Page 6 - 4394
P. 6
впевнений, що він відпускає товар, який дійсно сплачений, а
покупець повинен мати гарантії, що він, по-перше, отримає
сплачений товар, а по-друге, номер його кредитної картки не стане
нікому відомий;
фірма відкриває свій сайт в Internet; у якийсь момент вміст
сайту замінюється новим або виникає такий потік і такий спосіб
звернень до сайту, що сервер не справляється з обробкою запитів; у
результаті звичайні відвідувачі сайту або бачать інформацію, що не
має до фірми ніякого відношення, або просто не можуть потрапити
на сайт фірми.
Розглянемо основні поняття, що відносяться до інформаційної
безпеки, і їх взаємозв'язок.
Власник визначає безліч інформаційних цінностей, які мають
бути захищені від різного роду атак. Атаки здійснюються
противниками або опонентами, що використовують різні
уразливості в цінностях, що захищаються. Основними
порушеннями безпеки є розкриття інформаційних цінностей
(втрата конфіденційності), їх неавторизована модифікація (втрата
цілісності) або неавторизована втрата доступу до цих цінностей
(втрата доступності).
Власники інформаційних цінностей аналізують уразливості
ресурсів, що захищаються, і можливі атаки, які можуть мати місце
в конкретному оточенні. У результаті такого аналізу визначаються
ризики для даного набору інформаційних цінностей. Цей аналіз дає
вибір контрзаходів, який задається політикою безпеки і
забезпечується за допомогою механізмів і сервісів безпеки. Слід
враховувати, що окремі уразливості можуть зберегтися і після
вживання механізмів та сервісів безпеки. Політика безпеки
визначає узгоджену сукупність механізмів і сервісів безпеки,
адекватну цінностям, що захищаються, і оточенню, в якому вони
використовуються.
На рисунку 1.1 показано взаємозв'язок понять інформаційної
безпеки, що розглянуті вище.
Дамо наступні визначення.
Уразливість - слабке місце в системі, з використанням якого
може бути здійснена атака.
Ризик - вірогідність того, що конкретна атака буде здійснена з
використанням конкретної уразливості. Нарешті, кожна
6