Информационная безопасность в современном цифровом обществе

Введение
В развитии высоких технологий в наши дни в мире все организации больше зависят от своих информационных систем. Общественность начинает беспокоиться об использовании системы в сохранении их информации, данных и особенно их личной информации. Кроме того, угроза со стороны системных хакеров и кражи личных данных добавила их озабоченность по поводу использования информационной системы, поскольку в настоящее время так много хакеров со всего мира, кражи данных из-за которых становятся всё более массовыми. Именно поэтому многие предприятия или рядовые пользователи будут идентифицировать свою информацию как одну из важных концепций, которую им необходимо защитить. Это и обуславливает актуальность выбранной темы.
Взлом важных данных, сбои в сети, компьютерные вирусы и другие угрозы, связанных с информационной безопасностью, влияют на нашу жизнь, причем это варьируется от незначительных неудобств до серьезных инцидентов. В современном цифровом обществе со стороны информации имеются различные серьезные угрозы, могут быть вызваны небрежностью и уязвимостью, либо непреднамеренными авариями. Тем не менее, они также могут быть запланированы, например, хакеры захотели взломать или получить доступ к персональным данным пользователей.
В 2018 году появились статистические данные, что уже более 4 млрд. человек на Земле имеют доступ в Интернет, что увеличивает важность парадигмы обеспечения информационной безопасности. Хакеры используются множество уловок, чтобы получить доступ к многочисленным данные пользователей или организаций. Например, они могут найти в телефоне или компьютере уязвимость и запустить удаленно вирус, либо прислать «зараженное» письмо на электронную почту, где человек откроет вложение в нём и запустит вредоносную программу, которая может либо вымогать денежные средства, либо подчинить компьютер чужой воле. И возникает тогда резонный вопрос – а как же обеспечить состояние информационной безопасности в современном цифровом обществе? Для этого сейчас разрабатываются различные мероприятия, как, например, программы, обеспечивающие защиту от фишинга, вирусов и прочих нежелательных действий с информацией; также в Интернете появляются постоянно статьи, побуждающие пользователей следить за правильностью использования информации и многое другое, что в целом позволяет обеспечить элемент информационной безопасности. Но в настоящее время специалисты рассматривают именно криптографию как один из самых надежных способов обеспечения информационной безопасности.
Целью работы является рассмотрение аспекта информационной безопасности в современном цифровом обществе.
Задачи работы:
1. Изучить и систематизировать научно-методическую литературу по рассматриваемой теме;
2. Представить общую характеристику концепта информационной безопасности;
3. Рассмотреть криптографию как способ обеспечения информационной безопасности;
4. Проанализировать реализацию концепта информационной безопасности с помощью криптографии.
В работе были использованы такие методы исследования, как анализ, синтез, изучение и обобщение.
Методологической основной работы является положение, что криптография является одним из самых эффективных инструментов обеспечения информационной безопасности.


1. Общая характеристика концепта информационной безопасности
Информационная безопасность, иногда сокращенная до InfoSec в современной литературе, - это практика предотвращения несанкционированного доступа, использования, раскрытия, нарушения, изменения, проверки, регистрации или уничтожения информации. Информация или данные могут принимать любую форму, например, быть в электронной или физической форме (напечатанной на материальном носителе). Первоочередной задачей информационной безопасности является сбалансированная защита конфиденциальности, целостности и доступности данных, при этом акцент делается на эффективной реализации политики без снижения производительности организации. Это достигается в значительной степени благодаря многоэтапному процессу управления рисками, который идентифицирует активы, источники угроз, уязвимости, потенциальное воздействие и возможные меры контроля, а затем оценивает эффективность плана управления рисками.
Чтобы стандартизировать процесс информационной безопасности в современном цифровом обществе, ученые и специалисты по всему миру сотрудничают и стремятся установить базовые рекомендации, политики и отраслевые стандарты в отношении пароля, антивирусного программного обеспечения, брандмауэра, программного обеспечения для шифрования, юридической ответственности и стандартов обучения пользователей, чтобы обеспечить максимальную информационную защиту. Эта стандартизация может быть далее обусловлена ​​широким спектром законов и правил, которые влияют на доступ к данным, их обработку, хранение и передачу данных. Однако реализация любых стандартов и руководств внутри организации может иметь ограниченный эффект, если культура непрерывного совершенствования не будет принята. Но стоит отметить, что в каждой стране наблюдаются свои параметры, относящиеся к информационной безопасности, поэтому в настоящее время, к сожалению, обеспечить нечто единое в этом отношении не удается.
Теперь же хотелось бы рассмотреть, как различные специалисты и организации дают определение информационной безопасности. Ниже приводятся различные определения информационной безопасности, обобщенные из разных источников:
1. Информационная безопасность – это сохранение конфиденциальности, целостности и доступности информации. Кроме того, могут быть задействованы другие свойства, такие как подлинность, подотчетность, неотрицательность и надежность. (ИСО / МЭК 27000: 2009).
2. Информационная безопасность – это защита информации и информационных систем от несанкционированного доступа, использования, раскрытия, нарушения, модификации или уничтожения для обеспечения конфиденциальности, целостности и доступности. (CNSS – Комитет системы национальной безопасности, 2010).
3. Информационная безопасность обеспечивает, чтобы только авторизованные пользователи (обеспечивается конфиденциальность) имели доступ к точной и полной информации (обеспечивается целостность) по мере необходимости (обеспечивается доступность). (ISACA – Международная организация по IT-аудиту, 2008).
4. Информационная безопасность - это дисциплина управления рисками, задачей которой является управление стоимостью информационного риска для бизнеса. (Брюс Шнайер, 2014).
5. Информационная безопасность – такое состояние рассматриваемой системы, при котором она, с одной стороны, способна противостоять дестабилизирующему воздействию внешних и внутренних информационных угроз, а с другой – ее функционирование не создает информационных угроз для элементов самой системы и внешней среды. (Стратегия национальной безопасности Российской Федерации до 2020 года).
Можно с уверенностью сказать, что информационная безопасность - это многопрофильная область обучения и профессиональной деятельности, которая занимается разработкой и внедрением механизмов обеспечения безопасности всех доступных типов (технических, организационных, ориентированных на человека и юридических), с тем чтобы сохранить информацию во всех ее местоположениях (в организации, на бумаге, с использованием Интернета или отдельно cloud-computing) и, следовательно, информационные системы, в которых информация создается, обрабатывается, хранится, передается и уничтожается, без угроз. В целом, угрозы информации и информационным системам могут быть классифицированы, и соответствующая цель безопасности может быть определена для каждой категории угрозы. Набор целей безопасности, определенных в результате анализа угроз, должен периодически пересматриваться для обеспечения его адекватности и соответствия развивающейся среде, особенно учитывая, как быстро развивается современное цифровое общество. В настоящее время соответствующий набор целей безопасности в отношении существования информации может включать: конфиденциальность, целостность, доступность, аутентичность и надежность, непререкаемость, подотчетность и проверяемость информации.
Хотелось бы подчеркнуть, что для парадигмы информационной безопасности имеется 4 своеобразных базисных элемента, которые и обеспечивают её функциональную работоспособность:
1. Конфиденциальность информации;
2. Целостность информации;
3. Доступность информации;
4. Неотрекаемость информации.
Начнем рассмотрение элементов обеспечения информационной безопасности с параметра её конфиденциальности. В информационной безопасности конфиденциальность является информационной собственностью, причем информация не предоставляется или не раскрывается неавторизованным физическим лицам, организациям или процессам. Скорее, конфиденциальность - это компонент, который реализуется для защиты данных от неавторизованных пользователей, либо от хакеров, которые преступным путем хотят завладеть информацией. Примеры нарушения конфиденциальности угрожаемых информации включают кражу ноутбуков, кражу паролей, кражу данных банковских транзакций и др.
В информационной безопасности целостность данных означает поддержание и обеспечение точности и полноты данных на протяжении всего жизненного цикла. Это означает, что данные не могут быть изменены неавторизованным или необнаруженным образом. Это не то же самое, что ссылочная целостность в базах данных, хотя это можно рассматривать как особый случай согласованности, понятный в классической модели обработки транзакций ACID. Системы информационной безопасности обычно обеспечивают целостность сообщений в дополнение к конфиденциальности данных.
Для того, чтобы любая информационная система служила своей цели, информация должна быть доступна, когда это необходимо. Это означает, что компьютерные системы, используемые для хранения и обработки информации, элементы управления безопасностью, используемые для ее защиты, и каналы связи, используемые для доступа к ней, должны функционировать правильно

. Системы высокой доступности стремятся оставаться доступными в любое время, предотвращая сбои в обслуживании из-за сбоев питания, сбоев оборудования и модернизации системы. Например, человеку доступен доступ в Интернет 24/7, где он может получить множество различных данных. Обеспечение доступности также включает параметр предотвращения атак типа «отказ в обслуживании», что иногда может приводить к тому, что в эту систему может вклиниться третье лицо-злоумышленник, и похитить данные.
В сфере информационной безопасности доступность часто может рассматриваться как одна из важнейших частей успешной системы обеспечения информационной безопасности. В конечном итоге все пользователи должны иметь возможность проделывать различную работу с информацией с максимальной защитой, чтобы защитить и свои данные, и данные организаций, на которые они могут работать. Стоит проанализировать и тот концепт, что несмотря на всю важность положения обеспечения частичного или полного доступа к информации, руководители многих организаций часто не понимают технической стороны информационной безопасности и рассматривают доступность информации как нечто, что можно легко обеспечить, хотя для того, чтобы обеспечить информационную безопасность данных, особенно в организации, нужно сотрудничество множества рабочих групп, как, например, программисты, специалисты по обеспечению информационной безопасности и др.
Неотрекаемость информации подразумевает намерение выполнить свои обязательства по контракту. Это также предполагает, что одна сторона транзакции не может отрицать получение транзакции, а другая сторона не может отказать в совершении сделки. Важно отметить, что, хотя технологии, такие как криптографические системы, могут помочь в усилиях по отказу от нежелательных операций, зачастую параметр неотрекаемости изменить нельзя.
Например, недостаточно показать, что сообщение соответствует цифровой подписи, подписанной с закрытым ключом отправителя, и, таким образом, только отправитель мог отправить сообщение, и никто другой не мог бы изменить его в пути (целостность данных). Предполагаемый отправитель мог в свою очередь продемонстрировать, что алгоритм цифровой подписи является уязвимым или ошибочным, или вообще может утверждать, что его ключ подписи был скомпрометирован. Эти нарушения могут или не могут быть связаны с отправителем, и такие утверждения могут освобождать или не освобождать отправителя от ответственности, но это утверждение аннулирует требование о том, что подпись обязательно подтверждает подлинность и целостность. Таким образом, отправитель может отказаться от сообщения, поскольку подлинность и целостность являются предпосылками для отказа от отказа.
2. Криптография как способ обеспечения информационной безопасности
Криптография используется в информационной безопасности для защиты информации от несанкционированного доступа, причем отметим, что она может быть защищена не только при непосредственном использовании или пи запросе, но также и находясь в различных архивах. И в настоящее время, чтобы обеспечить элемент информационной безопасности в современном цифровом обществе, используется криптография с симметричным ключом и криптография с открытым ключом.
Криптография с симметричным ключом относится к методам шифрования, в которых как отправитель, так и получатель используют один и тот же ключ (или, реже, в котором их ключи различны, но связаны легко вычислимым образом). Это был единственный вид шифрования, общеизвестный до июня 1976 года. Стандарт шифрования данных (DES) и стандарт расширенного шифрования (AES) являются блочными схемами шифрования, которые были назначены правительством США (хотя назначение DES было окончательно отменено после принятия AES), поэтому можно сделать вывод, что криптография с симметричным ключом, по большей части, контролировалась и разрабатывалась системой безопасности США. Несмотря на то, что криптография с симметричным ключом не используется в системах серьезной защиты данных, она остается по-прежнему довольно популярной для использования физическими лицами. Параметр её использования можно найти в широком диапазоне приложений: от шифрования ATM до обеспечения конфиденциальности электронной почты и безопасного удаленного доступа. Многие другие блок-шифры были разработаны и выпущены с существенным изменением качества со временем, учитывая развитие компьютерных систем и Интернета. Но также встречаются шифры, которые сейчас больше не используются ввиду своей несостоятельной функциональности, например, FEAL.
Потоковые шифры, в отличие от типа «block», создают произвольно длинный поток ключевого материала, который сочетается с обычным текстом, побитом или символьным символом, несколько похожим на одноразовый блок. В поточном шифре выходной поток создается на основе скрытого внутреннего состояния, которое изменяется при работе шифрования. Это внутреннее состояние изначально настраивается с использованием секретного ключевого материала. Например, сейчас очень часто используют потоковый шифр RC4, помогающий защитить различные информационные системы от несанкционированного доступа. Более того, блочные шифры могут использоваться как потоковые шифры.
Криптографические хеш-функции являются третьим типом криптографического алгоритма, стоящего для обязательной информационной защиты. Они принимают сообщение любой длины в качестве входных данных и выводят короткий хэш с фиксированной длиной, который может использоваться, к примеру, для цифровой подписи. Для защищенных хеш-функций злоумышленник не может найти два сообщения, которые создают один и тот же хэш. Здесь можно привести в пример и MD4 - давно используемая хеш-функция, которая теперь заменена другой с более расширенным функционалом. Такой хеш-функцией теперь является MD5 – усиленный вариант MD4, также широко используется. Проанализировав развитие криптографии и побочных систем, было выяснено, что плодотворная работа в этой сфере проводится Агентством национальной безопасности США, которое разработало серию алгоритмов Secure Hash Algorithm MD5-подобных хеш-функций:
1. SHA-0 был ошибочным алгоритмом, который агентство в своих операциях теперь не использует;
2. SHA-1 широко развернут и более безопасен, чем MD5, но криптоаналитики выявили случаи атаки против него;
3. Семейство алгоритмов SHA-2 улучшает параметр функциональности SHA-1, но оно еще не применяется в большинстве стран мира в отношении информационной безопасности.
Именно поэтому США совместно со специалистами по информационной безопасности таких стран, как Германия, Франция и Япония разработали новые стандарт SHA-3. Заметим еще, что в отличие от блокированных и поточных шифров, которые являются обратимыми, криптографические хеш-функции создают хешированный вывод, который не может использоваться для извлечения исходных входных данных. Криптографические хэш-функции используются для проверки подлинности данных, полученных из ненадежного источника, или для добавления уровня безопасности, что прямым образом указывает на подтверждение тезиса, что криптография действительно является инструментом для обеспечения парадигмы информационной безопасности в современном цифровом обществе.
Криптосистемы с симметричным ключом используют один и тот же ключ для шифрования и дешифрования сообщения, хотя сообщение или группа сообщений могут иметь другой ключ. Но несмотря на кажущуюся надежность криптосистем с симметричным ключом, имеется и существенный недостаток, выражающийся в том, что в этих системах присутствует ключевое управление, необходимое для безопасного использования. Каждая отдельная пара сообщающихся сторон в обмене информацией должна, в идеале, делиться другим ключом и, возможно, такое должно быть для каждого обменного текста. Количество необходимых ключей увеличивается как квадрат числа членов сети, что очень быстро требует сложных схем управления ключами, чтобы сохранить их целостными и секретными. Трудность безопасного установления секретного ключа между двумя сообщающимися сторонами, когда безопасный канал уже не существует между ними, также является значительным практическим препятствием для пользователей криптографии в реальном мире.
Для реализации элемента информационной безопасности предлагается также и использование криптографии с открытым ключом. В новаторском документе 1976 года Уитфилд Диффи и Мартин Хеллман предложили концепцию криптографии с открытым ключом (также в более общем смысле называемой асимметричным ключом), в которой используются два разных, но связанных с математикой ключей - открытый ключ и закрытый ключ. Система открытых ключей построена таким образом, что вычисление одного ключа («закрытый ключ») является вычислительно неосуществимым от другого («открытый ключ»), хотя они обязательно связаны. Вместо этого оба ключа генерируются тайно, как взаимосвязанная пара. Историк Дэвид Кан описал криптографию с открытым ключом как «самую революционную новую концепцию сродни полиальфабическому шифрованию».
Подчеркнем, что криптография с общим ключом также может использоваться для реализации схем цифровой подписи, что подтверждает важность использования данного вида криптографии для информационной безопасности, учитывая необходимость в настоящее время транзакций с обязательным использованием электронной подписи. Цифровая подпись напоминает обычную подпись, потому что у них обоих есть характеристика того, чтобы быть легкой и запоминающейся для пользователя, чтобы впоследствии её воспроизвести, однако её трудно кого-либо еще подделать.
Цифровые подписи также могут быть постоянно привязаны к содержимому подписанного сообщения; они не могут быть «перемещены» из одного документа в другой, поскольку любая попытка подобного будет обнаружена