За́хист інформа́ції (англ. Data protection) — сукупність методів і засобів, що забезпечують цілісність, конфіденційність і доступність інформації за умов впливу на неї загроз природного або штучного характеру, реалізація яких може призвести до завдання шкоди власникам і користувачам інформації.
Коротка інформація
Закрити
Термін вживається в Україні для опису комплексу заходів з забезпечення інформаційної безпеки.
30 листопада — Міжнародний день захисту інформації.
Захист інформації ведеться для підтримки таких властивостей інформації як:
- Цілісність
- — неможливість модифікації інформації неавторизованим користувачем.
- Конфіденційність
- — інформація не може бути отримана неавторизованим користувачем.
- Доступність
- — полягає в тому, що авторизований користувач може використовувати інформацію відповідно до правил, встановлених політикою безпеки не очікуючи довше заданого (прийнятного) інтервалу часу.
Загрози інформації
Відповідно до властивостей І., виділяють такі загрози її безпеці:
- загрози конфіденційності:
- несанкціонований доступ (НСД);
- витік;
- розголошення.
Аспекти захисту інформації
- Конфіденційність — захист від несанкціонованого ознайомлення з інформацією.
- Цілісність — захист інформації від несанкціонованої модифікації.
- Доступність — захист (забезпечення) доступу до інформації, а також можливості її використання. Доступність забезпечується як підтриманням систем в робочому стані, так і завдяки способам, які дозволяють швидко відновити втрачену чи пошкоджену інформацію.
Кожен вид ЗІ забезпечує окремі аспекти ІБ:
- Технічний[1] — забезпечує обмеження доступу до носія інформації апаратно-технічними засобами (антивіруси, фаєрволи, маршрутизатори, токіни, смарткарти тощо):
- попередження витоку по технічним каналам;
- запобігання блокуванню.
В Україні існує Реєстр експертів з питань технічного захисту інформації — список фізичних осіб — виконавців експертних робіт з технічного захисту інформації, які залучаються Організаторами[2] під час проведення державних експертиз у сфері технічного захисту інформації[3].
- Інженерний — запобігає руйнуванню носія інформації внаслідок навмисних дій або природного впливу інженерно-технічними засобами (сюди відносять обмежувальні конструкції, охоронно-пожежна сигналізація). Є частиною комплексної системи захисту інформації. Закон України визначає інженерний захист як складову технічного захисту інформації. Але засоби і методи інженерного та технічного захисту інформації дуже різняться хоча і мають спільну мету використання. Для прикладу: засоби обмеження доступу на територію і програмні засоби забезпечення автетифікації згідно із законодавчим визначенням складають одну категорію.[4]
- Криптографічний — попереджує доступ за допомогою математичних перетворень інформації (ІП):
- попередження несанкціонованої модифікації ;
- попередження НС розголошення.
- Організаційний — попередження доступу на об'єкт інформаційної діяльності сторонніх осіб за допомогою організаційних заходів (правила розмежування доступу).
Організатори — підрозділи Державної служби спеціального зв'язку та захисту інформації України (Держспецзв'язку), підприємства, установи та організації, які проводять державну експертизу у сфері технічного захисту інформації
Адміністрація Державної служби спеціального зв'язку та захисту інформації, Наказ «Про затвердження Порядку формування реєстру організаторів державної експертизи у сфері технічного захисту інформації та реєстру експертів з питань технічного захисту інформації» від 16.04.2008 N 64