Обеспечение информационной безопасности
Первоначально вопросы информационной безопасности были критичными для государственных организаций, имеющих дело с секретной информацией или отвечающих за обеспечение режима секретности. Однако информатизация общества привела к тому, что обеспечение информационной безопасности стало элементом деятельности любой организации, действующей в условиях конкуренции.
Под информационной безопасность следует понимать свойство процесса информатизации общества, которое характеризует состояние защищенности личности, общества и государства от возможных негативных последствий информатизации. В отличие от РФ, в законодательстве РБ данное понятие не было закреплено, но сейчас закреплено (ППНБ № 139 «Инстр об организ внутр контроля в банках и НКФО»)
Информационная безопасность - многоуровневый комплекс организационных мер, аппаратно-программных и технических средств, обеспечивающих защиту от случайных и преднамеренных угроз, в результате реализации которых возможно нарушение свойств доступности, целостности, подлинности или конфиденциальности обрабатываемой, хранящейся или передаваемой информации;.
В 1983 МО США издало книгу в оранжевой обложке Trusted Computer Systems Evaluation Criteria (Критерии оценки надежных компьютерных систем). Книга из-за цвета обложки получила название "Оранжевая книга". Это было первое издание в мире, посвященное критериям оценки информационной безопасности. В дальнейшем, аналогичные издания появились и в иных развитых странах.
В настоящее время сложилось 2 основных подхода к решению проблемы обеспечения информационной безопасности:
- редукционистский (фрагментарный) + системный (комплексный).
Редукционистский подход ориентируется на противодействие строго определенным угрозам информационной безопасности при определенных условиях. Избирательность данного подхода относительно конкретной угрозы обусловливает локальность его действия. Видоизменение угрозы влечет потерю эффективности защиты. Характерной чертой данного подхода является отсутствие единой защищенной среды обработки информации.
Системный подход ориентируется на создание защищенной среды обработки, хранения и передачи информации. Он объединяет разнородные методы и средства противодействия угрозам информационной безопасности.
Следует учитывать, что построение абсолютно безопасной системы невозможно. Реальностью является только надежная система - система, использующая достаточные аппаратные и программные средства, чтобы обеспечить одновременную обработку информации разной степени секретности группой пользователей без нарушения прав доступа.
При выборе средств и методов защиты необходимо учесть, что:
1. Не существует универсальных решений. Следует адаптировать виды и возможности средств в зависимости от угроз, размеров ущерба и расходов.
2. Обеспечение безопасности информационных систем не может быть одноразовым актом, это непрерывный процесс.
3. Безопасность может быть обеспечена лишь при комплексном использовании всего арсенала имеющихся средств на всех этапах информационного процесса.
Наибольший эффект достигается объединением всех средств и методов в СИБ.
Известны следующие методы обеспечения безопасности информации: препятствие, управление доступом, маскировка, регламентация, принуждение, побуждение. Данные методы реализуются системой средств, которая включает: физические, аппаратные, программно-технические, организационные, правовые, морально-этические.
Препятствие - метод физического преграждения пути к защищаемой информации, аппаратуре, носителям информации.
Управление доступом - метод защиты информации, осуществляемый путем регулирования использования всех ресурсов системы (баз данных, программных и аппаратных средств).
Маскировка - метод защиты информации на носителях и в каналах телекоммуникаций путем криптографического закрытия.
Регламентация - метод ЗИ, создающий такие условия автоматизированной обработки, хранения и передачи защищаемой информации, при которых возможности несанкционированного доступа к ней сводятся к минимуму.
Принуждение - сводится к том, что пользователи и персонал системы вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой ответственности.
Побуждение - метод ЗИ, который побуждает пользователя и персонал системы не нарушать установленных правил за счет соблюдения сложившихся моральных и этических норм.
Например, на Западе можно застраховать информацию, но такой шаг принесет пользу только в случае полной или частичной утраты информации, потому что потенциальные убытки от таких нарушений как раскрытие, разглашение или повреждение информации могут быть значительно больше, чем страховая компания способна возместить, а последствия могут проявляться еще длительное время. В России же страхование информации почти не практикуется в связи с отсутствием законов, регламентирующих такой вид деятельности, а также в связи с некоторыми качественными характеристиками информации, такими как: способность быть скопированной и размноженной, а соответственно и восстановленной.