Інформаційна безпека - це багатогранна галузь діяльності, в якій успіх може принести тільки систематичний, комплексний підхід.
Основними задачами інформаційної безпеки є:
• забезпечення доступності інформації;
• забезпечення цілісності інформації;
• забезпечення конфіденційності інформації;
• забезпечення вірогідності інформації;
• забезпечення юридичної значимості інформації, представленої у вигляді електронного документа;
• забезпечення невідстежуваності дій користувача.
Доступність - це властивість інформаційного об’єкта щодо одержання його користувачем за прийнятний час.
Інформаційні системи створюються для отримання певних інформаційних послуг. Якщо з тих чи інших причин надати ці послуги користувачам стає неможливо, це, очевидно, завдає збитку всім суб’єктам інформаційних відносин. Тому, не протиставляючи доступність решті аспектів, ми виділяємо її як найважливіший елемент інформаційної безпеки.
Особливо яскраво основна роль доступності виявляється в різного роду системах управління виробництвом, транспортом тощо. Зовні менш драматичні, але також вельми неприємні наслідки - і матеріальні, і моральні - може мати тривала недоступність інформаційних послуг, якими користується велика кількість людей (продаж залізничних та авіаквитків, банківські послуги тощо).
Хвилинна зупинка Лондонської фондової біржі через внутрішні неполадки інформаційної системи призвела до багатомільйонних втрат.
Цілісність - це властивість інформаційного об’єкта МІ зберігати свою структуру і/або змісту процесі передавання і зберігання.
Розрізняють цілісність статичну (тобто незмінність інформаційних об’єктів) і динамічну (стосується коректного виконання складних дій (транзакцій). Засоби контролю динамічної цілісності застосовуються, зокрема, при аналізі потоку фінансових повідомлень з метою виявлення крадіжки, переупорядковування або дублювання окремих повідомлень.
Міністерство оборони Великобританії веде розслідування з приводу порушення безпеки. Газета The Times пише, що всі повідомлення електронної пошти з ряду баз британських військово-повітряних сил потрапляють на російський сервер.
lnopressa.ru
Цілісність є найважливішим аспектом ІБ в тих випадках, коли інформація служить “керівництвом до дії”. Рецептура ліків, зміст медичних процедур, набір і характеристики комплектуючих виробів, хід технологічного процесу - все це приклади інформації, порушення цілісності якої може призвести до небажаних наслідків. Неприємно і спотворення офіційної інформації. будь то текст закону або сторінка Web-сервера якої-небудь урядової організації.
Конфіденційність - це властивість інформації бути доступною тільки обмеженому колу користувачів інформаційної системи, в якій циркулює дана інформація.
Конфіденційність - найбільш опрацьований у нашій країні аспект інформаційної безпеки. На жаль, практична реалізація заходів щодо забезпечення конфіденційності сучасних інформаційних систем пов’язана із серйозними труднощами. По-перше, відомості про технічні канали витоку інформації є закритими, тому більшість користувачів позбавлено можливості мати уявлення про потенційні ризики. По-друге, на шляху призначеної для користувача криптографії, як основного засобу забезпечення конфіденційності, стоять численні законодавчі перепони і технічні проблеми.
Вірогідність - це властивість інформації, яка полягає у строгій приналежності об’єкту, що є її джерелом, або тому об’єкту, від якого ця інформація прийнята.
Юридична значимість - це властивість інформації, представленої у вигляді електронного документа, мати юридичну силу.
З цією метою суб’єкти, що мають потребу в підтвердженні юридичної значимості переданого повідомлення, домовляються про прийняття деяких атрибутів інформації, що описують її здатність бути юридично значимою. Дана властивість інформації особливо актуальна в системах електронних платежів, де здійснюється операція з пересилання коштів.
Невідстежуваність - це здатність користувача робити деякі дії в інформаційній системі непомітно для інших об'єктів.
Актуальність даної вимоги виникла завдяки появі таких понять, як електронні гроші й Internet-banking. Так, для авторизації доступу до електронної платіжної системи користувач повинен надати деякі відомості, що однозначно його ідентифікують. У процесі розвитку даних систем може з’явитися реальна небезпека, що, наприклад, усі платіжні операції будуть контролюватися, тим самим виникнуть умови для тотального стеження за користувачами інформаційних систем.
Наприкінці 2007 року більш ніж 13 тис. користувачів соціальної мережі Facebook заявили про своє незадоволення новою рекламною моделлю цієї мережі. їх занепокоїв той факт, що завдяки цільовій рекламі інформація про їхні покупки стала відомою їхнім друзям.
http://teinews.ru
Існує кілька шляхів вирішення проблеми неможливості стеження:
• заборона за допомогою законодавчих актів будь-якого тотального стеження за користувачами інформаційних систем;
• застосування криптографічних методів для підтримки неможливості стеження.
Інформаційна безпека може розглядатися не тільки стосовно деяких конфіденційних відомостей, але і стосовно здатності інформаційної системи виконувати задані функції.
Інформаційна безпека в рамках забезпечення працездатності ІС повинна забезпечувати захист від:
• порушення функціонування інформаційної системи шляхом впливу на інформаційні канали, канали сигналізації, керування і віддаленого завантаження баз даних, комутаційного устаткування, системне і прикладне програмне забезпечення;
• несанкціонованого доступу до інформаційних ресурсів і від намагань використання ресурсів мережі, що призводять до витоку даних, порушення цілісності мережі й інформації, зміни функціонування підсистем розподілу інформації, доступності баз даних;
• руйнування засобів захисту, що вбудовуються, і зовнішніх засобів;
• неправомірних дій користувачів і обслуговуючого персоналу мережі.
Пріоритети серед перерахованих задач інформаційної безпеки визначаються індивідуально для кожної конкретної ІС і залежать від вимог, що висуваються безпосередньо до інформаційних систем.
Якщо повернутися до аналізу інтересів різних категорій суб’єктів інформаційних відносин, то майже для всіх, хто реально використовує ІС, на першому місці стоїть доступність. Практично не поступається їй за важливістю цілісність - який сенс в інформаційній послузі, якщо вона містить спотворені відомості?
З погляду державних структур захисні заходи в першу чергу покликані забезпечити конфіденційність, цілісність і доступність інформації.
Комерційним структурам, ймовірно, важливіше всього цілісність і доступність даних і послуг. На відміну від державних, комерційні організації більш відкриті і динамічні, тому ймовірні загрози для них відрізняються не тільки кількістю, але і якістю.
Для розв’язання задач забезпечення безпеки в інформаційних системах необхідно:
• захистити інформацію під час її зберігання, оброблення і передавання мережею;
• підтвердити дійсність об’єктів даних і користувачів (автентифікація сторін, що встановлюють зв’язок);
• знайти і попередити порушення цілісності об’єктів даних;
• захистити технічні пристрої і приміщення;
• захистити конфіденційну інформацію від витоку і від вбудованих електронних пристроїв знімання інформації;
• захистити програмні засоби від під’єднання програмних закладок і вірусів;
• захистити від несанкціонованого доступу до інформаційного ресурсу і технічних засобів мережі, зокрема, до засобів керування, щоб запобігти зниженню рівня захищеності інформації і самої мережі в цілому;
• організувати заходи, що спрямовані на забезпечення збереження конфіденційних даних.
Конкретна реалізація загальних принципів забезпечення інформаційної безпеки може полягати в організаційних або технічних заходах захисту інформації.
1.3 ВАЖЛИВІСТЬ І СКЛАДНІСТЬ ПРОБЛЕМИ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ
Інформаційна безпека є одним з найважливіших аспектів інтегральної безпеки, на якому б рівні ми не розглядали останню - національному, галузевому, корпоративному або персональному.
Для ілюстрації цього положення наведемо кілька прикладів.
1.4 ОСНОВНІ ПОЛОЖЕННЯ СИСТЕМИ ЗАХИСТУ ІНФОРМАЦІЇ
1.4.1 Поняття системи захисту інформації
Існуючий на теперішній час значний практичний досвід у сфері захисту інформації показує, що потрібна прозора і цілеспрямована організація процесу захисту інформаційних ресурсів. Причому в цьому повинні активно брати участь професійні фахівці, адміністрація, співробітники і користувачі, що і визначає підвищену значимість організаційної сторони питання.
Відповідно до цього захист будується на основі системного підходу до інформаційної безпеки.
Система захисту інформації - це організована сукупність спеціальних установ, засобів, методів і заходів, що забезпечують захист інформації від внутрішніх і зовнішніх загроз.
Досвід показує, що забезпечення безпеки інформації не може бути одноразовим актом. Це неперервний процес, який полягає в обґрунтуванні і реалізації найбільш раціональних методів, способів і шляхів удосконалення та розвитку системи захисту, неперервному контролі її стану, виявленні її вузьких і слабких місць, а також протиправних дій.
Безпека інформації може бути забезпечена лише при комплексному використанні всього арсеналу наявних засобів захисту в усіх структурних елементах виробничої системи і на всіх етапах технологічного циклу обробки інформації. Найбільший ефект досягається тоді, коли всі використовувані засоби, методи і заходи поєднуються в єдиний цілісний механізм - систему захисту інформації (СЗІ). При цьому функціонування системи повинно контролюватися, обновлятися і доповнюватися залежно від зміни зовнішніх і внутрішніх умов.
Ніяка СЗІ не може забезпечити необхідного рівня безпеки інформації без належної підготовки користувачів і дотримання ними всіх установлених правил, спрямованих на її захист.