Информационная безопасность.

Доктрина информационной безопасности, утв. Указом Президента от 9 сентября 2000 г. № ПР-1895.

В нем дано понятие информационной безопасности. Она характеризуется как состояние защищенности национальных интересов РФ в информационной сфере, определяющаяся совокупностью сбалансированных интересов личности, общества и государства.

Определение имеет некоторые дефекты. Понятие безопасность определяется через понятие защищенность, а вот что такое защищенность в доктрине не сказано.

 

Аналогичный подход усматривается в Концепции сотрудничества государств стран СНГ в сфере обеспечения информационной безопасности. Это документ международного права, поэтому имеет приоритет над Доктриной, утвержденной Указом Президента. Он был утвержден решением глав государств СНГ в Бишкеке 10 октября 2008 г. РФ ратифицировала документ.

В ст. 2 данной концепции информационная безопасность характеризуется как состояние защищенности от внешних и внутренних угроз информационной сферы, развиваемой и используемой с учетом жизненно важных интересов личности, общества и государства.

Родство определений просматривается на лицо. Те, кто писал Доктрину, взял определение из Концепции. В данном документе также безопасность определяется через защищенность.

 

 

У нас есть Стандарт ГОС ИСО/МЭК 17799-2005 «Информационная технология. Практические правила управления информационной безопасностью». Стандарт утверждён Приказом Федерального агентства по техническому регулированию и метрологии от 29 декабря 2005 г. № 447. Этот документ- это готовая политика информационной безопасности. Это типовая информационная политика безопасности предприятия.

В п.2.1 стандарта закреплено понятие информационной безопасности, которое описывается как такое состояние информационных ресурсов, при котором обеспечивается защита конфиденциальности, защита целостности, защита доступности.

Под конфиденциальностью понимается обеспечение доступа к информации только авторизованным пользователям. Конфиденциальность- это когда доступ к информации имеет только тот человек, которому обладатель информации предоставил полномочия. Например, есть определенные категория доступа к государственной тайне: информация с грифом «Совершенно секретно» открыта только определенному кругу людей. Например, лица, которые имеют доступ «секретно», не могут пользоваться информацией с грифом «совершенно секретно».

Целостность - это обеспечение достоверности и полноты информации, а также методов её обработки. Это достоверность и полнота. Она находится в том виде, в котором её создал обладатель информационных ресурсов.

Доступность - это обеспечение доступа к информации и связанным с ней активом в любой момент по мере необходимости, если пользователь надлежащим образом авторизован. Лицо, у которого есть допуск к работе с документами «Совершенно секретно» может реализовать свое право на доступ к такой информации в том момент, когда ему это надо.

 

Есть Рекомендации по стандартизации, утв. Федеральном агентством по техническому регулированию от 6 апреля 2005 г. № 77 СТ. Там информационная безопасность определяется через три ключевых понятия: конфиденциальности, целостности и доступности.

Конфиденциальность- такой доступ к информации, когда определённые лица имеют право на доступ к информации.

Целостность- это состояние информации, при котором изменение такой информации осуществляется только преднамеренно и только теми субъектами, которые имеют на это право.

Доступность- состояние информации, при котором субъекты с правом доступа могут реализовать её беспрепятственно.

Некоторые отступления в сторону есть в Стандарте ИСО/МЭК 13335-1-2006. Стандарт называется «Информационная технология. Методы и средства обеспечения безопасности». Стандарт утвержден Приказом Федерального агентства по техническому регулированию от 19 декабря 2006 г. № 317-СТ.

Все критерии, связанные с информационной безопасностью распространяются не только на саму информацию, но и на средства их обработки.

Конфиденциальность определяется как свойство информации быть недоступной и закрытой для неавторизованного субъекта.

Целостность - это свойство сохранения правильности и полноты.

Доступность - это свойство объекта находится в таком состоянии, в котором уполномоченный субъект может запросить её и использовать.

В данном стандарте предусмотрены другие критерии определения понятия информационной безопасности:

1) Неотказуемость - это механической перевод слова availability. Это способность удостоверять имевшее место действие или событие так, чтобы эти события или действия не могли быть позже отвергнуты;

2) Подотчётность - это свойство, позволяющее однозначно прослеживать действия любого субъекта использования информации. Т.е. любые действия субъекта должны быть как-то отслежены, и субъект не может отказаться от совершения этих действий;

3) Аутентичность - это свойство, гарантирующее, что субъект или информация идентично заявлены, т.е. обладают именно такими свойствами, которые им приписывает владелец. Например, если ресурс информации у нас слон, то он должен обладать всеми качествами слона: цвет, масса, хобот, вес.

4) Достоверность - информация обладает именно этими свойствами, которые заявляет владелец такой информации.

В этом стандарте факторы информации распространяются не только на информацию, но и на её средства обработки. Добавление такого фактора как возможность отслеживать действия всех субъектов в отношении всех информационных ресурсов и однозначно устанавливать связь между действиями этих субъектов и любыми изменениями информации.

Распространение критериев информации на средства её обработки- это перебор. Т.к. в данном случае информация отождествляется с её материальным носителем. Информация не совсем материальна, она не имеет неразрывной связи с носителем. Если мы носитель уничтожаем, то это далеко не всегда приводит к уничтожению информации.

Информационную безопасность можно описать как такое состояние информационных ресурсов субъекта, при котором только лица, уполномоченные самим субъектом могут осуществлять доступ к ней и этот доступ является беспрепятственным, при этом в ходе доступа могут быть осуществлены только те полномочия в отношении информационного ресурса, которые были предоставлены владельцем информации (например, предоставление документа в режиме read only). Идея в том, что для всех остальных субъектов информация становится недоступной.

Дополнительным критерием информационной безопасности является возможность субъекта в любой момент получить сведения о том, кто и когда осуществляет доступ к его информационным ресурсам, и какие действия при этом осуществляются.

Если какой-то из критериев нарушается, то информационная безопасность не обеспечена.








Дата добавления: 2015-07-14; просмотров: 683;


Поиск по сайту:

При помощи поиска вы сможете найти нужную вам информацию.

Поделитесь с друзьями:

Если вам перенёс пользу информационный материал, или помог в учебе – поделитесь этим сайтом с друзьями и знакомыми.
helpiks.org - Хелпикс.Орг - 2014-2024 год. Материал сайта представляется для ознакомительного и учебного использования. | Поддержка
Генерация страницы за: 0.005 сек.