Загальні поняття інформаційної безпеки

 

Інформаційна безпека держави – стан збереження інформаційних ресурсів держави і захищеності законних прав особистості і суспільства в інформаційній сфері. У сучасному соціумі інформаційна сфера має дві складові: інформаційно-технічну (штучно створений людиною світ техніки, технологій) і інформаційно-психологічну (природний світ живої природи, що включає і саму людину). Відповідно, в загальному випадку інформаційну безпеку суспільства (держави) можна представити двома складовими частинами: інформаційно-технічної безпекою та інформаційно-психологічної (психофізичної) безпекою.

Інформаційна безпека - це процес забезпечення конфіденційності, цілісності та доступності інформації.

Конфіденційність: забезпечення доступу до інформації тільки авторизованим користувачам.

Цілісність: забезпечення достовірності та повноти інформації і методів її обробки.

Доступність: забезпечення доступу до інформації і пов’язаним з нею активам авторизованих користувачів по мірі необхідності.

Інформаційна безпека (англ. Information security) це всі аспекти, пов’язані з визначенням, досягненням і підтримкою конфіденційності, цілісності, доступності, неспростовності, підзвітності, автентичності та достовірності інформації або засобів її обробки.

Безпека інформації (даних) (англ. Information (data) security) – стан захищеності інформації (даних), при якому забезпечуються її (їх) конфіденційність, доступність і цілісність.

Безпека інформації (даних) визначається відсутністю неприпустимого ризику, пов’язаного з витоком інформації технічними каналами, несанкціонованими та ненавмисними діями на дані і (або) на інші ресурси автоматизованої інформаційної системи, що використовуються в автоматизованій системі.

Безпека інформації (при застосуванні інформаційних технологій) (англ. IT security) – стан захищеності інформації (даних), що забезпечує безпеку інформації, для обробки якої вона застосовується, і інформаційну безпеку автоматизованої інформаційної системи, в якій вона реалізована.

Безпека автоматизованої інформаційної системи – стан захищеності автоматизованої системи, при якому забезпечуються конфіденційність, доступність, цілісність, підзвітність і справжність її ресурсів.

Інформаційна безпека це захищеність інформації та підтримуючої інфраструктури від випадкових або навмисних впливів природного або штучного характеру, які можуть завдати неприйнятний збиток суб’єктам інформаційних відносин. (Підтримуюча інфраструктура включає системи електро-, тепло-, водо-, газопостачання, системи кондиціонування тощо, а також обслуговуючий персонал. Неприйнятний збиток - збиток, яким не можна нехтувати.)

У якості стандартної моделі безпеки часто призводять модель з трьох категорій:

- конфіденційність (англ. confidentiality) – стан інформації, при якому доступ до неї здійснюють тільки суб’єкти, що мають на неї право;

- цілісність (англ. integrity) - уникнення несанкціонованої модифікації інформації;

- доступність (англ. availability) - уникнення тимчасового або постійного заховання інформації від користувачів, які отримали права доступу.

Виділяють і інші не завжди обов’язкові категорії моделі безпеки: неспростовність або апеліруємість (англ. non-repudiation) тобто здатність засвідчувати чи мало місце дія чи подія так, що ці події або дії не могли бути пізніше відкинуті;

- підзвітність (англ. accountability), що передбачає забезпечення ідентифікації суб’єкта доступу та реєстрації його дій;

- достовірність (англ. reliability) зумовлює властивість відповідності передбаченої поведінки чи результату;

- автентичність або справжність (англ. authenticity) це властивість, що гарантує, що суб’єкт або ресурс ідентичні заявленим.

Системний підхід до опису інформаційної безпеки пропонує виділити наступні складові інформаційної безпеки:

- законодавча, нормативно-правова та наукова база;

- структура і завдання органів (підрозділів), що забезпечують безпеку інформаційних технологій (далі –ІТ);

- організаційно-технічні та режимні заходи і методи (політика інформаційної безпеки).

Метою реалізації інформаційної безпеки будь-якого об’єкта є побудова Системи забезпечення інформаційної безпеки даного об’єкту (далі – СЗІБ). Для побудови та ефективної експлуатації СЗІБ необхідно:

- виявити вимоги захисту інформації, специфічні для даного об’єкта захисту;

- врахувати вимоги національного та міжнародного законодавства;

- використовувати напрацьовані практики (стандарти, методології) побудови подібних СОІБ;

- визначити підрозділи, відповідальні за реалізацію та підтримку СЗІБ;

- розподілити між підрозділами сфери відповідальності у здійсненні вимог СЗІБ;

- на базі управління ризиками інформаційної безпеки визначити загальні положення, технічні і організаційні вимоги, складові політики інформаційної безпеки об’єкта захисту; реалізувати вимоги політики інформаційної безпеки, впровадивши відповідні програмно-технічні засоби та способи захисту інформації; реалізувати систему менеджменту (управління) інформаційної безпеки (далі – СМІБ);

- використовуючи СМІБ організувати регулярний контроль ефективності СОІБ і при необхідності перегляд і коригування СОІБ і СМІБ. Процес реалізації СОІБ безперервний і циклічно (після кожного перегляду) повертається до першого етапу, повторюючи послідовно всі інші. Так СОІБ коригується для ефективного виконання своїх завдань захисту інформації та відповідності новим вимогам постійно оновлюється інформаційної системи.

В Україні до нормативно-правових актів у галузі інформаційної безпеки відносяться:

- законодавство – Конституція України, закони України, міжнародні договори;

- укази Президента України;

- постанови та розпорядження Кабінету Міністрів України;

- нормативно-правові акти центральних міністерств і відомств;

- нормативно-правові акти органів місцевого самоврядування.

До нормативно-методичних документів можна віднести методичні документи державних органів України:

- Доктрина інформаційної безпеки України (проект);

- керівні документи Державних служб України з питань захисту персональних даних і спеціального зв’язку та захисту інформації;

- накази Служби безпеки України;

- cтандарти інформаційної безпеки, з яких виділяють: міжнародні стандарти;

- державні (національні) стандарти України; рекомендації щодо стандартизації; методичні вказівки.

В залежності від програми діяльності в галузі захисту інформації (в державних органах влади або комерційних організацій), сама діяльність організовується спеціальними державними органами (підрозділами), або відділами (службами) підприємства.

Державні органи України, які контролюють діяльність в галузі захисту інформації: Комітет Верховної Ради України з питань національної безпеки і оборони; Рада національної безпеки і оборони України; Державна служба експортного контролю України; Служба безпеки України; Управління державної охорони України; Служба зовнішньої розвідки України; Міністерство оборони України; Міністерство внутрішніх справ України; Державна служба спеціального зв’язку та захисту інформації України, Державний комітет телебачення та радіомовлення України.

Служби, що організують захист інформації на рівні підприємства: служба економічної безпеки; служба безпеки персоналу (режимний відділ); служба інформаційної безпеки.

Для опису технології захисту інформації конкретної інформаційної системи будується політика інформаційної безпеки або політика безпеки інформаційної системи.

Політика безпеки (інформації в організації) (англ. Organizational security policy) це сукупність документованих правил, процедур, практичних прийомів або керівних принципів в галузі безпеки інформації, якими керується організація у своїй діяльності.

Політика безпеки інформаційно-телекомунікаційних технологій (англ. ІСТ security policy) включає правила, директиви, що склалася у практиці, які визначають, як в межах організації та її інформаційно-телекомунікаційних технологій управляти, захищати та розподіляти активи, у тому числі критичну інформацію. Для побудови політики інформаційної безпеки рекомендується окремо розглядати такі напрями захисту інформаційної системи:

- захист об’єктів інформаційної системи;

- захист процесів, процедур і програм обробки інформації;

- захист каналів зв’язку (акустичні, інфрачервоні, провідні, радіоканали і ін.);

- придушення побічних електромагнітних випромінювань;

- управління системою захисту.

При цьому по кожному з перерахованих вище напрямків політика інформаційної безпеки повинна описувати наступні етапи створення засобів захисту інформації:

- визначення інформаційних і технічних ресурсів, що підлягають захисту;

- виявлення потенційно можливих загроз і каналів витоку інформації;

- проведення оцінки вразливості і ризиків інформації при наявному безлічі загроз і каналів витоку;

- визначення вимог до системи захисту;

- здійснення вибору засобів захисту інформації і їх характеристик; - - впровадження та організація використання обраних заходів, способів і засобів захисту;

- здійснення контролю цілісності та керування системою захисту.

Політика інформаційної безпеки оформляється у вигляді задокументованих вимог на інформаційну систему. Документи поділяють за рівнями опису (деталізації) процесу захисту.

Документи вищого рівня політики інформаційної безпеки відображають позицію організації до діяльності в галузі захисту інформації, її прагнення відповідати державним, міжнародним вимогам і стандартам у цій галузі. Подібні документи можуть називатися «Концепція інформаційної безпеки», «Регламент управління інформаційною безпекою», «Політика інформаційної безпеки», «Технічний стандарт інформаційної безпеки» тощо.

Сфера поширення документів вищого рівня не обмежується, проте дані документи можуть випускатися в двох редакціях – для зовнішнього та внутрішнього використання. Згідно стандарту ISO / IEC 17799-2005, на вищому рівні політики інформаційної безпеки повинні бути оформлені наступні документи: «Концепція забезпечення інформаційної безпеки», «Правила допустимого використання ресурсів інформаційної системи», «План забезпечення безперервності бізнесу».

До середнього рівня відносять документи, що стосуються окремих аспектів інформаційної безпеки. Це вимоги на створення і експлуатацію засобів захисту інформації, організацію інформаційних і бізнес-процесів організації по конкретному напрямку захисту інформації. Наприклад: безпеки даних, безпеки комунікацій, використання засобів криптографічного захисту, контентная фільтрація тощо. Подібні документи видаються у вигляді внутрішніх технічних і організаційних політик (стандартів) організації. Всі документи середнього рівня політики інформаційної безпеки конфіденційні.

У політику інформаційної безпеки нижнього рівня входять регламенти робіт, керівництва по адмініструванню, інструкції з експлуатації окремих сервісів інформаційної безпеки.

Важне місце у сфері інформаційної безпеки відіграють програмно-технічні засоби та способи забезпечення інформаційної безпеки. У літературі пропонується наступна класифікація засобів захисту інформації.

Засоби захисту від несанкціонованого доступу (НСД):

- засоби авторизації;

- мандатне управління доступом;

- виборче управління доступом;

- управління доступом на основі ролей;

- аудит (журналювання).

Системи аналізу та моделювання інформаційних потоків (CASE-системи).

Системи моніторингу мереж:

- системи виявлення й запобігання вторгнень (IDS / IPS);

- системи запобігання витоків конфіденційної інформації (DLP-системи);

- аналізатори протоколів;

- антивірусні засоби;

- міжмережеві екрани;

- криптографічні засоби: шифрування, цифровий підпис.

Системи резервного копіювання.

Системи безперебійного живлення: джерела безперебійного живлення; резервування навантаження; генератори напруги.

Системи аутентифікації: пароль; ключ доступу (фізичний або електронний); сертифікат; біометрія.

Засоби запобігання злому корпусів і крадіжок устаткування.

Засоби контролю доступу в приміщення.

Інструментальні засоби аналізу систем захисту:

Антивірус.

Організаційна захист - це регламентація виробничої діяльності та взаємовідносин виконавців на нормативно-правовій основі, що виключає або суттєво ускладнює неправомірне заволодіння конфіденційною інформацією і прояв внутрішніх і зовнішніх загроз. Організаційна захист забезпечує: організацію охорони, режиму, роботу з кадрами, з документами; використання технічних засобів безпеки, інформаційно-аналітичну діяльність з виявлення внутрішніх і зовнішніх загроз діяльності.

До основних організаційних заходів можна віднести: організацію режиму і охорони. Їх мета –виключення можливості таємного проникнення на територію і в приміщення сторонніх осіб; організацію роботи зі співробітниками, яка передбачає підбір і розстановку персоналу, включаючи ознайомлення зі співробітниками, їх вивчення, навчання правилам роботи з конфіденційною інформацією, ознайомлення з заходами відповідальності за порушення правил захисту інформації та ін.; організацію роботи з документами і документованої інформацією, включаючи організацію розробки і використання документів і носіїв конфіденційної інформації, їх облік, виконання, повернення, зберігання та знищення; організацію використання технічних засобів збору, обробки, накопичення та зберігання конфіденційної інформації; організацію роботи з аналізу внутрішніх і зовнішніх загроз конфіденційної інформації та вироблення заходів щодо забезпечення її захисту; організацію роботи з проведення систематичного контролю за роботою персоналу з конфіденційною інформацією, порядком обліку, зберігання та знищення документів і технічних носіїв.

У кожному конкретному випадку організаційні заходи носять специфічну для даної організації форму і зміст, спрямовані на забезпечення безпеки інформації в конкретних умовах.