Не важно, что произошло. То, что вы будете делать после этого, определяет результат. © Катрин Кульман 1143 - | 888 - или читать все...
Обратная связь Пожаловаться на материал

Концептуальные вопросы защиты информации


Стр 1 из 2Следующая ⇒

Основные понятия и определения в области защиты информации

 

Термин информационная безопасность в разных контекстах может иметь различное значение.

В Доктрине информационной безопасности РФ он используется в широком смысле и означает состояние защищенности национальных интересов в информационной сфере, определяемых совокупностью сбалансированных интересов личности, общества и государства.

В рамках изучаемой дисциплины основное внимание уделяется информационным процессам хранения, обработки и передачи информации вне зависимости от того, на каком языке она закодирована, кто или что является ее источником, и какое психологическое воздействие на человека она оказывает. Поэтому в данной дисциплине термин информационная безопасность будет рассматриваться в узком смысле и означать защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры [3].

Защита информации – это комплекс мероприятий, направленных на обеспечение информационной безопасности.

Таким образом, правильный с методологической точки зрения подход к проблемам информационной безопасности начинается с выявления субъектов информационных отношений и интересов этих субъектов, связанных с использованием информационных систем. Следовательно, угроза информационной безопасности – это оборотная сторона использования информационных технологий. Из этого положением можно вывести два важных следствия:

1. Трактовка проблем, связанных с информационной безопасностью, для разных категорий субъектов может существенно отличаться.

2. Информационная безопасность не сводится исключительно к защите от несанкционированного доступа к информации, это принципиально более широкое понятие (например: поломка системы, приведшая к перерыву в работе).

К поддерживающей инфраструктуре следует отнести системы электро-, водо- и теплоснабжения, кондиционеры, средства коммуникаций, а также обслуживающий персонал.

Информационная безопасность – многогранная, многомерная область деятельности, в которой успех может принести только системный, комплексный подход. Спектр интересов субъектов, связанных с использование информационных систем, можно разделить на следующие категории: обеспечение доступности, целостности и конфиденциальности информационных ресурсов и поддерживающей инфраструктуры.

Доступность – это гарантия получения требуемой информации или информационной услуги пользователем за определенное время.

Целостность – это актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения. То есть целостность предполагает неизменность информационных объектов от их исходного состояния, определяемого автором или источником информации. Целостность можно подразделить на статическую (неизменность информационных объектов) и динамическую (корректное выполнение сложных действий – транзакций). Целостность является важнейшим аспектом информационной безопасности в тех случаях, когда информация используется для управления различными процессами, например, техническими, социальными и т.д. Так, ошибка в управляющей программе приведет к остановке управляемой системы, неправильная трактовка закона может привести к его нарушениям, точно так же неточный перевод инструкции по применению лекарственного препарата может нанести вред здоровью. Все эти примеры иллюстрируют нарушение целостности информации, что может привести к катастрофическим последствиям. Именно поэтому целостность информации выделяется в качестве одной из базовых составляющих информационной безопасности.

Конфиденциальность – это защита от несанкционированного доступа к информации. Основным средством обеспечения конфиденциальности является шифрование информации. Конфиденциальная информация есть практически во всех организациях. Это может быть технология производства, программный продукт, анкетные данные сотрудников и др. Применительно к вычислительным системам в обязательном порядке конфиденциальными данными являются пароли для доступа к системе. Конфиденциальность – самый проработанный у нас в стране аспект информационной безопасности.

Нарушение каждой из трех категорий приводит к нарушению информационной безопасности в целом. Так, нарушение доступности приводит к отказу в доступе к информации, нарушение целостности - к фальсификации информации и, наконец, нарушение конфиденциальности - к раскрытию информации.

 

Концептуальные вопросы защиты информации

С позиций системного подхода к защите информации предъявляются определенные требования [2]. Защита информации должна быть:

· Непрерывной.

· Плановой. Каждая служба разрабатывает план защиты информации в сфере своей компетенции.

· Целенаправленной. Защищается то, что должно защищаться в интересах конкретной цели.

· Конкретной. Защищаются конкретные данные, объективно подлежащие защите.

· Активной.

· Надежной.

· Универсальной. Распространяется на любые каналы утечки информации.

· Комплексной. Применяются все необходимые виды и формы защиты.

 

К системе безопасности информации предъявляются следующие требования:

­ четкость определения полномочий и прав пользователей на доступ к определенным видам информации;

­ предоставление пользователю минимальных полномочий, необходимых ему для выполнения порученной работы;

­  сведение к минимуму числа общих для нескольких пользователей средств защиты;

­ учет случаев и попыток несанкционированного доступа к конфиденциальной информации;

­ обеспечение оценки степени конфиденциальной информации;

­ обеспечение контроля целостности средств защиты и немедленное реагирование на их выход из строя

Система защиты информации (СЗИ), как и любая система, должна иметь определенные виды собственного обеспечения (совокупность обеспечивающих подсистем), опираясь на которые она будет выполнять свою целевую функцию. В частности, СЗИ может иметь:

1. Правовое обеспечение. Сюда входят нормативные документы, положения, инструкции, руководства, требования которых являются обязательными в рамках сферы их действия.

2. Организационное обеспечение. Имеется в виду, что реализация защиты информации осуществляется определенными структурными единицами, такими как: служба защиты документов; служба режима, допуска, охраны; служба защиты информации техническими средствами; информационно-аналитическая служба и другими.

3. Аппаратное обеспечение. Предполагается широкое использование технических средств, как для защиты информации, так и для обеспечения деятельности самой СЗИ.

4. Информационное обеспечение. Оно включает в себя сведения, данные, показатели, параметры, лежащие в основе решения задач, обеспечивающих функционирование системы. Сюда могут входить как показатели доступа, учета, хранения, так и системы информационного обеспечения расчетных задач различного характера, связанных с деятельностью службы обеспечения безопасности.

5. Программное обеспечение. К нему относятся различные информационные, учетные, статистические и расчетные программы, обеспечивающие оценку наличия и опасности различных каналов утечки и путей несанкционированного проникновения к источникам конфиденциальной информации.

6. Математическое обеспечение. Предполагает использование математических методов для различных расчетов, связанных с оценкой опасности технических средств злоумышленников, зон и норм необходимой защиты.

7. Лингвистическое обеспечение. Совокупность специальных языковых средств общения специалистов и пользователей в сфере защиты информации.

8. Нормативно-методическое обеспечение. Сюда входят нормы и регламенты деятельности органов, служб, средств, реализующих функции защиты информации, различного рода методики, обеспечивающие деятельность пользователей при выполнении своей работы в условиях жестких требований защиты информации.

 

 Под системой безопасности будем понимать организованную совокупность специальных органов, служб, средств, методов и мероприятий, обеспечивающих защиту жизненно важных интересов личности,

 

Рис.1. Концептуальная модель безопасности информации

предприятия и государства от внутренних и внешних угроз. Как и любая система, система информационной безопасности имеет свои цели, задачи, методы и средства деятельности, которые согласовываются по месту и времени в зависимости от условий. На рисунке 1 представлена концептуальная модель безопасности информации.

В каждой организации разрабатывается концепция информационной безопасности. Она является основным правовым документом, определяющим защищенность предприятия от внутренних и внешних угроз. Она определяет систему взглядов на проблему обеспечения безопасности информации и представляет собой систематизированное изложение целей и задач защиты, основных принципов построения, организационных, технологических и процедурных аспектов обеспечения безопасности информации в ИС. Концепция является методологической основой:

· формирования и проведения единой политики в области обеспечения безопасности информации в ИС;

· принятия управленческих решений и разработки практических мер по воплощению политики безопасности информации и выработки комплекса согласованных мер нормативно-правового, технологического и организационно-технического характера, направленных на выявление, отражение и ликвидацию последствий реализации различных видов угроз безопасности информации;

· координации деятельности структурных подразделений при проведении работ по созданию, развитию и эксплуатации ИС с соблюдением требований обеспечения безопасности информации;

· разработки предложений по совершенствованию правового, нормативного, методического, технического и организационного обеспечения безопасности ИС.

При разработке концепции должны учитываться основные принципы создания комплексных систем обеспечения безопасности информации, характеристики и возможности организационно-технических методов и современных аппаратно- программных средств защиты и противодействия угрозам безопасности информации, а также текущее состояние и перспективы развития информационных технологий.

Основные положения концепции должны базироваться на качественном осмыслении вопросов безопасности информации и не концентрировать внимание на экономическом (количественном) анализе рисков и обосновании необходимых затрат на защиту информации.

Положения концепции предусматривают существование в рамках проблемы обеспечения безопасности информации в ИС двух относительно самостоятельных направлений, объединенных единым замыслом: защита информации от утечки по техническим каналам и защита информации в ИС от несанкционированного доступа.

 

Дата добавления: 2022-01-22; просмотров: 16; Мы поможем в написании вашей работы!

Поделиться с друзьями:


12Следующая ⇒


Мы поможем в написании ваших работ!
.
.
© 2014-2024 — Студопедия.Нет — Информационный студенческий ресурс. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав (0.022)