Інформаційна безпека: види, загрози і захист
У наш час в діяльності будь-якого комерційного підприємства дуже велику важливість має захист інформації. Інформація сьогодні – цінні ресурс, від якого залежить як функціонування підприємства в цілому, так і його конкурентоспроможність. Загроз безпеки інформаційних ресурсів підприємства багато – це і комп’ютерні віруси, які можуть знищити важливі дані, і промислове шпигунство з боку конкурентів переслідують своєю метою отримання незаконного доступу до інформації є комерційною таємницею, і багато іншого. Тому особливе місце набуває діяльність по захисту інформації, щодо забезпечення інформаційної безпеки.
Інформаційна безпека
Інформаційна безпека (англ. “Information security”) – захищеність інформації та відповідної інфраструктури від випадкових або навмисних впливів супроводжуються нанесенням шкоди власникам або користувачам інформації.
Інформаційна безпека – забезпечення конфіденційності, цілісності та доступності інформації.
Мета захисту інформації – мінімізація втрат, викликаних порушенням цілісності або конфіденційності даних, а також їх недоступності для споживачів.
Загрози інформаційній безпеці
Основні типи загроз інформаційній безпеці:
1. Загрози конфіденційності – несанкціонований доступ до даних (наприклад, отримання сторонніми особами відомостей про стан рахунків клієнтів банку).
2. Загрози цілісності – несанкціонована модифікація, доповнення або знищення даних (наприклад, внесення змін в бухгалтерські проводки з метою розкрадання грошових коштів).
3. Загрози доступності – обмеження або блокування доступу до даних (наприклад, неможливість підключиться до сервера з базою даних в результаті DDoS-атаки).
Джерела загроз:
1. Внутрішні:
А) помилки користувачів і сисадмінів;
Б) помилки в роботі ПЗ;
В) збої в роботі комп’ютерного обладнання;
Г) порушення співробітниками компанії регламентів по роботі з інформацією.
2. Зовнішні загрози:
А) несанкціонований доступ до інформації з боку зацікавлених організацій та окремих осіб (промислове шпигунство конкурентів, збір інформації спецслужбами, атаки хакерів і т. п.);
Б) комп’ютерні віруси та інші шкідливі програми;
В) стихійні лиха і техногенні катастрофи (наприклад, ураган може порушити роботу телекомунікаційної мережі, а пожежа знищити сервера з важливою інформацією).
Методи і засоби захисту інформації
Методи забезпечення безпеки інформації в ІС:
- Перешкода – фізичне перешкоджання шляху зловмиснику до інформації, що захищається (наприклад, комерційно важлива інформація зберігається на сервері всередині будівлі компанії, доступ до якого мають лише її співробітники). Управління доступом – регулювання використання інформації і доступу до неї за рахунок системи ідентифікації користувачів, їх впізнання, перевірки повноважень і т. д. (Наприклад, коли доступ до відділу або на поверх з комп’ютерами, на яких зберігається секретна інформація, можливий тільки за спеціальною карткою-перепусткою. Або коли кожному співробітнику видається персональний логін і пароль для доступу до бази даних підприємства з різними рівнями привілеїв). Криптографія – шифрування інформації за допомогою спеціальних алгоритмів (наприклад, шифрування даних при їх пересилці по Інтернету; або використання електронного цифрового підпису). Протидія атакам шкідливих програм (англ. “Malware”) – передбачає використання зовнішніх накопичувачів інформації тільки від перевірених джерел, антивірусних програм, брандмауерів, регулярне виконання резервного копіювання важливих даних і т. д. (Шкідливих програм дуже багато і вони діляться на ряд класів: віруси, експлойти, логічні бомби, трояни, мережеві черв’яки і т. п.). Регламентація – створення умов по обробці, передачі і зберігання інформації, в найбільшою мірою забезпечують її захист (спеціальні норми і стандарти для персоналу по роботі з інформацією, наприклад, розпорядчі в певні числа робити резервну копію електронної документації, що забороняють використання власних флеш-накопичувачів і т. Д.). Примус – встановлення правил по роботі з інформацією, порушення яких карається матеріальної, адміністративної або навіть кримінальної відповідальністю (штрафи, закон “Про комерційну таємницю” і т. п.). Спонукання – заклик до персоналу не порушувати встановлені порядки по роботі з інформацією, тому що це суперечить сформованим визнаним моральним і етичним нормам (наприклад, Кодекс професійної поведінки членів “Асоціації користувачів ЕОМ США”).
Засоби захисту інформації:
- Технічні (апаратні) засоби – сигналізація, решітки на вікнах, генератори перешкод перешкоджання передачі даних по радіоканалах, електронні ключі і т. д. Програмні засоби – програми-шифрувальники даних, антивіруси, системи аутентифікації користувачів і т. п. Змішані засоби – комбінація апаратних і програмних засобів. Організаційні засоби – правила роботи, регламенти, законодавчі акти в сфері захисту інформації, підготовка приміщень з комп’ютерною технікою і прокладка мережевих кабелів з урахуванням вимог щодо обмеження доступу до інформації та ін.