Что называется информационной безопасностью. Основы иб

Каждый хоть раз слышал душераздирающие фразы о необходимости поддерживать качественный уровень информационной безопасности. Эти страшные истории о взломах, наполненные криками и отчаянием. Кошмарные последствия, обсуждаемые чуть ли не на каждом сайте... Поэтому, прямо сейчас вы должны заполнить компьютер средствами безопасности до отказа, а так же перерезать провода... Советов на тему обеспечения безопасности тьма, но вот только толку от них почему-то получается не очень много. Во многом причина заключается в отсутствии понимании таких простых вещей, как "что защищаем", "от кого защищаем" и "что хотим получить на выходе". Но, об всем по порядку.

Информационная безопасность под этим термином подразумевают различные меры, состояние сохранности, технологии и прочее, однако все гораздо проще. И поэтому, вначале ответьте себе на вопрос, сколько человек из вашего окружения хотя бы прочитало определение этого понятия, а не просто подразумевает сопоставление слов с их значениями? Большинство людей ассоциируют безопасность с антивирусами , брандмауэрами и другими программами безопасности . Безусловно, эти средства позволяют защитить ваш компьютер от угроз и повысить уровень защиты системы, но что на самом деле делают эти программы, представляет себе мало людей.

Задумываясь об информационной безопасности, прежде всего стоит начать со следующих вопросов :

• Объект защиты - необходимо понимать, что именно вы хотите защитить. Это личные данные, хранящиеся на компьютере (чтобы они не достались другим людям), это производительность компьютера (чтобы вирусы и трояны не довели систему до уровня первого пентиума), это сетевая активность (чтобы жадные до интернета программы не отправляли о вас статистику каждые полчаса), это доступность компьютера (чтобы синие экраны смерти не заполоняли систему), это...
• Желаемый уровень безопасности . Полностью защищенный компьютер - это компьютер, которого не существует. Как бы вы не старались, всегда будет оставаться вероятность того, что ваш компьютер взломают. Учтите и всегда помните, что существует такое направление, как социальная инженерия (добывать пароли из мусорных корзин, подслушивание, подглядывание и прочее). Однако, это не повод, чтобы оставлять систему без защиты. К примеру, защитить компьютер от большинства известных вирусов - это вполне реализуемая задача, которую по сути и выполняет каждый обычный пользователь, устанавливая себе на компьютер один из популярных антивирусов.
• Допустимый уровень последствий . Если вы понимаете, что ваш компьютер может быть взломан, например, просто заинтересовавшимся вами хакером (так сложилось, что ваш IP адрес понравился злоумышленнику), то стоит задуматься о допустимом уровне последствий. Сломалась система - неприятно, но не страшно, ведь у вас под рукой есть диск восстановления . Ваш компьютер постоянно заходит на пикантные сайты - приятно и неприятно, но терпимо и поправимо. А вот, к примеру, если в интернет попали ваши личные фотографии, о которых никто не должен знать (серьезный удар по репутации), то это уже существенный уровень последствий и необходимо заниматься превентивными мерами (утрируя, взять старенький компьютер без интернета и смотреть фотки только на нем).
• Что вы хотите получить на выходе? Этот вопрос подразумевает много моментов - сколько лишних действий вам придется выполнять, чем придется жертвовать, как защита должна сказываться на производительности, должна ли быть возможность добавлять программы в списки исключений, какое количество сообщений и тревог должно появляться на экране (и должны ли вообще появляться), а так же многое другое. Сегодня средств безопасности существует достаточно много, но у каждого из них есть свои плюсы и минусы. К примеру, тот же UAC Windows в операционной системе Vista был сделан не совсем удачным образом, однако уже в Windows 7 был доведен до того состояния, что инструмент защиты стал относительно удобен для использования.

Ответив на все эти вопросы, вам станет намного легче понимать, как вы собираете организовать защиту информации на вашем компьютере. Безусловно, это далеко не весь список вопросов, однако, достаточная часть обычных пользователей не задаются даже одним из них.

Установка и настройка средств безопасности на компьютере это лишь часть выполняемых мер. Открывая подозрительные ссылки и подтверждая все действия не менее подозрительных приложений, вы легко можете свести на нет все старания программ защиты. По этой причине, так же всегда стоит задумываться о своих действиях. К примеру, если ваша задача защитить браузер, но вы никак не можете не открывать подозрительные ссылки (допустим, ввиду специфики), то вы всегда можете установить дополнительный браузер, используемый исключительно для открытия подозрительных ссылок, или же расширение для проверки коротких ссылок . В таком случае, если какая-то из них окажется фишинговой (кража данных, доступа и прочее), то злоумышленник мало чего добьется.

Проблема определения комплекса действий для защиты информации обычно заключается в отсутствии ответов на вопросы из предыдущего пункта. К примеру, если вы не знаете или не понимаете, что именно вы хотите защитить, то придумать или найти какие-то дополнительные меры обеспечения безопасности всегда будет сложно (кроме таких расхожих, как не открывать подозрительные ссылки, не посещать сомнительные ресурсы и прочие). Попробуем рассмотреть ситуацию на примере задачи защиты персональных данных, которая чаще всего ставится во главе защищаемых объектов.

Защита персональных данных это одна из непростых задач, с которыми сталкиваются люди. При бурном росте количества и наполнения социальных сетей, информационных сервисов и специализированных онлайн ресурсов, будет огромной ошибкой полагать, что защита ваших персональных данных сводится к обеспечению надежного уровня безопасности вашего компьютера. Не так давно, узнать что-либо о человеке, живущем от вас за сотни километров, а то и в соседнем доме, было практически невозможно, не имея соответствующих связей. Сегодня же, практически каждый может узнать достаточно много личной информации о каждом буквально за пару часов щелканья мышкой в браузере, а то и быстрее. При этом все его действия могут быть абсолютно правомерными, вы же сами разместили информацию о себе в публичный доступ.

С отголоском этого эффекта встречался каждый. Слышали о том, что проверочное слово на контрольный вопрос не должно быть связано с вами и окружающими? И это лишь маленькая часть. Как бы это возможно вас не удивило, но во многом защита персональной информации зависит только от вас. Никакое средство защиты, даже если оно не допускает к компьютеру никого, кроме вас, не сможет защитить информацию переданную вне компьютера (разговоры, интернет, записи и прочее). Вы где-то оставили свою почту - ждите прироста спама . Вы оставили фотографии в обнимку с плюшевым мишкой на сторонних ресурсах, ждите соответствующих юмористических "поделок" от скучающих авторов.

Если чуть серьезнее, то огромная открытость данных интернета и ваша легкомысленность/открытость/ветреность, при всех мерах безопасности, может свести последние на нет. По этой причине, необходимо заботится о выборе методов защиты информации и включать в них не только технические средства, но и действия, покрывающие другие аспекты жизни.

Примечание : Безусловно, не стоит считать, что бункер под землей это лучшее место в жизни. Однако, понимание, что защита личных данных зависит от вас, даст вам большое преимущество перед злоумышленниками.

Методы защиты информации часто приравнивают к техническим решениям, оставляя без внимания такой огромный пласт для потенциальных угроз, как действия самого человека. Вы можете дать пользователю возможность запускать всего одну программу и заниматься ликвидацией последствий уже буквально через пять минут, если таковое вообще окажется возможным. Одно сообщение в форуме об услышанной информации может сломать самую совершенную защиту (утрируя, о профилактике узлов защиты, другими словами временное отсутствие защиты).

Чтобы определиться с методами защиты данных , необходимо заниматься не только поиском подходящих средств безопасности, лениво пощелкивая мышкой в окошке браузера, но и задумываться о том, как информация может распространятся и чего она может касаться. Как бы это не прозвучало, но для этого необходимо взять в руки бумагу и карандаш, а затем рассмотреть все возможные способы распространения информации и с чем она может быть связана. Для примера, возьмем задачу сохранить пароль в тайне, насколько это возможно.

Ситуация. Вы придумали сложный пароль, никак не связанный с вами, полностью соответствующий самым жестким требованиям безопасности, нигде не оставили ни единого упоминания (в рассмотрение не берутся такие аспекты, как остатки в памяти компьютера, на диске и прочие моменты), не используете менеджеры паролей , вводите пароль только с одного компьютера, используя безопасную клавиатуру , для соединения используете VPN, компьютер загружаете только с LiveCD. Одной фразой, настоящий параноик и фанатик безопасности. Однако, этого всего может быть недостаточно для защиты пароля.

Вот несколько простых возможных ситуаций, наглядно демонстрирующих необходимость в широком взгляде на методы защиты информации :

• Что вы будете делать, если вам нужно ввести пароль, когда в комнате присутствуют другие люди, пусть даже "самые- самые"? Вы никогда не сможете гарантировать, что они случайным образом не обмолвятся о косвенной информации о пароле. К примеру, сидя в приятной обстановке в забегаловке, вполне возможна фраза "у него такой длинный пароль, аж целый десяток и куча разных символов", которая достаточно неплохо сужает область подбора пароля злоумышленнику .
• Что вы будете делать, если так случилось и вам нужно, чтобы за вас осуществил операцию другой человек? Пароль может случайно услышать другой человек. Если вы диктуете пароль плохо разбирающемуся в компьютерах человеку, то вполне вероятно, что он его куда-нибудь запишет, требовать от него вашего фанатизма будет не оправдано.
• Что вы будете делать, если так случилось и кто-то узнал о том способе, которым вы придумываете пароли? Такая информация так же неплохо сужает область подбора.
• Как вы сможете защитить пароль, если один из узлов, обеспечивающих безопасную передачу пароля, был взломан злоумышленником? К примеру, был взломан VPN сервер, через который вы входите в интернет.
• Будет ли иметь смысл ваш пароль, если используемая система была взломана?
• И прочие

Безусловно, это не означает необходимость твердолобого и упорного многомесячного поиска методов защиты информации. Речь о том, что даже самые сложные системы могут быть сломлены простыми человеческими изъянами, рассмотрение которых было заброшено. Поэтому, занимаясь обустройством безопасности вашего компьютера, старайтесь уделять внимание не только технической стороне вопроса, но и окружающему вас миру.

Под информационной безопасностью понимают состояние защищенности обрабатываемых, хранимых и передаваемых данных от незаконного ознакомления, преобразования и уничтожения, а также состояние защищенности информационных ресурсов от воздействий, направленных на нарушение их работоспособности.

Природа этих воздействий может быть самой разнообразной. Это и попытки проникновения злоумышленников, и ошибки персонала, и выход из строя аппаратных и программных средств, стихийные бедствия (землетрясение, ураган, пожар и т.п.). Основные угрозы безопасности в корпоративных компьютерных сетях подробно анализируются в разделе 2.

Информационная безопасность компьютерных систем и сетей достигается принятием комплекса мер по обеспечению конфиденциальности, целостности, достоверности, юридической значимости информации, оперативности доступа к ней, а также по обеспечению целостности и доступности информационных ресурсов и компонентов системы или сети. Перечисленные базовые свойства информации нуждаются в более полном толковании.

Конфиденциальность информации – это ее свойство быть доступной только ограниченному кругу пользователей информационной системы, в которой циркулирует данная информация. По существу, конфиденциальность информации – это ее свойство быть известной только допущенным и прошедшим проверку субъектам системы (пользователям, процессам, программам). Для остальных субъектов системы информация должна быть неизвестной.

Под целостностью информации понимается ее свойство сохранять свою структуру и/или содержание в процессе передачи и хранения. Целостность информации обеспечивается в том случае, если данные в системе не отличаются в семантическом отношении от данных в исходных документах, то есть если не произошло их случайного или преднамеренного искажения или разрушения.

Достоверность информации – свойство, выражаемое в строгой принадлежности информации субъекту, который является ее источником, либо тому субъекту, от которого она принята.

Юридическая значимость информации означает, что документ, являющийся носителем информации, обладает юридической силой.

Под доступом к информации понимается ознакомление с информацией и ее обработка, в частности копирование, модификация или уничтожение. Различают санкционированный и несанкционированный доступ к информации. Санкционированный доступ к информации не нарушает установленные правила разграничения доступа.

Несанкционированный доступ характеризуется нарушением установленных правил разграничения доступа. Лицо или процесс, осуществляющие несанкционированный доступ к информации, являются нарушителями таких правил разграничения доступа. Несанкционированный доступ – наиболее распространенный вид компьютерных нарушений.

Правила разграничения доступа служат для регламентации права доступа к компонентам системы.

Оперативность доступа к информации – это способность информации или некоторого информационного ресурса быть доступными конечному пользователю в соответствии с его оперативными потребностями.

Целостность ресурса или компонента системы – это его свойство быть неизменным в семантическом смысле при функционировании системы в условиях случайных или преднамеренных искажений либо разрушающих воздействий.

Доступность ресурса или компонента системы – это его свойство быть доступным законным пользователям системы. С допуском к информации и ресурсам системы связана группа таких понятий, как идентификация, аутентификация, авторизация.

С каждым объектом системы (сети) связывают некоторую информацию (число, строку символов), идентифицирующую объект. Эта информация является идентификатором объекта системы (сети). Объект, имеющий зарегистрированный идентификатор, считается законным (легальным ).

Идентификация объекта – это процедура распознавания объекта по его идентификатору. Выполняется при попытке объекта войти в систему (сеть).

Следующий этап взаимодействия системы с объектом – аутентификация. Аутентификация объекта – это проверка подлинности объекта с данным идентификатором. Процедура аутентификации устанавливает, является ли объект именно тем, кем он себя объявил.

После идентификации и аутентификации объекта выполняют авторизацию.

Авторизация объекта – это процедура предоставления законному объекту, успешно прошедшему идентификацию и аутентификацию, соответствующих полномочий и доступных ресурсов системы (сети).

Под угрозой безопасности для системы (сети) понимаются возможные воздействия, которые прямо или косвенно могут нанести ущерб ее безопасности. Ущерб безопасности подразумевает нарушение состояния защищенности информации, содержащейся и обрабатывающейся в системе (сети).

С понятием угрозы безопасности тесно связано понятие уязвимости компьютерной системы (сети). Уязвимость системы (сети) – это любая характеристика компьютерной системы, использование которой может привести к реализации угрозы.

Атака на компьютерную систему (сеть) – это действие, предпринимаемое злоумышленником с целью поиска и использования той или иной уязвимости системы. Таким образом, атака – это реализация угрозы безопасности.

Противодействие угрозам безопасности – цель, которую призваны выполнить средства защиты компьютерных систем и сетей. Безопасная или защищенная система – это система со средствами защиты, которые успешно и эффективно противостоят угрозам безопасности.

Комплекс средств защиты представляет собой совокупность программных и технических средств сети. Комплекс средств защиты создается и поддерживается в соответствии с принятой в данной организации политикой обеспечения информационной безо­пасности системы.

Политика безопасности – это совокупность норм, правил и практических рекомендаций, регламентирующих работу средств защиты компьютерной системы (сети) от заданного множества угроз безопасности.

Корпоративные сети относятся к распределенным компьютерным системам, осуществляющим автоматизированную обработку информации. Проблема обеспечения информационной безопасности является центральной для таких компьютерных систем. Обеспечение безопасности корпоративной сети предполагает организацию противодействия любому несанкционированному вторжению в процесс функционирования корпоративной сети, а также попыткам модификации, хищения, вывода из строя или разрушения ее компонентов, то есть защиту всех компонентов корпоративной сети (аппаратных средств, программного обеспечения, данных и персонала).

Существуют два подхода к проблеме обеспечения безопасности корпоративной сети: «фрагментарный» и комплексный.

«Фрагментарный » подход направлен на противодействие четко определенным угрозам в заданных условиях. В качестве примеров реализации такого подхода можно указать: отдельные средства управления доступом, автономные средства шифрования, специализированные антивирусные программы и т.п. Достоинство этого подхода заключается в высокой избирательности к конкретной угрозе. Существенным недостатком его является отсутствие единой защищенной среды обработки информации. Фрагментарные меры защиты информации обеспечивают защиту конкретных объектов корпоративной сети только от конкретной угрозы. Даже небольшое видоизменение угрозы ведет к потере эффективности защиты.

Комплексный подход ориентирован на создание защищенной среды обработки информации в корпоративной сети, сводящей воедино разнородные меры противодействия угрозам. Организация защищенной среды обработки информации позволяет гарантировать определенный уровень безопасности корпоративной сети, что можно отнести к несомненным достоинствам комплексного подхода. К его недостаткам относятся ограничения на свободу действий пользователей корпоративной сети, чувствительность к ошибкам установки и настройки средств защиты, сложность управления.

Комплексный подход применяют для защиты корпоративных сетей крупных организаций или небольших корпоративных сетей, выполняющих ответственные задачи или обрабатывающих особо важную информацию. Нарушение безопасности информации в корпоративных сетях крупных организаций может нанести огромный материальный ущерб, как самим организациям, так и их клиентам. Поэтому такие организации вынуждены уделять особое внимание гарантиям безопасности и реализовывать комплексную защиту. Комплексного подхода придерживается большинство государственных и крупных коммерческих предприятий и учреждений. Этот подход нашел свое отражение в различных стандартах.

Комплексный подход к проблеме обеспечения безопасности основан на разработанной для конкретной корпоративной сети политике безопасности.

Наряду с политической, экономической, военной, социальной и экологической безопасностью составной частью национальной безопасности Российской Федерации является информационная безопасность.

Под информационной безопасностью Российской Федерации понимается состояние защищенности национальных интересов Российской Федерации в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства.

Информационная сфера представляет собой совокупность информационных ресурсов и информационной инфраструктуры объекта защиты.

Совокупность хранимой, обрабатываемой и передаваемой информации, используемой для обеспечения процессов управления, называют информационным ресурсом.

К информационным ресурсам относятся:

· информационные ресурсы предприятий оборонного комплекса, содержащие сведения об основных направлениях развития вооружения, о научно-техническом и производственном потенциале, об объемах поставок и запасах стратегических видов сырья и материалов;

· информационное обеспечение систем управления и связи;

· информация о фундаментальных и прикладных НИР, имеющих государственное значение и др.

Информационная инфраструктура – это совокупность информационных подсистем, центров управления, аппаратно-программных средств и технологий обеспечения сбора, хранения, обработки и передачи информации.

Информационная инфраструктура включает:

· информационную инфраструктуру центральных, местных органов государственного управления, научно-исследовательских учреждений;

· информационную инфраструктуру предприятий оборонного комплекса и научно-исследовательских учреждений, выполняющих государственные оборонные заказы либо занимающихся оборонной проблематикой;

· программно-технические средства автоматизированных и автоматических систем управления и связи.

Под угрозой безопасности информации понимается совокупность условий и факторов, создающих потенциальную или реально существующую опасность, связанную с утечкой информации и (или) несанкционированными и (или) непреднамеренными воздействиями на нее. Угрозы информационной безопасности Российской Федерации подразделяются на внешние и внутренние.

Внешними угрозами, представляющими наибольшую опасность для объектов обеспечения, являются:

· все виды разведывательной деятельности зарубежных государств;

· информационно-технические воздействия (в том числе радиоэлектронная борьба, проникновение в компьютерные сети);

· диверсионно-подрывная деятельность специальных служб иностранных государств, осуществляемая методами информационно-психологического воздействия;

· деятельность иностранных политических, экономических и военных структур, направленная против интересов Российской Федерации в сфере обороны.

К внутренним угрозам, которые будут представлять особую опасность в условиях обострения военно-политической обстановки, относятся:

· нарушение установленного регламента сбора, обработки, хранения и передачи информации, находящейся в штабах и учреждениях силовых структур Российской Федерации, на предприятиях оборонного комплекса;

· преднамеренные действия, а также ошибки персонала информационных и телекоммуникационных систем специального назначения;

· ненадежное функционирование информационных и телекоммуникационных систем специального назначения;

· возможная информационно-пропагандистская деятельность, подрывающая престиж силовых структур Российской Федерации и их боеготовность;

· нерешенность вопросов защиты интеллектуальной собственности предприятий оборонного комплекса, приводящая к утечке за рубеж ценнейших государственных информационных ресурсов.

К угрозам безопасности уже развернутых и создаваемых информационных и телекоммуникационных средств и систем относятся:

· противоправные сбор и использование информации;

· нарушения технологии обработки информации;

· внедрение в аппаратные и программные изделия компонентов, реализующих функции, не предусмотренные документацией на эти изделия;

· разработка и распространение программ, нарушающих нормальное функционирование информационных и информационно-телекоммуникационных систем, в том числе систем защиты информации;

· уничтожение, повреждение, радиоэлектронное подавление или разрушение средств и систем обработки информации, телекоммуникации и связи;

· воздействие на парольно-ключевые системы защиты автоматизированных систем обработки и передачи информации;

· компрометация ключей и средств криптографической защиты информации;

· утечка информации по техническим каналам;

· внедрение электронных устройств, предназначенных для перехвата информации, в технические средства обработки, хранения и передачи информации по каналам связи, а также в служебные помещения органов государственной власти, предприятий, учреждений и организаций независимо от формы собственности;

· уничтожение, повреждение, разрушение или хищение машинных и других носителей информации;

· перехват информации в сетях передачи данных и на линиях связи, дешифрование этой информации и навязывание ложной информации;

· использование несертифицированных отечественных и зарубежных информацион­ных технологий, средств защиты информации, средств информатизации, телекоммуникации и связи при создании и развитии российской информационной инфраструктуры;

· несанкционированный доступ к информации, находящейся в банках и базах данных;

· нарушение законных ограничений на распространение информации.

Основными направлениями совершенствования системы обеспечения информационной безопасности Российской Федерации являются:

· систематическое выявление угроз и их источников, структуризация целей обеспечения информационной безопасности и определение соответствующих практических задач;

· проведение сертификации общего и специального программного обеспечения, пакетов прикладных программ и средств защиты информации в существующих и создаваемых автоматизированных системах управления и связи, имеющих в своем составе элементы вычислительной техники;

· постоянное совершенствование средств защиты информации, развитие защищенных систем связи и управления, повышение надежности специального программного обеспечения;

· совершенствование структуры функциональных органов системы, координация их взаимодействия.

Оценка состояния информационной безопасности базируется на анализе источников угроз (потенциальной возможности нарушения защиты).

Деятельность, направленную на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на нее, называют защитой информации. Объектом защиты является информация или носитель информации, или информационный процесс, которые нужно защищать.

Защита информации организуется по трем направлениям: от утечки, от несанкционированного воздействия и от непреднамеренного воздействия (см. рис. 4.1).

Первое направление – защита информации от утечки – деятельность, направленная на предотвращение неконтролируемого распространения защищаемой информации в результате ее разглашения, несанкционированного доступа к информации и получения защищаемой информации разведками.

Защита информации от разглашения направлена на предотвращение несанкционированного доведения ее до потребителя, не имеющего права доступа к этой информации.

Защита информации от несанкционированного доступа направлена на предотвращение получения информации заинтересованным субъектом с нарушением установленных правовыми документами или собственником, владельцем информации прав или правил доступа к защищаемой информации. Заинтересованным субъектом, осуществляющим несанкционированный доступ к защищаемой информации, может быть: государство; юридическое лицо; группа физических лиц, в том числе общественная организация; отдельное физическое лицо.

Защита информации от технической разведки направлена на предотвращение получения информации разведкой с помощью технических средств.

Второе направление – защита информации от несанкционированного воздействия – деятельность, направленная на предотвращение воздействия на защищаемую информацию с нарушением установленных прав и (или) правил на изменение информации, приводящего к ее искажению, уничтожению, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.

Третье направление – защита информации от непреднамеренного воздействия – деятельность, направленная на предотвращение воздействия на защищаемую информацию ошибок ее пользователя, сбоя технических и программных средств информационных систем, природных явлений или иных мероприятий, приводящих к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате уничтожению или сбою функционирования носителя информации.

Организовать защиту информации – значит создать систему защиты информации, а также разработать мероприятия по защите и контролю эффективности защитыинформации (см. рис. 4.2).

Рис. 4.2. Основная схема защиты информации

Объективно категория «информационная безопасность» возникла с появлением средств информационных коммуникаций между людьми, а также с осознанием человеком наличия у людей и их сообществ интересов, которым может быть нанесен ущерб путём воздействия на средства информационных коммуникаций, наличие и развитие которых обеспечивает информационный обмен между всеми элементами социума.

Информационная безопасность - защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений. Поддерживающая инфраструктура - системы электро-, тепло-, водо-, газоснабжения, системы кондиционирования и т.д., а также обслуживающий персонал. Неприемлемый ущерб - ущерб, которым нельзя пренебречь.

В то время как информационная безопасность - это состояние защищённости информационной среды, защита информации представляет собой деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию , то есть процесс , направленный на достижение этого состояния .

Информационная безопасность организации - состояние защищённости информационной среды организации, обеспечивающее её формирование, использование и развитие.

Информационная безопасность государства - состояние сохранности информационных ресурсов государства и защищенности законных прав личности и общества в информационной сфере.

В современном социуме информационная сфера имеет две составляющие : информационно-техническую (искусственно созданный человеком мир техники, технологий и т. п.) и информационно-психологическую (естественный мир живой природы, включающий и самого человека).

Информационная безопасность - защита конфиденциальности, целостности и доступности информации.

1. Конфиденциальность : свойство информационных ресурсов, в том числе информации, связанное с тем, что они не станут доступными и не будут раскрыты для неуполномоченных лиц.

2. Целостность : свойство информационных ресурсов, в том числе информации, определяющее их точность и полноту.

3. Доступность : свойство информационных ресурсов, в том числе информации, определяющее возможность их получения и использования по требованию уполномоченных лиц.

Системный подход к описанию информационной безопасности предлагает выделить следующие составляющие информационной безопасности :

1. Законодательная, нормативно-правовая и научная база.

2. Структура и задачи органов (подразделений), обеспечивающих безопасность ИТ.

3. Организационно-технические и режимные меры и методы (Политика информационной безопасности).

4. Программно-технические способы и средства обеспечения информационной безопасности.

Учитывая влияние на трансформацию идей информационной безопасности, в развитии средств информационных коммуникаций можно выделить несколько этапов :

Ø I этап - до 1816 года - характеризуется использованием естественно возникавших средств информационных коммуникаций . В этот период основная задача информационной безопасности заключалась в защите сведений о событиях, фактах, имуществе, местонахождении и других данных, имеющих для человека лично или сообщества, к которому он принадлежал, жизненное значение .

Ø II этап - начиная с 1816 года - связан с началом использования искусственно создаваемых технических средств электро- и радиосвязи . Для обеспечения скрытности и помехозащищенности радиосвязи необходимо было использовать опыт первого периода информационной безопасности на более высоком технологическом уровне, а именно применение помехоустойчивого кодирования сообщения (сигнала) с последующим декодированием принятого сообщения (сигнала).

Ø III этап - начиная с 1935 года - связан с появлением радиолокационных и гидроакустических средств. Основным способом обеспечения информационной безопасности в этот период было сочетание организационных и технических мер, направленных на повышение защищенности радиолокационных средств от воздействия на их приемные устройства активными маскирующими и пассивными имитирующими радиоэлектронными помехами.

Ø IV этап - начиная с 1946 года - связан с изобретением и внедрением в практическую деятельность электронно-вычислительных машин (компьютеров). Задачи информационной безопасности решались, в основном, методами и способами ограничения физического доступа к оборудованию средств добывания, переработки и передачи информации .

Ø V этап - начиная с 1965 года - обусловлен созданием и развитием локальных информационно-коммуникационных сетей . Задачи информационной безопасности также решались, в основном, методами и способами физической защиты средств добывания, переработки и передачи информации, объединённых в локальную сеть путём администрирования и управления доступом к сетевым ресурсам .

Ø VI этап - начиная с 1973 года - связан с использованием сверхмобильных коммуникационных устройств с широким спектром задач . Угрозы информационной безопасности стали гораздо серьёзнее. Для обеспечения информационной безопасности в компьютерных системах с беспроводными сетями передачи данных потребовалась разработка новых критериев безопасности. Образовались сообщества людей - хакеров , ставящих своей целью нанесение ущерба информационной безопасности отдельных пользователей, организаций и целых стран. Информационный ресурс стал важнейшим ресурсом государства, а обеспечение его безопасности - важнейшей и обязательной составляющей национальной безопасности. Формируется информационное право - новая отрасль международной правовой системы.

Ø VII этап - начиная с 1985 года - связан с созданием и развитием глобальных информационно-коммуникационных сетей с использованием космических средств обеспечения . Можно предположить что очередной этап развития информационной безопасности, очевидно, будет связан с широким использованием сверхмобильных коммуникационных устройств с широким спектром задач и глобальным охватом в пространстве и времени, обеспечиваемым космическими информационно-коммуникационными системами. Для решения задач информационной безопасности на этом этапе необходимо создание макросистемы информационной безопасности человечества под эгидой ведущих международных форумов .

Словосочетание в разных контекстах может иметь различный смысл. В Доктрине информационной безопасности Российской Федерации термин "информационная безопасность" используется в широком смысле. Имеется в виду состояние защищенности национальных интересов в информационной сфере, определяемых совокупностью сбалансированных интересов личности, общества и государства.

В Законе РФ "Об участии в международном информационном обмене" (закон утратил силу, в настоящее время действует "Об информации, информационных технологиях и о защите информации") информационная безопасность определяется аналогичным образом – как состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства.

В данном курсе наше внимание будет сосредоточено на хранении, обработке и передаче информации вне зависимости от того, на каком языке (русском или каком-либо ином) она закодирована, кто или что является ее источником и какое психологическое воздействие она оказывает на людей. Поэтому термин "информационная безопасность" будет использоваться в узком смысле, так, как это принято, например, в англоязычной литературе.

Под информационной безопасностью мы будем понимать защищенность информации и от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры . (Чуть дальше мы поясним, что следует понимать под поддерживающей инфраструктурой .)

Защита информации – это комплекс мероприятий, направленных на обеспечение информационной безопасности.

Таким образом, правильный с методологической точки зрения подход к проблемам информационной безопасности начинается с выявления субъектов информационных отношений и интересов этих субъектов, связанных с использованием информационных систем (ИС). Угрозы информационной безопасности – это оборотная сторона использования информационных технологий.

Из этого положения можно вывести два важных следствия:

1. Трактовка проблем, связанных с информационной безопасностью , для разных категорий субъектов может существенно различаться. Для иллюстрации достаточно сопоставить режимные государственные организации и учебные институты. В первом случае "пусть лучше все сломается, чем враг узнает хоть один секретный бит", во втором – "да нет у нас никаких секретов, лишь бы все работало".
2. Информационная безопасность не сводится исключительно к защите от несанкционированного доступа к информации, это принципиально более широкое понятие. Субъект информационных отношений может пострадать (понести убытки и/или получить моральный ущерб) не только от несанкционированного доступа, но и от поломки системы, вызвавшей перерыв в работе. Более того, для многих открытых организаций (например, учебных) собственно защита от несанкционированного доступа к информации стоит по важности отнюдь не на первом месте.

Возвращаясь к вопросам терминологии, отметим, что термин "компьютерная безопасность " (как эквивалент или заменитель ИБ ) представляется нам слишком узким. Компьютеры – только одна из составляющих информационных систем, и хотя наше внимание будет сосредоточено в первую очередь на информации, которая хранится, обрабатывается и передается с помощью компьютеров, ее безопасность определяется всей совокупностью составляющих и, в первую очередь , самым слабым звеном , которым в подавляющем большинстве случаев оказывается человек (записавший, например, свой пароль на "горчичнике", прилепленном к монитору).

Согласно определению информационной безопасности, она зависит не только от компьютеров, но и от поддерживающей инфраструктуры , к которой можно отнести системы электро-, водо- и теплоснабжения, кондиционеры, средства коммуникаций и, конечно, обслуживающий персонал. Эта инфраструктура имеет самостоятельную ценность, но нас будет интересовать лишь то, как она влияет на выполнение информационной системой предписанных ей функций.

Обратим внимание, что в определении ИБ перед существительным " ущерб " стоит прилагательное "неприемлемый". Очевидно, застраховаться от всех видов ущерба невозможно, тем более невозможно сделать это экономически целесообразным способом, когда стоимость защитных средств и мероприятий не превышает размер ожидаемого ущерба. Значит, с чем-то приходится мириться и защищаться следует только от того, с чем смириться никак нельзя. Иногда таким недопустимым ущербом является нанесение вреда здоровью людей или состоянию окружающей среды, но чаще порог неприемлемости имеет материальное (денежное) выражение , а целью защиты информации становится уменьшение размеров ущерба до допустимых значений.