Інформаційна безпека: види, загрози і захист

У наш час в діяльності будь-якого комерційного підприємства дуже велику важливість має захист інформації. Інформація сьогодні – цінні ресурс, від якого залежить як функціонування підприємства в цілому, так і його конкурентоспроможність. Загроз безпеки інформаційних ресурсів підприємства багато – це і комп’ютерні віруси, які можуть знищити важливі дані, і промислове шпигунство з боку конкурентів переслідують своєю метою отримання незаконного доступу до інформації є комерційною таємницею, і багато іншого. Тому особливе місце набуває діяльність по захисту інформації, щодо забезпечення інформаційної безпеки.

Інформаційна безпека

Інформаційна безпека (англ. «Information security») – захищеність інформації та відповідної інфраструктури від випадкових або навмисних впливів супроводжуються нанесенням шкоди власникам або користувачам інформації.

Інформаційна безпека – забезпечення конфіденційності, цілісності та доступності інформації.

Мета захисту інформації – мінімізація втрат, викликаних порушенням цілісності або конфіденційності даних, а також їх недоступності для споживачів.

Загрози інформаційній безпеці

Основні типи загроз інформаційній безпеці:

1. Загрози конфіденційності – несанкціонований доступ до даних (наприклад, отримання сторонніми особами відомостей про стан рахунків клієнтів банку).

2. Загрози цілісності – несанкціонована модифікація, доповнення або знищення даних (наприклад, внесення змін в бухгалтерські проводки з метою розкрадання грошових коштів).

3. Загрози доступності – обмеження або блокування доступу до даних (наприклад, неможливість підключиться до сервера з базою даних в результаті DDoS-атаки).

Джерела загроз:

1. Внутрішні:

а) помилки користувачів і сисадмінів;

б) помилки в роботі ПЗ;

в) збої в роботі комп’ютерного обладнання;

г) порушення співробітниками компанії регламентів по роботі з інформацією.

2. Зовнішні загрози:

а) несанкціонований доступ до інформації з боку зацікавлених організацій та окремих осіб (промислове шпигунство конкурентів, збір інформації спецслужбами, атаки хакерів і т.п.);

б) комп’ютерні віруси та інші шкідливі програми;

в) стихійні лиха і техногенні катастрофи (наприклад, ураган може порушити роботу телекомунікаційної мережі, а пожежа знищити сервера з важливою інформацією).

Методи і засоби захисту інформації

Методи забезпечення безпеки інформації в ІС:

  • Перешкода – фізичне перешкоджання шляху зловмиснику до інформації, що захищається (наприклад, комерційно важлива інформація зберігається на сервері всередині будівлі компанії, доступ до якого мають лише її співробітники).
  • Управління доступом – регулювання використання інформації і доступу до неї за рахунок системи ідентифікації користувачів, їх впізнання, перевірки повноважень і т.д. (Наприклад, коли доступ до відділу або на поверх з комп’ютерами, на яких зберігається секретна інформація, можливий тільки за спеціальною карткою-перепусткою. Або коли кожному співробітнику видається персональний логін і пароль для доступу до бази даних підприємства з різними рівнями привілеїв).
  • Криптографія – шифрування інформації за допомогою спеціальних алгоритмів (наприклад, шифрування даних при їх пересилці по Інтернету; або використання електронного цифрового підпису).
  • Протидія атакам шкідливих програм (англ. «Malware») – передбачає використання зовнішніх накопичувачів інформації тільки від перевірених джерел, антивірусних програм, брандмауерів, регулярне виконання резервного копіювання важливих даних і т.д. (Шкідливих програм дуже багато і вони діляться на ряд класів: віруси, експлойти, логічні бомби, трояни, мережеві черв’яки і т.п.).
  • Регламентація – створення умов по обробці, передачі і зберігання інформації, в найбільшою мірою забезпечують її захист (спеціальні норми і стандарти для персоналу по роботі з інформацією, наприклад, розпорядчі в певні числа робити резервну копію електронної документації, що забороняють використання власних флеш-накопичувачів і т . Д.).
  • Примус – встановлення правил по роботі з інформацією, порушення яких карається матеріальної, адміністративної або навіть кримінальної відповідальністю (штрафи, закон «Про комерційну таємницю» і т.п.).
  • Спонукання – заклик до персоналу не порушувати встановлені порядки по роботі з інформацією, тому що це суперечить сформованим визнаним моральним і етичним нормам (наприклад, Кодекс професійної поведінки членів «Асоціації користувачів ЕОМ США»).

Засоби захисту інформації:

  • Технічні (апаратні) засоби – сигналізація, решітки на вікнах, генератори перешкод перешкоджання передачі даних по радіоканалах, електронні ключі і т.д.
  • Програмні засоби – програми-шифрувальники даних, антивіруси, системи аутентифікації користувачів і т.п.
  • Змішані засоби – комбінація апаратних і програмних засобів.
  • Організаційні засоби – правила роботи, регламенти, законодавчі акти в сфері захисту інформації, підготовка приміщень з комп’ютерною технікою і прокладка мережевих кабелів з урахуванням вимог щодо обмеження доступу до інформації та ін.
Посилання на основну публікацію