Informācijas drošība ir pasākumu kopums, kas novērš neatļautu vai ļaunprātīgu piekļuvi informācijai, tās izmantošanu, izpaušanu, apturēšanu, pārveidošanu, pārbaudi, ierakstīšanu vai iznīcināšanu. Informācijas drošības galvenā prioritāte ir līdzsvarota informācijas un datu konfidencialitātes, integritātes un pieejamības aizsardzība, vienlaikus saglabājot efektīvu politikas īstenošanu, nemazinot organizācijas produktivitāti.[1] Tas tiek panākts, izmantojot daudzpakāpju riska pārvaldības procesu, kas identificē apdraudējuma avotus, vājās vietas, iespējamo ietekmi un iespējamo kontroli, ar tam sekojošu riska pārvaldības plāna efektivitātes novērtējumu.

Lai standartizētu informācijas drošību, tiek izstrādāti pamatnorādījumi, likumdošanas bāze, un nozares standarti, kas attiecas uz parolēm, pretvīrusu programmatūru, ugunsmūriem, šifrēšanas programmatūru, juridisko atbildību un lietotāju/administratoru apmācību. Šo standartizāciju ietekmē arī dažādi tiesību akti un regulas, kas attiecas uz piekļuvi datiem, to uzglabāšanu un pārsūtīšanu. Tomēr jebkuru standartu un norādījumu īstenošana nav pilnīga, ja netiek ieviesti pastāvīgi drošības uzlabojumi.

Jau kopš saziņas pirmsākumiem cilvēki ir meklējuši veidus, kā nodrošināt informācijas nodošanu, saglabājot tās konfidencialitāti. Sākotnēji informācijas slepenība tika nodrošināta, nododot to no rokas rokā, nereti korespondence, kas saturēja slepenu informāciju, tika apzīmogota vai ievietota slēdzamā kastē, kuras nodošana adresātam tika uzticēta ziņnesim. Ziņojumu slepenības nodrošināšanai tika izveidoti pirmie šifri — viens no zināmākajiem vēsturiskajiem kodiem ir Cēzara šifrs, ko izmantoja romiešu diktators Jūlijs Cēzars, kad vēlējās nodot slepenas ziņas.[2]

Attīstoties pasta pakalpojumiem, sāka parādīties dažādas organizācijas, kas pārtvēra, atkodēja, lasīja un kopēja aizzīmogotas vēstules. Šādu Slepeno biroju (angļu: Secret Office), kas darbojās galvenā pasta aizsegā, Lielbritānija dibināja 1653. gadā,[3] savukārt Krievijas impērijā ārzemju diplomātiskā pasta lasīšana uzplaukumu piedzīvoja 17. gadsimta vidū. Īpašās vietās, ko dēvēja par melnajiem kabinetiem, vēstules tika atvērtas, kopētas, nepieciešamības gadījumā rediģētas un atkal aizzīmogotās tā, lai saņēmējam nerastos nekādas aizdomas.[4]

Pirmā pasaules kara laikā tika izmantotas vairāku līmeņu informācijas klasificēšanas un šifrēšanas sistēmas, lai droši nodotu informāciju iesaistītajām pusēm. Tas veicināja arī dažādu organizāciju izveidi, kas centās pārtvert un atšifrēt sūtītos ziņojumus. Viena no šādām organizācijām bija "40. istaba", ko britu admiralitāte izveidoja 1914. gada oktobrī. Tās lielākais sasniegums bija Cimermana telegrammas pārtveršana un atšifrēšana, kā rezultātā tobrīd neitrālās Amerikas Savienotās Valstis iesaistījās karā.[5]

Starpkaru periodā informācijas šifrēšanas sistēmas kļuva arvien sarežģītākas, tāpēc ziņojumu šifrēšanai un atšifrēšanai sāka izmantot speciālas mašīnas. Slavenākā no tām ir Enigma, ko Pirmā pasaules kara beigās izgudroja vācu inženieris Arturs Šerbiuss.[6] Šo šifrēšanas mašīnu Nacistiskā Vācija sāka izmantot vēl pirms Otrā pasaules kara. Enigmas sākotnējās versijas ziņojumus izdevās atšifrēt poļu matemātiķiem 1932. gada nogalē, bet, tā kā vācieši nepārtraukti uzlaboja šifrēšanas iekārtu, pēc 1938. gada uzlabojuma poļiem vairs nepietika finansiālo līdzekļu, lai šo darbu turpinātu.[7] 1939. gadā poļi ar Enigmas atšifrēšanas tehniku iepazīstināja britu un franču militāros pārstāvjus.[8] Šo informāciju izmantoja Alans Tjūrings, izstrādājot savu ziņojumu atšifrēšanas mašīnu.[9]

20. gadsimta beigās un 21. gadsimta sākumā notiek strauja telekomunikāciju un datorsistēmu attīstība. Ar interneta starpniecību dažāda veida informācija un dati ir pieejami jebkuram lietotājam praktiski jebkurā pasaules vietā. Elektronisko datu lielais patēriņš, kas nepārtraukti palielinās, e-biznesu izaugsme, kā arī starptautiskā terorisma draudi rada nepieciešamību pēc labākām datoru un informācijas, kas tajos tiek uzglabāta, apstrādāta un pārraidīta, aizsardzības metodēm.[10]

Galvenie principi

labot šo sadaļu
 
CIA triādes metodoloģija

Par informācijas drošības pamatprincipiem tiek uzskatīti konfidencialitāte, integritāte un pieejamība. Šie principi tiek saukti arī par CIA triādi (angļu: confidentiality, integrity, availability).[11] Tomēr joprojām notiek diskusijas par to, vai ar šiem principiem pietiek, lai atrisinātu strauji mainīgās tehnoloģijas un biznesa prasības, un tiek ieteikts paplašināt konfidencialitātes un pieejamības jēdzienus, kā arī pievienot saikni starp drošību un privātumu.[12]

Konfidencialitāte

labot šo sadaļu

Informācijas drošībā ar konfidencialitāti saprot īpašību, kad informācija netiek atklāta vai padarīta pieejama nepilnvarotām personām, struktūrām vai procesiem.[13] Lai gan šis skaidrojums līdzinās privātuma skaidrojumam, šie jēdzieni nav savstarpēji aizstājami. Konfidencialitāte ir privātuma sastāvdaļa, kas tiek īstenota, lai aizsargātu informāciju no nepilnvarotiem skatījumiem. Informācijas konfidencialitātes riski ir datoru zādzības, paroļu zādzības, sensitīvu datu nosūtīšana nepareizam adresātam u.c.[14]

Informācijas drošībā ar datu integritāti saprot datu precizitāti un pilnīgumu visā to dzīves ciklā.[15] Tas nozīmē, ka datus nevar izmainīt bez atļaujas vai slēptā veidā. Integritāte ir svarīgs aspekts jebkuras sistēmas, kas uzglabā, apstrādā vai iegūst datus, izstrādē, ieviešanā un izmantošanā. Jebkuras datu integritātes metodes vispārējais nolūks ir nodrošināt, lai dati tiktu ierakstīti tieši tā, kā paredzēts, un pēc to izguves nodrošināt, ka dati ir tādi paši, kā sākotnēji tika ierakstīti. Datu integritātes mērķis ir novērst netīšas izmaiņas informācijā, līdz ar to datu integritāte ir pretstats datu bojāšanai.[16]

Informācijas drošībā pieejamību bieži uzskata par vienu no nozīmīgākajām veiksmīgas informācijas drošības programmas daļām. Lai jebkura informācijas sistēma kalpotu savam mērķim, informācijai jābūt pieejamai. Tas nozīmē, ka datorsistēmām, ko izmanto informācijas glabāšanai un apstrādei, drošības kontrolei, ko izmanto tās aizsardzībai, un sakaru kanāliem, kas tiek izmantoti, lai piekļūtu informācijai, jādarbojas pareizi. Informācijas sistēmu mērķis ir saglabāt pieejamību, novēršot pakalpojumu traucējumus, ko izraisa strāvas padeves traucējumi, aparatūras kļūmes un sistēmas jauninājumi, kā arī jānovērš dažādi uzbrukumi, kas tiek veikti ar mērķi izslēgt sistēmu.[17]

Drošības aizsardzība

labot šo sadaļu

Informācija ir jāaizsargā, lai tās vērtība netiktu samazināta ļaunprātīgi vai nejauši izdzēšot vai izmainot datus. Aizsardzība ir jāveic gan pret dabas stihijām, gan cilvēkiem, izmantojot dažādus aizsardzības mehānismus. Pareiza drošības aizsardzības mehānisma izvēle, kas balstīta uz risku analīzi, un ieviešana palīdz samazināt informācijas aizsardzības riskus līdz pieņemamam līmenim. Latvijas Republikas Ministru Kabineta noteikumi Nr. 106 par informācijas sistēmu drošību atsevišķi izdala divus aizsardzības mehānismus:

  • Fiziskā aizsardzība — tehnisko resursu aizsardzība pret fiziskas iedarbības radītu informācijas sistēmas apdraudējumu (piemēram, ugunsgrēks, plūdi, sprieguma pazemināšanās vai pārspriegums enerģijas pievades tīklā, tehnisko resursu zādzība, ekspluatācijas noteikumiem neatbilstošs mitrums, gaisa temperatūra).[18]
  • Loģiskā aizsardzība — datu vai informācijas resursu aizsardzība, kuru realizē ar programmatūras līdzekļiem, identificējot informācijas sistēmas lietotāju, pārbaudot viņa pilnvaru atbilstību attiecīgajām darbībām informācijas sistēmā, pasargājot informāciju no tīšas vai nejaušas maiņas vai dzēšanas.[18]
  1. Jason Andress. The basics of information security : understanding the fundamentals of InfoSec in theory and practice. Waltham, MA : Syngress, 2014. 240. lpp. ISBN 9780128008126.
  2. Suetonius. Lives of the Caesars. Oxford University Press, 2008. 28. lpp. ISBN 9780191593390.
  3. Matthew Smith Anderson. The rise of modern diplomacy, 1450-1919. London : Longman, 1993. ISBN 0582212324. OCLC 26672431.
  4. В.С. Измозик. «Черный кабинет». vivovoco.astronet.ru, 2000. Skatīts: 2019-02-06.
  5. Andrew, Christopher M. For the president's eyes only : secret intelligence and the American presidency from Washington to Bush. London : HarperCollinsPublishers, 1996. 90. lpp. ISBN 0006380719. OCLC 36431580.
  6. Singh, Simon. The code book : the science of secrecy from ancient Egypt to quantum cryptography. New York : Anchor Books, 2000. ISBN 9780307787842. OCLC 738479322.
  7. Kozaczuk, Władysław. Enigma : how the German machine cipher was broken, and how it was read by the Allies in World War Two. [Frederick, Md.] : University Publications of America, 1984. 63. lpp. ISBN 0890935475. OCLC 9826775.
  8. Ralph Erskine. «The Poles Reveal their Secrets: Alastair Denniston's Account of the July 1939 Meeting at Pyry». www.tandfonline.com. doi:10.1080/01611190600920944. Skatīts: 2019-02-06.
  9. Michael, Smith. Station X : the codebreakers of Bletchley Park. London : Pan Books. 60. lpp. ISBN 0330419293. OCLC 56470126.
  10. Karl de Leeuw, J. A. Bergstra. The history of information security : a comprehensive handbook. Amsterdam : Elsevier, 2007. 681–704. lpp. ISBN 9780080550589.
  11. Chad Perrin. «The CIA Triad». TechRepublic (angļu). Skatīts: 2019-02-06.
  12. Spyridon Samonas, David Coss (2014). "The CIA Strikes Back: Redefining Confidentiality, Integrity and Availability in Security". Journal of Information System Security 10: 21–45.
  13. Beckers, Kristian,. Pattern and security requirements : engineering-based establishment of security standards. Cham. 100. lpp. ISBN 9783319166643. OCLC 907641033.
  14. Andress, Jason,. The basics of information security : understanding the fundamentals of InfoSec in theory and practice. Waltham, MA. 240. lpp. ISBN 9780128008126. OCLC 880706587.
  15. Boritz, J. Efrim (2005-12-01). "IS practitioners' views on core concepts of information integrity". International Journal of Accounting Information Systems 6 (4): 260–279. doi:10.1016/j.accinf.2005.07.001. ISSN 1467-0895.
  16. Uberveillance and the social implications of microchip implants : emerging technologies. Hershey, PA. 40. lpp. ISBN 9781466645820. OCLC 843857020.
  17. Öke, Gülay; Loukas, Georgios (2010-09-01). "Protection Against Denial of Service Attacks: A Survey" (en). The Computer Journal 53 (7): 1020–1037. doi:10.1093/comjnl/bxp078. ISSN 0010-4620.
  18. 18,0 18,1 «Ministru kabineta 2000. gada 21. marta noteikumi Nr. 106 "Informācijas sistēmu drošības noteikumi". Publicēts oficiālajā laikrakstā "Latvijas Vēstnesis", 24.03.2000., Nr. 109/110 (2020/2021)». Skatīts: 05.02.2019..