Розділ IV. ІНФОРМАЦІЙНА БЕЗПЕКА
ОСНОВИ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ КОМП'ЮТЕРНИХ СИСТЕМ
У результаті освоєння матеріалів даної глави студенти повинні:
знати
- - Зміст і сутність управління інформаційними ризиками та забезпечення інформаційної безпеки;
- - Принципи забезпечення інформаційної безпеки;
вміти
- - Обгрунтувати необхідність переходу від протидії загрозам безпеки інформації до управління інформаційними ризиками;
- - Класифікувати загрози інформаційній безпеці;
- - Аналізувати загрози інформаційній безпеці;
володіти
- Навичками оперування основними поняттями інформаційної безпеки.
Інформаційна безпека та управління інформаційними ризиками
Проблема забезпечення безпечного використання інформації в міру розвитку людської цивілізації ставала все більш значущою. В інформаційному суспільстві вона є одним з основних факторів, що впливають па розвиток інформаційних технологій.
У сучасній історії можна виділити три великих етапу в розвитку проблеми інформаційної безпеки:
- 1) до 1950-х рр .;
- 2) з 1950-х до 1980-х рр .;
- 3) з 1980-х рр. по теперішній час.
На першому етапі домінувала завдання збереження конфіденційності інформації та, якщо виключити пробле
ми передачі інформації за допомогою технічних засобів, вирішувалася вона н основному за рахунок організаційних заходів.
На другому етапі з появою обчислювальних машин гостро постала проблема надійності зберігання та передачі інформації, забезпечення безперебійного функціонування інформаційних систем. Освоювалися мережеві технології. Для багатьох виробничих і управлінських процесів існувала можливість повернення до неавтоматизованим методам роботи у разі відмови автоматизованих систем.
Сучасний етап характеризується наступними особливостями:
- • зростання ролі і значення інформації в житті суспільства;
- • інформатизація всіх сфер суспільства;
- • якісні зміни в інформаційних технологіях;
- • безпрецедентне зростання витрат на інформаційні технології та на забезпечення інформаційної безпеки, з одного боку, і багаторазове збільшення збитку, пов'язаного з порушенням безпеки інформаційних ресурсів, - з іншого (світові витрати на інформаційні технологи в 2012 р прогнозуються у розмірі порядку 2700000000000 дол., а річний збиток світової спільноти від інформаційних ризиків вже перевищив 1 трлн дол.).
Сучасний стан проблеми забезпечення безпеки інформації призвело до зміни підходів до управління інформаційною безпекою. Це знайшло своє відображення і в зміні термінології. У середині 1990-х рр. вводиться поняття "інформаційний ризик". Інформаційний ризик - це можливість настання негативної випадкової події в інформаційній системі підприємства, в результаті якого підприємству наноситься збиток. Спочатку під негативною подією розумілося подія, що приводить тільки до зниження рівня безпеки інформації. В даний час під дефініцією "негативна подія" розуміється не тільки порушення безпеки інформації, а й зниження якості інформації до рівня, при якому використання такої інформації призводить до збитку підприємства. Таким чином, забезпечення інформаційної безпеки здійснюється в рамках управління інформаційними ризиками.
Перехід до поняття "інформаційний ризик" дозволив:
- • пов'язувати негативні події в області інформаційної безпеки з кінцевими результатами роботи підприємства, з впливом цих подій на основні бізнес-процеси;
- • застосовувати до управління інформаційними ризиками економічні методи управління;
- • підняти проблему забезпечення інформаційної безпеки на рівень перших осіб підприємств;
- • залучати до вирішення проблем інформаційної безпеки менеджерів основних бізнес-процесів і всіх користувачів інформаційних систем.
У сучасному трактуванні виразу "забезпечення інформаційної безпеки" або "захист інформації" розуміються як застосування спеціальних методів і засобів спеціалістами відділів інформаційних технологій, служб охорони і служб інформаційної безпеки, а також користувачами інформаційних систем з метою запобігання негативних подій (реалізації загроз) в інформаційній системі .
При розгляді проблем інформаційної безпеки під інформаційною системою (ІС) розуміється комплекс інформаційних елементів і зв'язків між ними. В якості інформаційних елементів розглядаються засоби зберігання, обробки, видачі та передачі інформації будь-якої фізичної природи, а також зв'язки між ними.
Одним з центральних інформаційних елементів є людина, що має відношення до інформаційного процесу підприємства. Важливим елементом інформаційної системи є комп'ютерна система (КС), під якою розуміється будь апаратно-програмний засіб для введення, зберігання, перетворення і передачі інформації. До комп'ютерних систем відносяться як порівняно прості пристрої типу смартфонів і нетбуків, так і складні системи, наприклад суперкомп'ютери або глобальні комп'ютерні мережі.
До інформаційних елементів відносяться також всі інформаційні ресурси неавтоматизованих інформаційних технологій. Питома вага друкованих документів, неоціфрованних фотографій, карт і тому подібних інформаційних носіїв у загальному обсязі інформаційних технологій постійно знижується, але поки ще залишається досить вагомим.
