Поняття інформаційної безпеки

Словосполучення "інформаційна безпека" у різних контекстах може мати різне значення.

У даному курсі наша увага буде зосереджена на зберіганні, обробці та передачі інформації незалежно від того, якою мовою (російською чи якою-небудь іншою) вона закодована, хто або що є її джерелом та який психологічний вплив вона має на людей. Тому термін "інформаційна безпека" використовується у вузькому змісті, так, як це прийнято, наприклад, в англомовній літературі.

Під інформаційною безпекою ми будемо розуміти захищеність інформації й інфраструктурою, яка її підтримує від випадкових або навмисних впливів природного або штучного характеру, які можуть завдати неприйнятної шкоди суб'єктам інформаційних відносин, у тому числі власникам і користувачам інформації й підтримуючої інфраструктури. (Далі ми пояснимо, що варто розуміти під підтримуючою інфраструктурою.)

Захист інформації – це комплекс заходів, спрямованих на забезпечення інформаційної безпеки.

Таким чином, правильний з методологічної точки зору підхід до проблем інформаційної безпеки починається з виявлення суб'єктів інформаційних відносин й інтересів цих суб'єктів, пов'язаних з використанням інформаційних систем (ІС). Загрози інформаційної безпеки – це зворотний бік використання інформаційних технологій.

Із цього положення можна вивести два важливих висновки:

1 Трактування проблем, пов'язаних з інформаційною безпекою, для різних категорій суб'єктів може істотно розрізнятися. Для ілюстрації досить зіставити режимні державні організації й навчальні інститути. У першому випадку "нехай краще все зламається, ніж ворог довідається хоч один секретний біт", у другому – "так немає в нас ніяких секретів, аби тільки все працювало".

2 Інформаційна безпека не зводиться винятково до захисту від несанкціонованого доступу до інформації, це принципово більш широке поняття. Суб'єкт інформаційних відносин може постраждати (зазнати збитків й/або одержати моральний збиток) не тільки від несанкціонованого доступу, але й від поломки системи, що викликала перерву в роботі. Більше того, для багатьох відкритих організацій (наприклад, навчальних) власне захист від несанкціонованого доступу до інформації стоїть по важливості аж ніяк не на першому місці.

Повертаючись до питань термінології, відзначимо, що термін "комп'ютерна безпека" (як еквівалент або замінник ІБ) видається нам занадто вузьким. Комп'ютери – тільки одна зі складових інформаційних систем, і хоча наша увага буде зосереджена в першу чергу на інформації, що зберігається, обробляється й передається за допомогою комп'ютерів, її безпека визначається всією сукупністю складових й, у першу чергу, найслабшою ланкою, якою в переважній більшості випадків є людина, яка (написала, наприклад, свій пароль на "гірчичнику", наклеєному на монітор).

Відповідно до визначення інформаційної безпеки, вона залежить не тільки від комп'ютерів, але й від інфраструктури, яка її підтримує, до якої можна віднести системи електро-, водо- і теплопостачання, кондиціонери, засоби комунікацій і, звичайно, обслуговуючий персонал. Ця інфраструктура має самостійну цінність, але нас цікавити не лише те, як вона впливає на виконання інформаційною системою запропонованих їй функцій.

Звернемо увагу, що у визначенні ІБ перед іменником "збиток" стоїть прикметник "неприйнятний". Вочевидь, застрахуватися від усіх видів збитків неможливо, тим більше неможливо зробити це економічно доцільним чином, коли вартість захисних засобів і заходів не перевищує розмір очікуваного збитку. Виходить, із чимось доводиться миритися й захищатися потрібно тільки від того, з чим змиритися ніяк не можна. Іноді таким неприпустимим збитком є нанесення шкоди здоров'ю людей або стану навколишнього середовища, але частіше поріг неприйнятності має матеріальне (грошове) вираження, а метою захисту інформації стає зменшення розмірів збитків до припустимих значень.