) науково-технічних рішень оборонного характеру в народне господарство, продажем виробу за кордон і т.д., а також узяттям державою на себе міжнародних зобов'язань щодо відкритого обміну відомостями, які складають державну таємницю.
Інформація повинна залишатися секретною або конфіденційною доти, поки цього вимагають інтереси національної безпеки або конкурентної й комерційної діяльності підприємства.
Інформація розсекречується не пізніше строків, установлених при її засекречуванні.
Розсекреченню (розголошенню) не підлягають відомості, що стосуються особистого (неслужбового) життя громадян країни, якщо на інше немає згоди самих громадян, а у випадку їхньої смерті - їх найближчих родичів. Інший порядок такого розсекречення розглядається через суд.
Будь-яка фірма, займаючись своєю діяльністю, функціонує в деякому просторі (зовнішньому середовищі), і на її розвиток впливає ряд факторів (позитивних або негативних) як зовнішніх, так і внутрішніх. Негативні фактори часто називають факторами загроз або загрозами.
Джерелами зовнішніх загроз є:
конкуренти;
кримінальні структури;
корумповані елементи держаних структур;
природні катаклізми і техногенні катастрофи.
Внутрішні загрози створюють:
засновники та вище керівництво;
менеджери різних рівнів;
персонал.
Об’єктами загроз є відомості про склад, стан і діяльність об’єкта захисту (персоналу, матеріальних і фінансових цінностей, інформаційних ресурсів).
Загрози інформаціїполягають у порушенні її цілісності, конфіденційності, повноти і доступності.
Джерела загроз мають на меті ознайомлення з відомостями, що охороняються, їх модифікацію в корисливих цілях і знищення для нанесення прямого матеріального збитку.
Одержати конфіденційну інформаціюможна у такі способи:
за рахунок її розголошення джерелами повідомлень;
за рахунок витоку інформації через технічні засоби;
за рахунок несанкціонованого доступу до повідомлень, що охороняються.
Основними напрямками захисту інформаціїє правовий, організаційний і інженерно-технічний захисти інформації як складові комплексного підходу до забезпечення інформаційної безпеки.
Захист інформації може бути здійснений за допомогою таких засобів:
фізичних;
апаратних;
програмних;
криптографічних;
стеганографічних.
До способів захистуналежать усілякі заходи, шляхи, способи і дії, що забезпечують попередження протиправних дій, їхнє запобігання, припинення і протидію несанкціонованому доступу.
Концепція безпеки є основним правовим документом, що визначає захищеність підприємства від внутрішніх і зовнішніх загроз.
- Поняття інформаційної безпеки
- Основні задачі інформаційної безпеки
- Важливість і складність проблеми інформаційної безпеки
- Об’єктно-орієнтований підхід до інформаційної безпеки
- Основні положення системи зАхисту інформації
- Поняття системи захисту інформації
- Вимоги до захисту інформації
- Вимоги до системи захисту інформації
- Види забезпечення системи захисту інформації
- Основні поняття
- Загрози безпеці інформації
- Основні поняття і класифікація загроз
- Основні загрози доступності
- Основні загрози цілісності
- Основні загрози конфіденційності
- Шкідливе програмне забезпечення
- Інформація, що підлягає захисту
- Основні поняття
- Сфери розповсюдження державної таємниці на інформацію
- Комерційна таємниця
- Персональні дані
- Дії, що призводять до неправомірного оволодіння конфіденційною інформацією
- Перехоплення даних та канали витоку інформації
- Порушники інформаційної безпеки
- Модель поводження потенційного порушника
- Класифікація порушників
- Методика вторгнення
- Умови, що сприяють неправомірному оволодінню конфіденційною інформацією
- Основні поняття законодавчого рівня інформаційної безпеки
- Система забезпечення інформаційної безпеки України
- Правові актИ
- Структура правових актів
- Нормативно-правові документи
- Форми захисту інформації
- Правові норми забезпечення безпеки і захисту інформації на підприємстві
- УкраїнськЕ законодавство в галузі інформаційної безпеки
- Зарубіжне законодавство в галузі інформаційної безпеки
- Стандарти і специфікації в галузі безпеки інформаційНих систем
- “Помаранчева книга” як оцінний стандарт
- Класи безпеки інформаційних систем
- Технічна специфікація X.800
- Стандарт iso/iec 15408
- Поняття політики безпеки
- Розробка політики безпеки
- Програма реалізації політики безпеки
- Синхронізація програми безпеки з життєвим циклом систем
- Управління ризиками
- Основні класи заходів організаційного рівня
- Управління персоналом
- Фізичний захист
- Заходи щодо захисту локальної робочої станції
- Підтримка працездатності
- Реагування на порушення режиму безпеки
- Планування відновлювальних робіт
- Служба безпеки підприємства
- Поняття інженерно-технічного захисту
- Фізичні засоби захисту
- Види фізичних засобів
- Охоронні системи
- Охоронне телебачення
- Охоронне освітлення та засоби охоронної сигналізації
- Захист елементів будинків і приміщень
- Апаратні засоби захисту
- Програмні засоби захисту
- Криптографічні засоби захисту
- Основні поняття криптографії
- Методи шифрування
- Криптографічні протоколи
- Контроль цілісності
- Технологія шифрування мови
- Стеганографічні засоби захисту
- Особливості сучасних інформаційних систем з погляду безпеки
- Принципи Архітектурної безпеки
- Ідентифікація та автентифікація
- Логічне управління доступом
- Протоколювання та аудит
- Основні поняття
- Активний аудит
- Склад засобів активного аудиту
- Екранування
- Аналіз захищеності
- Забезпечення високої доступності
- Тунелювання
- Управління інформаційними системами
- Афоризми і постулати інформаційної безпеки
- Список літератури
- Додаткова
- 1 Галузь використання
- 2 Нормативні посилання
- 3 Загальні положення
- 4 Побудова системи захисту інформації
- 4.1 Визначення й аналіз загроз
- 4.2 Розроблення системи захисту інформації
- 4.3 Реалізація плану захисту інформації
- 4.4 Контроль функціювання та керування системою захисту інформації
- 5 Нормативні документи системи тзі
- 21021, М. Вінниця, Хмельницьке шосе, 95, внту
- 21021, М. Вінниця, Хмельницьке шосе, 95, внту