Содержание понятия
В то время как информационная безопасность— это состояние защищённости информационной среды, защита информации представляет собой деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию, то есть процесс, направленный на достижение этого состояния.
Информационная безопасность организации— целенаправленная деятельность ее органов и должностных лиц с использованием разрешенных сил и средств по достижению состояния защищённости информационной среды организации, обеспечивающее её нормальное функционирование и динамичное развитие.
Кортеж защиты информации— это последовательность действий для достижения определённой цели.
Информационная безопасность государства— состояние сохранности информационных ресурсов государства и защищенности законных прав личности и общества в информационной сфере.
В современном социуме информационная сфера имеет две составляющие: информационно-техническую (искусственно созданный человеком мир техники, технологий и т.п.) и информационно-психологическую (естественный мир живой природы, включающий и самого человека). Соответственно, в общем случае информационную безопасность общества (государства) можно представить двумя составными частями: информационно-технической безопасностью и информационно-психологической (психофизической) безопасностью.
Безопасность информации (данных)— состояние защищенности информации (данных), при котором обеспечены её (их) конфиденциальность, доступность и целостность.
Информационная безопасность— защита конфиденциальности, целостности и доступности информации.
1. Конфиденциальность: свойство информационных ресурсов, в том числе информации, связанное с тем, что они не станут доступными и не будут раскрыты для неуполномоченных лиц.
2. Целостность: неизменность информации в процессе ее передачи или хранения.
3. Доступность: свойство информационных ресурсов, в том числе информации, определяющее возможность их получения и использования по требованию уполномоченных лиц.
Информационная безопасность (англ. information security)— все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информации или средств её обработки.
Безопасность информации (данных) (англ. information (data) security)— состояние защищенности информации (данных), при котором обеспечиваются её (их) конфиденциальность, доступность и целостность.
Безопасность информации (данных) определяется отсутствием недопустимого риска, связанного с утечкой информации по техническим каналам, несанкционированными и непреднамеренными воздействиями на данные и (или) на другие ресурсы автоматизированной информационной системы, используемые в автоматизированной системе.
Безопасность информации (при применении информационных технологий) (англ.IT security)— состояние защищенности информации (данных), обеспечивающее безопасность информации, для обработки которой она применяется, и информационную безопасность автоматизированной информационной системы, в которой она реализована.
Безопасность автоматизированной информационной системы— состояние защищенности автоматизированной системы, при котором обеспечиваются конфиденциальность, доступность, целостность, подотчетность и подлинность её ресурсов.
Информационная безопасность— защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений. Поддерживающая инфраструктура— системы электро-, тепло-, водо-, газоснабжения, системы кондиционирования и т.д., а также обслуживающий персонал. Неприемлемый ущерб— ущерб, которым нельзя пренебречь.
Под информационной безопасностью понимается защищенность информационной системы от случайного или преднамеренного вмешательства, наносящего ущерб владельцам или пользователям информации. На практике важнейшими являются три аспекта информационной безопасности:
-доступность (возможность за разумное время получить требуемую информационную услугу);
-целостность (актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения);
-конфиденциальность (защита от несанкционированного прочтения).
Современная информационная система представляет собой сложную систему, состоящую из большого числа компонентов различной степени автономности, которые связаны между собой и обмениваются данными. Практически каждый компонент может подвергнуться внешнему воздействию или выйти из строя. Компоненты автоматизированной информационной системы можно разбить на следующие группы:
-аппаратные средства - компьютеры и их составные части (процессоры, мониторы, терминалы, периферийные устройства - дисководы, принтеры, контроллеры, кабели, линии связи и т.д.);
-программное обеспечение - приобретенные программы, исходные, объектные, загрузочные модули; операционные системы и системные программы (компиляторы, компоновщики и др.), утилиты, диагностические программы и т.д.; данные - хранимые временно и постоянно, на магнитных носителях, печатные, архивы, системные журналы и т.д.; персонал - обслуживающий персонал и пользователи.
Опасные воздействия на компьютерную информационную систему можно подразделить на случайные и преднамеренные. Анализ опыта проектирования, изготовления и эксплуатации информационных систем показывает, что информация подвергается различным случайным воздействиям на всех этапах цикла жизни системы. Причинами случайных воздействий при эксплуатации могут быть:
аварийные ситуации из-за стихийных бедствий и отключений электропитания;
-отказы и сбои аппаратуры;
-ошибки в программном обеспечении;
-ошибки в работе персонала;
-помехи в линиях связи из-за воздействий внешней среды.Обеспечение информационной безопасности
Формирование режима информационной безопасности - проблема комплексная. Меры по ее решению можно подразделить на пять уровней:
законодательный (законы, нормативные акты, стандарты и т.п.);
морально-этический (всевозможные нормы поведения, несоблюдение которых ведет к падению престижа конкретного человека или целой организации); административный (действия общего характера, предпринимаемые руководством организации);
физический (механические, электро- и электронно-механические препятствия на возможных путях проникновения потенциальных нарушителей); аппаратно-программный (электронные устройства и специальные программы защиты информации). Единая совокупность всех этих мер, направленных на противодействие угрозам безопасности с целью сведения к минимуму возможности ущерба, образуют систему защиты.
Аппаратно-программные средства защиты информации:
-Системы идентификации (распознавания) и аутентификации (проверки подлинности) пользователей.
-Системы шифрования дисковых данных.
-Системы шифрования данных, передаваемых по сетям.
-Системы аутентификации электронных данных.
Средства управления криптографическими ключами.
В то время как информационная безопасность — это общее понятие для защиты информационной среды, защита информации представляет собой деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.
Информационная безопасность организации — целенаправленная деятельность её органов и должностных лиц с использованием разрешённых сил и средств по достижению состояния защищённости информационной среды организации, обеспечивающее её нормальное функционирование и динамичное развитие.
Устройства обработки и хранения информации на базе современных ИТ породили массу способов несанкционированного получения информации или воздействия на нее и, как следствие, способов защиты от этого. Наиболее эффективных результатов в защите информации можно достичь путем создания систем обеспечения информационной безопасности. Эти системы могут включать два комплекса мер (пассивную защиту и активное противодействие), создающих своего рода оболочку вокруг защищаемой информации, состоящую из ряда административно-режимных, правовых, физических, аппаратно-технических, программных и других мер по обнаружению и нейтрализации попыток несанкционированного воздействия на информацию.
Создание программных и программно-аппаратных средств защиты информации (СЗИ) проводится, как правило, на основе общепринятой методологии разработки программно-технических решений в области информатики. Процесс разработки в приложении к защите информации можно представить в качестве совокупности таких этапов, как:
1) детализация предметной области — это в основном определение целевой функции разрабатываемой системы (например, система защиты от копирования (СЗК), система аутентификации, система разграничения доступа и т. д.). На этом этапе должна учитываться дополнительная априорио заданная информация, сужающая предметную область (например, аутентификация без аппаратного носителя или защита от копирования, базирующаяся на электронных ключах);
2) описание модели злоумышленника и модель защиты. Модель злоумышленника включает собственно определение злоумышленника (как субъекта) и его целевой функции (например, злоумышленником для систем защиты от копирования является легальный пользователь программного продукта, имеющий целевой функцией получение нормально работающих дополнительных копий). Затем уточняются возможности и характер действий злоумышленника, определяются конкретные условия, в которых будет эксплуатироваться разрабатываемая система защиты информации.
Например, модель злоумышленника в Концепции защиты средств вычислительной техники и автоматизированных систем (АС) от несанкционированного доступа к информации представляется в виде иерархической структуры, каждый последующий уровень которой включает в себя функциональные возможности предыдущего.
Первый уровень определяет самый низкий уровень возможностей ведения диалога в АС — запуск задач (программ) из фиксированного набора, реализующих заранее предусмотренные функции по обработке информации.
Второй уровень определяется возможностью создания и запуска собственных программ с новыми функциями по обработке информации.
Третий уровень определяется возможностью управления функционированием АС, т. е. воздействием на базовое программное обеспечение системы, на состав и конфигурацию ее оборудования.
Четвертый уровень определяется всем объемом возможностей лиц, осуществляющих проектирование, реализацию и ремонт технических средств АС, вплоть до включения в состав вычислительной техники собственных технических средств с новыми функциями по обработке информации;
3) определение основных компонентов (подсистем), составляющих данную систему. Перечень компонентов программно-технических средств защиты информации определяется как результат первого и второго этапов. Компоненты могут разделяться на необходимые и дополнительные. Например, необходимыми компонентами системы защиты от копирования являются механизм создания и чтения не дублируемых признаков (не копируемых меток), механизм проверки не дублируемых признаков, механизм защиты от изучения и редуцирования механизмов проверки (анти отладочный и анти трассировочный механизмы), а дополнительным компонентом — механизм реализации реакции на нелегальное копирование;
4) определение свойств компонентов системы (качественных или количественных). Свойства компонентов защиты могут быть описаны указанием противодействия либо конкретному средству нападения, либо целому их классу (по принцип у работы или стоимостному критерию). Очевидно, что заказные средства нападения (например, для СЗК — специализированные отладчики и др.) имеют существенно более высокую стоимость, чем стандартные средства.
После выполнения вышеперечисленных этапов формулируются средства реализации и гарантирования некоторой политики безопасности для разрабатываемого программно-аппаратного средства защиты. Так, механизм чтения не дублируемого признака для СЗК является механизмом реализации политики безопасности (которая предусматривает невозможность дублирования носителя), а механизмы защиты от исследования — механизмами обеспечения гарантий политики безопасности.
Процесс разработки СЗИ может реализовываться в рамках методологии необходимых или достаточных условий.
Методология необходимых условий указывает необходимые компоненты защиты, присутствие которых обязательно, но при этом, как правило, не определяет их свойства. Документально методологические требования в рамках указания необходимых условий представляют собой различные руководящие документы, рабочие технические материалы и т. д. По такому образцу выполнены документы Государственной технической комиссии при Президенте РФ (Гостехкомиссии России) и Министерства обороны США. В данном случае конкретные исследования этапов 1 — 3 остаются за кадром и как рекомендации выносятся только компоненты или группы компонентов, а также их свойства.
Методология достаточных условий ориентируется на доказательства надежности программно-технических решений защиты, поэтому защитные механизмы часто разрабатываются с заведомым превышением необходимого уровня защиты.