Категорії інформаційної безпеки
Словосполучення «інформаційна безпека» в різних контекстах може мати різний сенс.
В Доктрині інформаційної безпеки України термін «інформаційна безпека» використовується в широкому сенсі. Мається на увазі стан захищеності національних інтересів в інформаційній галузі, визначуваних сукупністю збалансованих інтересів особи, суспільства і держави.
Наприклад, в Законі Російської Федерації «Про участь в міжнародному інформаційному обміні» інформаційна безпека визначається як стан захищеності інформаційного середовища суспільства, що забезпечує її формування, використання і розвиток на користь громадян, організацій, держави.
В даному курсі наша увага буде зосереджена на зберіганні, опрацюванні і передачі інформації незалежно від того, якою мовою (російською, українською або якоюсь іншою) вона закодована, хто або що є її джерелом і яку психологічну дію вона має на людей. Тому термін «інформаційна безпека» буде використовуватися у вузькому значенні, так, як це прийнято, наприклад, в англомовній літературі.
Під інформаційною безпекою ми розумітимемо захищеність інформації і підтримуючої інфраструктури від випадкових або навмисних дій природного або штучного характеру, які можуть завдати неприйнятного збитку суб’єктам інформаційних відносин, у тому числі власникам і користувачам інформації і підтримуючої інфраструктури.
Захист інформації — це комплекс заходів, направлених на забезпечення інформаційної безпеки.
Таким чином, правильний з методологічної точки зору підхід до проблем інформаційної безпеки починається з виявлення суб’єктів інформаційних відносин і інтересів цих суб’єктів, пов’язаних з використанням інформаційних систем (ІС). Загрози інформаційній безпеці — це оборотна сторона використовування інформаційних технологій.
З цього положення можна вивести два важливі наслідки:
1 Трактування проблем, пов’язаних з інформаційною безпекою для різних категорій суб’єктів може істотно розрізнятися. Для ілюстрації достатньо зіставити режимні державні організації і учбові інститути. В першому випадку «нехай краще все зламається, ніж ворог дізнається хоч один секретний біт», у другому — «та немає у нас ніяких секретів, лише б все працювало».
2 Інформаційна безпека не зводиться виключно до захисту від несанкціонованого доступу до інформації, це принципово більш широке поняття. Суб’єкт інформаційних відносин може постраждати (зазнати збитки і (або) отримати моральний збиток) не тільки від несанкціонованого доступу, але і від поломки системи, що викликала перерву в роботі. Більше того, для більшості відкритих організацій (наприклад, учбових) власне захист від несанкціонованого доступу до інформації стоїть за важливістю ні в якому разі не на першому місці.
Повертаючись до питання термінології, відмітимо, що термін «комп’ютерна безпека» (як еквівалент або замінник ІБ) уявляється нам дуже вузьким. Комп’ютери тільки одна зі складових інформаційних систем, і хоча наша увага буде зосереджена в першу чергу на інформації, яка зберігається, опрацьовується і передається за допомогою комп’ютерів, її безпека визначається всією сукупністю складових і, в першу чергу, найслабшою ланкою, якою в переважній більшості випадків виявляється людина (що записала, наприклад, свій пароль на «гірчичнику», приліпленому до монітора).
Згідно визначенню інформаційної безпеки, вона залежить не тільки від комп’ютерів, але і від підтримуючої інфраструктури, до якої можна віднести системи електро-, водо- і теплопостачання, кондиціонери, засоби комунікацій і, звичайно, обслуговуючий персонал. Ця інфраструктура має самостійну цінність, але нас цікавитиме лише те, як вона впливає на виконання інформаційною системою.
Звернемо увагу, що у визначенні ІБ перед іменником «збиток» стоїть прикметник «неприйнятний». Очевидно, застрахуватися від всіх видів збитку неможливо, тим більш неможливо зробити це економічно доцільним способом, коли вартість захисних засобів і заходів не перевищує розмір очікуваного збитку. Значить, з чимось доводиться миритися і захищатися слід тільки від того, з чим змиритися ніяк не можна. Іноді таким неприпустимим збитком є нанесення шкоди здоров’ю людей або стану навколишнього середовища, але частіше поріг неприйнятності має матеріальний (грошовий) вираз, а ціллю захисту інформації стає зменшення розмірів збитку до допустимих значень.
Інформація з погляду інформаційної безпеки має наступні категорії:
Ø конфіденційність – гарантія того, що конкретна інформація доступна тільки тому колу осіб, для кого вона призначена; порушення цієї категорії називається розкраданням або розкриттям інформації;
Ø цілісність – гарантія того, що інформація зараз існує в її вихідному вигляді, тобто при її збереженні або передачі не було зроблено несанкціонованих змін, порушення цієї категорії називається фальсифікацією повідомлення;
Ø аутентичність – гарантія того, що джерелом інформації є саме та особа, що заявлена як її автор, порушення цієї категорії також називається фальсифікацією, але вже автора повідомлення;
Ø апельованість – досить складна категорія, але часто застосовувана в електронній комерції – гарантія того, що при необхідності можна буде довести, що автором повідомлення є саме заявлена людина, і не може бути ніхто інший, відмінність цієї категорії від попередньої в тому, що при підміні автора, хтось інший намагається заявити, що він автор повідомлення, а при порушенні апельованісті – сам автор намагається «відхреститися» від своїх слів, підписаних ним один раз.
У відношенні до інформаційних систем застосовуються інші категорії:
Ø надійність – гарантія того, що система поводиться в нормальному і позаштатному режимах так, як заплановано;
Ø точність – гарантія точного і повного виконання всіх команд;
Ø контроль доступу – гарантія того, що різні групи осіб мають різний доступ до інформаційних об’єктів, і ці обмеження доступу постійно виконуються;
Ø контрольованість – гарантія того, що в будь-який момент може бути зроблена повноцінна перевірка будь-якого компонента програмного комплексу;
Ø контроль ідентифікації – гарантія того, що клієнт, підключений у даний момент до системи, є саме тим, за кого себе видає;
Ø стійкість до спеціальних збоїв – гарантія того, що при спеціальному внесенні помилок у межах заздалегідь обговорених норм система буде поводитися так, як обговорено заздалегідь.
Наступні чинники, разом з задачами побудови цивільного суспільства в Україні як інформаційного суспільства зі зростанням ролі інформаційних ресурсів і технологій в розвитку громадян, суспільства і держави в XXI столітті, виводять питання інформаційної безпекина перший план в системі забезпечення національної безпеки:
Ø національні інтереси, загрози їм і забезпечення захисту від цих загроз виражаються, реалізуються і здійснюються через інформаціюі інформаційну галузь;
Ø людина і її права, інформація і інформаційнісистеми і права на них — це основні об’єкти не тільки інформаційної безпеки, але і основні елементи всіх об’єктів безпеки у всіх її областях;
Ø вирішення задач національної безпеки пов’язано з використанням інформаційного підходу як основного науково-практичного методу;
Ø проблема національної безпеки має яскраво виражений інформаційний характер.
Зміцнення інформаційної безпеки названо в концепції національної безпеки України в числі найважливіших довгострокових задач. Роль інформаційної безпеки і її місце в системі національної безпеки країни визначається також тим, що державна інформаційна політика тісно взаємодіє з державною політикою забезпечення національної безпеки країни через систему інформаційної безпеки, де остання виступає важливою ланкою, що пов’язує всі основні компоненти державної політики в єдине ціле.
Державна інформаційна політика (ДІП) є сукупністю цілей, що відображають національні інтереси України в інформаційній галузі; стратегічних напрямів їх досягнення (задач) і системи заходів, що їх реалізують; вона є важливою складовою частиною зовнішньої і внутрішньої політики держави і охоплює всі галузі життєдіяльності суспільства.
В рамках такої політики повинні бути закладені основи для вирішення таких задач, як формування єдиного інформаційного простору України і її входження в світовий інформаційний простір, забезпечення інформаційної безпеки особи, суспільства і держави, формування демократично орієнтованої масової свідомості, становлення галузі інформаційних послуг, розширення правового поля регулювання суспільних відносин, у тому числі пов’язаних з отриманням, поширенням і використанням інформації.
В цілому, сьогодні склалися дві тенденції в органах державної влади у визначенні поняття і структури інформаційної безпеки. Представники гуманітарного напряму пов’язують інформаційну безпеку тільки з інститутом таємниці. Представники силових структурпропонують поширити галузь інформаційної безпеки практично на всі питання і відносини в інформаційній галузі, по суті, ототожнюючи інформаційну безпеку з інформаційною галуззю. Породжується плутанина, причому не тільки в журнальних статтях, але навіть в законодавчих актах. Істина, як завжди, лежить посередині.
Під інформаційною безпекою (ІБ) розуміється стан захищеності національних інтересів країни (життєво важливих інтересів особи, суспільства і держави на збалансованій основі) в інформаційній галузі від внутрішніх ізовнішніх загроз.
Перерахуємо основні складові і аспекти інформаційної безпеки (які не слід ототожнювати з ІБ в цілому):
Ø захист інформації(в значенні охорони персональних даних, державної і службової таємниці і інших видів інформації обмеженого поширення); іноді помилково, швидше за інерцією, ототожнюють два різні поняття – захист інформації і інформаційна безпека, хоча це сьогодні зовсім не одне і те саме;
Ø комп’ютерна безпека або безпека даних — набір апаратних і програмних засобів для забезпечення збереження доступності і конфіденційності даних в комп’ютерних мережах, міри з захисту інформації від неавторизованого доступу, руйнування модифікації, розкриття і затримок в доступі, при цьому використовується термін “критичні дані”,під якими розуміють дані, що вимагають захисту через вірогідність нанесення (ризику) збитку і його величини в тому випадку, якщо відбудеться випадкове або умисне розкриття, зміна або руйнування даних. Ціллю є забезпечити систему, захистити і гарантувати точність і цілісність інформації, мінімізувати руйнування, які можуть мати місце, якщо інформація буде модифікована або зруйнована. При цьому досягаються наступні цілі: конфіденційність критичної інформації, цілісність інформації і пов’язаних з нею процесів (створення, введення, опрацювання і виведення); доступність інформації, коли вона потрібна; облік всіх процесів, пов’язаних з інформацією.
Ø захищеність інформації і підтримуючої інфраструктури від випадкових або навмисних дій природного або штучного характеру, що можуть нанести збиток власникам або користувачам інформації і підтримуючої інфраструктури;
Ø захищеність потреб громадян, окремих груп і соціальних шарів, масових об’єднань людей і населення в цілому і якісної (цінної) інформації, необхідної для їх життєдіяльності (функціонування), освіти і розвитку, тобто інформаційна психологічна задоволеність потреб громадян і захищеність від негативних (навмисних і випадкових) інформаційних психологічних і інформаційних технічних дій.