Теория информационной безопасности и методология защиты информации

Теория информационной безопасности и методология защиты информации

Введение 1. Информация как ресурс. 2. Место информационных ресурсов в условиях рыночной экономики

Информация как ресурс Ресурсы –элементы экономического потенциала, которыми располагает общество и которые при необходимости могут быть использованы для достижения конкретной хозяйственной деятельности. Примеры: материальные , финансовые, трудовые, природные.

Информационные ресурсы (ИР) (В. И. Ярочкин) отдельные документы и массивы документов; документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, и др. ). ИР являются собственностью; находятся в ведении соответствующих органов и организаций; подлежат учету и защите.

Собственная информация Информацию можно использовать для производства товаров и услуг, превратить в наличность, продав кому-нибудь, или уничтожить. Для производителя – это значительная ценность (получение (создание) информации – весьма трудоемкий и дорогостоящий процесс). Реальная или потенциальная ценность информации определяется в первую очередь приносимыми доходами.

Место информационным ресурсам в условиях рыночной экономики Фактор – конкуренция. Побеждает тот, кто лучше, качественнее, дешевле и оперативнее (время – деньги!) производит и продает. Основное правило: кто владеет информацией, тот владеет миром. Существуют различные способы получения (добывания, приобретения) информации. Промышленный шпионаж с использованием современных ТС разведки составляет 47% охраняемых сведений.

Цели защиты информации предотвращение разглашения, утечки и несанкционированного доступа к охраняемым сведениям; предотвращение противоправных действий по уничтожению, модификации, искажению, копированию, блокированию информации; предотвращение других форм незаконного вмешательства в ИР и ИС; обеспечение правового режима документированной информации как объекта собственности; защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных; сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством; обеспечение прав субъектов в информационных процессах и при разработке, производстве, применении ИС, ИТ их обеспечения.

Информационная безопасность Емкая и многогранная проблема. Охватывает: определение необходимости защиты информации; КАК защищать информацию; ОТ ЧЕГО защищать; КОГДА защищать; ЧЕМ защищать; КАКОЙ должна быть защита.

Основные концептуальные положения системы защиты информации

Анализ в сфере ЗИ информации показывает, что сложилась концепция и структура защиты информации, основу которой составляют: развитый арсенал технических средств ЗИ, производимый на промышленной основе; значительное число фирм, специализирующихся на решении вопросов защиты информации; достаточно очерченная система взглядов на эту проблему; наличие значительного практического опыта и др.

Разновидности деятельности в области защиты информации Решение проблем защиты вне органической связи с решением более общих проблем (ИБ, ИТ, информатизации общества) может привести к неадекватным результатам. Необходимость обобщения накопленного опыта теоретических исследований и практического решения задач ЗИ с целью формирования научно -методологического базиса защиты как интенсификации процесса обеспечения ИБ. Исследование, разработка и распространение средств ЗИ.

Проблемы развития теории и практики обеспечения ИБ Создание теоретических основ и формирование научно-методологического базиса , позволяющих адекватно описывать процессы в условиях значительной неопределенности и непредсказуемости проявления дестабилизирующих факторов. Разработка научно-обоснованных нормативно- методических документов по обеспечению ИБ и классификации угроз информации и выработки стандартов требований к защите. Стандартизация подходов к созданию систем ЗИ и рационализация схем и структур управления на объектовом, региональном и государственном уровнях.

В. И. Ярочкин

Развитие теории информационной безопасности связано с развитием информатизации общества: 1) актуальность приобретает не только ЗИ, но и защита людей и ТС (главным образом, электронных) от разрушающего воздействия информации. Следовательно, вытекает задача обеспечения информационной безопасности как органической совокупности задач защиты информации и защиты от информации.

продолжение 2) Регулярное использование автоматизированных технологий обработки информации обусловливает решение задачи обеспечения требуемого качества информации, а сама задача усложняется. Следовательно, обеспечение информационной безопасности невозможно без учета задач обеспечения качества информации.

продолжение 3) решение задач защиты информации, задач защиты от информации и обеспечения качества информации обусловливает эффективность деятельности объектов. Возникает обобщенное понятие управления информацией, которое объединяет выше обозначенные понятия. В свою очередь, учет задач управления информацией необходим при формировании, поддержке и использовании концепции информационного обеспечения деятельности объектов.

Основные понятия и определения в области ИБ Любая область теории и практики базируется на строгом понятийном аппарате. Формирование более полного перечня терминов, их определение и интерпретация с тем, чтобы обеспечивалось однозначное понимание каждого из них, первостепенное значение имеет и для основ ИБ. Множество понятий и терминов ИБ отражает широкий спектр отличительных существенных свойств, признаков и отношений, присущих данному специфическому виду безопасности.

Термины, определяющие научную основу информационной безопасности К этой группе относятся термины, которые используются во многих областях знаний и являются однозначными, семантически унифицированными и стилистически нейтральными. Это: информация, коммуникация, конфликт, воздействие, угроза, опасность, безопасность, система. Требования: однозначность и устойчивость, т. е. эти термины однозначно употребляются в одной области знаний и сохраняют свой особый смысл в каждой другой области знаний.

Исключение Специфическое свойство присуще термину «информация» : в разных областях знаний, и даже в одной области знания он может характеризовать: предмет, явление, процесс, их свойства и отношения одновременно.

Термины, определяющие предметную основу информационной безопасности обозначают понятия и их соотношение с другими понятиями в пределах ИБ как специальной сферы или области знаний. К таковым относятся: информатика, информатизация, информационная система, информационные технологии, информационные процессы, информационный объект, информационный ресурс, информационная инфраструктура, информационная сфера, информационный потенциал.

Термины, определяющие характер деятельности по обеспечению ИБ Характерны для этой сферы предметов, явлений, процессов, их свойств и отношений (в том числе сил, средств и методов их использования при решении задач обеспечения ИБ). Обозначают широкий круг понятий различного уровня: от технического канала утечки информации до информационного противоборства.

Это: информационное противоборство, информационное превосходство, информационная безопасность, угрозы информационной безопасности, обеспечение информационной безопасности, система обеспечения информационной безопасности, информационная защищенность, безопасность информации, защита информации, объект защиты информации, носитель информации, доступ к информации, доступность информации, целостность информации, конфиденциальность информации, несанкционированный доступ к информации, утечка информации, канал утечки информации, канал передачи информации, воздействие на информацию, информационно-психологическое воздействие, информационно-психологическая сфера.

Безопасность как общенаучная категория некоторое состояние рассматриваемой системы, при котором последняя, с одной стороны, способна противостоять дестабилизирующему воздействию внешних и внутренних угроз, а с другой – ее функционирование не создает угроз для элементов самой системы и внешней среды.

Меры безопасности системы: с точки зрения способности противостоять дестабилизирующему воздействию внешних и внутренних угроз – степень (уровень) сохранения системой своей структуры, технологии и эффективности функционирования при воздействии дестабилизирующих факторов; с точки зрения отсутствия угроз для элементов системы и внешней среды – степень (уровень) возможности (или отсутствия возможности) появления таких дестабилизирующих факторов, которые могут представлять угрозу элементам самой системы или внешней среде.

Информационная безопасность – такое состояние рассматриваемой системы, при котором она, с одной стороны, способна противостоять дестабилизирующему воздействию внешних и внутренних информационных угроз, а с другой – ее функционирование не создает информационных угроз для элементов самой системы и внешней среды. Именно такое понятие информационной безопасности положено в основу Доктрины информационной безопасности и законодательства в сфере обеспечения информационной безопасности Российской Федерации (дословно – «Информационная

Доктрина информационной безопасности и законодательство в сфере обеспечения информационной безопасности Российской Федерации «Информационная безопасность – это состояние защищенности жизненно-важных интересов личности, общества и государства в информационной сфере от внутренних и внешних угроз» .

Обеспечение ИБ может быть достигнуто лишь при взаимоувязанном решении трех составляющих проблем: защите находящейся в системе информации от дестабилизирующего воздействия внешних и внутренних угроз информации; защите элементов системы от дестабилизирующего воздействия внешних и внутренних информационных угроз; защите внешней среды от информационных угроз со стороны рассматриваемой системы.

Рис. 1. Общая схема обеспечения информационной безопасности (А. А. Малюк)