Ib dati. Sicurezza e protezione delle informazioni in parole semplici

Oggettivamente, la categoria della "sicurezza dell'informazione" è sorta con l'emergere di mezzi di comunicazione informativa tra le persone, nonché con la consapevolezza di una persona che le persone e le loro comunità hanno interessi che possono essere lesi influenzando i mezzi di comunicazione informativa, il la cui presenza e sviluppo garantisce lo scambio di informazioni tra tutti gli elementi della società.

La sicurezza delle informazioni è la protezione delle informazioni e delle infrastrutture di supporto da influenze accidentali o intenzionali di natura naturale o artificiale che possono causare danni inaccettabili ai soggetti delle relazioni informative. Infrastrutture di supporto: elettricità, calore, acqua, sistemi di alimentazione del gas, sistemi di condizionamento dell'aria, ecc., nonché personale di servizio. Il danno inaccettabile è un danno che non può essere trascurato.

Mentre Informazioni di sicurezza- esso lo stato di sicurezza dell'ambiente informativo, protezione datiè un'attività per prevenire la fuga di informazioni protette, influenze non autorizzate e non intenzionali sulle informazioni protette, cioè processi, finalizzato al raggiungimento di questo stato .

Sicurezza delle informazioni dell'organizzazione- lo stato di sicurezza dell'ambiente informativo dell'organizzazione, assicurandone la formazione, l'utilizzo e lo sviluppo.

Sicurezza delle informazioni dello stato- lo stato di conservazione delle risorse informative dello Stato e la tutela dei diritti legali dell'individuo e della società nella sfera dell'informazione.

Nella società moderna la sfera dell'informazione ha due componenti: tecnologie dell'informazione (mondo artificiale di tecnologia, tecnologia, ecc.) e informativo e psicologico (il mondo naturale della natura vivente, compreso l'uomo stesso).

Informazioni di sicurezza- tutela della riservatezza, integrità e disponibilità delle informazioni.

1. Riservatezza: proprietà delle risorse informative, comprese le informazioni relative al fatto che non saranno disponibili e non saranno divulgate a persone non autorizzate.

2. Integrità: proprietà delle risorse informative, comprese le informazioni, che ne determina l'accuratezza e la completezza.

3. Disponibilità: proprietà delle risorse informative, comprese le informazioni, che ne determina la possibilità di ricezione e utilizzo su richiesta delle persone autorizzate.

Un approccio sistematico alla descrizione della sicurezza delle informazioni suggerisce di evidenziare quanto segue componenti per la sicurezza delle informazioni:

1. Base legislativa, normativa e scientifica.

2. La struttura ei compiti degli organi (divisioni) che garantiscono la sicurezza informatica.

3. Misure e modalità organizzative, tecniche e di sicurezza (Information Security Policy).

4. Metodi e mezzi software e hardware per garantire la sicurezza delle informazioni.

Considerando l'impatto sulla trasformazione delle idee sulla sicurezza delle informazioni, nello sviluppo delle comunicazioni informative ci sono diverse fasi:

Ø Fase I - prima del 1816 - caratterizzato dall'uso mezzi naturali di comunicazione delle informazioni... Durante questo periodo, il compito principale della sicurezza delle informazioni era nella protezione delle informazioni su eventi, fatti, proprietà, luogo e altri dati che sono di vitale importanza per una persona personalmente o per la comunità a cui apparteneva .

Ø II stadio - dal 1816 - associato all'inizio dell'uso mezzi tecnici di comunicazione elettrica e radio creati artificialmente... Per garantire la segretezza e l'immunità ai disturbi delle comunicazioni radio, è stato necessario utilizzare l'esperienza del primo periodo di sicurezza delle informazioni a un livello tecnologico superiore, vale a dire applicazione della codifica correttiva di un messaggio (segnale) con successiva decodifica del messaggio ricevuto (segnale).

Ø Fase III - dal 1935 - associato all'emergere di radar e apparecchiature idroacustiche. Il modo principale per garantire la sicurezza delle informazioni durante questo periodo era una combinazione di misure organizzative e tecniche volte a migliorare la protezione delle apparecchiature radar dall'effetto del mascheramento attivo e dell'interferenza radioelettronica a imitazione passiva sui loro dispositivi di ricezione.

Ø Fase IV - dal 1946 - associati all'invenzione e all'attuazione pratica dei computer elettronici(computer). Le attività di sicurezza delle informazioni sono state principalmente risolte metodi e metodi per limitare l'accesso fisico alle apparecchiature dei mezzi di estrazione, elaborazione e trasmissione delle informazioni .

Ø Fase V - dal 1965 - per la creazione e lo sviluppo reti locali di informazione e comunicazione... Anche i compiti di sicurezza delle informazioni sono stati risolti principalmente con metodi e metodi protezione fisica dei mezzi di estrazione, elaborazione e trasmissione delle informazioni, uniti in una rete locale mediante amministrazione e controllo degli accessi alle risorse di rete .

Ø Fase VI - dal 1973 - associato all'uso dispositivi di comunicazione ultramobili con un'ampia gamma di compiti... Le minacce alla sicurezza delle informazioni sono diventate molto più gravi. Per garantire la sicurezza delle informazioni nei sistemi informatici con reti di trasmissione dati senza fili, era necessario lo sviluppo di nuovi criteri di sicurezza. Comunità di persone: si sono formati gli hacker, con l'obiettivo di danneggiare la sicurezza delle informazioni di singoli utenti, organizzazioni e interi paesi. La risorsa informativa è diventata la risorsa più importante dello stato e garantire la sua sicurezza è diventata la componente più importante e obbligatoria della sicurezza nazionale. La legge sull'informazione si sta formando - un nuovo ramo dell'ordinamento giuridico internazionale.

Ø VII tappa - dal 1985 - è associato alla creazione e allo sviluppo di reti globali di informazione e comunicazione utilizzando strutture di supporto spaziale. Si può presumere che la fase successiva nello sviluppo della sicurezza delle informazioni, ovviamente, sarà associata all'uso diffuso di dispositivi di comunicazione ultramobili con un'ampia gamma di compiti e una copertura globale nello spazio e nel tempo, fornita dall'informazione e dalla comunicazione spaziale sistemi. Per risolvere i problemi di sicurezza delle informazioni in questa fase, è necessario creare un macrosistema di sicurezza delle informazioni per l'umanità sotto gli auspici dei principali forum internazionali .

La frase in contesti diversi può avere significati diversi. Nella Dottrina della Sicurezza delle Informazioni della Federazione Russa, il termine "Informazioni di sicurezza" usato in senso lato. Si tratta dello stato di tutela degli interessi nazionali nella sfera dell'informazione, determinato dalla totalità degli interessi equilibrati dell'individuo, della società e dello Stato.

Nella legge della Federazione Russa "Sulla partecipazione allo scambio internazionale di informazioni" Informazioni di sicurezzaè definito in modo simile - come lo stato di protezione dell'ambiente informativo della società, garantendo la sua formazione, utilizzo e sviluppo nell'interesse dei cittadini, delle organizzazioni e dello stato.

In questo corso, la nostra attenzione sarà focalizzata sull'archiviazione, l'elaborazione e la trasmissione di informazioni, indipendentemente dalla lingua (russa o qualsiasi altra) in cui sono codificate, da chi o da quale fonte e quale effetto psicologico ha sulle persone. Pertanto il termine "Informazioni di sicurezza" sarà usato in senso stretto, come è consuetudine, ad esempio, nella letteratura in lingua inglese.

Sotto informazioni di sicurezza comprenderemo la sicurezza delle informazioni e da influenze accidentali o deliberate di natura naturale o artificiale, che possono causare danno inaccettabile soggetti dei rapporti informativi, ivi compresi i titolari e gli utenti delle informazioni e infrastruttura di supporto... (Più avanti spiegheremo cosa si deve intendere per infrastruttura di supporto.)

Protezione datiÈ un insieme di misure volte a garantire la sicurezza delle informazioni.

Quindi, da un punto di vista metodologico, il corretto approccio ai problemi informazioni di sicurezza inizia identificando soggetti dei rapporti informativi e gli interessi di questi attori relativi all'uso dei sistemi informativi (IS). Minacce informazioni di sicurezza- questo è il rovescio della medaglia dell'uso della tecnologia dell'informazione.

Da questa posizione si possono trarre due importanti conseguenze:

1. Interpretazione dei problemi associati a informazioni di sicurezza, per diverse categorie di soggetti può differire in modo significativo. Per illustrare, è sufficiente confrontare le organizzazioni governative di regime e le istituzioni educative. Nel primo caso, "lascia che tutto si rompa in modo che il nemico impari almeno un pezzo segreto", nel secondo - "sì, non abbiamo segreti, se solo tutto funziona".
2. Informazioni di sicurezza non si limita esclusivamente alla protezione contro l'accesso non autorizzato alle informazioni, questo è un concetto fondamentalmente più ampio. Oggetto dei rapporti informativi possono subire (incorrere in perdite e/o ricevere danni morali) non solo per accessi non autorizzati, ma anche per un guasto al sistema che abbia causato un'interruzione del lavoro. Inoltre, per molte organizzazioni aperte (ad esempio quelle educative), l'effettiva protezione dall'accesso non autorizzato alle informazioni non è al primo posto in termini di importanza.

Tornando alle questioni terminologiche, notiamo che il termine "sicurezza informatica" (come equivalente o sostituto della sicurezza informatica) ci sembra troppo ristretto. I computer sono solo uno dei componenti dei sistemi informativi e, sebbene la nostra attenzione sarà focalizzata principalmente sulle informazioni che vengono archiviate, elaborate e trasmesse tramite computer, la sua sicurezza è determinata dalla totalità dei suoi componenti e, prima di tutto, dai più deboli link, che nella stragrande maggioranza dei casi si rivela essere una persona (che ha annotato, ad esempio, la sua password sul "cerotto di senape" appiccicato al monitor).

Secondo la definizione di sicurezza delle informazioni, non dipende solo dai computer, ma anche da infrastruttura di supporto, che include sistemi di fornitura di energia, acqua e calore, condizionatori d'aria, comunicazioni e, naturalmente, personale di servizio. Questa infrastruttura ha un valore autonomo, ma ci interesserà solo come influisca sull'implementazione delle funzioni ad essa assegnate dal sistema informativo.

Si noti che nella definizione di IB, prima del sostantivo "danno" c'è l'aggettivo "inaccettabile". Ovviamente è impossibile assicurare contro tutti i tipi di danni, tanto più è impossibile farlo in modo economicamente vantaggioso, quando il costo dei dispositivi e delle misure di protezione non supera l'importo del danno previsto. Ciò significa che devi sopportare qualcosa e dovresti difenderti solo da ciò che non puoi sopportare in alcun modo. A volte tale danno inaccettabile è un danno alla salute umana o all'ambiente, ma più spesso la soglia di inaccettabilità ha un'espressione materiale (monetaria) e l'obiettivo della protezione delle informazioni è ridurre l'ammontare del danno a valori accettabili.

I componenti principali. L'importanza del problema.

La sicurezza delle informazioni (SI) va intesa come la tutela degli interessi dei soggetti delle relazioni informative. I suoi componenti principali sono descritti di seguito: riservatezza, integrità, disponibilità. Vengono fornite le statistiche delle violazioni della sicurezza delle informazioni, vengono descritti i casi più tipici.

Concetto di sicurezza delle informazioni

La frase "sicurezza delle informazioni" in diversi contesti può avere significati diversi. Nella Dottrina della sicurezza delle informazioni della Federazione Russa, il termine "sicurezza delle informazioni" è usato in senso lato. Si tratta dello stato di tutela degli interessi nazionali nella sfera dell'informazione, determinato dalla totalità degli interessi equilibrati dell'individuo, della società e dello Stato.

Nella legge della Federazione Russa "Sulla partecipazione allo scambio internazionale di informazioni" la sicurezza delle informazioni è definita in modo simile - come lo stato di protezione dell'ambiente informativo della società, garantendo la sua formazione, utilizzo e sviluppo nell'interesse dei cittadini, delle organizzazioni , e lo Stato.

In questo corso, la nostra attenzione sarà focalizzata sull'archiviazione, l'elaborazione e la trasmissione di informazioni, indipendentemente dalla lingua (russa o qualsiasi altra) in cui sono codificate, da chi o da quale fonte e quale effetto psicologico ha sulle persone. Pertanto, il termine "sicurezza delle informazioni" sarà utilizzato in senso stretto, come è accettato, ad esempio, nella letteratura in lingua inglese.

Sotto informazioni di sicurezza comprenderemo la sicurezza delle informazioni e delle infrastrutture di supporto da influenze accidentali o intenzionali di natura naturale o artificiale che possono causare danni inaccettabili ai soggetti delle relazioni informative, inclusi i proprietari e gli utenti delle informazioni e delle infrastrutture di supporto. (Spiegheremo un po' più avanti cosa intendi per infrastruttura di supporto.)

Protezione datiÈ un insieme di misure volte a garantire la sicurezza delle informazioni.

Pertanto, un approccio metodologicamente corretto ai problemi di sicurezza delle informazioni inizia con l'identificazione dei soggetti delle relazioni informative e degli interessi di questi soggetti associati all'uso dei sistemi informativi (SI). Le minacce alla sicurezza delle informazioni sono il rovescio della medaglia dell'uso della tecnologia dell'informazione.

Da questa posizione si possono trarre due importanti conseguenze:

L'interpretazione dei problemi di sicurezza delle informazioni per diverse categorie di soggetti può differire in modo significativo. Per illustrare, è sufficiente confrontare le organizzazioni governative di regime e le istituzioni educative. Nel primo caso, "lascia che tutto si rompa in modo che il nemico impari almeno un pezzo segreto", nel secondo - "sì, non abbiamo segreti, purché tutto funzioni".

La sicurezza delle informazioni non si limita esclusivamente alla protezione contro l'accesso non autorizzato alle informazioni, è un concetto fondamentalmente più ampio. Il soggetto dei rapporti informativi può subire (incorrere in perdite e/o ricevere un danno morale) non solo da accessi non autorizzati, ma anche da un guasto del sistema che abbia causato l'interruzione del lavoro. Inoltre, per molte organizzazioni aperte (ad esempio quelle educative), l'effettiva protezione dall'accesso non autorizzato alle informazioni non è al primo posto in termini di importanza.

Tornando alle questioni terminologiche, notiamo che il termine "sicurezza informatica" (come equivalente o sostituto della sicurezza informatica) ci sembra troppo ristretto. I computer sono solo uno dei componenti dei sistemi informativi e, sebbene la nostra attenzione sarà focalizzata principalmente sulle informazioni che vengono archiviate, elaborate e trasmesse tramite computer, la sua sicurezza è determinata dalla totalità dei suoi componenti e, prima di tutto, dai più deboli link, che nella stragrande maggioranza dei casi si rivela essere una persona (che ha annotato, ad esempio, la sua password sul "cerotto di senape" appiccicato al monitor).

Secondo la definizione di sicurezza delle informazioni, non dipende solo dai computer, ma anche dall'infrastruttura di supporto, che include sistemi di alimentazione, acqua e riscaldamento, condizionatori d'aria, comunicazioni e, naturalmente, personale di servizio. Questa infrastruttura ha un valore autonomo, ma ci interesserà solo come influisca sull'implementazione delle funzioni ad essa assegnate dal sistema informativo.

Si noti che nella definizione di IB, prima del sostantivo "danno" c'è l'aggettivo "inaccettabile". Ovviamente è impossibile assicurare contro tutti i tipi di danni, tanto più è impossibile farlo in modo economicamente vantaggioso, quando il costo dei dispositivi e delle misure di protezione non supera l'importo del danno previsto. Ciò significa che devi sopportare qualcosa e dovresti difenderti solo da ciò che non puoi sopportare in alcun modo. A volte tale danno inaccettabile è un danno alla salute umana o all'ambiente, ma più spesso la soglia di inaccettabilità ha un'espressione materiale (monetaria) e lo scopo della protezione delle informazioni è ridurre l'entità del danno a valori accettabili.

I componenti principali della sicurezza delle informazioni

La sicurezza delle informazioni è un campo di attività multiforme, si potrebbe anche dire, in cui solo un approccio sistematico e integrato può portare al successo.

La gamma di interessi dei soggetti legati all'uso dei sistemi informativi può essere suddivisa nelle seguenti categorie: accessibilità, integrità e riservatezza risorse informative e infrastrutture di supporto.

A volte i componenti principali della sicurezza delle informazioni includono la protezione contro la copia non autorizzata delle informazioni, ma, a nostro avviso, questo è un aspetto troppo specifico con dubbie possibilità di successo, quindi non lo individueremo.

Chiariamo i concetti di accessibilità, integrità e riservatezza.

La disponibilità è la capacità di ricevere il servizio informativo richiesto in un tempo ragionevole. Per integrità si intende la pertinenza e la coerenza delle informazioni, la loro protezione dalla distruzione e dalle modifiche non autorizzate.

Infine, la riservatezza è protezione contro l'accesso non autorizzato alle informazioni.

I sistemi informativi vengono creati (acquistati) per ricevere determinati servizi di informazione. Qualora, per un motivo o per l'altro, risulti impossibile fornire tali servizi agli utenti, ciò arreca ovviamente danno a tutti i soggetti del rapporto informativo. Pertanto, senza opporre l'accessibilità ad altri aspetti, la individuiamo come l'elemento più importante della sicurezza delle informazioni.

Il ruolo guida dell'accessibilità si manifesta particolarmente chiaramente in vari tipi di sistemi di gestione: produzione, trasporto, ecc. Conseguenze esteriormente meno drammatiche, ma anche molto spiacevoli, sia materiali che morali, possono avere un'indisponibilità a lungo termine di servizi di informazione utilizzati da un gran numero di persone (vendita di biglietti ferroviari e aerei, servizi bancari, ecc.).

L'integrità può essere suddivisa in statica (intesa come immutabilità degli oggetti informativi) e dinamica (relativa alla corretta esecuzione di azioni complesse (transazioni)). I controlli di integrità dinamica vengono utilizzati, in particolare, nell'analisi del flusso dei messaggi finanziari al fine di rilevare furti, riordini o duplicazioni di singoli messaggi.

L'integrità risulta essere l'aspetto più importante della sicurezza delle informazioni nei casi in cui le informazioni fungono da "guida all'azione". La formulazione dei farmaci, le procedure mediche prescritte, l'insieme e le caratteristiche dei componenti, il corso del processo tecnologico sono tutti esempi di informazioni, la cui violazione dell'integrità può essere letteralmente fatale. È anche spiacevole distorcere le informazioni ufficiali, che si tratti del testo di una legge o di una pagina sul server Web di un'organizzazione governativa. La riservatezza è l'aspetto più sviluppato della sicurezza informatica nel nostro Paese. Sfortunatamente, l'attuazione pratica di misure per garantire la riservatezza dei moderni sistemi di informazione incontra serie difficoltà in Russia. In primo luogo, le informazioni sui canali tecnici di fuga di informazioni sono chiuse, in modo che la maggior parte degli utenti non abbia l'opportunità di comprendere i potenziali rischi. In secondo luogo, ci sono molte sfide legali e tecniche che ostacolano la crittografia personalizzata come strumento principale per la privacy.

Se torniamo all'analisi degli interessi di varie categorie di soggetti delle relazioni informative, allora per quasi tutti coloro che utilizzano effettivamente la PI, l'accessibilità è al primo posto. L'integrità non è praticamente inferiore ad essa in importanza: che senso ha un servizio di informazione se contiene informazioni distorte?

Infine, molte organizzazioni hanno anche questioni riservate (anche le istituzioni educative sopra menzionate cercano di non divulgare informazioni sugli stipendi dei dipendenti) e sui singoli utenti (ad esempio le password).

Le minacce più comuni:

La conoscenza delle potenziali minacce, nonché delle vulnerabilità alla sicurezza che queste minacce tipicamente sfruttano, è essenziale per selezionare le misure di sicurezza più convenienti.

Definizioni di base e criteri per la classificazione delle minacce

Minaccia- questa è una potenziale opportunità per violare la sicurezza delle informazioni in un certo modo.

Viene chiamato un tentativo di implementare una minaccia attacco, e colui che fa un tale tentativo - intruso... I potenziali intrusi sono chiamati fonti di minaccia.

Molto spesso, una minaccia è una conseguenza della presenza di vulnerabilità nella protezione dei sistemi informativi (come la capacità di persone non autorizzate di accedere ad apparecchiature critiche o errori nel software).

Viene chiamato l'intervallo di tempo dal momento in cui diventa possibile utilizzare un punto debole e fino al momento in cui il divario viene eliminato finestra di pericolo associati a questa vulnerabilità. Finché esiste una finestra di pericolo, sono possibili attacchi di successo all'IP.

Se parliamo di errori software, la finestra di pericolo "si apre" con la comparsa dei mezzi per utilizzare l'errore e viene eliminata quando vengono applicate le patch che lo risolvono.

Per la maggior parte delle vulnerabilità, la finestra di pericolo esiste per un tempo relativamente lungo (diversi giorni, a volte settimane), poiché durante questo periodo dovrebbero verificarsi i seguenti eventi:

devono essere resi consapevoli i mezzi per sfruttare il gap di sicurezza;

devono essere rilasciate le patch appropriate;

le patch devono essere installate nell'IC protetto.

Abbiamo già sottolineato che emergono continuamente nuove vulnerabilità e mezzi per sfruttarle; ciò significa, in primo luogo, che ci sono quasi sempre finestre di pericolo e, in secondo luogo, che tali finestre devono essere costantemente monitorate e che il rilascio e l'applicazione delle patch devono essere effettuati il ​​più rapidamente possibile.

Si noti che alcune minacce non possono essere considerate una conseguenza di alcuni errori o calcoli errati; esistono per la natura stessa della PI moderna. Ad esempio, esiste la minaccia di un'interruzione dell'alimentazione o dei suoi parametri che superano i limiti consentiti a causa della dipendenza dell'hardware del circuito integrato dall'alimentazione di alta qualità.

Consideriamo le minacce più comuni a cui sono esposti i moderni sistemi informativi. Comprendere le potenziali minacce, nonché le vulnerabilità che queste minacce tipicamente sfruttano, è essenziale per selezionare le misure di sicurezza più convenienti. Esistono troppi miti nel campo dell'informatica (ricordiamo lo stesso "Problema 2000"), quindi l'ignoranza in questo caso porta a sforamenti di costi e, peggio ancora, a concentrare le risorse dove non sono particolarmente necessarie, indebolendo il reale direzioni vulnerabili.

Sottolineiamo che il concetto stesso di "minaccia" è spesso interpretato in modo diverso nelle diverse situazioni. Ad esempio, per un'organizzazione decisamente aperta, le minacce alla riservatezza potrebbero semplicemente non esistere: tutte le informazioni sono considerate disponibili al pubblico; tuttavia, nella maggior parte dei casi, l'accesso illegale sembra essere una seria minaccia. In altre parole, le minacce, come tutto il resto nella sicurezza informatica, dipendono dagli interessi dei soggetti del rapporto informativo (e da quale tipo di danno è per loro inaccettabile).

Cercheremo di guardare l'argomento dal punto di vista di una tipica (a nostro avviso) organizzazione. Tuttavia, molte minacce (ad esempio il fuoco) sono pericolose per tutti.

Le minacce possono essere classificate secondo diversi criteri:

sull'aspetto della sicurezza delle informazioni (disponibilità, integrità, riservatezza), contro la quale le minacce sono dirette in primo luogo;

dai componenti dei sistemi informativi, che sono presi di mira dalle minacce (dati, programmi, hardware, infrastrutture di supporto);

dal metodo di attuazione (azioni accidentali / deliberate di natura naturale / artificiale);

dall'ubicazione della fonte delle minacce (dentro/fuori l'IS considerato).

Come criterio principale utilizzeremo il primo (in termini di sicurezza delle informazioni), coinvolgendo il resto, se necessario.

Principali minacce alla privacy

Le informazioni riservate possono essere suddivise in informazioni sull'oggetto e sul servizio. Le informazioni di servizio (ad esempio, le password degli utenti) non appartengono a un'area tematica specifica, svolgono un ruolo tecnico nel sistema informativo, ma la loro divulgazione è particolarmente pericolosa, poiché è irta di accesso non autorizzato a tutte le informazioni, comprese le informazioni sull'oggetto.

Anche se le informazioni sono memorizzate su un computer o destinate all'uso informatico, le minacce alla sua riservatezza possono essere di natura non informatica e generalmente non tecnica.

Molte persone devono agire come utenti non di uno, ma di un certo numero di sistemi (servizi di informazione). Se vengono utilizzate password riutilizzabili o altre informazioni riservate per accedere a tali sistemi, molto probabilmente questi dati verranno archiviati non solo nella testa, ma anche in un notebook o su fogli di carta che l'utente lascia spesso sul desktop, o anche semplicemente perde. E il punto qui non è nella disorganizzazione delle persone, ma nell'iniziale inadeguatezza dello schema della password. È impossibile ricordare molte password diverse; le raccomandazioni per il loro cambio regolare (se possibile - frequente) non fanno che aggravare la situazione, costringendo a utilizzare semplici schemi di alternanza o persino a cercare di ridurre la questione a due o tre password facili da ricordare (e altrettanto facilmente indovinabili).

La classe di vulnerabilità descritta può essere definita il posizionamento di dati riservati in un ambiente in cui non sono forniti (e spesso non possono essere forniti) con la protezione necessaria. La minaccia è che qualcuno non rifiuterà di apprendere i segreti che lui stesso chiede. Oltre alle password memorizzate nei taccuini degli utenti, questa classe include la trasmissione di dati riservati in chiaro (in una conversazione, in una lettera, in rete), che rende possibile l'intercettazione dei dati. Vari mezzi tecnici possono essere utilizzati per un attacco (intercettazione o intercettazione delle conversazioni, intercettazione passiva della rete, ecc.), Ma l'idea è la stessa: accedere ai dati nel momento in cui sono meno protetti.

La minaccia dell'intercettazione dei dati dovrebbe essere presa in considerazione non solo durante la configurazione iniziale dell'IS, ma anche, cosa molto importante, con tutte le modifiche. Una minaccia molto pericolosa è ... le mostre, alle quali molte organizzazioni, senza esitazione, inviano apparecchiature dalla rete di produzione, con tutti i dati archiviati su di esse. Le password rimangono le stesse, con l'accesso remoto continuano a essere trasmesse in chiaro. Questo è dannoso anche all'interno della rete sicura di un'organizzazione; nella rete unita della mostra - questa è una prova troppo dura per l'onestà di tutti i partecipanti.

Un altro esempio di modifica spesso trascurata è l'archiviazione dei dati su supporti di backup. Vengono utilizzati sistemi avanzati di controllo degli accessi per proteggere i dati sui principali supporti di memorizzazione; le copie vengono spesso conservate negli armadi e molti possono accedervi.

L'intercettazione dei dati è una minaccia molto seria e se la riservatezza è davvero critica e i dati vengono trasmessi su molti canali, può essere molto difficile e costoso proteggerli. I mezzi tecnici di intercettazione sono ben sviluppati, accessibili, facili da usare e chiunque può installarli, ad esempio, su una rete via cavo, quindi questa minaccia deve essere presa in considerazione in relazione non solo alle comunicazioni esterne, ma anche interne.

Il furto di hardware rappresenta una minaccia non solo per i supporti di backup, ma anche per i computer, in particolare i laptop. I laptop vengono spesso lasciati incustoditi al lavoro o in macchina, a volte vengono semplicemente persi.

Le pericolose minacce non tecniche alla riservatezza sono metodi di influenza morale e psicologica, come mascherata - compiere azioni con il pretesto di essere autorizzati ad accedere ai dati (si veda, ad esempio, l'articolo di Ayre Winkler "Mission: Spying" in Jet Info, 1996, 19).

Minacce spiacevoli da cui è difficile difendersi includono abuso di autorità. Su molti tipi di sistemi, un utente privilegiato (ad esempio, un amministratore di sistema) è in grado di leggere qualsiasi file (non crittografato), accedere alla posta di qualsiasi utente, ecc. Un altro esempio è il danno di servizio. In genere, un tecnico dell'assistenza ha accesso illimitato alle apparecchiature ed è in grado di aggirare i meccanismi di protezione del software.

Sono queste le principali minacce che causano i maggiori danni ai soggetti delle relazioni informative.

Il fondatore della cibernetica, Norbert Wiener, credeva che l'informazione avesse caratteristiche uniche e non potesse essere attribuita né all'energia né alla materia. Lo status speciale dell'informazione come fenomeno ha dato origine a molte definizioni.

Nel dizionario dello standard ISO / IEC 2382: 2015 "Tecnologia dell'informazione", viene data la seguente interpretazione:

Informazioni (nel campo del trattamento delle informazioni)- tutti i dati presentati in forma elettronica, scritti su carta, espressi in riunione o in qualsiasi altro mezzo, utilizzati da un istituto finanziario per prendere decisioni, spostare fondi, fissare tassi, concedere prestiti, elaborare transazioni, ecc., compresi i sistemi di elaborazione dei componenti Software.

Per sviluppare il concetto di sicurezza delle informazioni (IS), le informazioni sono intese come informazioni disponibili per la raccolta, l'archiviazione, l'elaborazione (modifica, trasformazione), l'uso e la trasmissione in vari modi, anche nelle reti di computer e in altri sistemi informativi.

Tali informazioni sono di alto valore e possono diventare oggetto di usurpazione da parte di terzi. Il desiderio di proteggere le informazioni dalle minacce è alla base della creazione di sistemi di sicurezza delle informazioni.

Basi legali

Nel dicembre 2017, la Russia ha adottato la dottrina sulla sicurezza delle informazioni. Nel documento IS è definito come lo stato di tutela degli interessi nazionali nella sfera dell'informazione. In questo caso, gli interessi nazionali sono intesi come la totalità degli interessi della società, dell'individuo e dello stato, ogni gruppo di interessi è necessario per il funzionamento stabile della società.

La dottrina è un documento concettuale. Le relazioni legali relative alla garanzia della sicurezza delle informazioni sono disciplinate dalle leggi federali "Sui segreti di stato", "Sulle informazioni", "Sulla protezione dei dati personali" e altre. Sulla base degli atti normativi fondamentali, vengono elaborati decreti governativi e atti normativi dipartimentali su questioni private di protezione delle informazioni.

Definizione di sicurezza delle informazioni

Prima di sviluppare una strategia di sicurezza delle informazioni, è necessario adottare una definizione di base del concetto stesso, che consentirà l'uso di un determinato insieme di metodi e metodi di protezione.

Gli operatori del settore suggeriscono che la sicurezza delle informazioni deve essere intesa come uno stato stabile di sicurezza delle informazioni, dei suoi vettori e infrastruttura, che garantisce l'integrità e la stabilità dei processi relativi alle informazioni contro impatti intenzionali o non intenzionali di natura naturale e artificiale. Gli impatti sono classificati come minacce IS che possono danneggiare i soggetti delle relazioni informative.

Pertanto, la protezione delle informazioni significherà un complesso di misure legali, amministrative, organizzative e tecniche volte a prevenire minacce alla sicurezza delle informazioni reali o percepite, nonché ad eliminare le conseguenze degli incidenti. La continuità del processo di protezione delle informazioni dovrebbe garantire la lotta contro le minacce in tutte le fasi del ciclo delle informazioni: nel processo di raccolta, conservazione, elaborazione, utilizzo e trasmissione delle informazioni.

La sicurezza delle informazioni in questa comprensione diventa una delle caratteristiche delle prestazioni del sistema. In ogni momento, il sistema deve avere un livello di sicurezza misurabile e garantire la sicurezza del sistema deve essere un processo continuo che viene eseguito a tutti gli intervalli di tempo durante la vita del sistema.

Nella teoria della sicurezza delle informazioni, i soggetti della sicurezza delle informazioni sono intesi come proprietari e utenti di informazioni, e non solo utenti su base continuativa (dipendenti), ma anche utenti che accedono a database in casi isolati, ad esempio agenzie governative che richiedono informazioni. In alcuni casi, ad esempio, negli standard di sicurezza delle informazioni bancarie, i proprietari delle informazioni includono gli azionisti, le persone giuridiche che possiedono determinati dati.

L'infrastruttura di supporto, dal punto di vista dei fondamenti della sicurezza delle informazioni, comprende computer, reti, apparecchiature di telecomunicazione, locali, sistemi di supporto vitale e personale. Quando si analizza la sicurezza, è necessario studiare tutti gli elementi dei sistemi, prestando particolare attenzione al personale come portatore della maggior parte delle minacce interne.

Per la gestione della sicurezza delle informazioni e la valutazione dei danni, viene utilizzata la caratteristica di accettabilità, quindi il danno viene determinato come accettabile o inaccettabile. È utile che ciascuna società stabilisca i propri criteri per l'ammissibilità del danno in forma pecuniaria o, ad esempio, sotto forma di danno accettabile alla reputazione. Nelle istituzioni pubbliche possono essere adottate altre caratteristiche, ad esempio l'influenza sul processo di gestione o il riflesso del grado di danno alla vita e alla salute dei cittadini. I criteri di materialità, importanza e valore delle informazioni possono cambiare durante il ciclo di vita dell'array informativo, pertanto dovrebbero essere rivisti in modo tempestivo.

Una minaccia alle informazioni in senso stretto è un'opportunità oggettiva di influenzare l'oggetto della protezione, che può portare a perdite, furto, divulgazione o diffusione di informazioni. In un senso più ampio, le minacce alla sicurezza delle informazioni includeranno impatti informativi diretti, il cui scopo è danneggiare lo stato, l'organizzazione e l'individuo. Tali minacce includono, ad esempio, diffamazione, false dichiarazioni deliberate e pubblicità inappropriata.

Tre domande principali sul concetto di sicurezza delle informazioni per qualsiasi organizzazione

Cosa proteggere?

Quali tipi di minacce prevalgono: esterne o interne?

Come tutelare, con quali modalità e mezzi?

Sistema IS

Il sistema di sicurezza delle informazioni per un'azienda - una persona giuridica comprende tre gruppi di concetti di base: integrità, disponibilità e riservatezza. Sotto ognuno ci sono concetti con molte caratteristiche.

Sotto integrità indica la resistenza di database, altri array di informazioni alla distruzione accidentale o intenzionale, modifiche non autorizzate. L'integrità può essere vista come:

• statica, espressa nell'immutabilità, autenticità degli oggetti informativi a quegli oggetti che sono stati creati in base a un compito tecnico specifico e contengono la quantità di informazioni richieste dagli utenti per la loro attività principale, nella configurazione e sequenza richiesta;
• dinamico, che implica la corretta esecuzione di azioni o transazioni complesse, che non lede la sicurezza delle informazioni.

Per controllare l'integrità dinamica vengono utilizzati appositi mezzi tecnici che analizzano il flusso di informazioni, ad esempio finanziarie, e individuano casi di furto, duplicazione, reindirizzamento e riordino dei messaggi. L'integrità come caratteristica chiave è richiesta quando le decisioni vengono prese sulla base delle informazioni in entrata o disponibili per intraprendere azioni. La violazione dell'ordine dei comandi o della sequenza delle azioni può causare gravi danni nel caso di descrizione di processi tecnologici, codici di programma e in altre situazioni simili.

Disponibilitàè una proprietà che consente ai soggetti autorizzati di accedere o scambiare dati di loro interesse. Il requisito fondamentale della legittimazione o autorizzazione dei soggetti consente di creare diversi livelli di accesso. Il rifiuto del sistema di fornire informazioni diventa un problema per qualsiasi organizzazione o gruppo di utenti. Un esempio è l'inaccessibilità dei siti del servizio pubblico in caso di guasto del sistema, che priva molti utenti della possibilità di ricevere i servizi o le informazioni necessarie.

Riservatezza indica la proprietà delle informazioni di essere disponibili a quegli utenti: soggetti e processi a cui inizialmente è consentito l'accesso. La maggior parte delle aziende e delle organizzazioni percepisce la riservatezza come un elemento chiave della sicurezza delle informazioni, ma in pratica è difficile implementarla completamente. Non tutti i dati sui canali esistenti di fuga di informazioni sono disponibili per gli autori dei concetti di sicurezza delle informazioni e molti mezzi tecnici di protezione, inclusi quelli crittografici, non possono essere acquistati liberamente, in alcuni casi il fatturato è limitato.

Le stesse proprietà della sicurezza delle informazioni hanno valori diversi per gli utenti, da qui le due categorie estreme nello sviluppo dei concetti di protezione dei dati. Per le aziende o le organizzazioni legate ai segreti di Stato, la riservatezza diventerà un parametro chiave, per i servizi pubblici o le istituzioni educative il parametro più importante è l'accessibilità.

Digest sulla sicurezza delle informazioni

Una raccolta mensile di pubblicazioni utili, notizie ed eventi interessanti dal mondo della sicurezza informatica. Esperienza di esperti e casi reali dalla pratica di SearchInform.

Oggetti protetti nei concetti di sicurezza delle informazioni

La differenza nei soggetti dà luogo a differenze negli oggetti di protezione. I principali gruppi di oggetti protetti:

• risorse informative di ogni tipo (una risorsa è intesa come un oggetto materiale: un hard disk, un altro supporto, un documento con dati e dettagli che aiutano ad identificarlo e ad riferirlo ad un certo gruppo di soggetti);
• i diritti dei cittadini, delle organizzazioni e dello stato di accedere alle informazioni, la capacità di ottenerle nell'ambito della legge; l'accesso può essere limitato solo da atti normativi legali, l'organizzazione di eventuali barriere che violino i diritti umani è inammissibile;
• un sistema per la creazione, l'utilizzo e la distribuzione dei dati (sistemi e tecnologie, archivi, biblioteche, documenti normativi);
• il sistema per la formazione della coscienza pubblica (media, risorse Internet, istituzioni sociali, istituzioni educative).

Ciascun oggetto presuppone uno speciale sistema di misure di protezione contro le minacce alla sicurezza delle informazioni e all'ordine pubblico. Garantire la sicurezza delle informazioni in ogni caso dovrebbe basarsi su un approccio sistematico che tenga conto delle specificità della struttura.

Categorie e supporti di memorizzazione

Il sistema legale russo, la pratica delle forze dell'ordine e le relazioni sociali consolidate classificano le informazioni secondo i criteri di accessibilità. Ciò consente di chiarire i parametri essenziali necessari per garantire la sicurezza delle informazioni:

• informazioni il cui accesso è limitato in base a requisiti di legge (segreti di Stato, segreti commerciali, dati personali);
• informazioni di pubblico dominio;
• informazioni pubblicamente disponibili fornite a determinate condizioni: informazioni a pagamento o dati per i quali è necessario rilasciare un'ammissione, ad esempio una tessera della biblioteca;
• informazioni pericolose, dannose, false e di altro tipo, la cui circolazione e diffusione è limitata sia da prescrizioni di legge sia da norme aziendali.

Le informazioni del primo gruppo hanno due modalità di protezione. segreto di stato, secondo la legge, si tratta di informazioni protette dallo Stato, la cui distribuzione gratuita può nuocere alla sicurezza del Paese. Si tratta di dati nel campo dell'esercito, della politica estera, dell'intelligence, del controspionaggio e delle attività economiche dello Stato. Il proprietario di questo gruppo di dati è lo stato stesso. Gli organismi autorizzati ad adottare misure per proteggere i segreti di Stato sono il Ministero della Difesa, il Servizio di sicurezza federale (FSB), il Servizio di intelligence estero e il Servizio federale per il controllo tecnico e delle esportazioni (FSTEC).

Informazioni confidenziali- un oggetto di regolamentazione più articolato. L'elenco delle informazioni che possono costituire informazioni riservate è contenuto nel decreto presidenziale n. 188 “Approvazione dell'elenco delle informazioni riservate”. Questi sono dati personali; segretezza delle indagini e dei procedimenti giudiziari; segreto ufficiale; segreto professionale (medico, notarile, legale); segreto commerciale; informazioni su invenzioni e modelli di utilità; informazioni contenute nei fascicoli personali dei condannati, nonché informazioni sull'esecuzione forzata di atti giudiziari.

I dati personali esistono in modalità aperta e riservata. Una parte dei dati personali aperta e accessibile a tutti gli utenti include nome, cognome, patronimico. Secondo FZ-152 "Sui dati personali", i soggetti dei dati personali hanno il diritto di:

• autodeterminazione informativa;
• accedere ai dati personali personali e apportare modifiche agli stessi;
• bloccare i dati personali e l'accesso agli stessi;
• fare ricorso contro azioni illecite di terzi commesse in relazione ai dati personali;
• per risarcire il danno causato.

Il diritto a ciò è sancito dai regolamenti sugli organi statali, dalle leggi federali, dalle licenze per lavorare con i dati personali emesse da Roskomnadzor o FSTEC. Le aziende che lavorano professionalmente con i dati personali di una vasta gamma di persone, ad esempio gli operatori di telecomunicazioni, devono entrare nel registro, che è tenuto da Roskomnadzor.

Un oggetto separato nella teoria e nella pratica della sicurezza delle informazioni sono i supporti di informazioni, il cui accesso è aperto e chiuso. Quando si sviluppa un concetto di sicurezza delle informazioni, i metodi di protezione vengono selezionati in base al tipo di supporto. Principali supporti di memorizzazione:

• supporti cartacei ed elettronici, reti sociali, altre risorse su Internet;
• dipendenti dell'organizzazione che hanno accesso alle informazioni sulla base dei loro legami di amicizia, familiari, professionali;
• mezzi di comunicazione che trasmettono o memorizzano informazioni: telefoni, centralini automatici, altre apparecchiature di telecomunicazione;
• documenti di ogni tipo: personali, ufficiali, governativi;
• il software come oggetto di informazione indipendente, soprattutto se la sua versione è stata modificata appositamente per una specifica azienda;
• supporti di memorizzazione elettronici che trattano i dati in modo automatico.

Allo scopo di sviluppare concetti di sicurezza delle informazioni, i mezzi di sicurezza delle informazioni sono generalmente suddivisi in normativi (informali) e tecnici (formali).

I mezzi di protezione informali sono documenti, regole, eventi, i mezzi formali sono mezzi tecnici speciali e software. La delimitazione aiuta a distribuire le aree di responsabilità durante la creazione di sistemi di sicurezza delle informazioni: con la gestione generale della protezione, il personale amministrativo implementa metodi normativi e gli specialisti IT, rispettivamente, tecnici.

Le basi della sicurezza delle informazioni implicano la delimitazione dei poteri non solo in termini di utilizzo delle informazioni, ma anche in termini di lavoro con la sua protezione. Questa delimitazione dei poteri richiede anche diversi livelli di controllo.

Rimedi formali

Una vasta gamma di mezzi tecnici per la sicurezza delle informazioni comprende:

Dispositivi di protezione fisica. Si tratta di meccanismi meccanici, elettrici, elettronici che funzionano indipendentemente dai sistemi informativi e creano barriere all'accesso ad essi. Le serrature, anche elettroniche, schermi, tapparelle sono progettate per creare ostacoli al contatto di fattori destabilizzanti con i sistemi. Il gruppo è integrato da sistemi di sicurezza, ad esempio videocamere, videoregistratori, sensori che rilevano il movimento o l'eccesso del grado di radiazione elettromagnetica nell'area della posizione dei mezzi tecnici di recupero delle informazioni, dispositivi incorporati.

Protezione dell'hardware. Si tratta di dispositivi elettrici, elettronici, ottici, laser e di altro tipo incorporati nei sistemi di informazione e telecomunicazione. Prima di introdurre l'hardware nei sistemi informativi, è necessario garantire la compatibilità.

Software sono programmi semplici e sistemici, complessi progettati per risolvere problemi specifici e complessi relativi alla sicurezza delle informazioni. Un esempio di soluzioni complesse sono anche: le prime servono a prevenire perdite, riformattare le informazioni e reindirizzare i flussi di informazioni, le seconde forniscono protezione contro gli incidenti nel campo della sicurezza delle informazioni. Il software richiede la potenza dei dispositivi hardware e durante l'installazione devono essere fornite riserve aggiuntive.

A mezzi specifici la sicurezza delle informazioni include vari algoritmi crittografici che crittografano le informazioni sul disco e le reindirizzano attraverso canali di comunicazione esterni. La trasformazione delle informazioni può avvenire utilizzando metodi software e hardware operanti nei sistemi informativi aziendali.

Tutti i mezzi che garantiscono la sicurezza delle informazioni dovrebbero essere utilizzati in combinazione, dopo una valutazione preliminare del valore delle informazioni e confrontandolo con il costo delle risorse spese per la sicurezza. Pertanto, le proposte per l'utilizzo dei fondi dovrebbero essere formulate già nella fase di sviluppo dei sistemi e l'approvazione dovrebbe essere effettuata a livello di gestione responsabile dell'approvazione dei budget.

Per garantire la sicurezza, è necessario monitorare tutti gli sviluppi moderni, i mezzi di protezione software e hardware, le minacce e apportare tempestivamente modifiche ai propri sistemi di protezione contro l'accesso non autorizzato. Solo l'adeguatezza e la tempestività di risposta alle minacce contribuiranno a raggiungere un elevato livello di riservatezza nel lavoro dell'azienda.

Rimedi informali

I rimedi informali sono raggruppati in normativi, amministrativi e morali-etici. Al primo livello di protezione ci sono i mezzi normativi che regolano la sicurezza delle informazioni come processo nelle attività dell'organizzazione.

• Mezzi normativi

Nella pratica mondiale, quando si sviluppano strumenti normativi, sono guidati dagli standard di protezione IS, il principale è ISO / IEC 27000. Lo standard è stato creato da due organizzazioni:

• ISO - International Commission for Standardization, che sviluppa e approva la maggior parte delle metodologie riconosciute a livello internazionale per la certificazione della qualità dei processi produttivi e gestionali;
• IEC - International Energy Commission, che ha introdotto nella norma la sua comprensione dei sistemi di sicurezza delle informazioni, mezzi e metodi per assicurarla

L'attuale versione di ISO / IEC 27000-2016 offre standard già pronti e metodi comprovati necessari per l'implementazione della sicurezza delle informazioni. Secondo gli autori dei metodi, la base della sicurezza delle informazioni risiede nella coerenza e nell'implementazione coerente di tutte le fasi, dallo sviluppo al post-controllo.

Per ottenere un certificato che confermi la conformità agli standard di sicurezza delle informazioni, è necessario implementare completamente tutte le tecniche consigliate. Se non è necessario ottenere un certificato, è consentito accettare una qualsiasi delle versioni precedenti dello standard, a partire da ISO / IEC 27000-2002, o GOST russi, che sono di natura consultiva, come base per lo sviluppo di propri sistemi di sicurezza delle informazioni.

Sulla base dei risultati dello studio dello standard, sono in fase di sviluppo due documenti relativi alla sicurezza delle informazioni. Il principale, ma meno formale, è il concetto di sicurezza delle informazioni di un'impresa, che definisce le misure e le modalità di implementazione di un sistema di sicurezza delle informazioni per i sistemi informativi di un'organizzazione. Il secondo documento a cui tutti i dipendenti dell'azienda devono attenersi è il regolamento sulla sicurezza delle informazioni approvato a livello del consiglio di amministrazione o dell'organo esecutivo.

Oltre alla posizione a livello aziendale, dovrebbero essere sviluppati elenchi di informazioni che costituiscono un segreto commerciale, allegati ai contratti di lavoro, garanzia della responsabilità per la divulgazione di dati riservati, altri standard e metodi. Le norme ei regolamenti interni dovrebbero contenere meccanismi di attuazione e misure di responsabilità. Molto spesso, le misure sono di natura disciplinare e il trasgressore deve essere preparato al fatto che la violazione del regime del segreto commerciale sarà seguita da sanzioni significative, fino al licenziamento.

• Misure organizzative e amministrative

Nell'ambito delle attività amministrative per la protezione della sicurezza delle informazioni per il personale addetto alla sicurezza, c'è spazio per la creatività. Si tratta di soluzioni architettoniche e di pianificazione che aiutano a proteggere le sale riunioni e gli uffici di direzione dalle intercettazioni e dall'istituzione di vari livelli di accesso alle informazioni. Importanti misure organizzative saranno la certificazione delle attività dell'azienda secondo gli standard ISO/IEC 27000, la certificazione dei singoli sistemi hardware e software, la certificazione di soggetti e oggetti per il rispetto dei requisiti di sicurezza necessari, l'ottenimento delle licenze necessarie per lavorare con array di dati protetti.

Dal punto di vista della regolamentazione delle attività del personale, sarà importante formulare un sistema di richieste di accesso a Internet, posta elettronica esterna e altre risorse. Un elemento separato sarà la ricezione di una firma digitale elettronica per migliorare la sicurezza delle informazioni finanziarie e di altro tipo trasmesse alle agenzie governative via e-mail.

• Misure morali ed etiche

Le misure morali ed etiche determinano l'atteggiamento personale di una persona nei confronti delle informazioni riservate o delle informazioni limitate in circolazione. L'aumento del livello di conoscenza dei dipendenti in merito all'impatto delle minacce sulle attività dell'azienda influisce sul grado di consapevolezza e responsabilità dei dipendenti. Per combattere le violazioni del regime informativo, tra cui, ad esempio, il trasferimento di password, la manipolazione negligente dei media, la diffusione di dati riservati nelle conversazioni private, è necessario concentrarsi sulla coscienziosità personale del dipendente. Sarà utile stabilire indicatori dell'efficacia del personale, che dipenderanno dall'atteggiamento nei confronti del sistema di sicurezza delle informazioni aziendali.

L'infografica utilizza i dati della nostra ricerca.CercaInforma.

Nuovi metodi di elaborazione e trasmissione dei dati contribuiscono all'emergere di nuove minacce che migliorano la probabilità di distorsione, intercettazione, ecc. delle informazioni. Pertanto, oggi l'implementazione della sicurezza delle informazioni dei computer nella rete è la direzione principale nell'IT. Un documento che supporta la legalità delle azioni e la designazione di una comprensione unificata di tutti gli aspetti - GOST R 50922-96.

Di seguito considereremo il concetto di base in questa direzione:

• La protezione delle informazioni è la direzione per prevenire le minacce alle informazioni.
• Un oggetto protetto è un'informazione o un mezzo con informazioni che devono essere protette.
• L'obiettivo della protezione è un determinato risultato dopo un certo periodo di protezione di queste informazioni.
• Efficienza della protezione delle informazioni: l'indicatore mostra quanto il risultato reale è vicino al risultato impostato.
• Protezione delle informazioni dalla fuga - lavorare per impedire la trasmissione incontrollata di dati protetti dalla divulgazione o
• Sistema di sicurezza delle informazioni: un insieme di componenti implementati sotto forma di tecnologia, software, persone, leggi, ecc. Organizzati e operanti in un unico sistema e finalizzati alla protezione delle informazioni
• Il soggetto dell'accesso alle informazioni è un partecipante ai rapporti giuridici nei processi informativi
• Proprietario delle informazioni - un autore che ha pieni diritti su queste informazioni nell'ambito delle leggi
• Titolare delle informazioni - un soggetto che, per ordine del titolare, utilizza le informazioni e le attua in determinati poteri
• Il diritto di accesso alle informazioni è un insieme di regole per l'accesso ai dati stabilite da atti o dal titolare/titolare
• Accesso autorizzato - accesso che non viola determinate regole di controllo degli accessi
• Accesso non autorizzato - violazione delle regole di controllo degli accessi. Il processo o il soggetto che implementa la NSD è un trasgressore
• L'identificazione del soggetto è un algoritmo per riconoscere un soggetto tramite identificatore
• L'autorizzazione del soggetto è un algoritmo per la concessione dei diritti al soggetto dopo l'autenticazione e l'identificazione nel sistema
• La vulnerabilità del sistema informatico è un aspetto dei componenti del sistema che porta a
• Un attacco a un sistema informatico (CS) è una ricerca e implementazione di vulnerabilità del sistema da parte di un utente malintenzionato
• Un sistema protetto è un sistema in cui le vulnerabilità del sistema vengono chiuse con successo e i rischi di minaccia vengono ridotti
• Metodi e metodi di protezione delle informazioni - regole e procedura per l'attuazione dei mezzi per la protezione
• Una politica di sicurezza è un insieme di regole, norme e documenti per l'implementazione della protezione di un sistema informativo in un'impresa.

Sotto Informazioni di sicurezza determinare la sicurezza dei dati da azioni illegali con esso, nonché l'operatività del sistema informativo e dei suoi componenti. Oggi, l'AS (sistema automatizzato) di elaborazione dei dati è un intero sistema, che consiste in componenti di una certa autonomia. Ogni componente può essere gravemente colpito. Gli elementi del relatore possono essere classificati in gruppi:

• Componenti hardware - computer e loro parti (monitor, stampanti, cavi di comunicazione, ecc.)
• Software: programmi, sistema operativo, ecc.
• Personale - persone che sono direttamente collegate al sistema informativo (dipendenti, ecc.)
• Dati: informazioni che si trovano in un sistema chiuso. Si tratta di informazioni stampate e riviste, media, ecc.

La sicurezza delle informazioni viene implementata attraverso i seguenti aspetti: integrità, riservatezza e disponibilità. Riservatezza dei datiÈ un aspetto dell'informazione che determina il grado della sua segretezza da terzi. Le informazioni riservate dovrebbero essere note solo ai soggetti autorizzati del sistema. Integrità delle informazioni definisce l'aspetto dell'informazione nel preservare la sua struttura / contenuto durante la trasmissione o l'archiviazione. Raggiungere la sicurezza di questo aspetto è importante in un ambiente in cui vi è un'elevata probabilità di distorsione o altri effetti sulla distruzione dell'integrità. Affidabilità delle informazioni consiste nella stretta appartenenza al valore iniziale, durante la trasmissione e la memorizzazione.

Il significato legale dei dati è determinato dal documento che è il vettore e ha anche forza legale. Disponibilità dei dati determina la ricezione da parte del soggetto delle informazioni mediante mezzi tecnici.