Объекты информационной безопасности.
1)ЧЕЛОВЕК
Нанесение вреда способности человека воспринимать информацию и осмысливать ее существенно снижает возможность его выживания в реальном мире. Исходя из этого, ИБ человека заключается в невозможности нанесения вреда ему как личности, социальная деятельность которой во многом базируется на осмыслении получаемой информации, информационных взаимодействиях с другими индивидами и имеет информацию в качестве предмета деятельности.
2)ИНФОРМАЦИОННАЯ КОММУНИКАЦИЯ.
Информационная коммуникация осуществляется через среду распространения информации, которая в современном обществе принимает форму информационной инфраструктуры. Нанесение вреда инфраструктуре может привести к нарушению целостности общества, деятельности его институтов. Поэтому ИБ общества заключается в невозможности нанесения вреда его духовной сфере, культурным ценностям, социальным регуляторам поведения людей, информационной инфраструктуре и передаваемым с ее помощью сообщениям.
3) ДЕЯТЕЛЬНОСТЬ ГОСУДАРСТВА
Деятельность государства заключается в обеспечении безопасности, ликвидации последствий стихийных бедствий и экологических катастроф, реализация социальных программ поддержки здравоохранения, социального обеспечения нетрудоспособных, защита прав и свобод граждан. Нанесение вреда деятельности государства способно существенно снижать возможности государства по выполнению государственных функций.
4) ГОСУДАРСТВЕННАЯ ТАЙНА
В деятельности государства порождается информация, раскрытие которой может снизить эффективность проводимой политики. Подобная информация закрывается. В этом случае объектом безопасности выступает режим доступа к информации, а ИБ заключается в невозможности нарушения этого режима.
5) КОММЕРЧЕСКАЯ ДЕЯТЕЛЬНОСТЬ
Объектом ИБ может быть коммерческое предприятие. Содержание ИБ будет заключаться в защите от несанкционированного доступа тех сведений, которые представляются собственнику достаточно важными. В случае, когда собственник предприятия не видит необходимости в защите своей информации, например в случае, когда это не окупается, содержание ИБ может быть сведено к защищенности конкретной информации, раскрытие которой может принести заметный ущерб коммерческой деятельности. Подобную информацию относят к коммерческой тайне.
6) ИНФОРМАЦИЯ
Объектом ИБ может выступать сама информация. Содержание ИБ будет заключаться в защищенности информации от угроз.
7) ИНФОРМАЦИОННАЯ СИСТЕМА.
Объектом ИБ может быть информационная система (ИС). Тогда под ИБ будет пониматься защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации. Компьютерная система (КС) является по своему назначению и содержательной сущности информационной системой, представляющей собой взаимосвязанную совокупность средств, методов и персонала, обеспечивающих сбор, хранение, обработку, передачу и отображение информации в интересах достижения поставленной цели. ИС могут быть как сосредоточенными, так и распределенными по территории. Функциональной основой любой ИС являются протекающие в ней информационные процессы. Характер этих процессов определяется соответствующей информационной технологией. Информационная технология (ИТ) - это совокупность средств и методов сбора, обработки, передачи данных для получения информации нового качества о состоянии объекта, явления. Целью создания ИС является удовлетворение потребностей пользователей в своевременном получении достоверной информации и сохранении ее конфиденциальности. Для обеспечения безопасности в КС требуется защита технических и программных средств. Поскольку, компьютерные системы относятся к классу человеко-машинных систем, то необходимо учесть также и человеческий фактор.
Следуя по пути интеграции, в июне 1993 года Международная организация по стандартизации (ИСО) начала создавать международные стандарты по критериям оценки безопасности информационных технологий для общего использования, названные "Соmmon Сriteria” (СС)",которая насчитывает более сотни различных документов ISО 15408. Самым полным среди оценочных стандартов, - является стандарт "Критерий оценки безопасности информационных технологий" (издан 1 декабря 1999 года).
Этот международный стандарт стал итогом почти десятилетней работы специалистов нескольких стран и вобрал в себя опыт существовавших к тому времени документов национального и межнационального масштаба. По историческим причинам данный стандарт часто называют "Общими критериями" (или даже ОК).
В разработке Общих Критериев участвовали:
- Национальный институт стандартов и технологии и Агентство национальной безопасности (США);
- Учреждение безопасности коммуникаций (Канада);
- Агентство информационной безопасности (Германия);
- Агентство национальной безопасности коммуникаций (Голландия);
- Органы исполнения Программы безопасности и сертификации ИТ (Англия);
- Центр обеспечения безопасности систем (Франция).
Новые критерии адаптированы к потребностям взаимного признания результатов оценки безопасности ИТ в мировом масштабе и предназначены для использования в качестве основы для такой оценки. За десятилетие разработки лучшими специалистами мира ОК неоднократно редактировались. Разработка первой версии 1.0 «Общих критериев» (ОК) была завершена в январе 1996 года и одобрена ИСО в апреле 1996 года. Был проведён ряд экспериментальных оценок на основе версии 1.0 ОК, а также организовано широкое обсуждение документа. В мае 1998 года была опубликована версия 2.0 ОК, и на её основе в июне 1999года был принят Международный Стандарт ISO/IЕС 15408.
Текст документа ISО/IЕС 15408 был издан 1 декабря 1999г. как "Общие критерии оценки безопасности информационных технологий" (ОК). Изменения, внесённые в стандарт на завершающей стадии его принятия, учтены в версии 2.1 ОК, идентичной стандарту по содержанию.
Международный стандарт ISО/IЕС 15408 - это более универсальный и совершенный стандарт, определяющий инструменты оценки безопасности ИС и порядок их использования. Он считается аналогом Оранжевой книги, но вопреки распространенному заблуждению, не заменяет собой Оранжевую книгу в силу разной юрисдикции документов. Оранжевая книга используется исключительно Министерством Обороны США, в то время как ISO/IЕС 15408 ратифицировали множество стран, включая Россию. В отличие от “Оранжевой книги”, ОК не содержит предопределённых “классов безопасности”. Такие классы можно строить, исходя из требований безопасности, существующих для конкретной информационной системы.
Ведущие мировые производители оборудования ИТ основательно подготовились к этому моменту и сразу стали поставлять заказчикам любые средства, полностью отвечающие требованиям ОК.
«Общие критерии» (ОК) созданы для взаимного признания результатов оценки безопасности ИС в мировом масштабе и представляют собой ее основу. Они позволяют сравнить результаты независимых оценок информационной безопасности и допустимых рисков на основе множества общих требований к функциям безопасности средств и систем ИТ, а также гарантий, применяемых к ним в процессе тестирования
«Оранжевая книга» - документ стал первым стандартом в области создания защищенных компьютерных систем и впоследствии основой организации системы их сертификации по критериям защиты информации.
В «Оранжевой книге» дано определение безопасной системы - это система, которая посредством специальных механизмов защиты контролирует доступ к информации.