Безопасность информации (данных) — состояние защищенности информации (данных), при котором обеспечены её (их) конфиденциальность, доступность и целостность.
Информационная безопасность — защита конфиденциальности, целостности и доступности информации.
- конфиденциальность (англ. confidentiality) — состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на него право;
- целостность (англ. integrity) — избежание несанкционированной модификации информации;
- доступность (англ. availability) — избежание временного или постоянного сокрытия информации от пользователей, получивших права доступа.
Информационная безопасность (англ. information security) — все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информации или средств её обработки.
Безопасность автоматизированной информационной системы — состояние защищенности автоматизированной информационной системы, при котором обеспечиваются конфиденциальность, доступность, целостность, подотчетность и подлинность её ресурсов.
|
|
Системный подход к описанию информационной безопасности предлагает выделить следующие составляющие информационной безопасности[12]:
- Законодательная, нормативно-правовая и научная база.
- Структура и задачи органов (подразделений), обеспечивающих безопасность ИТ.
- Организационно-технические и режимные меры и методы (Политика информационной безопасности).
- Программно-технические способы и средства обеспечения информационной безопасности.
Политика безопасности (информации в организации) (англ. Organizational security policy) — совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.
Политика безопасности информационно-телекоммуникационных технологий (англ. ІСТ security policy) — правила, директивы, сложившаяся практика, которые определяют, как в пределах организации и её информационно-телекоммуникационных технологий управлять, защищать и распределять активы, в том числе критичную информацию.
Для построения Политики информационной безопасности рекомендуется отдельно рассматривать следующие направления защиты информационной системы:
- Защита объектов информационной системы;
- Защита процессов, процедур и программ обработки информации;
- Защита каналов связи;
- Подавление побочных электромагнитных излучений;
- Управление системой защиты.
При этом, по каждому из перечисленных выше направлений Политика информационной безопасности должна описывать следующие этапы создания средств защиты информации:
|
|
- Определение информационных и технических ресурсов, подлежащих защите;
- Выявление полного множества потенциально возможных угроз и каналов утечки информации;
- Проведение оценки уязвимости и рисков информации при имеющемся множестве угроз и каналов утечки;
- Определение требований к системе защиты;
- Осуществление выбора средств защиты информации и их характеристик;
- Внедрение и организация использования выбранных мер, способов и средств защиты;
- Осуществление контроля целостности и управление системой защиты.
Политика информационной безопасности оформляется в виде документированных требований на информационную систему. Документы обычно разделяют по уровням описания (детализации) процесса защиты.