Информационная безопасность. Вопросы безопасности информационных и автоматизированных систем

Защита информации — это деятельность по предотвращению утечки защищаемой информации, несанкционированных и не­преднамеренных воздействий на защищаемую информацию.

^ Объект защиты — информация, носитель информации или информационный процесс, в отношении которых необходимо обеспечивать защиту в соответствии с поставленной целью за­щиты информации.

В специальной литературе под объектом защиты понимается такой структурный компонент системы, в котором находится или может находиться подлежащая защите информация, а под элементом защиты - совокупность данных, которая может содержать подлежащие защите сведения.

В качестве объектов защиты информации в системах обработки данных можно выделить следующие2:

терминалы пользователей (персональные компьютеры, рабочие станции сети);

терминал администратора сети или групповой абонентский узел;

узел связи;

средства отображения информации;

средства документирования информации;

машинный зал (компьютерный или дисплейный) и хранилище носителей информации;

внешние каналы связи и сетевое оборудование;

накопители и носители информации.

В соответствии с приведенным выше определением в качестве элементов защиты выступают блоки (порции, массивы, потоки и др.) информации в объектах защиты в частности:

данные и программы в основной памяти компьютера;

данные и программы на внешнем машинном носителе (гибком и жестком дисках);

данные, отображаемые на экране монитора;

данные, выводимые на принтер при автономном и сетевом использовании ПК;

пакеты данных, передаваемые по каналам связи;

данные, размножаемые (тиражируемые) с помощью копировально-множительного оборудования;

отходы обработки информации в виде бумажных и магнитных носителей;

журналы назначения паролей и приоритетов зарегистрированным пользователям;

служебные инструкции по работе с комплексами задач;

архивы данных и программного обеспечения и др.

При всем многообразии видов организаций, направлений и масштабов их деятельности, численности участников основными объектами обеспечения информационной безопасности, как пра­вило, являются3:

информация в форме сведений (сведения об участниках орга­низации, о состоянии рынка и ее активов; репутация организа­ции и доброе имя участников организации и т.п.);

информация в форме сообщений (документы, закрепляющие права собственности организации на материальные и нематери­альные активы; документация бухгалтерского учета, налоговые декларации, договоры на выполнение работ и оказание услуг, документация на выпускаемые изделия и т.п.);

информационная инфраструктура (автоматизированные сис­темы обработки информации и технологического управления; тех­ническое и программное обеспечение информационных и комму­никационных систем и сетей связи, используемых в организации, и т.п.);

правовой статус организации как субъекта информацион­ной сферы (права на объекты интеллектуальной собственности, на выполнение работ и оказание услуг, на доступ к открытой информации государственных органов, на коммерческую тайн} и т.п., а также обязанности по представлению в уполномочен­ные государственные органы сведений о результатах экономи­ческой деятельности, по соблюдению режима персональных дан­ных, по представлению заинтересованным лицам документов в случае направления заявки на участие в конкурсах и аукционах и т.п.).

^ Цель защиты информации — это желаемый результат защиты информации. Целью защиты информации может быть предот­вращение ущерба собственнику, владельцу, пользователю ин­формации в результате возможной утечки информации и/или не­санкционированного и непреднамеренного воздействия на ин­формацию.

Эффективность защиты информации — степень соответствия результатов защиты информации поставленной цели.

Защита информации от утечки — деятельность по предотвра­щению неконтролируемого распространения защищаемой ин­формации от ее разглашения, несанкционированного доступа (НСД) к защищаемой информации и получения защищаемой информации злоумышленниками.

^ Защита информации от разглашения — деятельность по пре­дотвращению несанкционированного доведения защищаемой информации до неконтролируемого количества получателей ин­формации.

^ Защита информации от НСД — деятельность по предотвра­щению получения защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документа­ми или собственником либо владельцем информации прав или правил доступа к защищаемой информации. Заинтересованным субъектом, осуществляющим НСД к защищаемой информации, может выступать государство, юридическое лицо, группа физи­ческих лиц, в т. ч. общественная организация, отдельное физи­ческое лицо.

^ Система защиты информации — совокупность органов и/или исполнителей, используемая ими техника защиты информации, а также объекты защиты, организованные и функционирующие по правилам, установленным соответствующими правовыми, ор­ганизационно-распорядительными и нормативными документа­ми по защите информации.