Защита информации — это деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.
^ Объект защиты — информация, носитель информации или информационный процесс, в отношении которых необходимо обеспечивать защиту в соответствии с поставленной целью защиты информации.
В специальной литературе под объектом защиты понимается такой структурный компонент системы, в котором находится или может находиться подлежащая защите информация, а под элементом защиты - совокупность данных, которая может содержать подлежащие защите сведения.
В качестве объектов защиты информации в системах обработки данных можно выделить следующие2:
терминалы пользователей (персональные компьютеры, рабочие станции сети);
терминал администратора сети или групповой абонентский узел;
узел связи;
средства отображения информации;
средства документирования информации;
машинный зал (компьютерный или дисплейный) и хранилище носителей информации;
|
|
внешние каналы связи и сетевое оборудование;
накопители и носители информации.
В соответствии с приведенным выше определением в качестве элементов защиты выступают блоки (порции, массивы, потоки и др.) информации в объектах защиты в частности:
данные и программы в основной памяти компьютера;
данные и программы на внешнем машинном носителе (гибком и жестком дисках);
данные, отображаемые на экране монитора;
данные, выводимые на принтер при автономном и сетевом использовании ПК;
пакеты данных, передаваемые по каналам связи;
данные, размножаемые (тиражируемые) с помощью копировально-множительного оборудования;
отходы обработки информации в виде бумажных и магнитных носителей;
журналы назначения паролей и приоритетов зарегистрированным пользователям;
служебные инструкции по работе с комплексами задач;
архивы данных и программного обеспечения и др.
При всем многообразии видов организаций, направлений и масштабов их деятельности, численности участников основными объектами обеспечения информационной безопасности, как правило, являются3:
информация в форме сведений (сведения об участниках организации, о состоянии рынка и ее активов; репутация организации и доброе имя участников организации и т.п.);
информация в форме сообщений (документы, закрепляющие права собственности организации на материальные и нематериальные активы; документация бухгалтерского учета, налоговые декларации, договоры на выполнение работ и оказание услуг, документация на выпускаемые изделия и т.п.);
информационная инфраструктура (автоматизированные системы обработки информации и технологического управления; техническое и программное обеспечение информационных и коммуникационных систем и сетей связи, используемых в организации, и т.п.);
|
|
правовой статус организации как субъекта информационной сферы (права на объекты интеллектуальной собственности, на выполнение работ и оказание услуг, на доступ к открытой информации государственных органов, на коммерческую тайн} и т.п., а также обязанности по представлению в уполномоченные государственные органы сведений о результатах экономической деятельности, по соблюдению режима персональных данных, по представлению заинтересованным лицам документов в случае направления заявки на участие в конкурсах и аукционах и т.п.).
^ Цель защиты информации — это желаемый результат защиты информации. Целью защиты информации может быть предотвращение ущерба собственнику, владельцу, пользователю информации в результате возможной утечки информации и/или несанкционированного и непреднамеренного воздействия на информацию.
Эффективность защиты информации — степень соответствия результатов защиты информации поставленной цели.
Защита информации от утечки — деятельность по предотвращению неконтролируемого распространения защищаемой информации от ее разглашения, несанкционированного доступа (НСД) к защищаемой информации и получения защищаемой информации злоумышленниками.
^ Защита информации от разглашения — деятельность по предотвращению несанкционированного доведения защищаемой информации до неконтролируемого количества получателей информации.
^ Защита информации от НСД — деятельность по предотвращению получения защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или собственником либо владельцем информации прав или правил доступа к защищаемой информации. Заинтересованным субъектом, осуществляющим НСД к защищаемой информации, может выступать государство, юридическое лицо, группа физических лиц, в т. ч. общественная организация, отдельное физическое лицо.
^ Система защиты информации — совокупность органов и/или исполнителей, используемая ими техника защиты информации, а также объекты защиты, организованные и функционирующие по правилам, установленным соответствующими правовыми, организационно-распорядительными и нормативными документами по защите информации.