Ընդհանուր առմամբ, անվտանգությունը կարելի է բնութագրել որպես վտանգներից զերծ մի միջավայր, որը պաշպանված է կորուստների ռիսկերից, վնասներից և անցանկալի փոփոխություններից/միջամտությունից կամ այլ տեսակի վտանգներից։

Անվտանգության դասական օրինակ է ազգային անվտանգությունը, որը բազմաշերտ գործառույթների բարդ համակարգեր է կիրառում՝ պետության, նրա ակտիվների, բնական և մտավոր ռեսուրսների ու մարդկանց ինքնիշխանությունը պաշտպանելու համար:

Որևէ ձեռնարկության կամ ընկերության անվտանգության մակարդակն ապահովելու համար անվտանգության պատասխանատուները իրենց ընկերություններում ներդնում են անվտնագության համակարգեր։

Անվտանգությունն ըստ հավուր պատշաճի ապահովելու համար կիրառվում են տարբեր ռազմավարությունների միաժամանակյա կամ միմյանց հետ համակցված մեթոդներ և գործառույթներ։ Այդ ռազմավարություններից շատերն ունեն միայն իրենց հատուկ գործառույթները, սակայն միևնույն ժամանակ կարող են ունենալ ընդհանուր էլեմենտներ։ Տեղեկատվական անվտանգության կառավարիչների դերն է համոզվել, որ ընտրված ռազմավարություններից յուրաքանչյուրը նախագծված է, պլանավորված, կազմակերպված է, համալրված է, ուղղորդված է և կառավարվում էին, այնպես, որ դրանց ամբողջականությունը թույլ է տալիս նվազեցնել և կանխարգելել ՏԱ ռիսկերը։

Անվտանգության տեսակներն են․

  • Ֆիզիկական անվտանգությունը – մարդկանց, ֆիզիկական ակտիվների, աշխատատեղերի պաշտպանությունը տարտեսակ սպառնալիքներից՝ այդ թվում հրդեհներից, կողմնակի անձնանց չարտոնված մուտքից և բնական աղետներից։
  • Աշխատանքային պրոցեսների անվտագություն – կազմակերպության աշխատանքային գործառույթների պաշպանված իրականացումը՝ առանց դրանց ընդհատումների։
  • Տեղեկատվական անվտանգություն – ընկերության կապի միջոցների, տեխնոլոգիաների, տվյալների և դրանց կիրառությամբ ընկերության առջև դրված նպատակներին հասնելու գործառույթների պաշտպանություն
  • Ցանցային անվտանգություն – Ընկերության ցանցային սարքերի, կապուղիների և տվյալների, ինչպես նաև ցանցային կոմունիկացիայի միջոցով  ընկերության գործառույթների  պաշպանություն։

Նշված բնագավառներից յուրաքանչյուրում ներդված համակարգերը նպաստում են տեղեկատվական անվտանգույան միջոցների և միջոցառումների համընդհանուր պաշպանվածության ուժեղացմանն ու կայունությանը։

Տեղեկատվական անվտանգությունը (այսուհետ՝ ՏԱ) – դա տեղեկատվության և դրա հիմանական բնութագրիչների (գաղտնիություն, ամբողջականություն, հասանելիոյթյուն) պաշպանությունն է, ներառյալ օպերացիոն համակարգերը, ծրագրերը, սարքերը/սարքավորումները, տվյալների շտեմարանները, տվյալների փոխանակման կապուղիները, հավելածների օգտագործման և ՏԱ քաղաքականությունը, վերապատրաստման դասընթացները, իրազեկման միջոցառումները և տեխնոլագիաները։

Նկ․ 1-ում պատկերված են ՏԱ կառավարման ոլորտները, որի առանցքում ՏԱ քաղաքականությունն է։

 

(Նկ․1 – ՏԱ կոմպոնենտները)

 

ՏԵՂԵԿԱՏՎԱԿԱՆ ԱՆՎՏԱՆԳՈՒԹՅԱՆ ԿԱՌՈՒՑՎԱԾՔԸ

ՏԱ կառավարման պորցեսները լավագույնս հասականալու համար անհրաժեշտ է հասկանալ դրա բաղադրիչները, որի ամբողջականությունը արժեք և կարոևրություն է տալիս ընկերությանը։

Համաձայն ԱՄՆ կենտրոնական հետախուզության գրասենյակի կողմից դեռևս 1960-ականներին ընդունած նորմի՝ ՏԱ երեք բաղադրիչներն են․

գաղտնիությունը, ամբողջականությունը հասանելիությունը։

Այս եռանկյունին այսօր համարվում է ժամկետնանց, քանի որ չի համապատախանում ՏՏ զարգացումներին։ Այսօր այս մոդելը ավելի բացազատված և ընդհանրական է ներկայացվում՝ իր մեջ ներառելով ՏԱ պահպանության կրիտիկական այլ բնութագրիչների և պորցեսսների․

  • մասնավորություն(privacy) ,
  • նույնականացում,
  • վավերացում,
  • լիազորություն,
  • հաշվետվողականություն

Ստորև կխոսենք ներկայացված բոլոր բնութագրիչների մասին առավել մանրամասն։

Գաղտնիություն (Confidentiality)

Գաղտնիությունը տեղեկատվության այն բնութագրիչն է, որը սահմանում է դրանից օգտվողների արտոնություններն ու օգտվելու կարգը: Երբ արտոնություն չունեցող անձիք կամ համակարգը կարող է տեսնել տյալ բնութագրիչն ունեցող տեղեկությունը՝ տեղի է ունենամ գաղտնիության խաղտում։ Տեղեկատվության գաղտնիությունն ապահավելու համար կրառում են հետևյալ միջոցները և պայմանները․

  • Տեղեկատվության դասակարգում ըստ գաղտնիության աստիճանի
  • Տեղեկատվության (թվային և թղթային) անվտանգ շտեմարանների կիրառում
  • ՏԱ քաղականության և ծրագրային հավելվածների ներդրում
  • Տեղեկատվության պահառուների/կրողների եւ վերջնական օգտագործողների/օգտագերերի կրթություն/վերապատրաստում
  • Գաղտնագրություն (Cryptography (encryption))

Գաղտնիությունը սերտորեն փոխկապակցված է ՏԱ մեկ այլ բաղադրիչի՝ մասնավորության (privacy) հետ, որի մասին առանձին կխոսենք հետագայում։

Տեղեկատվության գաղտնիությունն ապահովելը ընկերությունում կարեևոր է հատկապս աշխատակազմի անձնական տվյալները, մատարակրների հետ կնքված պայմանգրերը, հաճախորդների գաղտնաբառերը և այլ կոնֆեդենցիալ տեղեկություն պաշպանելու տեսանկյունից։

Ցանկացած ընկերության հաճախորդ ցանկանում է վստահ լինել, որ իր անձնական տվյալները լիարժեք պաշպանված են, քանի որ անձնական տվյալների բացահայտումը հանգեցնում է նյութական և բարոյական մեծ վնասներիինչպես ընկերության, այնպես էլ նրա հաճախորդների համար։

Տվյալների արտահաոսքը լինում է դիտավոր միջամտության կամ պատահականության/սխալի պատճառով։ Օրինակ՝ կոնֆեդենցիալ բովանդակությամբ տվյալները պատահաբար ուղարկվում են էլեկտրանոային փոստով սխալ հասցեատիրոջը, կամ աշխատակիցը ոչնչացման ենթակա հույժ կարևոր փաստաթուղթը նետում է աղբամանը, որը հայտնվում է մրցակիցների ձեռքերում, հնարավոր է նաև, որ ցանցահետնները հաջողությամբ կարողանում են կոտրել ընկերության թվային շտեմրանները և գողանալ կարևոր տվյալները։

Ամբողջականություն (Integrity)

Ամբողջականությունը դա տեղեկատվության լիակատար, միակտոր, անվնաս վիճակն է։ Տեղեկատվության ամբողջականությունը համարվում է վտանգված, եթե այն կարող է ենթարկվել աղճատման, կառուցվածքախախտման կամ այլ տեսակի վնասբեր միջամտության, որը բերում է տեղեկատվության բնօրինակի ձևափոխության: Տեղեկատվության ամբողջականության աղավաղումը տեղի է ունենում դրան չարտոնված մուտքի հասանելություն գտնելու, գողանալու և/կամ փոխանցելու ժամանակ։ Օրինակ՝ համակարգչային շատ վիրուսներ, նախագծված են տվյալներ ոչնչացնելու կամ ձևափոխելու համար։ Այստեսակ միջամտությունների դեմ պայքարելը հնարավոր է ներդնելով ֆայլային համակարգի փոփոխությունները համեմատող համակարգի ներդմամբ, որը համեմատում է տյալ ֆայլի չափսը կամ ստուգող գումարը(checksum – Համակարգչային արժեք, որը մնում է անփոփոխ, եթե ֆայլը չի փոփոխվել)։

Ֆայլային փոփոխությունը միշտ չէ, որ հանդիսանում է կանխամտածված հարձակումների արդյունք։ Խափանումներով աշխատող ծրագրային ապահովումը, կամ նույնիսկ հաղորդլարելում առկա “աղմուկը” ևս կարող է հանգեցնել տվյալների կորստի։ Օրինակ, հաղորդալարերում առաջացած ցածր լարումը կարող է թվային բիտերի (1 կամ 0) փոփոխության պատճառ հանդիսանալ և հանգեցնել  ազդանշանի ընդունման սխալ տվյալների գրանցմանն ու փախանցմանը:

Տեղեկատվության ամբողջականությունը ներքին և արտաքին միջամտությունից պաշպանելու համար կիրառում են տարատեսակ մեթոդներ, որոնք կառավարում են բիթերի փոփոխությունները։ Յուրքանչյուր փախանցումի ժամանակ, ալգորիթմերի, քեշ-արժեքների և սխալների կորեկցիայի կոդերը ապահովվում են տեղեկատվության ամբողջականությունը։ Այն տվյալները որոնք չեն ստուգվում այս տեսակ միջոցներով՝ վերստին փոխանցվում են և վերականգնվում։

Հասանելիություն (Availability)

Տեղեկատվության հասանելիությունը տեղի է ունենում այն ժամանակ, երբ օգտատերը կամ համակարգչային համակարգը կարողանում է մուտք գործել դրան՝ կիրառական ֆորմատով, առանց կողմնակի միջամտության կամ խոչընդոտների:

Հասանելիություն՝ չի նշանակում, որ տեղեկատվությունը հասանելի է ցանկացած օգտվողին։ Ընդհակառակը, դա նշանակում է, որ այն հասանելի է լիազորված օգտվողներին: Օրինակ, երբ դուք գնում եք գրադարան, դուք իրավունք չունեք օգտվել գրապահոցներից, մինչև չգրանցվեք որպես ընթերցասեր և չունենաք Ձեր հաշվարկման քարտը, որտեղ գրանցվում են ձեզ տրված գրքերը ու դրանցից օգտվելու ժամանակը։

Մասնավորություն (Privacy)

Տեղեկատվությունը, որը հավաքվում, օգտագործվում եւ պահվում է կազմակերպության կողմից պետք է հասանելի լինի և օգտագործվի միայն տվյալների սեփականատիրոջ կողմից նշված ժամանակահատվածում: Այս համատեքստում, “մասնավորություն” չի նշանակում դրանից օգտվելու անհասանելիություն։ Դա նշանակում է, որ տեղեկատվությունը պետք է օգտագործվի միայն այն տրամարդողի կողմից արտոնված եղանակներով։

Նույնականացում (Identification)

Տեղեկատվական համակարգը ունի նույնականացման բնութագրիչ, երբ այն կարողանում է ճանաչել/տարբերակել անհատական օգտագործողներին: Նույնականացումը առաջին քայլն է պաշտպանված տվյալներից օգտվելու համար եւ այն ծառայում է որպես հետագա վավերացման եւ թույլտվության հիմք: Նույնականացումն ու վավերացումը անհրաժեշտ պայմաններ են՝ ֆիզիակական անձնին մուտքի իրավունքը թույլատրելու համար։ Նույնականցումը որպես կանոն կատարվում է օգտատիրոջ անունի և գաղտաբառի համադրությամբ մուտքագրված տյալների հիման վրա։