Информационная безопасность

Информац?йна безп?ка ( англ. Information Security ) - Состояние информации, в котором обеспечивается сохранение определенных политикой безопасности свойств информации.


1. Составляющие информационной безопасности

Составляющие информационной безопасности или такие существенные свойства, как: конфиденциальность ( англ. C onfidentiality, privacy ), целостность ( англ. I ntegrity ), доступность ( англ. A vailability ) - Триада CIA. Информационные системы можно разделить на три части: программное обеспечение, аппаратное обеспечение и коммуникации с целью целевого применения (как механизма защиты и предупреждения) стандартов информационной безопасности. Сами механизмы защиты реализуются на трех уровнях или слоях: Физический, Личностный, Организационный. По сути, реализация политик и процедур безопасности призвана предоставлять информацию администраторам, пользователям и операторам о том как правильно использовать готовые решения для обеспечения безопасности


2. История

Объективно категория "информационная безопасность" возникла с появлением средств информационных коммуникаций между людьми, а также с осознанием человеком наличия у людей и их сообществ интересов, которым может быть нанесен ущерб путем воздействия на средства информационных коммуникаций, наличие и развитие которых обеспечивает информационный обмен между всеми элементами социума.

Учитывая влияние на трансформацию идей информационной безопасности, в развитии средств информационных коммуникаций можно выделить несколько этапов [1] :

  • I этап - до 1816 года - характеризуется использованием естественно возникающих средств информационных коммуникаций. В этот период основная задача информационной безопасности заключалась в защите сведений о событиях, фактах, имущество, местонахождение и другие данные, имеющие для человека лично или сообщества, к которому она принадлежала, жизненное значение.
  • II этап - начиная с 1816 года - связан с началом использования искусственно создаваемых технических средств электро-и радиосвязи. Для обеспечения скрытности и помехоустойчивости радиосвязи необходимо было использовать опыт первого периода информационной безопасности на высоком технологическом уровне, а именно применение помехоустойчивого кодирования сообщения (сигнала) с последующим декодированием принятого сообщения ( сигнала).
  • III этап - начиная с 1935 года - связан с появлением средств радиолокационных и гидроакустики. Основным способом обеспечения информационной безопасности в этот период было сочетание организационных и технических мероприятий, направленных на повышение защищенности радиолокационных от воздействия на их приемные устройства активными маскирующими и пассивными имитирующими радиоэлектронными помехами.
  • IV этап - начиная с 1946 года - связан с изобретением и внедрением в практическую деятельность электронно-вычислительных машин ( компьютеров). Задачи информационной безопасности решались, в основном, методами и способами ограничения физического доступа к оборудованию средств добывания, переработки и передачи информации.
  • V этап - начиная с 1965 года - обусловлен созданием и развитием локальных информационно-коммуникационных сетей. Задачи информационной безопасности также решались, в основном, методами и способами физической защиты средств добывания, переработки и передачи информации, объединенных в локальную сеть путем администрирования и управления доступом к сетевым ресурсам.
  • VI этап - начиная с 1973 года - связан с использованием надмобильних коммуникационных устройств с широким спектром задач. Угрозы информационной безопасности стали намного серьезнее. Для обеспечения информационной безопасности в компьютерных системах с беспроводными сетями передачи данных потребовалось разработать новые критерии безопасности. Образовались сообщества людей - хакеров, ставящих своей целью нанесение ущерба информационной безопасности отдельных пользователей, организаций и целых стран. Информационный ресурс стал важнейшим ресурсом государства, а обеспечение его безопасности - важнейшей и обязательной составляющей национальной безопасности. Формируется информационное право - новая отрасль международной правовой системы.
  • VII этап - начиная с 1985 года - связан с созданием и развитием глобальных информационно-коммуникационных сетей с использованием космических средств обеспечения. Можно предположить что очередной этап развития информационной безопасности, очевидно, будет связан с широким использованием надмобильних коммуникационных устройств с широким спектром задач и глобальным охватом в пространстве и времени, обеспечиваемым космическими информационно-коммуникационными системами. Для решения задач информационной безопасности на этом этапе необходимо создание макросистемы информационной безопасности человечества под эгидой ведущих международных форумов.

3. Базовые понятия

3.1. Определение

Подробнее в статье Информационная безопасность государства

Информационная безопасность государства - состояние защищенности жизненно важных интересов человека, общества и государства, при котором предотвращается нанесение вреда через: неполноту, несвоевременность и недостоверность информации, используемой; негативное информационное влияние; негативные последствия применения информационных технологий; несанкционированное распространение, использование и нарушение целостности, конфиденциальности и доступности информации. [2]

Информационная безопасность организации - целенаправленная деятельность его органов и должностных лиц с использованием разрешенных сил и средств по достижению состояния защищенности информационной среды организации, что обеспечивает ее нормальное функционирование и динамичное развитие.

Информационная безопасности личности характеризуется как состояние защищенности личности, разнообразных социальных групп и объединений людей от воздействий, способных против их воли и желания изменять психические состояния и психологические характеристики человека, модифицировать его поведение и ограничивать свободу выбора [3].


3.2. Стандартизированное определение

Информационная безопасность (information security) - сохранение конфиденциальности, целостности и доступности информации, кроме того, могут учитываться другие свойства, такие, как аутентичность, прослеживаемость, неопровержимость и надежность [4].

3.3. Существенные (с позиций ИБ) свойства информации

Для характеристики основных свойств информации как объекта защиты часто используется модель CIA [5] :

  • Конфиденциальность ( англ. confidentiality ) - Свойство информации, которая заключается в том, что информация не может быть получена неавторизованным пользователем
  • Целостность ( англ. integrity ) - Означает невозможность модификации неавторизованным пользователем
  • Доступность ( англ. availability ) - Свойство информации быть полученной авторизованным пользователем, при наличии у него соответствующих полномочий, в необходимый для него время

Дополнительно также используют следующие свойства:

  • Призывов ( англ. non-repudiation ) - Возможность доказать, что автором является именно заявленная человек (юридическое лицо), и никто другой.
  • Подотчетность ( англ. accountability ) - Свойство информационной системы, позволяющей фиксировать деятельность пользователей, использования ими пассивных объектов и однозначно устанавливать авторов определенных действий в системе.
  • Достоверность ( англ. reliability ) - Свойство информации, которая определяет степень объективного, точного отражения событий, фактов, имевших место.
  • Аутентичность ( англ. authenticity ) - Свойство, которое гарантирует, что субъект или ресурс идентичны заявленным.

4. Обеспечение ИБ

4.1. Обеспечение ИБ государства

Согласно украинскому законодательству [2], решение проблемы информационной безопасности должно осуществляться путем:


4.2. Обеспечение ИБ предприятия / организации

В Украину обеспечения ИБ осуществляется путем защиты информации - в случае, когда необходимость защиты информации определена законодательством в области СО. Для реализации защиты информации создается Комплексная система защиты информации (КСЗИ).

Или, в случае, когда субъект ИБ намерен разработать и реализовать политику ИБ и может реализовывать их без нарушения требований законодательства:

  • международным стандартам ISO: ISO / IEC 17799:2005, ISO / IEC 27001:2005 и др.. - Для поддержки решений на основе ITIL и COBIT и выполнение требований англ. Sarbanes-Oxley Act (Акта Сербайнза-Окли об ответственности акционеров за осведомленность о состоянии своих активов). Тогда на предприятии создается Система управления информационной безопасностью (СУИБ), которая должна соответствовать всем требованиям международных стандартов в области ИБ.
  • собственными разработками.

4.3. Обеспечение ИБ личности

4.4. Органы (подразделения) обеспечения ИБ

Международные организации
Государственные органы
Подразделения предприятия

На предприятии функцию обеспечения ИБ может выполнять как отдельный отдел Службы безопасности предприятия, так и отдельная Служба ( Служба защиты информации).

Для контроля за КСЗИ в обязательном порядке создается Служба защиты информации в информационно-телекоммуникационной системе (название "Служба" не является обязательной).

Функции по контролю за СУИБ полагаются на определенный отдел предприятия.


5. Законодательные требования и регулирования ИБ

См.. также