Bezpieczeństwo informacji

Podstawowe własności bezpieczeństwa informacji

Często wyróżnia się 3 podstawowe własności bezpieczeństwa informacji, których zachowanie jest konieczne w większości zastosowań systemów informatycznych.

Są to:

  • poufność;
  • nienaruszalność;
  • dostępność informacji;

Poufność informacji

Poufność, rozumiana – jak wiemy – jako ochrona przed nieautoryzowanym ujawnieniem (odczytem) informacji, narażona jest na ataki poprzez:

  • nieuprawniony dostęp do danych w miejscu składowania w systemie, np. w bazie danych
  • nieuprawniony dostęp do danych w miejscu przetwarzania, np. w aplikacji końcowej użytkownika
  • podsłuchanie danych przesyłanych w sieci

Szczególny nacisk można położyć na szeroko rozumiany podsłuch, który dotyczy nie tylko oczywistego przypadku transmisji danych. Należy podkreślić techniczną możliwość podsłuchu zdalnego większości urządzeń infrastruktury systemu komputerowego.

Nienaruszalność informacji (integralność)

Kolejnym po poufności aspektem bezpieczeństwa omawianym w tym module jest nienaruszalność informacji, rozumiana jako ochrona danych przed ich nieautoryzowanym zmodyfikowaniem (dostępem do zapisu, w odróżnieniu od poufności, która oznacza ochronę przed nieautoryzowanym dostępem do odczytu).

Zagrożeniem nienaruszalności informacji jest zatem celowa lub przypadkowa modyfikacja danych przez nieuprawnionych użytkowników bądź oprogramowanie (np. wirusowe).

Mechanizmy obrony stosowane do zapewnienia nienaruszalności informacji obejmują w szczególności:
  • kontrolę dostępu do danych – wymienione wcześniej mechanizmy list kontroli dostępu
  • sumy kontrolne zbiorów danych (np. plików dyskowych)
  • kryptograficzne sumy kontrolne i podpis elektroniczny
  • rejestrację operacji na danych (auditing) – niezbędną dla formalnego wykrycia naruszeń integralności; zwykle spotyka się podział danych audytu co najmniej na rejestr zdarzeń systemowych oraz rejestr zdarzeń aplikacji.
  • kontrolę antywirusową

Dostępność informacji

Dostępność informacji określa jakie są możliwości uzyskania danej kategroii informacji przez użytkownika. Użytkownik systemu powinien mieć możliwość uzyskania informacji niezbędnych dla podejmowania decyzji oraz realizacji nałożonych na niego zadań, niezależnie od tego, w jakim miejscu w systemie te informacje się znajdują.