ІНФОРМАЦІЙНА БЕЗПЕКА

ІНФОРМАЦІЙНА БЕЗПЕКА (англ. Information Security) — стан захищеності інформаційного середовища (інформації) особи, підприємства, суспільства або держави, для якого відповідний комплекс заходів запобігає появі негативних наслідків впливу на інформаційне середовище та його складові при умисних, несанкціонованих та неумисних маніпуляціях з інформацією.

Категорія поняття «І.б.» виникла з появою потреби інформаційних комунікацій та усвідомленням рівня загроз інформаційному обміну між суб’єктами соціуму. І.б. охоплює різноманітні практичні аспекти залежно від змісту, який вкладається в термін «інформація», тому що наразі відсутнє загальнонаукове та чітке визначення поняття інформації, яке може використовуватися у різних значеннях залежно від контексту. У загальному сенсі І.б. має забезпечувати основні властивості інформації, такі як конфіденційність (стан інформації, коли доступ до неї здійснюють тільки суб’єкти, що мають на це право); цілісність (уникнення несанкціонованої модифікації інформації); доступність (уникнення тимчасового або постійного приховування інформації чи її частин від користувачів, що отримали права доступу до неї). Забезпечуються також інші властивості інформації, такі як неспростовність (можливість засвідчувати, що відбулася дія або подія, місце події та що автором є заявлена особа, що ці події або дії не могли бути пізніше знехтувані); достовірність (властивість інформації, яка визначає ступінь об’єктивного, точного відображення подій, що відбулися, та доконаних фактів); автентичність (властивість, яка гарантує, що суб’єкт або ресурс ідентичні заявленим).

Згідно із законодавством України І.б. поширюється на стан захищеності життєво важливих інтересів людини, організації та держави, для забезпечення якого вживаються заходи щодо запобігання завданню шкоди суб’єктам інформаційного обміну через неповноту, невчасність та невірогідність інформації, негативний інформаційний вплив. Законодавство України розглядає всі аспекти захисту даних чи інформації незалежно від форми, в якій вони подані (числовій, тестовій, графічній та ін.). Необхідно зауважити, що інформація (дані) є складовою чиєїсь власності (у тому числі й державної), а власність у будь-якій державі захищається Конституцією та іншими законодавчими актами, тому в широкому сенсі вимоги до забезпечення І.б. є конституційно-правовими.

Системний підхід до І.б. виділяє такі складові: нормативно-правова та законодавча база; політика І.б., яка формує організаційні й технічні заходи та засоби, структуру і завдання підрозділів щодо забезпечення І.б.; програмно-технічні засоби та інструментарій забезпечення І.б.

В І.б. за сферою застосування виділяють такі види діяльності:

І.б. особистості — стан захищеності особистості та об’єднань і соціальних груп населення від деструктивного інформаційного впливу, який призводить до неадекватного сприйняття нею дійсності, погіршення її психологічного стану, модифікування її поведінки та обмеження свободи вибору.

І.б. організації — стан її захищеності, який формується за рахунок цілеспрямованої діяльності посадових осіб організації та її органів з використанням дозволених засобів щодо досягнення стану захищеності інформаційного середовища організації, що забезпечує її нормальне функціонування.

І.б. держави — стан захищеності її інтересів, для якого деструктивний інформаційний вплив (зовнішня інформаційна агресія, інформаційний тероризм, незаконне зняття інформації за допомогою спеціальних технічних засобів, комп’ютерна злочинність та ін.) не завдає суттєвої шкоди державним інтересам.

Термін «І.б.» інколи використовують у вузькому сенсі як «захист даних» і обмежуються аналізом безпеки технічних інформаційних систем і безпекою інформації у числовому та електронному вигляді. У такому разі І.б. розглядають як стан захищеності систем обробки та зберігання даних та їх інфраструктури, для якого забезпечується конфіденційність, цілісність і доступність інформації, захист від випадкових або навмисних дій природного або штучного характеру: несанкціонований доступ, оприлюднення, ознайомлення, використання, руйнування, внесення змін та знищення, які можуть завдати неприйнятного збитку суб’єктам інформаційних відносин.

Сучасний досвід вирішення проблем І.б. свідчить, що для досягнення найбільшого ефекту при організації захисту інформації необхідно керуватися низкою принципів. Першим і найбільш важливим є принцип безперервності вдосконалення та розвитку системи І.б.: постійний контроль функціонування системи, виявлення її слабких місць, можливих каналів витоку інформації, оновлення й доповнення механізмів захисту залежно від зміни характеру внутрішніх та зовнішніх загроз, обґрунтування та реалізація на цій основі найбільш раціональних методів, способів та шляхів захисту інформації. Таким чином, забезпечення І.б. не може бути разовим заходом. Другим є принцип комплексного використання всього арсеналу наявних засобів захисту в усіх структурних елементах виробництва і на всіх етапах технологічного циклу обробки інформації. Комплексний характер захисту інформації зумовлений діями зловмисників. Крім того, найбільший ефект досягається в тому випадку, коли всі використовувані засоби, методи та заходи об’єднуються в єдиний цілісний механізм — систему І.б. Тільки за таких умов з’являються системні властивості, не притаманні жодному з окремих елементів системи захисту, а також можливість управляти системою, перерозподіляти її ресурси і застосовувати сучасні методи підвищення ефективності її функціонування. Також умовами забезпечення безпеки є законність, достатність, дотримання балансу інтересів особи і підприємства, високий професіоналізм представників служби І.б., підготовка користувачів та дотримання ними всіх установлених правил збереження конфіденційності, взаємна відповідальність персоналу та керівництва, взаємодія з державними правоохоронними органами.

Закони України [zakon.rada.gov.ua]: Закон України «Про інформацію» від 02.10.1992 № 2657-XII; Закон України «Про захист інформації в інформаційно-телекомунікаційних системах» від 05.07.1994 № 80/94-ВР; Закон України «Про державну таємницю» від 21.01.1994 № 3855-XII; Закон України «Про захист персональних даних» від 01.06.2010 № 2297-VI; Міжнародні стандарти: ISO/IEC 10746–2; ISO/IEC 2381–1; SO/IEC 27001, ISO/IEC 15408; Постанови Кабінету Міністрів України: Постанова Кабінету Міністрів України «Про затвердження Правил забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах» від 29.03.2006 № 373; Постанова Кабінету Міністрів України «Про затвердження Інструкції про порядок обліку, зберігання і використання документів, справ, видань та інших матеріальних носіїв інформації, які містять конфіденційну інформацію, що є власністю держави» від 27 листопада 1998 р. № 1893.


Інші статті автора