Основні складові інформаційної безпеки

Мета заходів в галузі інформаційної безпеки — захистити інтереси суб’єктів інформаційних відносин. Інтереси ці різноманітні, але всі вони концентруються навколо трьох основних аспектів:

Ø доступність;

Ø цілісність;

Ø конфіденційність.

Перший крок при побудові системи ІБ організації — ранжування і деталізація цих аспектів.

Важливість проблематики ІБ пояснюється двома основними причинами:

Ø цінністю накопичених інформаційних ресурсів;

Ø критичною залежністю від інформаційних технологій.

Руйнування важливої інформації, крадіжка конфіденційних даних, перерва в роботі внаслідок відмови — все це виливається в матеріальні втрати, завдає збитку репутації організації. Проблеми з системами управління або медичними системами загрожують здоров’ю і життю людей.

Сучасні інформаційні системи складні і, значить, небезпечні вже самі собою, навіть без урахування активності зловмисників. Постійно виявляються нові вразливі місця в програмному забезпеченні. Доводиться брати до уваги надзвичайно широкий спектр апаратного і програмного забезпечення, численні зв’язки між компонентами.

Міняються принципи побудови корпоративних ІС. Використовуються численні зовнішні інформаційні сервіси; отримало широке поширення явище, що позначається суто російським словом «аутсорсінг», коли частина функцій корпоративної ІС передається зовнішнім організаціям. Розвивається програмування з активними агентами.

Підтвердженням складності проблематики ІБ є паралельне (і досить швидке) зростання витрат на захисні заходи і кількість порушень ІБ в поєднанні зі зростанням середнього збитку від кожного порушення. (Остання обставина – ще один привід на користь важливості ІБ.)

Успіх в галузі інформаційної безпеки може принести тільки комплексний підхід, що поєднує заходи чотирьох рівнів:

Ø законодавчого;

Ø адміністративного;

Ø процедурного;

Ø програмно-технічного.

Проблема ІБ — не тільки (і не стільки) технічна; без законодавчої бази, без постійної уваги керівництва організації і виділення необхідних ресурсів, без заходів управління персоналом і фізичним захистом вирішити її неможливо. Комплексність також ускладнює проблематику ІБ; потрібна взаємодія фахівців з різних галузей.

В якості основного інструменту боротьби зі складністю пропонується об’єктно-орієнтований підхід. Інкапсуляція, спадкоємство, поліморфізм, виділення граней об’єктів, варіювання рівня деталізації — все це універсальні поняття, знання яких необхідне всім фахівцям з інформаційної безпеки.