Windows 7 

Trije vidiki informacijske varnosti: razpoložljivost, celovitost, zaupnost. Tri vrste možnih kršitev informacijskega sistema. Informacijska varnost Trije najpomembnejši vidiki informacijske varnosti

Medtem Varnost informacij- To država varnost informacijskega okolja, varstvo podatkov predstavlja dejavnost preprečiti uhajanje varovanih informacij, nepooblaščene in nenamerne vplive na varovane informacije, tj. postopek namenjene doseganju tega stanja.

Informacijska varnost organizacije- namenske dejavnosti njegovih organov in uradnikov z dovoljenimi silami in sredstvi za doseganje stanja varnosti informacijskega okolja organizacije, ki zagotavlja njegovo normalno delovanje in dinamičen razvoj.

Varnost informacij- je zaporedje dejanj za dosego določenega cilja.

Informacijska varnost države- stanje ohranjenosti informacijskih virov države in varstva zakonitih pravic posameznika in družbe na informacijskem področju.

Standardizirane definicije

Stanje varnosti informacij (podatkov), v katerem je zagotovljena njihova (njihova) zaupnost, razpoložljivost in celovitost.

Varnost informacij- varovanje zaupnosti, celovitosti in dostopnosti informacij.

  1. Zaupnost: lastnost informacijskih virov, vključno z informacijami, povezana z dejstvom, da ne bodo postali dostopni in ne bodo razkriti nepooblaščenim osebam.
  2. Celovitost: nespremenljivost informacij med njihovim prenosom ali shranjevanjem.
  3. Razpoložljivost: lastnost informacijskih virov, vključno z informacijami, ki določa možnost njihovega prejema in uporabe na zahtevo pooblaščenih oseb.

Varnost informacij(Angleščina) varnost informacij) - vsi vidiki, povezani z določanjem, doseganjem in vzdrževanjem zaupnosti, celovitosti, razpoložljivosti, nezavržljivosti, odgovornosti, pristnosti in zanesljivosti informacij ali sredstev za njihovo obdelavo.

Varnost informacij (podatkov)(Angleščina) varnost informacij (podatkov).) - stanje varnosti informacij (podatkov), ki zagotavlja njihovo (njihovo) zaupnost, razpoložljivost in celovitost.

Varnost informacij (podatkov) je določena z odsotnostjo nesprejemljivega tveganja, povezanega z uhajanjem informacij po tehničnih kanalih, nepooblaščenimi in nenamernimi vplivi na podatke in (ali) druge vire avtomatiziranega informacijskega sistema, ki se uporabljajo v avtomatiziranem sistemu.

Informacijska varnost (pri uporabi informacijske tehnologije)(Angleščina) IT varnost) - stanje varnosti informacij (podatkov), zagotavljanje varnosti informacij, za katere se uporabljajo za obdelavo, in informacijske varnosti avtomatiziranega informacijskega sistema, v katerem se izvajajo.

Varovanje avtomatiziranega informacijskega sistema- stanje varnosti avtomatiziranega sistema, ki zagotavlja zaupnost, razpoložljivost, celovitost, odgovornost in pristnost njegovih virov.

Informacijska varnost je varnost informacij in podporne infrastrukture pred naključnimi ali namernimi vplivi naravne ali umetne narave, ki lahko povzročijo nesprejemljivo škodo subjektom informacijskih odnosov. Podporna infrastruktura - sistemi za oskrbo z elektriko, toploto, vodo, plinom, klimatski sistemi itd., kot tudi vzdrževalno osebje. Nesprejemljiva škoda je škoda, ki je ni mogoče prezreti.

Bistvene značilnosti koncepta

Model s tremi kategorijami se pogosto navaja kot standardni varnostni model:

Obstajajo še druge, ki niso vedno obvezne kategorije varnostnega modela:

Državni standard Ruske federacije daje naslednja priporočila za uporabo izrazov "varnost" in "varno":

Besedi "varnost" in "varno" se uporabljata samo za izražanje zaupanja in jamstva za tveganje.

Besed "varnost" in "varen" se ne sme uporabljati kot opisni pridevnik, saj ne posredujeta nobenih uporabnih informacij. Priporočljivo je, da te besede, kjer je to mogoče, nadomestite z znaki predmeta, na primer:

  • »zaščitna čelada« namesto »zaščitna čelada«;
  • »nedrseča talna obloga« namesto »varna talna obloga«.

Za izraz "informacijska varnost" je treba upoštevati ista priporočila. Priporočljivo je, da uporabite natančnejše značilnosti predmetov, razdeljene kot znake koncepta "informacijske varnosti". Na primer, natančneje bi bilo uporabiti argument "preprečiti grožnje razpoložljivosti predmeta" (ali "ohraniti celovitost podatkov") namesto argumenta "na podlagi zahtev glede informacijske varnosti".

Obseg (implementacija) koncepta "informacijske varnosti"

Sistematični pristop k opisovanju informacijske varnosti predlaga izpostavitev naslednjih komponent informacijske varnosti:

  1. Zakonodajni, regulativni in znanstveni okvir.
  2. Sestava in naloge organov (oddelkov) za zagotavljanje informacijske varnosti.
  3. Organizacijski, tehnični in varnostni ukrepi in metode (Informacijska varnostna politika).
  4. Programske in strojne metode in sredstva za zagotavljanje informacijske varnosti.

Spodaj v tem razdelku bo vsaka komponenta informacijske varnosti podrobno obravnavana.

Cilj izvajanja informacijske varnosti katerega koli objekta je zgraditi sistem informacijske varnosti za ta objekt (ISIS). Za izgradnjo in učinkovito delovanje ISMS je potrebno:

  • identificirati zahteve glede informacijske varnosti, specifične za dani predmet zaščite;
  • upoštevajo zahteve nacionalne in mednarodne zakonodaje;
  • uporabljati uveljavljene prakse (standarde, metodologije) za izgradnjo takih ISMS;
  • identificirati enote, odgovorne za implementacijo in podporo ISMS;
  • razdeli področja odgovornosti med oddelke pri izvajanju zahtev ISMS;
  • na podlagi obvladovanja tveganja informacijske varnosti določi splošne določbe, tehnične in organizacijske zahteve, ki sestavljajo politiko informacijske varnosti varovanega objekta;
  • uresničevati zahteve Politike informacijske varnosti z uvedbo ustreznih programskih in strojnih metod ter sredstev za zaščito informacij;
  • uvesti sistem upravljanja informacijske varnosti (ISMS);
  • Z uporabo ISMS organizirati redno spremljanje učinkovitosti ISMS in po potrebi pregled in prilagajanje ISMS in ISMS.

Kot je razvidno iz zadnje faze dela, je proces implementacije ISMS neprekinjen in se ciklično (po vsaki reviziji) vrača na prvo stopnjo, zaporedno pa ponavlja vse ostale. Tako je sistem informacijske varnosti prilagojen, da učinkovito izpolnjuje svoje naloge varovanja informacij in ustreza novim zahtevam nenehno posodobljenega informacijskega sistema.

Regulativni dokumenti na področju informacijske varnosti

V Ruski federaciji regulativni pravni akti na področju informacijske varnosti vključujejo:

Zakoni zvezne zakonodaje:

  • mednarodne pogodbe Ruske federacije;
    • Ustava Ruske federacije;
    • Zakoni na zvezni ravni (vključno z zveznimi ustavnimi zakoni, zakoniki);
    • Odloki predsednika Ruske federacije;
    • Odloki vlade Ruske federacije;
    • Regulativni pravni akti zveznih ministrstev in služb;
    • Regulativni pravni akti sestavnih subjektov Ruske federacije, lokalnih oblasti itd.

Seznami in vsebina teh regulativnih dokumentov na področju informacijske varnosti so podrobneje obravnavani v razdelku Informacijsko pravo.

Regulativni in metodološki dokumenti vključujejo

  • Metodološki dokumenti ruskih državnih organov:
    • Doktrina informacijske varnosti Ruske federacije;
    • Vodilni dokumenti FSTEC (Državna tehnična komisija Rusije);
    • ukazi FSB;
  • Standardi informacijske varnosti, med katerimi ločimo naslednje:
    • mednarodni standardi;
    • Državni (nacionalni) standardi Ruske federacije;
    • Priporočila za standardizacijo;
    • Metodična navodila.

Organi (oddelki), ki zagotavljajo informacijsko varnost

Odvisno od uporabe dejavnosti na področju informacijske varnosti (znotraj državnih organov ali gospodarskih organizacij) samo dejavnost organizirajo posebni državni organi (oddelki) ali oddelki (službe) podjetja.

Državni organi Ruske federacije, ki nadzorujejo dejavnosti na področju informacijske varnosti:

  • Zvezna služba za tehnični in izvozni nadzor (FSTEC Rusije);
  • Zvezna varnostna služba Ruske federacije (FSB Rusije);
  • Zvezna varnostna služba Ruske federacije (FSO Rusije);
  • Zunanja obveščevalna služba Ruske federacije (SVR Rusije);
  • Ministrstvo za obrambo Ruske federacije (Ministrstvo za obrambo Rusije);
  • Ministrstvo za notranje zadeve Ruske federacije (MVD Rusije);
  • Zvezna služba za nadzor komunikacij, informacijskih tehnologij in množičnih komunikacij (Roskomnadzor).

Storitve, ki organizirajo informacijsko varnost na ravni podjetja

  • Kadrovska varnostna služba (varnostni oddelek);
  • Oddelek za človeške vire;

Organizacijski, tehnični in režimski ukrepi in metode

Za opis tehnologije varovanja informacij določenega informacijskega sistema, t.i Politika varnosti informacij ali varnostno politiko zadevnega informacijskega sistema.

Varnostna politika(podatki v organizaciji) (eng. Organizacijska varnostna politika ) - niz dokumentiranih pravil, postopkov, praks ali smernic na področju informacijske varnosti, ki vodijo organizacijo pri njenih dejavnostih.

Varnostna politika informacijskih in telekomunikacijskih tehnologij(Angleščina) Varnostna politika IKT) - pravila, direktive, uveljavljene prakse, ki določajo, kako znotraj organizacije ter njenih informacijskih in telekomunikacijskih tehnologij upravljati, varovati in distribuirati sredstva, vključno s kritičnimi informacijami.

Za izdelavo politike informacijske varnosti je priporočljivo ločeno obravnavati naslednja področja zaščite informacijskega sistema:

  • Varovanje objektov informacijskega sistema;
  • Zaščita procesov, postopkov in programov za obdelavo informacij;
  • Zaščita komunikacijskih kanalov (akustičnih, infrardečih, žičnih, radijskih kanalov itd.);
  • Zatiranje stranskega elektromagnetnega sevanja;
  • Upravljanje varnostnega sistema.

Hkrati mora politika informacijske varnosti za vsako od zgoraj navedenih področij opisati naslednje faze ustvarjanja orodij za informacijsko varnost:

  1. Identifikacija informacijskih in tehničnih virov, ki jih je treba zaščititi;
  2. Identifikacija celotnega obsega potencialnih groženj in kanalov za uhajanje informacij;
  3. Izvedba ocene ranljivosti in tveganja informacij glede na množico groženj in kanalov uhajanja;
  4. Določitev zahtev za zaščitni sistem;
  5. Izbira orodij za informacijsko varnost in njihove značilnosti;
  6. Uvajanje in organizacija uporabe izbranih ukrepov, metod in sredstev varovanja;
  7. Izvedba nadzora integritete in upravljanja varnostnega sistema.

Politika informacijske varnosti je formalizirana v obliki dokumentiranih zahtev za informacijski sistem. Dokumenti so običajno razdeljeni po stopnjah opisa (podrobnosti) postopka zaščite.

Dokumentacija najvišji nivo Politike informacijske varnosti odražajo stališče organizacije do dejavnosti na področju informacijske varnosti, njeno željo po izpolnjevanju državnih, mednarodnih zahtev in standardov na tem področju. Takšni dokumenti se lahko imenujejo »Koncept IS«, »Predpisi upravljanja IS«, »Politika IS«, »Tehnični standard IS« itd. Obseg distribucije dokumentov najvišje ravni običajno ni omejen, vendar se ti dokumenti lahko izdajo v dveh izdajah - za zunanjo in notranjo uporabo.

V skladu z GOST R ISO/IEC 17799-2005 je treba na najvišji ravni politike informacijske varnosti sestaviti naslednje dokumente: »Koncept informacijske varnosti«, »Pravila za sprejemljivo uporabo virov informacijskega sistema«, »Načrt neprekinjenega poslovanja« .

TO srednji nivo vključujejo dokumente, ki se nanašajo na nekatere vidike informacijske varnosti. To so zahteve za ustvarjanje in delovanje orodij za informacijsko varnost, organizacijo informacijskih in poslovnih procesov organizacije na določenem področju informacijske varnosti. Na primer: varnost podatkov, komunikacijska varnost, uporaba orodij za kriptografsko zaščito, filtriranje vsebine itd. Takšni dokumenti so običajno objavljeni v obliki internih tehničnih in organizacijskih politik (standardov) organizacije. Vsi dokumenti politike varovanja informacij na srednji ravni so zaupni.

K politiki informacijske varnosti nižja raven vključuje delovna pravila, priročnike za administracijo, navodila za uporabo posameznih storitev informacijske varnosti.

Programske in strojne metode in sredstva za zagotavljanje informacijske varnosti

Literatura ponuja naslednjo klasifikacijo orodij za informacijsko varnost.

Organizacijska zaščita objektov informatizacije

Organizacijska obramba- to je ureditev proizvodnih dejavnosti in razmerij med izvajalci na pravni podlagi, ki izključuje ali bistveno otežuje nezakonito pridobivanje zaupnih podatkov ter pojav notranjih in zunanjih groženj. Organizacijska zaščita zagotavlja:

  • organizacija varnosti, režim, delo z osebjem, z dokumenti;
  • uporabo sredstev tehničnega varovanja ter informacijsko analitično dejavnost za prepoznavanje notranjih in zunanjih nevarnosti za poslovanje.

Glavne organizacijske dejavnosti vključujejo:

  • organizacija režima in varnosti. Njihov cilj je izključiti možnost tajnega vstopa na ozemlje in v prostore nepooblaščenih oseb;
  • organizacija dela z zaposlenimi, ki vključuje izbiro in razporeditev osebja, vključno s seznanitvijo z zaposlenimi, njihovim študijem, usposabljanjem o pravilih dela z zaupnimi informacijami, seznanitvijo s kaznimi za kršitev pravil informacijske varnosti itd.;
  • organiziranje dela z dokumenti in dokumentiranimi informacijami, vključno z organiziranjem razvoja in uporabe dokumentov in nosilcev zaupnih podatkov, njihovo evidentiranje, izvedba, vračanje, hramba in uničenje;
  • organiziranje uporabe tehničnih sredstev za zbiranje, obdelavo, zbiranje in shranjevanje zaupnih informacij;
  • organiziranje dela za analizo notranjih in zunanjih groženj zaupnim informacijam in razvoj ukrepov za zagotavljanje njihove zaščite;
  • organiziranje dela za izvajanje sistematičnega spremljanja dela osebja z zaupnimi podatki, postopka evidentiranja, shranjevanja in uničenja dokumentov in tehničnih nosilcev.

V vsakem konkretnem primeru imajo organizacijski ukrepi za določeno organizacijo specifično obliko in vsebino, ki je namenjena zagotavljanju varnosti informacij v posebnih razmerah.

Zgodovinski vidiki nastanka in razvoja informacijske varnosti

Objektivno je kategorija »informacijska varnost« nastala s pojavom med ljudmi, pa tudi z zavedanjem človeka, da imajo ljudje in njihove skupnosti interese, ki jih lahko škoduje vplivom na sredstva informacijskih komunikacij, katerih prisotnost in razvoj zagotavljata izmenjavo informacij. med vsemi elementi družbe.

Glede na vpliv na transformacijo informacijske varnosti lahko v razvoju informacijskih komunikacij ločimo več stopenj:

  • Za prvo stopnjo - do leta 1816 - je značilna uporaba naravnih informacijskih komunikacijskih sredstev. V tem obdobju je bila glavna naloga informacijske varnosti varovanje podatkov o dogodkih, dejstvih, premoženju, lokaciji in drugih podatkih, ki so bili življenjskega pomena za človeka osebno ali skupnost, ki ji pripada.
  • Faza II - od leta 1816 - je povezana z začetkom uporabe umetno ustvarjenih tehničnih sredstev električne in radijske komunikacije. Za zagotovitev tajnosti in protihrupne odpornosti radijskih komunikacij je bilo treba uporabiti izkušnje prvega obdobja informacijske varnosti na višji tehnološki ravni, in sicer uporabo proti motnjam odpornega kodiranja sporočila (signala) z naknadnim dekodiranjem prejetega. sporočilo (signal).
  • Faza III - z začetkom leta 1935 - je povezana s pojavom radarskih in hidroakustičnih sredstev. Glavni način zagotavljanja informacijske varnosti v tem obdobju je bila kombinacija organizacijskih in tehničnih ukrepov, namenjenih povečanju varnosti radarske opreme pred vplivom aktivnega maskiranja in pasivnega simuliranja elektronskih motenj na njihove sprejemne naprave.
  • Faza IV - od leta 1946 - je povezana z izumom in implementacijo elektronskih računalnikov (računalnikov) v praktične dejavnosti. Probleme informacijske varnosti smo reševali predvsem z metodami in sredstvi omejevanja fizičnega dostopa do opreme za pridobivanje, obdelavo in prenos informacij.
  • V. stopnja - od leta 1965 - je posledica nastanka in razvoja lokalnih. Probleme informacijske varnosti smo reševali predvsem z metodami in sredstvi fizične zaščite sredstev za pridobivanje, obdelavo in prenos informacij, integriranih v lokalno omrežje z upravljanjem in nadzorom dostopa do omrežnih virov.
  • Faza VI - z začetkom leta 1973 - je povezana z uporabo ultra-mobilnih komunikacijskih naprav s širokim spektrom nalog. Grožnje informacijski varnosti so postale veliko resnejše. Za zagotavljanje informacijske varnosti v računalniških sistemih z brezžičnimi podatkovnimi omrežji je bilo potrebno razviti nove varnostne kriterije. Oblikovale so se skupnosti ljudi – hekerjev, katerih cilj je škoditi informacijski varnosti posameznih uporabnikov, organizacij in celih držav. Informacijski vir je postal najpomembnejši vir države, zagotavljanje njegove varnosti pa najpomembnejša in obvezna sestavina nacionalne varnosti. Oblikuje se informacijsko pravo - nova veja mednarodnega pravnega sistema.
  • Faza VII - od leta 1985 - je povezana z ustvarjanjem in razvojem globalnih informacijskih in komunikacijskih omrežij z uporabo vesoljske podporne opreme. Predvidevamo lahko, da bo naslednja stopnja v razvoju informacijske varnosti očitno povezana s široko uporabo ultra-mobilnih komunikacijskih naprav s širokim spektrom nalog in globalno pokritostjo v prostoru in času, ki jo zagotavljajo vesoljski informacijski in komunikacijski sistemi. Za rešitev problemov informacijske varnosti na tej stopnji je potrebno ustvariti makrosistem informacijske varnosti človeštva pod okriljem vodilnih mednarodnih forumov.

Poglej tudi

  • Abstraktni modeli informacijske varnosti
  • Državna informacijska politika Rusije
  • Kriteriji za ugotavljanje varnosti računalniških sistemov
  • Nenajavljene zmogljivosti
  • Standard Banke Rusije za zagotavljanje informacijske varnosti organizacij bančnega sistema Ruske federacije (STO BR IBBS)
  • Kazniva dejanja s področja tehničnega varovanja sistemov
  • Zaščita informacij pred uhajanjem skozi materialne kanale

Opombe

  1. Nacionalni standard Ruske federacije "Varstvo informacij. Osnovni pojmi in definicije" (GOST R 50922-2006).
  2. Nacionalni standard Ruske federacije "Informacijska tehnologija. Praktična pravila za upravljanje varnosti informacij" (GOST R ISO/IEC 17799-2005).
  3. Varnost: teorija, paradigma, koncept, kultura. Slovar-priročnik / Avtor-komp. Profesor V. F. Pilipenko. 2. izd., dod. in predelano - M.: PER SE-Press, 2005.
  4. Informacijska varnost (2. knjiga družbenopolitičnega projekta Aktualni problemi socialne varnosti). M.: "Orožje in tehnologije", 2009.
  5. Nacionalni standard Ruske federacije "Metode in sredstva za zagotavljanje varnosti. Del 1. Koncept in modeli upravljanja varnosti informacijskih in telekomunikacijskih tehnologij" (GOST R ISO/IEC 13335-1 - 2006).
  6. Priporočila za standardizacijo »Informacijske tehnologije. Osnovni pojmi in definicije na področju tehnične informacijske varnosti« (R 50.1.053-2005).
  7. Iskanje. Glossary.ru
  8. Priporočila za standardizacijo »Tehnična informacijska varnost. Osnovni pojmi in definicije" (R 50.1.056-2005).
  9. Državni standard Ruske federacije "Varnostni vidiki. Pravila za vključitev v standarde" (GOST R 51898-2002).
  10. Domarev V.V. Varnost informacijskih tehnologij. Sistematični pristop - K.: LLC TID Dia Soft, 2004. - 992 str.
  11. Lapina M. A., Revin A. G., Lapin V. I. Informacijsko pravo. M.: UNITY-DANA, Pravo in pravo, 2004.
  12. Informacijska varnost v sodobnih sistemih za upravljanje baz podatkov

Literatura

  • Barman Scott. Razvoj pravil informacijske varnosti. M.: Williams, 2002. - 208 str. - ISBN 5-8459-0323-8, ISBN 1-57870-264-X.
  • Galatenko V.A. Standardi informacijske varnosti. - M .: Internetna univerza informacijskih tehnologij, 2006. - 264 str. - ISBN 5-9556-0053-1.
  • Galitsky A.V., Ryabko S.D., Shangin V.F. Varovanje informacij v omrežju - analiza tehnologij in sinteza rešitev. M .: DMK Press, 2004. - 616 str. - ISBN 5-94074-244-0.
  • Zapechnikov S.V., Miloslavskaya N.G., Tolstoj A.I., Ushakov D.V. Informacijska varnost odprtih sistemov. V 2 zv.
    • Zvezek 1. Grožnje, ranljivosti, napadi in pristopi k zaščiti. M .: Hot Line - Telecom, 2006. - 536 str. - ISBN 5-93517-291-1, ISBN 5-93517-319-0.
    • Zvezek 2. Varnostna orodja v omrežjih. M .: Hot Line - Telecom, 2008. - 560 str. - ISBN 978-5-9912-0034-9.
  • Lepekhin A.N. Preiskovanje kaznivih dejanj zoper informacijsko varnost. Teoretični, pravni in aplikativni vidiki. M.: Tezej, 2008. - 176 str. - ISBN 978-985-463-258-2.
  • Lopatin V.N. Informacijska varnost Rusije: Človek, družba, država Serija: Varnost človeka in družbe. M.: 2000. - 428 str. -

Tehnološka revolucija na področju informacij, ki se je začela v zadnji tretjini dvajsetega stoletja in se nadaljuje do danes, je določila nastanek pojavov, kot so "informacijske vojne" in "informacijski terorizem". Zato ima informacijska varnost trenutno pomembno mesto v nacionalni varnostni politiki.

Tehnološka revolucija na področju informacij je povezana predvsem z razvojem kibernetike, ki je vodila v nastanek upravljavskih informacijskih sistemov. Po tem so se osebni računalniki začeli vsepovsod množično uvajati, kar je posledično povzročilo pospešen razvoj telekomunikacijskih tehnologij. Nato so se osebni računalniki začeli združevati v računalniška omrežja, najprej lokalna in nato globalna. Hkrati z enormno rastjo priljubljenosti interneta se pojavlja nevarnost razkritja osebnih podatkov in kritičnih korporativnih virov brez primere. Izboljšanje informacijske varnosti postaja nujno vprašanje, ki ga potrebujejo tako končni uporabniki kot podjetja.

Informacije so postale eno najpomembnejših sredstev vplivanja na odnose z javnostmi in postale ena najvrednejših dobrin. Tako "nematerialno" blago, kot so informacije, zahteva posebno zaščito. Zato je informacijska varnost trenutno eno najbolj razvijajočih se področij sodobne znanosti. To velja enako za tehnične in pravne vidike vprašanja v zvezi z informacijsko varnostjo.

Definicij pojma “varnost” je kar nekaj. Najpogosteje se varnost razlaga kot stanje, ko ni nevarnosti, tj. »dejavniki in razmere, ki ogrožajo obstoj posameznika ali njegove skupnosti v obliki družine, kraja ali države«. Varnost se pogosto razlaga kot sposobnost predmeta, da v prisotnosti destruktivnih, zunanjih in/ali notranjih vplivov ohrani svoje najpomembnejše, sistemotvorne lastnosti, osnovne značilnosti in parametre, katerih izguba lahko privede do dejstva, da da predmet izgubi svoje bistvo in preneha biti sam.

Informacijska varnost je stanje informacijskega okolja, ki zagotavlja zadovoljevanje informacijskih potreb subjektov informacijskih odnosov, varnost informacij in zaščito subjektov pred negativnimi informacijskimi vplivi.

Koncept "informacijske varnosti" je povezan s konceptom "informacijske varnosti". Pogosto se uporabljajo kot sinonimi. Toda, kot veste, »varnost« ne obstaja sama po sebi, ne glede na predmet; »brez definiranja predmeta je pojem »varnost« nejasen, brez notranjega pomena.« Izbira varnostnega objekta vnaprej določa vsebino pojma "varnost". Če je torej predmet zaščite informacija sama, potem pojma »informacijska varnost« in »informacijska varnost« resnično postaneta sinonima. Če pa se določen predmet (subjekt) obravnava kot predmet zaščite - udeleženec informacijskih odnosov, potem beseda "informacije" v izrazu "informacijska varnost" označuje smer dejavnosti, s katero se lahko povzroči škoda predmetu. zaščite in koncepta "informacijske varnosti" v tem primeru ga je treba razlagati kot stanje zaščite določenega predmeta pred grožnjami informacijske narave. S.P. Rastorguev (doktor tehničnih znanosti, redni član Ruske akademije naravoslovnih znanosti, Moskovskega letalskega inštituta, ASPN itd., profesor na Moskovski državni univerzi po imenu M. V. Lomonosov), ki opisuje trenutno stanje problema, piše: »Kot Posledično se je problem zaščite informacij, ki prej ni bil aktualen, obrnil kot kovanec, kar je zaživelo njegovo nasprotje - varstvo pred informacijami. Zdaj je treba zaščititi sam informacijski sistem in najprej osebo pred informacijami, ki prihajajo "noter", saj vsaka informacija, ki pride na vhod samoučečega sistema, neizogibno spremeni sistem. Ciljni destruktivni informacijski vpliv lahko privede sistem do nepopravljivih sprememb in pod določenimi pogoji do samouničenja.«

Pri nas je pozornost javnosti usmerjena izključno na problem informacijske varnosti. Do te situacije je prišlo zaradi številnih okoliščin. Najprej je to posledica očitnosti. Informacije so postale blago in blago je treba zaščititi. Veliko redkeje se informacijska varnost obravnava z vidika začetne popolnosti in zanesljivosti informacij.

Informacijska varnost vključuje tri komponente:

  • - zadovoljevanje informacijskih potreb subjektov;
  • - zagotavljanje informacijske varnosti;
  • - zagotavljanje zaščite subjektov informacijskih odnosov pred negativnimi vplivi informacij.

Opomba: Koncepti ekonomske in informacijske varnosti. Ključna vprašanja varnosti informacij. Vrste groženj informacijski varnosti in klasifikacija virov groženj. Glavne vrste varovanih informacij. Pravna podpora informacijski varnosti. Glavni vidiki izgradnje sistema informacijske varnosti.

Koncepti ekonomske in informacijske varnosti. Ključna vprašanja varnosti informacij

Informacije že dolgo niso več le pomožni vir, potreben za proizvodnjo materialnih sredstev - pridobile so oprijemljivo stroškovno težo, ki je jasno določena z dejanskim dobičkom, prejetim z njihovo uporabo, ali višino škode, povzročene lastniku informacije. Ustvarjanje tehnologij in industrije za zbiranje, obdelavo, analiziranje informacij in njihovo posredovanje končnemu uporabniku povzroča vrsto kompleksnih problemov. Eden od teh problemov je zanesljivo zagotavljanje varnosti in vzpostavljenega statusa informacij (relevantnost, popolnost, doslednost, zaupnost), ki krožijo in se obdelujejo v informacijskih in računalniških sistemih in omrežjih, ter varnost samih sistemov in tehnologij.

Sodobni razvoj informacijskih tehnologij in zlasti internetnih / intranetnih tehnologij vodi do potrebe po zaščiti informacij, ki se prenašajo v porazdeljenem korporativnem omrežju z odprtimi dostopnimi omrežji. Pri uporabi lastnih zaprtih kanalov fizičnega dostopa ta težava ni tako pereča, saj je dostop do tega omrežja zunanjim osebam onemogočen. Vendar si vsako podjetje ne more privoščiti namenskih kanalov. Zato se moramo zadovoljiti s tem, kar podjetje ima na razpolago. In najpogosteje je internet. Zato moramo izumiti načine za zaščito zaupnih podatkov, ki se prenašajo po skoraj nezaščitenem omrežju.

Varnost informacijskih tehnologij (IT) in sistemov (IS) je ena najpomembnejših komponent problematike zagotavljanja ekonomske varnosti organizacije. Prehod na nove oblike državnega in gospodarskega upravljanja gospodarstva v Rusiji v kontekstu primanjkljaja in nedoslednosti pravnega okvira je povzročil celo vrsto težav na področju varstva podatkov, informacij, znanja in samih IKT. To je edinstvenost oblikovanja tržnih odnosov in pomanjkanje utemeljenih konceptov reform ter zaostajanje pri uporabi sodobnih informacijskih tehnologij v upravljanju in proizvodnji. Zaostrovanje teh problemov je v ospredje postavilo vprašanja zagotavljanja nacionalne, socialne in korporativne varnosti, tudi na informacijskem področju.

Leta 1983 je Ministrstvo za obrambo ZDA izdalo Orange Book – Merila za ocenjevanje zaupanja vrednih računalniških sistemov (TCSEC). - ZDA, Ministrstvo za obrambo, 5200.28-STD, 1993], s čimer se je začelo sistematično oblikovanje znanja o informacijski varnosti (IS) izven vladnih resorjev.

V drugi polovici osemdesetih let prejšnjega stoletja so bili dokumenti podobnega namena objavljeni v številnih evropskih državah [Information Technology Security Evaluation Criteria (ITSEC). Usklajena merila Francija-Nemčija-Nizozemska-Združeno kraljestvo. - Oddelek za trgovino in industrijo, London, 1991].

Leta 1992 je v Rusiji Državna tehnična komisija pri predsedniku Ruske federacije (Gostechkomissiya RF) objavila vrsto dokumentov, posvečenih problemu zaščite pred nepooblaščenim dostopom.

Oranžna knjiga in poznejše podobne publikacije so bile namenjene predvsem razvijalcem poslovne programske opreme in informacijskih sistemov, ne pa uporabnikom ali sistemskim skrbnikom. Dinamični razvoj računalniške tehnologije, računalniških tehnologij in njihova široka uporaba v poslovanju sta pokazala, da je informacijska varnost eden najpomembnejših vidikov celovite varnosti na vseh ravneh – nacionalni, korporativni ali osebni. Za ponazoritev tega lahko navedemo več primerov.

Leta 2012 je bilo v Združenih državah objavljeno letno poročilo »Težave in trendi: 2012 CSI/FBI Computer Crime and Security Survey«. Poročilo ugotavlja vse večji porast števila računalniških kaznivih dejanj (39 % vprašanih). Informacijski sistemi Zunanji napadalci so vdrli v 28 % vprašanih. 77 % jih je bilo napadenih prek interneta, v 59 % primerov so opazili kršitve s strani lastnih zaposlenih. Velik del podjetij (31 %) sploh ni spremljal varnosti svojih računalniških in omrežnih sistemov, temveč se zanaša na varnostne module računalniških programov in aplikacij. V podobnem poročilu, objavljenem aprila 2013, je trend ostal enak:

  • 90 % anketirancev (večinoma iz velikih podjetij in vladnih agencij) je poročalo, da so njihove organizacije v zadnjih 12 mesecih doživele kršitve informacijske varnosti;
  • 78 % jih je opazilo znatne finančne izgube zaradi teh kršitev;
  • 49% jih je količinsko opredelilo izgube - njihov skupni znesek je bil več kot 640 milijonov dolarjev.

Po rezultatih skupne študije ameriškega inštituta za informacijsko varnost in FBI so izgube zaradi računalniških zločinov v letu 2012 dosegle več kot 900 milijonov dolarjev, kar je 34% več kot leta 2011. Vsak računalniški zločin povzroči približno 200-300 tisoč dolarjev škode. Izgube v velikih podjetjih zaradi računalniških vdorov še naprej naraščajo, kljub naraščajočim stroškom varnosti (Internet Week, 2013).

Največjo škodo so po raziskavi Gartner Group povzročile manipulacije z dostopom do notranjega informacijskega prostora: kraja podatkov in informacij iz korporativnih omrežij in baz podatkov, zamenjava informacij, ponarejanje elektronskih dokumentov, industrijsko vohunjenje. Hkrati z naraščanjem števila zunanjih napadov se je v zadnjih letih močno povečalo širjenje virusov po internetu.

Povečanje števila napadov in širjenje virusov pa ni največja težava – v programski opremi se nenehno odkrivajo nove ranljivosti. Informativna pisma Nacionalnega centra za zaščito infrastrukture ZDA (NIPC) poročajo, da je bilo v obdobju od 2000 do 2012 ugotovljenih več deset pomembnih težav s programsko opremo, katerih tveganje je ocenjeno kot srednje ali visoko. Med "prizadetimi" operacijskimi platformami so skoraj vse različice Unix, Windows, Mac OS, . MREŽA. V takšnih razmerah se morajo strokovnjaki in sistemi za informacijsko varnost znati zoperstaviti zunanjim in notranjim grožnjam, identificirati težave v sistemih zaščite programske opreme in na podlagi ustreznih politik razviti ustrezne ukrepe za kompenzacijo groženj in zmanjšanje tveganj.

Pri analizi vprašanj, povezanih z informacijsko varnostjo (IS), je treba upoštevati posebnosti tega vidika varnosti, ki je v tem, da je informacijska varnost sestavni del razvoja, implementacije in delovanja informacijskih sistemov in tehnologij. - območje, ki se razvija z izjemno visoko hitrostjo.

Na žalost sodobna tehnologija programiranja ne omogoča ustvarjanja popolnoma brezhibnih in varnih programov. Zato je treba izhajati iz dejstva, da je treba ustvariti zanesljive sisteme informacijske varnosti z uporabo ne stoodstotno zanesljivih programskih komponent (programov)!

Načeloma je to možno, vendar zahteva upoštevanje določenih načel arhitekturnega oblikovanja programskih sistemov in spremljanje varnostnega stanja programske in strojne opreme, telekomunikacijskih naprav in omrežij skozi celoten življenjski cikel IP.

Ekonomska in informacijska varnost. Komponente informacijske varnosti

Zakaj je potrebno poznavanje osnov informacijske varnosti? Kako zgraditi varne, zanesljive sisteme in omrežja? Kako ohraniti informacijsko varnost v sistemih in omrežjih? Hiter razvoj tehnologije, najnovejše računalniške tehnologije in njihova vsesplošna uporaba v poslovanju so pokazali, da je informacijska varnost eden najpomembnejših vidikov celovite varnosti, ne glede na to, na kateri ravni ta problem obravnavamo – nacionalni, korporativni ali osebni.

Potreba po implementaciji, vzdrževanju in razvoju sistemov informacijske varnosti je hrbtna stran široke uporabe informacijskih tehnologij, saj začetek nove stopnje razvoja IT seveda vodi do hitrega padca ravni informacijske varnosti (slika 1.1). .


riž. 1.1.

Upoštevajte še eno pomembno - lahko bi rekli paradoksalno - značilnost razvoja informacijskih tehnologij: tehnologije postajajo vedno bolj zapletene, vendar se kvalifikacije kršiteljev in napadalcev zmanjšujejo (slika 1.2). To je zato, ker so nova orodja za ustvarjanje kode in omrežne tehnologije na začetku zasnovane tako, da so dostopne uporabnikom, ki nimajo visoke strokovne izobrazbe.


riž. 1.2.

V "Doktrini informacijske varnosti Ruske federacije" sta zaščita pred nepooblaščenim dostopom do informacijskih virov in zagotavljanje varnosti informacijskih in telekomunikacijskih sistemov poudarjeni kot pomembni sestavini nacionalnih interesov Ruske federacije v informacijski sferi. Do sedaj obstaja splošno sprejeto stališče o konceptualnih osnovah informacijske varnosti. Njegovo bistvo je, da mora biti pristop k zagotavljanju informacijske varnosti celovit in združuje ukrepe na naslednjih ravneh:

  • zakonodaja - zvezni in regionalni zakoni, podzakonski akti in uredbe, mednarodni, industrijski in korporativni standardi;
  • upravni - ukrepi splošne in posebne narave, ki jih sprejme vodstvo organizacije;
  • postopkovno - varnostni ukrepi, ki so vključeni v ustrezne metodologije in jih izvajajo odgovorni vodje in osebje podjetja;
  • znanstveno-tehnične - specifične metode, programska in strojna oprema, tehnološki in tehnični ukrepi.

Glavna načela zagotavljanja varnosti v skladu z zakonom Ruske federacije "o varnosti" so: zakonitost, ohranjanje ravnovesja življenjskih interesov posameznika, družbe in države, medsebojna odgovornost naštetih subjektov, povezovanje varnostnega sistema znotraj podjetja, družbe, države, interakcija z mednarodnimi varnostnimi sistemi.

Ekonomsko varnost poslovanja in gospodarskega subjekta lahko opredelimo kot »zaščito vitalnih interesov države ali gospodarskega podjetja pred notranjimi in zunanjimi grožnjami, zaščito človeških in intelektualnih potencialov, tehnologije, podatkov in informacij, kapitala in dobička, varovanje človeških in intelektualnih potencialov, varovanje življenjskega sloga, varovanje življenjskega sloga, varovanje življenjskega prostora, varovanje življenjskega sloga, varovanje življenjskega prostora, varovanje življenjskega sloga in varovanje življenjskega prostora. ki je zagotovljen s sistemom pravnih, ekonomskih, organizacijskih ukrepov informacijske, inženirske, tehnične in socialne narave" [Grunin O. A., Grunin S. O., 2002].

Strategija za zagotavljanje gospodarske varnosti Ruske federacije je zgrajena na podlagi uradno veljavnih pravnih in regulativnih aktov, od katerih so glavni:

  • Ustava Ruske federacije;
  • Zakon "O varnosti" z dne 5. marca 1992, spremenjen in dopolnjen 25. decembra 1992;
  • Državna strategija gospodarske varnosti Ruske federacije (temeljne določbe), odobrena z odlokom predsednika Ruske federacije št. 608 z dne 29. aprila 1996;
  • Koncept nacionalne varnosti Ruske federacije, uveden z odlokom predsednika Ruske federacije št. 24 z dne 10. januarja 2000.

Glede na potrebo po doseganju ciljev zagotavljanja ekonomske varnosti podjetniške dejavnosti je mogoče identificirati naslednja glavna problematična področja:

  • organiziranje učinkovitega varstva materialne, finančne in intelektualne lastnine,
  • zaščita informacijskih virov podjetja,
  • učinkovito upravljanje virov in osebja.

V sodobnih razmerah je poslovni uspeh katerega koli podjetja v veliki meri odvisen od učinkovitosti in mobilnosti poslovanja, od pravočasnosti in hitrosti sprejemanja učinkovitih upravljavskih odločitev. In to je nemogoče brez zanesljive in kakovostne informacijske interakcije med različnimi udeleženci v poslovnih procesih. Danes podjetja vse pogosteje uporabljajo odprte komunikacijske kanale javno dostopnih omrežij (internet) in notranji informacijski prostor podjetja (intranet) kot medij za izmenjavo informacij. Odprta internetna/intranetna vezja so veliko cenejša v primerjavi z namenskimi vezji. Javna omrežja pa imajo pomembno pomanjkljivost - odprtost in dostopnost informacijskega okolja. Podjetja ne morejo v celoti nadzorovati prenosa in sprejemanja podatkov po odprtih kanalih ter hkrati zagotavljati njihovo celovitost in zaupnost. Napadalcem ni posebej težko prestreči poslovnih informacij z namenom seznanitve, izkrivljanja, kraje itd. Sl. 1.3

  • zaupnost - tajni podatki naj bodo dostopni le tistim, ki so jim namenjeni: teh podatkov ni mogoče pridobiti, prebrati, spremeniti, posredovati, razen če obstajajo ustrezne pravice dostopa;
  • Razpoložljivost (pripravljenost) je zmožnost pridobitve zahtevane informacijske storitve v sprejemljivem času: podatki, informacije in z njimi povezane storitve, avtomatizirane storitve, sredstva interakcije in komunikacije morajo biti na voljo in pripravljeni za delo, kadar koli jih potrebujemo.

    • Aktivnosti za zagotavljanje informacijske varnosti so usmerjene v preprečevanje, preprečevanje ali nevtralizacijo:

    • nepooblaščen dostop do informacijskih virov (NSD, Unauthorized Access – UAA);
    • izkrivljanje, delna ali popolna izguba zaupnih informacij;
    • ciljno usmerjene akcije (napadi) za uničenje celovitosti programskih sistemov, podatkovnih sistemov in informacijskih struktur;
    • okvare in okvare programske, strojne in telekomunikacijske opreme.

    Za večino vladnih in komercialnih organizacij imajo vprašanja zaščite pred nepooblaščenim dostopom ter varnosti podatkov in informacij višjo prednost kot problemi lokalnih okvar računalniške in omrežne opreme. Nasprotno, za mnoge odprte organizacije (javne, izobraževalne) zaščita pred nepooblaščenim dostopom do informacij nikakor ni na prvem mestu po pomenu. Tako se metodološko pravilen pristop k problematiki informacijske varnosti začne z identifikacijo subjektov informacijskih odnosov in interesov teh subjektov, povezanih z uporabo informacijskih tehnologij in sistemov (IT/IS).

    Razpoložljivost– sposobnost pridobivanja informacij za sprejemljiv čas osebe, procesi ali sistemi, ki so za to upravičeni.

    Menijo, da je dostopnost informacij najpomembnejši element informacijske varnosti: informacijski sistemi (IS) so ustvarjeni za pridobivanje informacijskih storitev, in če postane nemogoče zagotavljati storitve uporabnikom, to škodi vsem subjektom informacijskih odnosov.

    Integriteta– ustreznost in doslednost informacij, zaščito pred uničenjem in nepooblaščenimi spremembami.

    Integriteto lahko razdelimo na statično (razumljeno kot nespremenljivost informacijskih objektov) in dinamično (nanaša se na pravilno izvedbo kompleksnih dejanj (transakcij). Dinamične kontrole integritete se uporabljajo pri analizi toka finančnih sporočil z namenom odkrivanja kraje, preurejanja oz. podvajanje posameznih sporočil.

    Zaupnost– zaščita pred nepooblaščenim dostopom do informacij.

    Vidik zaupnosti velja za najbolj razvit v Ruski federaciji

    Obstajajo 3 vrste možnih kršitev IP: kršitev celovitosti, razpoložljivosti in zaupnosti informacij.

    Kršitve dostopnosti informacije so lahko povezane z naslednjimi dejavniki: napake uporabnikov, notranje okvare, okvare podporne infrastrukture. Zavrnitve uporabnikov vključujejo: nepripravljenost na delo zaradi neskladja med zahtevami uporabnikov in dejanskimi lastnostmi sistema in iz drugih razlogov, nezmožnost dela zaradi pomanjkanja ustrezne usposobljenosti ali pomanjkanja tehnične podpore. Glavni viri notranjih okvar so: nenamerno ali namerno odstopanje od pravil delovanja, napake pri (pre)konfiguraciji sistema, okvare programske in strojne opreme, uničenje podatkov, uničenje ali poškodba opreme. Okvara podporne infrastrukture vključuje nenamerno ali namerno motnjo komunikacijskih sistemov, oskrbe z električno energijo, toploto in vodo; uničenje ali poškodovanje prostorov itd.

    Kršitve integritete informacije pomenijo kršitev statične in dinamične celovitosti. Statična celovitost je lahko porušena z vnosom napačnih podatkov ali spreminjanjem podatkov. Grožnje dinamični celovitosti vključujejo kršitev atomičnosti transakcije, preurejanje, krajo, podvajanje podatkov ali vnos dodatnih sporočil (omrežni paketi itd.). Ta dejavnost v omrežnem okolju se imenuje aktivno poslušanje.

    Zaupnost podatki so lahko pokvarjen s prestrezanjem podatkov (prenesenih v pogovoru, v pismu, po omrežju), napadi (vključno s prisluškovanjem ali prisluškovanjem pogovorom, pasivnim omrežnim prisluškovanjem ipd.), metodami moralnega in psihološkega vplivanja (na primer maskarada - izvajanje dejanj pod pod krinko osebe s pooblastilom za dostop do podatkov). Prav tako je lahko zaupnost podatkov kršena zaradi zlorabe pooblastil (na primer sistemski skrbnik lahko prebere katero koli (nešifrirano) datoteko, pridobi dostop do pošte katerega koli uporabnika itd.).