Invest-currency.ru

Как обезопасить себя в кризис?
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Субъекты информационной безопасности

Объекты и субъекты информационной безопасности

Этот раздел определяет, что именно понимается под состоянием защищенности в конкретной компании. Кроме того, в нем описывается информация, которая требует защиты, мотивируется необходимость ее защиты и указывается, кто именно осуществляет работу с защищаемой информацией, т.е. субъекты информационной безопасности:

  1. сотрудники компании;
  2. подразделения компании;
  3. организации, которым передается или от которых получается информация;
  4. клиенты компании;
  5. злоумышленники;
  6. прочие лица.

Для компании — оператора сотовой связи стандарта GSM выделим следующие типовые бизнес-процессы:

  1. Организация рассылки продукции в регионы: экспедиторские процессы; учет отгрузки.
  2. Производство услуг.
  3. Мониторинг производства услуг.
  4. Контроль качества производства услуг: контроль действий персонала при производстве услуг.
  5. Внедрение новых услуг: разработка; вывод на рынок; сопровождение.
  6. Продажа услуг и обслуживание абонентов.
  7. Мониторинг обслуживания абонентов.
  8. Контроль качества обслуживания абонентов.
  9. Контроль действий персонала при обслуживания абонентов.
  10. Расторжение договора по инициативе абонента.
  11. Расторжение договора по инициативе компании.
  12. Взаимодействие с филиалами и представительствами.
  13. Проведение внутреннего аудита.
  14. Управление документацией.
  15. Организация внутреннего обучения сотрудников компании.
  16. Мониторинг дилерского обслуживания.
  17. Регулирование дебиторской задолженности дилеров.
  18. Взаимодействие подразделений компании при обслуживании абонентов.
  19. Внедрение АСУП.
  20. Заключение и сопровождение договоров.
  21. Документооборот.

Типовые технические средства операторской компании:

  1. Каналы связи: собственные; арендуемые.
  2. Коммутационное и каналообразующее оборудование: маршрутизаторы; коммутаторы; мосты.
  3. Центры хранения и обработки данных: архивы электронные и бумажные; серверы.
  4. Абонентское оборудование: модемы; телефонные аппараты.
  5. Рабочие места (рабочие станции).

Из приведенных перечней видно, что операторская компания характеризуется высокой сложностью организации как со стороны технических средств, так и со стороны бизнес-логики. Также очевидно, что и сама организационная структура компании оператора является весьма нетривиальной.

Из вышесказанного следует, что для данной компании оптимальной будет являться КИБ смешанного типа.

Раздел «Объекты и субъекты информационной безопасности (уровень ПИБ)». В данном разделе описывается, как осуществляется привязка информации, подлежащей защите, к конкретным техническим средствам и носителям информации, используемым в компании.

Устанавливается соответствие вида: защищаемая информация→цель защиты (конфиденциальность, целостность или доступность)→технический ресурс (ресурсы), в котором обрабатывается, хранится или циркулирует информация.

Далее осуществляется привязка защищаемой информации к субъектам информационной безопасности.

Устанавливается соответствие вида: информация→технический ресурс→права доступа (полный доступ, только чтение и т.д.) →объект информационной безопасности.

Составляется общая структурная схема информационной системы компании.

Пример архитектуры информационной системы для компании (подразделения компании), имеющей выход в Интернет и обладающей ресурсами, к которым необходим доступ из Интернета, приведен на рис. 3.1.

Рис. 3.1. Пример архитектуры КИС для компании (подразделения компании), имеющей выход в Интернет и обладающей ресурсами, к которым необходим доступ из Интернета

Защиты информации, субъекты информационных отношений,

Уровни важности информации, методы и средства защиты информации.

Защита информации – совокупность мероприятий, методов и средств, обеспечивающих проверку и сохранность целостности информации, а также исключающих несанкционированный доступ и использование хранящихся в средствах вычислительной техники данных и программ.

Обеспечение информационной безопасности является гарантией удовлетворения законных прав и интересов субъектов информационных отношений.

Субъектами информационных отношений являются:

— государственные или коммерческие организации,

-предприятия и отдельные граждане

Субъекты по отношению к определенной информации могут выступать в следующих видах:

1. Источники (поставщики) информации.

2. Пользователи (потребители) информации.

3. Собственники (владельцы) информации.

4. Владельцы систем сбора и обработки информации.

5. Физические (юридические) лица, о которых собирается информация.

Информацию по уровню важности принято подразделять на следующую:

1. Жизненно важная (незаменимая) информация, наличие которой необходимо для функционирования организации и при ее потере невосполнима.

2. Важная информация, которая может быть заменена или восстановлена, но с большими затратами средств, времени и труда.

3. Полезная информация, которую трудно восстановить, но при этом организация может функционировать без нее.

4. Несущественная информация, потеря которой для организации незаметна.

По функциональному назначению средства инженерно-технической защиты делятся на следующие группы:

1. физические средства, включающие различные средства и сооружения, препятствующие физическому проникновению (или доступу) злоумышленников на объекты защиты и к материальным носителям конфиденциальной информации (рис. 16) и осуществляющие защиту персонала, материальных средств, финансов и информации от противоправных воздействий;

2. аппаратные средства – приборы, устройства, приспособления и другие технические решения, используемые в интересах защиты информации. В практике деятельности предприятия находит широкое применение самая различная аппаратура, начиная с телефонного аппарата до совершенных автоматизированных систем, обеспечивающих производственную деятельность. Основная задача аппаратных средств – обеспечение стойкой защиты информации от разглашения, утечки и несанкционированного доступа через технические средства обеспечения производственной деятельности;

3. программные средства, охватывающие специальные программы, программные комплексы и системы защиты информации в информационных системах различного назначения и средствах обработки (сбор, накопление, хранение, обработка и передача) данных;

4. криптографические средства – это специальные математические и алгоритмические средства защиты информации, передаваемой по системам и сетям связи, хранимой и обрабатываемой на ЭВМ с использованием разнообразных методов шифрования.

Информационная безопасность (ИБ) в таможенных органах,

Угрозы ИБ и ее виды.

Информационная без-ть –состояние защищенности нац интересов в инф среде, определ сов-тью сбалансированных интересов личности, общ-ва и гос-ва; защищенность от случайного или преднамеренного участия в информационных процессах функционирования сис-мы, также от попыток хищения, изменения или разрушения ее компонентов.

Воздействия или угроза – действие или событие, которое может привести к искажению, разрушению, или несанкционированному исп-ию ресурсов, вкл. хранящ., передаваемую и обраб инф-ию, а также программные и аппаратные ср-ва.

Преднамеренные угрозы – целенаправленные действия злоумышленников, направленные на нарушение нормального функционирования сис-мы, получение возможности несанкционированного доступа к инф или нарушение ее целостности.

. Цели этого доступа: несанкц доступ к инф, содерж в БД, анализ потока инф, изменение потока инф, прерывание передачи сообщений, нарушение целостности данных или их искажение.

Группы преднамеренных угроз. 1)Нарушение конфиденциальности информации(разглашение секретной инф) 2)Нарушение целосности (возм изменения БД) 3)Нарушение работоспособности сис-мы инф (распространение вируса) Угрозы в несанкционированном доступе- нарушители имеют доступ к объекту в обход всех паролей или инф сис-м, спец разработанных для защиты инф.

Суть несанкц доступа- получение доступа к объекту в нарушение правил разграничения доступа, установленных в соответствии с принятой политикой безопасности.

Работы по защите инф идут в следующих напр: -противодействие несанкц получ-ю инф с помощью техн ср-в (экранир-е помещений), -совершенствование орг орг-техн мереприятий обработки инф, -блокир-е несанкц доступак инф непосредственно в инф сис-мах. (разграничение доступа, защита копирования, парольная защита, защита от вирусов, шифрование и тд).

Система защиты-совок спец мер правового или законного администр хар-ра, организация мероприятий, физических, технических ср-в защиты и спец персонала, предназнач для обеспеч безоп. инф., ИТ и всей ВС.

Методы: Препятствие – физ преграды на пути злоумышленников к защите инф (физ ср-ва), Управление доступом –регулирование использования р-сов, эл-в в БД, программ и техн ср-в (аппаратные ср-ва), Маскировка – криптографическая защита при передаче инф. ,ее обработке и хранении (программные ср-ва), Регламентация – мероприятия, минимиз НСД к хран., передаче инф. (организ.), Принуждение – соблюдение правил обр-ки, передачи, использования инф при матер., адм и угол отв-ти пользователей (законодат.), Побуждение – моблюдение моральных и этических норм (морал-этич.)

ЭП-цифоровой код, прилагаемый к эл файлу и передав вместе с ним. Связана с текстом сообщения и обоеспечивает аутентификацию и целостность. Это проявляется при открытии файла. (если док пришел без искажений, то нсд не было). Методы формирования ЭП относят к криптографическим. Текст док-та с ипользованием криптограф методов защиты преобраз-ся в непонятный текст, набор символов с целью того, чтобы человек, ненаделенный соответствующими правами, не смог считать его и внести изм-я.

Читать еще:  Основные угрозы национальной безопасности российской федерации

Дял шифрования и дешифрования исп спец ключ.

Ключ- конкретное секретное состояние некоторого программного алгоритма крипт преобр данных, обеспеч выбор только 1 вар-та их всех возможных для данного алгоритма.

Виды крипт метода защиты инф: симметричное шифрование (1 ключ) и асимметричное(2 ключа)

Основные объекты обеспечения информационной безопасности

Защита данных
с помощью DLP-системы

В России в области обеспечения информационной безопасности действует Доктрина, представляющая совокупность официальных взглядов на ситуацию с угрозами информационной безопасности в современном мире в целом и отдельные законы и подзаконные нормативные акты, которые концентрируются на конкретных аспектах общей системы. Изучая существующие меры безопасности, необходимо понимать, не только от каких угроз необходимо защищаться, но и кто или что подлежит защите. В зависимости от нормативного акта, объекты, требующие обеспечения информационной безопасности, могут несущественно различаться.

Система информационной безопасности

Доктрина информационной безопасности РФ, утвержденная Указом президента в 2016 году, призвана минимизировать или исключить вред, причиненный интересам личности, общества и государства угрозами, существующими в информационном поле, как технологическими, так и идеологическими. Органы государственного управления ставят своей целью не только обеспечение информационной безопасности государства в части обороны, внутренней и внешней политики, но и заботу о защите от посягательств на интересы граждан и бизнеса.

Виды угроз

Разработчики документа не ранжируют угрозы в зависимости от того, направлены они против личности или против порядка государственного управления, а просто называют их. Национальные интересы являются приоритетными, но при этом доктрина уделяет существенное внимание и защите интересов личности, гражданского общества, бизнеса. Среди основных можно назвать угрозы:

  • обороноспособности;
  • государственной целостности;
  • порядку управления;
  • международному имиджу России, деятельности отечественных СМИ за рубежом;
  • критически важным объектам информационной инфраструктуры;
  • кредитно-финансовой сфере.

Кроме того, технологическая слабость страны, невысокое качество или отсутствие национальных разработок в области информационной безопасности, зависимость от систем связи или коммуникаций, управляемых на международном уровне, являются самостоятельными угрозами. При направлении усилий стратегическим противником в эту сторону целью может стать и бизнес, который потеряет возможность управлять своими промышленными объектами или проводить платежи в случае отключения сети Интернет.

Сферы защиты

Опасность направленного информационного воздействия на объекты защиты, по мнению разработчиков доктрины, связана не только с возможностью повлиять на объекты инфраструктуры или системы платежей, взломать сайт государственной организации или вмешаться через Сеть в работу систем жизнеобеспечения города или всего государства. Существенная опасность связана с информационным воздействием на нематериальные ценности, такие как имидж России на международной арене, суверенитет, понятие о нерушимости государственной целостности, общие понятия о нравственности. Нацеленное информационное воздействие на эти сферы способно подорвать внутреннюю стабильность, привести к беспорядкам.

Обеспечение информационной безопасности нематериальных объектов касается не только государства. Касательно гражданина или бизнеса риски могут возникнуть в части вовлечения детей в деструктивные культы, организации погромов торговых точек, протестов против строительства значимых для экономики объектов. При этом субъектами информационного влияния на сознание граждан, не подготовленных к защите против направленного воздействия, становятся экстремистские, религиозные, этнические, правозащитные организации. Государственная концепция разъяснения гражданам принципов информационной безопасности, умения разделять истинные новости и специально сгенерированные в деструктивных целях фейки, пока не разработана.

В концепции обеспечения информационной безопасности выделяются следующие сферы защиты:

  • экономическая сфера, включая денежно-кредитную и рынок ценных бумаг. Направленное информационное воздействие может влиять на репутацию банка или курс ценных бумаг;
  • внешнеполитическая. Интересы России на международной арене ущемляются за счет направленного ухудшения ее имиджа;
  • внутриполитическая. Вопросы информационной безопасности связаны в основном с недопущением сепаратизма, экстремизма, национальной розни;
  • область образования, науки, технологий. Информационные атаки могут привести и к миграции ученых за рубеж и снижению репутации российских научных институтов в мире;
  • духовная. Ситуация с попыткой создания Украинской автокефальной церкви показывает, насколько важно для стратегического противника информационное доминирование и в этой сфере;
  • судебная и правоохранительная.

Интересно, что изложенные в Доктрине постулаты в области обеспечения информационной безопасности России не полностью коррелируют с теми, которые изложены в принятой чуть позже Стратегии национальной безопасности, также рассматривающей вопросы защиты от информационных угроз. Однако в целом направления защиты по сферам и объектам совпадают.

Объекты-лица

Концепция обеспечения информационной безопасности, называет основные сферы общественной и политической жизни, в которых возможно причинение ущерба действиями внутренних агентов или правительствами иностранных государств, международными террористическими организациями. Документ предполагает, что ущерб наносится законным правам, свободам или интересам тех или иных субъектов. Конкретные субъекты в доктрине прямо не названы, использовано общее упоминание личности, общества и государства, но на практике выделяются следующие лица и организации, чьим интересам может быть причинен вред направленным информационным воздействием и которые подлежат защите:

  • Россия как государство;
  • органы государственной власти, действующие на внешнеполитической и внутриполитической арене, дипломатические и консульские представительства, такие организации, как «Русский Мир»;
  • субъекты федерации, муниципальные органы;
  • отечественные СМИ, информационные агентства, телеканалы;
  • российские бизнес-структуры, в том числе работающие или размещающие ценные бумаги на иностранных организованных рынках;
  • общественные организации, включая церковь;
  • граждане. Здесь отдельно можно выделить должностных лиц и судей, чья репутация неотделима от репутации государства.

Степень вреда, причиненного интересам субъектов, может разниться, но направленная информационная атака способна обвалить курс акций на несколько миллиардов, и сорвать выборы в муниципальном образовании. Степень защиты в каждом случае будет разной, но осознание существенности информационных угроз помогает обезопасить от них государство и общество. Проблемой может стать то, что оппонировать угрозам приходится только в информационном поле, противопоставляя свои аргументы и возражения чужим, выявляя некорректные сведения или затрудняя распространение ложной информации.

Объекты – предметы и явления

Помимо лиц, информационные атаки могут быть направлены на определенные объекты и явления. Здесь обеспечение информационной безопасности будет достигнуто легче, так как оптимальная защита может достигаться не только информационным противодействием, но и объективно реализованной системой технических мер. В качестве материальных объектов называются:

  • помещения, в которых размещается оборудование систем информационной безопасности, находятся серверы, в том числе банковские, хранятся данные на бумажных носителях. Степень защиты таких помещений, в зависимости от класса охраняемых информационных массивов, определяется нормативными актами ФСБ РФ и ВСТЭК РФ;
  • серверы и информационные массивы органов государственной власти и управления;
  • НИИ и организации разработчиков, обеспечивающих проведение исследований в области информационной безопасности;
  • информационно-телекоммуникационные сети и системы;
  • массивы конфиденциальных сведений;
  • информационные технологии, как имеющиеся в распоряжении предприятия, так и вновь разрабатываемые;
  • системы обеспечения информационной безопасности;
  • системы управления производственными объектами;
  • банковские системы.

В области защиты этих объектов государство устанавливает стандарты технологического и программного оснащения, которое должно исключить возможность любого несанкционированного вмешательства, нарушения их независимости и целостности. Закон отдельно называет объекты критической информационной инфраструктуры, относительно которых установлен особый режим защиты и определены специальные средства защиты информации. Им присваивается категория защищенности, такие объекты вносятся в государственный реестр. При определении категории учитывается политическая, экономическая и экологическая значимость.

Обеспечение информационной безопасности различных объектов является совместной задачей государственных органов, бизнеса и граждан. Заинтересованность каждого в обеспечении собственной защиты важна для функционирования общей системы.

Тема 2: Основные понятия информационной безопасности

Прежде всего необходимо разобраться, что такое безопасность информационных технологий, определить что (кого), от чего (от кого), почему (зачем) и как (в какой степени и какими средствами) надо защищать. Только получив четкие ответы на данные вопросы, можно правильно сформулировать общие требования к системе обеспечения безопасности и переходить к обсуждению вопросов построения соответствующих систем зашиты.

Информация и информационные отношения. Субъекты информационных отношений, их безопасность

Под информацией будем понимать сведения о фактах, событиях, процессах и явлениях, о состоянии объектов (их свойствах, характеристиках) в некоторой предметной области, необходимые для оптимизации принимаемых решений в процессе управления данными объектами.

Читать еще:  Удаление вирусов онлайн бесплатно

Информация может существовать в различных формах в виде совокупностей некоторых знаков (символов, сигналов и т.п.) на носителях различных типов. В связи с бурным процессом информатизации общества все большие объемы информации накапливаются, хранятся и обрабатываются в автоматизированных системах, построенных на основе современных средств вычислительной техники и связи. В дальнейшем будут рассматриваться только те формы представления информации, которые используются при ее автоматизированной обработке.

Под автоматизированной системой (АС) обработки информации будем понимать организационно-техническую систему, представляющую собой совокупность следующих взаимосвязанных компонентов:

• технических средств обработки и передачи данных (средств вычислительной техники и связи)

• методов и алгоритмов обработки в виде соответствующего программного обеспечения

• информации (массивов, наборов, баз данных) на различных носителях

• обслуживающего персонала и пользователей системы, объединенных по организационно-структурному, тематическому, технологическому или другим признакам для выполнения автоматизированной обработки информации (данных) с целью удовлетворения информационных потребностей субъектов информационных отношений.

Под обработкой информации в АС будем понимать любую совокупность операций (прием, накопление, хранение, преобразование, отображение, передача и т.п.), осуществляемых над информацией (сведениями, данными) с использованием средств АС.

В дальнейшем субъектами будем называть:

государство (в целом или отдельные его органы и организации)

• общественные или коммерческие организации (объединения) и предприятия (юридических лиц)

отдельных граждан (физических лиц).

В процессе своей деятельности субъекты могут находиться друг с другом в разного рода отношениях, в том числе, касающихся вопросов получения, хранения, обработки, распространения и использования определенной информации. Такие отношения между субъектами будем называть информационными отношениями, а самих участвующих в них субъектов — субъектами информационных отношений.

Различные субъекты по отношению к определенной информации могут (возможно одновременно) выступать в качестве (в роли):

• источников (поставщиков) информации

• потребителей (пользователей) информации

• собственников, владельцев, распорядителей информации

• физических и юридических лиц, о которых собирается информация

• владельцев систем обработки информации

• участников процессов обработки и передачи информации и т.д.

Для успешного осуществления своей деятельности по управлению объектами некоторой предметной области субъекты информационных отношений могут быть заинтересованы в обеспечении:

своевременного доступа (за приемлемое для них время) к необходимой им информации и определенным автоматизированным службам

конфиденциальности (сохранения в тайне) определенной части информации

• достоверности (полноты, точности, адекватности, целостности) информации

защиты от навязывания им ложной (недостоверной, искаженной) информации (то есть от дезинформации)

• защиты части информации от незаконного ее тиражирования (защиты авторских прав, прав собственника информации и т.п.)

разграничения ответственности за нарушения законных прав (интересов) других субъектов информационных отношений и установленных правил обращения с информацией

• возможности осуществления непрерывного контроля и управления процессами обработки и передачи информации и т.д.

Будучи заинтересованным в обеспечении хотя бы одного из вышеназванных требований, субъект информационных отношений является уязвимым, то есть потенциально подверженным нанесению ему ущерба (прямого или косвенного, материального или морального) посредством воздействия на критичную для него информацию, ее носители и процессы обработки либо посредством неправомерного использования такой информации. Поэтому все субъекты информационных отношений в той или иной степени (в зависимости от размеров ущерба, который им может быть нанесен) заинтересованы в обеспечении своей информационной безопасности.

Для обеспечения законных прав и удовлетворения перечисленных выше интересов субъектов (т.е. обеспечения их информационной безопасности) необходимо постоянно поддерживать следующие свойства информации и систем ее обработки:

доступность информации — такое свойство системы (инфраструктуры, средств и технологии обработки, в которой циркулирует информация), которое характеризует ее способность обеспечивать своевременный доступ субъектов к интересующей их информации и соответствующим автоматизированным службам (готовность к обслуживанию поступающих от субъектов) запросов всегда, когда в обращении к ним возникает необходимость;

целостность информации — такое свойство информации, которое заключается в ее существовании в неискаженном виде (неизменном по отношению к некоторому фиксированному ее состоянию).

Точнее говоря, субъектов интересует обеспечение более широкого свойства — достоверности информации, которое складывается из адекватности (полноты и точности) отображения состояния предметной области и непосредственно целостности информации, то есть ее неискаженности. Однако, мы ограничимся только рассмотрением вопросов обеспечения целостности информации, так как вопросы адекватности отображения выходят далеко за рамки проблемы информационной безопасности;

конфиденциальность информации — такую субъективно определяемую (приписываемую) характеристику (свойство) информации, которая указывает на необходимость введения ограничений на круг субъектов, имеющих доступ к данной информации, и обеспечиваемую способностью системы (инфраструктуры) сохранять указанную информацию в тайне от субъектов, не имеющих прав на доступ к ней. Объективные предпосылки подобного ограничения доступности информации для одних субъектов заключены в необходимости защиты законных интересов других субъектов информационных отношений.

Поскольку ущерб субъектам информационных отношений может быть нанесен опосредованно, через определенную информацию и ее носители, то закономерно возникает заинтересованность субъектов в обеспечении безопасности этой информации, ее носителей и систем обработки.

Отсюда следует, что в качестве объектов, подлежащих защите в целях обеспечения безопасности субъектов информационных отношений, должны рассматриваться: информация, любые ее носители (отдельные компоненты АС и АС в целом) и процессы обработки (передачи).

Однако, всегда следует помнить, что уязвимыми в конечном счете являются именно заинтересованные в обеспечении определенных свойств информации и систем ее обработки субъекты (информация, равно как и средства ее обработки, не имеют своих интересов, которые можно было бы ущемить). Поэтому, говоря об обеспечении безопасности АС или циркулирующей в системе информации, всегда следует понимать под этим косвенное обеспечение безопасности соответствующих субъектов, участвующих в процессах автоматизированного информационного взаимодействия.

Следовательно, термин «безопасность информации» нужно понимать как защищенность информации от нежелательного для соответствующих субъектов информационных отношений ее разглашения (нарушения конфиденциальности), искажения или утраты (нарушения целостности, фальсификации) или снижения степени доступности информации, а также незаконного ее тиражирования (неправомерного использования).

Поскольку субъектам информационных отношений ущерб может быть нанесен также посредством воздействия на процессы и средства обработки критичной для них информации, то становится очевидной необходимость обеспечения защиты системы обработки и передачи данной информации от несанкционированного вмешательства в процесс ее функционирования, а также от попыток хищения, незаконной модификации и/или разрушения любых компонентов данной системы.

Поэтому под «безопасностью автоматизированной системы» (системы обработки информации, компьютерной системы) следует понимать защищенность всех ее компонентов (технических средств, программного обеспечения, данных, пользователей и персонала) от разного рода нежелательных для соответствующих субъектов воздействий.

Безопасность любого компонента (ресурса) АС складывается из обеспечения трех его характеристик: конфиденциальности, целостности и доступности.

Конфиденциальность компонента (ресурса) АС заключается в том, что он доступен только тем субъектам (пользователям, программам, процессам), которым предоставлены на то соответствующие полномочия.

Целостность компонента (ресурса) АС предполагает, что он может быть модифицирован только субъектом, имеющим для этого соответствующие права. Целостность является гарантией корректности (неизменности, работоспособности) компонента в любой момент времени.

Доступность компонента (ресурса) АС означает, что имеющий соответствующие полномочия субъект может в любое время без особых проблем получить доступ к необходимому компоненту системы.

Цель защиты АС и циркулирующей в ней информации

При рассмотрении проблемы обеспечения компьютерной, информационной безопасности следует всегда исходить из того, что защита информации и вычислительной системы ее обработки не является самоцелью.

Конечной целью создания системы компьютерной безопасности АС является защита всех категорий субъектов, прямо или косвенно участвующих в процессах информационного взаимодействия, от нанесения им ощутимого материального, морального или иного ущерба в результате случайных или преднамеренных нежелательных воздействий на информацию и системы ее обработки и передачи.

Читать еще:  Угрозы национальной безопасности

В качестве защищаемых объектов должны рассматриваться информация, все ее носители (отдельные компоненты и автоматизированная система обработки информации в целом) и процессы обработки.

Целью защиты циркулирующей в АС информации является предотвращение разглашения (утечки), искажения (модификации), утраты, блокирования (снижения степени доступности) или незаконного тиражирования информации.

Обеспечение безопасности вычислительной системы предполагает создание препятствий для любого несанкционированного вмешательства в процесс ее функционирования, а также для попыток хищения, модификации, выведения из строя или разрушения ее компонентов, то есть защиту всех компонентов системы: оборудования, программного обеспечения, данных (информации) и ее персонала.

В этом смысле защита информации от несанкционированного доступа (НСД) является только частью общей проблемы обеспечения безопасности компьютерных систем и защиты законных интересов субъектов информационных отношений, а сам термин НСД было бы правильнее трактовать не как «несанкционированный доступ» (к информации), а шире, — как «несанкционированные (неправомерные) действия», наносящие ущерб субъектам информационных отношений.

Информационная безопасность

Учебное пособие

Информация по главам с 4 по 8 будет выложена на сайте в ближайшее время

Понятие информационной безопасности

В повседневной жизни часто информационная безопасность (ИБ) понимается лишь как необходимость борьбы с утечкой секретной и распространением ложной и враждебной информации. Однако, это понимание очень узкое. Существует много разных определений информационной безопасности, в которых высвечиваются отдельные её свойства.

В утратившем силу ФЗ «Об информации, информатизации и защите информации» под информационной безопасностью понималось состояние защищённости информационной среды общества, обеспечивающее её формирование и развитие в интересах граждан, организаций и государства.

В других источниках приводятся следующие определения:

Информационная безопасность – это

1) комплекс организационно-технических мероприятий, обеспечивающих целостность данных и конфиденциальность информации в сочетании с её доступностью для всех авторизованных пользователей;

2) показатель, отражающий статус защищенности информационной системы;

3) состояние защищённости информационной среды;

4) состояние, обеспечивающее защищенность информационных ресурсов и каналов, а также доступа к источникам информации.

В. И. Ярочкин считает, что информационная безопасность есть состояние защищённости информационных ресурсов, технологии их формирования и использования, а также прав субъектов информационной деятельности.

Достаточно полное определение дают В. Бетелин и В. Галатенко, которые полагают, что

Информационная безопасностьзащищённость информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, способных нанести ущерб владельцам или пользователям информации и поддерживающей инфраструктуры.

В данном пособии мы будем опираться на приведённое выше определение.

ИБ не сводится исключительно к защите информации и компьютерной безопасности. Следует различать информационную безопасность от защиты информации.

Защита информациидеятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию, то есть процесс, направленный на достижение этого состояния.

Иногда под защитой информации понимается создание в ЭВМ и вычислительных системах организованной совокупности средств, методов и мероприятий, предназначенных для предупреждения искажения, уничтожения или несанкционированного использования защищаемой информации.

Международный день защиты информации отмечается 30 ноября с 1988 года. В этот год произошла первая массовая компьютерная эпидемия — эпидемия червя Морриса.

Меры по обеспечению информационной безопасности должны осуществляться в разных сферах – политике, экономике, обороне, а также на различных уровнях – государственном, региональном, организационном и личностном. Поэтому задачи информационной безопасности на уровне государства отличаются от задач, стоящих перед информационной безопасностью на уровне организации.

Субъект информационных отношений может пострадать (понести материальные и/или моральные убытки) не только от несанкционированного доступа к информации, но и от поломки системы, вызвавшей перерыв в работе. ИБ зависит не только от компьютеров, но и от поддерживающей инфраструктуры, к которой можно отнести системы электро-, водо- и теплоснабжения, кондиционеры, средства коммуникаций и, конечно, обслуживающий персонал. Поддерживающая инфраструктура имеет самостоятельную ценность, важность которой переоценить невозможно.

После событий 11 сентября 2001 года в законодательстве США в соответствии с законом «О патриотизме» было определено понятие «критическая инфраструктура», которая понимается как «совокупность физических или виртуальных систем и средств, важных для США в такой мере, что их выход из строя или уничтожение могут привести к губительным последствиям в области обороны, экономики, здравоохранения и безопасности нации». Понятие критической инфраструктуры охватывает такие ключевые области народного хозяйства и экономики США, как национальная оборона, сельское хозяйство, производство пищевых продуктов, гражданская авиация, морской транспорт, автомобильные дороги и мосты, тоннели, дамбы, трубопроводы, водоснабжение, здравоохранение, службы экстренной помощи, органы государственного управления, военное производство, информационные и телекоммуникационные системы и сети, энергетика, транспорт, банковская и финансовая системы, химическая промышленность, почтовая служба.

В социальном плане информационная безопасность предполагает борьбу с информационным «загрязнением» окружающей среды, использованием информации в противоправных и аморальных целях.

Объектом ИБ будет считаться информация, затрагивающая государственные, служебные, коммерческие, ин­теллектуальные и личностные интересы, а также средства и инфраструктура её обработки и пе­редачи.

Также объектами информационного воздействия и, следовательно, информационной безопасности могут быть общественное или индивидуальное сознание.

Общественное сознаниесовокупность идей, взглядов, представлений, существующих в обществе в данный период, в которых отражается социальная действительность.

На государственном уровне субъектами ИБ являются органы исполнительной, законодательной и судебной власти. В отдельных ведомствах созданы органы, специально занимающиеся информационной безопасностью.

Субъектами ИБ являются органы и структуры, которые в той или иной мере занимаются ее обеспечением.

Кроме этого, субъектами ИБ могут быть:

— граждане и общественные объединения;

— средства массовой информации;

— предприятия и организации независимо от формы собственности.

Интересы субъектов ИБ, связанных с использованием информационных систем, можно подразделить на следующие основные категории:

Доступность – возможность за приемлемое время получить требуемую информационную услугу. Информационные системы создаются (приобретаются) для получения определенных информационных услуг (сервисов). Если по тем или иным причинам получение этих услуг пользователями становится невозможным, это наносит ущерб всем субъектам информационных отношений. Особенно ярко ведущая роль доступности проявляется в разного рода системах управления: производством, транспортом и т.п. Поэтому, не противопоставляя доступность остальным аспектам, доступность является важнейшим элементом ИБ.

Целостность –актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения. Целостность можно подразделить на статическую (понимаемую как неизменность информационных объектов) и динамическую (относящуюся к корректному выполнению сложных действий (транзакций)). Практически все нормативные документы и отечественные разработки относятся к статической целостности, хотя динамический аспект не менее важен. Пример области применения средств контроля динамической целостности – анализ потока финансовых сообщений с целью выявления кражи, переупорядочения или дублирования отдельных сообщений.

Конфиденциальность – защита от несанкционированного ознакомления. На страже конфиденциальности стоят законы, нормативные акты, многолетний опыт соответствующих служб. Аппаратно-программные продукты позволяют закрыть практически все потенциальные каналы утечки информации.

Цель мероприятий в области информационной безопасности – защита интересов субъектов ИБ.

Задачи ИБ:

1. Обеспечение права личности и общества на получение информации.

2. Обеспечение объективной информацией.

3. Борьба с криминальными угрозами в сфере информационных и телекоммуникационных систем, с телефонным терроризмом, отмыванием денег и т.д.

4. Защита личности, организации, общества и государства от информационно-психологических угроз.

5. Формирование имиджа, борьба с клеветой, слухами, дезинформацией.

Роль информационной безопасности возрастает при возникновении экстремальной ситуации, когда любое недостоверное сообщение может привести к усугублению обстановки.

Критерий ИБ – гарантированная защищённость информации от утечки, искажения, утраты или иных форм обесценивания. Безопасные информационные технологии должны обладать способностью к недопущению или нейтрализации воздействия как внешних, так и внутренних угроз информации, содержать в себе адекватные методы и способы её защиты.

Ссылка на основную публикацию
ВсеИнструменты 220 Вольт
Adblock
detector