Студопедия Главная Случайная страница Обратная связь

Разделы: Автомобили Астрономия Биология География Дом и сад Другие языки Другое Информатика История Культура Литература Логика Математика Медицина Металлургия Механика Образование Охрана труда Педагогика Политика Право Психология Религия Риторика Социология Спорт Строительство Технология Туризм Физика Философия Финансы Химия Черчение Экология Экономика Электроника

Необходимость и потребность в защите информации





 

Высокая степень автоматизации порождает риск снижения безопасности (личной, информационной, государственной, и т. п,). Доступность и широкое распространение информационных технологий, ЭВМ делает их чрезвычайно уязвимыми по отношению к деструктивным воздействиям. Тому есть много примеров. Так, каж­дые 20 секунд в США совершается преступление с использованием программных средств, 80% этих преступлений, расследуемых ФБР, происходит через сеть Internet. Потери от хищений или повреждений компьютерных сетей превышают 100 млн. долл. в год.

Субъекты производственно-хозяйственных отношений вступают друг с другом в информационные отношения (отношения по поводу получения, хранения, обработки, распределения и использования информации) для выполнения своих производственно-хозяйственных и экономическихзадач. Поэтому обеспечение информационной безо­пасности — это гарантия удовлетворения законных прав и интересен субъектов информационных отношений. В дальнейшем субъектами ин­формационных отношений будем называть государство (в целом или отдельные его органы и организации), общественные или коммерчес­кие организации (объединения) и предприятия (юридические лица), отдельных граждан (физические лица).

Различные субъекты по отношению к определенной информации могут выступать в качестве (возможно одновременно):

• источников (поставщиков) информации;

• пользователей (потребителей) информации;

• собственников (владельцев, распорядителей) информации;

• физических и юридических лиц, о которых собирается инфор­мация;

• владельцев систем сбора и обработки информации и участни­ков процессов обработки и передачи информации и т. д.

Для успешного осуществления деятельности по управлению объек­тами некоторой предметной области субъекты информационных от­ношений могут быть заинтересованы в обеспечении:

• своевременного доступа (за приемлемое для них время) к необходимой информации;

• конфиденциальности (сохранения в тайне) определенной мас­ти информации;

• достоверности (полноты, точности, адекватности, целостности) 'информации;

• защиты от навязывания ложной (недостоверной, искаженной) информации, т. е. от дезинформации;

• защиты части информации от незаконного ее тиражирования (зашита авторских прав, прав собственника информации и т. п.);

• разграничения законных прав (интересов) других субъектов информационных отношений и установленных правил обращения с информацией;

• контроля и управления процессами обработки и передачи ин­формации.

Будучи заинтересованными в обеспечении хотя бы одного из вы­шеназванных требований субъект информационных отношений яв­ляется уязвимым, т. е. потенциально подверженным нанесению ему ущерба (прямого или косвенного, материального или морального) посредством воздействия на критичную для него информацию и ее носители либо посредством неправомерного использования такой -информации. Поэтому все субъекты информационных отношений заинтересованы в обеспечении своей информационной безопасно­сти (конечно, в различной степени в зависимости от величины ущерба, который им может быть нанесен).

Известно следующее разделение информации по уровню важности:

1) жизненно важная, незаменимая информация, наличие кото­рой необходимо для функционирования организации;

2) важная информация — информация, которая может быть заме­нена или восстановлена, но процесс восстановления очень труден и связан с большими затратами;

3) полезная информация — информация, которую трудно восста­новить, однако организация может функционировать и без нее;

4) несущественная информация — информация, которая больше не нужна организации.

Для удовлетворения законных прав и перечисленных выше инте­ресов субъектов (обеспечение их информационной безопасности) необходимо постоянно поддерживать следующие свойства информа­ции и систем ее обработки:

• доступность информации, т.е. свойство системы (среды, средств и технологий ее обработки), в которой циркулирует информация, характеризующаяся способностью обеспечивать своевременный беспрепятственный доступ субъектов к интересующим их данным и готовностью соответствующих автоматизированных служб к вы­полнению поступающих от субъектов запросов;

• целостность информации, т. е. свойство информации, заклю­чающееся в ее существовании в неискаженном виде (неизменном по отношению к некоторому фиксированному состоянию). Точнее го­воря, субъектов интересует обеспечение более широкого свойства -достоверности информации, которое складывается из адекватности (полноты и точности) отображения состояния предметной области и целостности информации, т. е. ее неискаженности;

• конфиденциальность информации — субъективно определяемая (предписываемая) характеристика (свойство) информации, указыва­ющая на необходимость введения ограничений на круг субъектов, которые имеют доступ к данной информации, и обеспечиваемая спо­собностью системы (среды) сохранять указанную информацию втай­не от субъектов, не имеющих полномочий на доступ к ней. Объектив­ные предпосылки подобного ограничения доступности информации для одних субъектов заключены в необходимости защиты законных ин­тересов других субъектов информационных отношений.

 

Основные понятия защиты информации

 

Дадим несколько определений. Защита информации — это сред­ства обеспечения безопасности информации. Безопасность инфор­мации — защита информации от утечки, модификации и утраты. По существу, сфера безопасности информации не защита информации, а защита прав собственности и интересов субъектов информационных отношений. Утечка информации — ознакомление посторон­него лица с содержанием секретной информации. Модификация информации — несанкционированное изменение информации, кор­ректное по форме и содержанию, но другое по смыслу. Утрата ин­формации — физическое уничтожение информации.

Цель защиты информации — противодействие угрозам безопас­ности информации. Угроза безопасности информации — действие или событие, которое может привести к разрушению, искажению или несанкционированному использованию информационных ресурсов (т. е. к утечке, модификации и утрате), включая хранимую, пере­даваемую и обрабатываемую информацию, а также программные и аппаратные средства. Поэтому для обеспечения безопасности ин­формации необходима защита всех сопутствующих компонентов информационных отношений (т. е. компонентов информационных технологий и автоматизированных систем, используемых субъек­тами информационных отношений):

• оборудования (технических средств);

• программ (программных средств);

• данных (информации);

• персонала.

С этой целью в соответствующих организациях и на соответствую­щих объектах строится система защиты. Система защиты — это сово­купность (комплекс) специальных мер правового (законодательного) и административного характера, организационных мероприятий, фи­зических и технических (программно-аппаратных) средств защиты, а также специального персонала, предназначенных для обеспечения безопасности информации, информационных технологий и автома­тизированной системы в целом. Для построения эффективной сис­темы защиты необходимо провести следующие работы:

1) определить угрозы безопасности информации;

2) выявить возможные каналы утечки информации и несанкцио­нированного доступа (НСД) к защищаемым данным;

3) построить модель потенциального нарушителя;

4) выбрать соответствующие меры, методы, механизмы и сред­ства защиты;

5) построить замкнутую, комплексную, эффективную систему защиты, проектирование которой начинается с проектирования са­мих автоматизированных систем и технологий.

При проектировании существенное значение придается предпроектному обследованию объекта. На этой стадии:

• устанавливается наличие секретной (конфиденциальной) ин­формации в разрабатываемой АИТУ, оценивается уровень ее конфи­денциальности и объем;

• определяются режимы обработки информации (диалоговый, телеобработка и режим реального времени), состав комплекса тех­нических средств и т. д.;

• анализируется возможность использования имеющихся нарын-ке сертифицированных средств защиты информации;

• определяется степень участия персонала, функциональных служб, специалистов и вспомогательных работников объекта авто­матизации в обработке информации, характер их взаимодействия между собой и со службой безопасности;

• определяются мероприятия по обеспечению режима секретно­сти на стадии разработки.

Для создания эффективной системы защиты разработан ряд стандартов. Главная задача стандартов информационной безопаснос­ти — создать основу для взаимодействия между производителями, потребителями и экспертами по квалификации продуктов инфор­мационных технологий. Каждая из этих групп имеет свои интересы и взгляды на проблему информационной безопасности.

Наиболее значимыми стандартами информационной безопас­ности являются (в хронологическом порядке): Критерии безопас­ности компьютерных систем Министерства обороны США («Оран­жевая книга»), Руководящие документы Гостехкомиссии России, Европейские критерии безопасности информационных технологий, Федеральные критерии безопасности информационных технологий США, Канадские критерии безопасности компьютерных систем и Единые критерии безопасности информационных технологий.

 







Дата добавления: 2014-11-12; просмотров: 1683. Нарушение авторских прав; Мы поможем в написании вашей работы!




Вычисление основной дактилоскопической формулы Вычислением основной дактоформулы обычно занимается следователь. Для этого все десять пальцев разбиваются на пять пар...


Расчетные и графические задания Равновесный объем - это объем, определяемый равенством спроса и предложения...


Кардиналистский и ординалистский подходы Кардиналистский (количественный подход) к анализу полезности основан на представлении о возможности измерения различных благ в условных единицах полезности...


Обзор компонентов Multisim Компоненты – это основа любой схемы, это все элементы, из которых она состоит. Multisim оперирует с двумя категориями...

Эффективность управления. Общие понятия о сущности и критериях эффективности. Эффективность управления – это экономическая категория, отражающая вклад управленческой деятельности в конечный результат работы организации...

Мотивационная сфера личности, ее структура. Потребности и мотивы. Потребности и мотивы, их роль в организации деятельности...

Классификация ИС по признаку структурированности задач Так как основное назначение ИС – автоматизировать информационные процессы для решения определенных задач, то одна из основных классификаций – это классификация ИС по степени структурированности задач...

Медицинская документация родильного дома Учетные формы родильного дома № 111/у Индивидуальная карта беременной и родильницы № 113/у Обменная карта родильного дома...

Основные разделы работы участкового врача-педиатра Ведущей фигурой в организации внебольничной помощи детям является участковый врач-педиатр детской городской поликлиники...

Ученые, внесшие большой вклад в развитие науки биологии Краткая история развития биологии. Чарльз Дарвин (1809 -1882)- основной труд « О происхождении видов путем естественного отбора или Сохранение благоприятствующих пород в борьбе за жизнь»...

Studopedia.info - Студопедия - 2014-2024 год . (0.008 сек.) русская версия | украинская версия