Информационный статус и его составляющие целостность конфиденциальность и доступность информации
Обновлено: 22.11.2024
Информационная безопасность - состояние защищенности информационных ресурсов (информационной среды) от внутренних и внешних угроз, способных нанести ущерб интересам личности, общества, государства (национальным интересам).
Источники угроз:
1. Внутренние:
а) ошибки пользователей и сисадминов;
б) ошибки в работе ПО;
в) сбои в работе компьютерного оборудования;
г) нарушение сотрудниками компании регламентов по работе с информацией.
2. Внешние угрозы:
а) несанкционированный доступ к информации со стороны заинтересованных организаций и отдельных лица (промышленный шпионаж конкурентов, сбор информации спецслужбами, атаки хакеров и т.п.);
б) компьютерные вирусы и иные вредоносные программы;
в) стихийные бедствия и техногенные катастрофы (например, ураган может нарушить работу телекоммуникационной сети, а пожар уничтожить сервера с важной информацией).
Информационная безопасность государства [1] — состояние сохранности информационных ресурсов государства и защищённости законных прав личности и общества в информационной сфере (сбор, использование информации).
(Госуда́рство — организация общества, располагающая специальными механизмами управления и принуждения, устанавливающая правовой порядок на определённой территории , и обладающая суверенитетом – независимость государства .
Безопасность информации - защищенность информации от нежелательного (для соответствующих субъектов информационных отношений) ее разглашения (нарушения конфиденциальности), искажения (нарушения целостности), утраты или снижения степени доступности информации, а также незаконного ее тиражирования.
Информационная безопасность может рассматриваться в следующих значениях :
Состояние (качество) определённого объекта (в качестве объекта может выступать: информация, данные, ресурсы автоматизированной системы, автоматизированная система, информационная система предприятия, общества, государства, организации и т. п.);
Деятельность, направленная на обеспечение защищённого состояния объекта (в этом значении чаще используется термин «защита информации»).
РАЗБИРЕМ ЗНАЧЕНИЯ ИБ.
Защищаемые ресурсы автоматизированной системы (ресурсы АС, подлежащие защите) - информация, функциональные задачи, рабочие станции (РС), сервера подлежащие защите с целью обеспечения информационной безопасности подразделений ОРГАНИЗАЦИИ, его клиентов, корреспондентов, а также его сотрудников.
Информационные системы предназначены для сбора, хранения и обработки информации, поэтому в основе любой из них лежит среда хранения и доступа к данным.
Информационные системы ориентированы на конечного пользователя, не обладающего высокой квалификацией в области вычислительной техники. Поэтому клиентские приложения информационной системы должны обладать простым, удобным, легко осваиваемым интерфейсом, который предоставляет конечному пользователю все необходимые для работы функции и в то же время не даёт ему возможность выполнять какие-либо лишние действия.
На предприятии должна быть создана база данных , которая обеспечивает хранение информации и доступность её для всех составляющих системы управления. Наличие такой базы данных позволяет сформировать информацию для принятия решений (рис.9.1). (Например, temp в политехе)
База данных (БД) – совокупность взаимосвязанных, хранящихся вместе данных при наличии такой минимальной избыточности, которая допускает их использование оптимальным образом для одного или нескольких приложений.
Система управления базами данных (СУБД) – это комплекс программных и языковых средств, необходимых для создания баз данных, поддержания их в актуальном состоянии и организации поиска в них необходимой информации.
Связь (relationship) – это графически изображаемая ассоциация, устанавливаемая между двумя сущностями. Связь может существовать между двумя разными сущностями или между сущностью и ей же самой (рекурсивная связь). Возможны связи на основе отношений:
многие-ко-многим .
Связь «содержит»: ГРУППА содержит много СТУДЕНТОВ. Каждый СТУДЕНТ входит только в одну ГРУППУ.
Связь «укушен»: СОБАКА может укусить много ЧЕЛОВЕК, ЧЕЛОВЕК может быть укушен многими СОБАКАМИ.
Связь «владеет»: ЧЕЛОВЕК может владеть многими СОБАКАМИ. У СОБАКИ может быть только один хозяин.
Информационная безопасность — это процесс обеспечения конфиденциальности, целостности и доступности информации.
Конфиденциальность - (от англ. confidence — доверие ) — необходимость предотвращения утечки (разглашения) какой-либо информации .
Целостность - термин в информатике ( криптографии , теории телекоммуникаций, теории информационной безопасности ), означающий, что данные не были изменены при выполнении какой-либо операции над ними, будь то передача, хранение или отображение.
Доступность - обеспечение доступа к информации и связанным с ней активам авторизованных пользователей по мере необходимости.
Данные процессы одним словом можно назвать - КРИПТОГРАФИЯ
Понятие об информационном объекте и его элементах.
Информационный объект — это описание некоторой сущности (реального объекта, явления, процесса, события) в виде совокупности логически связанных реквизитов (информационных элементов). Такими сущностями для информационных объектов могут служить: цех, склад, материал, вуз, студент, сдача экзаменов и т.д.
Простые информационные объекты: звук, изображение, текст, число. Комплексные (структурированные) информационные объекты: элемент, база данных, таблица, гипертекст, гипермедиа.
Информационный объект определенного реквизитного состава и структуры образует класс (тип), которому присваивается уникальное имя (символьное обозначение), например Студент, Сессия, Стипендия.
Информационный объект имеет множество реализации — экземпляров, каждый из которых представлен совокупностью конкретных значений реквизитов и идентифицируете* значением ключа – уникальное числовое значение. При этом одни и те же реквизиты в одних информационных объектах могут быть ключевыми, а в других— описательными. Информационный объект может иметь несколько ключей.
Пример 1. На рис. 5.2 представлен пример структуры и экземпляров информационного объекта Студент.
В информационном объекте Студент ключом является реквизит Номер (№ личного дела), к описательным реквизитам относятся: Фамилия (Фамилия студента), Имя (Имя студента). Отчество (Отчество студента). Дата (Дата рождения), Группа (№ группы). Если отсутствует реквизит Номер, то для однозначного определения характеристик конк4ретного студента необходимо использование составного ключа из трех реквизитов: Фамилия + Имя + Отчество.
Рис. 5.2. Пример структуры и экземпляров информационного объекта
Пример 2. Пример представления информационного объекта Студент в виде графа на рис. 5.4.
Информационная безопасность – это защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры. Информационная безопасность не сводится исключительно к защите информации. Субъект информационных отношений может пострадать (понести убытки) не только от несанкционированного доступа, но и от поломки системы, вызвавшей перерыв в обслуживании клиентов.
Под безопасностью информации понимается такое ее состояние, при котором исключается возможность просмотра, изменения или уничтожения информации лицами, не имеющими на это права, а также утечки информации за счет побочных электромагнитных излучений и наводок, специальных устройств перехвата (уничтожения) при передаче между объектами вычислительной техники. Также к информационной безопасности относится защита информации от непреднамеренного уничтожения (технические сбои).
Защита информации – это совокупность мероприятий, направленных на обеспечение конфиденциальности и целостности обрабатываемой информации, а также доступности информации для пользователей.
Конфиденциальность – сохранение в секрете критичной информации, доступ к которой ограничен узким кругом пользователей (отдельных лиц или организаций).
Целостность – свойство, при наличии которого информация сохраняет заранее определенные вид и качество.
Доступность – такое состояние информации, когда она находится в том виде, месте и времени, которые необходимы пользователю, и в то время, когда она ему необходима.
Цель защиты информации является сведение к минимуму потерь в управлении, вызванных нарушением целостности данных, их конфиденциальности или недоступности информации для потребителей.
Официальная часть (процедура копировать-вставить с Интернетов) закончена. Теперь неофициальная. Из практики.
Статья эта написана для руководителей компаний, для которых правила НБ РК (регулятора) неприменимы.
Как большая часть руководителей (и не очень) понимают «информационную безопасность»?
Что имеют ввиду работодатели (компании), когда размещают вакансии с упоминанием словосочетания «Информационная безопасность»?
Из практики большая часть ассоциируют информационную безопасность с какими-то техническими средствами, например устройство защиты сети (firewall) или программным обеспечением по слежке за сотрудниками (так называемые DLP — data loss prevention) или антивирусом.
Вышеупомянутые средства относятся к информационной безопасности, но никак не гарантируют сохранность объекта защиты (информации), ее целостность и доступность. Почему?
По очень простой причине — обеспечение информационной безопасности — это процесс, а не какое-либо устройство, программное обеспечение, которые, как большая часть руководителей (и не только) думают, что являются панацеей и защитой.
Возьмем для примера небольшую торговую компанию, с количеством пользователей 50 штук. Под пользователями подразумеваются все сотрудники, имеющие доступ в информационную систему (ИС) компании посредством какого-либо устройства (компьютер, ноутбук, планшет, мобильный телефон). Под доступом в ИС подразумевается любой доступ — к электронной почте, в сеть Интернет, к базам данных, файлам и т.д.
Злоумышленник таким образом получает доступ в вашу сеть, впоследствии тихо разворачивает свою деятельность и вуаля! В один «прекрасный» день вы вдруг обнаруживаете (нужное подчеркнуть):
- все ваши базы данных зашифрованы. К вам на почту пришло письмо с требованием выкупа;
- все ваши файлы уничтожены. К вам на почту пришел смайлик :) ;
- ваша сеть просто не работает;
- данные ваших клиентов были размещены на каких-либо сайтах;
- ваше реальное положение дел узнали ваши конкуренты;
- ваши реальные финансовые показатели стали общедоступными;
- поставщик вам предъявляет какие-то претензии по недавно подписанному вами контракту (нарушение целостности информации). Контракт был изменен злоумышленником накануне подписания (его уже проверили ваши юристы, бухгалтеры, коммерческий директор и прочие официальные лица) и сохранили его в папке на сервере. c камер наблюдения, где вы с вашей секретаршей танцевали на столе в трусах из скрепок каким-то образом попала к вашей супруге;
- и т.д и т.п.
Многие возмутятся — все это страшилки. Аргументы обычно следующие:
- у нас есть резервные копии;
- у нас стоит firewall самой последней модели который настроила самая крутая в стране компания по ИБ;
- у нас стоит самый дорогой антивирус;
- у нас.
Резервные копии
Резервное копирование — это один из самых основных способов защиты информации — ее целостности, доступности и сохранности.
- есть ли у вас регламент резервного копирования?
- уверены ли вы, что ваша резервная копия (копии) рабочая?
- тестировалась ли (было ли тестовое восстановление) ваша резервная копия (копии) вашим системным администратором?
- как часто проводилось тестирование резервной копии?
- есть ли вообще резервная копия?
Устройство безопасности (firewall)
Основная угроза информации — ее конфиденциальности, целостности и доступности (CIA) обычно исходит изнутри. Недовольные сотрудники, вышеупомянутые начальники, бухгалтеры (со своими зараженными флешками побывавшие в рассаднике вирусов — налоговой), рядовые сотрудники. Часто на вопрос «а есть ли у вас документированные процедуры доступа к ИС» многие отвечают непонимающим взглядом — «это что?». Или вопрос «производились ли проверки внешнего (и внутреннего) периметра сети квалифицированными людьми на предмет безопасности» — это зачем? Это затем, что все это относится к той же информационной безопасности. Из практики большая часть компаний ни того, ни другого, ни третьего не имеют, никогда не делали или вообще не знают, зачем это надо (но тем не менее пишут в вакансиях «обеспечение информационной безопасности»). Firewall не панацея. Это техническое средство, предназначенное для защиты как внешнего, так и внутреннего периметра вашей ИС. И несмотря на его стоимость, он не обеспечит вам защиты, если настроен он дилетантом. Это можно сравнить со стрельбой из оружия — оно может быть дорогим, но не гарантирует попадания в цель неумелому стрелку (плохому танцору).
Антивирус
Сколько людей — столько и антивирусов. Антивирус, как было сказано выше, не панацея. Это лишь одно из средств обеспечения безопасности информации, которое не исключает и не отменяет соответствующую настройку операционных систем, групповых политик, прав доступа, регламентированные процедуры резервного копирования, обучение и информирование пользователей основам информационной безопасности и прочие меры, которые могут укрепить бастион информационной безопасности.
Нужно ли вам нанимать сотрудника, специально занимающего информационной безопасностью, либо срочно бежать и закупать маски устройства безопасности (firewall) и антивирусы, чтобы обеспечить информационную безопасность?
Нет. На первом этапе ничего покупать, никого нанимать и делать прочие необдуманные действия — не надо.
Далее приведем упрощенный алгоритм действий, которые необходимо предпринять для построения системы информационной безопасности.
0. Определитесь как вы будете выстраивать систему ИБ — как обычно (как все делается на всем пространстве СНГ — через жопу и для галочки, поговорили, поделали умные лица на совещаниях и забыли), или в соответствии с общепринятыми стандартами.
Если ответ на вопрос 0 — «как обычно», можете дальше не терять свое драгоценное время и не читать.
1. Определитесь, что и зачем защищать. Документ, который это описывает обычно называется «Политика информационной безопасности». Документ не описывает каких-то конкретных мер, технических устройств, настроек и прочих действий, требуемых для обеспечения защиты информации.
2. Составьте список ресурсов (технических средств и программного обеспечения) которые имеются в компании. Часто в требованиях к соискателям упоминается перечень ПО и оборудования «Kerio FW, Cisco, Mikrotik, Ubuntu, pfsense» и т.д. Вы что, серьезно думаете, что все это имеющееся у вас в наличии, вас защитит? Скорее наоборот.
3. Создайте и обсудите матрицы доступа пользователей (клиентов, партнеров и т.п.) к информационной системе. Что такое матрица доступа: это когда есть четкий документ кто, куда и какого уровня имеет доступ к ИС системе.
4. Создайте документ, регламентирующий процедуру резервного копирования.
5. Создайте документ, где описываются все средства обеспечения ИБ — физические, технические, программные, административные.
6. Подготовьте и проведите обучающие занятия по информационной безопасности для сотрудников предприятия. Проводите их ежеквартально.
7. Поинтересуйтесь у ответственного сотрудника, сможет ли он обеспечить весь процесс самостоятельно или это требует привлечения третьей стороны (либо найма дополнительного сотрудника)
8. Протестируйте свою ИС на проникновение (так называемый penetration test).
9. Создайте, либо внесите корректировки в следующие документы:
- восстановление ИС (информационной системы) на случай сбоя (оборудования, техногенных и природных катастроф, прочего повреждения);
- положение по антивирусной защите;
- документ, регламентирующий процедуру резервного копирования и тестирования резервных копий;
- документ, регламентирующий контроль и восстановление баз данных (если таковые имеются);
- документ, регламентирующий действия в случае инцидентов ИБ;
- документ, регламентирующий использование паролей;
- документ, регламентирующий использование программного обеспечения (разрешенное к использованию ПО);
- положение о системе видео регистрации (при наличии таковой);
- документ, регламентирующий использование беспроводной (WiFi) сети;
- документ, регламентирующий правила обновления операционных систем;
- инструкции для системных администраторов и специалистов по ИБ (при наличии таковых);
- документ, регламентирующий использование доступа в сеть Интернет;
- схему ИС (информационной системы).
11. Улыбнитесь. Не так страшен черт, как его малюют, если у вас есть хорошо структурированная, прозрачная, понятная и управляемая информационная система. Понятная как для вас (руководителя), для ваших пользователей (сотрудников) ну и надеемся для вашего системного администратора.
Прежде чем говорить об обеспечении безопасности персональных данных, необходимо определить, что же такое информационная безопасность . Термин " информационная безопасность " может иметь различный смысл и трактовку в зависимости от контекста. В данном курсе под информационной безопасностью мы будем понимать защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений , в том числе владельцам и пользователям информации и поддерживающей инфраструктуры [1].
ГОСТ " Защита информации . Основные термины и определения" вводит понятие информационной безопасности как состояние защищенности информации, при котором обеспечены ее конфиденциальность , доступность и целостность .
- Конфиденциальность – состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на него право.
- Целостность – состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими на него право;
- Доступность – состояние информации, при котором субъекты, имеющие право доступа, могут реализовывать его беспрепятственно.
Угрозы информационной безопасности – совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации [2,3]. Атакой называется попытка реализации угрозы, а тот, кто предпринимает такую попытку, - злоумышленником. Потенциальные злоумышленники называются источниками угрозы .
Угроза является следствием наличия уязвимых мест или уязвимостей в информационной системе. Уязвимости могут возникать по разным причинам, например, в результате непреднамеренных ошибок программистов при написании программ.
Угрозы можно классифицировать по нескольким критериям:
- по свойствам информации (доступность, целостность, конфиденциальность), против которых угрозы направлены в первую очередь;
- по компонентам информационных систем, на которые угрозы нацелены (данные, программы, аппаратура, поддерживающая инфраструктура );
- по способу осуществления (случайные/преднамеренные, действия природного/техногенного характера);
- по расположению источника угроз (внутри/вне рассматриваемой ИС).
Обеспечение информационной безопасности является сложной задачей, для решения которой требуется комплексный подход . Выделяют следующие уровни защиты информации:
- законодательный – законы, нормативные акты и прочие документы РФ и международного сообщества;
- административный – комплекс мер, предпринимаемых локально руководством организации;
- процедурный уровень – меры безопасности, реализуемые людьми;
- программно-технический уровень – непосредственно средства защиты информации.
Законодательный уровень является основой для построения системы защиты информации, так как дает базовые понятия предметной области и определяет меру наказания для потенциальных злоумышленников. Этот уровень играет координирующую и направляющую роли и помогает поддерживать в обществе негативное (и карательное) отношение к людям, нарушающим информационную безопасность .
1.2. ФЗ "Об информации, информационных технологиях и о защите информации"
В российском законодательстве базовым законом в области защиты информации является ФЗ "Об информации, информационных технологиях и о защите информации" от 27 июля 2006 года номер 149-ФЗ. Поэтому основные понятия и решения, закрепленные в законе, требуют пристального рассмотрения.
Закон регулирует отношения, возникающие при:
- осуществлении права на поиск, получение, передачу, производство и распространение информации;
- применении информационных технологий;
- обеспечении защиты информации.
Закон дает основные определения в области защиты информации. Приведем некоторые из них:
В статье 3 Закона сформулированы принципы правового регулирования отношений в сфере информации, информационных технологий и защиты информации:
- свобода поиска, получения, передачи, производства и распространения информации любым законным способом;
- установление ограничений доступа к информации только федеральными законами;
- открытость информации о деятельности государственных органов и органов местного самоуправления и свободный доступ к такой информации, кроме случаев, установленных федеральными законами;
- равноправие языков народов Российской Федерации при создании информационных систем и их эксплуатации;
- обеспечение безопасности Российской Федерации при создании информационных систем, их эксплуатации и защите содержащейся в них информации;
- достоверность информации и своевременность ее предоставления;
- неприкосновенность частной жизни, недопустимость сбора, хранения, использования и распространения информации о частной жизни лица без его согласия;
- недопустимость установления нормативными правовыми актами каких-либо преимуществ применения одних информационных технологий перед другими, если только обязательность применения определенных информационных технологий для создания и эксплуатации государственных информационных систем не установлена федеральными законами.
Вся информация делится на общедоступную и ограниченного доступа. К общедоступной информации относятся общеизвестные сведения и иная информация , доступ к которой не ограничен. В законе, определяется информация , к которой нельзя ограничить доступ , например, информация об окружающей среде или деятельности государственных органов. Оговаривается также, что ограничение доступа к информации устанавливается федеральными законами в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства. Обязательным является соблюдение конфиденциальности информации, доступ к которой ограничен федеральными законами.
Запрещается требовать от гражданина (физического лица) предоставления информации о его частной жизни, в том числе информации, составляющей личную или семейную тайну, и получать такую информацию помимо воли гражданина (физического лица), если иное не предусмотрено федеральными законами.
Закон выделяет 4 категории информации в зависимости от порядка ее предоставления или распространения:
- информацию, свободно распространяемую;
- информацию, предоставляемую по соглашению лиц, участвующих в соответствующих отношениях;
- информацию, которая в соответствии с федеральными законами подлежит предоставлению или распространению;
- информацию, распространение которой в Российской Федерации ограничивается или запрещается.
Дается следующее определение защите информации - представляет собой принятие правовых, организационных и технических мер, направленных на:
- обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
- соблюдение конфиденциальности информации ограниченного доступа;
- реализацию права на доступ к информации.
Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить:
- предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;
- своевременное обнаружение фактов несанкционированного доступа к информации;
- предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;
- недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;
- возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;
- постоянный контроль за обеспечением уровня защищенности информации.
Таким образом, ФЗ "Об информации, информационных технологиях и о защите информации" создает правовую основу информационного обмена в РФ и определяет права и обязанности его субъектов.
И нформационная безопасность – это совокупность методов, способов и действий, ориентированных на защиту от несанкционированных действий с данными. Информация является сведениями, которые передаются в устной и письменной форме с помощью знаков, технических механизмов, жестов, программ. Информация и составляющие ее принципы до сих пор изучаются экспертами для повышения эффективности хранения и использования данных.
Она включает в себя:
- данные, которые передаются между людьми и специализированными аппаратами;
- знаки (у животных, растений);
- другие отличительные свойства (клетки, органы).
Информационной безопасностью является система методов, которая помогает в защите технологий, обеспечивающих кибербезопасность внутри государства или компании.
Информация, безопасность которой необходимо обеспечить, используется в разнообразных сферах жизни: политической, экономической, социальной и духовной. Важно оберегать ее от утечки, чтобы минимизировать возможные неблагоприятные последствия. Например, экономические потери на государственном уровне.
Информация считается безопасной, если она в полном объеме защищена от любых видов угроз. Самыми распространенными считаются случаи утечки информации о платежах и персональных данных (около 80 % случаев). Правильный подход в обеспечении защищенности – это осуществление предупредительных мер, способных уменьшить пагубное воздействие внутри и снаружи системы.
Узкое значение информационной безопасности
Информационная безопасность – это практическая деятельность, направленная на предупреждение неразрешенного доступа, применения, обнаружения и преобразования данных. Внутренние и внешние информационные угрозы могут причинить ущерб общегосударственным и международным отношениям, конкретным гражданам. Защита информации – совокупность юридических, технических и организационных способов предупреждения несанкционированных действий с данными. Она устанавливается в информационных системах и характеризуется комплексом мер и действий, которые направлены на защиту данных от постороннего влияния.
В информационную систему входят такие элементы:
- субъекты – владельцы информации и механизмов (инфраструктуры);
- база – компьютерные помещения, различные системы (электроснабжение), линии связи, обслуживающий персонал.
Информационная безопасность – это также наука об обеспечении сохранности ресурсов информации, неприкосновенности воли, законных прав личности и общества.
Проникновение в информационное пространство – это открытое (иногда латентное) действие, которое специально или по стечению обстоятельств влияет на объект защиты, что приводит к утечке или раскрытию информации.
Безопасность информационных технологий базируется на следующих вводных:
- Зачем, кого и что защищать?
- От каких внешних и внутренних факторов уберегать?
- Каким способом осуществлять защиту от угрозы?
Элементы безопасности информации
Основные составляющие информационной безопасности – это совокупность элементов, которая включает открытость, конфиденциальность и целостность информационных ресурсов и поддерживающей инфраструктуры. К числу элементов безопасности часто относят защиту от несанкционированного доступа, являющуюся ключевой составной частью защищенности данных.
Рассмотрим систему основных составляющих информационных данных:
- Доступность – это признак, разрешающий пользователям в определенных случаях беспрепятственно получить интересующую их информацию. Исключением являются данные, скрытые от всеобщего обозрения, разглашение которых может нанести серьезный ущерб субъектам и информации. Например, доступными являются материалы, которые может получить каждый человек: покупка билетов, услуги в банках, оплата коммунальных платежей.
- Целостность – один из элементов информации, гарантирующий ее стабильность при намеренном (ненамеренном) преобразовании или уничтожении определенных данных. Она бывает статической (стабильность основных объектов от первоначального состояния) и динамической (точная реализация последовательных действий). Если будет нарушено единство информации, это может привести к серьезным негативным последствиям. Эта характеристика является основной и актуальной в информационном пространстве.
- Конфиденциальность – основное свойство, разрешающее доступ к информации исключительно юридически правомочным субъектам: клиентам, платформам (программам), процессам. Конфиденциальность – это самый исследованный, проработанный аспект ИБ.
Составляющие информационной безопасности не могут функционировать без соблюдения основных принципов, к которым относятся:
- простота использования;
- контроль за операциями;
- разграничение доступа.
Каждое звено информационной безопасности имеет ключевое значение для всей системы. Нет разграничения, что секретность данных наиболее значима, а другие принципы занимают низшие позиции. Для всех субъектов информационных отношений, которые используют информационную систему в быту, на работе или в других целях, данные должны быть доступными, целостными и конфиденциальными.
Другие категории защиты информации
Информационные объекты составляют определенную систему.
К ним относятся:
- различные виды медийных ресурсов (данные, зафиксированные на материальных носителях, с возможностью их идентификации);
- преимущества (права) граждан, юрлиц и государственных органов на распространение и владение данными;
- системы формирования социальной ответственности в использовании данных.
Составляющие информационной системы делятся на группы по видам:
- с исключительной возможностью входа, с публичным доступом;
- другая доступная информация;
- неправдивая информация (не имеет правовой основы).
Данные с исключительным доступом делятся на государственную тайну и секретные данные. Первая защищает сведения, являющиеся тайными в различных сферах безопасности Российской Федерации: экономической, общегосударственной, контрразведывательной, политической. Угроза раскрытия государственной тайны может нанести серьезный вред национальной целостности государства. Основная часть этой информации оберегается от внешнего и внутреннего воздействия.
Целью конфиденциальной информации является ограничение доступа лиц к данным, юридический режим которых установлен специализированными нормативными актами в общегосударственной и негосударственных областях, промышленности и социальной деятельности.
Конфиденциальная информация бывает следующих типов:
- ход следствия;
- должностная этика;
- профессиональная тайна;
- негосударственная тайна;
- индивидуальные данные;
- данные о сути производства.
Личная информация составляет все виды данных о человеке, которые непосредственно или частично к нему относятся. Такая информация имеет ограниченный доступ, но сам субъект может пользоваться этими сведениями. Они защищаются на национальном уровне, выделены правовые принципы субъективных данных.
Например, в 149-ФЗ Российской Федерации «Об информации» в редакции от 18.12.2018 года прописаны такие права:
- самоидентификация информации;
- потенциальный доступ к личным данным;
- внесение корректировок в индивидуальные данные;
- преобразование личных данных;
- жалобы на незаконное использование данных;
- денежная компенсация убытков.
Правительственные органы и частные организации, самоуправляемые учреждения в регионах используют данные в основном в рамках полномочий, установленных общегосударственными законами и подзаконными актами, лицензиями на право заниматься определенными видами деятельности.
Основную часть носителей информации составляют:
- газетные и журнальные издания, реклама;
- граждане;
- средства связи;
- информационные документы;
- электронные и иные носители, пригодные для улучшения данных.
Способы защиты и передачи информации
Немаловажное значение имеют методы сохранности информации. Обеспечение безопасности в Российской Федерации – ключевая задача для сохранения, сбережения, неиспользования посторонними лицами важной для государства информации. При утечке информации происходит неконтролируемое увеличение потоков данных, использование которых может негативно отразиться на целостности страны.
Существуют два типа защиты: формальные и официальные. Формальные сохраняют информацию без личного участия человека в процессе защиты (программное обеспечение, техсредства). Неформальные регламентируют действия человека (правила, документы, различные мероприятия).
К формальным способам относятся:
- физические – электрические, механические, электроустройства, функционирующие независимо от информсистем;
- аппаратные – зрительные, электронные, лазерные и иные устройства, встроенные в информсистемы, специализированные компьютеры, системы по наблюдению за сотрудниками, препятствующие доступу к сведениям;
- программные (DLP-, SIEM-системы);
- специфические (криптографические, стенографические – обеспечивают безопасную передачу сведений в корпоративной и глобальной сети).
К неформальным относятся организационные, законодательные и этические способы:
- Законодательные – это императивные нормы, которые прописаны в законах, подзаконных актах. Они регламентируют порядок эксплуатации, анализа и передачи информации, ответственность при нарушении каких-либо принципов и правил использования данных. Законодательные нормы распространяются на все субъекты отношений (в настоящее время около 80 актов регулируют информационную деятельность).
- Организационные – общетехнические, юридические процедуры, являющиеся обязательными на всем жизненном цикле системы информации (например, цикл Шухарта-Деминга). Это возможности организации, которые помогают функционированию системы. К ним относят сертификацию системы и ее элементов, аттестацию объектов и субъектов.
- Высоконравственные (этические) – это принципы морали, правила этики, которые исторически сложились в обществе. Нарушение этих норм приведет к потере безопасности информации, в частности статуса и уважения граждан.
Методы информационной безопасности едины и используются в решении задач передачи данных, среди которых выделяют три основных:
- надежный канал связи между пользователями;
- использование общедоступного канала шифрования;
- использование информационного канала с преобразованием данных в такой вид, в котором только адресат сможет расшифровать их.
Сохранность документов во все времена играла ключевую роль. Их передавали зашифрованными каналами связи, скрывали, подкупали курьеров для получения тайных данных соседних государств, перехватывали всевозможными способами. Являясь нормой, подобные методы стали толчком для создания основного способа преобразования информации, который защищает от незаконного завладения и использования – криптографии).
Криптография и ее особенности
Криптография – это наука о способах обеспечения конфиденциальности, недопустимости получения доступа посторонними лицами к данным информационного характера. Является довольно сложной и востребованной наукой о методах шифрования (дешифрования) информации таким замысловатым способом, что, кроме автора, к ней не найдет доступ ни один человек без определенного ключа.
Криптография помогает преобразовать данные ради их сохранности и единства. Она является составляющей информационной безопасности со стороны функциональных средств защиты. Криптография включает в себя криптоанализ, который занимается исследованием и оценкой методов шифрования, в том числе разработкой других способов. Методы кодирования используются часто в преобразовании информации.
Криптография использует различные подходы к созданию шифров: замена, перестановка, гаммирование (кодирование), квантовое шифрование, шифрование с открытым ключом и различные криптографические протоколы. Большое число составляющих средств объединяется в одно безопасное информационное ядро.
Процесс защиты информации является многогранным, сложным, требует много сил со стороны правительства, компаний, граждан. Безопасностью в информационной сфере необходимо заниматься постоянно, на законодательном уровне. Специалисты должны следить за процессом, являющимся ключевым в моментах сохранности, надежности и конфиденциальности данных. Должны реализовываться меры предосторожности, защиты от утечки и утраты информации всевозможными способами, так как, попадая в чужие руки, она может быть использована против личности или государства.
Информационная безопасность – многогранная, можно даже сказать, многомерная область деятельности, в которой успех может принести только систематический, комплексный подход.
Спектр интересов субъектов, связанных с использованием информационных систем, можно разделить на следующие категории:
- обеспечение доступности,целостности и конфиденциальности информационных ресурсов и поддерживающей инфраструктуры.
Иногда в число основных составляющих ИБ включают защиту от несанкционированного копирования информации, но, на наш взгляд, это слишком специфический аспект с сомнительными шансами на успех, поэтому мы не станем его выделять.
Доступность – это возможность за приемлемое время получить требуемую информационную услугу.
Под целостностью подразумевается актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения.
Наконец, конфиденциальность – это защита от несанкционированного доступа к информации.
Информационные системы создаются (приобретаются) для получения определенных информационных услуг. Если по тем или иным причинам предоставить эти услуги пользователям становится невозможно, это, очевидно, наносит ущерб всем субъектам информационных отношений. Поэтому, не противопоставляя доступность остальным аспектам, мы выделяем ее как важнейший элемент информационной безопасности.
Особенно ярко ведущая роль доступности проявляется в разного рода системах управления – производством, транспортом и т.п. Внешне менее драматичные, но также весьма неприятные последствия – и материальные, и моральные – может иметь длительная недоступность информационных услуг, которыми пользуется большое количество людей (продажа железнодорожных и авиабилетов, банковские услуги и т.п.).
Целостность оказывается важнейшим аспектом ИБ в тех случаях, когда информация служит "руководством к действию". Рецептура лекарств, предписанные медицинские процедуры, набор и характеристики комплектующих изделий, ход технологического процесса – все это примеры информации, нарушение целостности которой может оказаться в буквальном смысле смертельным. Неприятно и искажение официальной информации, будь то текст закона или страница Web-сервера какой-либо правительственной организации. Конфиденциальность – самый проработанный у нас в стране аспект информационной безопасности. К сожалению, практическая реализация мер по обеспечению конфиденциальности современных информационных систем наталкивается в России на серьезные трудности. Во-первых, сведения о технических каналах утечки информации являются закрытыми, так что большинство пользователей лишено возможности составить представление о потенциальных рисках. Во-вторых, на пути пользовательской криптографии как основного средства обеспечения конфиденциальности стоят многочисленные законодательные препоны и технические проблемы.
Если вернуться к анализу интересов различных категорий субъектов информационных отношений, то почти для всех, кто реально использует ИС, на первом месте стоит доступность. Практически не уступает ей по важности целостность – какой смысл в информационной услуге, если она содержит искаженные сведения?
Наконец, конфиденциальные моменты есть также у многих организаций (даже в упоминавшихся выше учебных институтах стараются не разглашать сведения о зарплате сотрудников) и отдельных пользователей (например, пароли).
Читайте также: