1.     Поняття інформаційної безпеки.
2.     Основні складові інформаційної безпеки.
3.     Важливість і складність проблеми інформаційної безпеки.

 

Поняття інформаційної безпеки

Під інформаційною безпекою (ІБ) слід розуміти захист інтересів суб’єктів інформаційних відносин.

Перш ніж говорити про інформаційну безпеку необхідно з’ясувати, що таке інформація.

Поняття «інформація» сьогодні вживається дуже широко і різнобічно. Важко знайти таку область знань, де б воно не використовувалося. Величезні інформаційні потоки буквально захльостують людей. Обсяг наукових знань, наприклад, за оцінкою фахівців, подвоюється кожні п’ять років.

Що ж таке інформація? У літературі дається таке визначення:

Інформація — данні про людей, предмети, факти, події, явища і процеси незалежно від форми їхнього представлення.

Відомо, що інформація може мати різну форму, зокрема, дані, закладені в комп’ютерах, листи, пам’ятні записи, досьє, формули, креслення, діаграми, моделі продукції і прототипи, дисертації, судові документи й ін.

Як і всякий продукт, інформація має споживачів, що потребують її, і тому володіє певними споживчими якостями, а також має і своїх власників або виробників.

Відповідно до різноманітності інформації, словосполучення «інформаційна безпека» в різних контекстах може мати різний сенс.

Інформаційна безпека (ІБ) – захищеність інформації та інфраструктури, що її підтримує, від випадкових або навмисних дій природного або штучного характеру, які можуть завдати неприйнятного збитку суб’єктам інформаційних відносин, зокрема власникам і користувачам інформації та інфраструктури, що її підтримує.

Захист інформації — це комплекс заходів, направлених на забезпечення інформаційної безпеки.

Таким чином, правильний з методологічної точки зору підхід до проблем інформаційної безпеки починається з виявлення суб’єктів інформаційних відносин та інтересів цих суб’єктів, пов’язаних з використанням інформаційних систем (ІС).

Тут необхідно зауважити, що трактування проблем, пов’язаних з інформаційною безпекою, для різних категорій суб’єктів може істотно різнитися. Для ілюстрації досить зіставити режимні державні організації і учбові інститути. У першому випадку «хай краще все зламається, ніж ворог дізнається хоч один секретний біт», в другому — «немає у нас жодних секретів, аби все працювало». Отже, інформаційна безпека не зводиться виключно до захисту від несанкціонованого доступу до інформації, це принципово ширше поняття. Суб’єкт інформаційних відносин може постраждати (зазнати збитки та/або одержати моральний збиток) не тільки від несанкціонованого доступу, але й від поломки системи, що викликала перерву в роботі. Більш того, для багатьох відкритих організацій (наприклад, учбових) власне захист від несанкціонованого доступу до інформації стоїть за важливістю зовсім не на першому місці.

У визначенні ІБ перед іменником «втрати» стоїть прикметник «неприйнятний». Очевидно, застрахуватися від всіх видів втрат неможливо, тим більше неможливо зробити це економічно доцільним способом, коли вартість захисних засобів і заходів не перевищує розмір очікуваних втрат. Значить, з чимось доводиться миритися і захищатися слід тільки від того, з чим змиритися ніяк не можна. Іноді таким неприпустимими витратами є нанесення шкоди здоров’ю людей або стану навколишнього середовища, але частіше поріг неприйнятності має матеріальний (грошовий) вираз, а метою захисту інформації стає зменшення розмірів втрат до допустимих значень.

Основні складові інформаційної безпеки

Інформаційна безпека – багатогранна, можна навіть сказати, багатовимірна область діяльності, в якій успіх може принести тільки систематичний, комплексний підхід.

Спектр інтересів суб’єктів, зв’язаних з використанням інформаційних систем, втілюється у забезпеченні доступності, цілісності і конфіденційності інформаційних ресурсів та інфраструктури, що її підтримує.

Доступність – це можливість за прийнятний час одержати необхідну інформаційну послугу.

Інформаційні системи створюються для отримання певних інформаційних послуг. Якщо за тими або іншими причинам надати ці послуги користувачам стає неможливо, це, очевидно, завдає збитку всім суб’єктам інформаційних відносин. Тому, не протиставляючи доступність решті аспектів, варто виділяти її як найважливіший елемент інформаційної безпеки.

Особливо яскраво основна роль доступності виявляється в різного роду системах управління — виробництвом, транспортом тощо. Зовні менш драматичні, але також вельми неприємні наслідки — і матеріальні, і моральні — може мати тривала недоступність інформаційних послуг, якими користується велика кількість людей (продаж залізничних та авіаквитків, банківські послуги тощо).

Під цілісністю мається на увазі актуальність і несуперечність інформації, її захищеність від руйнування і несанкціонованої зміни.

Цілісність виявляється найважливішим аспектом ІБ в тих випадках, коли інформація служить «керівництвом до дії». Рецептура ліків, наказані медичні процедури, набір і характеристики комплектуючих виробів, хід технологічного процесу — все це приклади інформації, порушення цілісності якої може опинитися в буквальному розумінні смертельним. Неприємно і спотворення офіційної інформації, будь то текст закону або сторінка Web-сервера якої-небудь урядової організації.

Конфіденційність — це захист від несанкціонованого доступу до інформації.

Якщо повернутися до аналізу інтересів різних категорій суб’єктів інформаційних відносин, то майже для всіх, хто реально використовує ІС, на першому місці стоїть доступність. Практично не поступається їй за важливістю цілісність — який сенс в інформаційній послузі, якщо вона містить спотворені відомості?

Нарешті, конфіденційні моменти є також у багатьох організацій (навіть у згадуваних вище учбових інститутах прагнуть не розголошувати дані про екзаменаційні білети до іспиту та окремих користувачів, наприклад, паролі).

 Важливість і складність проблеми інформаційної безпеки

Інформаційна безпека є одним з найважливіших аспектів інтегральної безпеки, на якому б рівні ми не розглядали останню — національному, галузевому, корпоративному або персональному.

Для ілюстрації цього положення обмежимося декількома прикладами.

З’явилась інформація про те, що планується терористична атака Нью-Йорської Біржі. Ціллю терористів є комп’ютерні системи, що зберігають і працюють з інформацією про торгові операції в США та Європі. Наслідки такої операції можуть призвести до криз світового масштабу. (З інтерв’ю з М. Дюре, директором Центру інформації та документації НАТО в Україні)

Американський ракетний крейсер «Йорктаун» був вимушений повернутися в порт із-за численних проблем з програмним забезпеченням, що функціонувало на платформі Windows NT. Таким виявився побічний ефект програми ВМФ США з максимально широкого використання комерційного програмного забезпечення з метою зниження вартості військової техніки.

У лютому 2001 року двоє колишні співробітники компанії Commerce One, скориставшись паролем адміністратора, видалили з сервера файли, що складали великий (на декілька мільйонів доларів) проект для іноземного замовника. На щастя, була резервна копія проекту, так що реальні втрати обмежилися витратами на слідство і засоби захисту від подібних інцидентів в майбутньому. У серпні 2002 року злочинці з’явилися перед судом.

Британський спеціаліст з інформаційних технологій Максвелл Парсонс отримав 2,5 роки ув’язнення за злом банкоматів за допомогою МР3-плеєра і спеціального програмного забезпечення. Таким чином він отримував конфіденційну інформацію про банківські рахунки клієнтів для клонування кредитних карток.

Американські військові оголосили про створення Командного центру кіберпростору ВВС США (U.S. Air Force Cyberspace Command) для захисту країни від онлайнових загроз з Інтернету.

Невідомі “жартівники” скористалися принципами роботи онлайнової енциклопедії Wikipedia для розповсюдження шкідливого програмного забезпечення – нової модифікації вірусу Blaster.

Одна студентка втратила стипендію в 18 тисяч доларів в Мічиганському університеті через те, що її сусідка по кімнаті скористалася їх загальним системним входом і відправила від імені своєї жертви електронний лист з відмовою від стипендії.

Зрозуміло, що подібних прикладів множина, можна пригадати і інші випадки — недостатку в порушеннях ІБ немає і не передбачається.

При аналізі проблематики, пов’язаної з інформаційною безпекою, необхідно зважати на специфіку даного аспекту безпеки, що полягає в тому, що ІБ є складова частина інформаційних технологій, — області, що розвивається безпрецедентно високими темпами.

На жаль, сучасна технологія програмування не дозволяє створювати безпомилкові програми, що не сприяє швидкому розвитку засобів забезпечення ІБ. Слід виходити з того, що необхідно конструювати надійні системи ІБ із залученням ненадійних компонентів (програм). У принципі, це можливо, але вимагає дотримання певних архітектурних принципів і контролю стану захищеності на всьому протязі життєвого циклу ІС.

У таких умовах системи ІБ повинні уміти протистояти різноманітним атакам, як зовнішнім, так і внутрішнім, атакам автоматизованим і скоординованим. Іноді напад триває долі секунди; деколи виявлення вразливих місць ведеться поволі і розтягується на години, так що підозріла активність практично непомітна. Метою зловмисників може бути порушення всіх складових ІБ — доступності, цілісності або конфіденційності.

Забезпечення інформаційної безпеки певної інформаційної системи вимагає комплексного підходу. Виділяють наступні заходи забезпечення інформаційної безпеки:

законодавчі заходи забезпечення інформаційної безпеки;

адміністративні заходи (накази і інші дії керівництва організацій, пов’язаних з інформаційними системами, що захищаються);

процедурні заходи (заходи безпеки, орієнтовані на людей);

програмно-технічні заходи.

 Закони і нормативні акти орієнтовані на всіх суб’єктів інформаційних відносин незалежно від їх організаційної приналежності (це можуть бути як юридична, так і фізична особи) в межах країни (міжнародні конвенції мають навіть ширшу область дії), адміністративні заходи — на всіх суб’єктів в межах організації, процедурні — на окремих людей (або невеликі категорії суб’єктів), програмно-технічні — на устаткування і програмне забезпечення.

Питання для самостійної перевірки знань:

  1. Що таке інформаційна безпека?
  2. Що розуміють під поняттям доступності інф. ресурсів та інфраструктури?
  3. Що розуміють під поняттям цілісності інф. ресурсів та інфраструктури?
  4. Що розуміють під поняттям конфіденційності інф. ресурсів та інфраструктури?
  5. У чому полягає складність забезпечення інформаційної безпеки ІС?
  6. Які ви знаєте заходи забезпечення інформаційної безпеки?