Конспект лекції на тему "Основи інформаційної безпеки"

Основи інформаційної безпеки

 

Головним аспектом у системі захисту інформації є людина. За допомогою технічних, юридичних, організаційних складових люди захищають інформацію від людей. Саме людина, за допомогою технічних чи інших засобів, намагається отримати інформацію. Саме через недбале відношення до довірених людині даних, ці дані можуть бути втрачені.

Інформаційна безпека (information security) — збереження конфіденційності, цілісності та доступності інформації.

Для характеристики основних властивостей інформації як об'єкта захисту часто використовується:

• Конфіденційність (англ. confidentiality) — інформація не може бути отримана неавторизованим користувачем.
• Цілісність (англ. integrity) — означає неможливість модифікації неавторизованим користувачем
• Доступність (англ. availability) — інформація буде отриманою авторизованим користувачем, за наявності у нього відповідних повноважень, в необхідний для нього час

Компоненти інформаційної безпеки згідно моделі (CIA).

 

Авторизація (authorization) —  надання повноважень; встановлення відповідності між повідомленням  (пасивним об’єктом) і його джерелом (створившим його користувачем або процесом).

 

На практиці найчастіше використовуються наступні категорії інформації.

Важлива інформація - незамінима та необхідна для діяльності інформація, процес відновлення якої після знищення неможливий або ж дуже трудомісткий і пов'язаний з великими затратами, а її помилкове застосування чи підробка призводить до великих втрат.

 

Корисна інформація - необхідна для діяльності інформація, яка може бути відновлена без великих втрат, при чому її модифікація чи знищення призводить до відносно невеликих втрат.

 

Конфіденційна інформація - інформація, доступ до якої для частини персоналу або сторонніх осіб небажаний, оскільки може спричинити матеріальні та моральні втрати.

Відкрита інформація - це інформація, доступ до якої відкритий для всіх.

Керівництво повинно приймати рішення про те, хто і яким чином буде визначати степінь конфіденційності і важливості інформації. На жаль, в нашій країні ще не повністю сформоване законодавство, щоб розглядати інформацію, як товар та регламентувати права інтелектуальної власності на ринку інтелектуального продукту, як це робиться в світовій практиці.

Класифікація загроз безпеки вразливостей інформації в комп’ютерних системах

Під загрозою безпеки розуміють потенційні дії або події, які можуть прямо чи опосередковано принести втрати - привести до розладу, спотворення чи несанкціонованого використання ресурсів мережі, включаючи інформацію, що зберігається, передається або обробляється, а також програмні і апаратні засоби.

Не існує єдиної загальноприйнятої класифікації загроз, хоча існує багато її варіантів.

Через їх чисельність відповідно до загальної класифікації загроз національній безпеці, виокремимо загрози інформаційній безпеці.

За джерелами походження:

• природного походження — це небезпечні геологічні, метеорологічні, гідрологічні явища, деградацію ґрунтів чи надр, природні пожежі, масове руйнування (через природні катаклізми) каналів зв'язку, зміна стану водних ресурсів та біосфери тощо;

• техногенного походження — транспортні аварії (катастрофи), пожежі, неспровоковані вибухи чи їх загроза, раптове руйнування каналів зв'язку, аварії на інженерних мережах і спорудах життєзабезпечення, аварії головних серверів системи управління національною безпекою тощо;

• антропогенного походження — вчинення людиною різноманітних дій з руйнування інформаційних систем, ресурсів, програмного забезпечення тощо.

До цієї групи за змістом дій належать:

•           ненавмисні,
•           викликані помилковими чи ненавмисними діями людини (наприклад, помилковий запуск програми, ненавмисне допущення через недотримання правил безпеки роботи в Інтернеті інсталяції закладок тощо);
•           навмисні (інспіровані), результат навмисних дій людей (наприклад, навмисна інсталяція програм, які передають інформацію на інші комп'ютери, навмисне зараження вірусами, навмисна дезінформація тощо).

За ступенем гіпотетичної шкоди:

• загроза — явні чи потенційні дії, які ускладнюють або унеможливлюють реалізацію національних інтересів у інформаційній сфері і створюють небезпеку для системи управління національною безпекою, життєзабезпечення її системостворюючих елементів;

• небезпека — безпосередня дестабілізація функціонування системи управління національною безпекою.

За повторюваністю вчинення:

• повторювані — такі загрози, які мали місце раніше;

• продовжувані — неодноразове здійснення загроз, що складається з ряду тотожних загроз, які мають спільну мету.

За сферами походження:

• екзогенні — джерело дестабілізації системи лежить поза її межами;

• ендогенні — алгоритм дестабілізації системи перебуває у самій системі.

За ймовірністю реалізації:

• вірогідні — такі загрози, які за виконання певного комплексу умов обов'язково настануть. Прикладом може слугувати оголошення атаки інформаційних ресурсів системи управління НБ, яке передує власне атаці;

• неможливі — такі загрози, які за виконання певного комплексу умов ніколи не настануть. Такі загрози зазвичай мають більш декларативний характер, не підкріплений реальною і навіть потенційною можливістю здійснити проголошені наміри, вони здебільшого мають залякуючий характер;

• випадкові — такі загрози, які за виконання певного комплексу умов кожного разу протікають по-різному. Загрози даного рівня доцільно аналізувати за допомогою методів дослідження операцій, зокрема теорії ймовірностей і теорії ігор, які вивчають закономірності у випадкових явищах.

За рівнем детермінізму:

• закономірні — такі загрози, які носять стійкий, повторюваний характер, що зумовлені об'єктивними умовами існування та розвитку системи інформаційної безпеки. Так, наприклад, будь-який суб'єкт системи забезпечення національної безпеки піддаватиметься інформаційним атакам, якщо в ньому не функціонує, або функціонує не на належному рівні система забезпечення інформаційної безпеки. Прикладом тому слугують численні атаки хакерів на офіційні сайти ФБР, ЦРУ, ДВБ США;

• випадкові — такі загрози, які можуть або трапитися або не трапитися. До таких загроз належать загрози хакерів дестабілізувати інформаційній системи органів державного управління.

За значенням:

• допустимі — такі загрози, які не можуть призвести до колапсу системи. Прикладом можуть слугувати віруси, які не пошкоджують програми шляхом їх знищення;

• неприпустимі — такі загрози, які:

1) можуть у разі їх реалізації призвести до колапсу і системної дестабілізації системи;

2) можуть призвести до змін, не сумісних із подальшим існуванням СНБ. Так, наприклад, вірус "і love you*, спричинив пошкодження комп'ютерних систем у багатьох містах світу і завдав загального збитку майже 100 мільйонів доларів США.

За структурою впливу:

• системні — загрози, що впливають одразу на усі складові елементи системи управління національною безпекою;

• структурні — загрози, що впливають на окремі структури системи;

• елементні — загрози, що впливають на окремі елементи структури системи. Дані загрози мають постійний характер і можуть бути небезпечними лише за умови неефективності або непроведення їх моніторингу.

За характером реалізації:

■ реальні — активізація алгоритмів дестабілізації є неминучою і не обмежена часовим інтервалом і просторовою дією;

■ потенційні — активізація алгоритмів дестабілізації можлива за певних умов середовища функціонування органу державного управління;

■ здійснені — такі загрози, які втілені у життя;

■ уявні — псевдоактивізація алгоритмів дестабілізації, або ж активізація таких алгоритмів, що за деякими ознаками схожі з алгоритмами дестабілізації, але такими не є.

За ставленням до них:

■ об'єктивні — такі загрози, які підтверджуються сукупністю обставин і фактів, що об'єктивно характеризують навколишнє середовище. При цьому ставлення до них суб'єкта управління не відіграє вирішальної ролі через те, що об'єктивні загрози існують незалежно від волі та свідомості суб'єкта. Відтак об'єктивні загрози, не відображені в офіційних документах, ми назвали ненормативні загрози;

■  суб'єктивні — така сукупність чинників об'єктивної дійсності, яка вважається суб'єктом управління системою безпеки загрозою. За даного випадку визначальну роль у ідентифікації тих чи інших обставин і чинників відіграє воля суб'єкта управління, який і приймає безпосереднє рішення про надання статусу або ідентифікації тих чи інших подій в якості загроз безпеці.

За об'єктом впливу:

■ особа;

■ суспільство;

■ держава.

Головним призначенням класифікації загроз є демонстрації багатошаровості їх видової картини. Безперечно, що загрози інформаційній безпеці постійно змінюються.

Основні види загроз безпеки інформації

 

До основних загроз безпеки інформації відносяться:

•           розкриття конфіденційної інформації:
•           компрометація інформації;
•           несанкціоноване використання ресурсів локальної обчислювальної мережі;
•           помилкове використання її ресурсів;
•           несанкціонований обмін інформацією;
•           відмова від інформації;
•           відмова в обслуговуванні.

 

Засобами реалізації загрози розкриття конфіденційної інформації може бути несанкціонований доступ до баз даних, прослуховування каналів локальної обчислювальної мережі і, так далі. В кожному випадку, отримання інформації, що є власністю деякої особи (чи групи), наносить її власникам суттєву шкоду.

 

Компрометація інформації, як правило, здійснюється шляхом внесення несанкціонованих змін в бази даних, в результаті чого її користувач змушений або відмовитись від неї або витратити додаткові зусилля для виявлення змін і відновлення істинних відомостей. У випадку використання скомпрометованої інформації користувач може прийняти невірні рішення з усіма наслідками, що звідси випливають.

Несанкціоноване використання ресурсів локальної обчислювальної мережі, з однієї сторони, є засобом розкриття або компрометації інформації, а з іншої - має самостійне значення, оскільки, навіть не торкаючись користувацької або системної інформації, може нанести певні збитки абонентам або адміністрації локальної обчислювальної мережі. Обсяги збитків можуть змінюватися в широких межах - від скорочення поступлення фінансових ресурсів до повного виходу мережі з ладу.

Помилково санкціоноване використання ресурсів локальної обчислювальної мережі теж може призвести до знищення, розкриття або компрометації вказаних ресурсів. Така загроза найчастіше всього є наслідком помилок програмного забезпечення локальної обчислювальної мережі.

Несанкціонований обмін інформацією між абонентами локальної обчислювальної мережі може призвести до отримання одним із них відомостей, доступ до яких йому заборонений, що по своїх наслідках рівно сильно розкриттю інформації.

Відмова від інформації полягає в невизнанні адресатом чи відправником цієї інформації, фактів її отримання або відправки. Це, зокрема, може послужити аргументованим приводом до відмови однією з сторін від раніше підтриманої угоди (фінансової, торгової, дипломатичної тощо) «технічним шляхом», формально не відмовившись від неї, тим самим може нанести іншій стороні значні збитки.

Відмова в обслуговуванні - це дуже суттєва і достатньо розповсюджена загроза, джерелом якої є сама локальна комп'ютерна мережа. Подібна відмова особливо небезпечна в ситуаціях, коли затримка з наданням ресурсів мережі абоненту може привести до тяжких для нього наслідків. Наприклад, відсутність у абонента даних, необхідних для прийняття рішень може бути причиною його нераціональних або неоптимальних дій.

 ОСНОВНІ ФОРМИ ЗАХИСТУ ІНФОРМАЦІЇ

В загальній системі забезпечення безпеки захист інформації відіграє значну роль. Виділяють наступні підходи в організації захисту інформації:

I. фізичні;

II. законодавчі;

III. управління доступом;

IV. криптографічне закриття.

Фізичні способи ґрунтуються на фізичних перешкодах для зловмисника, закриваючи шлях до захищеної інформації (строга система допуску на територію чи в приміщення з апаратурою або носіями інформації).

Ці способи захищають тільки від зовнішніх зловмисників і не захищають інформацію від тих осіб, які володіють правом входу в приміщення. Нагромаджена статистика свідчить, що 75% порушень здійснюють співробітники цієї ж організації.

До законодавчих способів захисту відносяться законодавчі акти, які регламентують правила використання і обробки інформації обмеженого доступу і встановлюють міру відповідальності за порушення цих правил. Сюди ж можна віднести і внутрішньо організаційні методи роботи і правила поведінки.

Під управлінням доступом розуміють захист інформації шляхом регулювання доступу до всіх ресурсів системи (технічних, програмних, елементів баз даних). Регламентується порядок роботи користувачів і персоналу, право доступу до окремих файлів в базах даних і т.д.

В комп'ютерних системах найефективнішими є криптографічні способи захисту інформації, що характеризуються найкращим рівнем захисту.

Для цього використовуються програми криптографічного перетворення (шифрування) та програми захисту юридичної значимості документів (цифровий підпис). Шифрування забезпечує засекречування і використовується в ряді інших сервісних служб. Шифрування може бути симетричним і асиметричним. Перше базується на використанні одного і того ж секретного ключа для шифрування і дешифрування. Друге характеризується тим, що для шифрування використовується один ключ, а для дешифрування - інший, секретний. При цьому наявність і навіть знання загальнодоступного ключа не дозволяє визначити секретний ключ. Для використання механізмів криптографічного закриття інформації в локальній обчислювальній мережі необхідна організація спеціальної служби генерації ключів і їх розподіл між її абонентами.