 |
Понятие информационной безопасности
|
|
|
|
Тема #1: Понятие информационной безопасности. Основные составляющие.
Введение
Бурное развитие информационных технологий, вовлечение их во все сферы деятельности человека породило массу вопросов, о которых не было и намеков на этапе зарождения электронной техники. Одним из них стала защита информации.
Став мощнейшим инструментом обработки и хранения данных практически во всех областях экономических отношений, электронная техника стала инструментом воздействия на них. Любое средство, если за ним нет надлежащего ухода, можно заставить работать против его владельца. Так часто случается и с информационными технологиями. В США в 2003 году только официально объявленный ущерб от инцидентов, связанных с информационной безопасностью, приблизился к отметке в 1 миллиард долларов.
Неслучайно, защита информации – очень эффективно развивающееся направление в информационных технологиях. По данным последних лет в технологически развитых странах Запада средняя заработная плата в целом по информационным технологиям идет на убыль, начиная с 2003 года. И только в трех областях, включая информационную безопасность, продолжается неуклонный рост "стоимости" высококвалифицированных специалистов.
Постепенно и в нашей стране термин защита информации начинает все меньше ассоциироваться с государственной тайной. Появляются понятия коммерческой тайны и конфиденциальных персональных данных. Конъюнктура рыночных отношений заставляет всех специалистов по информационным технологиям, если они хотят продолжать быть востребованными, обладать базовыми знаниями по защите информации – информационной безопасности.
|
|
|
Понятие информационной безопасности
Словосочетание "информационная безопасность" в разных контекстах может иметь различный смысл. В Доктрине информационной безопасности Российской Федерации термин "информационная безопасность" используется в широком смысле. Имеется в виду состояние защищенности национальных интересов в информационной сфере, определяемых совокупностью сбалансированных интересов личности, общества и государства.
В Законе РФ "Об участии в международном информационном обмене" информационная безопасность определяется аналогичным образом – как состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства.
В данном курсе наше внимание будет сосредоточено на хранении, обработке и передаче информации вне зависимости от того, на каком языке (русском или каком-либо ином) она закодирована, кто или что является ее источником и какое психологическое воздействие она оказывает на людей. Поэтому термин "информационная безопасность" будет использоваться в узком смысле, так, как это принято, например, в англоязычной литературе.
Под информационной безопасностью мы будем понимать защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры.
Защита информации – это комплекс мероприятий, направленных на обеспечение информационной безопасности.
Цель информационной безопасности - обезопасить ценности системы, защитить и гарантировать точность и целостность информации и минимизировать разрушения, которые могут иметь место, если информация будет модифицирована или разрушена.
|
|
|
Таким образом, правильный с методологической точки зрения подход к проблемам информационной безопасности начинается с выявления субъектов информационных отношений и интересов этих субъектов, связанных с использованием информационных систем (ИС). Угрозы информационной безопасности – это оборотная сторона использования информационных технологий.
Из этого положения можно вывести два важных следствия:
1. Трактовка проблем, связанных с информационной безопасностью, для разных категорий субъектов может существенно различаться. Для иллюстрации достаточно сопоставить режимные государственные организации и учебные институты. В первом случае "пусть лучше все сломается, чем враг узнает хоть один секретный бит", во втором – "да нет у нас никаких секретов, лишь бы все работало".
2. Информационная безопасность не сводится исключительно к защите от несанкционированного доступа к информации, это принципиально более широкое понятие. Субъект информационных отношений может пострадать (понести убытки и/или получить моральный ущерб) не только от несанкционированного доступа, но и от поломки системы, вызвавшей перерыв в работе. Более того, для многих открытых организаций (например, учебных) собственно защита от несанкционированного доступа к информации стоит по важности отнюдь не на первом месте.
Возвращаясь к вопросам терминологии, отметим, что термин "компьютерная безопасность" (как эквивалент или заменитель ИБ) представляется нам слишком узким. Компьютеры – только одна из составляющих информационных систем, и хотя наше внимание будет сосредоточено в первую очередь на информации, которая хранится, обрабатывается и передается с помощью компьютеров (вычислительных систем), ее безопасность определяется всей совокупностью составляющих и, в первую очередь, самым слабым звеном, которым в подавляющем большинстве случаев оказывается человек.
Согласно определению информационной безопасности, она зависит не только от компьютеров, но и от поддерживающей инфраструктуры, к которой можно отнести системы электро-, водо- и теплоснабжения, кондиционеры, средства коммуникаций и, конечно, обслуживающий персонал. Эта инфраструктура имеет самостоятельную ценность, но нас будет интересовать лишь то, как она влияет на выполнение информационной системой предписанных ей функций.
|
|
|
Обратим внимание, что в определении ИБ перед существительным "ущерб" стоит прилагательное "неприемлемый". Очевидно, застраховаться от всех видов ущерба невозможно, тем более невозможно сделать это экономически целесообразным способом, когда стоимость защитных средств и мероприятий не превышает размер ожидаемого ущерба. Значит, с чем-то приходится мириться и защищаться следует только от того, с чем смириться никак нельзя. Иногда таким недопустимым ущербом является нанесение вреда здоровью людей или состоянию окружающей среды, но чаще порог неприемлемости имеет материальное (денежное) выражение, а целью защиты информации становится уменьшение размеров ущерба до допустимых значений.
Государственный Стандарт Российской Федерации (ГОСТ Р 50922-96. Защита информации. Основные термины и определения) вводит следующие определения:
- информация – сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления;
- носитель информации – физическое лицо, или материальный объект, в том числе физическое поле, в которых информация находит свое отображение в виде символов, образов, сигналов, технических решений и процессов.
Уровни ИБ
1. Законодательный
2. Административный (управленческий)
3. Процедурный
4. Программно-технический
|
|
|
