Главная Интернет технологии Основные аспекты информационной безопасности в строительстве. Аспекты обеспечения информационной безопасности. Системы идентификации и аутентификации пользователей

Основные аспекты информационной безопасности в строительстве. Аспекты обеспечения информационной безопасности. Системы идентификации и аутентификации пользователей

В проблеме информационной безопасности можно выделить следующие аспекты:

Целостность информации

Целостность информации – это её физическая сохранность, защищённость от разрушения и искажения, а также её актуальность и непротиворечивость.

Целостность информации подразделяется на:

· статическую,

· динамическую.

Статическая целостность информации предполагает неизменность информационных объектов от их исходного состояния, определяемого автором или источником информации.

Динамическая целостность информации включает вопросы корректного выполнения сложных действий с информационными потоками, например, анализ потока сообщений для выявления некорректных, контроль правильности передачи сообщений, подтверждение отдельных сообщений и др.

Целостность является важнейшим аспектом информационной безопасности в тех случаях, когда информация используется для управления различными процессами, например, техническими, социальными и т.д.

Так, ошибка в управляющей программе приведет к остановке управляемой системы, неправильная трактовка закона может привести к его нарушениям, точно также неточный перевод инструкции по применению лекарственного препарата может нанести вред здоровью. Все эти примеры иллюстрируют нарушение целостности информации, что может привести к катастрофическим последствиям. Именно поэтому целостность информации выделяется в качестве одной из базовых составляющих информационной безопасности.

Целостность – гарантия того, что информация сейчас существует в ее исходном виде, то есть при ее хранении или передаче не было произведено несанкционированных изменений.

Например, записывая на винчестер компьютера информацию о студентах колледжа, мы надеемся, что она будет храниться там неопределённо долгое время (пока мы сами её не сотрём) в неизменном виде (то есть самопроизвольно, без нашего ведома, в этом списке не изменяются фамилии студентов). Кроме того, мы рассчитываем на непротиворечивость информации, например, на то, что в списке студентов не окажется годовалого ребёнка, или что один и тот же студент не окажется в списках сразу двух групп.

Доступность информации

Доступность информации – это гарантия получения требуемой информации или информационной услуги пользователем за определенное время.

Роль доступности информации особенно проявляется в разного рода системах управления – производством, транспортом и т. п. Менее драматичные, но также весьма неприятные последствия – и материальные, и моральные – может иметь длительная недоступность информационных услуг, которыми пользуется большое количество людей, например, продажа железнодорожных и авиабилетов, банковские услуги, доступ в информационную сеть Интернет и т.п.

Фактор времени в определении доступности информации в ряде случаев является очень важным, поскольку некоторые виды информации и информационных услуг имеют смысл только в определенный промежуток времени. Например, получение заранее заказанного билета на самолет после его вылета теряет всякий смысл. Точно так же получение прогноза погоды на вчерашний день не имеет никакого смысла, поскольку это событие уже наступило. В этом контексте весьма уместной является поговорка: "Дорога ложка к обеду"

Доступность информации подразумевает, что субъект информационных отношений (пользователь) имеет возможность за приемлемое время получить требуемую информационную услугу.

Например, создавая информационную систему с информацией о студентах колледжа, мы рассчитываем, что с помощью этой системы в любое время в течение нескольких секунд сможем получить требующуюся информацию (список студентов любой группы, полную информацию о конкретном студенте, итоговые данные, например, средний возраст студентов, число юношей и девушек и так далее).

Следует отметить, что системы электронной обработки данных создаются именно для предоставления определённых информационных услуг. Если предоставление таких услуг становится невозможным, то это наносит ущерб всем субъектам информационных отношений. Поэтому, не противопоставляя доступность остальным аспектам, её выделяют как важнейший элемент информационной безопасности.

Конфиденциальная информация есть практически во всех организациях. Это может быть технология производства, программный продукт, анкетные данные сотрудников и др. Применительно к вычислительным системам в обязательном порядке конфиденциальными данными являются пароли для доступа к системе.

Конфиденциальность информации – это гарантия доступности конкретной информации только тому кругу лиц, для кого она предназначена.

Конфиденциальная информация – это информация, на доступ к которой имеет право ограниченный круг лиц.

Если же доступ к конфиденциальной информации получает лицо, не имеющее такого права, то такой доступ называется несанкционированным и рассматривается как нарушение защиты конфиденциальной информации. Лицо, получившее или пытающееся получить несанкционированный доступ к конфиденциальной информации, называется злоумышленником .

Например, если Саша отправил Маше письмо по электронной почте, то информация в этом письме является конфиденциальной, так как тайна личной переписки охраняется законом. Если Машин брат, взломав пароль, получил доступ к Машиному почтовому ящику и прочитал письмо, то имеет место несанкционированный доступ к конфиденциальной информации, а Машин брат является злоумышленником.

Обеспечение конфиденциальности информации является наиболее проработанным разделом информационной безопасности.

Федеральным законом «Об информации, информатизации и защите информации» определено, что информационные ресурсы, то есть отдельные документы или массивы документов, в том числе и в информационных системах, являясь объектом отношений физических, юридических лиц и государства, подлежат обязательному учету и защите, как всякое материальное имущество собственника. При этом собственнику предоставляется право самостоятельно в пределах своей компетенции устанавливать режим защиты информационных ресурсов и доступа к ним. Закон также устанавливает, что «конфиденциальной информацией считается такая документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации». При этом федеральный закон может содержать прямую норму, согласно которой какие-либо сведения относятся к категории конфиденциальной информации или доступ к ним ограничивается. Так, федеральный закон «Об информации, информатизации и защите информации» напрямую относит к категории конфиденциальной информации персональные данные (информацию о гражданах). Закон РФ «О банках и банковской деятельности» ограничивает доступ к сведениям по операциям и счетам клиентов и корреспондентов банка.

Однако не, по всем сведениям, составляющим конфиденциальную информацию, применяется прямая норма. Иногда законодательно определяются только признаки, которым должны удовлетворять эти сведения. Это, в частности, относятся к служебной и коммерческой тайне, признаки которых определяются Гражданским кодексом РФ и являются следующими:

 соответствующая информация неизвестная третьим лицам

 к данной информации не установлено на законном основании свободного доступа

 меры по обеспечению конфиденциальности информации принимает собственник информации.

Конфиденциальная информация подразделяется на:

· предметную,

· служебную.

Предметная информация - это сведения о какой-то области реального мира. которые, собственно, и нужны злоумышленнику, например, чертежи подводной лодки или сведения о месте нахождения Усамы Бен-Ладена. Служебная информация не относится к конкретной предметной области, а связана с параметрами работы определенной системы обработки данных. К служебной информации относятся в первую очередь пароли пользователей для работы в системе. Получив служебную информацию (пароль), злоумышленник с ее помощью может затем получить доступ к предметной конфиденциальной информации.

Нарушение каждой из трех категорий приводит к нарушению информационной безопасности в целом. Так, нарушение доступности приводит к отказу в доступе к информации, нарушение целостности приводит к фальсификации информации и, наконец, нарушение конфиденциальности приводит к раскрытию информации.

Этот аспект информационной безопасности стал исключительно актуальным в последнее время в связи с принятием ряда международных правовых актов по защите интеллектуальной собственности. Данный аспект касается в основном предотвращения нелегального использования программ.

Так, например, если пользователь устанавливает на свой компьютер нелицензионную систему Windows, то имеет место факт нарушения защиты информации.

Кроме того, данный аспект касается использования информации, полученной из электронных источников. Эта проблема стала наиболее актуальной в связи с развитием сети Интернет. Сложилась ситуация, когда пользователь Интернет рассматривает всю размещенную там информацию как свою личную собственность, и пользуется ей без каких-либо ограничений, зачастую выдавая за собственный интеллектуальный продукт.

Например, студент «скачивает» из Интернета реферат и сдает преподавателю под своей фамилией.

Законодательные акты и правоприменительная практика, касающиеся данной проблемы, пока находятся в стадии становления.

Следует отметить, что хотя во всех цивилизованных странах на страже безопасности граждан (в том числе информационной) стоят законы, но в сфере вычислительной техники правоприменительная практика пока развита недостаточно, а законотворческий процесс не успевает за развитием технологий, поэтому процесс обеспечения информационной безопасности во многом опирается на меры самозащиты.

Следовательно, необходимо представлять, откуда могут исходить и в чем состоять угрозы информационной безопасности, какие меры могут быть предприняты для защиты информации, и уметь грамотно применять эти меры.

Проблема обеспечения информационной безопасности носит комплексный характер. 11о нашему мнению, для того чтобы более полно и системно изложить международно-правовые вопросы в сфере обеспечения информационной безопасности государства и предложить пути их решения, необходимо начать рассмотрение этой проблемы с определения основных аспектов информационной безопасности.

В проблеме информационной безопасности можно выделить два основных аспекта. Первый аспект включает в себя спектр вопросов, относящихся к информации и к ее содержанию. Это прежде всего вопросы характера распространяемых сведений, их соответствия определенным правилам, и прежде всею принципам международного права, вопросы получения информации различными способами и т.д.

Второй аспект включает в себя круг вопросов, относящихся к средствам сбора, накопления, обработки, хранения и передачи информации. К этим средствам относятся прежде всего вычислительная техника (компьютеры), информационно-телекоммуникационные сети, другие технические средства, обеспечивающие сбор, накопление, обработку, хранение и передачу информации. Проблема обеспечения функционирования указанных средств в современном мире перестает быть исключительно технической проблемой. В настоящее время общепризнано, что быстрое и устойчивое развитие государства невозможно без широкого использования информационных технологий и средств обработки информации. Объективной реальностью в современном мире стало то, что критически важные для функционирования государства структуры, такие как транспорт, энергоснабжение, кредитно-финансовая сфера, связь, система обороны, правоохранительные органы, все более полагаются в своей деятельности на информационные технологии и средства обработки информации, которые должны обеспечивать такие свойства обрабатываемой ими информации.

Как целостность, объективность. доступность и, в необходимых случаях, конфиденциальность. Таким образом, обеспечение надлежащего функционирования указанных средств становится проблемой социальной, а следовательно требующей соответствующего правового регулирования.

Два обозначенных выше аспекта информационной безопасности можно обнаружить во всех проблемах обеспечения информационной безопасности. Выделение этих аспектов необходимо потому, что они отражают две различные сферы общественных отношений, которые требуют установления различных правовых режимов. Смешение этих аспектов приводит к тому, что возникают затруднения в определении понятий, в их разграничении, в разработке предложений по правовому регулированию проблем обеспечения информационной безопасности.

Разумеется, что информационная безопасность имеет еще очень много аспектов, так как безопасность сама по себе явление системное, многоуровневое и в тоже время целостное . Но, на наш взгляд, большинство проблем в сфере информационной безопасности включается в указанные два аспекта, а в случае рассмотрения вопроса международно­правового регулирования, выделение этих аспектов еще более оправдано, так как. и это будет показано далее, исторически обусловлено развитием международного права в сфере информационных отношений.

Еще по теме /./. Основные аспекты информационной безопасности.:

  1. 5.1. Структура и основные направления развития законодательной базы в области информационной безопасности
  2. 5.2. Содержание основных законов Российской Федерации в области информационной безопасности
  3. 5.3. Основные руководящие нормативно-технические, методические и организационные документы в области информационной безопасности
  4. Глава вторая Проблемы решения вопросов информационной безопасности действующим международным правом. Информационная безопасность и международные организации
  5. 2.2. Вопросы информационной безопасности и информационных отношений и деятельность международных организаций на современном этапе.
  6. 1.3. Эволюция международно-правового регулирования информационных отношений с точки зрения обеспечения информационной безопасности.

Аннотация: В лекции рассмотрены основные понятия информационной безопасности. Ознакомление с ФЗ " Об информации, информационных технологиях и о защите информации".

ГОСТ " Защита информации . Основные термины и определения" вводит понятие информационной безопасности как состояние защищенности информации, при котором обеспечены ее конфиденциальность , доступность и целостность .

  • Конфиденциальность – состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на него право.
  • Целостность – состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими на него право;
  • Доступность – состояние информации, при котором субъекты, имеющие право доступа, могут реализовывать его беспрепятственно.

Угрозы информационной безопасности – совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации [ , ]. Атакой называется попытка реализации угрозы, а тот, кто предпринимает такую попытку, - злоумышленником . Потенциальные злоумышленники называются источниками угрозы .

Угроза является следствием наличия уязвимых мест или уязвимостей в информационной системе. Уязвимости могут возникать по разным причинам, например, в результате непреднамеренных ошибок программистов при написании программ.

Угрозы можно классифицировать по нескольким критериям:

  • по свойствам информации (доступность, целостность, конфиденциальность), против которых угрозы направлены в первую очередь;
  • по компонентам информационных систем, на которые угрозы нацелены (данные, программы, аппаратура, поддерживающая инфраструктура );
  • по способу осуществления (случайные/преднамеренные, действия природного/техногенного характера);
  • по расположению источника угроз (внутри/вне рассматриваемой ИС).

Обеспечение информационной безопасности является сложной задачей, для решения которой требуется комплексный подход . Выделяют следующие уровни защиты информации:

  1. законодательный – законы, нормативные акты и прочие документы РФ и международного сообщества;
  2. административный – комплекс мер, предпринимаемых локально руководством организации;
  3. процедурный уровень – меры безопасности, реализуемые людьми;
  4. программно-технический уровень – непосредственно средства защиты информации.

Законодательный уровень является основой для построения системы защиты информации, так как дает базовые понятия предметной области и определяет меру наказания для потенциальных злоумышленников. Этот уровень играет координирующую и направляющую роли и помогает поддерживать в обществе негативное (и карательное) отношение к людям, нарушающим информационную безопасность .

1.2. ФЗ "Об информации, информационных технологиях и о защите информации"

В российском законодательстве базовым законом в области защиты информации является ФЗ "Об информации, информационных технологиях и о защите информации" от 27 июля 2006 года номер 149-ФЗ. Поэтому основные понятия и решения, закрепленные в законе, требуют пристального рассмотрения.

Закон регулирует отношения, возникающие при:

  • осуществлении права на поиск, получение, передачу, производство и распространение информации;
  • применении информационных технологий;
  • обеспечении защиты информации.

Закон дает основные определения в области защиты информации. Приведем некоторые из них:

  • информация - сведения (сообщения, данные) независимо от формы их представления;
  • информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов;
  • информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;
  • обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам;
  • оператор информационной системы - гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных.
  • конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя .

В статье 4 Закона сформулированы принципы правового регулирования отношений в сфере информации, информационных технологий и защиты информации:

  1. свобода поиска, получения, передачи, производства и распространения информации любым законным способом;
  2. установление ограничений доступа к информации только федеральными законами;
  3. открытость информации о деятельности государственных органов и органов местного самоуправления и свободный доступ к такой информации, кроме случаев, установленных федеральными законами;
  4. равноправие языков народов Российской Федерации при создании информационных систем и их эксплуатации;
  5. обеспечение безопасности Российской Федерации при создании информационных систем, их эксплуатации и защите содержащейся в них информации;
  6. достоверность информации и своевременность ее предоставления;
  7. неприкосновенность частной жизни, недопустимость сбора, хранения, использования и распространения информации о частной жизни лица без его согласия;
  8. недопустимость установления нормативными правовыми актами каких-либо преимуществ применения одних информационных технологий перед другими, если только обязательность применения определенных информационных технологий для создания и эксплуатации государственных информационных систем не установлена федеральными законами.

Вся информация делится на общедоступную и ограниченного доступа . К общедоступной информации относятся общеизвестные сведения и иная информация , доступ к которой не ограничен. В законе, определяется информация , к которой нельзя ограничить доступ , например, информация об окружающей среде или деятельности государственных органов. Оговаривается также, что ограничение доступа к информации устанавливается федеральными законами в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства. Обязательным является соблюдение конфиденциальности информации, доступ к которой ограничен федеральными законами.

Запрещается требовать от гражданина (физического лица) предоставления информации о его частной жизни, в том числе информации, составляющей личную или семейную тайну, и получать такую информацию помимо воли гражданина (физического лица), если иное не предусмотрено федеральными законами.

  1. информацию, свободно распространяемую;
  2. информацию, предоставляемую по соглашению лиц, участвующих в соответствующих отношениях;
  3. информацию, которая в соответствии с федеральными законами подлежит предоставлению или распространению;
  4. информацию, распространение которой в Российской Федерации ограничивается или запрещается.

Закон устанавливает равнозначность электронного сообщения, подписанного электронной цифровой подписью или иным аналогом собственноручной подписи, и документа, подписанного собственноручно.

Дается следующее определение защите информации - представляет собой принятие правовых, организационных и технических мер, направленных на:

  1. обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
  2. соблюдение конфиденциальности информации ограниченного доступа;
  3. реализацию права на доступ к информации.

Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить:

  1. предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;
  2. своевременное обнаружение фактов несанкционированного доступа к информации;
  3. предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;
  4. недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;
  5. возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;
  6. постоянный контроль за обеспечением уровня защищенности информации.

Таким образом, ФЗ "Об информации, информационных технологиях и о защите информации" создает правовую основу информационного обмена в РФ и определяет права и обязанности его субъектов.

Доступность – возможность получения информации за приемлемое время лицами, процессами или системами, имеющими на это право.

Считается, что доступность информации является важнейшим элементом информационной безопасности: информационные системы (ИС) создаются для получения информационных услуг, а если предоставить услуги пользователям становится невозможно, это наносит ущерб всем субъектам информационных отношений.

Целостность – актуальность и непротиворечивость информации, защищенность от разрушения и несанкционированного изменения.

Целостность можно подразделить на статическую (понимаемую как неизменность информационных объектов) и динамическую (относящуюся к корректному выполнению сложных действий (транзакций). Средства контроля динамической целостности применяются при анализе потока финансовых сообщений с целью выявления кражи, переупорядочения или дублирования отдельных сообщений.

Конфиденциальность – защищенность от несанкционированного доступа к информации.

Аспект конфиденциальность считается наиболее проработанным в РФ

Существует 3 вида возможных нарушений ИС: нарушение целостности, доступности и конфиденциальности информации.

Нарушения доступности информации могут быть связаны со следующими факторами: отказы пользователей, внутренние отказы, отказ поддерживающей инфраструктуры. К отказам пользователей относятся: нежелание работать в силу несоответствия запросов пользователей с фактическими характеристиками системы и по др. причинам, невозможность работать в силу отсутствия соответствующей подготовки или отсутствия технической поддержки. Основными источниками внутренних отказов являются: случайное или умышленное отступление от правил эксплуатации, ошибки при (пере) конфигурировании системы, отказы программного и аппаратного обеспечения, разрушение данных, разрушение или повреждение аппаратуры. Отказы поддерживающей инфраструктуры предполагают случайное или умышленное нарушение работы систем связи, электропитания, тепло- и водоснабжения; разрушение или повреждение помещений и т.п.

Нарушения целостности информации предполагают нарушение статической и динамической целостности. Статическая целостность может быть нарушена путем ввода неверных данных или изменения данных. Угрозами динамической целостности являются нарушение атомарности транзакций, переупорядочивание, кража, дублирование данных или внесение дополнительных сообщений (сетевых пакетов и т.п.). Соответствующие действия в сетевой среде называются активным прослушиванием.

Конфиденциальность данных может быть нарушена путем перехвата данных (передаваемых в разговоре, в письме, по сети), атак (в т.ч. подслушивание или прослушивание разговоров, пассивное прослушивание сети и т.п.), методы морально-психологического воздействия (напр., маскарад – выполнение действий под видом лица, обладающего полномочиями, для доступа к данным). Также, конфиденциальность информации может быть нарушена в результате злоупотребления полномочиями (напр., системный администратор способен прочитать любой (незашифрованный) файл, получить доступ к почте любого пользователя и т.д.).

Введение

Информационная безопасность, как и защита информации, задача комплексная, направленная на обеспечение безопасности, реализуемая внедрением системы безопасности. Проблема защиты информации является многоплановой и комплексной и охватывает ряд важных задач. Проблемы информационной безопасности постоянно усугубляются процессами проникновения во все сферы общества технических средств обработки и передачи данных и, прежде всего, вычислительных систем.

На сегодняшний день сформулировано три базовых принципа, которые должна обеспечивать информационная безопасность:

целостность данных - защита от сбоев, ведущих к потере информации, а также зашита от неавторизованного создания или уничтожения данных;

конфиденциальность информации;

При разработке компьютерных систем, выход из строя или ошибки в работе которых могут привести к тяжелым последствиям, вопросы компьютерной безопасности становятся первоочередными. Известно много мер, направленных на обеспечение компьютерной безопасности, основными среди них являются технические, организационные и правовые.

Особенно актуальны вопросы информационной безопасности государства, в частности - России.

Цель работы - рассмотрение обеспечения информационной безопасности России.

Предмет работы - информационная безопасность.

Объект работы - процессы обеспечения информационной безопасности государства.

Задачи, поставленные в работе:

рассмотреть особенности информационной безопасности как категории;

рассмотреть нормативно-правовую базу обеспечения информационной безопасности;

рассмотреть особенности процесса обеспечения информационной безопасности в России.

Работа состоит из введения, основной части, в которой рассматриваются теоретические и практические аспекты изучаемой проблемы, заключения и списка использованной литературы.

Основные аспекты информационной безопасности

Информационная безопасность - это процесс обеспечения конфиденциальности, целостности и доступности информации.

Конфиденциальность: Обеспечение доступа к информации только авторизованным пользователям.

Целостность: Обеспечение достоверности и полноты информации и методов ее обработки.

Доступность: Обеспечение доступа к информации и связанным с ней активам авторизованных пользователей по мере необходимости.

Информационная безопасность (англ. information security) - все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчётности, аутентичности и достоверности информации или средств её обработки.

Безопасность информации (данных) (англ. information (data) security) - состояние защищённости информации (данных), при котором обеспечиваются её (их) конфиденциальность, доступность и целостность.

Безопасность информации (данных) определяется отсутствием недопустимого риска, связанного с утечкой информации по техническим каналам, несанкционированными и непреднамеренными воздействиями на данные и (или) на другие ресурсы автоматизированной информационной системы, используемые в автоматизированной системе.

Безопасность информации (при применении информационных технологий) (англ. IT security) - состояние защищённости информации (данных), обеспечивающее безопасность информации, для обработки которой она применяется, и информационную безопасность автоматизированной информационной системы, в которой она реализована.

Безопасность автоматизированной информационной системы - состояние защищённости автоматизированной системы, при котором обеспечиваются конфиденциальность, доступность, целостность, подотчётность и подлинность её ресурсов.

Информационная безопасность - защищённость информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений. Поддерживающая инфраструктура - системы электро-, тепло-, водо-, газоснабжения, системы кондиционирования и т. д., а также обслуживающий персонал. Неприемлемый ущерб - ущерб, которым нельзя пренебречь.

Существенные признаки понятия

В качестве стандартной модели безопасности часто приводят модель из трёх категорий:

Конфиденциальность (англ. confidentiality) - состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на неё право;

целостность (англ. integrity) - избежание несанкционированной модификации информации;

доступность (англ. availability) - избежание временного или постоянного сокрытия информации от пользователей, получивших права доступа.

Выделяют и другие не всегда обязательные категории модели безопасности:

неотказуемость или апеллируемость (англ. non-repudiation) - способность удостоверять имевшее место действие или событие так, что эти события или действия не могли быть позже отвергнуты;

подотчётность (англ. accountability) - обеспечение идентификации субъекта доступа и регистрации его действий;

достоверность (англ. reliability) - свойство соответствия предусмотренному поведению или результату;

аутентичность или подлинность (англ. authenticity) - свойство, гарантирующее, что субъект или ресурс идентичны заявленным.

Объём (реализация) понятия «информационная безопасность»

Системный подход к описанию информационной безопасности предлагает выделить следующие составляющие информационной безопасности:

Законодательная, нормативно-правовая и научная база.

Структура и задачи органов (подразделений), обеспечивающих безопасность ИТ.

Организационно-технические и режимные меры и методы (Политика информационной безопасности).

Программно-технические способы и средства обеспечения информационной безопасности.

Ниже в данном разделе подробно будет рассмотрена каждая из составляющих информационной безопасности.

Целью реализации информационной безопасности какого-либо объекта является построение Системы обеспечения информационной безопасности данного объекта (СОИБ). Для построения и эффективной эксплуатации СОИБ необходимо:

выявить требования защиты информации, специфические для данного объекта защиты;

учесть требования национального и международного Законодательства;

использовать наработанные практики (стандарты, методологии) построения подобных СОИБ;

определить подразделения, ответственные за реализацию и поддержку СОИБ;

распределить между подразделениями области ответственности в осуществлении требований СОИБ;

на базе управления рисками информационной безопасности определить общие положения, технические и организационные требования, составляющие Политику информационной безопасности объекта защиты;

реализовать требования Политики информационной безопасности, внедрив соответствующие программно-технические способы и средства защиты информации;

реализовать Систему менеджмента (управления) информационной безопасности (СМИБ);

используя СМИБ организовать регулярный контроль эффективности СОИБ и при необходимости пересмотр и корректировку СОИБ и СМИБ.

Как видно из последнего этапа работ, процесс реализации СОИБ непрерывный и циклично (после каждого пересмотра) возвращается к первому этапу, повторяя последовательно все остальные. Так СОИБ корректируется для эффективного выполнения своих задач защиты информации и соответствия новым требованиям постоянно обновляющейся информационной системы.

Нормативные документы в области информационной безопасности

В Российской Федерации к нормативно-правовым актам в области информационной безопасности относятся:

Акты федерального законодательства:

Международные договоры РФ;

Конституция РФ;

Законы федерального уровня (включая федеральные конституционные законы, кодексы);

Указы Президента РФ;

Постановления Правительства РФ;

Нормативные правовые акты федеральных министерств и ведомств;

Нормативные правовые акты субъектов РФ, органов местного самоуправления и т. д.

Подробнее списки и содержание указанных нормативных документов в области информационной безопасности обсуждаются в разделе Информационное право.

К нормативно-методическим документам можно отнести

Методические документы государственных органов России:

Доктрина информационной безопасности РФ;

Руководящие документы ФСТЭК (Гостехкомиссии России);

Стандарты информационной безопасности, из которых выделяют:

Международные стандарты;

Государственные (национальные) стандарты РФ;

Методические указания.

Органы (подразделения), обеспечивающие информационную безопасность

В зависимости от приложения деятельности в области защиты информации (в рамках государственных органов власти или коммерческих организаций), сама деятельность организуется специальными государственными органами (подразделениями), либо отделами (службами) предприятия.

Государственные органы РФ, контролирующие деятельность в области защиты информации:

Комитет Государственной думы по безопасности;

Совет безопасности России;

Федеральная служба по техническому и экспортному контролю (ФСТЭК России);

Федеральная служба безопасности Российской Федерации (ФСБ России);

Федеральная служба охраны Российской Федерации (ФСО России);

Служба внешней разведки Российской Федерации (СВР России);

Министерство обороны Российской Федерации (Минобороны России);

Министерство внутренних дел Российской Федерации (МВД России);

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

Службы, организующие защиту информации на уровне предприятия

Служба экономической безопасности;

Служба безопасности персонала (Режимный отдел);

Кадровая служба;

Служба информационной безопасности.

Организационно-технические и режимные меры и методы

Для описания технологии защиты информации конкретной информационной системы обычно строится так называемая Политика информационной безопасности или Политика безопасности рассматриваемой информационной системы.

Политика безопасности (информации в организации) (англ. Organizational security policy) - совокупность документированных правил, процедур, практических приёмов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.

Политика безопасности информационно-телекоммуникационных технологий (англ. ІСТ security policy) - правила, директивы, сложившаяся практика, которые определяют, как в пределах организации и её информационно-телекоммуникационных технологий управлять, защищать и распределять активы, в том числе критичную информацию.

Для построения Политики информационной безопасности рекомендуется отдельно рассматривать следующие направления защиты информационной системы:

Защита объектов информационной системы;

Защита процессов, процедур и программ обработки информации;

Защита каналов связи (акустические, инфракрасные, проводные, радиоканалы и др.);

Подавление побочных электромагнитных излучений;

Управление системой защиты.

При этом по каждому из перечисленных выше направлений Политика информационной безопасности должна описывать следующие этапы создания средств защиты информации:

Определение информационных и технических ресурсов, подлежащих защите;

Выявление полного множества потенциально возможных угроз и каналов утечки информации;

Проведение оценки уязвимости и рисков информации при имеющемся множестве угроз и каналов утечки;

Определение требований к системе защиты;

Осуществление выбора средств защиты информации и их характеристик;

Внедрение и организация использования выбранных мер, способов и средств защиты;

Осуществление контроля целостности и управление системой защиты.

Политика информационной безопасности оформляется в виде документированных требований на информационную систему. Документы обычно разделяют по уровням описания (детализации) процесса защиты.

Документы верхнего уровня Политики информационной безопасности отражают позицию организации к деятельности в области защиты информации, её стремление соответствовать государственным, международным требованиям и стандартам в этой области. Подобные документы могут называться «Концепция ИБ», «Регламент управления ИБ», «Политика ИБ», «Технический стандарт ИБ» и т. п. Область распространения документов верхнего уровня обычно не ограничивается, однако данные документы могут выпускаться и в двух редакциях - для внешнего и внутреннего использования.

Согласно ГОСТ Р ИСО/МЭК 17799-2005, на верхнем уровне Политики информационной безопасности должны быть оформлены следующие документы: «Концепция обеспечения ИБ», «Правила допустимого использования ресурсов информационной системы», «План обеспечения непрерывности бизнеса».

К среднему уровню относят документы, касающиеся отдельных аспектов информационной безопасности. Это требования на создание и эксплуатацию средств защиты информации, организацию информационных и бизнес-процессов организации по конкретному направлению защиты информации. Например: Безопасности данных, Безопасности коммуникаций, Использования средств криптографической защиты, Контентная фильтрация и т. п. Подобные документы обычно издаются в виде внутренних технических и организационных политик (стандартов) организации. Все документы среднего уровня политики информационной безопасности конфиденциальны.

В политику информационной безопасности нижнего уровня входят регламенты работ, руководства по администрированию, инструкции по эксплуатации отдельных сервисов информационной безопасности.

Заключение

В своей работе я рассмотрела основные аспекты информационной безопасности. Изучила нормативную литературу, а также дополнительные источники информации. Проблема защиты информации является многоплановой и комплексной и охватывает ряд важных задач. Проблемы информационной безопасности постоянно усугубляются процессами проникновения во все сферы общества технических средств обработки и передачи данных и, прежде всего, вычислительных систем.

Ценность изучения данной темы определена бурным развитием информационных и телекоммуникационных технологий, их активным внедрением в деятельность предприятий и организаций, и вытекающей из этого потребностью защиты информации.

Литература

информационная безопасность государственный нормативный

Об электронной цифровой подписи: ФЗ №63-ФЗ от 06.04.2011.

Басалова, Г.В. Основы криптографии / Интернет университет информационных технологий - ИНТУИТ.ру, 2010

Программно-аппаратная защита информации: учеб. пособие / С.К. Варлатая, М.В. Шаханова. - Владивосток: Издательство ДВГТУ. 2007

Рекомендуем статьи по теме
Компьютеры
Выгружаем фотографии из iCloud в iPhone
Выгружаем фотографии из iCloud в iPhone
В устройствах iOS есть такие функции, как «Фотопленка» и «Фотопоток». Для чего они предназначены? Что представляет собой функция...
Ноутбуки
Временная почта Открыть е майл
Временная почта Открыть е майл
Здравствуйте, уважаемые читатели блога сайт. Эл.почта для меня является основным источником связи с «внешним миром». Ни , ни какие-то...