Информационная безопасность

Под информационной безопасностью РФ понимается состояние защищенности ее нацио­нальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общест­ва и государства.

Интересы личности – это реализация конституционных прав человека и гражданина на доступ к информации, на использование информации, а также в защите информации, обеспечивающей личную безопасность.

Интересы общества – это обеспечение интересов личности в этой сфере, упрочение демо­кратии, создание правового социального государства, и т.д.

Интересы государства – это создание условий для гармоничного развития российской информационной инфраструктуры, для реализации прав и свобод человека и гражданина в получе­нии информации и пользовании ею в целях обеспечения незыб­лемости конституционного строя, суверенитета и территориаль­ной целостности России.

Под безопасностьюкомпьютерной системы (КС) понимают ее защищенность от случайного или преднамеренного вмеша­тельства в нормальный процесс ее функционирования, а также от попыток хищения, изменения или разрушения ее компонен­тов. Безопасность КС достигается принятием мер по обеспече­нию конфиденциальности и целостности обрабатываемой ею информации, а также доступности и целостности компонентов и ресурсов системы.

Под доступом к информации понимается ознакомление с ин­формацией, ее обработка, в частности копирование, модифика­ция или уничтожение информации.

Различают санкционированный и несанкционированный доступ к информации.

Санкционированный доступ к информации — это доступ кин­формации, не нарушающий установленные правила разграниче­ния доступа. Правила разграничения доступа служат для регла­ментации права доступа субъектов доступа к объектам доступа.

Несанкционированный доступ к информации характеризуется нарушением установленных правил разграничения доступа. Лицо или процесс, осуществляющий несанкционированный доступ к информации, — нарушитель правил разграничения доступа. Не­санкционированный доступ — наиболее распространенный вид компьютерных нарушений.

Конфиденциальность данных — это статус, предоставленный данным и определяющий требуемую степень их защиты. Т.е. конфиденциальная информация —известна только допущенным и прошедшим про­верку (авторизованным) субъектам системы (пользователям, процессам, программам). Для остальных субъектов системы эта информация должна быть неизвестной.

Субъект — это активный компонент системы, который мо­жет стать причиной потока информации от объекта к субъекту или изменения состояния системы.

Объект — пассивный компонент системы, хранящий, при­нимающий или передающий информацию. Доступ к объекту оз­начает доступ к содержащейся в нем информации.

Целостность информации обеспечивается в том случае, если данные в системе не отличаются в семантическом отношении от данных в исходных документах, т. е. если не произошло их слу­чайного или преднамеренного искажения или разрушения.

Целостность компонента илиресурса системы— это свойст­во компонента или ресурса быть неизменным в семантическом смысле при функционировании системы в условиях случайных или преднамеренных искажений или разрушающих воздействий.

Доступность компонента или ресурса системы — это свойст­во компонента или ресурса быть доступным для авторизованных законных субъектов системы.

Угрозы информационной безопасности (ИБ)

Под ИБ понимается защищенность информации и под­держивающей ее инфраструктуры от любых случайных или зло­намеренных воздействий, могущих привести к их порче.

Задачи ИБ сводятся к минимизации ущерба, а также к прогнози­рованию и предотвращению таких воздействий.

Действия, которые могут нанести ущерб ИБ организации, можно разделить на несколько кате­горий:

a) «Естественные» угрозы и средства борьбы с ними

· не­правильное хранение данных,

· кража компьютеров и носителей,

· форс-мажорные обстоятельства

· действия авторизованных пользователей. В эту категорию по­падают:

ü целенаправленная кража или уничтожение данных на рабо­чей станции или сервере;

ü повреждение данных пользователем в результате неосто­рожных действий.

b) Электронные методы хакеров

По убеждению экспертов «Лаборатории Касперского», зада­ча обеспечения информационной безопасности должна решать­ся системно. Т.е. ап­паратные, программные, физические, организационные и т. д средства защиты должны применяться одновременно и под централизованным управлением. При этом компоненты системы должны «знать» о существовании друг друга, взаимодействовать и обеспечивать за­щиту как от внешних, так и от внутренних угроз.

Влияние человеческо­го фактора на защищенность данных может оказаться решаю­щим даже в случае применения сертифицированных средств шифрования. Человек — как самое надежное звено в системе за­щиты, так и самое ненадежное одновременно. Все зависит от того, какой информацией он пользуется и как.

Основные проблемы «человеческого фактора»:

· уволенные или недовольные сотрудники;

· промышленный шпионаж (могут использоваться технические средства съема информации.Это клавиатурные жучки, различные мини-камеры, звукозаписывающие устройст­ва и т. д.);

· халатность;

· низкая квалификация.