Інформаційна безпека
Інформацíйна безпéка (англ. Information Security) — стан інформації, в якому забезпечується збереження визначених політикою безпеки властивостей інформації.
Зміст |
Складові інформаційної безпеки [ред.]
Складові інформаційної безпеки або такі суттєві властивості, як: конфіденційність (англ. Confidentiality, privacy), цілісність (англ. Integrity), доступність (англ. Availability) — тріада CIA. Інформаційні системи можна розділити на три частини: програмне забезпечення, апаратне забезпечення та комунікації з метою цільового застосування (як механізму захисту і попередження) стандартів інформаційної безпеки. Самі механізми захисту реалізуються на трьох рівнях або шарах: Фізичний, Особистісний, Організаційний. По суті, реалізація політик і процедур безпеки покликана надавати інформацію адміністраторам, користувачам і операторам про те як правильно використовувати готові рішення для підтримки безпеки
Історія [ред.]
Об'єктивно категорія «інформаційна безпека» виникла з появою засобів інформаційних комунікацій між людьми, а також з усвідомленням людиною наявності у людей і їхніх співтовариств інтересів, яким може бути завдано збитку шляхом дії на засоби інформаційних комунікацій, наявність і розвиток яких забезпечує інформаційний обмін між всіма елементами соціуму.
Враховуючи вплив на трансформацію ідей інформаційної безпеки, в розвитку засобів інформаційних комунікацій можна виділити декілька етапів[1]:
- I етап — до 1816 року — характеризується використанням природно виникаючих засобів інформаційних комунікацій. В цей період основне завдання інформаційної безпеки полягало в захисті відомостей про події, факти, майно, місцезнаходження і інші дані, що мають для людини особисто або співтовариства, до якого вона належала, життєве значення.
- II етап — починаючи з 1816 року — пов'язаний з початком використання штучно створюваних технічних засобів електро- і радіозв'язку. Для забезпечення скритності і перешкодостійкості радіозв'язку необхідно було використовувати досвід першого періоду інформаційної безпеки на вищому технологічному рівні, а саме застосування перешкодостійкого кодування повідомлення (сигналу) з подальшим декодуванням прийнятого повідомлення (сигналу).
- III етап — починаючи з 1935 року — пов'язаний з появою засобів радіолокацій і гідроакустики. Основним способом забезпечення інформаційної безпеки в цей період було поєднання організаційних і технічних заходів, направлених на підвищення захищеності засобів радіолокацій від дії на їхні приймальні пристрої активними маскуючими і пасивними імітуючими радіоелектронними перешкодами.
- IV етап — починаючи з 1946 року — пов'язаний з винаходом і впровадженням в практичну діяльність електронно-обчислювальних машин (комп'ютерів). Завдання інформаційної безпеки вирішувалися, в основному, методами і способами обмеження фізичного доступу до устаткування засобів добування, переробки і передачі інформації.
- V етап — починаючи з 1965 року — обумовлений створенням і розвитком локальних інформаційно-комунікаційних мереж. Завдання інформаційної безпеки також вирішувалися, в основному, методами і способами фізичного захисту засобів добування, переробки і передачі інформації, об'єднаних в локальну мережу шляхом адміністрування і управління доступом до мережевих ресурсів.
- VI етап — починаючи з 1973 року — пов'язаний з використанням надмобільних комунікаційних пристроїв з широким спектром завдань. Загрози інформаційній безпеці стали набагато серйознішими. Для забезпечення інформаційної безпеки в комп'ютерних системах з безпровідними мережами передачі даних потрібно було розробити нові критерії безпеки. Утворилися співтовариства людей — хакерів, що ставлять собі за мету нанесення збитку інформаційній безпеці окремих користувачів, організацій і цілих країн. Інформаційний ресурс став найважливішим ресурсом держави, а забезпечення його безпеки — найважливішою і обов'язковою складовою національної безпеки. Формується інформаційне право — нова галузь міжнародної правової системи.
- VII етап — починаючи з 1985 року — пов'язаний із створенням і розвитком глобальних інформаційно-комунікаційних мереж з використанням космічних засобів забезпечення. Можна припустити що черговий етап розвитку інформаційної безпеки, очевидно, буде пов'язаний з широким використанням надмобільних комунікаційних пристроїв з широким спектром завдань і глобальним охопленням у просторі та часі, забезпечуваним космічними інформаційно-комунікаційними системами. Для вирішення завдань інформаційної безпеки на цьому етапі необхідним є створення макросистеми інформаційної безпеки людства під егідою ведучих міжнародних форумів.
Базові поняття [ред.]
Визначення [ред.]
- Докладніше у статті Інформаційна безпека держави
-
Див. також: Інформаційна безпека України
Інформаційна безпека держави — стан захищеності життєво важливих інтересів людини, суспільства і держави, при якому запобігається нанесення шкоди через: неповноту, невчасність та невірогідність інформації, що використовується; негативний інформаційний вплив; негативні наслідки застосування інформаційних технологій; несанкціоноване розповсюдження, використання і порушення цілісності, конфіденційності та доступності інформації.[2]
Інформаційна безпека організації — цілеспрямована діяльність її органів та посадових осіб з використанням дозволених сил і засобів по досягненню стану захищеності інформаційного середовища організації, що забезпечує її нормальне функціонування і динамічний розвиток.
Інформаційна безпеки особистості характеризується як стан захищеності особистості, різноманітних соціальних груп та об'єднань людей від впливів, здатних проти їхньої волі та бажання змінювати психічні стани і психологічні характеристики людини, модифікувати її поведінку та обмежувати свободу вибору[3].
Стандартизоване визначення [ред.]
Інформаційна безпека (information security) — збереження конфіденційності, цілісності та доступності інформації; крім того, можуть враховуватися інші властивості, такі, як автентичність, відстежуваність, неспростовність та надійність[4].
Суттєві (з позицій ІБ) властивості інформації [ред.]
-
Див. також: Критерії інформаційної безпеки
Для характеристики основних властивостей інформації як об'єкта захисту часто використовується модель CIA[5]:
- Конфіденційність (англ. confidentiality) — властивість інформації, яка полягає в тому, що інформація не може бути отримана неавторизованим користувачем
- Цілісність (англ. integrity) — означає неможливість модифікації неавторизованим користувачем
- Доступність (англ. availability) — властивість інформації бути отриманою авторизованим користувачем, за наявності у нього відповідних повноважень, в необхідний для нього час
Додатково також використовують такі властивості:
- Апелювання (англ. non-repudiation) — можливість довести, що автором є саме заявлена людина (юридична особа), і ніхто інший.
- Підзвітність (англ. accountability) — властивість інформаційної системи, що дозволяє фіксувати діяльність користувачів, використання ними пасивних об‘єктів та однозначно встановлювати авторів певних дій в системі.
- Достовірність (англ. reliability)- властивість інформації, яка визначає ступінь об'єктивного, точного відображення подій, фактів, що мали місце.
- Автентичність (англ. authenticity) — властивість, яка гарантує, що суб'єкт або ресурс ідентичні заявленим.
Забезпечення ІБ [ред.]
Забезпечення ІБ держави [ред.]
Згідно з українським законодавством[2], вирішення проблеми інформаційної безпеки має здійснюватися шляхом:
- створення повнофункціональної інформаційної інфраструктури держави та забезпечення захисту її критичних елементів;
- підвищення рівня координації діяльності державних органів щодо виявлення, оцінки і прогнозування загроз інформаційній безпеці, запобігання таким загрозам та забезпечення ліквідації їхніх наслідків, здійснення міжнародного співробітництва з цих питань;
- вдосконалення нормативно-правової бази щодо забезпечення інформаційної безпеки, зокрема захисту інформаційних ресурсів, протидії комп'ютерній злочинності, захисту персональних даних, а також правоохоронної діяльності в інформаційній сфері;
- розгортання та розвитку Національної системи конфіденційного зв'язку як сучасної захищеної транспортної основи, здатної інтегрувати територіально розподілені інформаційні системи, в яких обробляється конфіденційна інформація.
Забезпечення ІБ підприємства/організації [ред.]
В Україні забезпечення ІБ здійснюється шляхом захисту інформації — у випадку, коли необхідність захисту інформації визначена законодавством в галузі ЗІ. Для реалізації захисту інформації створюється Комплексна система захисту інформації (КСЗІ).
Або, у випадку, коли суб'єкт ІБ має наміри розробити і реалізувати політику ІБ і може реалізовувати їх без порушення вимог законодавства:
- міжнародними стандартами ISO: ISO/IEC 17799:2005, ISO/IEC 27001:2005 та ін. — для підтримки рішень на основі ITIL та COBIT і виконання вимог англ. Sarbanes-Oxley Act (акту Сербайнза-Оклі про відповідальність акціонерів за обізнаність про стан своїх активів). Тоді на підприємстві створюється Система управління інформаційною безпекою (СУІБ), яка повинна відповідати усім вимогам міжнародних стандартів в галузі ІБ.
- власними розробками.
Забезпечення ІБ особистості [ред.]
Органи (підрозділи) забезпечення ІБ [ред.]
- Міжнародні організації
- Державні органи
- Відділи спецслужб держави.
- Спеціально уповноважений орган держави з питань захисту інформації (зараз в Україні — це Державна служба спеціального зв'язку та захисту інформації (скор. ДССЗЗІ)
- Підрозділи підприємства
На підприємстві функцію забезпечення ІБ може виконувати як окремий відділ Служби безпеки підприємства, так і окрема Служба (Служба захисту інформації).
Для контролю за КСЗІ в обов'язковому порядку створюється Служба захисту інформації в інформаційно-телекомунікаційній системі (сама назва «Служба» не є обов'язковою).
Функції з контролю за СУІБ покладаються на певний відділ підприємства.
Законодавчі вимоги і регулювання ІБ [ред.]
- Загальнозаконодавчі вимоги (інформаційне законодавство держави, спеціалізовані нормативні акти (в Україні — це Нормативні документи в галузі технічного захисту інформації (скор. НД ТЗІ).
- Галузеві вимоги (галузеві стандарти тощо).
Див. також [ред.]
Посилання [ред.]
Примітки [ред.]
- ↑ Информационная безопасность (2-я книга социально-политического проекта «Актуальные проблемы безопасности социума»). М.: «Оружие и технологии», 2009 (рос.)
- ↑ а б Закон України «Про Основні засади розвитку інформаційного суспільства в Україні на 2007—2015 роки» від 09.01.2007 № 537-V
- ↑ Г. Сащук «Інформаційна безпека в системі забезпечення національної безпеки»
- ↑ ГСТУ СУІБ 1.0/ISO/IEC 27001:2010, ІНФОРМАЦІЙНІ ТЕХНОЛОГІЇ-МЕТОДИ ЗАХИСТУ-СИСТЕМА УПРАВЛІННЯ ІНФОРМАЦІЙНОЮ БЕЗПЕКОЮ, офіційний переклад, ст.3
- ↑ http://en.wikipedia.org/wiki/CIA_Triad
Посилання [ред.]
- «Стандарти інформаційної безпеки».
- «Інформаційна безпека» (Науковий журнал) (українська, російська, англійська (змішаними мовами)). Східноукраїнський національний університет імені Володимира Даля.
- «Центр інформаційної безпеки» (Інтернет-сайт). http://www.bezpeka.com.
- «Журнал "Інформаційні технології. Аналітичні матеріали", Розділ «Інформаційна безпека»» (Інтернет-журнал). it.ridne.net.
Джерела [ред.]
- Сідак В. С., Артемов В. Ю. Забезпечення інформаційної безпеки в країнах НАТО та ЄС: Навчальний посібник. — К.: КНТ, 2007.
- Кормич Б. А. Організаційно-правові основи політики інформаційної безпеки України: Автореф. дис. д-ра юрид. наук: 12.00.07. — X.: НХУ України, 2004.
- Кормич Б.А. Інформаційна безпека: організаційно-правові основи: Навч. посібник. - К.: Кондор, 2004. - 384 с.
- Харченко B. C. Інформаційна безпека. Глосарій. — К.: КНТ, 2005.
- Цимбалюк B.C. Проблеми державної інформаційної політики: гармонізація міжнародного і національного інформаційного права // Правове, нормативне та метрологічне забезпечення системи захисту інформації в Україні. — К.: НТУУ «КПІ», 2001. — № 4.
- Hansen F. and Oleshchuk V.A.: Conformance Checking of RBAC Policy and its Implementation, The First Information Security Practice and Experience Conference, ISPEC 2005, Singapore, LNCS, Volume 3439, pp. 144-155, 2005.
|
||||||||
