Информационная безопасность

Оглавление

Введение 3

1. Сущность понятия «информационная безопасность» 4

1.1 Содержание  понятия 4

1.2 Стандартизированные  определения 4

1.3 Существенные  признаки ИБ 6

1.4 Рекомендации  по использованию терминов 6

2. Реализация  информационной безопасности 8

2.1 Нормативные  документы в области информационной  безопасности 9

2.2 Органы (подразделения), обеспечивающие ИБ 10

2.3 Организационно-технические  и режимные меры и методы 10

2.4 Программно-технические  способы и средства обеспечения  информационной безопасности 12

Заключение 14

Библиографический список 15

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Введение

Считается, что обеспечение безопасности информации складывается из трёх составляющих: Конфиденциальности, Целостности, Доступности. Точками приложения процесса защиты информации к информационной системе являются аппаратное обеспечение, программное обеспечение и обеспечение связи (коммуникации). Сами процедуры (механизмы) защиты разделяются на защиту физического уровня, защиту персонала и организационный уровень.

Целью работы: раскрыть  понятие  «информационная безопасность». Которая ставит следующие задачи:

1. Рассматривает «информационную безопасность» в значении - состояния (качества) определённого объекта (в качестве объекта может выступать информация, данные, ресурсы автоматизированной системы, автоматизированная система, информационная система предприятия, общества, государства и т. п.)¹;
2. Рассматривает «информационную безопасность» в значении - деятельность, направленная на обеспечение защищённого состояния объекта (в этом значении чаще используется термин «защита информации»).²

Актуальность работы связана  с историческими аспектами возникновения и развития информационной безопасности. Объективно категория «информационная безопасность» возникла с появлением средств информационных коммуникаций между людьми, а также с осознанием человеком наличия у людей и их сообществ интересов, которым может быть нанесён ущерб путём воздействия на средства информационных коммуникаций, наличие и развитие которых обеспечивает информационный обмен между всеми элементами социума. На современном этапе учитывая масштаб интеграции технологий в жизнь общества, изучение информационной безопасности занимает одну из главенствующих задач безопасности в целом.

 

 

 

 

 

 

 

1. Сущность понятия «информационная безопасность»

1.1 Содержание понятия

В то время как информационная безопасность — это состояние защищённости информационной среды, защита информации представляет собой деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию, то есть процесс, направленный на достижение этого состояния.

Информационная  безопасность организации — целенаправленная деятельность её органов и должностных лиц с использованием разрешённых сил и средств по достижению состояния защищённости информационной среды организации, обеспечивающее её нормальное функционирование и динамичное развитие.

Кортеж защиты информации — это последовательность действий для достижения определённой цели.

Информационная  безопасность государства³ — состояние сохранности информационных ресурсов государства и защищённости законных прав личности и общества в информационной сфере.

В современном социуме  информационная сфера имеет две  составляющие⁴: информационно-техническую (искусственно созданный человеком мир техники, технологий и т. п.) и информационно-психологическую (естественный мир живой природы, включающий и самого человека). Соответственно, в общем случае информационную безопасность общества (государства) можно представить двумя составными частями: информационно-технической безопасностью и информационно-психологической (психофизической) безопасностью.

1.2 Стандартизированные определения

Безопасность  информации (данных)⁵ — состояние защищённости информации (данных), при котором обеспечены её (их) конфиденциальность, доступность и целостность.

Информационная  безопасность⁶ — защита конфиденциальности, целостности и доступности информации.

1. Конфиденциальность: свойство информационных ресурсов, в том числе информации, связанное с тем, что они не станут доступными и не будут раскрыты для неуполномоченных лиц.
2. Целостность: неизменность информации в процессе её передачи или хранения.
3. Доступность: свойство информационных ресурсов, в том числе информации, определяющее возможность их получения и использования по требованию уполномоченных лиц.

Информационная  безопасность (англ. information security)⁷ — все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчётности, аутентичности и достоверности информации или средств её обработки.

Безопасность  информации (данных) (англ. information (data) security)⁸ — состояние защищённости информации (данных), при котором обеспечиваются её (их) конфиденциальность, доступность и целостность.

Безопасность информации (данных) определяется отсутствием  недопустимого риска, связанного с утечкой информации по техническим каналам, несанкционированными и непреднамеренными воздействиями на данные и (или) на другие ресурсы автоматизированной информационной системы, используемые в автоматизированной системе.

Безопасность  информации (при применении информационных технологий) (англ. IT security)⁹ — состояние защищённости информации (данных), обеспечивающее безопасность информации, для обработки которой она применяется, и информационную безопасность автоматизированной информационной системы, в которой она реализована.

Безопасность  автоматизированной информационной системы¹⁰ — состояние защищённости автоматизированной системы, при котором обеспечиваются конфиденциальность, доступность, целостность, подотчётность и подлинность её ресурсов.

Информационная  безопасность — защищённость информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий  естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений. Поддерживающая инфраструктура — системы электро-, тепло-, водо-, газоснабжения, системы кондиционирования и т. д., а также обслуживающий персонал. Неприемлемый ущерб — ущерб, которым нельзя пренебречь.

1.3 Существенные признаки ИБ

В качестве стандартной модели безопасности часто приводят модель из трёх категорий:

• конфиденциальность (англ. confidentiality)¹¹ — состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на неё право;
• целостность (англ. integrity)¹² — избежание несанкционированной модификации информации;
• доступность (англ. availability)¹³ — избежание временного или постоянного сокрытия информации от пользователей, получивших права доступа.

Выделяют и другие не всегда обязательные категории модели безопасности:

• неотказуемость или апеллируемость (англ. non-repudiation)¹⁴ — способность удостоверять имевшее место действие или событие так, что эти события или действия не могли быть позже отвергнуты;
• подотчётность (англ. accountability)¹⁵ — обеспечение идентификации субъекта доступа и регистрации его действий;
• достоверность (англ. reliability)¹⁶ — свойство соответствия предусмотренному поведению или результату;
• аутентичность или подлинность (англ. authenticity)¹⁷ — свойство, гарантирующее, что субъект или ресурс идентичны заявленным.

1.4 Рекомендации по использованию терминов

В Государственном стандарте  РФ¹⁸ приводится следующая рекомендация использования терминов «безопасность» и «безопасный»:

Слова «безопасность» и «безопасный» следует применять только для  выражения уверенности и гарантий риска.

Не следует употреблять  слова «безопасность» и «безопасный» в качестве описательного прилагательного предмета, так как они не передают никакой полезной информации. Рекомендуется всюду, где возможно, эти слова заменять признаками предмета, например:

• «защитный шлем» вместо «безопасный шлем»;
• «нескользкое покрытие для пола» вместо «безопасное покрытие».

Для термина «информационная  безопасность» следует придерживаться тех же рекомендаций. Желательно использовать более точные характеристики объектов, разделяемые как признаки понятия «информационная безопасность». Например, точнее будет использовать аргумент «для предотвращения угроз на доступность объекта» (или «для сохранения целостности данных») вместо аргумента «исходя из требований информационной безопасности».

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

2. Реализация информационной  безопасности

Системный подход к описанию информационной безопасности предлагает выделить следующие составляющие информационной безопасности¹⁹:

1. Законодательная, нормативно-правовая и научная база.
2. Структура и задачи органов (подразделений), обеспечивающих безопасность ИТ.
3. Организационно-технические и режимные меры и методы (Политика информационной безопасности).
4. Программно-технические способы и средства обеспечения информационной безопасности.

Ниже в данном разделе  подробно будет рассмотрена каждая из составляющих информационной безопасности.

Целью реализации информационной безопасности какого-либо объекта является построение Системы обеспечения  информационной безопасности данного  объекта (СОИБ). Для построения и  эффективной эксплуатации СОИБ необходимо²⁰:

• выявить требования защиты информации, специфические для данного объекта защиты;
• учесть требования национального и международного Законодательства;
• использовать наработанные практики (стандарты, методологии) построения подобных СОИБ;
• определить подразделения, ответственные за реализацию и поддержку СОИБ;
• распределить между подразделениями области ответственности в осуществлении требований СОИБ;
• на базе управления рисками информационной безопасности определить общие положения, технические и организационные требования, составляющие Политику информационной безопасности объекта защиты;
• реализовать требования Политики информационной безопасности, внедрив соответствующие программно-технические способы и средства защиты информации;
• реализовать Систему менеджмента (управления) информационной безопасности (СМИБ);
• используя СМИБ организовать регулярный контроль эффективности СОИБ и при необходимости пересмотр и корректировку СОИБ и СМИБ.

Как видно из последнего этапа работ, процесс реализации СОИБ непрерывный и циклично (после каждого пересмотра) возвращается к первому этапу, повторяя последовательно все остальные. Так СОИБ корректируется для эффективного выполнения своих задач защиты информации и соответствия новым требованиям постоянно обновляющейся информационной системы.

2.1 Нормативные документы в области информационной безопасности

В Российской Федерации к  нормативно-правовым актам в области  информационной безопасности относятся²¹:

• Акты федерального законодательства:
1. Конституция РФ;
2. Законы федерального уровня (включая федеральные конституционные законы, кодексы);
3. Указы Президента РФ;
4. Постановления правительства РФ;
5. Нормативные правовые акты федеральных министерств и ведомств;
6. Нормативные правовые акты субъектов РФ, органов местного самоуправления и т. д.
• Международные договоры РФ;

Подробнее списки и содержание указанных нормативных документов в области информационной безопасности обсуждаются в разделе Информационное право.

К нормативно-методическим документам можно отнести

• Методические документы государственных органов России:
1. Доктрина информационной безопасности РФ;
2. Руководящие документы ФСТЭК (Гостехкомиссии России);
3. Приказы ФСБ;
• Стандарты информационной безопасности, из которых выделяют:
1. Международные стандарты;
2. Государственные (национальные) стандарты РФ;
3. Рекомендации по стандартизации;
4. Методические указания.

2.2 Органы (подразделения), обеспечивающие ИБ

В зависимости от приложения деятельности в области защиты информации (в рамках государственных органов власти или коммерческих организаций), сама деятельность организуется специальными государственными органами (подразделениями), либо отделами (службами) предприятия.