РЕФЕРАТ
на тему: Основи інформаційної безпеки
Поняття інформаційної безпеки
Під інформаційною безпекою (ІБ) слід розуміти захист інтересів суб'єктів інформаційних відносин. Нижче описані основні її складові - конфіденційність, цілісність, доступність. Приводиться статистика порушень ІБ, описуються найбільш характерні випадки.
Перш ніж говорити про інформаційну безпеку необхідно з’ясувати, що таке інформація.
Поняття «інформація» сьогодні вживається дуже широко і різнобічно. Важко знайти таку область знань, де б воно не використовувалося. Величезні інформаційні потоки буквально захльостують людей. Обсяг наукових знань, наприклад, за оцінкою фахівців, подвоюється кожні п'ять років.
Що ж таке інформація? У літературі дається таке визначення:
Інформація - данні про людей, предмети, факти, події, явища і процеси незалежно від форми їхнього представлення.
Відомо, що інформація може мати різну форму, зокрема, дані, закладені в комп'ютерах, листи, пам'ятні записи, досьє, формули, креслення, діаграми, моделі продукції і прототипи, дисертації, судові документи й ін.
Як і всякий продукт, інформація має споживачів, що потребують її, і тому володіє певними споживчими якостями, а також має і своїх власників або виробників.
Відповідно до різноманітності інформації, словосполучення "інформаційна безпека" в різних контекстах може мати різний сенс.
Інформаційна безпека - стан захищеності життєво важливих інтересів людини, суспільства і держави, при якому запобігається нанесення шкоди через: неповноту, невчасність та невірогідність інформації, що використовується; негативний інформаційний вплив; негативні наслідки застосування інформаційних технологій; несанкціоноване розповсюдження, використання і порушення цілісності, конфіденційності та доступності інформації.
Закон України Про Основні засади розвитку інформаційного суспільства в Україні на 2007-2015 роки
Спеціальне законодавство в області безпеки інформаційної діяльності представлено низькою законів. У їхньому складі особливе місце належить базовому Закону «Про інформацію, інформатизацію і захист інформації», що закладає основи правового означення всіх найважливіших компонентів інформаційної діяльності:
інформації й інформаційних систем;
суб'єктів - учасників інформаційних процесів;
правовідносин виробників - споживачів інформаційної продукції;
власників (власників, джерел) інформації - оброблювачів і споживачів на основі відносин власності при забезпеченні гарантій інтересів громадян і держави.
У даному посібнику увага буде зосереджена на зберіганні, обробці і передачі інформації незалежно від того, на якій мові (українській або іншій) вона закодована, хто або що є її джерелом і яку психологічну дію вона спричиняє на людей. Тому термін "інформаційна безпека" використовуватиметься у вузькому сенсі, так, як це прийнято, наприклад, в англомовній літературі.
Під інформаційною безпекою(ІБ) ми розумітимемо захищеність інформації та інфраструктури, що її підтримує, від випадкових або навмисних дій природного або штучного характеру, які можуть завдати неприйнятного збитку суб'єктам інформаційних відносин, зокрема власникам і користувачам інформації та інфраструктури, що її підтримує.
Захист інформації - це комплекс заходів, направлених на забезпечення інформаційної безпеки.
Таким чином, правильний з методологічної точки зору підхід до проблем інформаційної безпеки починається з виявлення суб'єктів інформаційних відносин та інтересів цих суб'єктів, пов'язаних з використанням інформаційних систем (ІС). Загрози інформаційній безпеці - це зворотна сторона використання інформаційних технологій.
Тут необхідно зауважити, що трактування проблем, пов'язаних з інформаційною безпекою, для різних категорій суб'єктів може істотно різнитися. Для ілюстрації досить зіставити режимні державні організації і учбові інститути. У першому випадку "хай краще все зламається, ніж ворог дізнається хоч один секретний біт", в другому - "немає у нас жодних секретів, аби все працювало". Отже, інформаційна безпека не зводиться виключно до захисту від несанкціонованого доступу до інформації, це принципово ширше поняття. Суб'єкт інформаційних відносин може постраждати (зазнати збитки та/або одержати моральний збиток) не тільки від несанкціонованого доступу, але й від поломки системи, що викликала перерву в роботі. Більш того, для багатьох відкритих організацій (наприклад, учбових) власне захист від несанкціонованого доступу до інформації стоїть за важливістю зовсім не на першому місці.
Повертаючись до питань термінології, відзначимо, що термін "комп'ютерна безпека" (як еквівалент або замінник ІБ) представляється нам дуже вузьким. Комп'ютери - тільки одна складових інформаційних систем, і хоча наша увага буде зосереджена в першу чергу на інформації, яка зберігається, обробляється і передається за допомогою комп'ютерів, її безпека визначається всією сукупністю складових і, в першу чергу, найслабкішою ланкою, якою в переважній більшості випадків виявляється людина.
Згідно визначення інформаційної безпеки, вона залежить не тільки від комп'ютерів, але і від інфраструктури, що її підтримує, до якої можна віднести системи електро-, водо- і теплопостачання, кондиціонери, засоби комунікацій і, звичайно, обслуговуючий персонал. Ця інфраструктура має самостійну цінність, але нас цікавитиме лише те, як вона впливає на виконання інформаційною системою своїх функцій.
Звернемо увагу, що у визначенні ІБ перед іменником "втрати" стоїть прикметник "неприйнятний". Очевидно, застрахуватися від всіх видів втрат неможливо, тим більше неможливо зробити це економічно доцільним способом, коли вартість захисних засобів і заходів не перевищує розмір очікуваних втрат. Значить, з чимось доводиться миритися і захищатися слід тільки від того, з чим змиритися ніяк не можна. Іноді таким неприпустимими витратами є нанесення шкоди здоров'ю людей або стану навколишнього середовища, але частіше поріг неприйнятності має матеріальний (грошовий) вираз, а метою захисту інформації стає зменшення розмірів втрат до допустимих значень.
Основні складові інформаційної безпеки
Інформаційна безпека - багатогранна, можна навіть сказати, багатовимірна область діяльності, в якій успіх може принести тільки систематичний, комплексний підхід.
Спектр інтересів суб'єктів, зв'язаних з використанням інформаційних систем, можна розділити на наступні категорії показані на рис.1.1: забезпечення доступності, цілісності і конфіденційності інформаційних ресурсів та інфраструктури, що її підтримує.
Рисунок 1.1 – Основні складові інформаційної безпеки
Іноді в число основних складових ІБ включають захист від несанкціонованого копіювання інформації, але, на наш погляд, це дуже специфічний аспект з сумнівними шансами на успіх, тому ми не станемо його виділяти.
Пояснимо поняття доступності, цілісності і конфіденційності.
Доступність - це можливість за прийнятний час одержати необхідну інформаційну послугу.
Інформаційні системи створюються для отримання певних інформаційних послуг. Якщо за тими або іншими причинам надати ці послуги користувачам стає неможливо, це, очевидно, завдає збитку всім суб'єктам інформаційних відносин. Тому, не протиставляючи доступність решті аспектів, ми виділяємо її як найважливіший елемент інформаційної безпеки.
Особливо яскраво основна роль доступності виявляється в різного роду системах управління - виробництвом, транспортом тощо. Зовні менш драматичні, але також вельми неприємні наслідки - і матеріальні, і моральні - може мати тривала недоступність інформаційних послуг, якими користується велика кількість людей (продаж залізничних та авіаквитків, банківські послуги тощо).
Під цілісністю мається на увазі актуальність і несуперечність інформації, її захищеність від руйнування і несанкціонованої зміни.
Цілісність можна поділити на статичну (тобто незмінність інформаційних об'єктів) і динамічну (що відноситься до коректного виконання складних дій (транзакцій)). Засоби контролю динамічної цілісності застосовуються, зокрема, при аналізі потоку фінансових повідомлень з метою виявлення крадіжки, переупорядковування або дублювання окремих повідомлень.
Цілісність виявляється найважливішим аспектом ІБ в тих випадках, коли інформація служить "керівництвом до дії". Рецептура ліків, наказані медичні процедури, набір і характеристики комплектуючих виробів, хід технологічного процесу - все це приклади інформації, порушення цілісності якої може опинитися в буквальному розумінні смертельним. Неприємно і спотворення офіційної інформації, будь то текст закону або сторінка Web-сервера якої-небудь урядової організації.
Конфіденційність - це захист від несанкціонованого доступу до інформації.
Конфіденційність – найбільш опрацьований у нас в країні аспект інформаційної безпеки. На жаль, практична реалізація заходів по забезпеченню конфіденційності сучасних інформаційних систем натрапляє на серйозні труднощі. По-перше, відомості про технічні канали просочування інформації є закритими, так що більшість користувачів позбавлене можливості скласти уявлення про потенційні ризики. По-друге, на шляху призначеної для користувача криптографії як основного засобу забезпечення конфіденційності стоять численні законодавчі перепони і технічні проблеми.
Якщо повернутися до аналізу інтересів різних категорій суб'єктів інформаційних відносин, то майже для всіх, хто реально використовує ІС, на першому місці стоїть доступність. Практично не поступається їй за важливістю цілісність - який сенс в інформаційній послузі, якщо вона містить спотворені відомості?