Аспекти інформаційної безпеки. Технологічні аспекти та процеси захисту інформації Існують два аспекти інформаційної безпеки

Складові інформаційної безпеки

У загальному випадку інформаційну безпеку (ІБ) можна визначити як "захищеність інформації, ресурсів та підтримуючої інфраструктури від випадкових або навмисних впливів природного або штучного характеру, які можуть завдати неприйнятної шкоди суб'єктам інформаційних відносин – виробникам, власникам та користувачам інформації та підтримуючій інфраструктурі".

Інформаційна безпека не зводиться виключно захисту від несанкціонованого доступу до інформації: це принципово ширше поняття, що включає захист інформації, технологій і систем.

Вимоги щодо забезпечення безпеки у різних аспектах інформаційної діяльності можуть суттєво відрізнятися, однак вони завжди спрямовані на досягнення наступних трьох основних складових інформаційної безпеки:

• цілісності. Це насамперед актуальність та несуперечність інформації, її захищеність від руйнування та несанкціонованої зміни, а саме: дані та інформація, на основі якої приймаються рішення, мають бути достовірними, точними та захищеними від можливих ненавмисних та зловмисних спотворень;
• конфіденційності. Засекречена інформація має бути доступна лише тому, кому вона призначена. Таку інформацію неможливо отримати, прочитати, змінити, передати, якщо цього немає відповідних прав доступу;
• доступності(Готовності). Це можливість прийнятний час отримати необхідну інформаційну послугу, тобто. дані, інформація та відповідні служби, автоматизовані послуги, засоби взаємодії та зв'язку повинні бути доступні та готові до роботи завжди, коли в них виникає потреба.

Діяльність із забезпечення інформаційної безпеки спрямована на те, щоб не допустити, запобігти або нейтралізувати такі дії:

• несанкціонований доступ до інформаційних ресурсів (НСД, Unauthorized Access – UAA);
• спотворення, часткову чи повну втрату конфіденційної інформації;
• цілеспрямовані дії (атаки) щодо руйнування цілісності програмних комплексів, систем даних та інформаційних структур;
• відмови та збої у роботі програмно-апаратного та телекомунікаційного забезпечення.

Таким чином, правильний з методологічного погляду підхід до проблем інформаційної безпеки починається з виявлення суб'єктів інформаційних відносин та інтересів цих суб'єктів, пов'язаних з використанням інформаційних технологійта систем (ІТ/ІВ).

Оцінка реальної ситуації зводиться в більшості випадків до відповіді на ключові питання, що становлять системну основу для забезпечення інформаційної безпеки, і зокрема, чи треба захищатися, від кого і чого слід захищатися, що і як потрібно захищати, які заходи забезпечать ефективність захисту, а також оцінити. передбачувану вартість розробки, впровадження, експлуатації, супроводу та модернізації систем безпеки.

Перші три питання безпосередньо стосуються проблеми оцінки реальних загроз (рис. 7.1) 16]. Відповіді ці питання неоднозначні – багато що залежить від структури, області діяльності та цілей компанії. При інтеграції індивідуальних та корпоративних інформаційних систем та ресурсів у єдину інформаційну інфраструктуру визначальним фактором є забезпечення належного рівня інформаційної безпеки для кожного суб'єкта, який вирішив увійти в єдину інфраструктуру.

Рис. 7.1.

У єдиному інформаційному просторі державної структури чи комерційної фірми мають бути створені механізми та інструмент аутентифікації для автентифікації користувача, повідомлення та контенту. Таким чином, має бути створена система інформаційної безпеки, яка включала б необхідний комплекс заходів та технічних рішеньіз захисту:

• від порушення функціонування інформаційного простору шляхом виключення впливу на інформаційні канали та ресурси;
• несанкціонованого доступу до інформації шляхом виявлення та ліквідації спроб щодо використання ресурсів інформаційного простору, що призводять до порушення його цілісності;
• руйнування вбудовуваних засобів захисту можливістю виявлення неправомочності дій користувачів та обслуговуючого персоналу;
• впровадження програмних " вірусів " та "закладок в програмні продукти та технічні засоби.

Особливо слід зазначити завдання забезпечення безпеки систем, що розробляються і модифікуються, в інтегрованому інформаційному середовищі, оскільки в процесі модифікації КІС неминуче виникнення нештатних ситуацій незахищеності системи (так звані "дірки в системі").

Поряд з аналізом існуючих у компанії конкретних засобів захисту має здійснюватися розробка політики у сфері інформаційної безпеки, що включає сукупність організаційно-розпорядчих заходів та документів, а також методологічних та технічних рішень, що є основою для створення інфраструктури інформаційної безпеки (рис. 7.2).

Рис. 7.2.

Наступним етапом з розробки комплексної системи інформаційної безпеки є придбання, встановлення та настроювання засобів та механізмів захисту інформації. До таких засобів можна віднести системи захисту від несанкціонованого доступу, системи криптографічного захисту, міжмережові екрани (брандмауери, фаєрволи), засоби аналізу захищеності та ін. Для правильного та ефективного застосування встановлених засобів захисту необхідний кваліфікований персонал.

З часом наявні засоби захисту старіють, виходять нові версії систем забезпечення інформаційної безпеки, постійно розширюється список знайдених вразливих місць та атак, змінюються технологія обробки інформації, програмні та апаратні засоби, а також персонал компанії. Тому необхідно регулярно переглядати розроблені організаційно-розпорядчі документи, проводити обстеження ІС або її підсистем, навчати персонал та оновлювати засоби захисту.

Будь-яке підприємство, отримує ресурси, зокрема і інформаційні, переробляє їх, щоб у кінцевому підсумку реалізувати над ринком власний комерційний продукт. При цьому воно породжує специфічне внутрішнє середовище, яке формується зусиллями персоналу всіх структурних підрозділів, а також технічними засобами та технологічними процесами, економічними та соціальними відносинами як усередині підприємства, так і у взаємодії із зовнішнім середовищем.

Корпоративна інформація відображає фінансово-економічний стан підприємства та результати його діяльності. Приклади подібної інформації – це реєстраційні та статутні документи, довгострокові та поточні плани, накази, розпорядження, звіти, виробничі дані, дані про рух фінансів та інших ресурсів, відомості про підготовку персоналу та сфери застосування продуктів діяльності, включаючи методи та канали збуту, техніку продажу , замовлення, логістику, інформацію про постачальників та партнерів.

Джерела корпоративної інформації – директорат та адміністрація підприємства, планово-фінансові підрозділи, бухгалтерія, ІТ-відділи та обчислювальні центри, відділи головного інженера та головного механіка, виробничі підрозділи, юридичні, експлуатаційні та ремонтні служби, відділи логістики, закупівлі та збуту тощо .

Корпоративне середовище включає державні, економічні, політичні та соціальні суб'єкти, що діють за межами підприємства. Інформація поза корпоративним середовищем часто неповна, суперечлива, приблизна, різнорідна та неадекватно відображає стан зовнішнього середовища. Прикладами зовнішньої інформації, що виходить за межі корпоративного середовища, є стан ринку (його довготривалий та поточний стан, тенденції в діловому середовищі, коливання попиту та пропозиції, нестабільність ситуації, мінливість, суперечливість вимог), зміни в законодавстві, очікування споживачів, "підступи" конкурентів , наслідки політичних подій тощо.

Більша частина цієї інформації є відкритою, проте в залежності від особливостей внутрішньої діяльності та взаємодії з зовнішнім світомчастина інформації то, можливо призначена " для службового користування " , тобто. бути "суворо конфіденційною" або "секретною". Така інформація є, як правило, "закритою" і потребує відповідних заходів захисту.

Для забезпечення безпеки при роботі з інформацією, що охороняється, слід, по перше, побудувати політику роботи з конфіденційною та службовою інформацією, розробити та впровадити відповідні керівництва та процедури та, по-друге, забезпечити потрібні програмно-апаратні ресурси.

Програмно-апаратні засоби для роботи з інформацією, що охороняється, або вбудовуються у відповідні модулі корпоративної інформаційної системи (КІС), або використовуються локально в системах, обумовлених у політиці ІБ. До них відносяться пристрої, які здійснюють:

• моніторинг переміщення конфіденційної інформації щодо інформаційної системи (Data-in-Shell);
• управління контролем витоку даних через мережевий трафік за протоколами TCP/IP, SMTP, IMAP, HTTP(s), IM (ICQ, AOL, MSN), FTP, SQL, власних протоколів за допомогою фільтрації контенту на рівні:
• – шлюза, через який йде трафік із внутрішньої мережі у зовнішню мережу (Data-in-Motion);
• – сервера, який обробляє певний тип трафіку (Data-at-Rest);
• – робочої станції (Data-in-Use);
• – внутрішніх каналів пошти Microsoft Exchange, Lotus Notes та ін.
• – управління контролем витоку інформації, що охороняється, з робочих станцій, периферійних та мобільних

• – встановлення проактивного захисту та персональних мережевих екранів;
• - Тіньового копіювання інформаційних об'єктів у єдину базу контентної фільтрації для всіх каналів за єдиними правилами.

Грамотно організувати захист даних та інформації, що охороняються, нелегко і недешево. Для цього потрібно провести класифікацію даних, ретельну інвентаризацію інформаційних ресурсів, вибрати адекватне програмно-апаратне рішення, розробити та впровадити сукупність регламентуючих документів щодо забезпечення внутрішньої безпеки. Головну роль у цій непростій роботі з мінімізації ризиків витоку даних відіграють компетентність і воля вищого керівництва підприємства, актуальні політики та ефективні програмні засоби, а також режим комерційної таємниці при роботі з інформацією, що охороняється.

Контрольні питання?

Загрози безпеки інформації та їх класифікація.

Інформаційна безпека та її складові

Під інформаційною безпекоюрозуміється захищеність інформаційної системи від випадкового чи навмисного втручання, що завдає шкоди власникам чи користувачам інформації.

На практиці найважливішими є три аспекти інформаційної безпеки:

· доступність(Можливість за розумний час отримати необхідну інформаційну послугу);

· цілісність(актуальність та несуперечність інформації, її захищеність від руйнування та несанкціонованої зміни);

конфіденційність(Захист від несанкціонованого доступу до інформації).

Формування режиму інформаційної безпеки – проблема комплексна. Заходи щодо її вирішення можна поділити на п'ять рівнів:

1. законодавчий (закони, нормативні акти, стандарти тощо);

2. морально-етичний (різні норми поведінки, недотримання яких веде до падіння престижу конкретної людиниабо цілої організації);

3. адміністративний (дії загального характеру, що здійснюються керівництвом організації);

4. фізичний (механічні, електро- та електронно-механічні перешкоди на можливих шляхахпроникнення потенційних порушників);

5. апаратно-програмний (електронні пристрої та спеціальні програмизахисту).

Єдина сукупність усіх цих заходів, спрямованих на протидію загрозам безпеці з метою мінімізації можливості шкоди, утворюють систему захисту.

Знання можливих загроз, а також вразливих місць захисту, які ці загрози зазвичай експлуатують, необхідно для того, щоб вибирати найекономічніші засоби забезпечення безпеки.

Загроза - це потенційна можливість порушити інформаційну безпеку.

Спроба реалізації загрози називається атакою, а той, хто робить таку спробу - зловмисником. Потенційні зловмисники називають джерелами загрози.

Найчастіше загроза є наслідком наявності вразливих місць захисту інформаційних систем (таких, наприклад, як можливість доступу сторонніх осіб до критично важливого обладнання або помилки в програмному забезпеченні).

Загрози можна класифікувати за кількома критеріями:

· За аспектом інформаційної безпеки (доступність, цілісність, конфіденційність), проти якого загрози спрямовані в першу чергу;

· За компонентами інформаційних систем, на які загрози націлені (дані, програми, апаратура, підтримуюча інфраструктура);

· За способом здійснення (випадкові/навмисні дії природного/техногенного характеру);

· за розташуванням джерела загроз (всередині / поза розглянутою ІС).

Найчастішими та найнебезпечнішими (з точки зору розміру шкоди) є ненавмисні помилки штатних користувачів, операторів, системних адміністраторів та інших осіб, які обслуговують інформаційні системи.

Іноді такі помилки і є власне загрозами (неправильно введені дані або помилка в програмі, що спричинила крах системи), іноді вони створюють вразливі місця, якими можуть скористатися зловмисники (звичайні помилки адміністрування). За деякими даними, до 65% втрат – наслідок ненавмисних помилок.

Пожежі та повені не приносять стільки бід, скільки безграмотність та недбалість у роботі.

Очевидно, найрадикальніший спосіб боротьби з ненавмисними помилками – максимальна автоматизація та суворий контроль.

Інші загрози доступності класифікуємо за компонентами ІС, на які націлені загрози:

· Відмова користувачів;

· Внутрішній відмова інформаційної системи;

· Відмова підтримуючої інфраструктури.

До підтримуючої інфраструктури можна віднести системи електро-, водо- та теплопостачання, кондиціонери, засоби комунікацій та, звичайно, обслуговуючий персонал.

Зазвичай стосовно користувачів розглядаються такі загрози:

· небажання працювати з інформаційною системою (найчастіше проявляється при необхідності освоювати нові можливості та при розбіжності між запитами користувачів та фактичними можливостями та технічними характеристиками);

· неможливість працювати з системою через відсутність відповідної підготовки (нестача загальної комп'ютерної грамотності, невміння інтерпретувати діагностичні повідомлення, невміння працювати з документацією тощо);

· неможливість працювати з системою через відсутність технічної підтримки(Неповнота документації, недолік довідкової інформаціїі т.п.).

Основними джерелами внутрішніх відмов є:

· Відступ (випадкове або навмисне) від встановлених правил експлуатації;

· Вихід системи зі штатного режиму експлуатації через випадкові або навмисні дії користувачів або обслуговуючого персоналу (перевищення розрахункового числа запитів, надмірний обсяг оброблюваної інформації тощо);

· Помилки при (пере)конфігуруванні системи;

· Відмови програмного та апаратного забезпечення;

· руйнування даних;

· руйнування чи пошкодження апаратури.

Стосовно підтримуючої інфраструктури рекомендується розглядати такі загрози:

· Порушення роботи (випадкове або навмисне) систем зв'язку, електроживлення, водо- та/або теплопостачання, кондиціювання;

· руйнування або пошкодження приміщень;

· неможливість або небажання обслуговуючого персоналу та/або користувачів виконувати свої обов'язки (цивільні заворушення, аварії на транспорті, терористичний акт або його загроза, страйк тощо).

Дуже небезпечні так звані "ображені" співробітники - нинішні та колишні. Як правило, вони прагнуть завдати шкоди організації-"кривднику", наприклад:

· зіпсувати обладнання;

· Вбудувати логічну бомбу, яка з часом зруйнує програми та/або дані;

· Видалити дані.

Ображені співробітники, навіть колишні, знайомі з порядками в організації та здатні завдати чималої шкоди. Необхідно стежити за тим, щоб при звільненні працівника його права доступу (логічного та фізичного) до інформаційних ресурсів анулювалися.

Небезпечні, зрозуміло, і стихійні лиха – пожежі, повені, землетруси, урагани. За статистикою, на частку вогню, води тощо "зловмисників" (серед яких найнебезпечніший - перебій електроживлення) припадає 13% втрат, завданих інформаційним системам.

1. Що таке комп'ютерна графіка:

2. Види графічних систем

3. Пристрої виведення відеоінформації.

4. Відмінність Internet від будь-якої іншої комп'ютерної мережі.

5. Поняття та призначення TCP/IP.

6. Основні протоколи рівня додатків.

7. Навіщо в Internet потрібна адресація?

8. Види адресації в Internet.

9. Що мають на увазі під поняттям «загроза» інформації?

10. Що розуміють під інформаційною безпекою?

У проблемі інформаційної безпеки можна виділити такі аспекти:

Цілісність інформації

Цілісність інформації- Це її фізична безпека, захищеність від руйнування та спотворення, а також її актуальність і несуперечність.

Цілісність інформації поділяється на:

· Статичну,

· динамічну.

Статична цілісністьінформації передбачає незмінність інформаційних об'єктів від їх вихідного стану, що визначається автором або джерелом інформації

Динамічна цілісністьінформації включає питання коректного виконання складних дій з інформаційними потоками, наприклад, аналіз потоку повідомлень виявлення некоректних, контроль правильності передачі повідомлень, підтвердження окремих повідомлень та інших.

Цілісність є найважливішим аспектом інформаційної безпеки у випадках, коли інформація використовується керувати різними процесами, наприклад, технічними, соціальними тощо.

Так, помилка в керуючій програмі призведе до зупинки керованої системи, неправильне трактування закону може призвести до його порушень, так само неточний переклад інструкції щодо застосування лікарського препарату може завдати шкоди здоров'ю. Всі ці приклади ілюструють порушення цілісності інформації, що може призвести до катастрофічних наслідків. Саме тому цілісність інформації виділяється як одна з базових складових інформаційної безпеки.

Цілісність - гарантія того, що інформація зараз існує в її вихідному вигляді, тобто при її зберіганні або передачі не було проведено несанкціонованих змін.

Наприклад, записуючи на вінчестер комп'ютера інформацію про студентів коледжу, ми сподіваємося, що вона зберігатиметься там невизначено довгий час (поки ми самі її не зітремо) у незмінному вигляді (тобто мимовільно, без нашого відома, у цьому списку не змінюються прізвища студентів) . Крім того, ми розраховуємо на несуперечність інформації, наприклад, на те, що в списку студентів не виявиться однорічна дитина, або що той самий студент не опиниться в списках відразу двох груп.

Доступність інформації

Доступність інформації– це гарантія отримання необхідної інформації або інформаційної послуги за певний час.

Роль доступності інформації особливо проявляється у різноманітних системах управління – виробництвом, транспортом тощо. Менш драматичні, але й дуже неприємні наслідки – і матеріальні, і моральні – може мати тривала недоступність інформаційних послуг, якими користується велика кількість людей, наприклад, продаж залізничних та авіаквитків, банківські послуги, доступ до інформаційної мережі Інтернет тощо.

Чинник часу у визначенні доступності інформації часом є дуже важливим, оскільки деякі види інформації та інформаційних послуг мають сенс лише у певний проміжок часу. Наприклад, отримання заздалегідь замовленого квитка на літак після його вильоту втрачає сенс. Так само отримання прогнозу погоди на вчорашній день не має жодного сенсу, оскільки ця подія вже настала. У цьому контексті дуже доречною є приказка: "Дорога ложка до обіду"

Доступність інформації передбачає, що суб'єкт інформаційних відносин (користувач) має можливість за прийнятний час отримати потрібну інформаційну послугу.

Наприклад, створюючи інформаційну систему з інформацією про студентів коледжу, ми розраховуємо, що за допомогою цієї системи в будь-який час протягом декількох секунд зможемо отримати потрібну інформацію (список студентів будь-якої групи, повну інформаціюпро конкретного студента, підсумкові дані, наприклад, середній вік студентів, число юнаків та дівчат тощо).

Слід зазначити, що системи електронної обробки даних створюються для надання певних інформаційних послуг. Якщо надання таких послуг стає неможливим, це завдає шкоди всім суб'єктам інформаційних відносин. Тому, не протиставляючи доступність до інших аспектів, її виділяють як найважливіший елемент інформаційної безпеки.

Конфіденційна інформація є практично у всіх організаціях. Це може бути технологія виробництва, програмний продукт, анкетні дані співробітників та ін. Що стосується обчислювальних систем в обов'язковому порядку конфіденційними даними є паролі для доступу до системи.

Конфіденційність інформації– це гарантія доступності конкретної інформації лише тому колу осіб, кому вона призначена.

Конфіденційна інформація- Це інформація, на доступ до якої має право обмежене коло осіб.

Якщо ж доступ до конфіденційної інформації отримує особа, яка не має такого права, такий доступ називається несанкціонованим і розглядається як порушення захисту конфіденційної інформації. Особа, яка отримала або намагається отримати несанкціонований доступ до конфіденційної інформації, називається зловмисником.

Наприклад, якщо Сашко надіслав Маші листа електронною поштою, то інформація в цьому листі є конфіденційною, оскільки таємниця особистого листування охороняється законом. Якщо Машин брат, зламавши пароль, отримав доступ до Машини поштовій скриньціі прочитав листа, то має місце несанкціонований доступ до конфіденційної інформації, а Машин брат є зловмисником.

Забезпечення конфіденційності інформації є найбільш опрацьованим розділом інформаційної безпеки.

Федеральним законом «Про інформацію, інформатизації та захист інформації» визначено, що інформаційні ресурси, тобто окремі документи або масиви документів, у тому числі й інформаційних системах, будучи об'єктом відносин фізичних, юридичних осіб та держави, підлягають обов'язковому обліку та захисту, як будь-яке матеріальне майно власника. При цьому власнику надається право самостійно в межах своєї компетенції встановлювати режим захисту інформаційних ресурсів та доступу до них. Закон також встановлює, що «конфіденційною інформацією вважається така документована інформація, доступ до якої обмежується відповідно до законодавства Російської Федерації». У цьому федеральний закон може містити пряму норму, за якою будь-які відомості відносяться до категорії конфіденційної інформації або доступ до них обмежується. Так, федеральний закон «Про інформацію, інформатизації та захист інформації» безпосередньо відносить до категорії конфіденційної інформації персональні дані (інформацію про громадян). Закон РФ «Про банки та банківську діяльність» обмежує доступ до відомостей по операціях та рахунках клієнтів та кореспондентів банку.

Однак не, за всіма відомостями, що становлять конфіденційну інформацію, застосовується пряма норма. Іноді законодавчо визначаються лише ознаки, яким мають задовольняти ці відомості. Це, зокрема, відносяться до службової та комерційної таємниці, ознаки яких визначаються Цивільним кодексом РФ і є такими:

 відповідна інформація невідома третім особам

 до цієї інформації не встановлено на законній підставі вільного доступу

 заходи щодо забезпечення конфіденційності інформації вживає власник інформації.

Конфіденційна інформація поділяється на:

· предметну,

· Службову.

Предметна інформація- це відомості про якусь область реального світу. які, власне, і потрібні зловмиснику, наприклад, креслення підводного човна або відомості про місцезнаходження Усами Бен-Ладена. Службова інформація не належить до конкретної предметної області, а пов'язані з параметрами роботи певної системи обробки даних. До службової інформації належать насамперед паролі користувачів для роботи у системі. Отримавши службову інформацію (пароль), зловмисник з її допомогою може отримати доступ до предметної конфіденційної інформації.

Порушення кожної із трьох категорій призводить до порушення інформаційної безпеки загалом. Так, порушення доступності призводить до відмови в доступі до інформації, порушення цілісності призводить до фальшування інформації і, нарешті, порушення конфіденційності призводить до розкриття інформації.

Цей аспект інформаційної безпеки став винятково актуальним останнім часом у зв'язку з ухваленням низки міжнародних правових актів із захисту інтелектуальної власності. Цей аспект стосується переважно запобігання нелегальному використанню програм.

Так, наприклад, якщо користувач встановлює на свій комп'ютер неліцензійну систему Windows, то має місце факт порушення захисту інформації.

Крім того, цей аспект стосується використання інформації, одержаної з електронних джерел. Ця проблема стала найбільш актуальною у зв'язку з розвитком Інтернету. Склалася ситуація, коли користувач Інтернет розглядає всю розміщену там інформацію як свою особисту власність, і користується нею без будь-яких обмежень, часто видаючи за власний інтелектуальний продукт.

Наприклад, студент «скачує» з Інтернету реферат та здає викладачеві під своїм прізвищем.

Законодавчі акти та правозастосовна практика, що стосуються цієї проблеми, поки що перебувають у стадії становлення.

Слід зазначити, що хоч у всіх цивілізованих країнах на варті безпеки громадян (у тому числі інформаційної) стоять закони, але у сфері обчислювальної технікиправозастосовна практика поки що розвинена недостатньо, а законотворчий процес не встигає за розвитком технологій, тому процес забезпечення інформаційної безпеки багато в чому спирається на заходи самозахисту.

Отже, необхідно уявляти, звідки можуть виходити і в чому полягати загрози інформаційній безпеці, які заходи можуть бути вжиті для захисту інформації, і вміти грамотно застосовувати ці заходи.

Основні складові. Важливість проблеми.

Під інформаційною безпекою (ІБ) слід розуміти захист інтересів суб'єктів інформаційних відносин. Нижче описано основні її складові – конфіденційність, цілісність, доступність. Наводиться статистика порушень ІБ, описуються найхарактерніші випадки.

Поняття інформаційної безпеки

Словосполучення "інформаційна безпека" у різних контекстах може мати різний сенс. У Доктрині інформаційної безпеки Російської Федерації термін "інформаційна безпека" використовується у широкому розумінні. Мається на увазі стан захищеності національних інтересів в інформаційній сфері, що визначаються сукупністю збалансованих інтересів особи, суспільства та держави.

У Законі РФ "Про участь у міжнародному інформаційному обміні" інформаційна безпека визначається аналогічним чином - як стан захищеності інформаційного середовища суспільства, що забезпечує її формування, використання та розвиток на користь громадян, організацій, держави.

В даному курсі наша увага буде зосереджена на зберіганні, обробці та передачі інформації незалежно від того, якою мовою (російською або якоюсь іншою) вона закодована, хто або що є її джерелом і який психологічний вплив вона надає на людей. Тому термін "інформаційна безпека" використовуватиметься у вузькому значенні, оскільки це прийнято, наприклад, в англомовної літературі.

Під інформаційною безпекоюми розумітимемо захищеність інформації та підтримуючої інфраструктури від випадкових чи навмисних впливів природного чи штучного характеру, які можуть завдати неприйнятної шкоди суб'єктам інформаційних відносин, у тому числі власникам та користувачам інформації та підтримуючої інфраструктури. (Тільки далі ми пояснимо, що слід розуміти під інфраструктурою, що підтримує.)

Захист інформації- Це комплекс заходів, спрямованих на забезпечення інформаційної безпеки.

Таким чином, правильний з методологічного погляду підхід до проблем інформаційної безпеки починається з виявлення суб'єктів інформаційних відносин та інтересів цих суб'єктів, пов'язаних із використанням інформаційних систем (ІВ). Загрози інформаційної безпеки – це зворотний бік використання інформаційних технологій.

З цього положення можна вивести два важливі наслідки:

Трактування проблем, пов'язаних з інформаційною безпекою, для різних категорій суб'єктів може суттєво відрізнятися. Для ілюстрації досить зіставити режимні державні організації та навчальні інститути. У першому випадку "хай краще все зламається, ніж ворог дізнається хоч один секретний біт", у другому - "нехай у нас ніяких секретів, аби все працювало".

Інформаційна безпека не зводиться виключно захисту від несанкціонованого доступу до інформації, це принципово ширше поняття. Суб'єкт інформаційних відносин може постраждати (зазнати збитків та/або отримати моральну шкоду) не тільки від несанкціонованого доступу, а й від поломки системи, що спричинила перерву в роботі. Більше того, для багатьох відкритих організацій (наприклад, навчальних) власне захист від несанкціонованого доступу до інформації стоїть за важливістю не на першому місці.

Повертаючись до питань термінології, зазначимо, що термін "комп'ютерна безпека" (як еквівалент або замінник ІБ) видається нам надто вузьким. Комп'ютери – лише одна із складових інформаційних систем, і хоча наша увага буде зосереджена в першу чергу на інформації, що зберігається, обробляється та передається за допомогою комп'ютерів, її безпека визначається всією сукупністю складових і, в першу чергу, найслабшою ланкою, якою у переважній здебільшого виявляється людина (що записала, наприклад, свій пароль на "гірчичнику", приліпленому до монітора).

Згідно з визначенням інформаційної безпеки, вона залежить не тільки від комп'ютерів, а й від інфраструктури, що підтримує, до якої можна віднести системи електро-, водо- і теплопостачання, кондиціонери, засоби комунікацій і, звичайно, обслуговуючий персонал. Ця інфраструктура має самостійну цінність, але нас цікавитиме лише те, як вона впливає на виконання інформаційною системою запропонованих їй функцій.

Звернемо увагу, що у визначенні ІБ перед іменником "шкода" стоїть прикметник "неприйнятний". Очевидно, застрахуватися від усіх видів збитків неможливо, тим більше неможливо зробити це економічно доцільним способом, коли вартість захисних засобів та заходів не перевищує розмір очікуваних збитків. Отже, з чимось доводиться миритися і захищатися слід лише від того, з чим не можна змиритися. Іноді такою неприпустимою шкодою є заподіяння шкоди здоров'ю людей або стану навколишнього середовища, але найчастіше поріг неприйнятності має матеріальне (грошове) вираження, а метою захисту інформації стає зменшення розмірів збитків до допустимих значень.

Основні складові інформаційної безпеки

Інформаційна безпека – багатогранна, можна навіть сказати, багатовимірна сфера діяльності, в якій успіх може принести лише систематичний, комплексний підхід.

Спектр інтересів суб'єктів, пов'язаних з використанням інформаційних систем, можна поділити на такі категорії: доступності, цілісностіі конфіденційностіінформаційних ресурсів та підтримуючої інфраструктури.

Іноді до основних складових ІБ включають захист від несанкціонованого копіювання інформації, але, на наш погляд, це занадто специфічний аспект із сумнівними шансами на успіх, тому ми не станемо його виділяти.

Пояснимо поняття доступності, цілісності та конфіденційності.

Доступність – це можливість прийнятний час отримати необхідну інформаційну послугу. Під цілісністю мається на увазі актуальність та несуперечність інформації, її захищеність від руйнування та несанкціонованої зміни.

Зрештою, конфіденційність – це захист від несанкціонованого доступу до інформації.

Інформаційні системи створюються (отримуються) для отримання певних інформаційних послуг. Якщо з тих чи інших причин надати ці послуги користувачам стає неможливо, це, очевидно, завдає шкоди всім суб'єктам інформаційних відносин. Тому, не протиставляючи доступність до інших аспектів, ми виділяємо її як найважливіший елемент інформаційної безпеки.

Особливо яскраво провідна роль доступності проявляється у різноманітних системах управління – виробництвом, транспортом тощо. Зовнішньо менш драматичні, але також дуже неприємні наслідки – і матеріальні, і моральні – може мати тривала недоступність інформаційних послуг, якими користується велика кількість людей (продаж залізничних та авіаквитків, банківські послуги тощо).

Цілісність можна поділити на статичну (розуміє як незмінність інформаційних об'єктів) і динамічну (що відноситься до коректного виконання складних дій (транзакцій)). Засоби контролю динамічної цілісності застосовуються, зокрема, під час аналізу потоку фінансових повідомлень з метою виявлення крадіжки, переупорядкування чи дублювання окремих повідомлень.

Цілісність виявляється найважливішим аспектом ІБ у випадках, коли інформація служить " керівництвом до дії " . Рецептура ліків, запропоновані медичні процедури, набір та характеристики комплектуючих виробів, перебіг технологічного процесу – усе це приклади інформації, порушення цілісності якої може бути буквально смертельним. Неприємно і спотворення офіційної інформації, чи то текст закону, чи сторінка Web-сервера будь-якої урядової організації. Конфіденційність – найбільш опрацьований у нашій країні аспект інформаційної безпеки. На жаль, практична реалізація заходів із забезпечення конфіденційності сучасних інформаційних систем наштовхується у Росії серйозні труднощі. По-перше, відомості про технічні канали витоку інформації є закритими, тому більшість користувачів позбавлені можливості скласти уявлення про потенційні ризики. По-друге, на шляху користувальницької криптографії як основного засобу забезпечення конфіденційності стоять численні законодавчі перепони та технічні проблеми.

Якщо повернутися до аналізу інтересів різних категорій суб'єктів інформаційних відносин, то майже всім, хто реально використовує ІС, першому місці стоїть доступність. Практично не поступається їй за важливістю цілісність – який сенс інформаційної послузі, якщо вона містить спотворені відомості?

Нарешті, конфіденційні моменти є також у багатьох організацій (навіть у згадуваних вище навчальних інститутах намагаються не розголошувати відомості про зарплату працівників) та окремих користувачів (наприклад, паролі).

Найбільш поширені загрози:

Знання можливих загроз, а також вразливих місць захисту, які ці загрози зазвичай експлуатують, необхідно для того, щоб вибирати найекономічніші засоби забезпечення безпеки.

Основні визначення та критерії класифікації загроз

Загроза- це потенційна можливість певним чином порушити інформаційну безпеку.

Спроба реалізації загрози називається атакою, а той, хто робить таку спробу, - зловмисником. Потенційні зловмисники називаються джерелами загрози.

Найчастіше загроза є наслідком наявності вразливих місць захисту інформаційних систем (таких, наприклад, як можливість доступу сторонніх осіб до критично важливого обладнання або помилки в програмному забезпеченні).

Проміжок часу від моменту, коли з'являється можливість використовувати слабке місце, і до моменту, коли пропуск ліквідується, називається вікном небезпеки, асоційованим з цим вразливим місцем Поки є вікно небезпеки, можливі успішні атаки на ІС.

Якщо йдеться про помилки в ПЗ, то вікно небезпеки "відкривається" з появою засобів використання помилки та ліквідується при накладенні латок, що її виправляють.

Для більшості вразливих місць вікно небезпеки існує порівняно довго (кілька днів, іноді тижнів), оскільки за цей час мають відбутися такі події:

має стати відомо про засоби використання пробілу у захисті;

мають бути випущені відповідні латки;

латки повинні бути встановлені в ІС, що захищається.

Ми вже вказували, що нові вразливі місця та засоби їхнього використання з'являються постійно; це означає, по-перше, що майже завжди існують вікна небезпеки і, по-друге, що відстеження таких вікон має проводитися постійно, а випуск та накладення латок – якнайшвидше.

Зазначимо, деякі загрози не можна вважати наслідком якихось помилок чи прорахунків; вони існують через саму природу сучасних ІС. Наприклад, загроза відключення електрики або виходу його параметрів за допустимі межі існує залежно від апаратного забезпечення ІС від якісного електроживлення.

Розглянемо найпоширеніші загрози, яким піддаються сучасні інформаційні системи. Мати уявлення про можливі загрози, а також про вразливі місця, які ці загрози зазвичай експлуатують, необхідно для того, щоб вибирати найекономічніші засоби забезпечення безпеки. Занадто багато міфів існує у сфері інформаційних технологій (згадаймо ту саму "Проблему 2000"), тому незнання в даному випадку веде до перевитрати коштів і, що ще гірше, до концентрації ресурсів там, де вони не особливо потрібні, за рахунок послаблення справді вразливих. напрямів.

Підкреслимо, що саме поняття "загроза" у різних ситуаціях найчастіше трактується по-різному. Наприклад, для підкреслено відкритої організації загроз конфіденційності може просто не існувати – вся інформація вважається загальнодоступною; однак у більшості випадків нелегальний доступ є серйозною небезпекою. Іншими словами, загрози, як і всі в ІБ, залежать від інтересів суб'єктів інформаційних відносин (і від того, яка шкода для них є неприйнятною).

Ми спробуємо подивитись предмет з погляду типової (з погляду) організації. Втім, багато загроз (наприклад, пожежа) небезпечні для всіх.

Загрози можна класифікувати за кількома критеріями:

за аспектом інформаційної безпеки (доступність, цілісність, конфіденційність), проти якого загрози спрямовані насамперед;

по компонентам інформаційних систем, на які погрози націлені (дані, програми, апаратура, інфраструктура, що підтримує);

за способом здійснення (випадкові/навмисні дії природного/техногенного характеру);

за розташуванням джерела загроз (всередині/поза розглянутою ІВ).

Як основний критерій ми будемо використовувати перший (за аспектом ІБ), залучаючи за необхідності інші.

Основні загрози конфіденційності

Конфіденційну інформацію можна поділити на предметну та службову. Службова інформація (наприклад, паролі користувачів) не відноситься до певної предметної області, в інформаційній системі вона відіграє технічну роль, але її розкриття особливо небезпечне, оскільки воно може призвести до отримання несанкціонованого доступу до всієї інформації, у тому числі предметної.

Навіть якщо інформація зберігається в комп'ютері або призначена для комп'ютерного використання, загрози її конфіденційності можуть мати некомп'ютерний і нетехнічний характер.

Багатьом людям доводиться виступати як користувачів не однієї, а цілої низки систем (інформаційних сервісів). Якщо для доступу до таких систем використовуються багаторазові паролі або інша конфіденційна інформація, то ці дані будуть зберігатися не тільки в голові, але і в записнику або на листках паперу, які користувач часто залишає на робочому столі, а то й просто втрачає. І тут не в неорганізованості людей, а в початковій непридатності парольної схеми. Неможливо пам'ятати багато різних паролів; рекомендації щодо їх регулярної (по можливості - частої) зміні тільки посилюють становище, змушуючи застосовувати нескладні схеми чергування або взагалі намагатися звести справу до двох-трьох легко запам'ятовуються (і настільки ж легко вгадуються) паролів.

Описаний клас вразливих місць можна назвати розміщенням конфіденційних даних у середовищі, де не забезпечена (найчастіше - і може бути забезпечена) необхідний захист. Загроза ж полягає в тому, що хтось не відмовиться дізнатися про секрети, які самі просяться до рук. Крім паролів, що зберігаються в записниках користувачів, в цей клас потрапляє передача конфіденційних даних у відкритому вигляді (у розмові, у листі, по мережі), що уможливлює перехоплення даних. Для атаки можуть використовуватися різні технічні засоби (підслуховування або прослуховування розмов, пасивне прослуховування мережі тощо), але одна ідея - здійснити доступ до даних у той момент, коли вони найменш захищені.

Загрозу перехоплення даних слід брати до уваги не тільки при початковому конфігуруванні ІС, але і, що дуже важливо, за всіх змін. Дуже небезпечною загрозою є... виставки, на які багато організацій, недовго думаючи, відправляють обладнання з виробничої мережі, з усіма даними, що зберігаються на них. Залишаються колишніми паролі, при віддаленому доступі вони продовжують передаватися у відкритому вигляді. Це погано навіть у межах захищеної мережі організації; в об'єднаній мережі виставки - це дуже суворе випробування чесності всіх учасників.

Ще один приклад зміни, про який часто забувають - зберігання даних на резервних носіях. Для захисту даних основних носіях застосовуються розвинені системи управління доступом; копії ж нерідко просто лежать у шафах і отримати доступ до них можуть багато хто.

Перехоплення даних - дуже серйозна загроза, і якщо конфіденційність дійсно є критичною, а дані передаються багатьма каналами, їх захист може бути дуже складним і дорогим. Технічні засоби перехоплення добре опрацьовані, доступні, прості в експлуатації, а встановити їх, наприклад на кабельну мережу, може будь-хто, так що цю загрозу потрібно брати до уваги не лише до зовнішніх, а й до внутрішніх комунікацій.

Крадіжки обладнання є загрозою не тільки резервним носіям, але й комп'ютерам, особливо портативним. Часто ноутбуки залишають без нагляду на роботі або в автомобілі іноді просто втрачають.

Небезпечною нетехнічною загрозою конфіденційності є методи морально-психологічного впливу, такі як маскарад -виконання дій під виглядом особи, яка має повноваження для доступу до даних (див., наприклад, статтю Айре Вінклера "Завдання: шпигунство" в Jet Info, 1996, 19).

До неприємних загроз, від яких важко захищатись, можна віднести зловживання повноваженнями.На багатьох типах систем привілейований користувач (наприклад, системний адміністратор) здатний прочитати будь-який (незашифрований) файл, отримати доступ до пошти будь-якого користувача і т.д. Інший приклад - завдання шкоди при сервісному обслуговуванні. Зазвичай сервісний інженер отримує необмежений доступ до обладнання та має можливість діяти в обхід програмних захисних механізмів.

Такі основні загрози, які завдають найбільших збитків суб'єктам інформаційних відносин.

Інформаційна безпека: поняття, цілі, принципи.

Державна політика забезпечення інформаційної безпеки.

Стан інформаційної безпеки у Росії.

ІНФОРМАЦІЙНА БЕЗПЕКА: ПОНЯТТЯ, ЦІЛІ, ПРИНЦИПИ

Останні десятиліття світ переживає період переходу від індустріального суспільства до суспільству інформаційному. Відбувайся кардинальна зміна способу виробництва, світогляду людей, міждержавних відносин. За своїм значенням та впливом на суспільство це порівняно з новою всесвітньою промисловою революцією, яка анітрохи не поступається за своїм значенням революціям минулого. Фактично йдеться про розгортання та реалізацію. Рівень розвитку інформаційного простору суспільства визначальним чином впливає на економіку, політику та багато елементів державності.

Використання можливостей, що відкриваються розвитком нових інформаційно-телекомунікаційних технологій, розглядається керівництвом розвинених країн як основа свого соціально-економічного, політичного та культурного розвитку, як вирішення найбільш гострих внутрішніх та зовнішніх проблем. Багатство країни та її безпека забезпечується сьогодні не лише приватною власністю, капіталом, ринком, а й їх поєднанням із колосальними ресурсами найрізноманітніших знань та інформаційними технологіями. Подібне поєднання формує інформаційне суспільство, основними характеристиками якого є:

Відкритість інформації та доступ до неї для будь-якого суб'єкта

будь-який час та в будь-якому місці;

• наявність технологічних систем, які гарантують цю відкритість;
• наявність національного інтелектуального потенціалу;
• автоматизація, роботизація та технологізація будь-яких систем у будь-якій області господарської діяльності;
• підключення до світових інформаційних каналів Сучасна інформаційна революція пов'язана з винаходом інтелектуальних технологій, що базуються на гігантських швидкостях обробки інформації. Вона дає колосальне збільшення інформації, що циркулює в суспільстві, що дозволяє ефективно вирішувати економічні, соціальні, культурні, політичні та інші проблеми. Сучасні інформаційні технології в умовах ефективного відкритого суспільства відкривають доступ практично всім матеріальним і духовним благам, множать інтелектуальний ресурс, а отже, і всі інші ресурси, сприяючи розвитку. Без інформаційних технологій не можна забезпечити ефективне економічне зростання, підвищити рівень освіти та кваліфікацію населення, створити сучасну кредитно-фінансову систему, налагодити раціональне управління суспільними процесами, підвищити рівень життя громадян. Інформаційне суспільство - засіб досягнення загальнонаціонального благополуччя, яке розуміється як достаток, комфорт, духовне та інтелектуальне багатство, свобода, справедливість, захищеність.

Розширення інформаційного простору економічної діяльності потребує забезпечення безпеки виробників, власників та споживачів інформації. Сучасна «залежність» бізнесу від інформаційних технологій може негативно позначитися на економічній безпеці підприємства, оскільки високий рівень централізації корпоративної інформації робить її особливо вразливою та збільшує ризик витоку даних. Таким чином, однією із складових економічної безпеки є інформаційна.

• інформація- відомості про осіб, предмети, факти, події, явища та процеси, незалежно від форми їх уявлення;
• інформатизація- організаційний соціально-економічний та науково-технічний процес створення оптимальних умов для задоволення інформаційних потреб та реалізації прав громадян, органів державної влади, органів місцевого самоврядування, організацій, громадських об'єднань на основі формування та використання інформаційних ресурсів;
• документована інформація (документ) -зафіксована на матеріальному носії інформація з реквізитами, що дозволяють її ідентифікувати;
• інформаційні процеси- процеси збору, обробки, накопичення, зберігання, пошуку та розповсюдження інформації;
• інформаційна система -організаційно впорядкована сукупність документів та інформаційних технологій;
• інформаційні ресурси - окремі документи та масиви документів в інформаційних системах (бібліотеках, архівах, фондах, банках даних, інших інформаційних системах);
• інформація про громадян (персональні дані) -відомості про факти, події та обставини життя громадянина, що дозволяють ідентифікувати його особу;
• конфіденційна інформація- документована інформація, доступ до якої обмежується відповідно до законодавства цієї держави.

Під інформаційною безпекою держави розуміється стан захищеності її національних інтересів в інформаційній сфері, що визначаються сукупністю збалансованих інтересів особи, суспільства та держави.

Інтереси особи в інформаційній сфері полягають у реалізації конституційних прав людини та громадянина на доступ до інформації, на використання інформації на користь здійснення не забороненої законом діяльності, фізичного, духовного та інтелектуального розвитку, а також у захисті інформації, що забезпечує особисту безпеку.

Інтереси суспільства в інформаційній сфері полягають у забезпеченні інтересів особи у цій сфері, зміцненні демократії, створенні правової соціальної держави, досягненні та підтримці суспільної згоди.

Інтереси держави в інформаційній сфері полягають у створенні умов для гармонійного розвитку інформаційної інфраструктури, реалізації конституційних прав і свобод людини в галузі отримання інформації та користування нею з метою забезпечення непорушності конституційного ладу, суверенітету та територіальної цілісності держави, політичної, економічної та соціальної стабільності, безумовно забезпечення законності та правопорядку, розвиток рівноправного та взаємовигідного міжнародного співробітництва.

На основі національних інтересів держави в інформаційній сфері формуються стратегічні та поточні завдання внутрішньої та зовнішньої політики держави щодо забезпечення інформаційної безпеки.

Виділяються чотири основні складові національних інтересів в інформаційній сфері:

• 1) дотримання конституційних права і свободи людини у сфері отримання інформації та користування нею, збереження та зміцнення моральних цінностей суспільства, традиції, патріотизму та гуманізму, культурного та наукового потенціалу країни;
• 2) інформаційне забезпечення державної політики, пов'язане з доведенням до громадськості достовірної інформації про державну політику, її пріоритетів та офіційної позиції щодо соціально значущих подій, із забезпеченням доступу громадян до відкритих державних інформаційних ресурсів;
• 3) розвиток сучасних інформаційних технологій, вітчизняної індустрії інформації, у тому числі індустрії засобів інформатизації, телекомунікації та зв'язку, забезпечення потреб внутрішнього ринку її продукцією та вихід цієї продукції на світовий ринок, а також забезпечення накопичення, збереження та ефективного використання вітчизняних інформаційних ресурсів. У сучасних умовах лише на цій основі можна вирішувати проблеми створення наукомістких технологій, технологічного переозброєння промисловості, примноження досягнень вітчизняної науки та техніки;
• 4) захист інформаційних ресурсів від несанкціонованого доступу, забезпечення безпеки інформаційних та телекомунікаційних систем.

Основними цілямиінформаційної безпеки є:

• захист національних інтересів держави в умовах глобалізації інформаційних процесів, формування світових інформаційних мережта прагнення розвинених країн до інформаційного домінування;
• забезпечення органів влади та управління, підприємств та громадян достовірною, повною та своєчасною інформацією, необхідною для прийняття рішень, а також запобігання порушенням цілісності та незаконного використанняінформаційних ресурсів;
• реалізація прав громадян, організацій та держави на отримання, поширення та використання інформації.

До об'єктівінформаційної безпеки відносяться:

• інформаційні ресурси, незалежно від форм зберігання, що містять інформацію, що становить державну таємницю та обмежений доступ, комерційну таємницю та іншу конфіденційну інформацію, а також відкриту (загальнодоступну) інформацію та знання;
• система формування, поширення та використання інформаційних ресурсів, що включає інформаційні системи різного класу та призначення, бібліотеки, архіви та банки даних, інформаційні технології, регламенти та процедури збору, обробки, зберігання та передачі інформації, науково-технічний та обслуговуючий персонал;
• інформаційна інфраструктура, що включає центри обробки та аналізу інформації, канали інформаційного обміну та телекомунікації, механізми забезпечення функціонування телекомунікаційних систем та мереж, у тому числі системи та засоби захисту інформації;
• система формування суспільної свідомості (світогляд, моральні цінності тощо), що базується на засобах масової інформації;
• права громадян, підприємств та держави на отримання, розповсюдження та використання інформації, захист конфіденційної інформації та інтелектуальної власності. Інформаційна безпека перерахованих об'єктів створює

умови надійного функціонування державних та громадських інститутів, а також формування суспільної свідомості, що відповідає прогресивному розвитку країни.

Необхідно розрізняти поняття «інформаційна безпека», «безпека інформації» та «захист інформації». Як було показано вище, саме загальне поняття «безпека» означає «стан захищеності життєво важливих інтересів особи, суспільства та держави від внутрішніх та зовнішніх загроз». У зв'язку з цим її можна розкласти на дві складові:

• безпека змістовної частини (сенсу) інформації - відсутність у ній спонукання людини до негативних дій, навмисне закладених механізмів негативного на людську психіку чи негативного на інший блок інформації (наприклад, інформація, що міститься у програмі для ЕОМ, іменованої комп'ютерним вірусом);
• захищеність інформації від зовнішніх впливів (спроб неправомірного копіювання, поширення, модифікації (зміни сенсу) чи знищення).

Друга складова частина поняття «безпека інформації» називатиметься захистом інформації. Таким чином, вибудовується ряд із трьох наукових категорій: інформаційна безпека, безпека інформації та захист інформації. При цьому кожна наступна категорія є складовоюпопередньої.

Подія, яка може спричинити порушення функціонування економічного об'єкта (фірми, підприємства, організації та ін.), включаючи спотворення, знищення або несанкціоноване використання інформації, що обробляється, є загрозою. Можливість реалізації загроз залежить від уразливих місць. Склад і специфіка вразливих місць визначається видом завдань, характером оброблюваної інформації, апаратно-програмними особливостями обробки інформації на підприємстві, наявністю засобів захисту та їх характеристиками.

Джерела загрозінформаційної безпеки можна поділити на зовнішні та внутрішні.

До зовнішнім джереламвідносяться: недружня політика іноземної держави у галузі глобального інформаційного моніторингу, поширення інформації та нових інформаційних технологій; діяльність іноземних розвідувальних та спеціальних служб; діяльність іноземних економічних структур, спрямовану проти інтересів цієї держави; злочинні дії міжнародних груп, формувань та окремих осіб; стихійні лиха та катастрофи.

внутрішнімиджерелами загроз є: протизаконна діяльність політичних та економічних структур у галузі формування, поширення та використання інформації; неправомірні дії державних структур, що призводять до порушення законних прав громадян та організацій в інформаційній сфері; порушення встановлених регламентів збору, обробки та передачі інформації; відмови технічних засобів та збої програмного забезпеченняв інформаційних та телекомунікаційних системах.

Слід виділити два основні класи загроз інформаційній безпеці.

• 1. Ненавмисні,або випадкові, дії, що виражаються в неадекватній підтримці механізмів захисту та помилками в управлінні (наприклад, якщо користувачі пишуть паролі на папірцях і приклеюють їх до моніторів, ні про який захист інформації не може бути мови).
• 2. Умисні загрози -несанкціоноване отримання інформації та несанкціонована маніпуляція даними, ресурсами та самими системами (наприклад, потрапляння накопичувачів на жорстких (оптичних) дисках та магнітних стрічках до рук сторонніх осіб часто призводить до витоку конфіденційної інформації). Сьогодні, наприклад, повсюдне поширення мобільних накопичувачів інформації, таких як флеш-диски, вінчестери С ІБВінтерфейсом тощо, зумовило появу нового класу загроз інформаційної безпеки. Несанкціоноване використання таких пристроїв нелояльними співробітниками може призвести до витоку інформації з корпоративної мережі. Єдиною альтернативою фізичному відключенню Ш'Я-портів може бути використання спеціальної системи захисту інформації. Більшість фахівців у галузі інформаційної безпеки вважають мобільні накопичувачі головною загрозою бізнесу сьогодні (рис. 12.1).

Інтернет-пейджери

Мобільні накопичувачі

Електронна пошта

Інтернет (веб-пошта, форуми)

Друкуючі пристрої

Фотоприладдя

2008 рік 2007 рік

Рис. 12.1. Найбільш поширені канали витоку інформації

Електронна пошта досить довго займала лідируючі позиції у рейтингу найнебезпечніших каналів витоку. Причина в тому, що мобільні накопичувачі є менш помітними: мініатюрні пристрої, що запам'ятовують, здатні вміщувати десятки гігабайтів даних - обсяг, порівнянний з можливостями жорстких дисків. Їхня місткість, мобільність і простота підключення - головні причини поширення як зброї інсайдерів. З іншого боку, за електронною поштою на більшості підприємств пильно спостерігає служба безпеки. А також, очевидно, складно таким чином надіслати великий масив даних. Просто заборонити використання мобільних накопичувачів не завжди можливо, тому що дуже часто флеш-карти потрібні за потребою. Водночас сьогодні вже є широкий вибір спеціалізованого програмного забезпечення, здатного запобігти витоку програмним способом.

Способи впливу загроз на об'єкти інформаційної безпеки поділяються на інформаційні, програмно-математичні, фізичні, радіоелектронні, організаційно-правові.

До інформаційнимспособам відносяться: порушення адресності та своєчасності інформаційного обміну, протизаконний збір та використання інформації; несанкціонований доступ до інформаційних ресурсів; маніпулювання інформацією (дезінформація, приховування чи спотворення інформації); незаконне копіювання даних у інформаційних системах; використання засобів з позицій, що суперечать інтересам громадян, організацій і; розкрадання інформації з бібліотек, архівів, банків та баз даних; порушення технології опрацювання інформації.

Програмно-математичніМетоди включають: використання програм-вирусов; встановлення програмних та апаратних пристроїв; знищення чи модифікацію даних в інформаційних системах.

Фізичніспособи включають: знищення або руйнування засобів обробки інформації та зв'язку; знищення, руйнування чи розкрадання машинних та інших оригіналів носіїв інформації; розкрадання програмних ключів та засобів криптографічного захисту інформації; вплив на персонал; постачання «заражених» компонентів інформаційних систем.

Радіоелектроннимиспособами є: перехоплення інформації у технічних каналах її витоку; використання електронних пристроїв перехоплення інформації в технічні засобита приміщеннях; перехоплення, дешифрування та нав'язування хибної інформації в мережах передачі даних та лініях зв'язку; вплив на парольно-ключові системи; радіоелектронне придушення ліній зв'язку та систем управління.

Організаційно-правовіспособи включають: закупівлю недосконалих або застарілих інформаційних технологій та засобів інформатизації; невиконання вимог законодавства та затримки у прийнятті необхідних нормативно-правових положень в інформаційній сфері; неправомірне обмеження доступу до документів, що містять важливу для громадян та організацій інформацію.

В сфері економікинайбільш схильні до впливу загроз інформаційної безпеки:

• система державної статистики;
• джерела, що породжують інформацію про комерційну діяльність суб'єктів господарювання всіх форм власності, про споживчі властивості товарів та послуг;
• системи збору та обробки фінансової, біржової, податкової, митної інформації, інформації про зовнішньоекономічну діяльність держави та комерційних структур.

Система державної статистики повинна мати достатню захищеність від серйозних і масових спотворень. Основна увага має приділятися захисту первинних джерел інформації та узагальнених звітних даних. Зрештою інформація в цій системі повинна мати повноту, достовірність, достатність, сумісність і регулярність - властивості, необхідні для прийняття національних рішень на рівні держави, галузі, підприємства для проведення загальноекономічного аналізу та прогнозування розвитку економіки.

Нормальне функціонування господарських об'єктів порушується через відсутність нормативно-правових положень, що визначають відповідальність джерел інформації про комерційну діяльність та споживчі властивості товарів та послуг, за недостовірність та приховування відомостей (про результати реальної господарської діяльності, інвестиції та ін.). З іншого боку, істотні економічні збитки можуть бути завдані державним та підприємницьким структурам внаслідок розголошення інформації, що містить комерційну таємницю.

У системах збирання та обробки фінансової, біржової, податкової, митної інформації найбільшу небезпеку з погляду інформаційної безпеки становлять розкрадання та навмисне спотворення інформації, можливість яких пов'язана з навмисним або випадковим порушенням технології роботи з інформацією, несанкціонованим доступом до неї, що зумовлено недостатніми заходами захисту інформації. Така сама небезпека існує в органах, зайнятих формуванням та розповсюдженням інформації про зовнішньоекономічну діяльність.

Серйозну небезпеку для нормального функціонування сфери економіки в цілому становлять все більш витончені комп'ютерні злочини, пов'язані з проникненням кримінальних елементів комп'ютерні системита мережі.

Найвища ступінь автоматизації, якої прагне інформаційне суспільство, ставить їх у залежність від ступеня безпеки використовуваних ним інформаційних технологій, яких, своєю чергою, залежить добробут і навіть життя безлічі людей.

У зв'язку з масовою комп'ютеризацією інформаційних процесів, збільшенням цінності та значущості інформаційних ресурсів у розвитку економіки особливу гостроту набуває проблема надійного захисту інформації, що циркулює у критично важливих інформаційних системах, тобто. попередження її спотворення та знищення, несанкціонованої модифікації, незаконного отримання та використання. Набули популярності факти промовисто свідчать про актуальність проблеми безпеки інформаційних технологій: кожні 20 с у США має місце злочин із використанням програмних засобів. При цьому більш ніж у 80% комп'ютерних злочинів «зломники» проникають в систему через глобальну мережу Інтернет.

Інтенсивний розвиток інформаційних процесів не могло не спричинити зростання протиправних дій. До помилок комп'ютерів додалася комп'ютерна злочинність, що загрожує перерости у проблему, економічні, екологічні, політичні та військові наслідки якої можуть стати катастрофічними. Злочинні групи та спільноти починають активно використовувати у своїй діяльності новітні досягнення науки та техніки.

Вразливість інформації зростає. При цьому особливу небезпеку становить «інформаційний тероризм»з використанням глобальних комп'ютерних мереж, запобігання якому важко, а ліквідація наслідків надзвичайно дорога.

Як зазначалося, застосування сучасних засобів і засобів масової інформації забезпечує керованість суспільством. Говорячи про проблему «нової колонізації»,Російський філософ А. Зінов'єв серед історичних видів колонізації виділяв захоплення з примусовим перетворенням на свій зразок. Цей вид колонізації відповідає теперішньому часу. Йдеться про захоплення не військове, а ідеологічне: внесення до структури життєвих цінностей колонізованої країни невластивих ідеалів і устремлінь, тобто. ведення інформаційної війни. Результатом цього процесу, за словами Зінов'єва, «західнізації» є те, що в «колонізованій країні примусово створюється соціально-політичний устрій колоніальної демократії. Колоніальна демократія - щось штучне, нав'язане країні ззовні і всупереч можливостям і тенденціям еволюції, що склалися. Зберігається видимість суверенітету. Створюються осередки економіки західного зразка під контролем західних банків чи формі спільних підприємств» .

Сьогодні список інформаційно колонізованих країн не вичерпується переліком так званих країн третього світу, оскільки єдиний інформаційний простір вимагає уніфікації інформаційних та телекомунікаційних технологій усіх країн - суб'єктів мережного простору, а необхідний сьогодні рівень інформатизації може бути досягнутий лише в суспільстві з високим науково-технічним та промисловим потенціалами та достатнім культурно-освітнім рівнем населення. Це дає можливість потужним постіндустріальним державам, таким як США та Японія, посилювати свою економічну, політичну та військову перевагу за рахунок лідерства в інформатизації, здійснювати глобальний інформаційний контроль над світовою спільнотою та фактично нав'язувати свої норми та правила.

Інформаційно-культурна та інформаційно-ідеологічна експансія лідерів Заходу, що здійснюється по світових телекомунікаційних мережах, викликає тривогу у різних країнах світу. Перспектива залежності та можливість втрати самостійності турбують як лідерів держав, так і громадські інститути та громадян. Багато країн уже вживають заходів для захисту своєї культури, традицій та духовних цінностей від чужого інформаційного впливу, вибудовуючи ефективну систему забезпечення інформаційної безпеки.

• Див: Зінов'єв А.А.Без ілюзій. L’Age d’Homme. Lausanne, 1979.