Основы информационной безопасности

Под информационной безопасностью (ИБ) будем понимать защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры.

Средства и методы поддержки ИБ должны обеспечивать:

- доступность – информация, ресурсы, сервисы, средства взаимодействия и связи должны быть доступны и готовы к работе всегда, когда возникает необходимость;

- целостность – сохранение структуры информации и/или ее содержание в процессе передачи и хранения. Целостность можно подразделить на статическую – неизменность информационных объектов, и динамическую[17] –корректное выполнение транзакций.

- конфиденциальность – обеспечение доступа к информации только ограниченному кругу субъектов информационной системы (пользователям, процессам, программам).

Доступность информации(ресурсов информационной системы) предполагает, что субъекты, имеющие права доступа, могут беспрепятственно их реализовывать.

Под доступом к информации понимается возможность получения информации и ее использование (ознакомление, обработка, копирование, модификация или уничтожение). Различают санкционированный и несанкционированный доступ к информации.

Санкционированный доступ к информации – это доступ, не нарушающий установленные правила разграничения доступа. Несанкционированный доступ характеризуется нарушением установленных правил разграничения доступа и является наиболее распространенным видом компьютерных нарушений.

Права доступа – совокупность правил, регламентирующих порядок и условия доступа субъекта к информации, ее носителям и другим ресурсам ИС, установленных правовыми документами или собственником, владельцем информации.

Разграничение доступа – с одной стороны, правила, ограничивающие действия субъектов ИС над ее ресурсами, с другой – деятельность по реализации этих правил.

Атака на информационную систему – это действие, предпринимаемое злоумышленником с целью поиска и использования той или иной уязвимости системы. Таким образом, атака – это реализация угрозы безопасности.

Под угрозой информационной безопасности понимаются события или действия, которые могут привести к искажению, несанкционированному использованию или даже к разрушению информационных ресурсов управляемой системы, а также программных и аппаратных средств. Комплекс мер, направленных на обеспечение ИБ, должен гарантировать защиту информации и минимизировать риски ее искажения.

Важнейшей составляющей процесса обеспечения ИБ является проведение квалифицированного аудита безопасности ИС, что позволяет своевременно выявить существующие недостатки в и объективно оценить соответствие обеспечения информационной безопасности требуемому уровню решаемых задач организации. Оценка качества безопасности ИС выполняется специализированными аудиторскими организациями.

Защита информации–деятельность, направленная на сохранение государственной, служебной, коммерческой или личной тайны, на сохранение носителей информации любого содержания.

80-х годов XX в. Национальным центром компьютерной безопасности (National Computer Security Center – NCSC) Министерства обороны США. Результатом этих исследований явилась публикация Министерством обороны США в 1983 г. документа под названием «Критерии оценки надежных компьютерных систем», впоследствии по цвету обложки получившего название «Оранжевая книга». Этот документ стал первым стандартом в области создания защищенных компьютерных систем и впоследствии основой организации системы сертификации компьютерных систем по критериям защиты информации.

В 1999 г. Международная Организация по Стандартизации (ISO) приняла международный стандарт ISO 15408 под названием «Общие критерии оценки безопасности информационных технологий» (Common Criteria for Information Technology Security Evaluation или сокращенно – Common Criteria), который способствовал унификации национальных стандартов в области оценки безопасности информационных технологий на основе взаимного признания сертификатов. Этот документ содержит обобщенное и формализованное представление знаний и опыта, накопленного в области обеспечения информационной безопасности.