Захист інформації в
інформаційних технологіях
Інформаційна безпека
має велике значення для забезпечення життєво важливих інтересів будь-якої
держави. Створення розвиненого і захищеного середовища є неодмінною умовою
розвитку суспільства та держави, в основі якого мають бути найновіші
автоматизовані технічні засоби.
Останнім часом
в Україні відбуваються якісні зміни у процесах управління на всіх рівнях, які
зумовлені інтенсивним упровадженням новітніх інформаційних технологій. Швидке
вдосконалення інформатизації, проникнення її в усі сфери життєво важливих
інтересів зумовило, крім безперечних переваг, і появу низки стратегічних
проблем. Посилюється небезпека несанкціонованого втручання в роботу
комп'ютерних, інформаційних і телекомунікаційних систем.
Програмні
методи захисту — це сукупність алгоритмів і програм, які забезпечують
розмежування доступу та виключення несанкціонованого використання інформації.
Сутність методів захисних перетворень полягає в тому, що інформація, яка
зберігається в системі та передається каналами зв'язку, подається в деякому
коді, що виключає можливість її безпосереднього використання.
Організаційні
заходи із захисту інформації містять сукупність дій з підбору та перевірки
персоналу, який бере участь у підготовці й експлуатації програм та інформації,
чітке регламентування процесу розробки та функціонування інформаційної
системи.З масовим впровадженням комп'ютерів в усі сфери діяльності людини обсяг
інформації, збереженої в електронному виді, виріс у тисячі раз. І тепер
скопіювати за півхвилини і віднести дискету з файлом, що містить план випуску
продукції, набагато простіше, ніж
переписувати сотні паперів. А з появою комп'ютерних мереж навіть
відсутність фізичного доступу до комп'ютера перестало бути гарантією цілісності
інформації.
Які можливі
наслідки атак на інформацію? У першу чергу, звичайно, нас будуть цікавити
економічні втрати:
1. Розкриття
комерційної інформації може привести до серйозних прямих збитків на ринку.
2. Звістка
про крадіжку великого обсягу інформації серйозно впливає на репутацію фірми,
приводячи до втрат в обсягах торгових
операцій.
3.
Фірми-конкуренти можуть скористатися крадіжкою інформації, якщо та
залишилася непоміченої, для того щоб цілком розорити фірму, нав'язуючи їй
фіктивні або свідомо збиткові угоди.
4. Підміна
інформації як на етапі передачі, так і на етапі збереження у фірмі може
привести до величезних збитків.[1,c.324]
5.
Багаторазові успішні атаки на фірму, що надає будь-який вид
інформаційних послуг, знижують довіру до фірми в клієнтів, що позначиться на
обсязі доходів.
Інформація з погляду інформаційної безпеки має наступні
категорії:
-конфіденційність – гарантія того, що конкретна інформація доступна
тільки тому колу осіб, для кого вона призначена; порушення цієї категорії
називається розкраданням або розкриттям інформації
-цілісність –
гарантія того, що інформація зараз існує в її вихідному виді, тобто при її
збереженні або передачі не було зроблено несанкціонованих змін; порушення цієї
категорії називається фальсифікацією повідомлення
-автентичність
– гарантія того, що джерелом інформації є саме та особа, що заявлена як її
автор; порушення цієї категорії також називається фальсифікацією, але вже
автора повідомлення
-апельованість
– досить складна категорія, але часто застосовувана в електронній комерції –
гарантія того, що при необхідності можна буде довести, що автором повідомлення
є саме заявлена людина, і не може бути ніхто інший; відмінність цієї категорії
від попередньої в тому, що при підміні автора, хтось інший намагається заявити,
що він автор повідомлення, а при порушенні апельованісті – сам автор
намагається "відхреститися" від своїх слів, підписаних ним один раз.
У відношенні до інформаційних систем застосовуються інші
категорії :
- надійність –
гарантія того, що система поводиться в нормальному і позаштатному режимах так,
як заплановано
- точність –
гарантія точного і повного виконання всіх команд
- контроль
доступу – гарантія того, що різні групи осіб мають різний доступ до
інформаційних об'єктів, і ці обмеження доступу постійно виконуються
-
контрольованість – гарантія того, що в будь-який момент може бути зроблена
повноцінна перевірка будь-якого компонента програмного комплексу
- контроль
ідентифікації – гарантія того, що клієнт, підключений у даний момент до
системи, є саме тим, за кого себе видає
- стійкість до
спеціальних збоїв – гарантія того, що при спеціальному внесенні помилок у межах
заздалегідь обговорених норм система буде поводитися так, як обговорено
заздалегідь.
Системний
підхід у створенні механізмів захисту інформаційних систем
Поняття системності полягає не просто в створенні
відповідних механізмів захисту, а являє собою регулярний процес, що
здійснюється на всіх етапах життєвого циклу ІС. При цьому всі засоби, методи і
заходи, які використовуються для захисту інформації поєднуються в цілісний
механізм - систему захисту.[2,c.64]
Вже в перших роботах по захисту інформації були викладені
основні постулати, що не втратили своєї актуальності і сьогодні: абсолютний
захист створити не можна; система захисту інформації повинний бути комплексною;
СЗІ повинна бути такою, що адаптується до умов, які постійно змінюються.
На жаль,
необхідність системного підходу до питань забезпечення безпеки інформаційних
технологій поки ще не знаходить належного розуміння в користувачів сучасних ІС.
Сьогодні фахівці із різних областей знань, так чи інакше,
змушені займатися питаннями забезпечення інформаційної безпеки. Це обумовлено
тим, що в найближчі років сто нам доведеться жити в суспільстві (середовищі)
інформаційних технологій, куди перекочують усі соціальні проблеми людства, у
тому числі і питання безпеки...
Якщо зібрати усіх фахівців разом, то при наявності в
кожного з них величезного досвіду і знань, створити СИСТЕМУ інформаційної
безпеки найчастіше так і не вдається. Розмовляючи про ті ж самі речі, фахівці
найчастіше не розуміють один одного, оскільки в кожного з них свій підхід, своя
модель представлення системи захисту інформації. Такий стан справ зумовлений
відсутністю системного підходу, що створив би взаємні зв'язки (відносини) між
існуючими поняттями, визначеннями, принципами, способами і механізмами захисту…
Будь-яка
інформація в машині або системи потребує тієї чи іншої захисту,під якою
розуміється сукупність методів, що дозволяють управляти доступом виконуються в
системі програм до зберігається в ній.
«Захисту підлягає будь-яка документована інформація,
неправомірне поводження з якої може завдати шкоди її власнику,
власникові,користувачеві й іншій особі.
Таким чином
метою захисту інформації є: запобігання витоку, розкрадання, втрати,
перекручування, підробки інформації ; запобігання загрозам безпеки особистості,
суспільства, держави; запобігання несанкціонованих дій по знищенню,системи,
забезпечення правового режиму документованої інформації як об'єкта власності;
захист конституційних прав громадян на збереження особистої таємниці та
конфіденційності персональних даних, що є в інформаційних системах; збереження
державної таємниці, конфіденційності документованої інформації відповідно до
законодавства, забезпечення прав суб'єктів в інформаційних процесах при
розробці, виробництві та застосуванні інформаційних систем, технологій та
засобів їх забезпечення .[3,c.420]
Література:
1.Барсуков В.С. Безпека: технології, засоби, послуги /
В.С. Борсуків. – М 2001 – 496 с.
2. Ярочкин В.И. Інформаційна безпека. Підручник для
студентів вузів /
3. Зегжда Д.П. Основи безпеки інформаційних систем / Д.П.
Зегжда, А.М. Івашко. – М.: Гаряча лінія – телеком, 2000. – 452 с мул.