 |
Комплексность противодействия угрозам
|
|
|
|
Обеспечение информационной безопасности объекта информатизации требует реализации двух взаимосвязанных компонентов (систем, комплексов, средств) –
защиты информации и безопасности информации.
На практике при создании автоматизированных систем разрабатывается обеспечивающая подсистема АС – система защиты информации (СЗИ), а задачи безопасности информации решаются за счёт эффективного создания информационных ресурсов, эффективной реализации информационных технологий и других обеспечивающих подсистем АС.
В дальнейшем тематическая направленность нашего материала будет направлена, прежде всего, на решение проблемы защищённости информации в АС, связанной с угрозами информации, и соответственно на методы, средства и системы защиты информации. Тем более, между угрозами информации и информационными угрозами (последние зависят, прежде всего, от качества проектируемых и эксплуатируемых на объекте информатизации автоматизированных систем различного назначения) существует естественная взаимосвязь, характер которой можно раскрыть через понятие информационных рисков.
Информационные риски
Важным фактором для оценки эффективности системы защиты информации является понимание соотношения «информационный риск – нанесённый ущерб».
Общепринятое понятие риска – возможное опасное событие.
Ущерб – последствия от происшедшего опасного события.
Информационный риск – опасное для субъекта или объекта информатизации событие, при реализации которого наносится ущерб как для самой информационной сферы, так и, возможно, для информационно обслуживаемого объекта в целом.
|
|
|
Понятие риска непосредственно связано с понятием угроз – угрозы порождают риски.
Два класса угроз информационного характера: угрозы информации и информационные угрозы. Угрозы информации являются первичными для информационной сферы, в целом для решения проблемы информационной безопасности.
Схема формирования ущерба организации за счёт угроз информационной безопасности показана на Рисунке 1.
Механизм влияния информационных угроз связан с порождением информационных рисков для деятельности объекта информатизации и с ущербом, который наносится объекту, если информационная угроза становится реальным событием. Причём это событие приносит непосредственный ущерб информационной сфере объекта и одновременно порождает информационную угрозу, которая становится причиной рисков для деятельности организации. Виды порождаемых рисков зависят от характера основной деятельности объекта (риски предпринимательские, финансовые, банковские, производственные и другие) и от степени зависимости организации от своих информационных технологий.
Рисунок 1 - Схема формирования ущерба организации за счёт угроз информационной безопасности
Ущерб от информационных рисков может даже превышать ущерб от рисков основной деятельности объекта информатизации за счёт дополнительного непосредственного ущерба в информационной сфере (требуется восстановление средств АС, информационных ресурсов и т.д.).
Объекты защиты
В качестве объектов, в интересах или в отношении которых решаются задачи обеспечения информационной безопасности, могут быть любые объекты (субъекты), включаемые в информационную сферу, реализующие информационные технологии и процессы (хранение, обработку, передачу, использование информации) и обеспечивающие реализацию технологий и процессов.
Задача защиты информации
|
|
|
В качестве объектов защиты определяются, прежде всего, информационные объекты (ИО): документы, массивы документов и данных, банки и базы данных, сообщения, отдельные информационные показатели и т.д.
Кроме того, объектами защиты могут быть средства реализации информационных технологий, влияющие, в конечном счете, на состояние информационных объектов:
- компьютерные и телекоммуникационные системы;
- программы и программные комплексы;
- технические устройства и блоки;
- автоматизированные рабочие места;
- серверы;
- компоненты телекоммуникационной среды и т.д.
К категории объектов защиты могут быть отнесены технологические компоненты информационных процессов:
- режимы обработки и передачи данных;
- функциональные задачи автоматизированных систем обработки данных;
- транзакции и команды и т.д.
|
|
|
