Інформаційна безпека

Матеріал з Вікіпедії — вільної енциклопедії.
Перейти до: навігація, пошук

Інформаційна безпека - це стан захищеності систем обробки і зберігання даних, при якому забезпечено конфіденційність, доступність і цілісність інформації, або комплекс заходів, спрямованих на забезпечення захищеності інформації від несанкціонованого доступу, використання, оприлюднення, руйнування, внесення змін, ознайомлення, перевірки, запису чи знищення (у цьому значенні частіше використовують термін "захист інформації").

Поняття інформаційної безпеки не обмежується безпекою технічних інформаційних систем чи безпекою інформації у чисельному чи електронному вигляді, а стосується усіх аспектів захисту даних чи інформації незалежно від форми, у якій вони перебувають.

Історія[ред.ред. код]

Об'єктивно категорія «інформаційна безпека» виникла з появою засобів інформаційних комунікацій між людьми, а також з усвідомленням людиною наявності у людей і їхніх співтовариств інтересів, яким може бути завдано збитку шляхом дії на засоби інформаційних комунікацій, наявність і розвиток яких забезпечує інформаційний обмін між всіма елементами соціуму.

Враховуючи вплив на трансформацію ідей інформаційної безпеки, в розвитку засобів інформаційних комунікацій можна виділити декілька етапів[1]:

  • I етап — до 1816 року — характеризується використанням природно виникаючих засобів інформаційних комунікацій. В цей період основне завдання інформаційної безпеки полягало в захисті відомостей про події, факти, майно, місцезнаходження і інші дані, що мають для людини особисто або співтовариства, до якого вона належала, життєве значення.
  • II етап — починаючи з 1816 року — пов'язаний з початком використання штучно створюваних технічних засобів електро- і радіозв'язку. Для забезпечення скритності і перешкодостійкості радіозв'язку необхідно було використовувати досвід першого періоду інформаційної безпеки на вищому технологічному рівні, а саме застосування перешкодостійкого кодування повідомлення (сигналу) з подальшим декодуванням прийнятого повідомлення (сигналу).
  • III етап — починаючи з 1935 року — пов'язаний з появою засобів радіолокацій і гідроакустики. Основним способом забезпечення інформаційної безпеки в цей період було поєднання організаційних і технічних заходів, направлених на підвищення захищеності засобів радіолокацій від дії на їхні приймальні пристрої активними маскуючими і пасивними імітуючими радіоелектронними перешкодами.
  • IV етап — починаючи з 1946 року — пов'язаний з винаходом і впровадженням в практичну діяльність електронно-обчислювальних машин (комп'ютерів). Завдання інформаційної безпеки вирішувалися, в основному, методами і способами обмеження фізичного доступу до устаткування засобів добування, переробки і передачі інформації.
  • V етап — починаючи з 1965 року — обумовлений створенням і розвитком локальних інформаційно-комунікаційних мереж. Завдання інформаційної безпеки також вирішувалися, в основному, методами і способами фізичного захисту засобів добування, переробки і передачі інформації, об'єднаних в локальну мережу шляхом адміністрування і управління доступом до мережевих ресурсів.
  • VI етап — починаючи з 1973 року — пов'язаний з використанням надмобільних комунікаційних пристроїв з широким спектром завдань. Загрози інформаційній безпеці стали набагато серйознішими. Для забезпечення інформаційної безпеки в комп'ютерних системах з безпровідними мережами передачі даних потрібно було розробити нові критерії безпеки. Утворилися співтовариства людей — хакерів, що ставлять собі за мету нанесення збитку інформаційній безпеці окремих користувачів, організацій і цілих країн. Інформаційний ресурс став найважливішим ресурсом держави, а забезпечення його безпеки — найважливішою і обов'язковою складовою національної безпеки. Формується інформаційне право — нова галузь міжнародної правової системи.
  • VII етап — починаючи з 1985 року — пов'язаний із створенням і розвитком глобальних інформаційно-комунікаційних мереж з використанням космічних засобів забезпечення. Можна припустити що черговий етап розвитку інформаційної безпеки, очевидно, буде пов'язаний з широким використанням надмобільних комунікаційних пристроїв з широким спектром завдань і глобальним охопленням у просторі та часі, забезпечуваним космічними інформаційно-комунікаційними системами. Для вирішення завдань інформаційної безпеки на цьому етапі необхідним є створення макросистеми інформаційної безпеки людства під егідою ведучих міжнародних форумів.

Основні поняття безпеки інформаційних технологій[ред.ред. код]

Наведені нижче поняття можуть мати різне тлумачення в різних авторів та у різному контексті.

Поняття інформаційних технологій (ІТ) включає в себе широкий обсяг дисциплін і сфер діяльності і стосується технічних засобів обробки і передачі даних (чи інформації).

В англійській мові поняття безпеки ІТ має два значення. Поняття функціональної безпеки (англ. safety) означає, що система коректно і у повному обсязі реалізує ті і лише ті цілі, що відповідають намірам її власника[2], тобто функціонує відповідно до існуючих вимог. Поняття власне інформаційної безпеки (англ. security) стосується безпечності процесу технічної обробки інформації і є властивістю функціонально безпечної системи. Така система повинна унеможливлювати несанкціонований доступ до даних та запобігати їхній втраті у разі виникнення збоїв.

Говорячи про інформаційну безпеку, часто мають на увазі інформаційну безпеку в найзагальнішому сенсі, як комплекс заходів, покликаний зменшити число ймовірних шкідливих сценаріїв чи розмір збитків, яких може зазнати підприємство у разі розголошення конфіденційної інформації. З цієї точки зору інформаційна безпека — це економічний параметр, який повинен враховуватися у роботі підприємства, а інформацію (або дані) можна розглядати як певний товар або цінність, що підлягає захисту, а відтак вона має бути доступною лише для авторизованих користувачів чи програм.

Інформаційна безпека (information security) — збереження конфіденційності, цілісності та доступності інформації; крім того, можуть враховуватися інші властивості, такі, як автентичність, відстежуваність, неспростовність та надійність[3].

Інформаційні системи можна розділити на три частини: програмне забезпечення, апаратне забезпечення та комунікації з метою цільового застосування (як механізму захисту і попередження) стандартів інформаційної безпеки. Самі механізми захисту реалізуються на трьох рівнях або шарах: фізичному, особистісному та організаційному. По суті, реалізація політик і процедур безпеки покликана надавати інформацію адміністраторам, користувачам і операторам про те як правильно використовувати готові рішення для підтримки безпеки.

Інформаційна безпека за сферою застосування[ред.ред. код]

Докладніше у статті Інформаційна безпека держави

Інформаційна безпека держави — стан захищеності життєво важливих інтересів людини, суспільства і держави, при якому запобігається нанесення шкоди через: неповноту, невчасність та невірогідність інформації, що використовується; негативний інформаційний вплив; негативні наслідки застосування інформаційних технологій; несанкціоноване розповсюдження, використання і порушення цілісності, конфіденційності та доступності інформації.[4]

Інформаційна безпека організації — цілеспрямована діяльність її органів та посадових осіб з використанням дозволених сил і засобів по досягненню стану захищеності інформаційного середовища організації, що забезпечує її нормальне функціонування і динамічний розвиток.

Інформаційна безпеки особистості характеризується як стан захищеності особистості, різноманітних соціальних груп та об'єднань людей від впливів, здатних проти їхньої волі та бажання змінювати психічні стани і психологічні характеристики людини, модифікувати її поведінку та обмежувати свободу вибору[5].

Суттєві (з позицій ІБ) властивості інформації[ред.ред. код]

Для характеристики основних властивостей інформації як об'єкта захисту часто використовується модель CIA[6]:

  • Конфіденційність (англ. confidentiality) — властивість інформації, яка полягає в тому, що інформація не може бути отримана неавторизованим користувачем
  • Цілісність (англ. integrity) — означає неможливість модифікації неавторизованим користувачем
  • Доступність (англ. availability) — властивість інформації бути отриманою авторизованим користувачем, за наявності у нього відповідних повноважень, в необхідний для нього час

Додатково також використовують такі властивості:

  • Апелювання (англ. non-repudiation) — можливість довести, що автором є саме заявлена людина (юридична особа), і ніхто інший.
  • Підзвітність (англ. accountability) — властивість інформаційної системи, що дозволяє фіксувати діяльність користувачів, використання ними пасивних об‘єктів та однозначно встановлювати авторів певних дій в системі.
  • Достовірність (англ. reliability)- властивість інформації, яка визначає ступінь об'єктивного, точного відображення подій, фактів, що мали місце.
  • Автентичність (англ. authenticity) — властивість, яка гарантує, що суб'єкт або ресурс ідентичні заявленим.

Забезпечення ІБ[ред.ред. код]

Забезпечення ІБ держави[ред.ред. код]

Згідно з українським законодавством[4], вирішення проблеми інформаційної безпеки має здійснюватися шляхом:

Забезпечення ІБ підприємства/організації[ред.ред. код]

В Україні забезпечення ІБ здійснюється шляхом захисту інформації — у випадку, коли необхідність захисту інформації визначена законодавством в галузі ЗІ. Для реалізації захисту інформації створюється Комплексна система захисту інформації (КСЗІ).

Або, у випадку, коли суб'єкт ІБ має наміри розробити і реалізувати політику ІБ і може реалізовувати їх без порушення вимог законодавства:

Забезпечення ІБ особистості[ред.ред. код]

Органи (підрозділи) забезпечення ІБ[ред.ред. код]

Міжнародні організації
Державні органи
Підрозділи підприємства

На підприємстві функцію забезпечення ІБ може виконувати як окремий відділ Служби безпеки підприємства, так і окрема Служба (Служба захисту інформації).

Для контролю за КСЗІ в обов'язковому порядку створюється Служба захисту інформації в інформаційно-телекомунікаційній системі (сама назва «Служба» не є обов'язковою).

Функції з контролю за СУІБ покладаються на певний відділ підприємства.

Законодавчі вимоги і регулювання ІБ[ред.ред. код]

Див. також[ред.ред. код]

Посилання[ред.ред. код]

Примітки[ред.ред. код]

  1. Информационная безопасность (2-я книга социально-политического проекта «Актуальные проблемы безопасности социума»). М.: «Оружие и технологии», 2009 (рос.)
  2. A General Framework for Formal Notions of "Secure" Systems – B. Pfitzmann, M. Waidner, Hildesheimer Informatik-Berichte
  3. ГСТУ СУІБ 1.0/ISO/IEC 27001:2010, Інформаційні технології-методи захисту-система управління інформаційною безпекою, офіційний переклад, ст.3
  4. а б Закон України «Про Основні засади розвитку інформаційного суспільства в Україні на 2007—2015 роки» від 09.01.2007 № 537-V
  5. Г. Сащук «Інформаційна безпека в системі забезпечення національної безпеки»
  6. http://en.wikipedia.org/wiki/CIA_Triad

Посилання[ред.ред. код]

Джерела[ред.ред. код]

  • Сідак В. С., Артемов В. Ю. Забезпечення інформаційної безпеки в країнах НАТО та ЄС: Навчальний посібник. — К.: КНТ, 2007.
  • Кормич Б. А. Організаційно-правові основи політики інформаційної безпеки України: Автореф. дис. д-ра юрид. наук: 12.00.07. — X.: НХУ України, 2004.
  • Кормич Б.А. Інформаційна безпека: організаційно-правові основи: Навч. посібник. - К.: Кондор, 2004. - 384 с.
  • Харченко B. C. Інформаційна безпека. Глосарій. — К.: КНТ, 2005.
  • Цимбалюк B.C. Проблеми державної інформаційної політики: гармонізація міжнародного і національного інформаційного права // Правове, нормативне та метрологічне забезпечення системи захисту інформації в Україні. — К.: НТУУ «КПІ», 2001. — № 4.
  • Hansen F. and Oleshchuk V.A.: Conformance Checking of RBAC Policy and its Implementation, The First Information Security Practice and Experience Conference, ISPEC 2005, Singapore, LNCS, Volume 3439, pp. 144-155, 2005.