Что является целями защиты информации? - VISTAGRUP.RU

Что является целями защиты информации?

Технологии защиты информации в компании

Информационная безопасность (ИБ) – это защищенность данных от негативных воздействий, которые могут нанести урон. Для обеспечения ИБ применяются методы защиты информации.

Вопрос: Как отразить в учете организации (пользователя) приобретение неисключительных прав на использование программы для ЭВМ (средств криптографической защиты информации) на условиях простой (неисключительной) лицензии? Лицензионный договор с лицензиаром (правообладателем) заключен в виде договора присоединения.
Посмотреть ответ

Базовые элементы информационной безопасности

Рассмотрим основные составляющие информационной безопасности:

  • Доступность. Предполагает доступ субъектов к необходимой информации. Под субъектами понимаются компании, которые имеют право на доступ к соответствующим данным.
  • Целостность. Сведения должны быть защищены от незаконного видоизменения, порчи.
  • Конфиденциальность. Предполагает защищенность от несанкционированного доступа к данным.

Категории относятся как к самой информации, так и к инфраструктуре, с помощью которой хранятся сведения.

Разновидности угроз информационной безопасности

Угроза – это то, что может нанести урон ИБ. Ситуация, предполагающая угрозу, называется атакой. Лицо, которое наносит атаку ИБ, – это злоумышленник. Также существуют потенциальные злоумышленники. Это лица, от которых может исходить угроза.

Угрозы доступности

Частая угроза доступности – это непредумышленные ошибки лиц, работающих с информационной системой. К примеру, это может быть введение неверных данных, системные ошибки. Случайные действия сотрудников могут привести к потенциальной угрозе. То есть из-за них формируются уязвимые места, привлекательные для злоумышленников. Это наиболее распространенная угроза информационной безопасности. Методами защиты являются автоматизация и административный контроль.

Рассмотрим подробнее источники угроз доступности:

  • Нежелание обучаться работе с информационными системами.
  • Отсутствие у сотрудника необходимой подготовки.
  • Отсутствие техподдержки, что приводит к сложностям с работой.
  • Умышленное или неумышленное нарушение правил работы.
  • Выход поддерживающей инфраструктуры из обычного режима (к этому может привести, к примеру, превышение числа запросов).
  • Ошибки при переконфигурировании.
  • Отказ ПО.
  • Нанесение вреда различным частям инфраструктуры (к примеру, проводам, ПК).

Большая часть угроз относится к самим сведениям. Однако вред может быть также нанесен инфраструктуре. К примеру, это могут быть сбои в работе связи, систем кондиционирования, нанесение вреда помещениям.

Угрозы целостности

Центральная угроза целостности – это воровство и подлоги. Возникают они вследствие действий сотрудников компании. Согласно данным издания USA Today, в 1992 году вследствие рассматриваемых причин был нанесен совокупный ущерб в размере 882 000 000 долларов. Рассмотрим примеры источников угроз:

  1. Ввод неправильных данных.
  2. Изменение сведений.
  3. Подделка заголовка.
  4. Подделка всего текста письма.
  5. Отказ от исполненных действий.
  6. Дублирование информации.
  7. Внесение дополнительных сведений.

Внимание! Угроза нарушения целостности касается и данных, и самих программ.

Базовые угрозы конфиденциальности

Базовая угроза конфиденциальности – это использование паролей злоумышленниками. Благодаря знанию паролей заинтересованные лица могут получить доступ к конфиденциальным сведениям. Источники угрозы конфиденциальности:

  1. Использование многоразовых паролей с сохранением их на источниках, к которым могут получить доступ злоумышленники.
  2. Использование одних и тех же паролей в различных системах.
  3. Размещение информации в среде, которая не обеспечивает конфиденциальность.
  4. Использование злоумышленниками технических средств. К примеру, прослушивающие устройства, специальные программы, фиксирующие введенный пароль.
  5. Выставки, на которых презентуется оборудование с конфиденциальными сведениями.
  6. Хранение сведений на резервных носителях.
  7. Распространение информации по множеству источников, что приводит к перехвату сведений.
  8. Оставление ноутбуков без присмотра.
  9. Злоупотребление полномочиями (возможно при обслуживании инфраструктуры системным администратором).

Суть угрозы конфиденциальности кроется в том, что злоумышленник получает доступ к данным в момент наибольшей их неуязвимости.

Методы защиты информации

Методы защиты, как правило, используются в совокупности.

Инструменты организационно-правовой защиты

Основным инструментом организационно-правовой защиты являются различные организационные мероприятия, осуществляемые в процессе формирования инфраструктуры, с помощью которой хранится информация. Данные инструменты применяются на этапе возведения зданий, их ремонта, проектирования систем. К инструментам организационно-правовой защиты относятся международные договоры, различные официальные стандарты.

Инструменты инженерно-технической защиты

Инженерно-технические средства – это различные объекты, обеспечивающие безопасность. Их наличие обязательно нужно предусмотреть при строительстве здания, аренде помещения. Инженерно-технические инструменты обеспечивают такие преимущества, как:

  • Защита помещения компании от действий злоумышленников.
  • Защита хранилищ информации от действий заинтересованных лиц.
  • Защита от удаленного видеонаблюдения, прослушивания.
  • Предотвращение перехвата сведений.
  • Создание доступа сотрудников в помещение компании.
  • Контроль над деятельностью сотрудников.
  • Контроль над перемещением работников на территории компании.
  • Защита от пожаров.
  • Превентивные меры против последствий стихийных бедствий, катаклизмов.

Все это – базовые меры безопасности. Они не обеспечат полную конфиденциальность, однако без них невозможна полноценная защита.

Криптографические инструменты защиты

Шифрование – базовый метод защиты. При хранении сведений в компьютере используется шифрование. Если данные передаются на другое устройство, применяются шифрованные каналы. Криптография – это направление, в рамках которого используется шифрование. Криптография используется в следующих целях:

  • Защита конфиденциальности сведений, которые передаются по открытым каналам.
  • Возможность подтверждения подлинности сведений, которые передаются по различным каналам.
  • Обеспечение конфиденциальности сведений в том случае, если они размещены на открытых носителях.
  • Сохранение целостности данных при их передаче и хранении.
  • Подтверждение отправки сообщения с информацией.
  • Защита ПО от несанкционированного применения и копирования.

КСТАТИ! Криптография – это более продвинутый метод обеспечения защиты сведений.

Программно-аппаратные инструменты для защиты сведений

Программно-аппаратные инструменты включены в состав технических средств. К примеру, это могут быть:

  • Инструменты для ввода сведений, нужных для идентификации (идентификация по отпечаткам пальцев, магнитные и пластиковые карты доступа).
  • Инструменты для шифрования данных.
  • Оборудование, предупреждающее несанкционированное использование систем (к примеру, электронные звонки, блокираторы).
  • Инструменты для уничтожения сведений на носителях.
  • Сигнализация, срабатывающая при попытках несанкционированных манипуляций.

В качестве этих инструментов могут выбираться разные программы. Предназначаются они для идентификации пользователей, ограничения доступа, шифрования. Для полноценной защиты применяются и аппаратные, и программные инструменты. Комплекс мер обеспечивает наивысшую степень защиты. Однако руководитель должен помнить, что добиться стопроцентной защиты невозможно. Всегда остаются слабые места, которые нужно выявлять.

Цели и задачи защиты информации

В современной среде нельзя обеспечить полный физический контроль за каналами связи и повсеместно распространяющимися автоматизированными системами обработки и хранения информации – вторжение возможно из любой точки сети, спектр потенциальных атак на информацию чрезвычайно широк. В этой связи можно рассматривать следующие основные цели защиты информации:

1. предотвращение утечки, хищения, утраты, замены, искажения, подделки информации;

2. предупреждение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации;

3. предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы;

4. обеспечение правового режима документированной информации как объекта собственности;

5. защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;

6. обеспечение прав субъектов в информационных процессах, а также при разработке, производстве и применении информационных систем, технологий и средств их обеспечения [26, с. 13; 28, с. 35-37].

Задачи защиты информации можно подразделить на два уровня.

Первый уровень – задачи общеконцептуального плана.

· предупреждение угроз. Предупреждение угроз — это превентивные меры по обеспечению информационной безопасности в интересах упреждения возможности их возникновения;

· выявление угроз. Выявление угроз выражается в систематическом анализе и контроле возможности появления реальных или потенциальных угроз и своевременных мерах по их предупреждению;

· обнаружение угроз. Обнаружение имеет целью определение реальных угроз и конкретных преступных действий;

· локализация преступных действий и принятие мер по ликвидации угрозы или конкретных преступных действий;

· ликвидация последствий угроз и преступных действий и восстановление статус-кво.

Второй уровень – прикладные задачи. Они зависят: от видов защищаемой на предприятии информации; степени ее конфиденциальности; состава носителей защищаемой информации [18, с. 5-12; 19, с. 25-27].

Читайте также  Технические средства предотвращения техногенных аварий

Защита информации разбивается на решение двух основных групп задач:

1. Своевременное и полное удовлетворение информационных потребностей, возникающих в процессе управленческой, инженерно-технической, маркетинговой и иной деятельности, то есть обеспечение специалистов организаций, предприятий и фирм секретной или конфиденциальной информацией.

2. Ограждение засекреченной информации от несанкционированного доступа к ней соперника, других субъектов в злонамеренных целях.

При решении первой группы задач — обеспечении специалистов информацией — всегда учитывается, что специалисты могут использовать как открытую, так и засекреченную информацию. Снабжение специалистов открытой информацией ничем не ограничивается, кроме ее фактического наличия. При снабжении же специалиста засекреченной информацией действуют ограничения: наличие соответствующего допуска и разрешения на доступ к конкретной информации. В решении проблемы доступа специалиста к соответствующей засекреченной информации всегда существуют противоречия, с одной стороны, — максимально ограничить его доступ к засекреченной информации и тем самым уменьшить вероятность утечки этой информации, с другой стороны — наиболее полно удовлетворить его потребности в информации, в том числе и засекреченной для обоснованного решения им служебных задач. В обычных, не режимных условиях, специалист имеет возможность использовать в целях решения стоящей перед ним проблемы разнообразную информацию: ретроспективную, узко и широко-тематическую, отраслевую и межотраслевую, фактографическую и концептуальную. При обеспечении его засекреченной информацией возможности доступа к ней ограничиваются двумя факторами: его служебным положением и решаемой специалистом в настоящее время проблемой [19, с. 15-20].

Вторая группа задач — это ограждение защищаемой информации от несанкционированного доступа к ней соперника, включает такие условия, как:

1. Защита информационного суверенитета страны и расширение возможности государства по укреплению своего могущества за счет формирования и управления развитием своего информационного потенциала.

2. Создание условий эффективного использования информационных ресурсов общества, отрасли, предприятия, фирмы, структурного подразделения, индивида.

3. Обеспечение безопасности защищаемой информации: предотвращение хищения, утраты, несанкционированного уничтожения, модификации, блокирования информации и другие вмешательства в информацию, и информационные системы.

4. Сохранение секретности или конфиденциальности засекреченной информации в соответствии с установленными правилами ее защиты, в том числе предупреждения ее утечки и несанкционированного доступа к ее носителям, предотвращению ее копирования, фотографирования.

5. Сохранение полноты, достоверности, целостности информации, ее массивов и программ обработки, установленных собственником информации или уполномоченными им лицами.

6. Обеспечение конституционных прав граждан на сохранение личной тайны и конфиденциальной персональной информации, в том числе накапливаемой в банках данных.

7. Недопущение безнаказанного растаскивания и незаконного использования интеллектуальной собственности, принадлежащей государству, предприятиям и фирмам, частным лицам [18, с. 22-27].

Проблемы информационной безопасности решаются, как правило, посредством создания специализированных систем защиты информации, которые должны обеспечивать безопасность информационной системы от несанкционированного доступа к информации и ресурсам, несанкционированных и непреднамеренных вредоносных воздействий. Система защиты информации является инструментом администраторов информационной безопасности.

Основные цели защиты информации

Дата добавления: 2013-12-23 ; просмотров: 21663 ; Нарушение авторских прав

Согласно статье 16 Закона РФ «Об информации, информационных технологиях и о защите информации» № 149-ФЗ от 27.02.2006 г. защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:

1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

2) соблюдение конфиденциальности информации ограниченного доступа;

3) реализацию права на доступ к информации.

За­щите подлежит любая документированная информация, неправомерное обращение с которой может нанести ущерб её собственнику, владельцу и иному лицу. Закон подразделяет информацию по уровню доступа на общедоступную и информацию ограниченного доступа. Конфиденциальная информация — документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации. К конфиденциальной ин­формации относятся сведения, определяемые общим понятием — тайна. В законах встречается 32 вида тайн. Однако, обобщённый перечень сведе­ний, отнесённых к разряду конфиденциальных, приводится в Указе Прези­дента РФ №188 от 06.03.1997 г. Следует отметить, что согласно ст. 139 Гражданского Кодекса РФ к коммерческой тайне относятся сведения, представляющие потенциальную ценность для её обладателя в силу неизвестности третьим лицам.

В современной среде нельзя обеспечить физический контроль за каналами связи как внутри, так и особенно вне организации – вторжение возможно с любой точки сети, спектр потенциальных атак на конфиденциальную информацию чрезвычайно широк. В этой связи можно рассматривать следующие основные цели защиты информации:

1) предотвращение утечки, хищения, утраты, замены, искажения, подделки информации;

2) предупреждение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации;

3) предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы;

4) обеспечение правового режима документированной информации как объекта собственности;

5) защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;

6) обеспечение прав субъектов в информационных процессах, а также при разработке, производстве и применении информационных систем, технологий и средств их обеспечения.

1.2 Что же может являться угрозой безопасности для информационных систем предприятий?

Многочисленные публикации последних лет показывают, что злоупотребление информацией, циркулирующей в информационных системах и передаваемой по каналам связи, совершенствуется не менее интенсивно, чем меры защиты от него. Под угрозой безопасности информационной системы понимают события или действия, которые приводят к искажению, несанкционированному использованию или даже к разрушению информационных ресурсов системы управления, а также программных и аппаратных средств. (рис. 1.2.1)

Рис. 1.2.1. Классификация угроз безопасности информационных систем агроформирования

Следует помнить, что угрозы могут быть случайные, непреднамеренные, но особенно опасны угрозы умышленные, которые преследуют цель нанесения ущерба системе управления или пользователям, это делается нередко ради получения личной выгоды. Защита от умышленных угроз – это своего рода соревнование обороны и нападения: кто больше знает, предусматривает действенные меры, тот и выигрывает.

«Внешнему врагу» порой весьма непросто проникнуть в корпоративную информационную систему агроформирования. Ситуация коренным образом меняется, если у злоумышленника есть союзник внутри предприятия. Защищаясь от «внутренних врагов», следует различать тех, кто наносит своему предприятию вред целенаправленно, и тех, кто делает это по неосторожности. Соответственно методы защиты от их действий существенно разнятся.

Шпионы– внедренные в компанию недоброжелатели, как правило, хорошо знакомы с используемыми защитными механизмами и стремятся легальным путем получить все необходимые коды доступа. В таких условиях предотвратить утечку информации почти невозможно, тем не менее, ее необходимо точно зафиксировать, чтобы в дальнейшем бороться с ней. Для защиты от этого вида угроз традиционно используется служба физической безопасности. Как правило, «шпионы» могут нанести значительно больший ущерб, чем «сотрудники», но, к счастью, встречаются намного реже. Для обеспечения надежного мониторинга нужно выстроить правильную политику обеспечения доступа пользователей, предоставляя им ровно столько полномочий, сколько нужно. Изменение прав доступа должно меняться автоматически с помощью средств управления идентификационной информацией. Такие решения есть у Oracle, Check Point и ряда других компаний. Желательно не ограничивать процедуру аутентификации простой проверкой пароля, но использовать более сложную систему опознавания пользователей.

Сотрудники. Защищаться от «шпионов» достаточно сложно, однако это явление довольно редкое. Большинство же инцидентов происходит по вине тех пользователей, которые, имея доступ к конфиденциальной информации, не заботятся о ее защите. В этом случае шифрование и контроль сменных накопителей могут уменьшить вероятность случайной утечки. Впрочем, такие инструменты имеют еще и воспитательный аспект, поскольку с их помощью компания может продемонстрировать, что заботится о сохранении своих секретов и может даже за это наказать.

Читайте также  Виды проверок СИЗОД

Также не менее опасны внешние угрозы.

«Троянский конь». Аналогия с древнегреческим троянским конем оправдана – и в том и в другом случае в не вызывающей подозрения оболочке таится угроза. «Троянский конь» представляет собой дополнительный блок команд, тем или иным образом вставленный в исходную безвредную программу, которая затем дарится, продается, подменяется пользователям информационных систем. Этот блок команд может срабатывать при наступлении некоторого условия (даты, времени, по команде извне), причет личность командующего установить порой невозможно. Для защиты от этой угрозы желательно, чтобы программист или системный администратор с помощью специальных средств могли отслеживать такие нежелательные программы. А программы пользователей должны храниться и защищаться индивидуально.

Вирус – программа, которая может заражать другие программы путем включения в них модифицированной копии, обладающее способностью к дальнейшему размножению. Считается, что вирус характеризуется двумя основными особенностями: способностью к саморазмножению, и способностью к вмешательству в вычислительный процесс.

«Червь»– программа, распространяющаяся через сеть и не оставляющая своей копии на магнитном носителе. «Червь» использует механизмы поддержки сети для определения узла, который может быть заражен. Затем с помощью тех же механизмов передает свое тело или его часть на этот узел и либо активизируется, либо ждет для этого подходящих условий. Подходящей средой распространения «червя» является сеть, все пользователи которой считаются дружественными и доверяют друг другу, а защитные механизмы отсутствуют.

Захватчик паролей– это программа, специально предназначенная для воровства паролей. При попытке обращения пользователя к терминалу системы на экран выводится информация, необходимая для окончания сеанса работы. Пытаясь организовать вход, пользователь вводит имя и пароль, которые пересылаются владельцу программы-захватчика, после чего выводится сообщение об ошибке, а ввод и управление возвращаются к операционной системе. Пользователь, думающий, что допустил ошибку при наборе пароля, повторяет вход и получает доступ к системе, однако, его имя и пароль уже известны владельцу программы-захватчика. Для предотвращения этой угрозы перед входом в систему необходимо убедится, что введено имя и пароль именно системной программе ввода, а не какой-нибудь другой.

Что является целями защиты информации?

Понятие, сущность, цели и значение защиты информации

Глава I Понятие и сущность ЗИ

I-1. Информация и информационная безопасность, понятие защиты информации и ее сущность.

Информация, первоначально это сведения, передаваемые людьми устным, письменным или другим способом (с помощью условных сигналов, технических средств и т.д.); с середины XX века общенаучное понятие, включающее обмен сведениями между людьми, человеком и автоматом, автоматом и автоматом; обмен сигналами в животном и растительном мире, передача признаков от клетки к клетке, от организма к организму.

Сформулированные к настоящему времени строгие научные определения
концентрируют внимание на одном из основных аспектов этого многозначного понятия — соотношении информации и материи.

Согласно традиционной философской точке зрения, информация существует независимо от человека и является свойством материи. Она рассматривается, как отражение объектов материального мира, в частности, отражение организованности или упорядоченности кибернетических объектов. Согласно нетрадиционной точке зрения информация трактуется как первооснова микро и макромира Вселенной (информация — первична, а материя — вторична). Она существует независимо от нас и проявляется в триедином процессе фундаментального взаимодействия энергии, движения и массы в пространстве и во времени.

Под информацией надо понимать сведения, являющиеся объектом сбора (накопления), хранения, обработки (преобразования), непосредственного использования и передачи.

Определению информации как сведений разного рода, представленных в любой форме и являющихся объектами различных процессов, наиболее соответствует следующая узкая трактовка понятия «защита информации».
В этом случае под защитой информации понимается совокупность мероприятий и действий, направленных на обеспечение ее безопасности — конфиденциальности и целостности — в процессе сбора, передачи, обработки и хранения. Это определение подразумевает тождественность понятий «защита информации» и «обеспечение безопасности информации».

Безопасность информации — это свойство (состояние) передаваемой, накапливаемой, обрабатываемой и хранимой информации, характеризующее ее степень защищенности от дестабилизирующего воздействия внешней среды (человека и природы) и внутренних угроз, то есть ее конфиденциальность (секретность, смысловая или информационная скрытность), сигнальная скрытность (энергетическая и структурная) и целостность — устойчивость к разрушающим, имитирующим и искажающим воздействиям и помехам.

Под защитой информации, в более широком смысле, понимают комплекс
организационных, правовых и технических мер по предотвращению угроз информационной безопасности и устранению их последствий.

Сущность защиты информации состоит в выявлении, устранении или нейтрализации негативных источников, причин и условий воздействия на информацию. Эти источники составляют угрозу безопасности информации. Цели и методы защиты информации (гл. II .-1., II .-2.) отражают ее сущность.

В этом смысле защита информации отождествляется с процессом обеспечения информационной безопасности, как глобальной проблемы безопасного развития мировой цивилизации, государств, сообществ людей, отдельного человека, существования природы.

При этом понятие информационная безопасность характеризует состояние
(свойство) информационной защищенности человека, общества, природы в условиях возможного действия угроз и достигается системой мер, направленных:

· на предупреждение угроз. Предупреждение угроз — это превентивные меры по обеспечению информационной безопасности в интересах упреждения возможности их возникновения;

· на выявление угроз. Выявление угроз выражается в систематическом анализе и контроле возможности появления реальных или потенциальных угроз и своевременных мерах по их предупреждению;

· на обнаружение угроз. Обнаружение имеет целью определение реальных угроз и конкретных преступных действий;

· на локализацию преступных действий и принятие мер по ликвидации угрозы или конкретных преступных действий;

· на ликвидацию последствий угроз и преступных действий и восстановление статус-кво.

Предупреждение возможных угроз и противоправных действий может быть обеспечено самыми различными мерами и средствами, начиная от создания климата глубоко осознанного отношения сотрудников к проблеме безопасности и защиты информации до создания глубокой, эшелонированной системы защиты физическими, аппаратными, программными и криптографическими средствами

Предупреждение угроз возможно и путем получения информации о готовящихся противоправных актах, планируемых хищениях, подготовительных действиях и других элементах преступных деяний.

В предупреждении угроз весьма существенную роль играет информационно-аналитическая деятельность службы безопасности на основе глубокого анализа криминогенной обстановки и деятельности конкурентов и злоумышленников.

Выявление имеет целью проведение мероприятий по сбору, накоплению и аналитической обработке сведений о возможной подготовке преступных действий со стороны криминальных структур или конкурентов на рынке производства и сбыта товаров и продукции.
Обнаружение угроз — это действия по определению конкретных угроз и их источников, приносящих тот или иной вид ущерба. К таким действиям можно отнести обнаружение фактов хищения или мошенничества, а также фактов разглашения конфиденциальной информации или случаев несанкционированного доступа к источникам коммерческих секретов.

Пресечение или локализация угроз — это действия, направленные на
устранение действующей угрозы и конкретных преступных действий. Например, пресечение подслушивания конфиденциальных переговоров за счет акустического канала утечки информации по вентиляционным системам.

Ликвидация последствий имеет целью восстановление состояния,
предшествовавшего наступлению угрозы. Например, возврат долгов со стороны заемщиков. Это может быть и задержание преступника с украденным имуществом, и восстановление разрушенного здания от подрыва и др.

Все эти способы имеют целью защитить информационные ресурсы от противоправных посягательств и обеспечить:

· предотвращение разглашения и утечки конфиденциальной информации;

· воспрещение несанкционированного доступа к источникам конфиденциальной информации;

· сохранение целостности, полноты и доступности информации;

· соблюдение конфиденциальности информации;

· обеспечение авторских прав.

Учитывая вышесказанное защиту информации можно определить как совокупность методов, средств и мер направленных на обеспечение информационной безопасности общества, государства и личности во всех областях их жизненно важных интересов.

Читайте также  Права и обязанности сотрудника ЧОП

Защищаемая информация включает сведения, составляющие государственную, коммерческую, служебную и иные охраняемые законом тайны. Каждый вид защищаемой информации имеет свои особенности в области регламентации, организации и осуществления этой защиты.

Наиболее общими признаками защиты любого вида охраняемой информации являются следующие:

· защиту информации организует и проводит собственник или владелец информации или уполномоченные им на то лица (юридические или физические);

· защитой информации собственник охраняет свои права на владение и распоряжение информацией, стремится оградить ее от незаконного завладения и использования в ущерб его интересам;

· защита информации осуществляется путем проведения комплекса мер по ограничению доступа к защищаемой информации и созданию условий, исключающих или существенно затрудняющих несанкционированный, незаконный доступ к засекреченной информации и ее носителям.

Таким образом, защита информации — есть комплекс мероприятий, проводимых собственником информации, по ограждению своих прав на владение и распоряжение информацией, созданию условий, ограничивающих ее распространение и исключающих или существенно затрудняющих несанкционированный, незаконный доступ к засекреченной информации и ее носителям.

Защищаемая информация, являющаяся государственной или коммерческой тайной, как и любой другой вид информации, необходима для управленческой, научно-производственной и иной деятельности. В настоящее время перед защитой информации ставятся более широкие задачи: обеспечить безопасность информации. Это обусловлено рядом обстоятельств, и в первую очередь тем, что все более широкое распространение в накоплении и обработке защищаемой информации получают ЭВМ, в которых может происходить не только утечка информации, но и ее разрушение, искажение, подделка, блокирование и иные вмешательства в информацию и информационные системы.

Следовательно под защитой информации следует также понимать обеспечение безопасности информации и средств информации, в которых накапливается, обрабатывается и хранится защищаемая информация.

Таким образом, защита информации — это деятельность собственника информации или уполномоченных им лиц по:

· обеспечению своих прав на владение, распоряжение и управление защищаемой информацией;

· предотвращению утечки и утраты информации;

· сохранению полноты, достоверности, целостности защищаемой информации, ее массивов и программ обработки;

· сохранению конфиденциальности или секретности защищаемой информации в соответствии с правилами, установленными законодательными и другими нормативными актами.

Что является целями защиты информации?

Цели, задачи и ресурсы системы защиты информации

Формулирование целей и задач защиты информации, как лю­бой другой деятельности, представляет начальный и значимый этап обеспечения безопасности информации. Важность этого эта­па часто недооценивается и ограничивается целями и задачами, на­поминающими лозунги. В то же время специалисты в области сис­темного анализа считают, что от четкости и конкретности целей и постановок задач во многом зависит успех в их достижении и ре­шении. Провал многих, в принципе полезных, начинаний обуслов­лен именно неопределенностью и расплывчатостью целей и задач, из которых не ясно, кто, что и за счет какого ресурса предполагает решать продекларированные задачи.

Цели защиты информации сформулированы в ст. 20 Закона РФ «Об информации, информатизации и защите информации»:

· предотвращение утечки, хищения, искажения, подделки инфор­мации;

• предотвращение угроз безопасности личности, общества, госу­дарства;

• предотвращение несанкционированных действий по уничтоже­нию, модификации, копированию, блокированию информации, предотвращение других форм незаконного вмешательства в ин формационные ресурсы и информационные системы, обеспече­ние правового режима как объекта собственности;

• защита конституционных прав граждан по сохранению личной тайны, конфиденциальности персональных данных, имеющих­ся в информационных системах;

• сохранение государственной тайны, конфиденциальности до­кументированной информации в соответствии с законодатель­ством;

• обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологии и средств их обеспечения,

В общем виде цель защиты информации определяется как обес­печение безопасности информации, содержащей государственную или иные тайны. Но такая постановка цели содержит неопределен­ные понятия: информация и безопасность.

Информация — первичное понятие, используемое в понятий­ном аппарате информационной безопасности. Предпринимаются многочисленные попытки дать корректное определение понятию «информация», но список попыток пока не закрыт. Учитывая, что любой материальный объект или физическое явление отобража­ются в виде совокупности признаков (свойств), а человек, кроме того, на основе этих признаков формирует их модели или образы, то информацию можно представить как отображение реального или виртуального мира на языке признаков материальных объек­тов или абстрактных символов. Более подробно понятие «инфор­мация» рассмотрено в разд. II.

Основной целью защиты информации является обеспечение заданного уровня ее безопасности. Под заданным уровнем безо­пасности информации понимается такое состояние защищеннос­ти информации от угроз, при котором обеспечивается допустимый риск ее уничтожения, изменения и хищения. При этом под унич­тожением информации понимается не только се физическое унич­тожение, но и стойкое блокирование санкционированного досту­па к ней. В общем случае при блокировке информации в резуль­тате неисправности замка или утери ключа сейфа, забытия пароля компьютера, искажения кода загрузочного сектора винчестера или дискетки и других факторах информация не искажается и не похищается и при определенных усилиях доступ к ней может быть вос­становлен. Следовательно, блокирование информации прямой уг­розы ее безопасности не создает. Однако при невозможности до­ступа к ней в нужный момент ее пользователь теряет информацию так же, как если бы она была уничтожена.

Угроза может быть реализована с различной вероятностью. Вероятность реализации угрозы безопасности информации оп­ределяет риск ее владельца. Допустимость риска означает, что ущерб в результате реализации угроз не приведет к серьезным последствиям для собственника информации. Ущерб может про­являться в разнообразных формах: неполучение прибыли, ожида­емой от информации при ее материализации в повой продукции или принятии более обоснованного решения; дополнительные за­траты на замену образцов военной техники, характеристики кото­рой стали известны вероятному противнику; и другие. По некото­рым оценкам, например, попадание к конкуренту около 20% объ­ема конфиденциальной информации фирмы может привести к се банкротству.

Риск владельца информации зависит от уровня инженерно-технической защиты информации, который, в свою очередь, опре­деляется ресурсами системы. Ресурс может быть определен в виде количества людей, привлекаемых к защите информации, в виде ин­женерных конструкций и технических средств, применяемых для защиты, денежных сумм для оплаты труда людей, строительства, разработки и покупки технических средств, их эксплуатационных и др. расходов. Наиболее общей формой представления ресурса яв­ляется денежная мера. Ресурс, выделяемый на защиту информа­ции, может иметь разовый и постоянный характер. Разовый ресурс расходуется на закупку, установку и наладку дорогостоящей тех­ники, постоянный — на заработную плату сотрудникам службы безопасности и поддержание определенного уровня безопасности, прежде всего, путем эксплуатации технических средств и контро­ля эффективности защиты. Средний ресурс оценивается величи­ной денежных средств, выделяемых или расходуемых в среднем в год как отношение расходов за определенный период на длитель­ность этого периода в годах.

Чем больше ресурс на защиту информации, тем более высо­кий уровень безопасности информации может он обеспечить. В принципе, при неограниченном ресурсе можно получить сколь угодно малую вероятность реализации угрозы.

Задачи инженерно-технической зашиты, как любые иные за­дачи, — не микроцели, как часто их определяют, а четкое и кон­кретное описание того, что надо сделать для достижения цели. Сформулировать задачи можно только тогда, когда определена за­щищаемая информация и угрозы ей. В постановке задачи указыва­ется необходимость определения рациональных мер для конкрет­ной защищаемой информации и угрозы ей с учетом имеющегося ресурса.

Понравилась статья? Поделиться с друзьями:
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: