• Лекция №1

    • 1.1 Понятие информационной безопасности 

      Информация - самый ценный ресурс в компании, а в некоторых случаях является и производственным ресурсом, от сохранности которого зависят важные технологические процессы. С развитием информационных технологий увеличивается риск утечки информации, заражение вирусами, вмешательства в работу системы. 

      Информация существует в различных формах. Ее можно хранить на компьютерах, передавать по вычислительным сетям, распечатывать или записывать на бумаге, а также озвучивать в разговорах. С точки зрения безопасности все виды информации, включая бумажную документацию, базы данных, пленки, микрофильмы, модели, магнитные ленты, дискеты, разговоры и другие способы, используемые для передачи знаний и идей, требуют надлежащей защиты. 

      Защитные меры оказываются значительно более дешевыми и эффективными, если они встроены в информационные системы и сервисы на стадиях задания требований и проектирования. Чем скорее организация примет меры по защите своих информационных систем, тем более дешевыми и эффективными они будут для нее впоследствии. 

      Словосочетание «информационная безопасность» в разных контекстах может иметь различный смысл.

      В широком смысле информационная безопасность (ИБ) – это состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства. 

      В данном курсе наше внимание будет сосредоточено на хранении, обработке и передаче информации вне зависимости от того, каким образом она закодирована, кто или что является ее источником. Поэтому термин «информационная безопасность» будет использоваться в узком смысле. 

      Под информационной безопасностью в узком смысле мы будем понимать защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственно- 15 го характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуре. (Чуть дальше мы поясним, что следует понимать под поддерживающей инфраструктурой.) 

      Защита информации — это комплекс мероприятий, направленных на обеспечение информационной безопасности.

      1.2 Объект защиты информации 

      Объектом защиты информации является информационная система (предприятия, коммерческой организации) или автоматизированная система обработки данных. Что же понимается под этим термином? 

      В большинстве изданий по ИБ под ИС понимается комплекс аппаратных и программных средств, предназначенных для автоматизированного сбора, хранения, обработки, передачи и получения информации. 

      Наряду с термином "информация" применительно к ИС часто используют термин "данные". Используется и другое понятие "информационные ресурсы". Под информационными ресурсами понимаются отдельные документы и отдельные массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных и других информационных системах). 

      Понятие ИС очень широкое и оно охватывает следующие системы: 

      • ЭВМ всех классов и назначений; 

      • вычислительные комплексы и системы; 

      • вычислительные сети (локальные, региональные и глобальные). 

      Такой широкий диапазон систем объединяется одним понятием по двум причинам: 

      во-первых, для всех этих систем основные проблемы защиты информации являются общими; 

      во-вторых, более мелкие системы являются элементами более крупных систем. 

      Если защита информации в каких-либо системах имеет свои особенности, то они рассматриваются отдельно. 

      Предметом защиты в ИС является информация. Материальной основой существования информации в ИС являются электронные и электромеханические устройства (подсистемы), а также машинные носители. С помощью устройств ввода или систем передачи данных (СПД) информация попадает в ИС. В системе информация хранится в запоминающих устройствах (ЗУ) различных уровней, преобразуется (обрабатывается) процессорами (ПЦ) и выводится из системы с помощью устройств вывода или СПД. В качестве машинных носителей используются магнитные ленты, диски различных типов, флеш-накопители. Ранее в качестве машинных носителей информации использовались бумажные перфокарты и перфоленты, магнитные барабаны и карты. Большинство типов машинных носителей информации являются съемными, т.е. могут сниматься с устройств и использоваться или храниться (ленты, диски, флеш) отдельно от устройств.

      Информационная система — взаимосвязанная совокупность средств, методов и персонала, которые используются для хранения, обработки, передачи и получения информации в интересах достижения поставленной цели. 

      При решении проблемы защиты информации в ИС необходимо учитывать также противоречивость человеческого фактора системы. Обслуживающий персонал и пользователи могут быть как объектом, так и источником несанкционированного воздействия на информацию. 

      Понятие "объект защиты" или "объект" чаще трактуется в более широком смысле. Для сосредоточенных ИС или элементов распределенных систем понятие "объект" включает в себя не только информационные ресурсы, аппаратные, программные средства, обслуживающий персонал, пользователей, но и помещения, здания, и даже прилегающую к зданиям территорию. 

      Одними из основных понятий теории защиты информации являются понятия "безопасность информации" и "защищенные ИС"

      Безопасность (защищенность) информации в ИС – это такое состояние всех компонент информационной системы, при котором обеспечивается защита информации от возможных угроз на требуемом уровне. ИС, в которых обеспечивается безопасность информации, называются защищенными. 

      Безопасность информации в ИС (информационная безопасность) является одним из основных направлений обеспечения безопасности государства, отрасли, ведомства, государственной организации или частной фирмы.

       Информационная безопасность достигается проведением руководством соответствующего уровня политики информационной безопасности. Одноименный документ разрабатывается и принимается как официальный руководящий документ, ведомством, организацией. В документе приводятся цели политики информационной безопасности и основные направления решения задач защиты информации в ИС. В программах информационной безопасности содержатся также общие требования и принципы построения систем защиты информации в ИС.

      Под системой защиты информации в ИС понимается единый комплекс правовых норм, организационных мер, технических, программных и криптографических средств, обеспечивающий защищенность информации в ИС в соответствии с принятой политикой безопасности.

      1.3 Основные составляющие информационной безопасности Информационная безопасность — многогранная область деятельности, в которой успех может принести только систематический, комплексный подход. 

      Цель информационной безопасности – обеспечить бесперебойную работу организации и свести к минимуму ущерб от событий, таящих угрозу безопасности, посредством их предотвращения и сведения последствий к минимуму. 

      Основными задачами и составляющими ИБ является: обеспечение доступности, целостности и конфиденциальности информационных ресурсов и поддерживающей инфраструктуры. 

      Поясним понятия доступности, целостности и конфиденциальности. 

      Доступность — это возможность за приемлемое время получить требуемую информационную услугу. 

      Под целостностью информации подразумевается, ее защищенность от разрушения и несанкционированного изменения. 

      Наконец, конфиденциальность — это защита от несанкционированного доступа к информации. 

      Информационные системы создаются (приобретаются) для получения определенных информационных услуг. Если по тем или иным причинам предоставить эти услуги пользователям становится невозможно, это, очевидно, наносит ущерб всем субъектам информационных отношений. Поэтому, не противопоставляя доступность остальным аспектам, мы выделяем ее как важнейший элемент информационной безопасности.

      1.4 Управление информационной безопасностью 

      Обеспечение ИБ – это непрерывный процесс, основное содержание которого составляет управление. ИБ невозможно обеспечить разовым мероприятием, поскольку средства защиты нуждаются в постоянном контроле и обновлении. 

      Управление информационной безопасностью – это управление людьми, рисками, ресурсами, средствами защиты и т.п. УИБ является неотъемлемым элементом управления предприятием и позволяет коллективно использовать конфиденциальную информацию, обеспечивая при этом ее защиту, а так же защиту вычислительных ресурсов.

       Управление информационной безопасностью - это циклический процесс, включающий: 

      •осознание степени необходимости защиты информации; 

      • сбор и анализ данных о состоянии информационной безопасности в организации; 

      •оценку информационных рисков; 

      •планирование мер по обработке рисков; 

      •реализацию и внедрение соответствующих механизмов контроля; •распределение ролей и ответственности; 

      •обучение и мотивацию персонала; 

      •оперативную работу по осуществлению защитных мероприятий; 

      •мониторинг функционирования механизмов контроля, 

      •оценку их эффективности и соответствующие корректирующие воздействия. 

      Для обеспечения необходимого уровня информационной безопасности (предприятия, учреждения и т.д.) на предприятии создается комплексная система управления информационной безопасностью (СУИБ). Конечной целью создания такой системы является предотвращение или минимизация ущерба (прямого или косвенного, материального, морального или иного), преднамеренно наносимого злоумышленниками либо непреднамеренно - нерадивыми работниками предприятия посредством нежелательного воздействия на информацию, ее носители и процессы обработки.