В настоящее время вопросам обеспечения безопасности информации уделяется все большее и большее внимание. Это связано с тем, что информация в жизни общества, в эффективном функционировании фирмы (организации) играет важную роль, а в некоторых случаях и определяющую. Так, по оценкам специалистов в области информационной безопасности следует, что если фирма (организация) допускает утечку 20 и более процентов важной информации, то такая фирма (организация) в 60 случаях из 100 банкротится. Поэтому экономически развитые страны в настоящее время тратят большие деньги на обеспечение безопасности, в том числе и информационной. Так, например, на содержание службы безопасности эти страны сегодня тратят в среднем до 25% годовой прибыли в год. У нас фирмы (организации) расходуют на эти цели менее 1%.И надо сказать, что руководители этих фирм не испытывают большой радости, тратя такие деньги на обеспечение безопасности. Их заставляет жизнь. Серьезная конкуренция. Подтверждением этому служат и данные государственного департамента США. Так, стоимость устройств подслушивания, проданных в СЩА, составляет около 900 млн. долларов в год. При этом стоимость аппаратуры, применяемой против частных лиц - порядка 530 млн. долларов, против корпораций и им равных - 370 млн. долларов. Урон, нанесенный корпорациям, против которых осуществлялось прослушивание, составляет более 8000 млн. дол. Все это говорит о том, что проблема обеспечения безопасности информации остается очень острой и ее нужно решать. Чтобы в дальнейшем было понятно, о чем идет речь, необходимо уяснить некоторые термины и определения в области информационной безопасности, которые облегчают восприятие материала. В настоящее время существует некоторая база таких терминов и определений. Есть государственный стандарт РФ - "Защита информации". Основные термины и определения". Но, к сожалению, этот стандарт посвящен только вопросам защиты информации, как процессу. Он не охватывает другие области информационной безопасности. Справедливости ради необходимо отметить большую работу, проведенную ВНИИ стандарт по созданию справочника "Терминология в области защиты информации", где представлено большое количество терминов и определений в области информационной безопасности. Большинство из них понятны и ими можно и нужно пользоваться. Некоторые требуют уточнения. Но в целом это уже база терминов и определений, позволяющая специалистам разговаривать на одном языке и понимать друг друга. Итак, прежде чем вести речь об обеспечении безопасности информации, есть смысл дать определение, а что такое безопасность информации, рассмотреть требования к ней, угрозы для безопасности информации. Под безопасностью информации (здесь и далее) понимается состояние уровня защищенности, обеспечивающего защиту от несанкционированного доступа к ее содержанию и нарушения целостности информации. Безопасность информации должна отвечать требованиям: конфиденциальности, целостности (рис.1).Конфиденциальность - способность информации обеспечивать защиту от несанкционированного доступа к ее содержанию. Целостность - способность информации обеспечивать защиту от несанкционированного ее уничтожения и модификации. Модификация может быть преднамеренной и случайной. Под модификацией информации понимается подделка, изменение ее содержания или объема. В качестве угроз безопасности информации могут быть: утечка блокирование нарушение целостности. Блокирование информации - потеря санкционированного доступа к ней. Утечка информации - результат несанкционированного ознакомления с нею. Согласно ГОСТа Р 50922-96:Защита информации - деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию. Защита информации от утечки - деятельность, направленная на предотвращение неконтролируемого распространения защищаемой информации в результате ее разглашения, несанкционированного доступа к информации и получения защищаемой информации разведками. Защита информации от несанкционированного воздействия - деятельность, направленная на предотвращение воздействия на защищаемую информацию с нарушением установленных прав и (или) правил на изменение информации, приводящего к ее искажению, уничтожению, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации. Защита информации от непреднамеренного воздействия - деятельность, направленная на предотвращение воздействия на защищаемую информацию, ошибок ее пользователя, сбоя технических и программных средств информационных систем, природных явлений или иных нецеленаправленных на изменение информации мероприятий, приводящих к искажению, а также к утрате, уничтожению или сбою функционирования носителя информацииТаким образом, в данной статье даны некоторые понятия в области информационной безопасности, которые помогут уяснить суть излагаемых вопросов в последующих статьях. В дальнейших выпусках журнала планируется рассмотреть следующие вопросы. О комплексном подходе к обеспечению безопасности информации защита информации о самом объекте организация пропускного режима - первый шаг к обеспечению безопасности информации на объекте организация конфиденциального делопроизводства - важная составная часть обеспечения безопасности информации защита информации на объектах технических средств обработки информации защита информации в выделенных помещениях защита информации в каналах связи организация контроля состояния безопасности информации эффективность системы защиты информации. Показатели, критерии оценки. Автор надеется, что данный материал поможет специалистам более эффективно решать вопросы обеспечения безопасности информации.
|