Информационные технологии управления

       

Основные понятия


Дадим несколько определений. Защита информации — это средства обеспечения безопасности информации. Безопасность информации — защита информации от утечки, модификации и утраты. По существу, сфера безопасности информации — не защита информации, а защита прав собственности на нее и интересов субъектов информационных отношений. Утечка информации- ознакомление постороннего лица с содержанием секретной информации. Модификация информации — несанкционированное изменение информации, корректное по форме и содержанию, но другое по смыслу. Утрата информации — физическое уничтожение информации.

Цель защиты информации — противодействие угрозам безопасности информации. Угроза безопасности информации — действие или событие, которое может привести к разрушению, искажению или несанкционированному использованию информационных ресурсов (т. е. к утечке, модификации и утрате), включая хранимую, передаваемую и обрабатываемую информацию, а также программные и аппаратные средства. Поэтому для обеспечения безопасности информации необходима защита всех сопутствующих компонентов информационных отношений (т. е. компонентов информационных технологий и автоматизированных систем, используемых субъектами информационных отношений):

  • оборудования (технических средств);
  • программ (программных средств);
  • данных (информации);
  • персонала.
  • С этой целью в соответствующих организациях и на соответствующих объектах строится система защиты. Система защиты — это совокупность (комплекс) специальных мер правового (законодательного) и административного характера, организационных мероприятий, физических и технических (программно-аппаратных) средств защиты, а также специального персонала, предназначенных для обеспечения безопасности информации, информационных технологий и автоматизированной системы в целом. Для построения эффективной системы защиты необходимо провести следующие работы:

    1) определить угрозы безопасности информации;

    2) выявить возможные каналы утечки информации и несанкционированного доступа (НСД) к защищаемым данным;


    3) построить модель потенциального нарушителя;

    4)  выбрать соответствующие меры, методы, механизмы и средства защиты;

    5)  построить замкнутую, комплексную, эффективную систему защиты, проектирование которой начинается с проектирования самих автоматизированных систем и технологий.

    При проектировании существенное значение придается предпроектному обследованию объекта. На этой стадии:

    • устанавливается наличие секретной (конфиденциальной) информации в разрабатываемой АИТУ, оценивается уровень ее конфиденциальности и объем;


    • определяются режимы обработки информации (диалоговый, телеобработка и режим реального времени), состав комплекса технических средств и т. д.;


    • анализируется возможность использования имеющихся на рынке сертифицированных средств защиты информации;


    • определяется степень участия персонала, функциональных служб, специалистов и вспомогательных работников объекта автоматизации в обработке информации, характер их взаимодействия между собой и со службой безопасности;


    • определяются мероприятия по обеспечению режима секретности на стадии разработки.


    • Для создания эффективной системы защиты разработан ряд стандартов. Главная задача стандартов информационной безопасности — создать основу для взаимодействия между производителями, потребителями и экспертами по квалификации продуктов информационных технологий. Каждая из этих групп имеет свои интересы и взгляды на проблему информационной безопасности.

      Наиболее значимыми стандартами информационной безопасности являются (в хронологическом порядке): Критерии безопасности компьютерных систем Министерства обороны США («Оранжевая книга»), Руководящие документы Гостехкомиссии России, Европейские критерии безопасности информационных технологий, Федеральные критерии безопасности информационных технологий США, Канадские критерии безопасности компьютерных систем и Единые критерии безопасности информационных технологий.

       


      Содержание раздела