Под информационной безопасностью РФ понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства.
Интересы личности – это реализация конституционных прав человека и гражданина на доступ к информации, на использование информации, а также в защите информации, обеспечивающей личную безопасность.
Интересы общества – это обеспечение интересов личности в этой сфере, упрочение демократии, создание правового социального государства, и т.д.
Интересы государства – это создание условий для гармоничного развития российской информационной инфраструктуры, для реализации прав и свобод человека и гражданина в получении информации и пользовании ею в целях обеспечения незыблемости конституционного строя, суверенитета и территориальной целостности России.
Под безопасностью компьютерной системы (КС) понимают ее защищенность от случайного или преднамеренного вмешательства в нормальный процесс ее функционирования, а также от попыток хищения, изменения или разрушения ее компонентов. Безопасность КС достигается принятием мер по обеспечению конфиденциальности и целостности обрабатываемой ею информации, а также доступности и целостности компонентов и ресурсов системы.
Под доступом к информации понимается ознакомление с информацией, ее обработка, в частности копирование, модификация или уничтожение информации.
Различают санкционированный и несанкционированный доступ к информации.
Санкционированный доступ к информации — это доступ к информации, не нарушающий установленные правила разграничения доступа. Правила разграничения доступа служат для регламентации права доступа субъектов доступа к объектам доступа.
Несанкционированный доступ к информации характеризуется нарушением установленных правил разграничения доступа. Лицо или процесс, осуществляющий несанкционированный доступ к информации, — нарушитель правил разграничения доступа. Несанкционированный доступ — наиболее распространенный вид компьютерных нарушений.
Конфиденциальность данных — это статус, предоставленный данным и определяющий требуемую степень их защиты. Т.е. конфиденциальная информация —известна только допущенным и прошедшим проверку (авторизованным) субъектам системы (пользователям, процессам, программам). Для остальных субъектов системы эта информация должна быть неизвестной.
Субъект — это активный компонент системы, который может стать причиной потока информации от объекта к субъекту или изменения состояния системы.
Объект — пассивный компонент системы, хранящий, принимающий или передающий информацию. Доступ к объекту означает доступ к содержащейся в нем информации.
Целостность информации обеспечивается в том случае, если данные в системе не отличаются в семантическом отношении от данных в исходных документах, т. е. если не произошло их случайного или преднамеренного искажения или разрушения.
Целостность компонента или ресурса системы — это свойство компонента или ресурса быть неизменным в семантическом смысле при функционировании системы в условиях случайных или преднамеренных искажений или разрушающих воздействий.
Доступность компонента или ресурса системы — это свойство компонента или ресурса быть доступным для авторизованных законных субъектов системы.
Угрозы информационной безопасности (ИБ)
Под ИБ понимается защищенность информации и поддерживающей ее инфраструктуры от любых случайных или злонамеренных воздействий, могущих привести к их порче.
Задачи ИБ сводятся к минимизации ущерба, а также к прогнозированию и предотвращению таких воздействий.
Действия, которые могут нанести ущерб ИБ организации, можно разделить на несколько категорий:
a) «Естественные» угрозы и средства борьбы с ними
· неправильное хранение данных,
· кража компьютеров и носителей,
· форс-мажорные обстоятельства
· действия авторизованных пользователей. В эту категорию попадают:
ü целенаправленная кража или уничтожение данных на рабочей станции или сервере;
ü повреждение данных пользователем в результате неосторожных действий.
b) Электронные методы хакеров
По убеждению экспертов «Лаборатории Касперского», задача обеспечения информационной безопасности должна решаться системно. Т.е. аппаратные, программные, физические, организационные и т. д средства защиты должны применяться одновременно и под централизованным управлением. При этом компоненты системы должны «знать» о существовании друг друга, взаимодействовать и обеспечивать защиту как от внешних, так и от внутренних угроз.
Влияние человеческого фактора на защищенность данных может оказаться решающим даже в случае применения сертифицированных средств шифрования. Человек — как самое надежное звено в системе защиты, так и самое ненадежное одновременно. Все зависит от того, какой информацией он пользуется и как.
Основные проблемы «человеческого фактора»:
· уволенные или недовольные сотрудники;
· промышленный шпионаж (могут использоваться технические средства съема информации.Это клавиатурные жучки, различные мини-камеры, звукозаписывающие устройства и т. д.);
· халатность;
· низкая квалификация.
