6.2.4 Основні характеристики інформаційної системи як об'єкта захисту

Для інформаційних систем як об'єктів безпеки властиві наступні такі характеристики як конфіденційність, доступність та цілісність інформації (даних) в інформаційній системі (рис. 6.10) [2].

Конфіденційність [confidentiality, privacy] (від лат. confidentia — довір'я) — це властивість не підлягати розголосові; довірчість, секретність, суто приватність, секретність.

Конфіденційність інформації (даних) в інформаційній системі — це властивість інформації, яка полягає в тому, що ін­формація не може бути отримана неавторизованим користувачем і (або) процесом інформаційної системи. Інформація зберігає конфі­денційність, якщо дотримуються встановлені правила ознайомлення з нею.

Доступність [availability] у загальному смислі представляється як можливість проникнення куди-небудь.

Для інформаційної системи — це властивість ресурсу системи,

229

Частина II Основи безпеки інформаційних технологій

Рис. 6.10.Інформаційна система як об'єкт інформаційної безпеки

яка полягає в тому, що користувач і (або) процес, який володіє відпо­відними повноваженнями, може використовувати ресурс відповідно до правил, встановлених політикою безпеки, не очікуючи довше за­даного (малого) проміжку часу, тобто коли він знаходиться у вигля­ді, необхідному користувачеві, і в той час, коли він йому необхідний.

Доступність даних [data confidentiality] в інформаційній систе­мі — це властивість даних, що полягає у можливості їхнього читання користувачем або програмою. Визначається рядом факторів: можли­вістю працювати за терміналом, володінням паролем, знанням мови запитів і т.ін.

Цілісність [integrity] — це внутрішня єдність, зв'язаність усіх частин чого-небудь, єдине ціле.

В інформаційній системі — це стан даних або інформаційної си­стеми системи, в якій дані та програми використовуються встанов­леним чином, що забезпечує:

230

Розділ 6 Інформаційні системи та технології як об'єкти безпеки

• стійку роботу системи;

• автоматичне відновлення у випадку виявлення системою потен­ційної помилки;

• автоматичне використання альтернативних компонентів замість тих, що вийшли з ладу.

Для інформаційної системи можна розглядати такі поняття як цілісність даних, цілісність інформації, цілісність бази даних цілі­сність інформаційної системи і т.ін.

Цілісність даних [data integrity] в інформаційній системі — це стан, при якому дані, що зберігаються в системі, в точності відповід­ають даним у вихідних документах; властивість, що має відношення до набору даних і означає, що дані не можуть бути змінені або зруй­новані без санкції на доступ. Цілісність даних вважається збереже­ною, якщо дані не спотворені і не зруйновані (стерті). Семантична цілісність даних [semantic data integrity] — це стан даних, коли вони зберігають свій інформаційний зміст та однозначність інтер­претації в умовах випадкових впливів.

Цілісність інформації [information integrity] — це властивість інформації, яка полягає в тому, що інформація не може бути модифі­кована неавторизованим користувачем і (або) процесом. Інформація зберігає цілісність, якщо дотримуються встановлені правила її мо­дифікації (видалення).

Цілісність бази даних [database integrity] — це стан бази да­них, коли всі значення даних правильні в тому сенсі, що відобра­жають стан реального світу (в межах заданих обмежень по точності та часовій узгодженості) і підпорядковуються правилам взаємної не­сперечливості. Підтримка цілісності бази даних включає перевірку цілісності і відновлення з будь-якого неправильного стану, яке може бути виявлено; це входить у функції адміністратора бази даних.

Цілісність системи [system integrity] — це властивість системи, яка полягає в тому, що жоден її компонент не може бути усунений, модифікований або доданий з порушенням політики безпеки.

До захищених інформаційних систем відносяться інформа­ційні системи, які для певних умов експлуатації забезпечують безпе­ку (конфіденційність, цілісність) інформації, що функціонує в систе­мі, та підтримує свою працездатність в умовах впливу на неї заданої множини загроз.

Для інформаційної системи властиві наступні види загроз: за­грози порушення конфіденційності, загрози порушення цілісності, загрози порушення працездатності (доступності).

231

Частина II Основи безпеки інформаційних технологій

Загрози порушення конфіденційностіспрямовані на розго­лошення інформації з обмеженим доступом.

Загрози порушення працездатності (доступності) спрямо­вані на створення ситуацій, коли в результаті навмисних дій понижу­ється працездатність обчислювальної системи, або її ресурси стають недоступними.

Загрози порушення цілісності полягають у спотворенні або зміні неавторизованим користувачем інформації, що зберігається або передається. Цілісність інформації може бути порушена як зловми­сником, так і в результаті об'єктивних впливів із сторони середовища експлуатації системи.