Защита информации информационная безопасность

Содержание

Сущность понятия «информационная безопасность»

В то время как информационная безопасность — это состояние защищённости информационной среды, защита информации представляет собой деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию, то есть процесс, направленный на достижение этого состояния.

Информационная безопасность организации — целенаправленная деятельность её органов и должностных лиц с использованием разрешённых сил и средств по достижению состояния защищённости информационной среды организации, обеспечивающее её нормальное функционирование и динамичное развитие.

Кортеж защиты информации — это последовательность действий для достижения определённой цели.

Информационная безопасность государства — состояние сохранности информационных ресурсов государства и защищённости законных прав личности и общества в информационной сфере.

В современном социуме информационная сфера имеет две составляющие: информационно-техническую (искусственно созданный человеком мир техники, технологий и т. п.) и информационно-психологическую (естественный мир живой природы, включающий и самого человека). Соответственно, в общем случае информационную безопасность общества (государства) можно представить двумя составными частями: информационно-технической безопасностью и информационно-психологической (психофизической) безопасностью.

Стандартизированные определения

Безопасность информации (данных) — состояние защищённости информации (данных), при котором обеспечены её (их) конфиденциальность, доступность и целостность.

Информационная безопасность — защита конфиденциальности, целостности и доступности информации.

  • Конфиденциальность: свойство информационных ресурсов, в том числе информации, связанное с тем, что они не станут доступными и не будут раскрыты для неуполномоченных лиц.
  • Целостность: неизменность информации в процессе её передачи или хранения.
  • Доступность: свойство информационных ресурсов, в том числе информации, определяющее возможность их получения и использования по требованию уполномоченных лиц.

Информационная безопасность (англ. information security) — все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчётности, аутентичности и достоверности информации или средств её обработки.

Безопасность информации (данных) (англ. information (data) security) — состояние защищённости информации (данных), при котором обеспечиваются её (их) конфиденциальность, доступность и целостность.

Безопасность информации (данных) определяется отсутствием недопустимого риска, связанного с утечкой информации по техническим каналам, несанкционированными и непреднамеренными воздействиями на данные и (или) на другие ресурсы автоматизированной информационной системы, используемые в автоматизированной системе.

Безопасность информации (при применении информационных технологий) (англ. IT security) — состояние защищённости информации (данных), обеспечивающее безопасность информации, для обработки которой она применяется, и информационную безопасность автоматизированной информационной системы, в которой она реализована.

Безопасность автоматизированной информационной системы — состояние защищённости автоматизированной системы, при котором обеспечиваются конфиденциальность, доступность, целостность, подотчетность и подлинность её ресурсов.

Информационная безопасность — защищённость информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений. Поддерживающая инфраструктура — системы электро-, тепло-, водо-, газоснабжения, системы кондиционирования и т. д., а также обслуживающий персонал. Неприемлемый ущерб — ущерб, которым нельзя пренебречь.

Существенные признаки понятия

В качестве стандартной модели безопасности часто приводят модель из трёх категорий:

  • конфиденциальность (англ. confidentiality) — состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на неё право;
  • целостность (англ. integrity) — избежание несанкционированной модификации информации;
  • Доступность информации (англ. availability) — избежание временного или постоянного сокрытия информации от пользователей, получивших права доступа.

Выделяют и другие не всегда обязательные категории модели безопасности:

  • неотказуемость или апеллируемость (англ. non-repudiation) — способность удостоверять имевшее место действие или событие так, что эти события или действия не могли быть позже отвергнуты;
  • подотчётность (англ. accountability) — обеспечение идентификации субъекта доступа и регистрации его действий;
  • достоверность (англ. reliability) — свойство соответствия предусмотренному поведению или результату;
  • аутентичность или подлинность (англ. authenticity) — свойство, гарантирующее, что субъект или ресурс идентичны заявленным.

Объём (реализация) понятия «информационная безопасность»

Системный подход к описанию информационной безопасности предлагает выделить следующие составляющие информационной безопасности:

  1. Законодательная, нормативно-правовая и научная база.
  2. Структура и задачи органов (подразделений), обеспечивающих безопасность ИТ.
  3. Организационно-технические и режимные меры и методы (Политика информационной безопасности).
  4. Программно-технические способы и средства обеспечения информационной безопасности.

Ниже в данном разделе подробно будет рассмотрена каждая из составляющих информационной безопасности.

Целью реализации информационной безопасности какого-либо объекта является построение Системы обеспечения информационной безопасности данного объекта (СОИБ). Для построения и эффективной эксплуатации СОИБ необходимо:

  • выявить требования защиты информации, специфические для данного объекта защиты;
  • учесть требования национального и международного Законодательства;
  • использовать наработанные практики (стандарты, методологии) построения подобных СОИБ;
  • определить подразделения, ответственные за реализацию и поддержку СОИБ;
  • распределить между подразделениями области ответственности в осуществлении требований СОИБ;
  • на базе управления рисками информационной безопасности определить общие положения, технические и организационные требования, составляющие Политику информационной безопасности объекта защиты;
  • реализовать требования Политики информационной безопасности, внедрив соответствующие программно-технические способы и средства защиты информации;
  • реализовать Систему менеджмента (управления) информационной безопасности (СМИБ);
  • используя СМИБ организовать регулярный контроль эффективности СОИБ и при необходимости пересмотр и корректировку СОИБ и СМИБ.

Как видно из последнего этапа работ, процесс реализации СОИБ непрерывный и циклично (после каждого пересмотра) возвращается к первому этапу, повторяя последовательно всё остальные. Так СОИБ корректируется для эффективного выполнения своих задач защиты информации и соответствия новым требованиям постоянно обновляющейся информационной системы.

Нормативные документы в области информационной безопасности

В Российской Федерации к нормативно-правовым актам в области информационной безопасности относятся:

Акты федерального законодательства:

  • Международные договоры РФ;
    • Конституция РФ;
    • Законы федерального уровня (включая федеральные конституционные законы, кодексы);
    • Указы Президента РФ;
    • Постановления правительства РФ;
    • Нормативные правовые акты федеральных министерств и ведомств;
    • Нормативные правовые акты субъектов РФ, органов местного самоуправления и т. д.

К нормативно-методическим документам можно отнести

  • Методические документы государственных органов России:
    • Доктрина информационной безопасности РФ;
    • Руководящие документы ФСТЭК (Гостехкомиссии России);
    • Приказы ФСБ;
  • Стандарты информационной безопасности, из которых выделяют:
    • Международные стандарты;
    • Государственные (национальные) стандарты РФ;
    • Рекомендации по стандартизации;
    • Методические указания.

Органы (подразделения), обеспечивающие информационную безопасность

В зависимости от приложения деятельности в области защиты информации (в рамках государственных органов власти или коммерческих организаций), сама деятельность организуется специальными государственными органами (подразделениями), либо отделами (службами) предприятия.

Государственные органы РФ, контролирующие деятельность в области защиты информации:

  • Комитет Государственной думы по безопасности;
  • Совет безопасности России;
  • Федеральная служба по техническому и экспортному контролю (ФСТЭК России);
  • Федеральная служба безопасности Российской Федерации (ФСБ России);
  • Федеральная служба охраны Российской Федерации (ФСО России);
  • Служба внешней разведки Российской Федерации (СВР России);
  • Министерство обороны Российской Федерации (Минобороны России);
  • Министерство внутренних дел Российской Федерации (МВД России);
  • Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

Службы, организующие защиту информации на уровне предприятия

  • Служба экономической безопасности;
  • Служба безопасности персонала (Режимный отдел);
  • Отдел кадров;
  • Служба информационной безопасности.

Организационно-технические и режимные меры и методы

Для описания технологии защиты информации конкретной информационной системы обычно строится так называемая Политика информационной безопасности или Политика безопасности рассматриваемой информационной системы.

Политика безопасности (информации в организации) (англ. Organizational security policy) — совокупность документированных правил, процедур, практических приёмов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.

Политика безопасности информационно-телекоммуникационных технологий (англ. ІСТ security policy) — правила, директивы, сложившаяся практика, которые определяют, как в пределах организации и её информационно-телекоммуникационных технологий управлять, защищать и распределять активы, в том числе критичную информацию.

Для построения Политики информационной безопасности рекомендуется отдельно рассматривать следующие направления защиты информационной системы:

  • Защита объектов информационной системы;
  • Защита процессов, процедур и программ обработки информации;
  • Защита каналов связи (акустическая информация, инфракрасные, проводные, радиоканалы и др.);
  • Подавление побочных электромагнитных излучений;
  • Управление системой защиты.

При этом по каждому из перечисленных выше направлений Политика информационной безопасности должна описывать следующие этапы создания средств защиты информации:

  1. Определение информационных и технических ресурсов, подлежащих защите;
  2. Выявление полного множества потенциально возможных угроз и каналов утечки информации;
  3. Проведение оценки уязвимости и рисков информации при имеющемся множестве угроз и каналов утечки;
  4. Определение требований к системе защиты;
  5. Осуществление выбора средств защиты информации и их характеристик;
  6. Внедрение и организация использования выбранных мер, способов и средств защиты;
  7. Осуществление контроля целостности и управление системой защиты.

Политика информационной безопасности оформляется в виде документированных требований на информационную систему. Документы обычно разделяют по уровням описания (детализации) процесса защиты.

Документы верхнего уровня Политики информационной безопасности отражают позицию организации к деятельности в области защиты информации, её стремление соответствовать государственным, международным требованиям и стандартам в этой области. Подобные документы могут называться «Концепция ИБ», «Регламент управления ИБ», «Политика ИБ», «Технический стандарт ИБ» и т. п. Область распространения документов верхнего уровня обычно не ограничивается, однако данные документы могут выпускаться и в двух редакциях — для внешнего и внутреннего использования.

Согласно ГОСТ Р ИСО/МЭК 17799—2005, на верхнем уровне Политики информационной безопасности должны быть оформлены следующие документы: «Концепция обеспечения ИБ», «Правила допустимого использования ресурсов информационной системы», «План обеспечения непрерывности бизнеса».

К среднему уровню относят документы, касающиеся отдельных аспектов информационной безопасности. Это требования на создание и эксплуатацию средств защиты информации, организацию информационных и бизнес-процессов организации по конкретному направлению защиты информации. Например: Безопасности данных, Безопасности коммуникаций, Использования средств криптографической защиты, Контентная фильтрация и т. п. Подобные документы обычно издаются в виде внутренних технических и организационных политик (стандартов) организации. Все документы среднего уровня политики информационной безопасности конфиденциальны.

В политику информационной безопасности нижнего уровня входят регламенты работ, руководства по администрированию, инструкции по эксплуатации отдельных сервисов информационной безопасности.

Программно-технические способы и средства обеспечения информационной безопасности

В литературе предлагается следующая классификация средств защиты информации.

  • Средства защиты от несанкционированного доступа (НСД):
  • Средства авторизации;
  • Мандатное управление доступом;
  • Избирательное управление доступом;
  • Управление доступом на основе ролей;
  • Журналирование (так же называется Аудит).
  • Системы анализа и моделирования информационных потоков (CASE-системы).
  • Системы мониторинга сетей:
  • Системы обнаружения и предотвращения вторжений (IDS/IPS);
  • Системы предотвращения утечек конфиденциальной информации (DLP-системы).
  • Анализаторы протоколов.
  • Антивирусные средства.
  • Межсетевые экраны.
  • Криптографические средства:
  • Шифрование;
  • Цифровая подпись.
  • Системы резервного копирования.
  • Системы бесперебойного питания:
  • Источники бесперебойного питания;
  • Резервирование нагрузки;
  • Генераторы напряжения.
  • Системы аутентификации:
  • Пароль;
  • Ключ доступа (физический или электронный);
  • Сертификат;
  • Биометрия.
  • Средства предотвращения взлома корпусов и краж оборудования.
  • Средства контроля доступа в помещения.
  • Инструментальные средства анализа систем защиты:
  • Мониторинговый программный продукт.

Организационная защита объектов информатизации

Организационная защита — это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз. Организационная защита обеспечивает:

  • организацию охраны, режима, работу с кадрами, с документами;
  • использование технических средств безопасности и информационно-аналитическую деятельность по выявлению внутренних и внешних угроз предпринимательской деятельности.

К основным организационным мероприятиям можно отнести:

  • организацию режима и охраны. Их цель — исключение возможности тайного проникновения на территорию и в помещения посторонних лиц;
  • организацию работы с сотрудниками, которая предусматривает подбор и расстановку персонала, включая ознакомление с сотрудниками, их изучение, обучение правилам работы с конфиденциальной информацией, ознакомление с мерами ответственности за нарушение правил защиты информации и др.;
  • организацию работы с документами и документированной информацией, включая организацию разработки и использования документов и носителей конфиденциальной информации, их учёт, исполнение, возврат, хранение и уничтожение;
  • организацию использования технических средств сбора, обработки, накопления и хранения конфиденциальной информации;
  • организацию работы по анализу внутренних и внешних угроз конфиденциальной информации и выработке мер по обеспечению её защиты;
  • организацию работы по проведению систематического контроля за работой персонала с конфиденциальной информацией, порядком учёта, хранения и уничтожения документов и технических носителей.

В каждом конкретном случае организационные мероприятия носят специфическую для данной организации форму и содержание, направленные на обеспечение безопасности информации в конкретных условиях.

Исторические аспекты возникновения и развития информационной безопасности

Объективно категория «информационная безопасность» возникла с появлением средств информационных коммуникаций между людьми, а также с осознанием человеком наличия у людей и их сообществ интересов, которым может быть нанесен ущерб путём воздействия на средства информационных коммуникаций, наличие и развитие которых обеспечивает информационный обмен между всеми элементами социума.

Учитывая влияние на трансформацию идей информационной безопасности, в развитии средств информационных коммуникаций можно выделить несколько этапов:

  • I этап — до 1816 года — характеризуется использованием естественно возникавших средств информационных коммуникаций. В этот период основная задача информационной безопасности заключалась в защите сведений о событиях, фактах, имуществе, местонахождении и других данных, имеющих для человека лично или сообщества, к которому он принадлежал, жизненное значение.
  • II этап — начиная с 1816 года — связан с началом использования искусственно создаваемых технических средств электро- и радиосвязи. Для обеспечения скрытности и помехозащищенности радиосвязи необходимо было использовать опыт первого периода информационной безопасности на более высоком технологическом уровне, а именно применение помехоустойчивого кодирования сообщения (сигнала) с последующим декодированием принятого сообщения (сигнала).
  • III этап — начиная с 1935 года — связан с появлением радиолокационных и гидроакустических средств. Основным способом обеспечения информационной безопасности в этот период было сочетание организационных и технических мер, направленных на повышение защищенности радиолокационных средств от воздействия на их приемные устройства активными маскирующими и пассивными имитирующими радиоэлектронными помехами.
  • IV этап — начиная с 1946 года — связан с изобретением и внедрением в практическую деятельность электронно-вычислительных машин (компьютеров). Задачи информационной безопасности решались, в основном, методами и способами ограничения физического доступа к оборудованию средств добывания, переработки и передачи информации.
  • V этап — начиная с 1965 года — обусловлен созданием и развитием локальных информационно-коммуникационных сетей. Задачи информационной безопасности также решались, в основном, методами и способами физической защиты средств добывания, переработки и передачи информации, объединённых в локальную сеть путём администрирования и управления доступом к сетевым ресурсам.
  • VI этап — начиная с 1973 года — связан с использованием сверхмобильных коммуникационных устройств с широким спектром задач. Угрозы информационной безопасности стали гораздо серьёзнее. Для обеспечения информационной безопасности в компьютерных системах с беспроводными сетями передачи данных потребовалась разработка новых критериев безопасности. Образовались сообщества людей — хакеров, ставящих своей целью нанесение ущерба информационной безопасности отдельных пользователей, организаций и целых стран. Информационный ресурс стал важнейшим ресурсом государства, а обеспечение его безопасности — важнейшей и обязательной составляющей национальной безопасности. Формируется информационное право — новая отрасль международной правовой системы.
  • VII этап — начиная с 1985 года — связан с созданием и развитием глобальных информационно-коммуникационных сетей с использованием космических средств обеспечения. Можно предположить, что очередной этап развития информационной безопасности, очевидно, будет связан с широким использованием сверхмобильных коммуникационных устройств с широким спектром задач и глобальным охватом в пространстве и времени, обеспечиваемым космическими информационно-коммуникационными системами. Для решения задач информационной безопасности на этом этапе необходимо создание макросистемы информационной безопасности человечества под эгидой ведущих международных форумов.

Безопасности информации

Методы и средства обеспечения

К методам и средствам обеспечения безопасности информации в авто­матизированных информационных технологиях относятся: препятствие, управление доступом, маскировка,регламентация, принуждение, побуждение.

Методы защиты информации представляют собой основу механиз­мов защиты.

Препятствие— метод физического преграждения пути злоумышлен­нику к защищаемой информации (к аппаратуре, носителям информа­ции и т. д.).

Управление доступом — метод защиты информации с помощью ис­пользования всех ресурсов информационной технологии. Управление доступом включает следующие функции защиты:

• идентификация специалистов, персонала и ресурсов информаци­онной технологии (присвоение каждому объекту персонального иденти­фикатора);

• опознание (установление подлинности) объекта или субъекта по предъявленному им идентификатору;

• проверка полномочий (соответствие дня недели, времени суток, запрашиваемых ресурсов и процедур установленному регламенту);

• разрешение и создание условий работы в пределах установленного регламента;

• регистрация (протоколирование) обращений к защищаемым ре­сурсам;

• реагирование (сигнализация, отключение, задержка работ, отказ в запросе) при попытке несанкционированных действий.

Маскировка — метод защиты информации путем ее криптографиче­ского закрытия. Этот метод сейчас широко применяется как при обра­ботке, так и при хранении информации, в том числе на дискетах. При передаче информации по каналам связи большой протяженности дан­ный метод является единственно надежным.

Регламентация — метод защиты информации, создающий по регла­менту в информационных технологиях такие условия автоматизирован­ной обработки, хранения и передачи защищаемой информации, при ко­торых возможности несанкционированного доступа к ней сводились бы к минимуму.

Принуждение — метод защиты, когда специалисты и персонал ин­формационной технологии вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой мате­риальной, административной или уголовной ответственности.

Побуждение — метод защиты, побуждающий специалистов и персо­нал автоматизированной информационной технологии не разрушать ус­тановленные порядки за счет соблюдения сложившихся моральных и этических норм.

Рассмотренные методы обеспечения безопасности в информацион­ных технологиях реализуются на практике за счет применения различ­ных средств защиты.

Все средства защиты информации делятся на следующие виды:

Формальные средства защиты — это средст­ва, выполняющие защитные функции строго по заранее предусмотренной процедуре без непо­средственного участия человека;

Неформальные средства защиты – это средства защиты, которые определяются це­ленаправленной деятельностью человека, ли­бо регламентируют эту деятельность.

К основным формальным средствам защиты, которые используются в информационных технологиях для создания механизмов защиты, от­носятся следующие:

Технические средства реализуются в виде электрических, электроме­ханических и электронных устройств. Все технические средства делятся на следующие виды:

Аппаратные, представляющие собой устройст­ва, встраиваемые непосредственно в вычисли­тельную технику, или устройства, которые со­прягаются с подобной аппаратурой по стандарт­ному интерфейсу

Физические, представляющие собой авто­номные устройства и системы, создающие физические препятствия для злоумышленни­ков (замки, решетки, охранная сигнализация и т.д.)

Программные средства представляют собой программное обеспече­ние, специально предназначенное для выполнения функций защиты информации.

К основным неформальным средствам защиты относятся:

Организационные средства. Представляют собой организацион­но-технические и организационно-правовые мероприятия, осуществ­ляемые в процессе создания и эксплуатации вычислительной техники, аппаратуры телекоммуникаций для обеспечения защиты информации в информационных технологиях. Организационные мероприятия охва-

тывают все структурные элементы аппаратуры на всех этапах их жизнен­ного цикла (строительство и оборудование помещений экономического объекта, проектирование информационной технологии, монтаж и на­ладка оборудования, испытания, эксплуатация

и т. д.).

Морально-этические средства. Реализуются в виде всевозможных норм, которые сложились традиционно или складываются по мере рас­пространения вычислительной техники и средств связи. Эти нормы большей частью не являются обязательными как законодательные ме­ры, однако несоблюдение их ведет к утечке информации и нарушению секретности.

Законодательные средства определяются законодательными актами страны, в которых регламентируются правила пользования, обработки и передачи информации ограниченного доступа и устанавливаются ме­ры ответственности за нарушения этих правил.

Формальные средства защиты информации

Формальные средства выполняют свои фун­кции по определен­ным правилам без непосредственного участия людей. Формальные средства включают: технические средства и программные средства.

1.Технические средства реализуются в виде раз­личных электроме­ханических, электрических, электрон­ных и оптических систем наблюде­ния охранной и по­жарной сигнализации; систем обнаружения средств разведки конкурентов; средств защиты документов и изделий при их транспортировке. Технические средства защиты включают: физические средства защиты и аппаратные средства защиты.

Физические средства защиты включают: строи­тельные конструкции и механические устройства, пре­пятствую­щие проникновению нежела­тельных лиц в зак­рытые зоны и хищению документов и устройств; сред­ства против подслушивания и подсматривания; сред­ства перекрытия побочных технических каналов утечки информации.

Аппаратные средства защиты встраиваются в блоки ПЭВМ или выполняются в виде отдельных уст­ройств, сопрягаемых с ПЭВМ. К ап­паратным средствам защиты относятся различные электронные, элек­тронно-механические, электронно-оптические устройства (системы контроля доступа, средства аудита, системы шифрования информации, системы цифровой подписи, средства доказательства целостности документов, системы антивирусной защиты, межсетевые экраны). К настоящему времени разработано значительное число аппаратных средств различ­ного назначения, наиболее распространенные из них:

— специальные регистры для хранения реквизитов защиты: паролей, идентифицирующих кодов, грифов или уровней секретности;

— генераторы кодов, предназначенные для автоматического генериро­вания идентифицирующего кода устройства;

— устройства измерения индивидуальных характеристик человека (го­лоса, отпечатков) с целью его идентификации;

— специальные биты секретности, значение которых определяет уро­вень секретности информации, хранимой в запоминающих устройствах, которой принадлежат данные биты;

— схемы прерывания передачи информации в линии связи с целью пе­риодической проверки адреса выдачи данных.

Защита от несанкционированного доступа к ресурсам ПЭВМ. Дан­ные меры защиты предусматривают защиту дос­тупа к дисковым накопи­телям информации, к клавиату­ре и дисплею ПЭВМ. Важное место в области средств защиты от несанкционированного доступа занимают аппаратно-программные системы идентификации и аутентификации (СИА) или устройства ввода идентификационных признаков (термин соответствует ГОСТ Р 51241-98). При использовании данных устройств доступ пользователя к компьютеру осуществляется только после успешного выполнения процедуры идентификации и аутентификации. Идентификация заключается в распознавании пользователя по присущему или присвоенному ему идентификационному признаку. Проверка принадлежности идентификационного признака пользователю осуществляется в процессе аутентификации.

В состав СИА входят аппаратные идентификаторы, устройства ввода-вывода (считыватели, контактные устройства, адаптеры, разъемы системной платы и др.) и соответствующее программное обеспечение. Идентификаторы предназначены для хранения уникальных идентификационных признаков. Кроме этого они могут хранить и обрабатывать конфиденциальные данные. Устройства ввода-вывода и программное обеспечение осуществляют обмен данными между идентификатором и защищаемым компьютером.

В электронных СИА идентификационные признаки представляются в виде цифрового кода, хранящегося в памяти идентификатора. По способу обмена данными между идентификатором и устройством ввода-вывода электронные СИА подразделяются на контактные и бесконтактные (рис. 6.9). Контактное считывание подразумевает непосредственное соприкосновение идентификатора с устройством ввода-вывода. Бесконтактный (дистанционный) способ обмена не требует четкого позиционирования идентификатора и устройства ввода-вывода. Чтение или запись данных происходит при поднесении идентификатора на определенное расстояние к устройству ввода-вывода.

Современные электронные СИА разрабатываются на базе следующих идентификаторов:

— смарт-карт (smart card – интеллектуальная карта);

— радиочастотных, или RFID-идентификаторов (radio-frequency iden­ti­fication – радиочастотная идентификация);

— идентификаторов iButton (information button — информационная «таблетка»);

— USB-ключей, или USB-токенов (token — опознавательный признак, маркер).

На российском рынке компьютерной безопасности присутствуют следующие сертифицированные изделия, использующие электронные системы идентификации и аутентификации:

— электронные замки: программно-аппаратный комплекс «Соболь-PCI», разработка НИП «Информзащита»; аппаратный модуль доверенной загрузки «Аккорд-АМДЗ», разработка ОКБ САПР; аппаратно-программный модуль доверенной загрузки «КРИПТОН-Замок/ PCI», разработка фирмы АНКАД;

— системы защиты от несанкционированного доступа к информационным ресурсам компьютера: СЗИ семейства Secret Net, разработка НИП «Информзащита»; СЗИ «Страж NT», разработка НИИ проблем управления, информатизации и моделирования Академии военных наук; СЗИ семейства «Аккорд», разработка ОКБ САПР (Москва); СЗИ семейства Dallas Lock, разработка компании «Конфидент» (Санкт-Петербург).

Аутентификацию пользователя можно реализовать с помощью системы Zlogin компании SekurIT. Система предназначена для двухфакторной аутентификации пользователей сети с использованием электронных ключей. Вместо пароля пользователь предъявляет электронный USB-ключ и вводит PIN-код. Система Zlogin упрощает аутентификацию пользователя и повышает безопасность сети. Это происходит благодаря следующим факторам: пароль генерируется по специальному алгоритму, перегенерируется автоматически, согласно политикам учетных записей, профили пользователя хранятся в защищенной PIN-кодом области электронного ключа, что предотвращает использование ключа посторонними лицами в случае его утери или кражи.

Пароли защищают информацию, но в то же время могут причинять неудобства забывчивым пользователям. Альтернатива паролям — при­менение биометрических устройств, таких, например, как дактилоскопи­ческий сканер Ethentica Ethenticator USB 2500. Требуемые ресурсы: один свободный USB-порт; Microsoft Windows 98,98SE или NT 4.0 (SP4 или более новой версии), 2000 или NT Server.

В небольшом пластмассовом приборе находится датчик, толщиной 0,075 мм, состоящий из слоев пластика. Для обнаружения отпечатка в виде электрического поля, создаваемого пальцем, используется специ­альный полимер в сочетании с оригинальной технологией верификации отпечатков пальцев под названием TactileSense. Такой подход позво­ляет повысить уровень защиты, обеспечиваемой прибором: его не уда­стся ввести в заблуждение скрытым отпечатком на поверхности сканера или фотографией пальца авторизованного пользователя.

Специалистами компании «Рускард» разработано семейство программно-аппаратных средств аутентификации и разграничения доступа под общей торговой маркой Мастер Паролей. Процедура аутентификации этих средств базируется на использовании в качестве паролей случайных наборов символов большой длины, сохраняющихся на специальных пластиковых карточках в защищенном от изучения виде. Такое решение позволяет избежать недостатков парольной защиты при сохранении простоты использования системы. Компания «Рускард» – российский разработчик и интегратор комплексных систем защиты информации. Решения компании внедрены в локальных сетях ряда крупных торговых компаний, подразделений и учреждений МПС, финансовых и научно-исследовательских организаций.

Особую и наиболее распространенную группу аппаратных средств защиты составляют устройства для шифрования информации. Алгоритмы шифрования, могут быть реализованы как программным, так и аппаратным способом. На базе устройств криптографической защиты можно обеспечить всестороннюю защиту компьютера, что нельзя сделать при использовании только программно реализованного шифрования. Основное назначение устройств криптографической защиты – шифрование данных. Эта операция выполняется шифропроцессором, представляющим собой специализированную микросхему, которая выполняет криптографические операции, или микросхему программируемой логики (PLD — Programmable Logic Device).

Шифропроцессоров может быть несколько для повышения скорости и/или надежности шифрования. Для повышения скорости информацию распараллеливают между ними. Для обеспечения надежности производят обработку одних и тех же данных двумя шифропроцессорами с последующим сравнением результатов перед их выдачей. Шифропроцессорами и остальными модулями управляет основной модуль – блок управления, реализуемый обычно на базе микроконтроллера с достаточным количеством внутренних ресурсов и хорошим быстродействием.

Кроме шифрования, устройство криптографической защиты может выполнять ряд дополнительных функций. Наличие аппаратного датчика случайных чисел, необходимых для генерации криптографических ключей, используются в алгоритмах электронной цифровой подписи. Наличие функциональности электронного замка: контроль входа пользователя на компьютер и контроль целостности файлов операционной системы, позволяет обеспечить полноценную защиту компьютера от несанкционированного доступа. Пример: серия устройств криптографической защиты данных КРИПТОН российской фирмы «АНКАД». Устройства имеют сертификаты соответствия и аппаратно реализованы в соответствии с федеральным стандартом шифрования Федерального агентства правительственной связи и информации.

Аппарат­ные средства мо­гут решать следующие задачи:

— запрет несанкционированного доступа к ресурсам ПЭВМ;

— защиту от компьютерных вирусов;

— защиту информации при аварийном отключении электропита­ния.

2.Программные средства представляют собой программное обеспе­чение, специально предназначенное для выполнения функций защиты информации. Программная защита является наиболее распространен­ным видом защиты, чему способствуют такие положительные свойства данного средства, как универсальность, гибкость, простота реализации, практически неограниченные возможности изменения и развития и т.п. По функциональному назначению программные средства можно разде­лить на следующие группы:

— механизм шифрования (криптографии) — специальный алгоритм, кото­рый запускается уникальным ключом или битовой последователь­ностью, обычно называемым шифрующим ключом; затем по каналам связи передается зашифрованный текст, а получатель имеет свой ключ для дешифрования информации;

— механизм цифровой подписи;

— механизмы контроля доступа;

— механизмы обеспечения целостности данных;

— механизмы постановки графика;

— механизмы управления маршрутизацией;

— механизмы арбитража;

— антивирусные программы;

— программы архивации;

— защита при вводе информации;

— защита при выводе информации.

Защита дисков от несанкционированного доступа осуществляется с помощью паролей — набора символов, который соответствует определенному объекту идентификации. Пароли для защиты дисков де­лятся:

— по типу объектов идентификации: пароли пользо­вателей, ресурсов и файлов;

— по типу символов: цифровые, буквенные, смешан­ные;

— по способу ввода в ПЭВМ: с клавиатуры, с помо­щью мыши, со специ­альной ключевой дискеты;

— по срокам применения: с неограниченным сроком, периодически сме­няемые, разовые;

— по длительности: фиксированной и переменной длины.

Чем больше длина пароля и меньше срок его ис­пользования, тем лучше защищен диск. Парольная защита дисков осуществляется специальными про­граммами, напри­мер, HARDLOCK, PASSW, ути­литойПароливоперационной системе Windows.

Более детальная процедура доступа к файлам орга­низуется на ос­нове таблиц разграничения доступа пользователей к файлам по назна­чению файлов, а также по характеру работы пользователей (создание, чтение, редактирование, удаление файлов и др.). Например, про­грамма Wath Dog предоставляет пользователям только те файлы и те возмож­ности работы с ними, которые ука­заны в таблице разграничения дос­тупа. Широкое приме­нение нашли также программы ASSA и NDMI. Раз­работан ряд специальных программ, которые фиксируют даты и время обращения к диску, а также случаи взлома защиты диска.

Если в сети не хранятся сверхсекретные данные, то для доступа к ресурсам обычно достаточно логина и пароля. В Windows 2000/XP и Server 2003 создаются обособленные защищенные зоны управления — домены. Сетевой администратор предоставляет пользователям домена права доступа к ресурсам любого компьютера. В Windows 2000 и более поздних версиях для разграничения доступа к важным ресурсам применяются групповые политики. Windows Server 2003 обеспечивает соблюдение самых высоких стандартов безопасности и является первой серверной операционной системой Microsoft, разработанной в рамках концепции защищенных информационных систем и открывающей новые возможности взаимодействия систем на базе технологий Microsoft .NET.

В Novell NetWare для этого применяется служба Novel Directory Services, которая предоставляет пользователю регистрационное сетевое имя. Каждый пользователь представляется в каталоге объектом User, в свойствах которого содержится информация о его паролях и соединениях.

В операционных системах Unix концепция домена отсутствует. Вместо этого каждый хост Unix содержит файл паролей, где хранится информация о каждом пользователе, включая шифрованный пароль. Для доступа к ресурсам других сетевых хостов пользователь Unix должен либо зарегистрироваться на этом компьютере, либо использовать прокси. Утилиты TCP/IP, такие как FTP и Telnet, часто пересылают пароли пользователей по сети открытым текстом и поэтому являются легкой добычей для хакера. В Unix для выполнения обычных сетевых операций, таких как копирование или печать файлов, или регистрация на удаленной системе, используются утилиты удаленной работы (r-команды) и утилиты защитной оболочки (Secure Shell, SSH), обеспечивающие передачу данных подобно r-командам, но с аутентификацией и шифрованием.

Защита накопителей на жестком магнитном диске и накопителей на гибких магнитных дисках предусматривает:

— защиту от любого несанкционированного доступа к диску;

— разграничение доступа пользователей к файлам дисков;

— контроль обращения к диску и проверка целост­ности защиты инфор­мации диска;

— стирание в файлах остатков закрытой информации.

Необходимость стирания в файлах остатков закры­той информации вызвана следующим. Во-первых, при уда­лении файла командами MS DOS, Norton Commander или Windows стирается только имя файла, а не сама информация на диске. Во-вторых, объем данных в файле меньше, чем отведенное для файла пространство на диске, поэтому в конце файла могут сохраниться остатки зак­рытой информации от предыду­щего файла. Операцию стирания «хвостов» файлов осуществляют ути­лита Wipe Info (пакет Norton Utilities) и программа GRIF-PC (ЦНИИ Ин­форм).

Защита дисков от копирования. Основное направление действий по защите от копи­рования дисков относится к дискетам, так как дискету легче похитить и скопировать. Применяются следующие способы за­щиты дискет от копирования:

— парольная защита дискеты, при которой без вво­да пароля дискета не копируется;

— привязка информации к определенной дискете: фирме и типу дис­кеты, нестандартному способу форматирования дискеты,нанесению уникальных признаков на дискету, связанных с введением за­ранее по­меченных «сбойных» участков;

— привязка информации к определенной ПЭВМ, на­пример: тактовой час­тоте, параметрам накопите­лей, дисплея, принтера и др.

В соответствии с задачамизащиты от копирования имеется много программ защиты, напримерпрограммаSuper Guard-многоуровне­вая система защиты дискет от копирования.

Защита клавиатуры и дисплея применяется, когда пользователь от­лучается с рабочего места на короткое время. Например, утилита Disk­reet (Norton Utilities) бло­кирует клавиатуру и гасит экран при ее вводе. Ограни­чения снимаются введением пароля.

Резервное копирование информации. Резервное копирование ин­формации предназначено для защиты ее от уничтожения и искажения на жестких магнитных дисках и осуществляется на дискеты, сменные жесткие диски, стримеры, магнитооптические диски. Резервное копиро­вание обычно производится со сжатием (компрессией) информации, т.е. создаются файлы меньшего размера, чем исходные. Это делают специ­альные программы — ар­хиваторы. Независимо от носителя резервной информации и программы-архиватора смысл сжатия практичес­ки одина­ков.

В различных файлах на жестком диске, как правило, есть повторяю­щиеся фрагменты, которые архи­ватор находит и ликвидирует все, кроме одного. Таким образом, освобождаются места, куда может быть записа­на другая информация, а также сведения о ликвидиро­ванных фрагмен­тах. Коэффициент сжатия у различных файлов разный, он больше у тек­стовых и графических файлов и меньше у программных. Считается, что про­граммы-архиваторы сжимают файлы в полтора — два раза.

Наиболее известны архиваторы PKZIP/PKUNZIP, РАК/РКРАК, ARJи Win RAR. Эти программы архиви­руют отдельные файлы или все файлы каталога (подка­талога). Программы PKZIP/PKUNZIP и РАК/РКРАК обла­дают большой скоростью работы и высокой степе­нью сжатия, а ARJ и WinRAR имеют разнообразные сервисные функции. Основные режимы работы некото­рых архиваторов:

— A (Add) — помещение в архив всех файлов;

— Е (Extract) — извлечение из архива файлов;

— U (Update) — добавление в архив новых файлов;

— F (Freshen) — добавление новых версий, имеющихся в архивеновых файлов.

— Примеры применения архиваторов.

— PKZIPDOCUMENT — создание архива файлов ка­талога DOCUMENT с помощью архиватора PKZIP;

— ARJ ADOCUMENT — архивация файлов програм­мой ARJ;

— PKUNZIPDOCUMENT — извлечение из архива фай­лов каталога DOCUMENT с помощью реархиватора PKUNZIP;

— ARJEDOCUMENT — реархивация файлов програм­мой ARJ;

Шифрование информации. Шифрование информации является са­мым надеж­ным способом защиты информации, так как защищает­ся сама информация, а не доступ к ней. Шифрование иногда называют криптографическим преобразованием информации (от греч. criptos — тайна, logos — слово). Основные методы шифрования:

— подстановка, заключающаяся в замене символов исходного текста символами другого алфавита (цифрами, буквами, пиктограммами) в соответствии с заранее обусловленной схемой замены;

— перестановка – символы шифруемого текста переставляются по какому-то правилу в пределах какого-то блока текста

— гаммирование, представляющее собой наложение на символы исход­ного текста последовательности (гаммы) других символов иначе, символы шифруемого текста складываются с символами некоторой случайной последовательности (гаммы);

— применение математических методов (например, алгебры матриц) для преобразования исходного текста в зашифрованный текст;

— двойное шифрование (последовательное применение двух упомяну­тых методов), которое применяется для закрытия особо важной информации.

К шифрам, предназначенным для закрытия информации, предъявляется ряд требований, основные из них:

— достаточная стойкость (надежность закрытия);

— простота шифрования и расшифрования;

— нечувствительность к небольшим ошибкам шифрования;

— возможность внутримашинной обработки зашифрованной информации;

— незначительная избыточность информации за счет шифрования.

Шифрование осуществляется специальными программами – шифра­торами. Одним из самых распространенных способов шифрования яв­ляется стандарт США DES (Data Encryption Standard). Например, при ис­пользовании алгоритма DES число ключей для открывания «замка» со­ставляет 72*1024 , подбор которых на ПЭВМ займет несколько тысяч лет.

Для шифрования коммерческой информации широко используется утилита Diskreet из пакета Norton Utilities (стандарт DES) и программа «Иней» из пакета ЦНИИ Автоинформ (ГОСТ 28147-89). В связи с объективной необходимостью средства и способы защиты информации постоянно расширяются и совершенствуются.

>Блокирование компьютерной информации

Блокирование компьютерной информации

Термин блокирование компьютерной информации имеет множество определений.

Блокирование — невозможность использования информации при её сохранности. Данное определение дает ряд таких авторов как В. С. Комиссаров, Ю. М. Ткачевский.

Другие авторы (Ю. Ляпунов, В. Максимов, Т. И. Ваулина и др.) определяют блокирование как искусственное затруднение (создание препятствий) доступа пользователей к компьютерной информации, не связанное с её уничтожением.

Третья группа авторов (например, Ю. Гульбин) полагают, что блокирование есть создание условий, исключающих пользование компьютерной информацией (например, лишение правомерного пользователя возможности реализовать информацию ЭВМ по назначению).

Согласно литературе по вычислительной технике, блокировка — это запрет на выполнение последующих операций до завершения выполнения текущей либо запрет дальнейшего выполнения последовательности команд, или выключение из работы какого-либо устройства ЭВМ.

Толковый словарь под ред. С. И. Ожогова, определяет блокирование как закрепление в определенном положении. В конечном итоге важна не точность указанных определений, а их содержательная суть. Фактически же можно сказать, что если результатом неправомерного доступа явилась остановка ЭВМ, её устройств и связанных систем, то можно говорить о блокировании (блокировке) компьютерной информации (ЭВМ, системы ЭВМ или их сети).

По мнению С. Кочои, Д. Савельева, блокирование — невозможность получить доступ в течение значимого промежутка времени к компьютерной информации в памяти ЭВМ. Разблокирование информации может быть осуществленно как в результате чьих-либо действий, так и автоматически, по истечении определенного промежутка времени. Блокирование информации должно продолжаться в течение такого отрезка времени, которого достаточно, чтобы нарушить нормальную деятельность пользователей информации или создать угрозу нарушения такой деятельности.

Чаще всего руководствуются определением рассматриваемого понятия, которое дано В. В. Крыловым: блокирование информации — результат воздействия на ЭВМ и её элементы, повлекшего временную или постоянную невозможность осуществления каких-либо операций над компьютерной информацией. Достоинство данного определения состоит в том, что в нём блокирование рассматривается как результат преступного воздействия на компьютерную информацию.

  1. Уголовное право РФ. Особенная часть: Учебник/ Под ред. Г. Н. Борзенкова и В. С. Комиссарова. С. 541.
  2. Ляпунов Ю., Максимов В. Ответственность за компьютерные преступления. С. 11.
  3. Гульбин Ю. Указ. соч. С. 25.
  4. 1 2 Крылов В. В. Информационные компьютерные преступления. С. 52.
  5. Кочои С., Савельев Д. Указ. соч. С. 45.

Информационная безопасность. Информационная безопасность – совокупность мер по защите информационной среды общества и человека В этой работе использована. — презентация

1 Информационная безопасность

2 Информационная безопасность – совокупность мер по защите информационной среды общества и человека В этой работе использована презентация учителя информатики Горбач О.Ю. (ст.Крыловская )

3 Информационные угрозы Случайные: Ошибки пользователя Ошибки в програмировании Отказ, сбой аппаратуры Форс-мажорные обстоятельства Случайные: Ошибки пользователя Ошибки в програмировании Отказ, сбой аппаратуры Форс-мажорные обстоятельства Преднамеренные: Хищение информации Компьютерные вирусы Физическое воздействие на аппаратуру Преднамеренные: Хищение информации Компьютерные вирусы Физическое воздействие на аппаратуру

4 Каналы, по которым можно осуществить хищение, изменение или уничтожение информации: Через человека: хищение носителей информации; чтение информации с экрана или клавиатуры; чтение информации из распечатки. Через человека: хищение носителей информации; чтение информации с экрана или клавиатуры; чтение информации из распечатки. Через программу: перехват паролей; дешифровка зашифрованной информации; копирование информации с носителя. Через программу: перехват паролей; дешифровка зашифрованной информации; копирование информации с носителя. Через аппаратуру: подключение специально разработанных аппаратных средств, обеспечивающих доступ к информации; перехват побочных электромагнитных излучений от аппаратуры, линий связи, сетей электропитания и т.д Через аппаратуру: подключение специально разработанных аппаратных средств, обеспечивающих доступ к информации; перехват побочных электромагнитных излучений от аппаратуры, линий связи, сетей электропитания и т.д

5

6 СОБЛЮДЕНИЕ РЕЖИМА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ: законодательный уровень: законы, нормативные акты, стандарты и т.п. морально-этический уровень: нормы поведения, несоблюдение которых ведет к падению престижа конкретного человека или целой организации; административный уровень: действия общего характера, предпринимаемые руководством организации; физический уровень: механические, электро- и электронно-механические препятствия на возможных путях проникновения потенциальных нарушителей; аппаратно-программный уровень: электронные устройства и специальные программы защиты информации.

7 ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ при использовании программного обеспечения сторонних разработчиков: ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ при использовании программного обеспечения сторонних разработчиков: commercial software demoware или trialware shareware freeware коммерческое программное обеспечение, созданное с целью получения прибыли от его использования другими демонстрационная версия коммерческого программного обеспечения (demoware или trialware), распространяемая бесплатно, но имеющая определенные ограничения функциональности, по сравнению с основной версией условно-бесплатное программное обеспечение, использование которого связано с выполнением каких-то условий бесплатное программное обеспечение, лицензионное соглашение которого не требует каких-либо выплат правообладателю

8 commercial software demoware или trialware shareware freeware коммерческое программное обеспечение, созданное с целью получения прибыли от его использования другими демонстрационная версия коммерческого программного обеспечения (demoware или trialware), распространяемая бесплатно, но имеющая определенные ограничения функциональности, по сравнению с основной версией условно-бесплатное программное обеспечение, использование которого связано с выполнением каких-то условий бесплатное программное обеспечение, лицензионное соглашение которого не требует каких-либо выплат правообладателю ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ: ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ при использовании программного обеспечения сторонних разработчиков: ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ при использовании программного обеспечения сторонних разработчиков: — при установке программы необходимо внимательно ознакомиться с содержанием лицензионного соглашением и строго выполнять его; — не пользоваться «пиратскими» способами преобразования платных программ в бесплатные; — устанавливать бесплатное (freeware) программное обеспечение, полученное только от надежных источников; — своевременно производить обновление установленного программного обеспечения.

9 Во время работы с информацией в сети ИНТЕРНЕТ остерегайтесь: веб-сайтов, собирающих или предоставляющих информацию о вас; провайдеров интернет-служб или работодателей, отслеживающих посещенные вами страницы; вредоносных программ, отслеживающих нажатия клавиш; сбора данных скрытыми клиентскими приложениями; «скаченной» информации не прошедшей проверку антивирусной программой.

10 ВАША ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ЗАВИСИТ ТОЛЬКО ОТ ВАС!

11 Контрольные вопросы: 1.Что означает термин «информационная безопасность»? 2.Какие бывают информационные угрозы? 3.Назовите каналы, по которым может осуществляться хищение, изменение, уничтожение информации. 4.По каким направлениям проводятся мероприятия, направленные на соблюдение режима информационной безопасности? 5.Что нужно знать при инсталляции (установке) нового программного обеспечения на компьютер? 6.С какими опасностями можно встретиться во время работы в сети интернет?

12 ГБОУ СПО «Клинцовский педагогический колледж» Кабинет информатики Космачев Владимир Константинович

ГОСТ Р 50922-96

ГОСУДАРСТВЕННЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Защита информации
ОСНОВНЫЕ ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

1 Область применения

Настоящий стандарт устанавливает основные термины и их определения в области защиты информации.
Термины, установленные настоящим стандартом, обязательны для применения во всех видах документации и литературы по защите информации.
Настоящий стандарт применяется совместно с ГОСТ РВ 50170-92.

2 Общие положения

Установленные в стандарте термины расположены в систематизированном порядке, отражающем систему понятий в данной области знания.
Для каждого понятия установлен один стандартизованный термин.
Заключенная в круглые скобки часть термина может быть опущена при использовании термина в документах по стандартизации. Оставшаяся часть термина является его краткой формой и приводится в алфавитном указателе раздельно с указанием того же номера статьи.
Наличие квадратных скобок в терминологической статье означает, что в нее включены два (три, четыре и т.п.) термина, имеющие общие терминоэлементы. В алфавитном указателе данные термины приведены отдельно с указанием номера статьи.
Разрешается, при необходимости, уточнять приведенные определения, вводя дополнительные признаки, раскрывающие значения терминов, без искажения смысла определения.
Термины и определения общетехнических понятий, необходимые для понимания текста стандарта, приведены в приложении А.

3 Стандартизованные термины и их определения

3.1 Основные понятия
1 Защищаемая информация — информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.
Примечание:
Собственником информации может быть — государство, юридическое лицо, группа физических лиц, отдельное физическое лицо.
2 Защита информации — деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.
3 Защита информации от утечки — деятельность по предотвращению неконтролируемого распространения защищаемой информации от ее разглашения, несанкционированного доступа к защищаемой информации и от получения защищаемой информации разведками.
4 Защита информации от несанкционированного воздействия — защита информации от НСВ: Деятельность по предотвращению воздействия на защищаемую информацию с нарушением установленных прав и/или правил на изменение информации, приводящего к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.
5 Защита информации от непреднамеренного воздействия — деятельность по предотвращению воздействия на защищаемую информацию ошибок пользователя информацией, сбоя технических и программных средств информационных систем, а также природных явлений или иных нецеленаправленных на изменение информации воздействий, связанных с функционированием технических средств, систем или с деятельностью людей, приводящих к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.
6 Защита информации от разглашения — деятельность по предотвращению несанкционированного доведения защищаемой информации до неконтролируемого количества получателей информации.
7 Защита информации от несанкционированного доступа — защита информации от НСД: Деятельность по предотвращению получения защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или собственником, владельцем информации прав или правил доступа к защищаемой информации.
Примечание:
Заинтересованным субъектом, осуществляющим несанкционированный доступ к защищаемой информации, может выступать: государство, юридическое лицо, группа физических лиц, в том числе общественная организация, отдельное физическое лицо.
8 Защита информации от разведки — деятельность по предотвращению получения защищаемой информации разведкой.
9 Защита информации от технической разведки — деятельность по предотвращению получения защищаемой информации разведкой с помощью технических средств.
10 Защита информации от агентурной разведки — деятельность по предотвращению получения защищаемой информации агентурной разведкой.
11 Цель защиты информации — желаемый результат защиты информации.
Примечание:
Целью защиты информации может быть предотвращение ущерба собственнику, владельцу, пользователю информации в результате возможной утечки информации и/или несанкционированного и непреднамеренного воздействия на информацию.
12 Эффективность защиты информации — степень соответствия результатов защиты информации поставленной цели.
13 Показатель эффективности защиты информации — мера или характеристика для оценки эффективности защиты информации.
14 Нормы эффективности защиты информации — значения показателей эффективности защиты информации, установленные нормативными документами.
3.2 Организация защиты информации
15 Организация защиты информации — содержание и порядок действий по обеспечению защиты информации.
16 Система защиты информации — совокупность органов и/или исполнителей, используемая ими техника защиты информации, а также объекты защиты, организованные и функционирующие по правилам, установленным соответствующими правовыми, организационно-распорядительными и нормативными документами по защите информации.
17 Мероприятие по защите информации — совокупность действий по разработке и/или практическому применению способов и средств защиты информации.
18 Мероприятие по контролю эффективности защиты информации — совокупность действий по разработке и/или практическому применению методов и средств контроля эффективности защиты информации.
19 Техника защиты информации — средства защиты информации, средства контроля эффективности защиты информации, средства и системы управления, предназначенные для обеспечения защиты информации.
20 Объект защиты — информация или носитель информации или информационный процесс, в отношении которых необходимо обеспечивать защиту в соответствии с поставленной целью защиты информации.
21 Способ защиты информации — порядок и правила применения определенных принципов и средств защиты информации.
22 Категорирование защищаемой информации — установление градаций важности защиты защищаемой информации .
23 Метод контроля эффективности защиты информации — порядок и правила применения определенных принципов и средств контроля эффективности защиты информации.
24 Контроль состояния защиты информации — проверка соответствия организации и эффективности защиты информации установленным требованиям и/или нормам в области защиты информации.
25 Средство защиты информации — техническое, программное средство, вещество и/или материал, предназначенные или используемые для защиты информации.
26 Средство контроля эффективности защиты информации — техническое, программное средство, вещество и/или материал, предназначенные или используемые для контроля эффективности защиты информации.
27 Контроль организации защиты информации — проверка соответствия состояния организации, наличия и содержания документов требованиям правовых, организационно-распорядительных и нормативных документов по защите информации.
28 Контроль эффективности защиты информации — проверка соответствия эффективности мероприятий по защите информации установленным требованиям или нормам эффективности защиты информации.
29 Организационный контроль эффективности защиты информации — проверка полноты и обоснованности мероприятий по защите информации требованиям нормативных документов по защите информации.
30 Технический контроль эффективности защиты информации — контроль эффективности защиты информации, проводимой с использованием средств контроля.

4. Алфавитный указатель терминов:

защита информации
ЗИ
защита информации от агентурной разведки
защита информации от иностранной разведки
защита информации от иностранных технических разведок
защита информации от непреднамеренного воздействия
защита информации от несанкционированного воздействия
защита информации от несанкционированного доступа
защита информации от НСВ
защита информации от НСД
защита информации от разведки
защита информации от разглашения
защита информации от технической разведки
защита информации от утечки
защищаемая информация
категорирование защищаемой информации
категорирование объекта защиты
контроль организации защиты информации
контроль состояния защиты информации
контроль эффективности защиты информации
контроль эффективности защиты информации
организационный
контроль эффективности защиты информации
технический
мероприятие по защите информации
мероприятие по контролю эффективности защиты информации
метод контроля эффективности защиты информации
нормы эффективности защиты информации
объект защиты
организация защиты информации
показатель эффективности защиты информации
система защиты информации
способ контроля эффективности защиты информации
способ защиты информации
средство защиты информации
средство контроля эффективности защиты информации
техника защиты информации
цель защиты информации
эффективность защиты информации



ГОСТ Р 50922-96

Приложение А (справочное)

Термины и определения, необходимые для понимания текста стандарта
1. Информация — сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления.
2. Доступ к информации — получение субъектом возможности ознакомления с информацией, в том числе при помощи технических средств.
3. Субъект доступа к информации — субъект доступа: участник правоотношений в информационных процессах.
Примечание: Информационные процессы — процессы создания, обработки, хранения, защиты от внутренних и внешних угроз, передачи, получения, использования и уничтожения информации.
4. Носитель информации — физическое лицо, или материальный объект, в том числе физическое поле, в которых информация находит свое отображение в виде символов, образов, сигналов, технических решений и процессов.
5. Собственник информации — субъект, в полном объеме реализующий полномочия владения, пользования, распоряжения информацией в соответствии с законодательными актами.
6. Владелец информации — субъект, осуществляющий владение и пользование информацией и реализующий полномочия распоряжения в пределах прав, установленных законом и/или собственником информации.
7. Пользователь информации — субъект, пользующийся информацией, полученной от ее собственника, владельца или посредника в соответствии с установленными правами и правилами доступа к информации либо с их нарушением.
8. Право доступа к информации — право доступа: совокупность правил доступа к информации, установленных правовыми документами или собственником, владельцем информации.
9. Правило доступа к информации — правило доступа: совокупность правил, регламентирующих порядок и условия доступа субъекта к информации и ее носителям.
10. Орган защиты информации — административный орган, осуществляющий организацию защиты информации.

ПОЯСНИТЕЛЬНАЯ ЗАПИСКА
К проекту Государственного стандарта “Защита информации.Основные термины и определения”

(окончательная редакция)

1. Основание для разработки стандарта
1. решение Председателя Гостехкомиссии России “О научных исследованиях по защите информации в 1994 году” от 2.06.1993г.
2. Техническое задание на НИР “Фронда-94”, утвержденное Первым заместителем Председателя Гостехкомиссии России 23 января 1994г.
3. Техническое задание на разработку государственного стандарта “Защита информации. Основные термины и определения”, утвержденное Первым заместителем Председателя Гостехкомиссии России 31 октября 1994г.
2. Цель и задачи разработки стандарта
Основной целью разработки стандарта является установление однозначно понимаемой и непротиворечивой терминологии во всех видах документации и литературы, деятельности органов, занимающихся защитой информации (ЗИ).
Основными задачами разработки стандарта являются:
· терминологическое обеспечение для однозначного взаимопонимания между разработчиками, изготовителями, продавцами и потребителями (заказчиками) в области ЗИ;
· фиксация в разрабатываемом стандарте современного уровня научного знания и технического развития в области ЗИ;
· обеспечение взаимосвязанного и согласованного развития лексических средств, используемых в документации и литературе в области ЗИ.
3. Краткая характеристика объекта стандартизации
Стандарт разрабатывается впервые.
В связи с тем, что информация является предметом собственности (государства, коллектива, отдельного лица (субъекта)), то неизбежно возникает проблема угрозы безопасности этой информации, заключающейся в неконтролируемом ее распространении, в хищении, несанкционированном уничтожении, искажении, передаче, копировании, блокировании доступа к информации. Следовательно, возникает проблема защиты информации от утечки и несанкционированных воздействий на информацию и ее носители, а также предотвращения других форм незаконного вмешательства в информационные ресурсы и информационные системы. В связи с чем понятие “Защита информации” становится основополагающим (ключевым) понятием и рассматривается как процесс или деятельность, направленная на предотвращение утечки защищаемой информации, а также по предотвращению различного рода несанкционированных воздействий (НСВ) на информацию и ее носители.
Значимость защиты информации увеличивается в связи с возрастанием возможностей иностранных разведок за счет совершенствования технических средств разведки, приближения этих средств к объектам разведки (носителям информации) вследствие развертывания инспекционной деятельности, создания совместных предприятий и производств, сокращения закрытых для иностранцев зон и городов.
С развитием конкуренции в среде свободного предпринимательства крупномасштабной задачей в области “Защита информации” становится борьба с промышленным и экономическим шпионажем, распространению которого способствует широкомасштабное применение для обработки информации средств вычислительной техники (особенно персональных ЭВМ), созданием вычислительных сетей, систем, баз данных, многочисленных средств передачи информации. Промышленный шпионаж ведется в основном с целью завоевания рынков сбыта, исключения технологических прорывов конкурентов, срыва переговоров по контрактам, перепродажи фирменных секретов и т.д. По мере ослабления противостояния между Востоком и Западом промышленный шпионаж в работе многих разведок, в том числе и ЦРУ США, становится приоритетным направлением наряду с политической разведкой.
В настоящее время основные вопросы защиты информации регламентированы Законами РФ “О государственной тайне”, “Об информации, информатизации и защите информации”, “О безопасности”, “О связи”, “Положением о государственном лицензировании деятельности в области защиты информации”, документами Гостехкомиссии России и оборонных отраслей промышленности, например, проект ГОСТ по шифровальной технике.
Однако, существующая терминология в области защиты информации не согласована, в некоторых случаях противоречива и не представляет терминологическую систему в проблемной области “Защита информации”.
Поэтому на стадии разработки первой, второй и окончательной редакции проекта стандарта “Защита информации. Основные термины и определения” проведена основная работа по упорядочению стандартизуемой терминологии, включающая:
· уточнение границ предметной области “Защита информации”;
· систематизацию понятий и построение классификации понятий;
· определение структуры разделов стандарта и расположения терминов в разделах.
Методологической основой стандартизации научно-технической терминологии в предметной области “Защита информации” является системный принцип упорядочения, предусматривающий анализ и оценку каждого термина как элемента терминосистемы и каждой терминосистемы как элемента взаимосвязанных (более общих, соподчиненных , более узких) терминосистем.
Классификационная схема понятий в предметной области “Защита информации” приведена на рисунке.
Основополагающим в классификационной схеме принято понятие “Защита информации” с позиции собственника, владельца, пользователя информацией как деятельность (процесс), направленная на предотвращение утечки защищаемой информации, а также по предотвращению различного рода несанкционированных воздействий (НСВ) на информацию и ее носители, т.е. защита информации от угроз безопасности информации. При таком понимании защиты информации предложенная классификация понятий в предметной области “Защита информации” позволяет разрабатывать соподчиненные (более узкие) тнрминосистемы, как элементы взаимосвязанных терминосистем, такие как:
· защита информации от разглашения;
· защита информации от утечки по каналам технической разведки;
· защита информации от физического (частного) лица; защита информации от несанкционированного доступа; защита информации от несанкционированных воздействий.
Еще более узкие терминосистемы, как элементы взаимосвязанных терминосистем, например, могут быть:
· защита информации от утечки по каналам радио-, радиотехнической разведки;
· защита информации от утечки по каналам визуально-оптической разведки;
· защита информации от утечки по акустическому каналу;
· защита информации от утечки за счет ПЭМИН;
· защита информации от утечки по каналам специальных электронных закладных устройств;
· защита информации от НСД при ее обработке с помощью технических средств (средств вычислительной техники, в ТСПИ и средствах связи, в средствах оргтехники);
· защита информации шифрованием; защита информации режимно-секретной деятельностью; защита информации обеспечением безопасности связи.
Соподчиненные терминосистемы могут объединяться или, наоборот, формировать дополнительно более частные соподчиненные терминосистемы.
Соподчиненной терминосистемой является и терминосистема “Информация”, содержащая термины и определения, регламентирующие свойства и состояние информации, такие как: информация; безопасность, секретность (конфиденциальность), доступность, целостность информации; уничтожение, хищение и искажение, подделка, копирование, модификация, преобразование, передача информации и др.
Кроме того, предложенная классификация определяет структуру разделов основополагающего стандарта “Защита информации. Основные термины и определения”.
1. Основные понятия.
2. Организация защиты информации.
Таким образом, предложенная классификация понятий в области защиты информации позволяет представить стройную систему терминов и определений по рассматриваемой проблеме. Причем данная классификационная схема не ограничивает пути ее совершенствования, например, терминосистема “Защита информации от НСД при ее обработке с помощью технических средств” может быть представлена более частными соподчиненными терминосистемами:
· защита информации, обрабатываемой средствами вычислительной техники, от НСД штатными средствами;
· защита информации от НСД в ТСПИ и средствах связи; защита информации от НСД в средствах оргтехники.
4. Сведения о соответствии проекта стандарта международным (региональным) стандартам (их проектам) и национальным стандартам других стран
Головной разработчик проекта стандарта сведениями о наличии международных (региональных) и национальных стандартов других стран аналогичного содержания не располагает.
5. Сведения о патентной чистоте проекта стандарта При разработке проекта стандарта отечественные и национальные патенты не использовались.
6. Взаимосвязь с другими нормативными документами Разрабатываемый стандарт должен применяться совместно с ГОСТ РВ 50170-92.
7. Сведения о рассылке на отзыв второй редакции проекта стандарта
Вторая редакция проекта стандарта рассылалась на отзыв в соответствии с утвержденным заказчиком техническим заданием в 29 НИО МО РФ и промышленности, получены отзывы от 24 организаций, из них от 12 организаций — без замечаний.
Краткая характеристика принципиальных замечаний и предложений на вторую редакцию проекта стандарта:
· предлагается ряд уточнений для классификационной схемы понятий;
· предлагается пересмотреть систематизацию понятий в соответствии со схемой классификации;
· предлагается уточнить понятия “защита информации” и “несанкционированный доступ к информации”.
8. Источники информации
1. Конституция Российской Федерации. М. Юридическая литерату-ра,1993.
2. Закон Российской Федерации “О государственной тайне”. И. N-5486-1 от 21.07.93г.
3. Закон Российской Федерации “Об информации, информатизации и защите информации” N- 24-ФЗ, 1995.
4. Закон Российской Федерации “О связи”, N- 15-ФЗ,1995.
5. Закон Российской Федерации “О безопасности”, N- 2446-1,1992.
6. Положение о Государственной системе защиты информации от иностранных технических разведок и от ее утечки по техническим каналам, М.Воениздат,1993.
7. Положение о государственном лицензировании деятельности в области защиты информации.М.1994.
8. ГОСТ 14777-76 “Радиопомехи индустриальные. Термины и определения”.
9. ГОСТ 15467-79 “Управление качеством продукции. Основные понятия. Термины и определения”.
10. ГОСТ 16487-83 “Делопроизводство и архивное дело. Термины и определения”.
11. ГОСТ 16504-81 “Система государственных испытаний продукции. Испытания и контроль качества продукции. Основные термины и определения”.
12. ГОСТ 22515-27 “Связь телеграфная. Термины и определения”.
13. ГОСТ 22670-77 “Сеть связи цифровая интегральная. Термины и определения”.
14. ГОСТ 23611-79 “Совместимость радиоэлектронных средств электромагнитная. Термины и определения”.
15. ГОСТ 24375-80 “Радиосвязь. Термины и определения”.
16. ГОСТ 26883-86 “Внешние воздействующие факторы. Термины и определения”.
17. Проект Государственного стандарта “Защита информации, обрабатываемой с помощью технических средств. Термины и определения”, 1993.
18. Руководящий документ. “Защита от несанкционированного доступа к информации. Термины и определения”, Гостехкомиссия России.М.1992.
19. Г.Н. Устинов. Обеспечение безопасности информации при ее передаче по каналам и сетям связи., “Стандартизация военной техники”, N- 3, 1993.
20. В.А. Герасименко. Концепция современной информатики. “Зарубежная радиоэлектроника”, N- 4,1993.
21. В.П. Харламов. Концептуальный подход и терминология в области защиты информации. Информационный сборник.
22. Д.Б. Халяпин, В.И. Ярочкин. Основы защиты промышленной и коммерческой информации. Термины и определения. Институт повышения квалификации информационных работников.Москва,1994.
23. Терминология в области защиты информации. Справочник.
М., ВНИИстандарт,1993.
24. Р50-603-1-89.Рекомендации. Разработка стандартов на термины и определения (Разработчик ВНИИКИ),М.,1990.
25. Р50-603-1-89. Изменение N-1.Рекомендации. Разработка стандартов на термины и определения. (Разработчик ВНИИ-КИ).М.,1993.

Основные понятия в области технической защиты информации

В современном обществе в связи с бурной информатизацией всё более актуальной становится проблема защиты информации. Но прежде чем говорить о защите информации, важно определить понятие информации, которое само по себе является первичным в данной области. Существует множество определений информации, которые варьируются в зависимости от контекста. В данном курсе под информацией мы будем подразумевать сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления . По Ожегову С.И. сведения — это знания .

Следовательно, в общем случае информация — это знания в самом широком понимании этого слова. То есть это не только образовательные или научные знания, а любые сведения и данные, которые присутствуют повсеместно. Защите подлежит конфиденциальная информация и секретная информация, к которой относится государственная тайна. Под конфиденциальной информацией подразумевается информация ограниченного доступа, не содержащая государственную тайну.

В общем случае защита информации представляет собой противостояние специалистов по информационной безопасности и злоумышленников. Злоумышленник – это субъект, который незаконным путем пытается добыть, изменить или уничтожить информацию законных пользователей.

Защита информации является слабоформализуемой задачей, то есть не имеет формальных методов решения, и характеризуется следующим:

  • большое количество факторов, влияющих на построение эффективной защиты;
  • отсутствие точных исходных входных данных;
  • отсутствие математических методов получения оптимальных результатов по совокупности исходных данных.

В основе решения слабоформализуемых задач лежит системный подход. То есть для решения задачи защиты информации необходимо построить систему защиты информации, представляющую собой совокупность элементов, функционирование которых направлено на обеспечение безопасности информации. Входами любой системы являются воздействия, меняющие состояние системы. Для системы защиты информации входами являются угрозы, как внутренние, так и внешние. Угроза безопасности информации — совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации. Атакой называется попытка реализации угрозы, а тот, кто предпринимает такую попытку, — злоумышленником. Источник угрозы безопасности информации — субъект (физическое лицо, материальный объект или физическое явление), являющийся непосредственной причиной возникновения угрозы безопасности информации . Источниками угроз могут быть злоумышленники, технические средства внутри организации, сотрудники организации, побочные физические явления и пр. Выходами системы являются реакции системы на различные значения входов. Выходами системы защиты информации являются меры защиты. К параметрам системы защиты информации можно отнести следующее:

  • цели и задачи;
  • входы и выходы системы;
  • процессы внутри системы, которые преобразуют входы в выходы.

Цель – это желаемый результат построения системы защиты, задачи – то, что надо сделать для достижения цели. Целью защиты информации является обеспечение информационной безопасности. Понятие информационной безопасности не менее многогранно, чем понятие самой информации, и зависит от контекста, в котором применяется. В ходе данного курса под информационной безопасностью мы будем понимать защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры . То есть информационная безопасность – это безопасность не только информации, но и поддерживающей инфраструктуры. Если рассматривать только информацию, то безопасность информации — состояние защищенности информации, при котором обеспечиваются ее конфиденциальность, доступность и целостность.

Конфиденциальность, доступность и целостность представляют собой три наиболее важных свойства информации в рамках обеспечения ее безопасности:

  • конфиденциальность информации — состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на него право;
  • целостность информации — состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими на него право;
  • доступность информации — состояние информации, при котором субъекты, имеющие права доступа, могут реализовать их беспрепятственно .

К правам доступа относятся: право на чтение, изменение, копирование, уничтожение информации, а также право на изменение, использование, уничтожение ресурсов.

Более детально цели защиты информации перечислены в Федеральном законе «Об информации, информатизации и о защите информации»:

  • предотвращение утечки, хищения, утраты, искажения, подделки информации;
  • предотвращение угроз безопасности личности, общества, государства;
  • предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации; предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы, обеспечение правового режима документированной информации как объекта собственности;
  • защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;
  • сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством;
  • обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологий и средств их обеспечения

Важно понимать, что система защиты информации не может обеспечить стопроцентную защиту. Задается определенный уровень информационной безопасности, который отображает допустимый риск ее хищения, уничтожения или изменения.

Все меры защиты информации по способам осуществления подразделяются на:

  • правовые (законодательные);
  • морально-этические;
  • технологические;
  • организационные (административные и процедурные);
  • физические;
  • технические (аппаратурные и программные).

Среди перечисленных видов защиты базовыми являются правовая, организационная и техническая защита информации.

Правовая защита — защита информации правовыми методами, включающая в себя разработку законодательных и нормативных правовых документов (актов), регулирующих отношения субъектов по защите информации, применение этих документов (актов), а также надзор и контроль за их исполнением. К правовым мерам защиты относятся законы РФ, указы и другие нормативно-правовые акты. На законодательном уровне происходит регламентация правил обращения с информацией, определяются участники информационных отношений, их права и обязанности, а также ответственность в случае нарушения требований законодательства. В некотором роде эту группу мер можно отнести к профилактическим. Их основной функцией является упреждение потенциальных злоумышленников, ведь в большинстве случаев именно страх наказания останавливает от совершения преступления. Достоинствами правовых мер защиты является их универсальность в плане применения ко всем способам незаконной добычи информации. Более того, в некоторых случаях они являются единственно применимыми, как, например, при защите авторского права в случае незаконного тиражирования.

К морально-этическим мерам относятся устоявшиеся в обществе нормы поведения. В отдельных случаях они могут быть оформлены в письменном виде, например, уставом или кодексом чести организации. Соблюдение морально-этических норм не является обязательным и носит скорее профилактический характер.

Организационные меры защиты – меры организационного характера, предназначенные для регламентации функционирования информационных систем, работы персонала, взаимодействия пользователей с системой. Среди базовых организационных мер по защите информации можно выделить следующее:

  • Формирование политики безопасности;
  • Регламентация доступа в помещения;
  • Регламентация допуска сотрудников к использованию ресурсов информационной системы и др.
  • Определение ответственности в случае несоблюдения требований информационной безопасности.

Организационные меры сами по себе не могут решить задачу обеспечения безопасности. Они должны работать в комплексе с физическими и техническими средствами защиты информации в части определения действий людей.

Физическая защита представляет собой совокупность средств, препятствующих физическому проникновению потенциального злоумышленника в контролируемую зону. Ими могут быть механические, электро- или электронно-механические устройства различного типа. Чаще всего, именно с построения физической защиты начинается обеспечение безопасности в организации, в том числе информационной.

Последним и самым обширным по своему составу эшелоном системы защиты является техническая защита информации. Именно этому виду защиты посвящен данный курс.

Техническая защита информации — защита информации, заключающаяся в обеспечении некриптографическими методами безопасности информации (данных), подлежащей (подлежащих) защите в соответствии с действующим законодательством, с применением технических, программных и программно-технических средств . Важно обратить внимание, что техническая защита – это не только защита от утечки информации по техническим каналам утечки, но и защита от НСД, от математического воздействия, от вредоносных программ и т.п. Объектами технической защиты информации могут быть:

  • объект информатизации;
  • информационная система;
  • ресурсы информационной системы;
  • информационные технологии;
  • программные средства;
  • сети связи.

С позиции системного подхода система защиты информации должна удовлетворять ряду принципов, основными из которых являются:

  1. непрерывность. Если на какое-то время защита ослабевает или прекращается вовсе, злоумышленник может воспользоваться этим.
  2. целенаправленность и конкретность — имеется в виду необходимость защиты от наиболее опасных атак и четкая формулировка целей.
  3. надежность, универсальность и комплексность.

БДИ БЕЗОПАСНОСТЬ ДОСТОВЕРНОСТЬ ИНФОРМАЦИЯ

автоматы дл продажи билетов; автоматы торговые; автоответчики телефонные; аккумул торы электрические; антенны; аппаратура высокочастотна ; аппаратура дл анализов, за исключением медицинских; аппаратура дл дистанционного управлени ; аппаратура дл наблюдени и контрол ; аппаратура звукозаписывающа ; аппараты дл передачи звука; аппараты и установки дл генерации рентгеновского излучени ; аппараты коммутационные электрические; аппараты переговорные; аппараты проекционные; аппараты рентгеновские ; аппараты светосигнальные ; аппараты телефонные; аппараты факсимильные; аппараты электрические дл дистанционного зажигани ; бакены, буи свет щиес ; батареи солнечные; батареи электрические; бинокли; бирки дл товаров электронные; блоки магнитной ленты ; блоки пам ти дл компьютеров; брезент дл спасательных работ; буи сигнальные; буи спасательные; буи указательные; весы конторские дл писем; видеокамеры; видеокассеты; видеотелефоны; видеоэкраны; ворота сто нок транспортных средств ; вывески механические; глазки дверные оптические; громкоговорители; DVD-плееры; детекторы; детекторы дыма; детекторы фальшивых монет; диктофоны; дискеты; диски звукозаписи; диски магнитные; диски оптические; диски счетные; дисководы дл компьютеров; дисководы с автоматической сменой дисков ; ДНК-чипы; доски объ влений электронные; жилеты пуленепробиваемые; жилеты спасательные; запоры электрические; звонки ; звонки сигнальные; звонки аварийные электрические; знаки свет щиес ; зуммеры; измерители; индикаторы ; индикаторы температурные; инструменты измерительные; интерфейсы ; искрогасители; кабели коаксиальные; кабели оптико-волоконные; кабели электрические; калькул торы; карандаши электронные ; карточки идентификационные магнитные; картриджи дл видеоигр; карты с магнитным кодом; каски, шлемы защитные; клавиатуры компьютеров; книжки записные электронные; коврики дл «мыши»; козырьки светозащитные; комбинезоны специальные защитные дл летчиков; коммутаторы; компакт-диски ; компакт-диски ; компьютеры; компьютеры портативные; круги светоотражающие, прикрепл емые к одежде, дл предупреждени транспортных аварий; лазеры, за исключением используемых в медицинских цел х; лампы неоновые; лампы термоэлектронные; лампы усилительные электронные; ленты магнитные; лестницы спасательные пожарные; манекены дл тренировки в оказании помощи ; манипул торы типа «мышь»; маски защитные; машины и приборы дл испытани материалов; мегафоны; мембраны акустические; металлодетекторы дл промышленных или военных целей; микропроцессоры; микрофоны; модемы; молниеотводы; мониторы ; наушники; носители звукозаписи; носители информации магнитные; носители информации оптические; обувь защитна от несчастных случаев, излучени и огн ; огнетушители; ограничители электрические; одежда дл защиты от несчастных случаев, излучени и огн ; охранные системы; панели сигнальные свет щиес или механические; пейджеры; передатчики ; передатчики электронных сигналов; перчатки защитные от несчастных случаев; пленки дл звукозаписи; плоты спасательные; по са спасательные; предохранители; прерыватели дистанционные; приборы дл диагностики ; приборы дл контрол скорости транспортных средств; приборы дл обучени ; приборы дл регистрации времени; приборы записывающие дистанционные; приборы и инструменты оптические; приборы измерительные; приборы наблюдени ; приборы навигационные дл транспортных средств ; приборы навигационные спутниковые; приборы регулирующие электрические; приемники ; принтеры; приспособлени ударные, используемые дл тушени пожаров; прицелы оптические дл огнестрельного оружи ; провода магнитные; провода электрические; проводники электрические; программы дл компьютеров; программы компьютерные ; проигрыватели; процессоры ; публикации электронные ; пульты распределительные электрические; пульты управлени электрические; радары; радиолампы; радиомачты; радиопередатчики дальней св зи; радиоприборы; рации портативные; регул торы защитные от перенапр жени ; регул торы освещени ; реле электрические; ремни безопасности ; респираторы ; свистки сигнальные аварийные; сети спасательные; сетки дл защиты при авари х; сигнализаторы пожаров; сигнализаци светова или механическа ; сирены; системы безопасности и контрол доступа; сканеры ; соединени электрические; средства индивидуальные защиты при авари х; средства обучени аудиовизуальные; станции радиотелеграфные; станции радиотелефонные; стекла с токопровод щим покрытием; стекла светозащитные ; счетчики; счеты; телевизоры; телетайпы; телефоны переносные; трансформаторы электрические; указатели количества; указатели электрические утечки тока ; усилители звука; установки разбрызгивающие дл тушени огн ; установки электрические дл дистанционного управлени производственными процессами ; устройства дл видеозаписи; устройства дл воспроизведени звука; устройства дл закрывани дверей электрические; устройства дл записи на магнитную ленту ; устройства дл защиты от рентгеновского излучени ; устройства дл игр с использованием отдельных экранов или мониторов; устройства дл обеспечени безопасности на железнодорожном транспорте; устройства дл обработки информации; устройства дл открывани дверей электрические; устройства дл предотвращени краж; устройства дл привлечени и уничтожени насекомых электрические; устройства дл развлечений с об зательным использованием отдельных экранов или мониторов; устройства дл считывани знаков оптические; устройства звуковые сигнальные; устройства и оборудование спасательные; устройства коммутационные ; устройства периферийные компьютеров; устройства помехозащитные электрические; устройства св зи акустические; устройства сигнальные аварийные; устройства сигнальные ; устройства сигнальные, используемые при тумане ; устройства считывающие ; устройства, считывающие штриховые коды; фонари сигнальные; фотоаппараты; чехлы защитные противопожарные; чипы ; щиты коммутационные; щиты распределительные электрические; экраны дл защиты лица рабочего; экраны проекционные; электропроводка.

Повышается уровень надежности и защищенности информации.  
Под. информационной безопасностью понимают защищенность информации от случайных и преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации.  

Базы данных можно отнести к полезным и ценным активам при условии постоянного их обновления. Поиск оптимального сочетания между неизбежным дублированием данных, поддержанием защищенности информации и соответствием баз данных поставленным целям всегда доставлял инфраструктурным менеджерам головную боль. Мы уже упоминали о ценности бухгалтерских баз данных в качестве механизма отслеживания продаж при условии установления адекватной системы передачи данных. Не стоит, однако, стремиться к созданию и хранению баз данных, являющихся почти идеальными , но не используемыми. Этот вопрос является предметом многочасовых дебатов в организации и сферой приложения титанических усилий обслуживающего персонала. Аудитор ИК должен оценить степень современности баз данных, соответствие их Целям и целесообразность использования.  
Государственная система защиты информации дополняется системой контроля защищенности информации в лице уполномоченных государством органов, осуществляющих обязательный контроль за выполнением требований по защите информации, являющейся собственностью государства. Такие контрольные органы могут предоставлять для собственников негосударственной конфиденциальной информации услуги по оценке соответствия уровня защищенности этой информации установленным требованиям.  
Защита от ошибок 53, 144 Защищенность информации 46, 145  
Для отрасли связи в целом и для телекоммуникаций, в частности, характерно то, что основной эффект деятельности отрасли проявляется за ее пределами. Другими словами, примерно 90-95% суммарного эффекта получают потребители услуг и лишь порядка 5% остается в отрасли в виде прибыли, что выдвигает особые требования к качеству услуг и защищенности информации и клиента.  
Достоверность — одно из основных требований пользователей, так как это так называемая защищенная информация, необходимая для выводов и решений.  
Принцип сохранности (защищенности) информации, заключающийся в том, что обеспечивается защита от несанкционированного доступа к информации.  
При сравнении этих перечней прав многие приходят к выводу, что власть в основном сосредоточена в руках продавца. Конечно, покупатель может отказаться от приобретения товара. Однако, по мнению критиков, он не располагает достаточной информацией, недостаточно образован и недостаточно защищен, чтобы иметь возможность принимать разумно обоснованные решения, имея дело с чрезвычайно искушенными продавцами. Поборники интересов потребителей требуют предоставить потребителям следующие дополнительные права  
Категория уровня жизни характеризует структуру потребностей человека и возможности их удовлетворения. Потребность — это необходимость, принявшая специфическую форму в соответствии с культурным уровнем и личностью индивида. Для определения степени удовлетворения потребностей фактическое потребление товаров и услуг соотносят с минимальными и реальными стандартами их потребления. Рост уровня жизни создает материальную базу для улучшения качества жизни. Последнее выступает обобщающей характеристикой социально-экономических результатов развития общества и включает среднюю продолжительность жизни, уровень заболеваемости, условия и охрану труда, доступность информации, обеспечение прав человека и т. д. В рыночной экономике важнейшими составляющими качества жизни становятся также степень социальной защищенности населения, свобода выбора человека, улучшение социальной среды, культурные, национальные, религиозные отношения.  
Регистрационный — используется информация, получаемая путем подсчета (регистрации) числа определенных событий, предметов или затрат, например регистрация количества отказов изделия при испытаниях, затрат на создание и эксплуатацию изделия, числа частей сложного изделия, защищенных авторскими свидетельствами и патентами. С помощью этого метода можно определить показатели технологичности, экономичности, патентно-правовые, стандартизации и унификации.  
Секвестр — пропорциональное снижение государственных расходов по всем статьям бюджета (кроме защищенных) в течение времени, оставшегося до конца года. Система цен — совокупность различных видов цен (оптовых, закупочных, розничных и др.), находящихся в тесной взаимосвязи и взаимозависимости. Смета — финансовый документ, содержащий информацию об образовании и расходовании денежных средств в соответствии с их целевым назначением. Смета расходов и доходов — финансовый план учреждения (организации), осуществляющего некоммерческую деятельность.  
Описание продукта потребительские свойства, отличие от товаров конкурентов, степень защищенности патентами, прогноз цены и затрат на производство, организация обслуживания Состояние дел в отрасли Потенциальные потребители Рыночная конъюнктура Информация о рынке  
Следовательно, стойкость любой системы закрытой связи определяется степенью секретности используемого в ней ключа. Тем не менее этот ключ должен быть известен другим пользователям сети, так чтобы они могли свободно обмениваться зашифрованными сообщениями. В этом смысле криптографические системы также помогают решить проблему аутентификации (установления подлинности) принятой информации, поскольку подслушивающее лицо, пассивным образом перехватывающее сообщение, будет иметь дело только с зашифрованным текстом. В то же время истинный получатель, приняв эти сообщения, закрытые известным ему и отправителю ключом, будет надежно защищен от возможной дезинформации.  
Защита от несанкционированного копирования и распространения программ и ценной компьютерной информации является самостоятельным видом защиты имущественных прав, ориентированных на проблему охраны интеллектуальной собственности, воплощенной в виде программ ПЭВМ и ценных баз данных. Данная защита обычно осуществляется с помощью специальных программных средств, подвергающих защищаемые программы и базы данных предварительной обработке (вставка парольной защиты, проверок по обращению к устройствам хранения ключа и ключевым дискетам, блокировка отладочных прерываний, проверка рабочей ПЭВМ по ее уникальным характеристикам и т.д.), которая приводит исполняемый код защищаемой программы и базы данных в состояние, препятствующее его выполнению на чужих машинах. Для повышения защищенности применяются дополнительные аппаратные блоки (ключи), подключаемые к разъему принтера или к системной шине ПЭВМ, а также шифрование файлов, содержащих исполняемый код программы. Общим свойством средств защиты программ от несанкционированного копирования является ограниченная стойкость такой защиты, так как в конечном случае исполняемый код программы поступает на выполнение в центральный процессор в открытом виде и может быть прослежен с помощью аппаратных отладчиков. Однако это обстоятельство не снимает потребительские свойства средств защиты до нуля, так как основной целью их применения является в максимальной степени затруднить, хотя бы временно, возможность несанкционированного копирования ценной информации.  
Анализ, оценку, проектирование системы защиты информации, сертификацию защищенности необходимо проводить независимыми организациями, имеющими государственную лицензию на проведение указанных работ.  
Описанные объекты баз данных, справочников, пользователей автоматизированной информационной системы страховой компании являются носителями или источниками информации как таковой, но информация как статическая сущность не представляет собой особой ценности. Ценность информации заключена в возможности получения ее для каких-либо нужд деятельности страховой компании. Обеспечить такую возможность доступа и сделать его эффективным (быстрым, надежным, защищенным, недорогим) должен сетевой комплекс страховой компании (рис. 10.4).  
Определение параметров матриц анализа портфеля продукции проводится для того, чтобы иметь ясность в отношении сбора необходимой информации, а также для выбора переменных, по которым будет проводиться анализ портфеля. Например, при изучении привлекательности отрасли в качестве таких переменных могут служить размер рынка, степень защищенности от инфляции, прибыльность, темп роста рынка, степень распространенности рынка в мире.  
Почему относительные цены являются сигналом, информацией к принятию решения Производители и потребители в силу ограниченности своих доходов, стремясь как можно полнее удовлетворить личные интересы (первые — получение большей прибыли, вторые — большего количества товаров и услуг), пытаются приобрести ресурсы, товары и услуги при прочих равных условиях (качество, сроки поставки) по более низким ценам. Эту информацию они как раз и получают на основе сравнения цен по замещающим товарам. При потреблении ни один товар не защищен от конкуренции со стороны товаров-заменителей (субститутов). Например, пластические материалы конкурируют с металлами, уголь — с нефтью, синтетические материалы — с натуральными тканями и т.д. И если цена одного товара растет по отношению к цене другого, то это сигнал для потребителя о том, чтобы он переключатся на использование более дешевых заменителей. В то же время при кажущемся единстве устремлений производителей и потребителей, а именно — приобретение ресурсов и товаров по более низкой цене, между ними имеется противоречие. Произ-  
Качество исходной информации достаточность, достоверность, защищенность от помех и ошибок (см. 32.3). В тоже время в условиях конкуренции доступ как к внутренним, так и внешним потокам информации по целому ряду вопросов деятельности предприятия ограничен, причем имеются различные виды ограничений служебная и коммерческая тайна, конфиденциальность (ст. 139 ГК РФ). Менеджер, обладающей такой информацией, может  
Это соглашение, по которому компания получает возможность производить продукт (услугу), разработанный кем-то и защищенный патентом. В типовом случае сторона, продающая лицензию, предоставляет разрешение другой стороне использовать патент, торговую марку или патентованную информацию в обмен на лицензионные платежи. Продажа обычно ограничивается пределами конкретного географического района, а также существует ограничение соглашения по времени. Компания, которая предоставляет лицензию, называется лицензиаром, а которая приобретает ее — лицензиатом. Компании, которые расходуют значительные суммы на исследования и разработки, скорее всего, будут лицензиарами, а те, которые этого не делают, будут выступать в роли лицензиатов.  
Если технология не патентуется, в ноу-хау включаются все сведения о ней. Ноу-хау является одним из важнейших видов интеллектуальной собственности. Это конструктивные технологические секреты производства, имеющие промышленную и коммерческую ценность и не защищенные патентным, международным и национальным законодательством. Это могут быть также технологические режимы, способы, методы и опыт изготовления продукции, особенности конструирования, без знания которых воспроизводство новой техники и технологии по образцам, патентным описаниям и опубликованной информации в 90% случаев невозможно. Иногда в качестве ноу-хау фигурируют управленческие, коммерческие, организационные решения и сведения, необходимые для эффективного производства и сбыта продукции.  
Вложение капитала в доходные виды фондовых инструментов. Эта форма финансовых инвестиций является наиболее массовой и перспективной. Она характеризуется вложением капитала в различные виды ценных бумаг, свободно обращающихся на фондовом рынке (так называемые рыночные ценные бумаги»). Использование этой формы финансового инвестирования связано с широким выбором альтернативных инвестиционных решений как по инструментам инвестирования, так и по его срокам более высоким уровнем государственного регулирования и защищенности инвестиций развитой инфраструктурой фондового рынка наличием оперативно предоставляемой информации о состоянии и конъюнктуре фондового рынка в разрезе отдельных его сегментов и другими факторами. Основной целью этой формы финансового инвестирования также является генерирование инвестиционной прибыли, хотя в отдельных случаях она может быть использована для установления форм финансового влияния на отдельные компании при решении стратегических задач (путем приобретения контрольного или достаточного весомого пакета акций).  
С точки зрения защищенности всю управленческую информацию делят на семь классов  
Систему управления можно считать защищенной, если все операции выполняются в соответствии со строго определенными правилами, которые обеспечивают непосредственную защиту объектов, ресурсов и операций. Политика безопасности — это конфиденциальность, целостность, готовность. Одним из наиболее распространенных способов защиты информации является регламентирование доступности к ней. Типовыми вариантами при этом могут быть  
Навигационная и коммуникационная система включает портативный наручный прибор, который дает информацию о точном положении на земле. Важно, что система связана с другими такими же устройствами, так что положение любого члена «команды» может быть показано в каждый момент времени каждому участнику «команды». Более того, прибор объединен с оптической наводящей системой, чтобы давать детальную информацию о целях для всех других членов «команды», исходных базах или средствах передвижения. Прибор позволяет передавать сигналы бедствия и обеспечивает быструю и защищенную связь.  
Продолговатый мозг, расположенный в области между ушами, является одной из наиболее защищенных областей всего вашего организма (Рисунок 11 -6). Его размер — как ваш мизинец. И 70 процентов всех ваших мозговых клеток имеют с ним связь. Если вы повредите его каким-либо образом, то попадете в коматозное состояние, пока ретикулярная активизирующая система не начнет работать снова. Когда вы пойдете спать сегодня вечером, ваш продолговатый мозг пошлет команду гипоталамусу выделить некоторое количество гормона под названием серотонин, который позволит левому полушарию на некоторое время уйти на покой. (Вспомните, что левое полушарие, наш так называемый рассудок, является единственной частью нашего организма, которая может находиться в бессознательном состоянии, или попросту — спать.) Одна из главных функций продолговатого мозга определять или решать, какую информацию посылать в ваше левое полушарие (сознательное мышление).  
Еще, рассказывая о возможностях Интернет, следует остановиться на вопросах безопасности и защищенности от проникновения извне систем сетевых брокеров, а значит и счетов клиентов. Этому вопросу уделяется большое внимание и необходимо перечислить основные способы защиты информации, используемые сетевыми брокерами.  
Создает защищенный коммуникационный канал путем шифрования всей информации, которой обмениваются пользователь и сервер.  
ПРАВО НА ОХРАНУ ТРУДА — закрепленное в Конституции РФ право каждого на труд в условиях, отвечающих требованиям безопасности и гигиены. Трудовым законодательством страны установлено работник имеет право па рабочее место, защищенное от воздействия вредных, опасных производственных факторов, которые могут вызвать производственную травму, профессиональное заболевание или снижение работоспособности получение достоверной информации от работодателя о состоянии условий и охраны труда на его рабочем месте, существующем риске повреждения здоровья, принятых мерах по его защите от воздействия вредных или опасных производственных факторов отказ от выполнения работ в случае возникновения непосредственной опасности для его жизни и здоровья до устранения этой опасности обеспечение средствами коллективной и индивидуальной защиты, обучение безопасным методам и приемам труда за счет средств работодателя возмещение вреда, причиненного ему увечьем, профессиональным заболеванием либо иным повреждением здоровья, связанными с исполнением им трудовых обязанностей. Работник обязан соблюдать нормы, правила и инструкции по охране труда, правильно применять средства коллективной и индивидуальной зашиты, в установленные сроки проходить обучение, инструк-  
Крупный корпоративный пользователь или пользователь из определенного сегмента рынка (например, из государственных органов или высших учебных заведений) входит на специальную защищенную страницу Ое11, предназначенную для этой конкретной организации. В зависимости от политики данной организации на ее странице представлены те или иные варианты заказов. Здесь приведены стандартные конфигурации оборудования и заранее согласованные цены, сведения о ходе выполнения заказов, история прошлых заказов, контактная информация. Организация может заранее утвердить закупку оборудования в определенных объемах, тогда многие заказы могут быть выполнены немедленно. Покупатели из государственных органов США видят расценки, утвержденные соглашениями с Администрацией общих служб. При отправке заказа клиенту может быть автоматически послано уведомление по электронной почте, содержащее номер авианакладной.  
Вторая защищенная страница содержит конфиденциальную информацию, предназначенную для руководства отдела продаж или отдела информационных технологий. На этой странице приведены бухгалтерские сведения, которые обычно предоставляются клиенту только в месячных отчетах. Одна компания-производитель использует эту страницу для контроля за текущими расходами и покупками каждого отдела, а некая нефтяная компания использует свою страницу для контроля за внедрением компьютерной техники в своих разбросанных по всему миру подразделениях. Эта вторая страница сократила накладные расходы Ое11 на доставку финансовых сведений клиентам примерно на 15%.  
Теория паритета процентных ставок. Согласно данной теории, процентные ставки в лирах, защищенные от валютных рисков, должны быть такими же, как и процентные ставки в долларах. В приведенных выше примерах использовались процентные ставки по евродолларовым и ев-ролировым депозитам. Рынок евровалюты является международным рынком, который наиболее свободен от правительственного и налогового регулирования. Поскольку деньги могут практически беспрепятственно перемещаться между различными евродепозитами, паритет процентных ставок практически всегда соблюдается. На самом деле дилеры устанавливают форвардную ставку в лирах, используя информацию о различиях в процентных ставках евролиры и евродоллара.  
КОММЕРЧЕСКАЯ ТАЙНА ( ommer ial se ret, onfidentiality) -любая конфиденциальная управленческая, производственная, научно-техническая и иная деловая информация, представляющая ценность для предприятия в плане достижения преимущества над конкурентами и извлечения прибыли, зафиксированная в письменной или иной материальной форме и находящаяся в его исключительном владении. Не являются К. т. те сведения, которые составляют государственную тайну или интеллектуальную собственность, защищенную патентами и другими нормами права.  
Таким образом ТТ представляет по существу передачу информации, которая предназначена для выполнения конкретной задачи, являясь достаточно трудным видом коммуникации, который может оказаться (и часто оказывается) нерезультативным и таким образом эффективным. Если коммерциализация является целью прикладного научного исследования, ТТ является необходимым инструментом осуществления этой цели. Конечно, в каких-то исключительных случаях можно себе представить некую разработку, которая реализуется (коммсрциализуется) самими разработчиками. Как правило, разработка осуществляется коллективом исследователей, ученых, инженеров и изобретателей, а коммерциализуется она в условиях промышленных предприятий того или иного масштаба. Тогда помимо самого уровня разработки, который определяет интерес принимающей стороны, технология должна обладать необходимой готовностью к трансферу (передаче) иметь необходимую техническую документацию, правовую защищенность, демонстрировать прототип и т.п.  

Защищенность информации

Смотреть что такое «Защищенность информации» в других словарях:

  • Защищенность информации — способность системы противостоять несанкционированному доступу к конфиденциальной информации, ее искажению или разрушению. З.и. можно рассматривать как с позиций технической защиты от несанкционированного доступа (свойство недоступности), так… … Гражданская защита. Понятийно-терминологический словарь

  • Защищенность информационной системы — способность системы противостоять несанкционированному доступу к конфиденциальной информации, ее искажению или разрушению. Различают два аспекта защищенности: 1 техническую защиту (свойство недоступности); и 2 социальную защищенность (свойство… … Финансовый словарь

  • защищенность информационной сферы Взаимоувязанной сети связи Российской Федерации — защищенность ВСС РФ Способность ВСС РФ к недопущению, либо обнаружению и ликвидации определенной угрозы информационной безопасности ВСС РФ с заданным уровнем качества служб информационной безопасности ВСС РФ . Примечание Символ … Справочник технического переводчика

  • защищенность — В вычислительной технике способность системы противостоять несанкционированному доступу к программам и данным (безопасность, секретность), а также их случайному искажению или разрушению (целостность). Тематики качество служебной информации Обобщающие термины формально технические составляющие свойств данных … Справочник технического переводчика

  • защищенность ключа — — ] Тематики защита информации EN key security … Справочник технического переводчика

  • защищенность ключа от подмены или изменения — — ] Тематики защита информации EN integrity of a key against substitution or alteration … Справочник технического переводчика

  • защищенность — 3.54 защищенность (security): Способность компьютерной системы защитить информацию и данные так, чтобы не допустить их несанкционированного прочтения или изменения другими системами и отдельными лицами, и для того, чтобы допущенные к ним системы… … Словарь-справочник терминов нормативно-технической документации

  • защищенность данных — 3.2.5 защищенность данных: Свойство данных быть защищенными от несанкционированного доступа (составляющая недоступности) Источник: ГОСТ Р 51170 98: Качество служебной информации. Термины и определения оригинал документа … Словарь-справочник терминов нормативно-технической документации

  • ЗАЩИЩЕННОСТЬ ДАННЫХ — согласно ГОСТ Р 51170–98 «Качество служебной информации. Термины и определения», – свойство данных быть защищенными от несанкционированного доступа … Делопроизводство и архивное дело в терминах и определениях

2. Понятие и виды охраноспособной информации

Информация с ограниченным доступом определяется двумя признаками.

1. Доступ ограничен в соответствии с законом.

2. Цель ограничения — защита основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечение обороны страны и безопасности государства.

Признаки охраноспособности информации: 1)

охране подлежит только документированная информация; 2)

информация должна соответствовать ограничениям, установленным законом; 3)

защита информации устанавливается законом. Виды информации с ограниченным доступом:

1) государственная тайна;

2) конфиденциальная информация — документированная информация, доступ к которой ограничивается в соответствии с законодательством РФ: —

коммерческая тайна; —

тайна частной жизни; —

служебная тайна; —

профессиональная тайна.

Следует отметить, что термин «защита информации» законодательно закреплен в ст. 16 Закона об информации, анализ законодательства РФ позволяет говорить о том, что данное понятие является широко употребляемым. Толковый словарь «Бизнес и право» правовой системы «Гарант» под данным понятием подразумевает «все средства и функции, обеспечивающие доступность, конфиденциальность или целостность информации или связи, исключая средства и функции, предохраняющие от неисправностей. Она включает криптографию, криптоанализ, защиту от собственного излучения и защиту компьютера».

Между тем в ряде международных соглашений можно найти термин «защита информации». Под ним подразумевается:

— деятельность, направленная на предотвращение утечки конфиденциальной информации, несанкционированных и непреднамеренных воздействий на конфиденциальную информацию ;

Соглашение между Правительством РФ и Правительством Республики Белоруссия о сотрудничестве в области защиты информации (Москва, 9 июля 1997 г.).

— комплекс

административных, организационных и технических мероприятий по ограничению доступа к информации и ее носителям в целях обеспечения ее сохранности и недоступности третьим сторонам, предусмотренный законодательством РФ .

Соглашение между Правительством РФ и Правительством Словацкой Республики о защите информации ограниченного доступа (Братислава, 29 апреля 1997 г.).

Таким образом, защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:

1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также иных неправомерных действий в отношении такой информации; 2)

соблюдение конфиденциальности информации ограниченного доступа; 3)

реализацию права на доступ к информации.

Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить:

1) предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;

2) своевременное обнаружение фактов несанкционированного доступа к информации; 3)

предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации; 4)

недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование; 5)

возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;

6) постоянный контроль за обеспечением уровня защищенности информации.

Федеральными законами могут быть установлены ограничения использования определенных средств защиты информации и осуществления отдельных видов деятельности в области защиты информации.

Защита информации

Смотреть что такое «Защита информации» в других словарях:

  • защита информации — ЗИ Деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию. защита информации Комплекс правовых … Справочник технического переводчика

  • Защита информации — комплекс правовых, организационных и технических мер, направленных на обеспечение защиты сведений, составляющих государственную тайну, и (или) иных сведений ограниченного доступа от неправомерного распространения, предоставления доступа,… … Официальная терминология

  • Защита Информации — система мер по обеспечению безопасности документов с целью сохранения государственных и коммерческих секретов. Защита обеспечивается соблюдением режима секретности, применением охранных систем сигнализации и наблюдения, использованием шифров и… … Словарь бизнес-терминов

  • Защита информации — см. Информационная защита. EdwART. Словарь терминов МЧС, 2010 … Словарь черезвычайных ситуаций

  • ЗАЩИТА ИНФОРМАЦИИ — система мер, направленных на достижение безопасного защищенного документооборота с целью сохранения государственных и коммерческих секретов. Для достижения результата реализуются режимные требования, применяются сложные, как правило электронные,… … Экономический словарь

  • защита информации — 3.3 защита информации: По ГОСТ Р 50922. Источник: ГОСТ Р 52069.0 2003: Защита информации. Система стандартов. Основные положения … Словарь-справочник терминов нормативно-технической документации

  • Защита информации от — 9 Защита информации от технической разведки деятельность по предотвращению получения защищаемой информации разведкой с помощью технических средств. Источник: ГОСТ Р 50922 96: Защита информации. Основные термины и… … Словарь-справочник терминов нормативно-технической документации

  • Защита информации — Классически считалось, что обеспечение безопасности информации складывается из трех составляющих: Конфиденциальности, Целостности, Доступности. Точками приложения процесса защиты информации к информационной системе являются аппаратное обеспечение … Википедия

  • ЗАЩИТА ИНФОРМАЦИИ — (от ошибок оператора) комплекс технических мероприятий, направленных на обнаружение, а в некоторых случаях и исправление ошибок, допущенных оператором при сборе, обработке и передаче (вводе) информации. Необходимость 3. и., повышение ее… … Энциклопедический словарь по психологии и педагогике

  • ЗАЩИТА ИНФОРМАЦИИ — 1) согласно Федеральному закону «Об информации, информационных технологиях и защите информации» от 27.06.2006 № 149 ФЗ, – принятие правовых, организационных и технических мер, направленных на: обеспечение защиты информации от неправомерного… … Делопроизводство и архивное дело в терминах и определениях

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *