ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ. УГРОЗЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

От степени безопасности информационных технологий в настоящее время зависит благополучие, а порой и жизнь многих людей. Такова плата за усложнение и повсеместное распространение автоматизированных систем обработки информации.

Под информационной безопасностью понимается защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры.

На практике важнейшими являются три аспекта информационной безопасности:

· доступность информации, то есть свойство системы (среды, средств и технологии ее обработки), в которой циркулирует информация, характеризующееся способностью обеспечивать своевременный беспрепятственный доступ субъектов к интересующей их информации и готовность соответствующих автоматизированных служб к обслуживанию поступающих от субъектов запросов всегда, когда в обращении к ним возникает необходимость;

· целостность информации, то есть свойство информации, заключающееся в ее существовании в неискаженном виде (неизменном по отношению к некоторому фиксированному ее состоянию). Точнее говоря, субъектов интересует обеспечение более широкого свойства - достоверности информации, которое складывается из адекватности (полноты и точности) отображения состояния предметной области и непосредственно целостности информации, то есть ее неискаженности. Однако, мы ограничимся только рассмотрением вопросов обеспечения целостности информации, так как вопросы обеспечения адекватности отображения выходят далеко за рамки проблемы обеспечения информационной безопасности;

· конфиденциальность информации - субъективно определяемую (приписываемую) характеристику (свойство) информации, указывающую на необходимость введения ограничений на круг субъектов, имеющих доступ к данной информации, и обеспечиваемую способностью системы (среды) сохранять указанную информацию в тайне от субъектов, не имеющих полномочий на доступ к ней. Объективные предпосылки подобного ограничения доступности информации для одних субъектов заключены в необходимости защиты законных интересов других субъектов информационных отношений.

Термин " безопасность информации" нужно понимать как защищенность информации от нежелательного для соответствующих субъектов информационных отношений ее разглашения (нарушения конфиденциальности), искажения (нарушения целостности), утраты или снижения степени доступности информации, а также незаконного ее тиражирования.

Современная информационная компьютерная система представляет собой сложную систему, состоящую из большого числа компонентов различной степени автономности, которые связаны между собой и обмениваются данными. Практически каждый компонент может подвергнуться внешнему воздействию или выйти из строя.

Компоненты информационной компьютерной системы можно разбить на следующие группы:

· аппаратные средства - компьютеры и их составные части (процессоры, мониторы, терминалы, периферийные устройства - дисководы, принтеры, контроллеры, кабели, линии связи и т.д.);

· программное обеспечение - приобретенные программы, исходные, объектные, загрузочные модули; операционные системы и системные программы (компиляторы, компоновщики и др.), утилиты, диагностические программы и т.д.;

· данные - хранимые временно и постоянно, на магнитных носителях, печатные, архивы, системные журналы и т.д.;

· персонал - обслуживающий персонал и пользователи.

В отношении информационных систем применяются следующие категории информационной безопасности:

• надежность – гарантия того, что система ведет себя в нормальном и внештатном режимах так, как запланировано
• точность – гарантия точного и полного выполнения всех команд
• контроль доступа – гарантия того, что различные группы лиц имеют различный доступ к информационным объектам, и эти ограничения доступа постоянно выполняются
• контролируемость – гарантия того, что в любой момент может быть произведена полноценная проверка любого компонента программного комплекса
• контроль идентификации – гарантия того, что клиент, подключенный в данный момент к системе, является именно тем, за кого себя выдает
• устойчивость к умышленным сбоям – гарантия того, что при умышленном внесении ошибок в пределах заранее оговоренных норм система будет вести себя так, как оговорено заранее.

Информация в компьютерных системах с точки зрения организации информационной безопасности должна обладать следующими категориями:

· конфиденциальность – гарантия того, что конкретная информация доступна только тому кругу лиц, для кого она предназначена; нарушение этой категории называется хищением либо раскрытием информации

· целостность – гарантия того, что информация сейчас существует в ее исходном виде, то есть при ее хранении или передаче не было произведено несанкционированных изменений; нарушение этой категории называется фальсификацией сообщения

· аутентичность – гарантия того, что источником информации является именно то лицо, которое заявлено как ее автор; нарушение этой категории также называется фальсификацией, но уже автора сообщения

· апеллируемость – довольно сложная категория, но часто применяемая в электронной коммерции – гарантия того, что при необходимости можно будет доказать, что автором сообщения является именно заявленный человек, и не может являться никто другой; отличие этой категории от предыдущей в том, что при подмене автора, кто-то другой пытается заявить, что он автор сообщения, а при нарушении апеллируемости – сам автор пытается " откреститься" от своих слов, подписанных им однажды.

Под информационной безопасностью компьютерной системы обработки информации понимается защищенность всех ее компонентов (технических средств, программного обеспечения, данных и персонала) от различного рода нежелательных для соответствующих субъектов (владельцев) информационных отношений опасных воздействий и угроз.

Под опасными воздействиями (или угрозой) обычно понимают потенциально возможное событие, действие (воздействие), процесс или явление, которое может привести к нанесению ущерба чьим-либо интересам.

Опасные воздействия (угрозы) на компьютерную информационную систему можно подразделить на случайные и преднамеренные. Анализ опыта проектирования, изготовления и эксплуатации информационных систем показывает, что информация подвергается различным случайным воздействиям на всех этапах цикла жизни системы.

Причинами случайных воздействий (угроз) при эксплуатации могут быть:

· аварийные ситуации из-за стихийных бедствий и отключений электропитания;

· отказы и сбои аппаратуры;

· ошибки в программном обеспечении;

· ошибки в работе персонала;

· помехи в линиях связи из-за воздействий внешней среды.

Преднамеренные воздействия (угрозы) - это целенаправленные действия нарушителя. В качестве нарушителя могут выступать служащий, посетитель, конкурент, наемник.

Преднамеренные воздействия (угрозы) делятся на внешние и внутренние.

Внешние преднамеренные угрозы информационной безопасности являются:

1. недобросовестные конкуренты;

2. преступные группировки и формирования;

3. отдельные лица и организации административно-управленческого аппарата.

Внутренние преднамеренные угрозы информационной безопасности являются:

1. администрация учреждения, предприятия;

2. обслуживающий персонал;

3. технические средства обеспечения производственной и трудовой деятельности.

Преднамеренные воздействия преследуют следующие цели: ознакомление с охраняемой информацией, ее модификация в корыстных целях и уничтожение для нанесения прямого материального или морального ущерба.

По оценкам экспертов преднамеренные опасные воздействия на информационную систему можно примерно охарактеризовать так:

· 82% угроз совершается собственными сотрудниками учреждения или фирмы при их прямом или посредственном участии;

· 17% угроз совершается извне – внешние угрозы;

· 1% угроз совершается случайными людьми.

Преднамеренные воздействия совершаются по следующим мотивам:

· недовольством служащего своей карьерой;

· взяткой;

· любопытством;

· конкурентной борьбой;

· стремлением самоутвердиться любой ценой.

Опасные воздействия (или угроза) на информационную систему можно классифицировать по следующим признакам:

· по величине нанесенного ущерба;

· по вероятности возникновения;

· по причинам появления (стихийные бедствия, преднамеренные действия);

· по характеру нанесенного ущерба (материальный, моральный)

· по характеру воздействия (активные, пассивные);

· по отношению к информационной системы (внутренние, внешние).

 

Поделиться:

Популярное:

1. I. ПОЛОЖЕНИЯ И НОРМЫ ДЕЙСТВУЮЩЕГО ЗАКОНОДАТЕЛЬСТВА, В ОБЛАСТИ ОРГАНИЗАЦИИ ПРОТИВОПОЖАРНОЙ ПРОПАГАНДЫ И ОБУЧЕНИЯ НАСЕЛЕНИЯ МЕРАМ ПОЖАРНОЙ БЕЗОПАСНОСТИ
2. IV. Проверка знаний правил пожарной безопасности
3. Авторское видение роли специалиста по ОРМ в обеспечении социальной безопасности молодежи: итоги авторских исследований, проектов, модели.
4. Администрирование средств безопасности
5. БЖД как наука о безопасности. Предмет, цель, задача БЖД.
6. Бог — мое прибежище и безопасность.
7. В случае угрозы жизни и здоровью участников, зрителей, организатор вправе приостановить либо совсем прекратить мероприятие.
8. В сопровождении оперативного персонала, обслуживающего данную электроустановку, с группой по электробезопасности не ниже III или работника, имеющего право единоличного осмотра
9. Важность и сложность проблемы информационной безопасности
10. Вводный инструктаж по безопасности труда, противопожарной безопасности
11. Водители и пассажиры каких транспортных средств при движении должны быть пристегнуты ремнями безопасности?
12. ГЛАВА 1. СПЕЦИФИКА ОБЕСПЕЧЕНИЯ ПРОФЕССИОНАЛЬНОЙ БЕЗОПАСНОСТИ РАЗЛИЧНЫХ КАТЕГОРИЙ СОТРУДНИКОВ ОВД