Ինֆորմացիոն անվտանգություն

Ինֆորմացիոն անվտանգությունը (անգլ․ Information security) տեղեկատվության պահպանումն ու պաշտպանությունն է, ինչպես նաև դրա էական տարրերը, ներառյալ համակարգերն ու սարքավորումները, որոնք նախատեսված են այդ տեղեկատվության օգտագործման, պահպանման և փոխանցման համար։ Այլ կերպ ասած, դա տեխնոլոգիաների, ստանդարտների և կառավարման պրակտիկաների մի շարք է, որոնք անհրաժեշտ են տեղեկատվական անվտանգությունը պաշտպանելու համար^[1]։ Դա տեղեկատվական համակարգի մի վիճակ է, որտեղ այն ամենաքիչն է ենթակա երրորդ կողմերի միջամտությանը և վնասմանը։ Տվյալների անվտանգությունը նաև ենթադրում է ռիսկերի կառավարում, որոնք կապված են տեղեկատվության բացահայտման կամ ապարատային և ծրագրային ապահովման պաշտպանության մոդուլների վրա ազդեցության հետ։ Տեղեկատվական անվտանգության նպատակն է պաշտպանել տեղեկատվական տվյալները և օժանդակ ենթակառուցվածքը պատահական կամ կանխամտածված միջամտությունից, որը կարող է հանգեցնել տվյալների կորստի կամ չարտոնված փոփոխության։ Ոչ ոք չի ժխտի, որ կիբերանվտանգությունը կարևոր ասպեկտ է համացանցից օգտվողների համար։ Մեկ սխալ քայլը կարող է վարակել ձեր սարքը չարամիտ ծրագրով, որը կա՛մ գողանալու է ձեր անձնական տվյալները, կա՛մ վնասելու և գաղտնագրելու թանկարժեք, անփոխարինելի ֆայլերը, կա՛մ ավելի վատ՝ ստանա ձեր հաշվի տվյալները։ Նույնիսկ եթե դուք խուսափեք նման չարամիտ ծրագրերից, կան բազմաթիվ այլ սպառնալիքներ, ինչպիսիք են տվյալների քերծումը, ցանցային հարձակումները և շատ տարածված սոցիալական ինժեներական տեխնիկան^[2]։ Չարորակ գործունեության անմիջական հեղինակները, որոնք բացասաբար են ազդում տեղեկատվության վրա^[3], կարող են լինել.

մարդիկ;
տեխնիկական սարքեր;
մոդելներ, ալգորիթմներ, ծրագրեր;
տեխնոլոգիական մշակման սխեմաներ;
արտաքին միջավայր

Քանի որ սպառնալիքները կարող են տարբեր կերպ ազդել տեղեկատվական համակարգի վրա, դրանք բաժանվում են պասիվ (նրանց, որոնք չեն փոխում տեղեկատվության կառուցվածքն ու բովանդակությունը) և ակտիվ (նրանց, որոնք փոխում են համակարգի կառուցվածքն ու բովանդակությունը, օրինակ՝ հատուկ ծրագրեր)։ Ամենավտանգավորները միտումնավոր սպառնալիքներն են, որոնք գնալով ավելի են համալրվում նոր տեսակներով, ինչը կապված է առաջին հերթին տնտեսության համակարգչայինացման և էլեկտրոնային գործարքների տարածման հետ։ Հարձակվողները տեղում չեն կանգնում, այլ նոր ուղիներ են փնտրում՝ գաղտնի տվյալներ ստանալու և կորուստներ պատճառելու համար։ Մարդիկ փողի և մտավոր սեփականության կորստից պաշտպանվելու համար պետք է ավելի մեծ ուշադրություն դարձնեն տեղեկատվական անվտանգությանը։ Դա հնարավոր է դառնում առաջադեմ տեխնոլոգիաների պայմաններում տեղեկատվության պաշտպանության միջոցների շնորհիվ։

Ինֆորմացիոն անվտանգության հիմնական խնդիրները^[4] խմբագրել

Ինֆորմացիոն անվտանգության խնդիրները կարելի է բաժանել երեք խոշոր խմբերի.

Մարդասիրական խնդիրներ՝ տեղեկատվական անվտանգության խնդիրներ, որոնք ծագում են քաղաքացիների անձնական տվյալների անվերահսկելի օգտագործման և տարածման, անձնական կյանք ներխուժման, զրպարտության և ինքնության գողության հետ կապված։
Տնտեսական և իրավական խնդիրներ՝ առևտրային և ֆինանսական տեղեկատվության արտահոսքի, աղավաղման և կորստի, ապրանքանիշերի և մտավոր սեփականության գողության, քաղաքացիների ֆինանսական վիճակի մասին տեղեկատվության բացահայտման, արդյունաբերական լրտեսության և հեղինակությանը վնասող նյութերի տարածման հետևանքով առաջացած տեղեկատվական անվտանգության խնդիրներ։
Քաղաքական խնդիրներ՝ տեղեկատվական անվտանգության խնդիրներ, որոնք բխում են տեղեկատվական պատերազմներից, կիբերպատերազմներից և էլեկտրոնային հետախուզությունից՝ ի շահ քաղաքական խմբերի, պետական գաղտնիքները խախտող, կարևոր պաշտպանական, տրանսպորտային և արդյունաբերական օբյեկտների տեղեկատվական համակարգերի վրա հարձակումներ, թերի տեղեկատվություն և ղեկավարների ապատեղեկատվություն։

Վերջին տարիներին տեղեկատվական անվտանգության խնդիրները համալրեցին այնպիսի մարտահրավերներ, ինչպիսիք են.

հուսալի համակարգերի, թվային ստորագրությունների, էլեկտրոնային ընտրությունների, գնումների և վճարումների մշակում և ներդրում,
նույնականացման առաջադեմ միջոցների ստեղծում և ներդրում (կենսաչափական և այլն),
հուսալիության և ճկունության նոր մեթոդների մշակում և ներդրում (կլաստերավորման նորարարական տեխնոլոգիաների վիրտուալացում և այլն),
անլար կապերի, շարժական սարքերի և «խելացի» էլեկտրոնիկայի պաշտպանություն,
վեբ ծառայությունների և «ամպային» տեխնոլոգիաների ապահովում,
պաշտպանություն վիրուսներից և հաքերային հարձակումներից, որոնք ուղղված են կոնկրետ ձեռնարկություններին,
նոր կայուն կոդավորման համակարգերի մշակում,
պայքարել «սև» PR-ի, խարդախության և ապատեղեկատվության ժամանակակից բարդ մեթոդների դեմ թվային տարածքում։

Ինֆորմացիոն անվտանգության սպառնալիքը^[5] խմբագրել

Ինֆորմացիոն (համակարգչային) անվտանգության սպառնալիքները տարբեր գործողություններ են, որոնք կարող են հանգեցնել տեղեկատվական անվտանգության վիճակի խախտման։ Այլ կերպ ասած, դրանք պոտենցիալ հնարավոր իրադարձություններ, գործընթացներ կամ գործողություններ են, որոնք կարող են վնասել տեղեկատվական և համակարգչային համակարգերին։ Տեղեկատվական անվտանգության սպառնալիքները կարելի է բաժանել երկու տեսակի՝ բնական և արհեստական։ Բնական երևույթները ներառում են այնպիսի բնական երևույթներ, որոնք կախված չեն մարդուց, ինչպիսիք են փոթորիկները, ջրհեղեղները, հրդեհները և այլն։ Տեխնածին սպառնալիքներն ուղղակիորեն կախված են անձից և կարող են լինել ակամա կամ ոչ ակամա։

Ակամա սպառնալիքներն առաջանում են անզգուշությունից, անուշադրության և անտեղյակությունից։ Նման սպառնալիքների օրինակ կարող է լինել ծրագրերի տեղադրումը, որոնք նախատեսված չեն շահագործման համար և ապագայում խաթարում են համակարգի աշխատանքը, ինչը հանգեցնում է տեղեկատվության կորստի։

Ոչ ակամա սպառնալիքները, ի տարբերություն նախորդների, դիտավորյալ են ստեղծվում։ Դրանք ներառում են կիբերհանցագործների հարձակումները ինչպես դրսից, այնպես էլ ներսից։ Այս տեսակի սպառնալիքի իրականացման արդյունքը մարդկային միջոցների և մտավոր սեփականության կորուստն է։

Տեղեկատվական անվտանգության սպառնալիքների դասակարգում խմբագրել

Կախված դասակարգման տարբեր մեթոդներից՝ տեղեկատվական անվտանգությանը սպառնացող բոլոր հնարավոր սպառնալիքները կարելի է բաժանել հետևյալ հիմնական ենթախմբերի.

Անպատշաճ բովանդակություն
Չլիազորված մուտք
Տեղեկատվության արտահոսք
Տվյալների կորուստ
Խարդախություն
Կիբերպատերազմ
Կիբեր ահաբեկչություն.

Անպատշաճ բովանդակություն խմբագրել

Անպատշաճ բովանդակություն է համարվում ոչ միայն վնասակար կոդը, պոտենցիալ վտանգավոր ծրագրերը և սպամը (այսինքն՝ ուղղակիորեն ստեղծված տեղեկատվություն ոչնչացնելու կամ գողանալու համար), այլ նաև օրենքով արգելված կայքերը, ինչպես նաև անցանկալի ռեսուրսները, որոնք չեն համապատասխանում սպառողի տարիքին։

Չլիազորված մուտք խմբագրել

Տեղեկություններ դիտելը այն աշխատողի կողմից, ով չունի այն օգտագործելու թույլտվություն՝ գերազանցելով պաշտոնական լիազորությունները։ Չլիազորված մուտքը հանգեցնում է տեղեկատվության արտահոսքի։ Կախված նրանից, թե ինչ տվյալներ են և որտեղ են դրանք պահվում, արտահոսքերը կարող են կազմակերպվել տարբեր ձևերով՝ մասնավորապես կայքերի վրա հարձակումների, հաքերային ծրագրերի, ցանցի միջոցով տվյալների գաղտնալսման, չարտոնված ծրագրերի միջոցով։

Տեղեկատվության արտահոսք խմբագրել

Տեղեկատվության արտահոսքը կարելի է բաժանել երկու տեսակի՝ կանխամտածված և պատահական։ Պատահական արտահոսքերը պայմանավորված են ապարատային, ծրագրային ապահովման և անձնակազմի սխալներով։ Իր հերթին մտածված արտահոսքը կազմակերպվում է տվյալներին հասանելիություն ձեռք բերելու, վնաս պատճառելու նպատակով։

Տվյալների կորուստ խմբագրել

Տվյալների կորուստը կարելի է համարել տեղեկատվական անվտանգության հիմնական սպառնալիքներից մեկը։ Տեղեկատվության ամբողջականության խախտման պատճառ կարող է լինել սարքավորումների անսարքությունը կամ մարդկանց կանխամտածված գործողությունները՝ լինեն թե՛ աշխատողներ, թե՛ ներխուժողներ։

Խարդախություն խմբագրել

Ոչ պակաս վտանգավոր սպառնալիք է համարվում տեղեկատվական տեխնոլոգիաների օգտագործմամբ կատարված խարդախությունը (ռուս․ фрод): Խարդախությունը ներառում է ոչ միայն կրեդիտ քարտերի հետ կապված մանիպուլյացիան, այսպես կոչված «քարտավորում» (անգլ․՝ carding), և առցանց բանկերի կոտրելը, այլ նաև ներքին «фрод»: Այս տնտեսական հանցագործությունների նպատակն է շրջանցել օրենքները, անվտանգության քաղաքականությունը կամ կանոնակարգերը,ինչպես նաև սեփականության յուրացումը։

Կիբերպատերազմ և Կիբեր ահաբեկչություն խմբագրել

Ամեն տարի ահաբեկչական սպառնալիքը մեծանում է ամբողջ աշխարհում՝ աստիճանաբար տեղափոխվելով վիրտուալ աշխարհ։ Այսօր ոչ ոքի չի զարմացնում տարբեր ձեռնարկությունների ավտոմատացված գործընթացների կառավարման համակարգերի (APCS) վրա հարձակումների հնարավորությունը։ Բայց նման հարձակումները չեն իրականացվում առանց նախնական հետախուզության, որի համար օգտագործվում է կիբերլրտեսություն, որն իր հերթին օգնում է հավաքել անհրաժեշտ տվյալները։ Կա նաև «տեղեկատվական պատերազմ» (անգլ․՝ information war) հասկացություն։ Այն տարբերվում է սովորական պատերազմից նրանով, որ որպես զենք հանդիսանում է մանրակրկիտ պատրաստված տեղեկատվությունը։

Ինֆորմացիոն ռեսուրսների պաշտպանությունը^[3] խմբագրել

Զուգահեռաբար տեղեկատվության փոփոխման և մշակման մեթոդների մշակմանը, զարգանում են նաև դրա պաշտպանության ուղիները։ Եթե նախկինում այս խնդիրն այդպես ակնհայտ ու համատարած չէր, ապա այժմ դրվում է ազգային անվտանգության հարցը տեղեկատվական ռեսուրսների միջոցով։ Իրականում, կատարյալ պաշտպանության մեթոդներ չեն գտնվել, շատ առումներով, գոյություն ունեցող համակարգի անվտանգության մեխանիզմների կառուցման հաջողությունը կախված կլինի նրա անհատական բնութագրերից, որոնց հաշվառումը վատ է ձևակերպված։ Հետևաբար, տեղեկատվական անվտանգությունը հաճախ դիտվում է որպես ոչ պաշտոնական առաջարկությունների մի շարք այս կամ այն տեսակի տեղեկատվական անվտանգության համակարգերի կառուցում։

Խնդիրն ունի երկու հիմնական լուծում.

Առաջինը պետական տեղեկատվության գաղտնիության պաշտպանությունն է, որը կապահովի հաքերային հարձակման և չարտոնված մուտքի անհնարինությունը։ Այս դեպքում գաղտնի տեղեկատվություն նշանակում է հանրային բնույթի սահմանափակ հասանելիության տեղեկատվություն (առևտրային գաղտնիք, կուսակցական գաղտնիք և այլն)։

Երկրորդը ներառում է այն տեղեկատվությունից պաշտպանությունը, որը վերջերս ձեռք է բերել միջազգային մասշտաբ և ռազմավարական բնույթ։ Միևնույն ժամանակ, կան այսպես կոչված տեղեկատվական զենքերից (ազդեցություն) պաշտպանության երեք հիմնական ոլորտներ.

տեխնիկական համակարգերի և միջոցների համար.
հասարակություն;
մարդու հոգեկանը.

Ցանցային անվտանգության ծառայությունները իրենցից ներկայացնում են ինֆորմացիայի պաշտպանության մեխանիզմներ, որոնք հաշվվում և մշակվում են տեղեկատվության պաշտպանության համակարգերում և ցանցերում։

Ինժեներական մեթոդները նպատակ ունեն ապահովել տեղեկատվության պաշտպանություն տեխնիկական ուղիներով արտահոսքից, օրինակ՝ էլեկտրամագնիսական ճառագայթման հաշվին կամ խոսքի տեղեկատվության գաղտնալսում։

Ստեղծվում են տեղեկատվության պաշտպանության իրավական և կազմակերպչական մեթոդների հետ կապված տարբեր միջոցառումներ, կազմակերպված կարգավորելու տեղեկատվական անվտանգության դաշտի ապահովումը։

Տեղեկատվական անվտանգության ապահովման տեսական մեթոդները իրենց հերթին լուծում են երկու հիմնական խնդիր։ Առաջինը տեղեկատվության անվտանգության տրամադրման հետ կապված տարատեսակ գործընթացների ֆորմալացումն է։ Օրինակ, պաշտոնական մուտքի վերահսկման մոդելներ թույլ են տալիս խստորեն նկարագրել համակարգի բոլոր հնարավոր տեղեկատվական հոսքերը և, հետևաբար, երաշխավորել անվտանգության պահանջվող հատկությունների կատարումը։ Այստեղից անմիջապես հաջորդում է երկրորդ խնդիրը՝ կոռեկտության խիստ հիմնավորում և տեղեկատվության տրամադրման համակարգերի գործունեության համապատասխանությունը անվտանգությունը վերլուծելիս։ Նման առաջադրանք առաջանում է, օրինակ, տեղեկատվական անվտանգության համակարգերի ավտոմատացված սերտիֆիկացման ժամանակ։

Եզրակացություն խմբագրել

Տեղեկատվականացման գործընթացը վերաբերում է մարդկային գործունեության գրեթե բոլոր ոլորտներին։ Տեղեկատվական նոր տեխնոլոգիաների գալուստով տեղեկատվությունը սկսում է դառնալ պետությունների, իրավաբանական անձանց, հասարակական միավորումների և քաղաքացիների գործունեությունը ապահովելու անհրաժեշտ հատկանիշ։ Տարբեր մակարդակներում ընդունված շատ որոշումներ՝ սկսած պետությունների ղեկավարներից մինչև սովորական քաղաքացիներ, կախված են տեղեկատվության որակից և հուսալիությունից, ինչպես նաև դրա փոխանցման արագությունից։

Տեղեկատվական անվտանգության ապահովումը պետությունների առաջ ծառացած առաջատար խնդիրներից է, քանի որ տեղեկատվական միջավայրը շատ բարդ մեխանիզմ է, որն ապահովում է էլեկտրոնային սարքավորումների, ծրագրային ապահովման և այլնի կայուն աշխատանքը։

Խնդիրը հաջողությամբ հաղթահարելու համար անհրաժեշտ է գործել օրենսդրական, ծրագրային-տեխնիկական, կազմակերպչական և գաղափարական մակարդակներում։ Խնդրի միայն համապարփակ լուծումը կբերի ցանկալի արդյունքի և կապահովի տեղեկատվական ռեսուրսների պաշտպանության պատշաճ մակարդակը^[3]։

Տեղեկատվական անվտանգության ապահովման միջոցառումները պետք է մշտապես մշակվեն և իրականացվեն։ Այս հարցի լուծմանը պետք է մոտենալ համապարփակ և տալ բավականին մեծ կարևորություն։ Միայն այս մոտեցումը կկանխի տվյալների արտահոսքը, այլ ոչ թե կպայքարի դրանց հետևանքների դեմ^[6]։

Ծանոթագրություններ խմբագրել

↑ «Информационная безопасность». pirit.biz. Վերցված է 2021 թ․ նոյեմբերի 20-ին.
↑ «Кибербезопасность». Хабр (ռուսերեն). Վերցված է 2021 թ․ նոյեմբերի 20-ին.
↑ ^3,0 ^3,1 ^3,2 «СПОСОБЫ ЗАЩИТЫ ИНФОРМАЦИОННЫХ РЕСУРСОВ» (PDF).
↑ «проблемы информационной безопасност։ ARinteg». arinteg.ru. Վերցված է 2021 թ․ նոյեմբերի 20-ին.
↑ «Угрозы информационной безопасности». Anti-Malware.ru (ռուսերեն). Վերցված է 2021 թ․ նոյեմբերի 20-ին.
↑ «Почему важна информационная безопасность организации и методы ее обеспечения». bitcop.ru (ռուսերեն). 2020 թ․ օգոստոսի 4. Վերցված է 2021 թ․ նոյեմբերի 20-ին.

[1] «Информационная безопасность». pirit.biz. Վերցված է 2021 թ․ նոյեմբերի 20-ին.

[2] «Кибербезопасность». Хабр (ռուսերեն). Վերցված է 2021 թ․ նոյեմբերի 20-ին.

[:02-3] 3,0 ^3,1 ^3,2 «СПОСОБЫ ЗАЩИТЫ ИНФОРМАЦИОННЫХ РЕСУРСОВ» (PDF).

[4] «проблемы информационной безопасност։ ARinteg». arinteg.ru. Վերցված է 2021 թ․ նոյեմբերի 20-ին.

[5] «Угрозы информационной безопасности». Anti-Malware.ru (ռուսերեն). Վերցված է 2021 թ․ նոյեմբերի 20-ին.

[6] «Почему важна информационная безопасность организации и методы ее обеспечения». bitcop.ru (ռուսերեն). 2020 թ․ օգոստոսի 4. Վերցված է 2021 թ․ նոյեմբերի 20-ին.

[1]

[2]

[3]

[4]

[5]

[6]