Лекции.Орг


Поиск:

Рекомендуем:

Почему я выбрал профессую экономиста

Почему одни успешнее, чем другие

Периферийные устройства ЭВМ

Нейроглия (или проще глия, глиальные клетки)

Категории:

Астрономия
Биология
География
Другие языки
Интернет
Информатика
История
Культура
Литература
Логика
Математика
Медицина
Механика
Охрана труда
Педагогика
Политика
Право
Психология
Религия
Риторика
Социология
Спорт
Строительство
Технология
Транспорт
Физика
Философия
Финансы
Химия
Экология
Экономика
Электроника

 

 

 

 
Главная
О нас
Популярное
ТОП
Новые страницы
Случайная страница
Контакты
FAQ
ЗАКАЗАТЬ РАБОТУ

Понятие информационной безопасности

Введение в информационную безопасность

Понятие информационной безопасности

То, что в 60-е годы называлось компьютерной безопасностью, а в 70-е - безопасностью данных, сейчас более правильно именуется информационной безопасностью. Информационная безопасность подчеркивает важность информации в современном обществе - понимание того, что информация - это ценный ресурс, нечто большее, чем отдельные элементы данных.

Если рассматривать безопасность в качестве общенаучной категории, то она может быть определена как некоторое состояние рассматриваемой системы, при котором последняя, с одной стороны, способна противостоять дестабилизирующему воздействию внешних и внутренних угроз, а с другой – ее функционирование не создает угроз для элементов самой системы и внешней среды. При таком определении мерой безопасности системы являются:

¾ с точки зрения способности противостоять дестабилизирующему воздействию внешних и внутренних угроз – степень (уровень) сохранения системой своей структуры, технологии и эффективности функционирования при воздействии дестабилизирующих факторов;

¾ с точки зрения отсутствия угроз для элементов системы и внешней среды – степень (уровень) возможности (или отсутствия возможности) появления таких дестабилизирующих факторов, которые могут представлять угрозу элементам самой системы или внешней среде.

       Чисто механическая интерпретация данных формулировок приводит к следующему определению информационной безопасности:

       Под информационной безопасностью понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства [1].

Приведенное определение представляется достаточно полным и вполне корректным. Однако, для того, чтобы служить более конкретным ориентиром в направлении поиска путей решения проблем информационной безопасности, оно нуждается в уточнении и детализации его основополагающих понятий. При этом отправной точкой может служить тот факт, что информация как непременный компонент любой организованной системы, с одной стороны, легко уязвима (т.е. весьма доступна для дестабилизирующего воздействия большего числа разноплановых угроз), а с другой стороны сама может быть источником большого числа разноплановых угроз как для элементов самой системы, так и для внешней среды. Отсюда естественным образом вытекает, что обеспечение информационной безопасности в общей постановке проблемы может быть достигнуто лишь при взаимосвязанном решении трех составляющих проблем:

- защита находящейся в системе информации от дестабилизирующего воздействия внешних и внутренних угроз информации;

- защита структурных элементов системы (например, рабочих станций и серверов) от дестабилизирующего воздействия внешних и внутренних информационных угроз;

- защита внешней среды от информационных угроз со стороны рассматриваемой системы.

В соответствии с изложенным общая схема обеспечения информационной безопасности может быть представлена так, как показано на рисунке 1.1.

 

Рисунок 1.1 – Общая схема обеспечения информационной безопасности

Информационная безопасность включает в себя меры по защите процессов создания данных, их ввода, обработки и вывода.

Цель информационной безопасности - обезопасить ценности системы, защитить и гарантировать точность и целостность информации, и минимизировать разрушения, которые могут иметь место, если информация будет модифицирована или разрушена. Информационная безопасность требует учета всех событий, в ходе которых информация создается, модифицируется, к ней обеспечивается доступ или она распространяется.

Информационная безопасность дает гарантию того, что достигаются следующие цели:

¾ конфиденциальность информации (обязательное для выполнения лицом, получившим доступ к определённой информации, требование не передавать такую информацию третьим лицам без согласия её обладателя) [2];

¾ целостность информации (способность средства вычислительной техники или информационной системы обеспечивать неизменность информации в условиях случайного и/или преднамеренного искажения (разрушения)) [3];

¾ доступность информации (возможность получения информации и ее использования) [2];

¾ учет и регистрация всех процессов, связанных с информацией.

Некоторые технологии по защите системы и обеспечению учета всех событий могут быть встроены в сам компьютер. Другие могут быть встроены в программы. Некоторые же выполняются людьми и являются реализацией указаний руководства, содержащихся в соответствующих руководящих документах. Принятие решения о выборе уровня защищенности информации требует установления критичности информации и последующего определения необходимых мер по обеспечению безопасности.

Анализ состояния дел в сфере защиты информации показывает, что уже сложилась вполне сформировавшаяся концепция и структура защиты, основу которой составляют:

  • весьма развитый арсенал технических средств защиты информации (далее СЗИ), производимых на промышленной основе;
  • значительное число фирм, специализирующихся на решении вопросов защиты информации;
  • достаточно четко очерченная система взглядов на эту проблему;
  • наличие значительного практического опыта и др.

И, тем не менее, опыт показывает что, злоумышленные действия над информацией не только не уменьшаются, но и имеют достаточно устойчивую тенденцию к росту. Для борьбы с этой тенденцией необходима целенаправленная организация процесса защиты информационных ресурсов. Причем в этом должны активно участвовать профессиональные специалисты, администрация, сотрудники и пользователи, что и определяет повышенную значимость организационной стороны вопроса.

Опыт также показывает, что:

  • обеспечение безопасности информации не может быть разовым действием. Это непрерывный процесс, заключающийся в обосновании и реализации наиболее рациональных методов, способов и путей совершенствования и развития системы защиты, непрерывном контроле ее состояния, выявлении ее уязвимых мест и попыток несанкционированного доступа;
  • безопасность информации может быть обеспечена лишь при комплексном использовании всего арсенала имеющихся средств защиты во всех структурных элементах производственной системы и на всех этапах технологического цикла обработки информации. Наибольший эффект достигается тогда, когда все используемые средства, методы и меры объединяются в единый целостный механизм - систему защиты информации. При этом функционирование системы должно контролироваться, обновляться и дополняться в зависимости от изменения внешних и внутренних условий;
  • ни одно СЗИ не может обеспечить требуемого уровня безопасности информации без надлежащей подготовки пользователей и соблюдения ими всех установленных правил, направленных на ее защиту.

Можно определить систему защиты информации как совокупность организационных, административных и технологических мер, программно-технических средств, правовых и морально-этических норм, направленных на противодействие угрозам нарушителей с целью сведения до минимума возможного ущерба пользователям или владельцам информационной системы.

С позиций системного подхода к защите информации предъявляются определенные требования. Защита информации должна быть:

  • непрерывной. Это требование проистекает из того, что злоумышленники только и ищут возможность, как бы обойти защиту интересующей их информации;
  • плановой. Планирование осуществляется путем разработки каждой службой детальных планов защиты информации в сфере ее компетенции с учетом общей цели предприятия (организации);
  • целенаправленной. Защищается то, что должно защищаться в интересах конкретной цели;
  • конкретной. Защите подлежат конкретные данные, объективно подлежащие охране, утрата которых может причинить организации определенный ущерб;
  • активной. Защищать информацию необходимо с достаточной степенью настойчивости;
  • надежной. Методы и формы защиты должны надежно перекрывать возможные пути неправомерного доступа к охраняемым объектам, независимо от формы их представления, языка выражения и вида физического носителя, на котором они закреплены;
  • универсальной. Считается, что в зависимости от вида канала утечки или способа несанкционированного доступа его необходимо перекрывать, где бы он ни проявился, разумными и достаточными средствами, независимо от характера, формы и вида информации;
  • комплексной. Для защиты информации во всем многообразии структурных элементов должны применяться все виды и формы защиты в полном объеме. Недопустимо применять лишь отдельные формы или технические средства.

Комплексный характер защиты проистекает из того, что защита - это специфическое явление, представляющее собой сложную систему неразрывно взаимосвязанных и взаимозависимых процессов, каждый из которых в свою очередь имеет множество дополняющих друг друга сторон, свойств, тенденций.

Защита информации должна удовлетворять определенным условиям:

  • охватывать весь технологический комплекс мер по обработке информации (под обработкой информации понимаются все действия (операции) с информацией, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), блокирование, уничтожение информации);
  • быть разнообразной по используемым средствам, многоуровневой с иерархической последовательностью доступа;
  • быть открытой для изменения и дополнения мер обеспечения безопасности информации;
  • быть простой для технического обслуживания и удобной для эксплуатации пользователями;
  • быть надежной. Любые поломки технических средств являются причиной появления неконтролируемых каналов утечки информации;
  • быть комплексной, обладать целостностью, означающей, что ни одна ее часть не может быть изъята без ущерба для всей системы.

 К системе безопасности информации предъявляются также определенные требования:

· четкость определения полномочий и прав пользователей на доступ к определенным видам информации;

· предоставление пользователю минимальных полномочий, необходимых ему для выполнения порученной работы;

· учет случаев и попыток несанкционированного доступа к конфиденциальной информации;

· обеспечение оценки степени конфиденциальности информации;

· обеспечение контроля целостности средств защиты и немедленное реагирование на их выход из строя.

Понимая информационную безопасность как «состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства», следует рассматривать и меры защиты информации от неправомерных действий, приводящих к нанесению ущерба.

Практика показала, что для анализа такого значительного набора источников, объектов угроз и неправомерных действий целесообразно использовать методы моделирования, при которых формируется как бы "заместитель" реальных ситуаций. Модель должна быть достаточно общей, чтобы описывать реальные действия с учетом их сложности. Можно предложить следующие компоненты модели информационной безопасности:

  • объекты угроз;
  • угрозы;
  • источники угроз;
  • цели угроз со стороны злоумышленников;
  • источники информации;
  • способы несанкционированного доступа;
  • направления защиты информации;
  • СЗИ.

Объектом угроз информационной безопасности выступают сведения о составе, состоянии и деятельности объекта защиты (персонала, материальных и финансовых ценностей, информационных ресурсов).

Угрозы информации выражаются в нарушении ее целостности, конфиденциальности и доступности. Источниками угроз выступают конкуренты, коррупционеры, административно-управленческие органы. Источники угроз преследуют при этом следующие цели: ознакомление с охраняемыми сведениями, их модификация в корыстных целях и уничтожение для нанесения прямого материального ущерба.

Неправомерное овладение информацией возможно за счет ее разглашения источниками сведений, за счет утечки информации по техническим каналам и за счет несанкционированного доступа к охраняемым сведениям.

Источниками защищаемой информации являются люди, документы, публикации, технические носители информации, технические средства обеспечения производственной и трудовой деятельности, продукция и отходы производства. Основными направлениями защиты информации являются правовое, организационное и инженерно-техническое направление защиты информации как показатели комплексного подхода к обеспечению информационной безопасности.

СЗИ являются технические, программные средства, вещества и (или) материалы, предназначенные или используемые для защиты информации. СЗИ могут быть реализованы программными или аппаратными комплексами, также возможны смешанные программно-аппаратные решения.

Вывод:

Данный раздел, посвященный определению понятия «информационная безопасность», достаточно много говорит о защите информации, и уже этого достаточно для того, чтобы понять о чрезвычайной важности данной проблемы для современного общества. В то же время, несмотря на практически всеобщее понимание актуальности и значимости проблемы ей по-прежнему уделяют недостаточно внимания.

<== предыдущая лекция | следующая лекция ==>
Классификация автоматизированных систем | Законодательство в области информационной безопасности
Поделиться с друзьями:

Дата добавления: 2018-10-15; Мы поможем в написании ваших работ!; просмотров: 355 | Нарушение авторских прав

Поиск на сайте:

Лучшие изречения:

Лаской почти всегда добьешься больше, чем грубой силой. © Неизвестно
==> читать все изречения...

3658 - | 3522 -


© 2015-2026 lektsii.org - Контакты - Последнее добавление

Ген: 0.013 с.