Cum se configurează smartphone-uri și PC-uri. Portal informativ
  • Acasă
  • Interesant
  • Date ib. Securitatea informațiilor și protecția informațiilor în cuvinte simple

Date ib. Securitatea informațiilor și protecția informațiilor în cuvinte simple

12.06.2019 Interesant

În mod obiectiv, categoria „securitate informațională” a apărut odată cu apariția mijloacelor de comunicare informațională între oameni, precum și odată cu conștientizarea oamenilor că oamenii și comunitățile lor au interese care pot fi afectate prin influențarea mijloacelor de comunicare informațională, prezența și dezvoltarea cărora asigură schimbul de informații între toate elementele societății.

Securitatea informațiilor- securitatea informațiilor și a infrastructurii suport împotriva impacturilor accidentale sau intenționate de natură naturală sau artificială care ar putea cauza pagube inacceptabile subiecților relaţiile informaţionale. Infrastructura de sprijin - sisteme electrice, termice, de apa, de alimentare cu gaz, sisteme de aer conditionat, etc., precum si personal de intretinere. Daune inacceptabile sunt daune care nu pot fi ignorate.

In timp ce Securitatea informațiilor- Acest starea de securitate a mediului informațional, protejarea datelor reprezintă activități pentru a preveni scurgerea de informații protejate, impactul neautorizat și neintenționat asupra informațiilor protejate, adică proces, vizând atingerea acestei stări .

Securitatea informațiilor organizației- starea de securitate a mediului informațional al organizației, asigurând formarea, utilizarea și dezvoltarea acestuia.

Securitatea informațiilor de stat- starea de conservare a resurselor informaţionale de stat şi securitate drepturi legale indivizii și societatea în sfera informațională.

ÎN societate modernă sfera informaţională are două componente: tehnologia de informație (lumea tehnologiei, creată artificial de om etc.) și informaţional-psihologic (lumea naturală a naturii vii, inclusiv omul însuși).

Securitatea informațiilor- protecția confidențialității, integrității și disponibilității informațiilor.

1. Confidențialitate: proprietatea resurselor informaționale, inclusiv a informațiilor, legate de faptul că acestea nu vor deveni accesibile și nu vor fi dezvăluite unor persoane neautorizate.

2. Integritate: o proprietate a resurselor informaționale, inclusiv a informațiilor, care determină acuratețea și completitudinea acestora.

3. Disponibilitate: o proprietate a resurselor informaționale, inclusiv a informațiilor, care determină posibilitatea primirii și utilizării acestora la cererea persoanelor autorizate.

O abordare sistematică a descrierii securității informațiilor sugerează evidențierea următoarelor: componente ale securității informațiilor:

1. Cadrul legislativ, de reglementare și științific.

2. Structura și sarcinile organelor (diviziunilor) care asigură securitatea informatică.

3. Măsuri și metode organizatorice, tehnice și de securitate (Politica de securitate a informațiilor).


4. Metode software și hardware și mijloace de asigurare a securității informațiilor.

Având în vedere influența asupra transformării ideilor de securitate a informațiilor în dezvoltarea comunicațiilor informaționale se pot distinge mai multe etape:

Ø Etapa I - înainte de 1816 - caracterizat prin utilizare mijloace naturale de comunicare informațională. În această perioadă, sarcina principală a securității informației a fost în protejarea informațiilor despre evenimente, fapte, proprietăți, locație și alte date care sunt de o importanță vitală pentru o persoană personală sau comunitatea căreia i-a aparținut .

Ø Etapa II - din 1816 - asociat cu începerea utilizării creat artificial mijloace tehnice comunicatii electrice si radio. Pentru a asigura secretul și imunitatea la zgomot a comunicațiilor radio a fost necesar să se folosească experiența primei perioade de securitate a informațiilor la un nivel tehnologic superior și anume aplicarea codării rezistente la zgomot a unui mesaj (semnal) cu decodare ulterioară mesaj primit(semnal).

Ø Etapa III - din 1935 - asociat cu apariția radarului și a mijloacelor hidroacustice. Principala modalitate de asigurare a securității informațiilor în această perioadă a fost combinaţie de organizatorice şi masuri tehnice, care vizează creșterea securității echipamentelor radar de impactul asupra dispozitivelor lor receptoare de mascare activă și pasivă simulare a interferențelor electronice.

Ø Etapa IV - din 1946 - asociat cu inventarea și implementarea calculatoarelor electronice în activități practice(calculatoare). Problemele de securitate a informațiilor au fost rezolvate în principal de metode si metode de limitare acces fizic la echipamente pentru obținerea, prelucrarea și transmiterea informațiilor .

Ø Etapa V - din 1965 - datorită creării și dezvoltării rețele locale de informare și comunicații. Problemele de securitate a informațiilor au fost, de asemenea, rezolvate în principal folosind metode și tehnici protectie fizica mijloace de obținere, prelucrare și transmitere a informațiilor, combinate în retea locala prin administrarea și controlul accesului la resursele rețelei .

Ø Etapa VI - din 1973 - asociat cu utilizare dispozitive de comunicare ultra-mobile cu gamă largă sarcini. Amenințările la securitatea informațiilor au devenit mult mai grave. Pentru a asigura securitatea informaţiei în sistemele informatice cu rețele fără fir transferul de date a necesitat dezvoltarea de noi criterii de securitate. S-au format comunități de oameni - hackeri, având ca scop deteriorarea securității informaționale a utilizatorilor individuali, a organizațiilor și a țărilor întregi. Resursă de informații a devenit cea mai importantă resursă a statului, iar asigurarea securității sale este cea mai importantă și obligatorie componentă a securității naționale. Format legea informatiei - o nouă ramură a sistemului juridic internațional.

Ø etapa a VII-a - din 1985 - este asociată cu crearea și dezvoltarea rețelelor globale de informare și comunicații folosind instalații de sprijin din spațiu. Se poate presupune că următoarea etapă în dezvoltarea securității informaționale va fi asociată în mod evident cu utilizarea pe scară largă a dispozitivelor de comunicații ultramobile cu o gamă largă de sarcini și acoperire globală în spațiu și timp asigurată de sistemele de informare și comunicații spațiale. Pentru a rezolva problemele de securitate a informațiilor în această etapă, este necesar să se creeze un macrosistem de securitate a informațiilor a umanității sub auspiciile unor forumuri internaționale de vârf. .

O frază poate avea semnificații diferite în contexte diferite. În Doctrina Securității Informaționale Federația Rusă termen „Securitatea informațiilor” folosit în sens larg. Aceasta se referă la starea de protecție a intereselor naționale în sfera informațională, determinată de totalitatea intereselor echilibrate ale individului, societății și statului.

În Legea Federației Ruse „Cu privire la participarea la activități internaționale schimb de informatii" (legea și-a pierdut vigoare; legea „Cu privire la informații, tehnologii informaționale și protecția informațiilor” este în prezent în vigoare) Securitatea informațiilor determinat la fel– ca stare de securitate a mediului informațional al societății, asigurând formarea, utilizarea și dezvoltarea acestuia în interesul cetățenilor, organizațiilor și statului.

În acest curs, atenția noastră se va concentra pe stocarea, procesarea și transmiterea informațiilor, indiferent de ce limbă (rusă sau oricare alta) este codificată, cine sau care este sursa și ce ei. impact psihologic are efect asupra oamenilor. Prin urmare termenul „Securitatea informațiilor” va fi folosit într-un sens restrâns, așa cum se obișnuiește, de exemplu, în literatura de limbă engleză.

Sub securitatea informatiei vom înțelege securitatea informațiilor de la impacturi accidentale sau intenționate de natură naturală sau artificială pe care le pot provoca daune inacceptabile subiecții relațiilor de informare, inclusiv proprietarii și utilizatorii de informații și infrastructura de sprijin. (Puțin mai departe vom explica ce ar trebui să se înțeleagă prin infrastructura de sprijin.)

Protejarea datelor este un ansamblu de măsuri care vizează asigurarea securității informațiilor.

Astfel, abordarea corectă metodologic a problemelor securitatea informatieiîncepe cu identificarea subiecte ale relaţiilor informaţionaleși interesele acestor entități legate de utilizarea sistemelor informaționale (SI). Amenințări securitatea informatiei- Acest reversul utilizarea tehnologiei informației.

Din această situație se pot trage două consecințe importante:

  1. Interpretarea problemelor asociate cu securitatea informatiei, Pentru diferite categorii subiectele pot varia semnificativ. Pentru ilustrare, este suficient să comparăm regimul organizatii de statși institute de învățământ. În primul caz, „este mai bine să se spargă totul decât să afle inamicul măcar un pic secret”, în al doilea, „nu avem secrete, atâta timp cât totul funcționează”.
  2. Securitatea informațiilor nu se limitează doar la protecția împotriva accesului neautorizat la informații, este un concept fundamental mai larg. Subiectul relaţiilor informaţionale poate suferi (a suferi pierderi și/sau daune morale) nu numai din cauza accesului neautorizat, ci și a unei defecțiuni a sistemului care provoacă o întrerupere a lucrului. Mai mult, pentru multe organizații deschise (de exemplu, cele educaționale), protecția efectivă împotriva accesului neautorizat la informații nu este pe primul loc ca importanță.

Revenind la problemele de terminologie, observăm că termenul „ Securitatea calculatorului„(ca echivalent sau substitut al securității informației) ni se pare prea îngustă. Calculatoarele sunt doar una dintre componentele sistemelor informaționale și, deși atenția noastră se va concentra în primul rând asupra informațiilor care sunt stocate, procesate și transmise cu ajutorul computerelor, securitatea acesteia este determinată de întregul set de componente și, în primul rând, de cea mai slabă verigă, care în marea majoritate a cazurilor se dovedește a fi o persoană (care, de exemplu, și-a notat parola pe o „ghips de muștar” lipită de monitor).

Conform definiției securității informațiilor, aceasta depinde nu numai de computere, ci și de infrastructura de sprijin, care include sisteme electrice, de alimentare cu apă și căldură, aparate de aer condiționat, comunicații și, bineînțeles, personal de întreținere. Această infrastructură are propria ei valoare, dar ne va interesa doar modul în care afectează îndeplinirea funcțiilor prescrise de sistemul informațional.

Vă rugăm să rețineți că în definiția securității informațiilor, substantivul „daune” este precedat de adjectivul „inacceptabil”. Evident, este imposibil să vă asigurați împotriva tuturor tipurilor de daune, cu atât mai puțin este imposibil să faceți acest lucru într-un mod fezabil din punct de vedere economic atunci când costul echipamentului și măsurilor de protecție nu depășește valoarea prejudiciului așteptat. Asta înseamnă că trebuie să suporti ceva și ar trebui să te aperi doar de ceea ce nu te poți împăca. Uneori, astfel de daune inacceptabile reprezintă un prejudiciu pentru sănătatea sau starea oamenilor mediu inconjurator, dar de cele mai multe ori pragul de inacceptabilitate are o expresie materială (monetară), iar scopul protecției informațiilor este reducerea cantității de deteriorare a valorilor acceptabile.

Componentele principale. Importanța problemei.

Securitatea informațiilor (SI) ar trebui înțeleasă ca protejarea intereselor subiecților relațiilor informaționale. Componentele sale principale sunt descrise mai jos - confidențialitate, integritate, disponibilitate. Sunt furnizate statistici privind încălcările securității informațiilor și sunt descrise cele mai tipice cazuri.

Conceptul de securitate a informațiilor

Expresia „securitatea informațiilor” poate avea semnificații diferite în contexte diferite. În Doctrina Securității Informaționale a Federației Ruse, termenul „securitate informațională” este folosit într-un sens larg. Aceasta se referă la starea de protecție a intereselor naționale în sfera informațională, determinată de totalitatea intereselor echilibrate ale individului, societății și statului.

În Legea Federației Ruse „Cu privire la participarea la schimbul internațional de informații” securitatea informațiilor este definită în mod similar - ca starea de securitate a mediului informațional al societății, asigurând formarea, utilizarea și dezvoltarea acestuia în interesul cetățenilor, organizațiilor. , și statul.

În acest curs, atenția noastră se va concentra pe stocarea, procesarea și transmiterea informațiilor, indiferent de limba în care (rusă sau oricare alta) este codificată, cine sau care este sursa acesteia și ce impact psihologic are asupra oamenilor. Prin urmare, termenul „securitate informațională” va fi folosit într-un sens restrâns, așa cum este obișnuit, de exemplu, în literatura de limbă engleză.

Sub securitatea informatiei vom înțelege securitatea informațiilor și a infrastructurii de susținere de la impacturi accidentale sau intenționate de natură naturală sau artificială care pot cauza daune inacceptabile subiecților relațiilor informaționale, inclusiv proprietarilor și utilizatorilor de informații și infrastructurii de sprijin. (Vom explica ce înțelegem prin sprijinirea infrastructurii într-un moment.)

Protejarea datelor este un ansamblu de măsuri care vizează asigurarea securității informațiilor.

Astfel, o abordare corectă metodologic a problemelor de securitate a informațiilor începe cu identificarea subiecților relațiilor informaționale și a intereselor acestor subiecți asociate cu utilizarea sistemelor informaționale (SI). Amenințările la securitatea informațiilor reprezintă dezavantajul utilizării tehnologiei informației.

Din această situație se pot trage două consecințe importante:

Interpretarea problemelor legate de securitatea informațiilor pentru diferite categorii de subiecte poate varia semnificativ. Pentru a ilustra, este suficient să comparăm organizațiile guvernamentale de regim și instituțiile de învățământ. În primul caz, „este mai bine să se spargă totul decât să afle inamicul măcar un pic secret”, în al doilea, „nu avem secrete, atâta timp cât totul funcționează”.

Securitatea informațiilor nu se limitează la protecția împotriva accesului neautorizat la informații; este un concept fundamental mai larg. Subiectul relațiilor informaționale poate suferi (suferă pierderi și/sau primește prejudicii morale) nu doar din cauza accesului neautorizat, ci și din cauza unei defecțiuni a sistemului care provoacă o întrerupere a activității. Mai mult, pentru multe organizații deschise (de exemplu, cele educaționale), protecția efectivă împotriva accesului neautorizat la informații nu este pe primul loc ca importanță.

Revenind la problemele de terminologie, observăm că termenul „securitate informatică” (ca echivalent sau substitut al securității informațiilor) ni se pare prea îngust. Calculatoarele sunt doar una dintre componentele sistemelor informatice și, deși atenția noastră se va concentra în primul rând asupra informațiilor care sunt stocate, procesate și transmise cu ajutorul computerelor, securitatea acesteia este determinată de întregul set de componente și, în primul rând, de cele mai slabe. link, care în majoritatea cazurilor este copleșitor, se dovedește a fi o persoană (care, de exemplu, și-a notat parola pe o „ghips de muștar” lipită de monitor).

Conform definiției securității informațiilor, aceasta depinde nu numai de calculatoare, ci și de infrastructura suport, care include sisteme electrice, de alimentare cu apă și căldură, aparate de aer condiționat, comunicații și, bineînțeles, personal de întreținere. Această infrastructură are propria ei valoare, dar ne va interesa doar modul în care afectează îndeplinirea funcțiilor prescrise de sistemul informațional.

Vă rugăm să rețineți că în definiția securității informațiilor, substantivul „daune” este precedat de adjectivul „inacceptabil”. Evident, este imposibil să vă asigurați împotriva tuturor tipurilor de daune, cu atât mai puțin este imposibil să faceți acest lucru într-un mod fezabil din punct de vedere economic atunci când costul echipamentului și măsurilor de protecție nu depășește valoarea prejudiciului așteptat. Asta înseamnă că trebuie să suporti ceva și ar trebui să te aperi doar de ceea ce nu te poți împăca. Uneori, astfel de daune inacceptabile sunt daune aduse sănătății umane sau mediului, dar cel mai adesea pragul de inacceptabilitate are o expresie materială (monetară), iar scopul protecției informațiilor este reducerea cantității de daune la valori acceptabile.

Componentele principale ale securității informațiilor

Securitatea informației este un domeniu de activitate multidimensional, s-ar putea spune chiar multidimensional, în care doar o abordare sistematică, integrată, poate aduce succes.

Gama de interese ale subiectelor legate de utilizarea sistemelor informatice poate fi împărțită în următoarele categorii: asigurarea accesibilitate, integritateȘi intimitate resursele informaționale și infrastructura suport.

Uneori, principalele componente ale securității informațiilor includ și protecția împotriva copierii neautorizate a informațiilor, dar, în opinia noastră, acesta este un aspect prea specific cu șanse dubioase de reușită, așa că nu îl vom evidenția.

Să explicăm conceptele de disponibilitate, integritate și confidențialitate.

Disponibilitatea este capacitatea de a obține produsul solicitat într-un timp rezonabil. serviciul de informare. Integritatea înseamnă relevanța și consistența informațiilor, protecția acesteia împotriva distrugerii și modificărilor neautorizate.

În cele din urmă, confidențialitatea este protecția împotriva accesului neautorizat la informații.

Sistemele informatice sunt create (achizitionate) pentru a obtine anumite servicii informatice. Dacă dintr-un motiv sau altul devine imposibilă furnizarea acestor servicii utilizatorilor, acest lucru provoacă în mod evident prejudicii tuturor subiectelor relațiilor de informare. Prin urmare, fără a contrasta accesibilitatea cu alte aspecte, o evidențiem ca fiind cel mai important element al securității informațiilor.

Rolul principal al accesibilității este evident mai ales în diferite feluri sisteme de management - producție, transport etc. Consecințele în exterior mai puțin dramatice, dar și foarte neplăcute - atât materiale, cât și morale - pot fi cauzate de indisponibilitatea pe termen lung a serviciilor de informare care sunt utilizate de un număr mare de persoane (vânzarea de bilete de cale ferată și de avion, Servicii bancareși așa mai departe.).

Integritatea poate fi împărțită în statică (înțeleasă ca imuabilitatea obiectelor informaționale) și dinamică (referitor la executarea corectă a acțiunilor complexe (tranzacții)). Controalele dinamice ale integrității sunt utilizate, în special, atunci când se analizează fluxul de mesaje financiare pentru a detecta furtul, reordonarea sau duplicarea mesajelor individuale.

Integritatea se dovedește a fi cel mai important aspect al securității informațiilor în cazurile în care informațiile servesc drept „ghid de acțiune”. Rețete de medicamente, proceduri medicale prescrise, setul și caracteristicile componentelor, progresul unui proces tehnologic - toate acestea sunt exemple de informații, a căror încălcare a integrității poate fi literalmente fatală. Denaturarea informațiilor oficiale, fie că este vorba de textul unei legi sau de pagina de server Web a unei organizații guvernamentale, este, de asemenea, neplăcută. Confidențialitatea este cel mai dezvoltat aspect al securității informațiilor din țara noastră. Din păcate, implementarea practică a măsurilor de asigurare a confidențialității sistemelor informatice moderne în Rusia întâmpină dificultăți serioase. În primul rând, informațiile despre canalele tehnice de scurgere de informații sunt închise, astfel încât majoritatea utilizatorilor nu își pot face o idee despre riscurile potențiale. În al doilea rând, există numeroase provocări juridice și tehnice care stau în calea criptografiei personalizate ca mijloc principal de asigurare a confidențialității.

Dacă revenim la analiza intereselor diverselor categorii de subiecte ale relațiilor informaționale, atunci pentru aproape toți cei care folosesc efectiv tehnologia informației, accesibilitatea este pe primul loc. Aproape la fel de importantă este integritatea – ce rost are un serviciu de informare dacă conține informații distorsionate?

În cele din urmă, multe organizații au și probleme confidențiale (chiar și institutele de învățământ menționate mai sus încearcă să nu dezvăluie informații despre salariile angajaților) și utilizatori individuali (de exemplu, parole).

Cele mai frecvente amenințări:

Înțelegerea posibilelor amenințări, precum și a vulnerabilităților de securitate pe care aceste amenințări le exploatează de obicei, este necesară pentru a selecta cele mai rentabile soluții de securitate.

Definiții și criterii de bază pentru clasificarea amenințărilor

Amenințare- aceasta este o oportunitate potențială de a încălca securitatea informațiilor într-un anumit mod.

Este apelată o încercare de a implementa o amenințare atac, iar cel care face o astfel de încercare - intrus. Potențialii atacatori sunt chemați surse de amenințare.

Cel mai adesea, amenințarea este o consecință a prezenței unor vulnerabilități în protecția sistemelor informaționale (cum ar fi, de exemplu, capacitatea persoanelor neautorizate de a accesa echipamente critice sau erori în software).

Perioada de timp din momentul în care devine posibilă utilizarea slăbiciune, iar până în momentul în care decalajul este eliminat se numește fereastra pericolului asociat cu această vulnerabilitate. Atâta timp cât există fereastra pericolului, sunt posibile atacuri de succes asupra IP-ului.

Dacă despre care vorbim despre erori în software, atunci fereastra de pericol „se deschide” odată cu apariția mijloacelor de exploatare a erorii și este eliminată atunci când se aplică patch-uri pentru a o corecta.

Pentru majoritatea vulnerabilităților, fereastra pericolului există o perioadă relativ lungă de timp (câteva zile, uneori săptămâni), deoarece în acest timp trebuie să apară următoarele evenimente:

trebuie făcute cunoscute mijloacele de exploatare a decalajului de securitate;

trebuie eliberați patch-uri corespunzători;

patch-urile trebuie instalate în IP-ul protejat.

Am indicat deja că apar în mod constant noi vulnerabilități și mijloace de exploatare a acestora; Aceasta înseamnă, în primul rând, că există aproape întotdeauna ferestre de pericol și, în al doilea rând, că astfel de ferestre trebuie monitorizate în mod continuu și eliberați și aplicați patch-uri cât mai repede posibil.

Rețineți că unele amenințări nu pot fi considerate rezultatul unor erori sau calcule greșite; ele există prin însăși natura proprietății IP moderne. De exemplu, amenințarea unei întreruperi de curent sau a parametrilor săi care depășesc limitele acceptabile există din cauza dependenței hardware-ului IC de o sursă de alimentare de înaltă calitate.

Să ne uităm la cele mai frecvente amenințări la care sunt expuse sistemele informaționale moderne. Înțelegerea posibilelor amenințări, precum și a vulnerabilităților pe care aceste amenințări le exploatează de obicei, este necesară pentru a selecta cele mai rentabile soluții de securitate. Există prea multe mituri în domeniul tehnologiei informației (rețineți aceeași „Problemă 2000”), deci ignoranța în în acest caz, conduce la depășiri de costuri și, mai rău, la concentrarea resurselor acolo unde acestea nu sunt deosebit de necesare, în detrimentul slăbirii zonelor cu adevărat vulnerabile.

Subliniem că însuși conceptul de „amenințare” este adesea interpretat diferit în diferite situații. De exemplu, pentru o organizație deschisă cu accent, amenințările la confidențialitate pur și simplu nu pot exista - toate informațiile sunt considerate publice; cu toate acestea, în majoritatea cazurilor, accesul ilegal reprezintă un risc serios. Cu alte cuvinte, amenințările, ca orice altceva în securitatea informațiilor, depind de interesele subiecților relațiilor informaționale (și de ce daune sunt inacceptabile pentru aceștia).

Vom încerca să privim subiectul din punctul de vedere al unei organizații tipice (în opinia noastră). Cu toate acestea, multe amenințări (de exemplu, incendiul) sunt periculoase pentru toată lumea.

Amenințările pot fi clasificate după mai multe criterii:

pe aspectul securității informațiilor (disponibilitate, integritate, confidențialitate), împotriva căruia sunt îndreptate în primul rând amenințările;

prin componente ale sistemelor informatice care sunt vizate de amenințări (date, programe, hardware, infrastructură suport);

prin metoda de implementare (acțiuni accidentale/intenționate de natură naturală/fabricată de om);

după locația sursei amenințării (în interiorul/în afara IS-ului în cauză).

Vom folosi primul (pentru aspectul securității informațiilor) ca principal criteriu, implicându-i și pe celelalte dacă este cazul.

Amenințări majore pentru confidențialitate

Informațiile confidențiale pot fi împărțite în informații despre subiect și despre servicii. Informațiile de serviciu (de exemplu, parolele de utilizator) nu se referă la un domeniu specific, ele joacă un rol tehnic într-un sistem informatic, dar dezvăluirea lor este deosebit de periculoasă, deoarece este plină de acces neautorizat la toate informațiile, inclusiv la informațiile subiectului.

Chiar dacă informațiile sunt stocate pe un computer sau sunt destinate utilizarea calculatorului, amenințările la adresa confidențialității sale pot fi de natură non-informatică și, în general, netehnică.

Mulți oameni trebuie să acționeze ca utilizatori nu ai unuia, ci a mai multor sisteme ( servicii de informare). Dacă pentru a accesa astfel de sisteme sunt folosite parole reutilizabile sau alte informații confidențiale, atunci cel mai probabil aceste date vor fi stocate nu numai în cap, ci și într-un notebook sau pe bucăți de hârtie, pe care utilizatorul le lasă adesea pe desktop, sau chiar pierde pur și simplu. Iar ideea aici nu este lipsa de organizare a oamenilor, ci nepotrivirea inițială a schemei de parole. Este imposibil să-ți amintești multe parole diferite; recomandările pentru schimbarea lor regulată (dacă este posibil, frecventă) nu fac decât să agraveze situația, forțând utilizarea unor scheme simple de alternanță sau chiar încercând să reducă problema la două sau trei parole ușor de reținut (și la fel de ușor de ghicit).

Clasa descrisă de vulnerabilități poate fi numită plasarea datelor confidențiale într-un mediu în care acestea nu sunt furnizate (și adesea nu pot fi furnizate) cu protecția necesară. Amenințarea este că cineva nu va refuza să învețe secretele care le cer mâinile. Pe lângă parolele stocate în caiete utilizatorilor, această clasă include transmiterea datelor confidențiale în text clar (într-o conversație, într-o scrisoare, printr-o rețea), ceea ce face posibilă interceptarea datelor. Pentru un atac pot fi folosite diverse mijloace tehnice (interceptarea sau interceptarea conversațiilor, interceptarea pasivă în rețea etc.), dar ideea este aceeași - să accesați datele în momentul în care acestea sunt cel mai puțin protejate.

Amenințarea interceptării datelor ar trebui luată în considerare nu numai în timpul configurării inițiale a IS-ului, ci și, foarte important, în timpul tuturor modificărilor. O amenințare foarte periculoasă sunt... expozițiile, la care multe organizații, fără să se gândească de două ori, trimit echipamente din rețeaua de producție, cu toate datele stocate pe ele. Parolele rămân aceleași în timpul accesului de la distanță, acestea continuă să fie transmise în text clar. Acest lucru este rău chiar și în cadrul rețelei securizate a unei organizații; într-o rețea expozițională unită este un test prea sever al onestității tuturor participanților.

Un alt exemplu de schimbare care este adesea uitată este stocarea datelor pe medii de rezervă. Pentru a proteja datele de pe mediile primare, sunt utilizate sisteme avansate de control al accesului; copiile se află adesea în dulapuri și pot fi accesate de mulți.

Interceptarea datelor este o amenințare foarte serioasă, iar dacă confidențialitatea este cu adevărat critică și datele sunt transmise prin mai multe canale, protejarea acestora poate fi foarte dificilă și costisitoare. Mijloacele tehnice de interceptare sunt bine dezvoltate, accesibile, ușor de operat și instalate, de exemplu, pe rețea de cablu, oricine poate, așa că această amenințare trebuie luată în considerare nu numai în raport cu comunicările externe, ci și cu cele interne.

Furtul de hardware este o amenințare nu numai pentru mediile de rezervă, ci și pentru computere, în special pentru laptopuri. Laptopurile sunt adesea lăsate nesupravegheate la serviciu sau în mașină și, uneori, pur și simplu sunt pierdute.

O amenințare periculoasă non-tehnică la adresa confidențialității sunt metodele de influență morală și psihologică, cum ar fi mascaradă - efectuarea de acțiuni sub masca unei persoane cu autoritate de a accesa date (vezi, de exemplu, articolul lui Ire Winkler „Assignment: Spionage” în Jet Info, 1996, 19).

Amenințările neplăcute de care sunt greu de apărat includ: abuz de putere. Pe multe tipuri de sisteme, un utilizator privilegiat (de exemplu, un administrator de sistem) este capabil să citească orice fișier (necriptat), să acceseze e-mailul oricărui utilizator etc. Un alt exemplu este daunele cauzate în timpul întreținerii serviciului. De obicei, inginerul de service primește acces nerestricționat la echipament și are capacitatea de a ocoli mecanismele de protecție software.

Acestea sunt principalele amenințări care provoacă cel mai mare prejudiciu subiecților relațiilor informaționale.

Creatorul ciberneticii, Norbert Wiener, credea că informația are caracteristici unice și nu poate fi atribuită nici energiei, nici materiei. Statutul special al informaţiei ca fenomen a dat naştere multor definiţii.

În dicționarul standardului ISO/IEC 2382:2015 " Tehnologia de informație” se dă următoarea interpretare:

Informații (în domeniul prelucrării informațiilor)- orice date prezentate în formular electronic scris pe hârtie, vorbit la o întâlnire sau în orice alt mediu, folosit de o instituție financiară pentru a lua decizii, a muta Bani, stabilirea ratelor, emiterea de împrumuturi, procesarea tranzacțiilor etc., inclusiv componentele software ale sistemului de procesare.

Pentru a dezvolta conceptul de securitate a informațiilor (IS), informațiile sunt înțelese ca informații care sunt disponibile pentru colectare, stocare, prelucrare (editare, conversie), utilizare și transmitere. căi diferite, inclusiv în retele de calculatoare si alte sisteme informatice.

Astfel de informații sunt foarte valoroase și pot deveni ținta atacurilor terților. Dorința de a proteja informațiile de amenințări stă la baza creării sistemelor de securitate a informațiilor.

Bază legală

În decembrie 2017, Rusia a adoptat Doctrina Securității Informaționale. Documentul definește securitatea informațiilor ca fiind starea de protecție a intereselor naționale în sfera informațională. Sub interesele naționale in acest caz se intelege totalitatea intereselor societatii, ale individului si ale statului, fiecare grup de interese este necesar pentru functionarea stabila a societatii.

Doctrina este un document conceptual. Relațiile juridice legate de asigurarea securității informațiilor sunt reglementate de legile federale „Cu privire la secretele de stat”, „Cu privire la informații”, „Cu privire la protecția datelor cu caracter personal” și altele. Pe baza reglementărilor fundamentale, se elaborează reglementări guvernamentale și reglementări departamentale pe probleme private de protecție a informațiilor.

Definiția securității informațiilor

Înainte de a dezvolta o strategie de securitate a informațiilor, trebuie să decideți definiție de bazăînsuși conceptul, care va permite utilizarea unui anumit set de metode și metode de protecție.

Practicienii din industrie propun să înțeleagă securitatea informațiilor ca o stare stabilă de securitate a informațiilor, a media și a infrastructurii acesteia, care asigură integritatea și rezistența proceselor legate de informații la impacturi intenționate sau neintenționate de natură naturală și artificială. Impacturile sunt clasificate sub formă de amenințări la securitatea informațiilor care pot provoca daune subiecților relațiilor informaționale.

Astfel, securitatea informației va fi înțeleasă ca un ansamblu de măsuri legale, administrative, organizatorice și tehnice care vizează prevenirea amenințărilor reale sau percepute la securitatea informațiilor, precum și eliminarea consecințelor incidentelor. Continuitatea procesului de protecție a informațiilor ar trebui să garanteze lupta împotriva amenințărilor în toate etapele ciclu informațional: în procesul de colectare, stocare, prelucrare, utilizare și transmitere a informațiilor.

Securitatea informațiilor în această înțelegere devine una dintre caracteristicile performanței sistemului. În fiecare moment, sistemul trebuie să aibă un nivel de securitate măsurabil, iar asigurarea securității sistemului trebuie să fie un proces continuu care se desfășoară la toate intervalele de timp pe durata de viață a sistemului.

În teoria securității informațiilor, subiecții securității informațiilor sunt înțeleși ca proprietari și utilizatori ai informațiilor, nu doar utilizatorii în mod continuu (angajați), ci și utilizatorii care accesează baze de date în cazuri izolate, de exemplu, agențiile guvernamentale care solicită informații. În unele cazuri, de exemplu, în standardele de securitate a informațiilor bancare, acționarii - persoane juridice care dețin anumite date - sunt considerați proprietari ai informațiilor.

Infrastructura de sprijin, din punctul de vedere al fundamentelor securității informațiilor, include computere, rețele, echipamente de telecomunicații, spații, sisteme de susținere a vieții și personal. Atunci când se analizează securitatea, este necesar să se examineze toate elementele sistemelor, Atentie speciala concentrându-se pe personal ca purtător al majorității amenințărilor interne.

Pentru a gestiona securitatea informațiilor și a evalua daunele, se utilizează caracteristica de acceptabilitate, determinând astfel dauna ca fiind acceptabilă sau inacceptabilă. Este util ca fiecare companie să-și stabilească propriile criterii de prejudiciu acceptabil sub formă monetară sau, de exemplu, sub formă de prejudiciu acceptabil adus reputației. În instituțiile guvernamentale pot fi adoptate și alte caracteristici, de exemplu, care influențează procesul de management sau reflectă gradul de deteriorare a vieții și sănătății cetățenilor. Criteriile de semnificație, importanța și valoarea informațiilor se pot schimba pe parcursul ciclu de viață matricea de informații, prin urmare, trebuie revizuită în timp util.

O amenințare informațională în sens restrâns este recunoscută ca o oportunitate obiectivă de a influența obiectul protecției, ceea ce poate duce la scurgeri, furt, dezvăluire sau diseminare de informații. Într-un sens mai larg, amenințările la securitatea informațiilor vor include influențe direcționate de natură informațională, al căror scop este de a provoca daune statului, organizației sau individului. Astfel de amenințări includ, de exemplu, defăimarea, denaturarea intenționată și publicitatea incorectă.

Trei probleme principale ale conceptului de securitate a informațiilor pentru orice organizație

    Ce să protejez?

    Ce tipuri de amenințări prevalează: externe sau interne?

    Cum să protejăm, prin ce metode și mijloace?

Sistem de securitate a informațiilor

Sistem de securitate a informatiilor pentru companie - entitate legală include trei grupuri de concepte de bază: integritate, disponibilitate și confidențialitate. Sub fiecare se află concepte cu caracteristici multiple.

Sub integritate se referă la rezistența bazelor de date și a altor matrice de informații la distrugerea accidentală sau intenționată și la modificări neautorizate. Conceptul de integritate poate fi privit ca:

  • static, exprimat în imuabilitate, autenticitate obiecte informaţionale acele obiecte care au fost create pentru un anumit specificatii tehniceși să conțină volumele de informații necesare utilizatorilor pentru activitățile lor principale, în configurația și succesiunea cerute;
  • dinamic, implicând executarea corectă actiuni complexe sau tranzacții care nu dăunează siguranței informațiilor.

Pentru a controla integritatea dinamică, sunt utilizate mijloace tehnice speciale care analizează fluxul de informații, de exemplu, financiar, și identifică cazurile de furt, duplicare, redirecționare și modificări în ordinea mesajelor. Integritatea ca caracteristică de bază este necesară atunci când deciziile de a întreprinde acțiuni sunt luate pe baza informațiilor primite sau disponibile. Încălcarea ordinii comenzilor sau a secvenței de acțiuni poate provoca pagube mariîn cazul descrierii procese tehnologice, coduri de program și în alte situații similare.

Disponibilitate este o proprietate care permite subiecților autorizați să acceseze sau să facă schimb de date care îi interesează. Cerința cheie de legitimare sau autorizare a subiecților face posibilă crearea diferite niveluri acces. Eșecul sistemului de a furniza informații devine o problemă pentru orice organizație sau grup de utilizatori. Un exemplu este inaccesibilitatea site-urilor web ale serviciilor guvernamentale în cazul unei defecțiuni a sistemului, care privează mulți utilizatori de posibilitatea de a obține serviciile sau informațiile necesare.

Confidențialitateînseamnă proprietatea informației de a fi teme disponibile utilizatori: subiecte și procese cărora le este acordat inițial accesul. Majoritatea companiilor și organizațiilor percep confidențialitatea ca elementul cheie Securitatea informației, totuși, în practică este dificil să o implementeze pe deplin. Nu toate datele privind canalele existente de scurgere de informații sunt disponibile autorilor conceptelor de securitate a informațiilor, iar multe mijloace tehnice de protecție, inclusiv cele criptografice, nu pot fi achiziționate în mod liber, în unele cazuri, circulația este limitată.

Proprietățile egale de securitate a informațiilor au valori diferite pentru utilizatori, de unde cele două categorii extreme atunci când se dezvoltă concepte de protecție a datelor. Pentru companiile sau organizațiile asociate cu secretele de stat, confidențialitatea va fi un parametru cheie, pentru serviciile publice sau institutii de invatamant cel mai parametru important- disponibilitate.

Digest de securitate a informațiilor

Selecția lunară publicații utile, știri și evenimente interesante din lumea securității informațiilor. Expertiza si cazuri reale din practica SearchInform.

Obiecte de protecție în conceptele de securitate a informațiilor

Diferențele de subiecte dau naștere la diferențe în ceea ce privește obiectele de protecție. Principalele grupuri de obiecte protejate:

  • resurse informaționale de toate tipurile (o resursă este înțeleasă ca obiect material: HDD, alte medii, document cu date și detalii care ajută la identificarea acestuia și atribuirea unui anumit grup de subiecți);
  • drepturile cetățenilor, organizațiilor și statului de a accesa informații, posibilitatea de a le obține în cadrul legii; accesul poate fi limitat doar prin reglementări organizarea oricăror bariere care încalcă drepturile omului este inacceptabilă;
  • sistem de creare, utilizare și distribuire a datelor (sisteme și tehnologii, arhive, biblioteci, documente de reglementare);
  • sistem de formare a conștiinței publice (mass-media, resurse internet, instituții sociale, instituții de învățământ).

Fiecare obiect presupune sistem special măsuri de protecție împotriva amenințărilor la adresa securității informațiilor și ordinii publice. Asigurarea securității informațiilor în fiecare caz ar trebui să se bazeze pe o abordare sistematică care ține cont de specificul obiectului.

Categorii și mass-media

Rusă sistemul juridic, practica de aplicare a legii și relațiile publice consacrate clasifică informațiile în funcție de criterii de accesibilitate. Acest lucru vă permite să clarificați parametrii esențiali necesari pentru a asigura securitatea informațiilor:

  • informații la care accesul este restricționat pe baza cerințelor legale (secrete de stat, secrete comerciale, date cu caracter personal);
  • informatii in acces deschis;
  • informații disponibile public care sunt furnizate în anumite condiții: informații plătite sau date care necesită permisiunea de a utiliza, de exemplu, un card de bibliotecă;
  • informații periculoase, dăunătoare, false și de altă natură, a căror circulație și difuzare este limitată fie de cerințele legale, fie de standardele corporative.

Informațiile din primul grup au două moduri de securitate. Secret de stat, conform legii, este vorba de informații protejate de stat, a căror difuzare gratuită ar putea dăuna securității țării. Acestea sunt date din domeniul militar, al politicii externe, al informațiilor, al contrainformațiilor și al activităților economice ale statului. Proprietarul acestui grup de date este statul însuși. Organisme autorizate să ia măsuri de protecție secrete de stat, - Ministerul Apărării, Serviciul Federal de Securitate (FSB), Serviciul de Informații Externe, Serviciul federal pentru control tehnic și export (FSTEK).

Informații confidențiale - un obiect de reglementare mai multifațetat. Lista informațiilor care pot constitui informații confidențiale este cuprinsă în Decretul prezidențial nr. 188 „Cu privire la aprobarea listei informațiilor confidențiale”. Acestea sunt date personale; secretul anchetei și al procedurilor judiciare; secret oficial; secret profesional(medic, notar, avocat); secret comercial; informații despre invenții și modele de utilitate; informatiile continute in afaceri personale persoanele condamnate, precum și informații privind executarea silită a actelor judiciare.

Datele personale există în mod deschis și confidențial. Partea datelor cu caracter personal care este deschisă și accesibilă tuturor utilizatorilor include numele, prenumele și patronimul. Conform Legii federale-152 „Cu privire la datele cu caracter personal”, subiecții datelor cu caracter personal au dreptul:

  • pentru autodeterminare informațională;
  • să acceseze datele personale cu caracter personal și să le modifice;
  • pentru a bloca datele personale și accesul la acestea;
  • a face apel abatere terți angajați în legătură cu datele personale;
  • pentru repararea prejudiciului cauzat.

Dreptul la este consacrat în reglementările privind organismele guvernamentale, legile federale și licențele de lucru cu date personale emise de Roskomnadzor sau FSTEC. Companiile care lucrează profesional cu date personale ale unei game largi de persoane, de exemplu, operatorii de telecomunicații, trebuie să înscrie în registrul, care este ținut de Roskomnadzor.

Un obiect separat în teoria și practica securității informațiilor sunt purtătorii de informații, accesul la care poate fi deschis sau închis. La elaborarea unui concept de securitate a informațiilor, metodele de protecție sunt selectate în funcție de tipul de suport. Principalele medii de stocare:

  • tipărite și mijloace electronice mass media, social media, alte resurse de pe Internet;
  • angajații organizației care au acces la informații pe baza legăturilor lor prietenoase, familiale și profesionale;
  • mijloace de comunicare care transmit sau stochează informații: telefoane, centrale telefonice automate, alte echipamente de telecomunicații;
  • acte de toate tipurile: personale, oficiale, de stat;
  • software ca independent obiect informativ, mai ales dacă versiunea sa a fost modificată special pentru o anumită companie;
  • medii electronice informații care prelucrează datele în mod automat.

În scopul dezvoltării conceptelor de securitate a informațiilor, mijloacele de securitate a informațiilor sunt de obicei împărțite în reglementare (informale) și tehnice (formale).

Mijloacele informale de protecție sunt documentele, regulile, măsurile mijloacele formale sunt mijloace tehnice și software speciale. Distincția ajută la repartizarea domeniilor de responsabilitate la crearea sistemelor de securitate a informațiilor: cu managementul general al protecției, personalul administrativ implementează metode de reglementare, iar specialiștii IT, în consecință, implementează pe cele tehnice.

Fundamentele securității informațiilor presupun o împărțire a autorității nu numai în ceea ce privește utilizarea informațiilor, ci și în ceea ce privește lucrul cu protecția acesteia. O astfel de separare a puterilor necesită, de asemenea, mai multe niveluri de control.


Remedii formale

O gamă largă de mijloace de protecție a securității informațiilor tehnice include:

Mijloace fizice de protecție. Acestea sunt mecanisme mecanice, electrice, electronice care funcționează independent de sistemele informaționale și creează obstacole în calea accesului la acestea. Încuietorile, inclusiv cele electronice, ecranele și jaluzelele sunt concepute pentru a crea obstacole în calea contactului factorilor destabilizatori cu sistemele. Grupul este completat de sisteme de securitate, de exemplu, camere video, video recordere, senzori care detectează mișcarea sau excesul radiatie electromagneticaîn zona în care se află mijloacele tehnice de regăsire a informațiilor și dispozitivele încorporate.

Protecție hardware. Acestea sunt dispozitive electrice, electronice, optice, laser și alte dispozitive care sunt încorporate în sistemele de informare și telecomunicații. Înainte de a implementa hardware-ul în sistemele informaționale, este necesar să se asigure compatibilitatea.

Software - acestea sunt simple și sistematice, programe cuprinzătoare, conceput pentru a rezolva probleme specifice și complexe legate de securitatea informațiilor. Exemplu solutii integrate servesc de asemenea: primele servesc la prevenirea scurgerilor, reformatarea informațiilor și redirecționarea fluxurilor de informații, cele din urmă asigură protecție împotriva incidentelor din domeniul securității informațiilor. Instrumentele software solicită puterea dispozitivelor hardware, iar în timpul instalării este necesar să se asigure rezerve suplimentare.

LA mijloace specifice Securitatea informațiilor include diverși algoritmi criptografici care vă permit să criptați informațiile de pe disc și să le redirecționați prin canale de comunicare externe. Conversia informațiilor poate avea loc folosind metode software și hardware care funcționează în sistemele de informații corporative.

Toate mijloacele care garantează securitatea informațiilor trebuie folosite împreună, după evaluarea preliminară valoarea informațiilor și compararea acesteia cu costul resurselor cheltuite pentru protecție. Prin urmare, propunerile de utilizare a fondurilor ar trebui formulate deja în stadiul dezvoltării sistemului, iar aprobarea ar trebui făcută la nivelul managementului care este responsabil de aprobarea bugetelor.

Pentru a asigura securitatea, este necesar să se monitorizeze toate evoluții moderne, protecție software și hardware, amenințări și efectuați modificări în timp util sisteme proprii protecție împotriva accesului neautorizat. Doar un răspuns adecvat și prompt la amenințări va ajuta la realizarea nivel inalt confidențialitatea în activitatea companiei.

Remedii informale

Mijloacele informale de protecție sunt grupate în normative, administrative și morale și etice. La primul nivel de protecție există mijloace de reglementare care reglementează securitatea informațiilor ca proces în activitățile organizației.

  • Mijloace de reglementare

În practica mondială, la dezvoltarea instrumentelor de reglementare, acestea sunt ghidate de standardele de protecție a securității informațiilor, principalul fiind ISO/IEC 27000. Standardul a fost creat de două organizații:

  • ISO - Comisia Internațională de Standardizare, care elaborează și aprobă cele mai multe metode recunoscute internațional de certificare a calității proceselor de producție și management;
  • IEC - Comisia Internațională pentru Energie, care a introdus în standard înțelegerea sa despre sistemele de securitate a informațiilor, mijloacele și metodele de asigurare a acesteia

Versiunea actuală a ISO/IEC 27000-2016 oferă standarde gata făcute și tehnici dovedite necesare pentru implementarea securității informațiilor. Potrivit autorilor metodelor, baza securității informațiilor stă în implementarea sistematică și consecventă a tuturor etapelor de la dezvoltare până la post-control.

Pentru a obține un certificat care confirmă conformitatea cu standardele de securitate a informațiilor, este necesar să implementați toate practicile recomandate în în întregime. Dacă nu este nevoie să obțineți un certificat, puteți lua oricare dintre cele mai multe ca bază pentru dezvoltarea propriilor sisteme de securitate a informațiilor. versiuni anterioare standard, începând cu ISO/IEC 27000-2002, sau GOST rusești, care sunt de natură consultativă.

Pe baza rezultatelor studierii standardului, sunt în curs de elaborare două documente care se referă la securitatea informațiilor. Principalul, dar mai puțin formal, este conceptul de securitate a informațiilor întreprinderii, care determină măsurile și metodele de implementare a unui sistem de securitate a informațiilor pentru sistemele informaționale ale organizației. Al doilea document pe care toți angajații companiei sunt obligați să-l respecte este regulamentul de securitate a informațiilor, aprobat la nivelul consiliului de administrație sau organului executiv.

Pe lângă reglementările la nivel de companie, ar trebui elaborate liste de informații care constituie secrete comerciale, anexe la contractele de muncă care stabilesc responsabilitatea pentru dezvăluirea datelor confidențiale și alte standarde și metodologii. Normele și regulile interne trebuie să conțină mecanisme de implementare și măsuri de responsabilitate. Cel mai adesea, măsurile sunt de natură disciplinară, iar contravenientul trebuie să fie pregătit pentru faptul că o încălcare a regimului secretului comercial va fi urmată de sancțiuni semnificative, inclusiv concedierea.

  • Măsuri organizatorice și administrative

În activitati administrative Când vine vorba de protecția securității informațiilor, există spațiu pentru creativitate pentru personalul de securitate. Acestea includ soluții arhitecturale și de planificare care fac posibilă protejarea sălilor de ședințe și birourilor de conducere împotriva interceptării cu urechea și stabilirea unor niveluri diferite de acces la informații. Important măsuri organizatorice va fi certificarea activităților companiei conform standardelor ISO/IEC 27000, certificarea sistemelor hardware și software individuale, certificarea subiecților și obiectelor pentru conformitate cerințele necesare securitate, obținerea licențelor necesare pentru a lucra cu matrice de informații protejate.

Din punctul de vedere al reglementării activității personalului, va fi importantă oficializarea unui sistem de cereri de acces la internet, extern e-mail, alte resurse. Un element separat va primi electronic semnatura digitala pentru a spori securitatea informațiilor financiare și a altor informații transmise agentii guvernamentale prin canale de e-mail.

  • Măsuri morale și etice

Măsurile morale și etice determină atitudinea personală a unei persoane față de informațiile confidențiale sau informațiile restricționate în circulație. Creșterea nivelului de cunoaștere a angajaților cu privire la impactul amenințărilor asupra activităților companiei afectează gradul de conștiință și responsabilitate al angajaților. Pentru a combate încălcările informațiilor, inclusiv, de exemplu, transferul de parole, manipularea neglijentă a media și diseminarea datelor confidențiale în conversații private, este necesar să se sublinieze conștiința personală a angajatului. Va fi utilă stabilirea unor indicatori de performanță a personalului care vor depinde de atitudinea față de sistem corporativ IB.

Infograficul folosește date din propria noastră cercetare„SearchInform”.

Noile metode de prelucrare și transmitere a datelor contribuie la apariția de noi amenințări care îmbunătățesc probabilitatea denaturarii, interceptării etc. a informațiilor. Prin urmare, astăzi implementarea securității informaționale a computerelor în rețea este o direcție de frunte în IT. Un document care consolidează legalitatea acțiunilor și desemnează o înțelegere comună a tuturor aspectelor - GOST R 50922-96.

Mai jos vom lua în considerare principalele concepte în această direcție:

  • Protecția informațiilor este direcția de prevenire a amenințărilor la adresa informațiilor.
  • Un obiect de protecție este o informație sau un mediu care conține informații care trebuie protejate
  • Scopul protecţiei este rezultat cert după o anumită perioadă de protecţie a acestor informaţii.
  • Eficiența protecției informațiilor - indicatorul arată cât de aproape este rezultatul real de rezultatul țintă.
  • Protecția informațiilor împotriva scurgerilor - lucrează pentru a preveni transferul necontrolat al datelor protejate de la divulgare sau
  • Un sistem de securitate a informațiilor este un set de componente care sunt implementate sub formă de echipamente, software, oameni, legi etc. care sunt organizate și funcționează în sistem unificatși au ca scop protejarea informațiilor
  • Subiectul accesului la informație este un participant la relațiile juridice la procesele informaționale
  • Proprietarul informațiilor este autorul care are drepturi depline pe aceasta informatieîn cadrul legilor
  • Proprietarul de informații este un subiect care, din ordinul proprietarului, folosește informațiile și le implementează cu anumite puteri.
  • Dreptul de acces la informații este un set de reguli de acces la date, stabilit prin documente sau proprietar/proprietar
  • Accesul autorizat este un acces care nu încalcă anumite reguli controlul accesului
  • Acces neautorizat - încălcarea regulilor de control al accesului. Procesul sau entitatea care implementează NSD este contravenientul
  • Identificarea subiectului este un algoritm de recunoaștere a unui subiect după identificator
  • Autorizarea subiectului este un algoritm pentru acordarea drepturilor unui subiect după autentificarea și identificarea cu succes în sistem
  • O vulnerabilitate a sistemului informatic este un aspect al componentelor sistemului care duce la
  • Atac pe sistem informatic(KS) este căutarea și implementarea vulnerabilităților sistemului de către un atacator
  • Un sistem protejat este un sistem în care vulnerabilitățile sistemului sunt închise cu succes și riscurile amenințărilor sunt reduse
  • Metode și metode de protecție a informațiilor - reguli și proceduri de implementare a măsurilor de protecție
  • Politica de securitate este un set de reguli, norme și documente pentru implementarea protecției Sistem informatic la întreprindere.

Sub Securitatea informațiilor determină securitatea datelor din acțiunile ilegale cu acesta, precum și performanța sistemului informațional și a componentelor acestuia. Astăzi AC ( sistem automatizat) prelucrarea datelor este un întreg sistem format din componente cu o anumită autonomie. Fiecare componentă poate fi afectată de influențe negative. Elementele AS pot fi împărțite în grupuri:

  • Componente hardware - calculatoare și părțile acestora (monitoare, imprimante, cabluri de comunicație etc.)
  • Software - programe, OS etc.
  • Personal - persoane care au legătură directă cu sistemul informațional (angajați etc.)
  • Datele sunt informații care se află într-un sistem închis. Acestea includ informații tipărite, reviste, mass-media etc.

Securitatea informației este implementată prin următoarele aspecte: integritate, confidențialitate și disponibilitate. Confidențialitatea datelor este un aspect al informației care determină gradul de secretizare a acesteia față de terți. Informațiile confidențiale ar trebui să fie cunoscute numai de subiecții autorizați ai sistemului. Integritatea informației definește aspectul informației în păstrarea structurii/conținutului acesteia în timpul transmiterii sau stocării. Realizarea securității acestui aspect este importantă într-un mediu în care Șansă mare denaturare sau alte efecte asupra distrugerii integrității. Fiabilitatea informațiilor constă în afiliere strictă valoarea initiala, în timpul transmiterii și stocării.

Semnificația juridică a datelor este determinată de documentul care este purtător și, de asemenea, are forță juridică. Disponibilitatea datelor determină primirea de informaţii de către subiect folosind mijloace tehnice.

Cele mai bune articole pe această temă

Stocarea datelor în cloud
Stocarea datelor în cloud
Photoshop - Instalare și setări inițiale Configurarea mediului de lucru Adobe Photoshop Cs6
Photoshop - Instalare și setări inițiale Configurarea mediului de lucru Adobe Photoshop Cs6
Cum să activați modul sigur pe Windows 8
Cum să activați modul sigur pe Windows 8
Categorii:
© 2024 bumotors.ru. Cum se configurează smartphone-uri și PC-uri. Portal informativ.