Інформаційна безпека є практикою захисту інформації шляхом зменшення інформаційних ризиків. Це частина управління інформаційними ризиками. Зазвичай це передбачає запобігання або принаймні зменшення ймовірності несанкціонованого/неналежного доступу до даних або незаконного використання, розкриття, зриву, видалення, пошкодження, модифікації, перевірки, запису чи девальвації інформації. Він також передбачає дії, спрямовані на зменшення негативного впливу таких інцидентів. Захищена інформація може приймати будь-яку форму, наприклад електронні чи фізичні, матеріальні (наприклад, паперові роботи) або нематеріальні (наприклад, знання).
Основна увага в галузі інформаційної безпеки — це збалансований захист конфіденційності, цілісності та доступності даних, зберігаючи при цьому увагу на ефективному здійсненні політики, але не перешкоджаючи продуктивності організації. Це значною мірою досягається за допомогою структурованого процесу управління ризиками, який передбачає:
- Виявлення інформації та пов’язаних з нею активів, плюс потенційні загрози, вразливості та наслідки;
- Оцінка ризиків;
- Вирішення способів подолання ризиків або їх лікування, тобто уникнути, пом’якшити, поділитись або прийняти їх;
- Там, де потрібно зменшення ризику, вибір або розробка відповідних засобів безпеки та їх здійснення;
- Моніторинг діяльності, внесення необхідних коригувань для вирішення будь-яких питань, змін та можливостей удосконалення.
Щоб стандартизувати цю дисципліну, науковці та професіонали співпрацюють, пропонуючи вказівки, політику та галузеві стандарти щодо пароля, антивірусного програмного забезпечення, брандмауера, програмного забезпечення для шифрування, юридичної відповідальності, обізнаності з безпеки та навчання тощо. Ця стандартизація може бути додатково спричинена широким спектром законів та правил, які впливають на спосіб доступу, обробки, зберігання, передачу та знищення даних. Однак імплементація будь-яких стандартів та настанов в межах суб’єкта господарювання може мати обмежений ефект, якщо культура постійного вдосконалення не буде прийнята.
Основні принципи:
Конфіденційність. В інформаційній безпеці конфіденційність є властивістю, що інформація не надається або розголошується стороннім особам, організаціям або процесам. Швидше конфіденційність — це складова, яка захищає наші дані від несанкціонованих глядачів. Приклади конфіденційності електронних даних, що підлягають компрометації, включають крадіжку ноутбука, крадіжку пароля або електронні листи, що надсилаються особам.
Цілісність. В інформаційній безпеці цілісність даних означає підтримання та забезпечення точності та повноти даних протягом усього життєвого циклу. Це означає, що дані не можуть бути змінені несанкціонованим або невідкритим способом. Це не те саме, що референтна цілісність у базах даних, хоча це може розглядатися як окремий випадок узгодженості, як це розуміється в класичній моделі обробки транзакцій. Системи захисту інформації зазвичай забезпечують цілісність повідомлення поряд з конфіденційністю.
Доступність. Щоб будь-яка інформаційна система відповідала своєму призначенню, інформація повинна бути доступною, коли вона потрібна. Це означає, що обчислювальні системи, що використовуються для зберігання та обробки інформації, засоби безпеки, що використовуються для її захисту, і канали зв’язку, які використовуються для доступу до неї, повинні функціонувати правильно. Системи з високою доступністю мають на меті залишатися доступними постійно, запобігаючи збоям у обслуговуванні через відключення електроенергії, відмови обладнання та оновлення системи. Забезпечення доступності також передбачає запобігання атак відмови в обслуговуванні, наприклад, затоплення вхідних повідомлень до цільової системи, що по суті змушує її закритись.
У царині інформаційної безпеки доступність часто можна розглядати як одну з найважливіших частин успішної програми інформаційної безпеки. Зрештою, кінцеві користувачі повинні мати можливість виконувати функції роботи; забезпечуючи доступність організації в змозі виконати ті стандарти, яких очікують зацікавлені сторони організації. Це може включати такі теми, як конфігурації проксі, зовнішній доступ до Інтернету, можливість доступу до спільних дисків та можливість надсилання електронних листів. Часто керівники не розуміють технічну сторону інформаційної безпеки і розглядають доступність як просте виправлення, але це часто вимагає співпраці багатьох різних організаційних команд, таких як операції в мережі, операції з розвитку, реагування на інциденти та управління політикою / змінами. Успішна команда з інформаційної безпеки передбачає безліч різних ключових ролей.
Не відмова. У законі неприйняття міри передбачає намір виконувати свої зобов’язання перед договором. Це також означає, що одна сторона угоди не може заперечити отримання транзакції, а також не може відмовити другій стороні в транзакції.
Важливо зауважити, що хоча такі технології, як криптографічні системи, можуть допомогти в зусиллях, що не відмовляються, в основі цієї концепції легальна концепція, що виходить за рамки технології. Наприклад, недостатньо, щоб показати, що повідомлення відповідає цифровому підпису, підписаному приватним ключем відправника, і, таким чином, лише відправник міг надіслати повідомлення, і ніхто інший не міг його змінити під час транзиту (цілісність даних). Передбачуваний відправник може натомість продемонструвати, що алгоритм цифрового підпису є вразливим або несправним, або стверджувати або доводити, що ключ його підпису був порушений. Вина у цих порушеннях може бути, а може і не лежати у відправника, і такі твердження можуть або не можуть звільнити відправника від відповідальності, але твердження призведе до визнання недійсним вимоги про те, що підпис обов’язково підтверджує справжність та цілісність. Таким чином, відправник може відкинути повідомлення (оскільки автентичність та цілісність є необхідними умовами для невідхилення).
Вибір та реалізація належного контролю безпеки спочатку допоможе організації знизити ризик до прийнятних рівнів. Вибір контролю повинен здійснюватися і повинен базуватися на оцінці ризику. Контроль може відрізнятися за своєю природою, але в принципі вони є способами захисту конфіденційності, цілісності або доступності інформації. ISO / IEC 27001 має визначені елементи контролю в різних областях. Організації можуть здійснювати додатковий контроль відповідно до вимог організації ISO / IEC 27002 пропонує рекомендації щодо організаційних стандартів інформаційної безпеки.
Висновки по підрозділу. Доступ до захищеної інформації повинен бути обмежений людьми, які мають право на доступ до інформації. Комп’ютерні програми, а в багатьох випадках і комп’ютери, які обробляють інформацію, також повинні бути авторизовані. Це вимагає створення механізмів контролю доступу до захищеної інформації. Досконалість механізмів контролю доступу повинна відповідати цінності інформації, що захищається; чим більш цінна інформація, тим сильнішими повинні бути механізми контролю. Фундамент, на якому побудовані механізми контролю доступу, починається з ідентифікації та автентифікації.
Висновки по розділу. Психологічна війна — це заплановане тактичне використання пропаганди, погроз й інших не бойових прийомів під час воєн, погроз війни або періодів геополітичних хвилювань, щоб ввести в оману, залякати, деморалізувати або іншим чином вплинути на мислення або поведінку ворога.
Щоб досягти своїх цілей, розробники кампаній психологічної війни спочатку намагаються отримати повне уявлення про переконання, симпатії, антипатії, сильні і слабкі сторони, вразливості цільової групи населення.
Більш важливим, ніж те, як доставляється ця зброя пропаганди, є повідомлення, яке вони несуть, і те, наскільки добре вони впливають або переконують цільову аудиторію.
Автор: УЛЬЯНА ІВАНОВА