ОСНОВНІ ЗАДАЧІ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ

Інформаційна безпека - це багатогранна галузь діяльності, в якій ус­піх може принести тільки систематичний, комплексний підхід.

Основними задачами інформаційної безпеки є:

• забезпечення доступності інформації;

• забезпечення цілісності інформації;

• забезпечення конфіденційності інформації;

• забезпечення вірогідності інформації;

• забезпечення юридичної значимості інформації, представленої у вигляді електронного документа;

• забезпечення невідстежуваності дій користувача.

Доступність - це властивість інформаційного об’єкта щодо одержання його користувачем за прийнятний час.

Інформаційні системи створюються для отримання певних інформаційних послуг. Якщо з тих чи інших причин надати ці послуги користувачам стає неможливо, це, очевидно, завдає збитку всім суб’єктам інформаційних відносин. Тому, не протиставляючи доступність решті аспектів, ми виділяє­мо її як найважливіший елемент інформаційної безпеки.

Особливо яскраво основна роль доступності виявляється в різного роду системах управління виробництвом, транспортом тощо. Зовні менш драматичні, але також вельми неприємні наслідки - і матеріальні, і моральні - може мати тривала недоступність інформаційних послуг, якими користу­ється велика кількість людей (продаж залізничних та авіаквитків, банківські послуги тощо).

Хвилинна зупинка Лондонської фондової біржі через внутрішні неполадки інформаційної системи призвела до багатомільйонних втрат.

Цілісність - це властивість інформаційного об’єкта МІ зберігати свою структуру і/або змісту процесі передавання і зберігання.

Розрізняють цілісність статичну (тобто незмінність інформаційних об’єктів) і динамічну (стосується коректного виконання складних дій (транзакцій). Засоби контролю динамічної цілісності застосовуються, зокрема, при аналізі потоку фінансових повідомлень з метою виявлення крадіжки, переупорядковування або дублювання окремих повідомлень.

Міністерство оборони Великобританії веде розслідування з приводу порушення безпеки. Газета The Times пише, що всі повідомлення електронної пошти з ряду баз британських військово-повітряних сил потрапляють на російський сервер.

lnopressa.ru

Цілісність є найважливішим аспектом ІБ в тих випадках, коли інфор­мація служить “керівництвом до дії”. Рецептура ліків, зміст медичних про­цедур, набір і характеристики комплектуючих виробів, хід технологічного процесу - все це приклади інформації, порушення цілісності якої може при­звести до небажаних наслідків. Неприємно і спотворення офіційної інфор­мації. будь то текст закону або сторінка Web-сервера якої-небудь урядової організації.

Конфіденційність - це властивість інформації бути доступною тільки обмеженому колу користувачів інформаційної системи, в якій циркулює дана інформація.

Конфіденційність - найбільш опрацьований у нашій країні аспект інформаційної безпеки. На жаль, практична реалізація заходів щодо забезпечення конфіденційності сучасних інформаційних систем пов’язана із серйо­зними труднощами. По-перше, відомості про технічні канали витоку інфор­мації є закритими, тому більшість користувачів позбавлено можливості мати уявлення про потенційні ризики. По-друге, на шляху призначеної для корис­тувача криптографії, як основного засобу забезпечення конфіденційності, стоять численні законодавчі перепони і технічні проблеми.

Вірогідність - це властивість інформації, яка полягає у строгій приналежності об’єкту, що є її джерелом, або тому об’єкту, від якого ця інформація прийнята.

Юридична значимість - це властивість інформації, представленої у вигляді електронного документа, мати юридичну силу.

З цією метою суб’єкти, що мають потребу в підтвердженні юридичної значимості переданого повідомлення, домовляються про прийняття деяких атрибутів інформації, що описують її здатність бути юридично значимою. Дана властивість інформації особливо актуальна в системах електронних платежів, де здійснюється операція з пересилання коштів.

Невідстежуваність - це здатність користувача робити деякі дії в інформаційній системі непомітно для інших об'єктів.

Актуальність даної вимоги виникла завдяки появі таких понять, як електронні гроші й Internet-banking. Так, для авторизації доступу до електронної платіжної системи користувач повинен надати деякі відомості, що однозначно його ідентифікують. У процесі розвитку даних систем може з’явитися реальна небезпека, що, наприклад, усі платіжні операції будуть контролюватися, тим самим виникнуть умови для тотального стеження за користувачами інформаційних систем.

Наприкінці 2007 року більш ніж 13 тис. користувачів соціальної мережі Facebook заявили про своє незадоволення новою рекламною моделлю цієї мережі. їх занепокоїв той факт, що завдяки цільовій рекламі інформація про їхні покупки стала відомою їхнім друзям.

http://teinews.ru

Існує кілька шляхів вирішення проблеми неможливості стеження:

• заборона за допомогою законодавчих актів будь-якого тотального стеження за користувачами інформаційних систем;

• застосування криптографічних методів для підтримки неможливо­сті стеження.

Інформаційна безпека може розглядатися не тільки стосовно деяких конфіденційних відомостей, але і стосовно здатності інформаційної системи виконувати задані функції.

Інформаційна безпека в рамках забезпечення працездатності ІС по­винна забезпечувати захист від:

• порушення функціонування інформаційної системи шляхом впли­ву на інформаційні канали, канали сигналізації, керування і відда­леного завантаження баз даних, комутаційного устаткування, сис­темне і прикладне програмне забезпечення;

• несанкціонованого доступу до інформаційних ресурсів і від нама­гань використання ресурсів мережі, що призводять до витоку да­них, порушення цілісності мережі й інформації, зміни функціону­вання підсистем розподілу інформації, доступності баз даних;

• руйнування засобів захисту, що вбудовуються, і зовнішніх засобів;

• неправомірних дій користувачів і обслуговуючого персоналу мережі.

Пріоритети серед перерахованих задач інформаційної безпеки визначаються індивідуально для кожної конкретної ІС і залежать від вимог, що висуваються безпосередньо до інформаційних систем.

Якщо повернутися до аналізу інтересів різних категорій суб’єктів інформаційних відносин, то майже для всіх, хто реально використовує ІС, на першому місці стоїть доступність. Практично не поступається їй за важливістю цілісність - який сенс в інформаційній послузі, якщо вона містить спотворені відомості?

З погляду державних структур захисні заходи в першу чергу покли­кані забезпечити конфіденційність, цілісність і доступність інформації.

Комерційним структурам, ймовірно, важливіше всього цілісність і доступність даних і послуг. На відміну від державних, комерційні організації більш відкриті і динамічні, тому ймовірні загрози для них відрізняються не тільки кількістю, але і якістю.

Для розв’язання задач забезпечення безпеки в інформаційних систе­мах необхідно:

• захистити інформацію під час її зберігання, оброблення і переда­вання мережею;

• підтвердити дійсність об’єктів даних і користувачів (автентифікація сторін, що встановлюють зв’язок);

• знайти і попередити порушення цілісності об’єктів даних;

• захистити технічні пристрої і приміщення;

• захистити конфіденційну інформацію від витоку і від вбудованих електронних пристроїв знімання інформації;

• захистити програмні засоби від під’єднання програмних закладок і вірусів;

• захистити від несанкціонованого доступу до інформаційного ресу­рсу і технічних засобів мережі, зокрема, до засобів керування, щоб запобігти зниженню рівня захищеності інформації і самої мережі в цілому;

• організувати заходи, що спрямовані на забезпечення збереження конфіденційних даних.

Конкретна реалізація загальних принципів забезпечення інформацій­ної безпеки може полягати в організаційних або технічних заходах захисту інформації.

1.3 ВАЖЛИВІСТЬ І СКЛАДНІСТЬ ПРОБЛЕМИ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ

Інформаційна безпека є одним з найважливіших аспектів інтегральної безпеки, на якому б рівні ми не розглядали останню - національному, галузевому, корпоративному або персональному.

Для ілюстрації цього положення наведемо кілька прикладів.

1.4 ОСНОВНІ ПОЛОЖЕННЯ СИСТЕМИ ЗАХИСТУ ІНФОРМАЦІЇ

1.4.1 Поняття системи захисту інформації

Існуючий на теперішній час значний практичний досвід у сфері захи­сту інформації показує, що потрібна прозора і цілеспрямована організація процесу захисту інформаційних ресурсів. Причому в цьому повинні активно брати участь професійні фахівці, адміністрація, співробітники і користувачі, що і визначає підвищену значимість організаційної сторони питання.

Відповідно до цього захист будується на основі системного підходу до інформаційної безпеки.

Система захисту інформації - це організована сукупність спеціальних установ, засобів, методів і заходів, що забезпечують захист інформації від внутрішніх і зовнішніх загроз.

Досвід показує, що забезпечення безпеки інформації не може бути одноразовим актом. Це неперервний процес, який полягає в обґрунтуванні і реалізації найбільш раціональних методів, способів і шляхів удосконалення та розвитку системи захисту, неперервному контролі її стану, виявленні її вузьких і слабких місць, а також протиправних дій.

Безпека інформації може бути забезпечена лише при комплексному використанні всього арсеналу наявних засобів захисту в усіх структурних елементах виробничої системи і на всіх етапах технологічного циклу оброб­ки інформації. Найбільший ефект досягається тоді, коли всі використовувані засоби, методи і заходи поєднуються в єдиний цілісний механізм - систему захисту інформації (СЗІ). При цьому функціонування системи повинно контролюватися, обновлятися і доповнюватися залежно від зміни зовнішніх і внутрішніх умов.

Ніяка СЗІ не може забезпечити необхідного рівня безпеки інформації без належної підготовки користувачів і дотримання ними всіх установлених правил, спрямованих на її захист.

Поиск по сайту: