Используемые термины и определения

Нормативными правовыми документами Российской Федерации определено, что безопасность информации [данных] - это состояние защищенности информации [данных], при котором обеспечены ее [их] конфиденциальность, доступность и целостность [14, 15, 16].

При этом безопасность информации [данных] определяется отсутствием недопустимого риска, связанного с утечкой информации по техническим каналам, несанкционированными и непреднамеренными воздействиями на данные и (или) на другие ресурсы автоматизированной информационной системы, используемые при применении информационной технологии [15].

Законодательством Российской Федерации определено, что защита информации означает деятельность, направленную на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию [14].

Также законодательством Российской Федерации установлено, что конфиденциальность информации - это обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя [4].

Кроме того, уточняя технические аспекты конфиденциальности информации, нормативными правовыми документами Российской Федерации установлено, что конфиденциальность информации — это состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на него право [16].

При этом под конфиденциальностью информации [ресурсов автоматизированной информационной системы] понимается состояние информации [ресурсов автоматизированной информационной системы], при котором доступ к ней [к ним] осуществляют только субъекты, имеющие на него право [15].

Основным стандартом Российской Федерации в сфере защиты информации установлено, что целостность — это такое состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими на него право [14].

Доступность информации [ресурсов автоматизированной информационной системы] - такое состояние информации [ресурсов автоматизированной информационной системы], при котором субъекты, имеющие право доступа, могут реализовать их беспрепятственно [15].

При этом к правам доступа относятся: право на чтение, изменение, копирование, уничтожение информации, а также права на изменение, использование, уничтожение ресурсов.

Объект — пассивный компонент системы, хранящий, принимающий или передающий информацию [17].

Объект защиты информации - информация или носитель информации, или информационный процесс, которые необходимо защищать в соответствии с целью защиты информации [14].

Объект информатизации - совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, а также средств их обеспечения, помещений или объектов (зданий, сооружений, технических средств), в которых эти средства и системы установлены, или помещений и объектов, предназначенных для ведения конфиденциальных переговоров [18].

Организация (от греч. pyavov - инструмент) - это целевое объединение ресурсов. Организация - это группа людей, работающих совместно, во главе с руководителем и выполняющих определенные планы [19].

Угроза (безопасности информации) - совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации, связанную с утечкой информации, и/или несанкционированными и/или непреднамеренными воздействиями на нее [14, 23].

Вариант классификации угроз безопасности информации приведен в приложении 3.

Источник угрозы безопасности информации - субъект (физическое лицо, материальный объект или физическое явление), являющийся непосредственной причиной возникновения угрозы безопасности информации [14].

Модель угроз безопасности информации - физическое, математическое, описательное представление свойств или характеристик угроз безопасности информации [14].

При этом видом описательного представления свойств или характеристик угроз безопасности информации может быть специальный нормативный документ.

Взаимосвязь стандартизованных терминов в области обеспечения информационной безопасности организации показана на рис. 1.2.

Взаимосвязь стандартизованных терминов в области обеспечения информационной

Рис. 1.2. Взаимосвязь стандартизованных терминов в области обеспечения информационной

безопасности организации

Уязвимость (информационной системы); брешь — свойство информационной системы, обусловливающее возможность реализации угроз безопасности обрабатываемой в ней информации [14].

Примечания: 1. Условием реализации угрозы безопасности обрабатываемой в системе информации может быть недостаток или слабое место в информационной системе.

2. Если уязвимость соответствует угрозе, то существует риск.

Вариант классификации уязвимостей безопасности информации приведен в приложении 4.

Риск - вероятность причинения вреда жизни или здоровью граждан, имуществу физических или юридических лиц, государственному или муниципальному имуществу, окружающей среде, жизни или здоровью животных и растений с учетом тяжести этого вреда [24].

В интересах обеспечения информационной безопасности организации используется другое, более уточненное определение «риск - влияние неопределенностей на процесс достижения поставленных целей» [25].

Примечания: ЕЦели могут иметь различные аспекты: финансовые, аспекты, связанные со здоровьем, безопасностью и внешней средой, и могут устанавливаться на разных уровнях: на стратегическом уровне, в масштабах организации, на уровне проекта, продукта и процесса.

  • 2. Риск часто характеризуется ссылкой на потенциальные события, последствия или их комбинацию, а также на то, как они могут влиять на достижение целей.
  • 3. Риск часто выражается в терминах комбинации последствий события или изменения обстоятельств и их вероятности.

Риск нарушения безопасности сети электросвязи - вероятность причинения ущерба сети электросвязи или ее компонентам вследствие того, что определенная угроза реализуется в результате наличия определенной уязвимости в сети электросвязи [26].

Таким образом, риск безопасности информации - совокупность условий и факторов, при которых потенциально или реально реализуется угроза. Условием реализации угрозы безопасности обрабатываемой в системе информации может быть недостаток или слабое место в информационной системе [20, 21, 22].

Если уязвимость соответствует угрозе, то существует риск.

Риск - реализованная через уязвимость угроза.

Анализ информационного риска - систематическое использование информации для выявления угроз безопасности информации, уязвимостей информационной системы и количественной оценки вероятностей реализации угроз с использованием уязвимостей и последствий реализации угроз для информации и информационной системы, предназначенной для обработки этой информации [14].

Кроме того, важно определить анализ процедур защиты, как независимый просмотр и анализ системных записей и активностей с целью проверки их адекватности системным управляющим функциям для обеспечения соответствия с принятой стратегией защиты и операционными процедурами, обнаружения пробелов в защите и выдачи рекомендаций по любым указанным изменениям в управлении, стратегии и процедурах [27].

Цель безопасности - изложенное намерение противостоять установленным угрозам и/или удовлетворять установленной политике безопасности организации и предположениям [28].

Цель защиты информации - заранее намеченный результат защиты информации [14].

Примечание — Результатом защиты информации может быть предотвращение ущерба обладателю информации из-за возможной утечки информации и (или) несанкционированного и непреднамеренного воздействия на информацию.

Цель информационной безопасности (организации) — заранее намеченный результат обеспечения информационной безопасности организации в соответствии с установленными требованиями в политике ИБ (организации) [25].

Примечание — Результатом обеспечения ИБ может быть предотвращение ущерба обладателю информации из-за возможной утечки информации и (или) несанкционированного и непреднамеренного воздействия на информацию.

Таким образом, целью защиты информации является сведение к минимуму потерь в управлении, вызванных нарушением целостности данных, их конфиденциальности или недоступности информации для потребителей.

Основными задачами системы информационной безопасности являются:

  • - своевременное выявление и устранение угроз безопасности и ресурсам, причин и условий, способствующих нанесению финансового, материального и морального ущерба его интересам;
  • - создание механизма и условий оперативного реагирования на угрозы безопасности и проявление негативных тенденций в функционировании предприятия;
  • - эффективное пресечение посягательств на ресурсы и угроз персоналу на основе правовых, организационных и инженерно- технических мер и средств обеспечения безопасности;
  • - создание условий для максимально возможного возмещения и локализации наносимого ущерба неправомерными действиями физических и юридических лиц, ослабление негативного влияния последствий нарушения безопасности на достижение целей организации.

Основными задачами обеспечения безопасности сетей электросвязи являются [26]:

  • - своевременное выявление, оценка и прогнозирование источников угроз безопасности, причин и условий, способствующих нанесению ущерба, нарушению нормального функционирования и развития сетей электросвязи на всех уровнях иерархии единой сети электросвязи России (международном, междугороднем, зоновом, местном, на уровне пользования услугами связи и т. д.);
  • - выявление и устранение уязвимостей в средствах связи и сетях электросвязи;
  • - предотвращение, обнаружение угроз безопасности, пресечение их реализации и своевременная ликвидация последствий возможных ВН, в том числе и террористических действий;
  • - организация системы пропуска приоритетного трафика по сети электросвязи в случае чрезвычайных ситуаций, организация бесперебойной работы международной аварийной службы;
  • - совершенствование и стандартизация применяемых мер обеспечения безопасности сетей электросвязи.

Примечание — Операторами связи могут быть определены дополнительные цели и задачи обеспечения безопасности сетей электросвязи в зависимости от выполняемых организацией связи функций и ее бизнес-целей, но формулировка целей и задач должна быть независима от способов их реализации.

Мероприятия по защите информации должны исключать:

  • - выход излучений электромагнитного и акустического полей, а также наводок в сетях питания, кабельных линиях, заземлении, радио- и телефонных сетях за пределы контролируемой зоны;
  • - доступ в помещение, где осуществляется обработка информации, а также визуально-оптические возможности съема информации;
  • - работу специальных устройств ведения разведки, которые могут находиться в строительных конструкциях помещений и предметах их интерьера, а также внутри самого помещения или непосредственно в средствах обработки и передачи информации;
  • - перехват информации из каналов передачи данных;
  • - несанкционированный доступ к информационным ресурсам;
  • - воздействие излучений, приводящих к разрушению информации.

При этом различают организационные меры обеспечения ИБ и

организационно-технические мероприятия по обеспечению защиты информации.

К организационным мерам обеспечения информационной безопасности относятся меры обеспечения информационной безопасности, предусматривающие установление временных, территориальных, пространственных, правовых, методических и иных ограничений на условия использования и режимы работы объекта информатизации [25].

Организационно-технические мероприятия по обеспечению защиты информации представляют собой совокупность действий, направленных на применение организационных мер и программнотехнических способов защиты информации на объекте информатизации [16].

Примечания:

  • 1. Организационно-технические мероприятия по обеспечению защиты информации должны осуществляться на всех этапах жизненного цикла объекта информатизации.
  • 2. Организационные меры предусматривают установление временных, территориальных, пространственных, правовых, методических и иных ограничений на условия использования и режимы работы объекта информатизации.

Приведенная совокупность определений достаточна для формирования общего, пока еще абстрактного взгляда на построение системы информационной безопасности. Для уменьшения степени абстракции и формирования более детального замысла необходимо знание, в частности, методики формализованного представления угроз безопасности информации, уязвимостей информационной системы (в том числе и ее защиты) и возникающих рисков, а также синтеза соотношений между ними.

 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ   След >