Главная | Обратная связь | Поможем написать вашу работу!
МегаЛекции

Поясним понятия доступности, целостности и конфиденциальности.




Лекция 1. Понятие информационной безопасности. Основные составляющие. Важность проблемы

Под информационной безопасностью (ИБ) следует понимать защиту интере­сов субъектов информационных отношений. Ниже описаны основные ее со­ставляющие - конфиденциальность, целостность, доступность. Приводится статистика нарушений ИБ, описываются наиболее характерные случаи.

Ключевые слова: информационная безопасность, защита информа­ции, субъект информационных отношений, неприемлемый ущерб, поддерживающая инфраструктура, доступность, целостность, кон­фиденциальность, доктрина информационной безопасности Рос­сийской Федерации, компьютерное преступление, жизненный цикл информационных систем.

Понятие информационной безопасности

Словосочетание «информационная безопасность» в разных контек­стах может иметь различный смысл.

В Доктрине информационной безопасности Российской Федерации термин «информационная безопасность» используется в широком смыс­ле. Имеется в виду состояние защищенности национальных интересов в информационной сфере, определяемых совокупностью сбалансирован­ных интересов личности, общества и государства.

В Законе РФ «Об участии в международном информационном обме­не» информационная безопасность определяется аналогичным образом — как состояние защищенности информационной среды общества, обеспе­чивающее ее формирование, использование и развитие в интересах граж­дан, организаций, государства.

В данном курсе наше внимание будет сосредоточено на хранении, обработке и передаче информации вне зависимости от того, на каком языке (русском или каком-либо ином) она закодирована, кто или что яв­ляется ее источником и какое психологическое воздействие она оказыва­ет на людей. Поэтому термин «информационная безопасность» будет ис­пользоваться в узком смысле, так, как это принято, например, в англо­язычной литературе.

Под информационной безопасностью мы будем понимать защи­щенность информации и поддерживающей инфраструктуры от случай­ных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры. (Чуть дальше мы по­ясним, что следует понимать под поддерживающей инфраструктурой.)

Защита информации — это комплекс мероприятий, направленных на обеспечение информационной безопасности.

Таким образом, правильный с методологической точки зрения под­ход к проблемам информационной безопасности начинается с выявления субъектов информационных отношений и интересов этих субъектов, свя­занных с использованием информационных систем (ИС). Угрозы инфор­мационной безопасности — это оборотная сторона использования ин­формационных технологий.

Из этого положения можно вывести два важных следствия:

1 Трактовка проблем, связанных с информационной безопасностью, для разных категорий субъектов может существенно различаться. Для иллюстрации достаточно сопоставить режимные государствен­ные организации и учебные институты. В первом случае «пусть луч­ше все сломается, чем враг узнает хоть один секретный бит», во вто­ром - «да нет у нас никаких секретов, лишь бы все работало».

2 Информационная безопасность не сводится исключительно к за­щите от несанкционированного доступа к информации, это прин­ципиально более широкое понятие. Субъект информационных от­ношений может пострадать (понести убытки и/или получить мо­ральный ущерб) не только от несанкционированного доступа, но и от поломки системы, вызвавшей перерыв в работе. Более того, для многих открытых организаций (например, учебных) собственно за­щита от несанкционированного доступа к информации стоит по важности отнюдь не на первом месте.

Возвращаясь к вопросам терминологии, отметим, что термин «компьютерная безопасность» (как эквивалент или заменитель ИБ) представляется нам слишком узким. Компьютеры — только одна из со­ставляющих информационных систем, и хотя наше внимание будет со­средоточено в первую очередь на информации, которая хранится, обра­батывается и передается с помощью компьютеров, ее безопасность оп­ределяется всей совокупностью составляющих и, в первую очередь, са­мым слабым звеном, которым в подавляющем большинстве случаев оказывается человек (записавший, например, свой пароль на «горчич­нике», прилепленном к монитору).

Согласно определению информационной безопасности, она зависит не только от компьютеров, но и от поддерживающей инфраструктуры, к которой можно отнести системы электро-, водо- и теплоснабжения, кон­диционеры, средства коммуникаций и, конечно, обслуживающий персо-

Нал. Эта инфраструктура имеет самостоятельную ценность, но нас будет интересовать лишь то, как она влияет на выполнение информационной системой предписанных ей функций.

Обратим внимание, что в определении ИБ перед существительным «ущерб» стоит прилагательное «неприемлемый». Очевидно, застраховать­ся от всех видов ущерба невозможно, тем более невозможно сделать это экономически целесообразным способом, когда стоимость защитных средств и мероприятий не превышает размер ожидаемого ущерба. Значит, с чем-то приходится мириться и защищаться следует только от того, с чем смириться никак нельзя. Иногда таким недопустимым ущербом является нанесение вреда здоровью людей или состоянию окружающей среды, но чаще порог неприемлемости имеет материальное (денежное) выражение, а целью защиты информации становится уменьшение размеров ущерба до допустимых значений.

Основные составляющие информационной безопасности

Информационная безопасность — многогранная, можно даже ска­зать, многомерная область деятельности, в которой успех может принес­ти только систематический, комплексный подход.

Спектр интересов субъектов, связанных с использованием инфор­мационных систем, можно разделить на следующие категории: обеспече­ние доступности, целостности и конфиденциальности информационных ресурсов и поддерживающей инфраструктуры.

Иногда в число основных составляющих ИБ включают защиту от не­санкционированного копирования информации, но, на наш взгляд, это слишком специфический аспект с сомнительными шансами на успех, по­этому мы не станем его выделять.

Поясним понятия доступности, целостности и конфиденциальности.

Доступность — это возможность за приемлемое время получить тре­буемую информационную услугу.

Под целостностью подразумевается актуальность и непротиворечи­вость информации, ее защищенность от разрушения и несанкциониро­ванного изменения.

Наконец, конфиденциальность — это защита от несанкционирован­ного доступа к информации.

Информационные системы создаются (приобретаются) для полу­чения определенных информационных услуг. Если по тем или иным причинам предоставить эти услуги пользователям становится невоз­можно, это, очевидно, наносит ущерб всем субъектам информацион­ных отношений. Поэтому, не противопоставляя доступность остальным аспектам, мы выделяем ее как важнейший элемент информаци­онной безопасности.

Особенно ярко ведущая роль доступности проявляется в разного рода системах управления — производством, транспортом и т.п. Внешне менее драматичные, но также весьма неприятные последст­вия — и материальные, и моральные — может иметь длительная недо­ступность информационных услуг, которыми пользуется большое ко­личество людей (продажа железнодорожных и авиабилетов, банков­ские услуги и т.п.).

Целостность можно подразделить на статическую (понимаемую как неизменность информационных объектов) и динамическую (относящую­ся к корректному выполнению сложных действий (транзакций)). Средст­ва контроля динамической целостности применяются, в частности, при анализе потока финансовых сообщений с целью выявления кражи, пере­упорядочения или дублирования отдельных сообщений.

Целостность оказывается важнейшим аспектом И Б в тех случаях, когда информация служит «руководством к действию». Рецептура ле­карств, предписанные медицинские процедуры, набор и характеристики комплектующих изделий, ход технологического процесса — все это при­меры информации, нарушение целостности которой может оказаться в буквальном смысле смертельным. Неприятно и искажение официальной информации, будь то текст закона или страница Web-сервера какой-либо правительственной организации.

Конфиденциальность — самый проработанный у нас в стране аспект информационной безопасности. К сожалению, практическая реализация мер по обеспечению конфиденциальности современных информацион­ных систем наталкивается в России на серьезные трудности. Во-первых, сведения о технических каналах утечки информации являются закрыты­ми, так что большинство пользователей лишено возможности составить представление о потенциальных рисках. Во-вторых, на пути пользовательской криптографии как основного средства обеспечения конфиденциальности стоят многочисленные законодательные препоны и технические проблемы.

Если вернуться к анализу интересов различных категорий субъектов информационных отношений, то почти для всех, кто реально использует ИС, на первом месте стоит доступность. Практически не уступает ей по важности целостность — какой смысл в информационной услуге, если она содержит искаженные сведения?

Наконец, конфиденциальные моменты есть также у многих организаций (даже в упоминавшихся выше учебных институтах стараются не разглашать сведения о зарплате сотрудников) и отдельных пользователе! (например, пароли).

Поделиться:





Воспользуйтесь поиском по сайту:



©2015 - 2024 megalektsii.ru Все авторские права принадлежат авторам лекционных материалов. Обратная связь с нами...