Інформаційна безпека

Інформаці́йна безпе́ка — це стан захищеності систем обробки і зберігання даних, при якому забезпечено конфіденційність, доступність і цілісність інформації, використання й розвиток в інтересах громадян або комплекс заходів, спрямованих на забезпечення захищеності інформації особи, суспільства і держави від несанкціонованого доступу, використання, оприлюднення, руйнування, внесення змін, ознайомлення, перевірки запису чи знищення (у цьому значенні частіше використовують термін «захист інформації»)^[1].

Інформаційна безпека

Критерії оцінки інформаційної безпеки

Цілісність · Доступність · Конфіденційність · Спостережність· Невідмовність

Нормативні документи

COBIT · ITIL · ISO/IEC 17799:2005 · ISO/IEC 27001:2013 ·

Забезпечення

Політика · СУІБ · КСЗІ · СЗІ

Захист інформації

Технічний захист інформації · Інженерний захист інформації · Криптографічний захист інформації · Організаційний захист інформації

п о р

Інформаційна безпека держави характеризується ступенем захищеності і, отже, стійкістю основних сфер життєдіяльності (економіки, науки, техносфери, сфери управління, військової справи, суспільної свідомості і т. д.) стосовно небезпечних (дестабілізаційних, деструктивних, суперечних інтересам країни тощо), інформаційним впливам, причому як до впровадження, так і до вилучення інформації^[2].

Поняття інформаційної безпеки не обмежується безпекою технічних інформаційних систем чи безпекою інформації у чисельному чи електронному вигляді, а стосується усіх аспектів захисту даних чи інформації незалежно від форми, у якій вони перебувають.

Історія

Об'єктивно категорія «інформаційна безпека» виникла з появою засобів інформаційних комунікацій між людьми, а також з усвідомленням людиною наявності у людей і їхніх співтовариств інтересів, яким може бути завдано збитку шляхом дії на засоби інформаційних комунікацій, наявність і розвиток яких забезпечує і задає інформаційний обмін між всіма елементами соціуму.

Враховуючи вплив на трансформацію ідей інформаційної безпеки, в розвитку засобів інформаційних комунікацій можна виділити декілька етапів^[3]:

• I етап — до 1816 року — характеризується використанням природно утворюваних засобів інформаційних комунікацій. В цей період основне завдання інформаційної безпеки полягало в захисті відомостей про події, факти, майно, місцезнаходження і інші дані, що мають для людини особисто або співтовариства, до якого вона належала, життєве значення.
• II етап — починаючи з 1816 року — пов'язаний з початком використання штучно створюваних технічних засобів електро- і радіозв'язку. Для забезпечення скритності і перешкодостійкості радіозв'язку необхідно було використовувати досвід першого періоду інформаційної безпеки на вищому технологічному рівні, а саме застосування перешкодостійкого кодування повідомлення (сигналу) з подальшим декодуванням прийнятого повідомлення (сигналу).
• III етап — починаючи з 1935 року — пов'язаний з появою засобів радіолокації і гідроакустики. Основним способом забезпечення інформаційної безпеки в цей період було поєднання організаційних і технічних заходів, направлених на підвищення захищеності засобів радіолокації від дії на їхні приймальні пристрої активними маскувальними і пасивними імітувальними радіоелектронними перешкодами.
• IV етап — починаючи з 1946 року — пов'язаний з винаходом і впровадженням в практичну діяльність електронно-обчислювальних машин (комп'ютерів). Завдання інформаційної безпеки вирішувалися, в основному, методами і способами обмеження фізичного доступу до устаткування засобів добування, перероблення і передачі інформації.
• V етап — починаючи з 1965 року — обумовлений створенням і розвитком локальних інформаційно-комунікаційних мереж. Завдання інформаційної безпеки також вирішувалися, в основному, методами і способами фізичного захисту засобів добування, перероблення і передачі інформації, об'єднаних в локальну мережу шляхом адміністрування і управління доступом до мережевих ресурсів.
• VI етап — починаючи з 1973 року — пов'язаний з використанням надмобільних комунікаційних пристроїв з широким спектром завдань. Загрози інформаційній безпеці стали набагато серйознішими. Для забезпечення інформаційної безпеки в комп'ютерних системах з безпровідними мережами передачі даних потрібно було розробити нові критерії безпеки. Утворилися співтовариства людей — хакерів, що ставлять собі за мету завдати збитків інформаційній безпеці окремих користувачів, організацій і цілих країн. Інформаційний ресурс став найважливішим ресурсом держави, а забезпечення його безпеки — найважливішою і обов'язковою складовою національної безпеки. Формується інформаційне право — нова галузь міжнародної правової системи.
• VII етап — починаючи з 1985 року — пов'язаний зі створенням і розвитком глобальних інформаційно-комунікаційних мереж з використанням космічних засобів забезпечення. Можна припустити що черговий етап розвитку інформаційної безпеки, очевидно, буде пов'язаний з широким використанням надмобільних комунікаційних пристроїв з широким спектром завдань і глобальним охопленням у просторі та часі, забезпечуваним космічними інформаційно-комунікаційними системами. Для вирішення завдань інформаційної безпеки на цьому етапі необхідним є створення макросистеми інформаційної безпеки людства під егідою ведучих міжнародних форумів.

В світлі розвитку нових ІТ-технологій, поняття інформаційної безпеки значно розширилося. Деякі експерти вказують на те, що більш доцільно повністю замінити поняття інформаційної безпеки поняттям кібербезпеки. Це пов'язано з тим, що сьогодні від захисту процесів, інформації та діяльності в кіберпросторі залежить значно більше, ніж просто втрата інформації. Тобто втрата інформації тягне за собою ряд інших комплексних ускладнень. Кібербезпека — це захист від вірусів, хакерських атак, підробки даних. Адже віруси, наприклад, можуть не тільки видалити чи вкрасти дані, але і вплинути на роботу і продуктивність співробітників чи навіть зупинити виробництво. Також інформацію можна використовувати проти людини або структури. Кібербезпека сьогодні відповідає за три чинники: системи, процеси, люди. Більше того, зважаючи на широку інтеграцію цифрових технологій в життя і тіло людини, питання інформаційної безпеки стає подекуди питання життєвої безпеки. Таким чином, старе поняття інформаційної безпеки не відповідає широкому спектру питань, які виникають в кіберпросторі 21 століття. Натомість інформаційна безпека внаслідок еволюції стала частиною кібербезпеки^[4].

інформаційні технології

Наведені нижче поняття можуть мати різне тлумачення в різних авторів та у різному контексті.

Поняття інформаційних технологій (ІТ) містить широкий обсяг дисциплін і сфер діяльності і стосується технічних засобів обробки і передачі даних (чи інформації).

В англійській мові поняття безпеки ІТ має два значення. Поняття функціональної безпеки (англ. safety) означає, що система коректно і у повному обсязі реалізує ті і лише ті цілі, що відповідають намірам її власника^[5], тобто функціонує відповідно до наявних вимог. Поняття власне інформаційної безпеки (англ. security) стосується безпечності процесу технічної обробки інформації і є властивістю функціонально безпечної системи. Така система повинна унеможливлювати несанкціонований доступ до даних та запобігати їхній втраті у разі виникнення збоїв.

Говорячи про інформаційну безпеку, часто мають на увазі інформаційну безпеку в найзагальнішому сенсі, як комплекс заходів, покликаний зменшити число ймовірних шкідливих сценаріїв чи розмір збитків, яких може зазнати підприємство у разі розголошення конфіденційної інформації. З цієї точки зору інформаційна безпека — це економічний параметр, який повинен враховуватися у роботі підприємства, а інформацію (або дані) можна розглядати як певний товар або цінність, що підлягає захисту, а відтак вона має бути доступною лише для авторизованих користувачів чи програм.

Інформаційна безпека (information security) — збереження конфіденційності, цілісності та доступності інформації; крім того, можуть враховуватися інші властивості, такі, як автентичність, відстежуваність, неспростовність та надійність^[6].

Інформаційні системи можна розділити на три частини: програмне забезпечення, апаратне забезпечення та комунікації з метою цільового застосування (як механізму захисту і попередження) стандартів інформаційної безпеки. Самі механізми захисту реалізуються на трьох рівнях або шарах: фізичному, особистісному та організаційному. По суті, реалізація політик і процедур безпеки покликана надавати інформацію адміністраторам, користувачам і операторам про те як правильно використовувати готові рішення для підтримки безпеки.

Інформаційна безпека за сферою застосування

Див. також: Інформаційна безпека України

Інформаційна безпека держави — стан захищеності життєво важливих інтересів людини, суспільства і держави, при якому запобігається заподіяння шкоди через: неповноту, невчасність та недостовірність інформації, що використовується; негативний інформаційний вплив; негативні наслідки застосування інформаційних технологій; несанкціоноване розповсюдження, використання і порушення цілісності, конфіденційності та доступності інформації.^[7]

Інформаційна безпека організації — цілеспрямована діяльність її органів та посадових осіб з використанням дозволених сил і засобів по досягненню стану захищеності інформаційного середовища організації, що забезпечує її нормальне функціонування і динамічний розвиток. Здійснюється часто Службою інформаційної безпеки.

Інформаційна безпека особистості характеризується як стан захищеності особистості, різноманітних соціальних груп та об'єднань людей від впливів, здатних проти їхньої волі та бажання змінювати психічні стани і психологічні характеристики людини, модифікувати її поведінку та обмежувати свободу вибору^[8].

Властивості інформації

Див. також: Критерії інформаційної безпеки

Для характеристики основних властивостей інформації як об'єкта захисту часто використовується модель CIA:

• Конфіденційність (англ. confidentiality) — властивість інформації, яка полягає в тому, що інформація не може бути отримана неавторизованим користувачем
• Цілісність (англ. integrity) — означає неможливість модифікації неавторизованим користувачем
• Доступність (англ. availability) — властивість інформації бути отриманою авторизованим користувачем, за наявності у нього відповідних повноважень, в необхідний для нього час

Додатково також використовують такі властивості:

• Апелювання (англ. non-repudiation) — можливість довести, що автором є саме заявлена людина (юридична особа), і ніхто інший.
• Підзвітність (англ. accountability) — властивість інформаційної системи, що дозволяє фіксувати діяльність користувачів, використання ними пасивних об‘єктів та однозначно встановлювати авторів певних дій в системі.
• Достовірність (англ. reliability) — властивість інформації, яка визначає ступінь об'єктивного, точного відображення подій, фактів, що мали місце.
• Автентичність (англ. authenticity) — властивість, яка гарантує, що суб'єкт або ресурс ідентичні заявленим.

Принципи забезпечення інформаційної безпеки

Принципи забезпечення інформаційної безпеки містять: законність, баланс інтересів особи, суспільства і держави; комплексність; системність; інтеграція з міжнародними системами безпеки; економічна ефективність^[2].

Неможливо створити систему, захист якої не можна буде зламати, основним принципом може бути створення такого механізму захисту, вартість злому якого буде дорожчою за інформацію, яку можна отримати^[9] Тому необхідним є впровадження програмних засобів безпеки, які вмонтовані до складу програмного забезпечення системи і є потрібними для виконання функцій захисту. За словами експерта з кібербезпеки Дмитра Ганжело: «Усунення наслідків кібератак часто обходиться в кілька разів дорожче, аніж профілактика боротьби з ними.» В сучасних умовах, не гарантуючи належний захист інформації, не можливо забезпечити стабільний економічний розвиток як окремого підприємства, так і держави.^[10]

Забезпечення інформаційної безпеки

Забезпечення інформаційної безпеки держави

Згідно з українським законодавством^[7], розв'язання проблеми інформаційної безпеки має здійснюватися шляхом:

• створення повнофункціональної інформаційної інфраструктури держави та забезпечення захисту її критичних елементів;
• підвищення рівня координації діяльності державних органів щодо виявлення, оцінки і прогнозування загроз інформаційній безпеці, запобігання таким загрозам та забезпечення ліквідації їхніх наслідків, здійснення міжнародного співробітництва з цих питань;
• вдосконалення нормативно-правової бази щодо забезпечення інформаційної безпеки, зокрема захисту інформаційних ресурсів, протидії кіберзлочинності, захисту персональних даних, а також правоохоронної діяльності в інформаційній сфері;
• розгортання та розвитку Національної системи конфіденційного зв'язку як сучасної захищеної транспортної основи, здатної інтегрувати територіально розподілені інформаційні системи, в яких обробляється конфіденційна інформація.

Забезпечення ІБ підприємства/організації

В Україні забезпечення ІБ здійснюється шляхом захисту інформації — у випадку, коли необхідність захисту інформації визначена законодавством в галузі ЗІ. Для реалізації захисту інформації створюється Комплексна система захисту інформації (КСЗІ).

Або, у випадку, коли суб'єкт інформаційної безпеки має наміри розробити і реалізувати політику інформаційної безпеки і може реалізовувати їх без порушення вимог законодавства.

• міжнародними стандартами ISO: ISO/IEC 17799:2005, ISO/IEC 27001:2013 та ін. — для підтримки рішень на основі ITIL та COBIT і виконання вимог англ. Sarbanes-Oxley Act (акту Сербайнза-Оклі про відповідальність акціонерів за обізнаність про стан своїх активів). Тоді на підприємстві створюється Система управління інформаційною безпекою (СУІБ), яка повинна відповідати усім вимогам міжнародних стандартів в галузі ІБ.
• власними розробками.

Функцій забезпечення ІБ підприємств

• розробка методів аналізу загроз, оцінки рівня інформаційної безпеки підприємства і систем її забезпечення;
• організація і здійснення діяльності із захисту інформації;
• експлуатація технічних засобів захисту інформації;
• аудит і контроль функціонування системи інформаційної безпеки підприємства.^[11]

Методи забезпечення ІБ підприємств

• Резервне копіювання.
• Політика прав доступу (обмеження кола людей, які мають права доступу до важливих даних підприємства).
• Двофакторна аутентифікація.^[12]

Забезпечення ІБ особистості

Органи (підрозділи) забезпечення ІБ

Міжнародні організації

Державні органи

• Відділи спецслужб держави.
• Спеціально уповноважений орган держави з питань захисту інформації (зараз в Україні — це Державна служба спеціального зв'язку та захисту інформації (скор. ДССЗЗІ)

Підрозділи підприємства

На підприємстві функцію забезпечення ІБ може виконувати як окремий відділ Служби безпеки підприємства, так і окрема Служба (Служба захисту інформації).

Для контролю за КСЗІ в обов'язковому порядку створюється Служба захисту інформації в інформаційно-телекомунікаційній системі (сама назва «Служба» не є обов'язковою).

Функції з контролю за СУІБ покладаються на певний відділ підприємства, зокрема на операційні центри безпеки.

Законодавчі вимоги і регулювання ІБ

Див. також: Список нормативних документів щодо інформаційної безпеки в Україні

• Загально законодавчі вимоги (інформаційне законодавство держави, спеціалізовані нормативні акти (в Україні — це Нормативні документи в галузі технічного захисту інформації (скор. НД ТЗІ).
• Галузеві вимоги (галузеві стандарти тощо).

16 березня 2016 Президент України Петро Порошенко підписав указ, яким увів в дію рішення Ради національної безпеки і оборони України від 27 січня «Про Стратегію кібербезпеки України». У концепції зазначається: «Економічна, науково-технічна, інформаційна сфера, сфера державного управління, оборонно-промисловий і транспортний комплекси, інфраструктура електронних комунікацій, сектор безпеки і оборони України стають все більш уразливими для розвідувально-підривної діяльності іноземних спецслужб у кіберпросторі. Цьому сприяє широка, подекуди домінуюча, присутність в інформаційній інфраструктурі України організацій, груп, осіб, які прямо чи опосередковано пов'язані з Російською Федерацією».

Для реалізації державної політики щодо захисту в кіберпросторі державних інформаційних ресурсів та інформації прийнятий Закон від 05.10.17 р № 2163-VIII «Про основні засади забезпечення кібербезпеки України» (далі — Закон № 2163, вступив силу з 09.05.18 р) ^[13]. Цей Закон став основою розвитку державної системи захисту від мережевих погроз. На підставі Закону України "Про національну безпеку України" та з метою захисту інформаційного простору України у липні 2023 року Національний центр оперативно-технічного управління мережами телекомунікацій (НЦУ) України видав розпорядження № 461/1292 про блокування списку доменних імен ^[14].

Див. також

• Безпека мережі
• Інформаційна безпека України
• Критерії оцінки інформаційної безпеки
• Агентство Європейського Союзу з питань мережевої та інформаційної безпеки
• Захист інформації
• Ланцюг ураження цілі
• Станція активних перешкод
• Загроза (ІТ)
• Тролі з Ольгіного
• Інформаційна безпека (навчальна програма)
• Кібербезпека
• Асоціація аудиту і контролю інформаційних систем

Примітки

1. Коваленко, Ю. О. (2010). Забезпечення інформаційної безпеки на підприємстві. Економіка промисловості. № 3. с. 123—129. Архів оригіналу за 21 січня 2022. Процитовано 16 листопада 2019.
2. Князев А. А. Информационная война [Архівовано 26 березня 2014 у Wayback Machine.] // Энциклопедический словарь СМИ. — Бишкек: Издательство КРСУ, 2002
3. Информационная безопасность (2-я книга социально-политического проекта «Актуальные проблемы безопасности социума»). М.: «Оружие и технологии», 2009 (рос.)
4. Інформаційна безпека і кібербезпека - в чому різниця?. indevlab.com (укр.). Архів оригіналу за 17 жовтня 2019. Процитовано 17 жовтня 2019.
5. A General Framework for Formal Notions of «Secure» Systems [Архівовано 8 березня 2012 у Wayback Machine.] — B. Pfitzmann, M. Waidner, Hildesheimer Informatik-Berichte
6. ГСТУ СУІБ 1.0/ISO/IEC 27001:2010 [Архівовано 21 серпня 2011 у Wayback Machine.], Інформаційні технології-методи захисту-система управління інформаційною безпекою, офіційний переклад, ст.3
7. Закон України «Про Основні засади розвитку інформаційного суспільства в Україні на 2007—2015 роки» від 09.01.2007 № 537-V. Архів оригіналу за 8 листопада 2018. Процитовано 6 лютого 2009.
8. Г. Сащук «Інформаційна безпека в системі забезпечення національної безпеки». Архів оригіналу за 10 листопада 2015. Процитовано 7 березня 2012.
9. Дмитрий Ганжело о хакерах, защите гаджетов и кибербезопасности в Украине | InDevLab. indevlab.com (ru-RU) . Архів оригіналу за 18 жовтня 2019. Процитовано 16 листопада 2019.
10. AlexandraSokolenko1 (15 лютого 2019). Кибербезопасность. Дмитрий Ганжело. Процитовано 16 листопада 2019.
11. Северина, С. В. (2016). Інформаційна безпека та методи захисту інформації. Вісник Запорізького національного університету. Економічні науки. № 1. с. 155—161. Архів оригіналу за 23 січня 2022. Процитовано 16 листопада 2019.
12. Как защитить ИТ-бизнес и ИТ-продукты: советы от CEO IDL | InDevLab. indevlab.com (ru-RU) . Архів оригіналу за 18 жовтня 2019. Процитовано 16 листопада 2019.
13. Про основні засади забезпечення кібербезпеки України. Офіційний вебпортал парламенту України (укр.). Процитовано 28 вересня 2023.
14. Заборонені інтернет ресурси в Україні - перелік 2023⚡ UABlockList. uablocklist.com. Архів оригіналу за 5 грудня 2023. Процитовано 28 вересня 2023.

Література

• Аудит інформаційної безпеки: підручник / В. А. Ромака, А. Е. Лагун, Ю. Р. Гарасим та ін. ; Держ. служба України з надзвич. ситуацій, Львів. держ. ун-т безпеки життєдіяльності, НАН України, Ін-т приклад. проблем механіки і математики ім. Я. С. Підстригача. — Львів: Сполом, 2015. — 363 с. : іл. — Бібліогр.: с. 280—281 (37 назв). — ISBN 978-966-919-123-6
• Інформаційна безпека людини як споживача телекомунікаційних послуг: Монографія / І. В. Арістова, Д. В. Сулацький ; НДІ інформатики і права НАПрН України. — К. : Право України ; X. : Право, 2013. — 184 с. [Архівовано 20 квітня 2016 у Wayback Machine.]
• Кормич Б. А. Інформаційне право: підручник. — Х.: Бурун і К, 2011. — 333 с.
• Кормич Б. А. Організаційно-правові основи політики інформаційної безпеки України: Автореф. дис. д-ра юрид. наук: 12.00.07. — X.: НХУ України, 2004.
• Сідак В. С., Артемов В. Ю. Забезпечення інформаційної безпеки в країнах НАТО та ЄС: Навчальний посібник. — К.: КНТ, 2007.
• Харченко B. C. Інформаційна безпека. Глосарій. — К.: КНТ, 2005.
• Цимбалюк B.C. Проблеми державної інформаційної політики: гармонізація міжнародного і національного інформаційного права // Правове, нормативне та метрологічне забезпечення системи захисту інформації в Україні. — К.: НТУУ «КПІ», 2001. — № 4.
• Hansen F. and Oleshchuk V.A.: Conformance Checking of RBAC Policy and its Implementation, The First Information Security Practice and Experience Conference, ISPEC 2005, Singapore, LNCS, Volume 3439, pp. 144–155, 2005.

Посилання

• ІНФОРМАЦІЙНА БЕЗПЕКА [Архівовано 13 березня 2016 у Wayback Machine.] //Фармацевтична енциклопедія
• ІНФОРМАЦІЙНА БЕЗПЕКА [Архівовано 14 березня 2016 у Wayback Machine.] //ЕСУ
• НД ТЗІ 1.1-003-99 Термінологія в галузі захисту інформації в комп'ютерних системах від несанкціонованого доступу [Архівовано 8 листопада 2018 у Wayback Machine.]

• Стандарти інформаційної безпеки. Архів оригіналу за 23 червня 2013. Процитовано 18 лютого 2019.
• Інформаційна безпека (Науковий журнал) (українська, російська та англійська (змішаними мовами)) . Східноукраїнський національний університет імені Володимира Даля. Архів оригіналу за 23 червня 2013. Процитовано 24 лютого 2011.
• Центр інформаційної безпеки (Інтернет-сайт). http://www.bezpeka.com. Архів оригіналу за 23 червня 2013. Процитовано 23 березня 2011.
• Журнал "Інформаційні технології. Аналітичні матеріали", Розділ «Інформаційна безпека» (Інтернет-журнал). it.ridne.net. Архів оригіналу за 23 червня 2013. Процитовано 24 лютого 2011.

• Напрями економічної оцінки інформаційної та інтелектуальної безпеки медіапідприємств/ Сухорукова О.  А.  // Science and education: trends and prospects: Collection of scientific articles. — Ascona Publishing, New York, United States of America, 2018. — Pp. 196–202. Електронне джерело [Архівовано 13 березня 2022 у Wayback Machine.]