ПРОБЛЕМИ БЕЗПЕКИ КОРПОРАТИВНИХ ІНФОРМАЦІЙНИХ СИСТЕМ

Як відомо, інформаційна система Державної податкової служби (ІС ДПС) є корпоративною розподіленою інформаційною системою. Отже, розглянемо найбільш важливі проблеми інформаційної безпеки таких систем.

Нагадаємо, що під інформаційною безпекоюрозуміють стан захищеності оброблюваних даних та даних що зберігаються та передаються від незаконного ознайомлення, перетворення і знищення, а також стан захищеності інформаційних ресурсів від дій, спрямованих на порушення їх працездатності.

Природа цих дій може бути найрізноманітнішою. Це і спроби проникнення зловмисників, і помилки персоналу, і вихід з ладу апаратних і програмних засобів, стихійні лиха (землетрус, ураган, пожежа і т.п.).

Інформаційна безпека комп'ютерних систем і мереж досягається ухваленням комплексу заходів по забезпеченню конфіденційності, цілісності, достовірності, юридичної значущості інформації, оперативності доступу до неї, а також по забезпеченню цілісності і доступності інформаційних ресурсів і компонентів системи або мережі.

Перераховані вище базові властивості інформації потребують більш повного тлумачення. Деякі з наведених нижче термінів були визначені раніше з посиланням на нормативні документи, проте їх тлумачення суттєво полегшує їх розуміння та сенс.

Конфіденційність інформації– це її властивість бути доступною тільки обмеженому колу користувачів інформаційної системи, в якій циркулює дана інформація. По суті, конфіденційність інформації – це її властивість бути відомою тільки допущеним суб'єктам системи і тим хто пройшов перевірку (користувачам, процесам, програмам). Для решти суб'єктів системи інформація повинна бути невідомою.

Під цілісністю інформаціїрозуміється її властивість зберігати свою структуру та/або зміст в процесі передачі і зберігання. Цілісність інформації забезпечується в тому випадку, якщо дані в системі не відрізняються в семантичному відношенні від даних в початкових документах, тобто якщо не відбулося їх випадкового або навмисного спотворення або руйнування.

Достовірність інформації– властивість, яка виражається в строгій приналежності інформації суб'єкту, що є її джерелом, або тому суб'єкту, від якого вона прийнята.

Критична інформація (sensitive information) – інформація, що вимагає захисту; будь-яка інформація, втрата або неправильне використання якої (модифікація, ознайомлення) може нанести шкоду власникові інформації або ІС, або будь-якій іншій фізичній (юридичній) особі чи групі осіб.

Юридична значущість інформаціїозначає, що документ, який є носієм інформації, володіє юридичною силою.

Оперативність доступу до інформації– це здатність інформації або деякого інформаційного ресурсу бути доступними кінцевому користувачу відповідно до його оперативних потреб.

Цілісність ресурсу або компоненту системи– це його властивість бути незмінним в семантичному значенні при функціонуванні системи в умовах випадкових або навмисних спотворень або руйнуючих дій.

Доступність ресурсу або компоненту системи– це його властивість бути доступним законним користувачам системи.

З допуском до інформації і ресурсів системи зв'язана група таких понять, як ідентифікація, автентифікація, авторизація, які були визначені раніше.

Після ідентифікації і автентифікації об'єкту виконують авторизацію.

Авторизація об'єкту– це процедура надання законному об'єкту, що успішно пройшов ідентифікацію і автентифікацію, відповідних повноважень і доступних ресурсів системи (мережі).

Збиток безпекимає на увазі порушення стану захищеності інформації, що міститься і обробляється в системі (мережі).

З поняттям загрози безпеки тісно зв'язане поняття уразливості комп'ютерних систем системи (мережі).

Уразливість системи (мережі)– це будь-яка характеристика комп'ютерних систем, використовування якої може привести до реалізації загрози.

Атака на комп'ютерну систему (мережу)– це дія, що робиться зловмисником з метою пошуку і використовування тієї або іншої уразливості системи. Таким чином, атака – це реалізація загрози безпеки.

Протидія загрозам безпеки – мета, яку покликані виконати засоби захисту комп'ютерних систем і мереж.

Безпечна або захищена система – це система із засобами захисту, які успішно і ефективно протистоять загрозам безпеки.