Page 6 - 4394
P. 6

впевнений,  що  він  відпускає  товар,  який  дійсно  сплачений,  а
         покупець  повинен  мати  гарантії,  що  він,  по-перше,  отримає
         сплачений товар, а по-друге, номер його кредитної картки не стане
         нікому відомий;

                   фірма відкриває свій сайт в Internet; у якийсь момент вміст
         сайту  замінюється  новим  або  виникає  такий  потік  і  такий  спосіб

         звернень до сайту, що сервер не справляється з обробкою запитів; у
         результаті звичайні відвідувачі сайту або бачать інформацію, що не
         має до фірми ніякого відношення, або просто не можуть потрапити
         на сайт фірми.

                 Розглянемо основні поняття, що відносяться до інформаційної
         безпеки, і їх взаємозв'язок.
                 Власник визначає безліч інформаційних цінностей, які мають

         бути  захищені  від  різного  роду  атак.  Атаки  здійснюються
         противниками  або  опонентами,  що  використовують  різні
         уразливості          в     цінностях,         що       захищаються.           Основними
         порушеннями  безпеки  є  розкриття  інформаційних  цінностей

         (втрата  конфіденційності),  їх  неавторизована  модифікація  (втрата
         цілісності)  або  неавторизована  втрата  доступу  до  цих  цінностей
         (втрата доступності).

                 Власники  інформаційних  цінностей  аналізують  уразливості
         ресурсів, що захищаються, і можливі атаки, які можуть мати місце
         в конкретному оточенні. У результаті такого аналізу визначаються
         ризики для даного набору інформаційних цінностей. Цей аналіз дає

         вибір  контрзаходів,  який  задається  політикою  безпеки  і
         забезпечується  за  допомогою  механізмів  і  сервісів  безпеки.  Слід
         враховувати,  що  окремі  уразливості  можуть  зберегтися  і  після

         вживання  механізмів  та  сервісів  безпеки.  Політика  безпеки
         визначає  узгоджену  сукупність  механізмів  і  сервісів  безпеки,
         адекватну  цінностям,  що  захищаються,  і  оточенню,  в  якому  вони

         використовуються.
                 На рисунку 1.1 показано взаємозв'язок понять інформаційної
         безпеки, що розглянуті вище.

                 Дамо наступні визначення.
                 Уразливість - слабке місце в системі, з використанням якого
         може бути здійснена атака.
                 Ризик - вірогідність того, що конкретна атака буде здійснена з

         використанням конкретної уразливості. Нарешті, кожна



                                                       6
   1   2   3   4   5   6   7   8   9   10   11