Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
Конспект лекцій ТЗІ.docx
Скачиваний:
220
Добавлен:
01.05.2015
Размер:
254.39 Кб
Скачать

Тема 1. Основи безпеки даних в комп’ютерних системах Лекція 1. Основні поняття щодо захисту інформації в автоматизованих системах

Словосполучення "інформаційна безпека" в різних контекстах може мати різне значення.

В даному курсі наша увага буде зосереджена на зберіганні, обробці та передачі інформації незалежно від того, якою мовою (українською, російською чи якоюсь іншою) вона закодована, хто або що є її джерелом і який психологічний вплив вона справляє на людей. Тому термін "інформаційна безпека" використовуватиметься у вузькому сенсі, так, як це прийнято, наприклад, в англомовній літературі.

Під інформаційною безпекою ми будемо розуміти захищеність інформації і підтримуючої інфраструктури від випадкових або навмисних впливів природного або штучного характеру, які можуть завдати неприйнятного збитку суб'єктам інформаційних відносин, у тому числі власникам і користувачам інформації і підтримуючої інфраструктури.

Захист інформації - це комплекс заходів, спрямованих на забезпечення інформаційної безпеки.

Таким чином, правильний з методологічної точки зору підхід до проблем інформаційної безпеки починається з виявлення суб'єктів інформаційних відносин та інтересів цих суб'єктів, пов'язаних з використанням інформаційних систем (ІС). Загрози інформаційній безпеці - це зворотна сторона використання інформаційних технологій.

З цього положення можна вивести два важливих наслідки.

1. Трактування проблем, пов'язаних з інформаційною безпекою, для різних категорій суб'єктів може істотно розрізнятися. Для ілюстрації досить зіставити режимні державні організації і учбові інститути. У першому випадку "хай краще все зламається, ніж ворог дізнається хоч один секретний біт", у другому - "так немає у нас жодних секретів, аби все працювало".

2. Інформаційна безпека не зводиться виключно до захисту від несанкціонованого доступу до інформації, це принципово ширше поняття. Суб'єкт інформаційних відносин може постраждати (зазнати збитків та / або отримати моральну шкоду) не тільки від несанкціонованого доступу, але і від поломки системи, що викликала перерву в роботі. Більш того, для багатьох відкритих організацій (наприклад, навчальних) власне захист від несанкціонованого доступу до інформації стоїть за важливістю зовсім не на першому місці.

Повертаючись до питань термінології, відзначимо, що термін "комп'ютерна безпека" (як еквівалент або замінник ІБ) представляється нам дуже вузьким. Комп'ютери - тільки одна зі складових інформаційних систем, і хоча наша увага буде зосереджена в першу чергу на інформації, яка зберігається, обробляється і передається за допомогою комп'ютерів, її безпека визначається всією сукупністю складових і, в першу чергу, найслабкішою ланкою, якою в переважній більшості випадків виявляється людина (записав, наприклад, свій пароль на "гірчичник", приліплені до монітора).

Згідно з визначенням інформаційної безпеки, вона залежить не тільки від комп'ютерів, але і від підтримуючої інфраструктури, до якої можна віднести системи електро-, водо-та теплопостачання, кондиціонери, засоби комунікацій і, звичайно, обслуговуючий персонал. Ця інфраструктура має самостійну цінність, але нас цікавитиме лише те, як вона впливає на виконання інформаційною системою її функцій.

Звернемо увагу, що у визначенні ІБ перед іменником "збиток" стоїть прикметник "неприйнятний". Очевидно, застрахуватися від усіх видів збитку неможливо, тим більше неможливо зробити це економічно доцільним способом, коли вартість захисних засобів і заходів не перевищує розмір очікуваного збитку. Значить, з чимось доводиться миритися і захищатися слід тільки від того, з чим змиритися ніяк не можна. Іноді таким неприпустимим збитком є нанесення шкоди здоров'ю людей або стану навколишнього середовища, але частіше поріг неприйнятності має матеріальний (грошовий) вираз, а метою захисту інформації стає зменшення розмірів збитку до допустимих значень.

Інформаційна безпека - багатогранна, можна навіть сказати, багатовимірна область діяльності, в якій успіх може принести тільки системний, комплексний підхід.

Спектр інтересів суб'єктів, пов'язаних з використанням інформаційних систем, можна розділити на наступні категорії: забезпечення доступності, цілісності і конфіденційності інформаційних ресурсів та підтримуючої інфраструктури.

Пояснимо поняття доступності, цілісності і конфіденційності.

Доступність - це можливість за прийнятний час отримати необхідну інформаційну послугу.

Цілісність - це актуальність і несуперечність інформації, її захищеність від руйнування і несанкціонованої зміни.

Нарешті, конфіденційність - це захист від несанкціонованого доступу до інформації.

Інформаційні системи створюються (купуються) для отримання певних інформаційних послуг. Якщо з тих чи інших причин надати ці послуги користувачам стає неможливо, це, очевидно, завдає шкоди всім суб'єктам інформаційних відносин. Тому, не протиставляючи доступність решті аспектів, ми виділяємо її як найважливіший елемент інформаційної безпеки.

Цілісність виявляється найважливішим аспектом ІБ в тих випадках, коли інформація служить "керівництвом до дії". Рецептура ліків, наказані медичні процедури, набір і характеристики комплектуючих виробів, хід технологічного процесу - все це приклади інформації, порушення цілісності якої може опинитися в буквальному сенсі смертельним.

Нарешті, конфіденційні моменти є також у багатьох організацій (навіть у згадуваних вище учбових інститутах прагнуть не розголошувати відомості про зарплату співробітників) і окремих користувачів (наприклад, паролі).

При аналізі проблематики, пов'язаної з інформаційною безпекою, необхідно враховувати специфіку даного аспекту безпеки, що складається в тому, що інформаційна безпека є складова частина інформаційних технологій - області, що розвивається безпрецедентно високими темпами. Тут важливі не стільки окремі рішення (закони, навчальні курси, програмно-технічні вироби), що знаходяться на сучасному рівні, скільки механізми генерації нових рішень, що дозволяють жити в темпі технічного прогресу.

На жаль, сучасна технологія програмування не дозволяє створювати безпомилкові програми, що не сприяє швидкому розвитку засобів забезпечення ІБ. Слід виходити з того, що необхідно конструювати надійні системи (інформаційної безпеки) із залученням ненадійних компонентів (програм). В принципі, це можливо, але вимагає дотримання певних архітектурних принципів і контролю стану захищеності на всьому протязі життєвого циклу ІС.

Запитання

1. Що таке захист інформації?

2. Що відноситься до числа основних аспектів ІБ?

3. Наслідком чого є складність забезпечення ІБ?

4. На що направлені заходи ІБ?