От степени безопасности информационных технологий в настоящее время зависит благополучие, а порой и жизнь многих людей. Такова плата за усложнение и повсеместное распространение автоматизированных систем обработки информации.
Под информационной безопасностью понимается защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры.
На практике важнейшими являются три аспекта информационной безопасности:
· доступность информации, то есть свойство системы (среды, средств и технологии ее обработки), в которой циркулирует информация, характеризующееся способностью обеспечивать своевременный беспрепятственный доступ субъектов к интересующей их информации и готовность соответствующих автоматизированных служб к обслуживанию поступающих от субъектов запросов всегда, когда в обращении к ним возникает необходимость;
· целостность информации, то есть свойство информации, заключающееся в ее существовании в неискаженном виде (неизменном по отношению к некоторому фиксированному ее состоянию). Точнее говоря, субъектов интересует обеспечение более широкого свойства - достоверности информации, которое складывается из адекватности (полноты и точности) отображения состояния предметной области и непосредственно целостности информации, то есть ее неискаженности. Однако, мы ограничимся только рассмотрением вопросов обеспечения целостности информации, так как вопросы обеспечения адекватности отображения выходят далеко за рамки проблемы обеспечения информационной безопасности;
· конфиденциальность информации - субъективно определяемую (приписываемую) характеристику (свойство) информации, указывающую на необходимость введения ограничений на круг субъектов, имеющих доступ к данной информации, и обеспечиваемую способностью системы (среды) сохранять указанную информацию в тайне от субъектов, не имеющих полномочий на доступ к ней. Объективные предпосылки подобного ограничения доступности информации для одних субъектов заключены в необходимости защиты законных интересов других субъектов информационных отношений.
Термин "безопасность информации" нужно понимать как защищенность информации от нежелательного для соответствующих субъектов информационных отношений ее разглашения (нарушения конфиденциальности), искажения (нарушения целостности), утраты или снижения степени доступности информации, а также незаконного ее тиражирования.
Современная информационная компьютерная система представляет собой сложную систему, состоящую из большого числа компонентов различной степени автономности, которые связаны между собой и обмениваются данными. Практически каждый компонент может подвергнуться внешнему воздействию или выйти из строя.
Компоненты информационной компьютерной системы можно разбить на следующие группы:
· аппаратные средства - компьютеры и их составные части (процессоры, мониторы, терминалы, периферийные устройства - дисководы, принтеры, контроллеры, кабели, линии связи и т.д.);
· программное обеспечение - приобретенные программы, исходные, объектные, загрузочные модули; операционные системы и системные программы (компиляторы, компоновщики и др.), утилиты, диагностические программы и т.д.;
· данные- хранимые временно и постоянно, на магнитных носителях, печатные, архивы, системные журналы и т.д.;
· персонал - обслуживающий персонал и пользователи.
В отношении информационных систем применяются следующие категории информационной безопасности:
- надежность – гарантия того, что система ведет себя в нормальном и внештатном режимах так, как запланировано
- точность – гарантия точного и полного выполнения всех команд
- контроль доступа – гарантия того, что различные группы лиц имеют различный доступ к информационным объектам, и эти ограничения доступа постоянно выполняются
- контролируемость – гарантия того, что в любой момент может быть произведена полноценная проверка любого компонента программного комплекса
- контроль идентификации – гарантия того, что клиент, подключенный в данный момент к системе, является именно тем, за кого себя выдает
- устойчивость к умышленным сбоям – гарантия того, что при умышленном внесении ошибок в пределах заранее оговоренных норм система будет вести себя так, как оговорено заранее.
Информация в компьютерных системах с точки зрения организации информационной безопасности должна обладать следующими категориями:
· конфиденциальность – гарантия того, что конкретная информация доступна только тому кругу лиц, для кого она предназначена; нарушение этой категории называется хищением либо раскрытием информации
· целостность– гарантия того, что информация сейчас существует в ее исходном виде, то есть при ее хранении или передаче не было произведено несанкционированных изменений; нарушение этой категории называется фальсификацией сообщения
· аутентичность – гарантия того, что источником информации является именно то лицо, которое заявлено как ее автор; нарушение этой категории также называется фальсификацией, но уже автора сообщения
· апеллируемость – довольно сложная категория, но часто применяемая в электронной коммерции – гарантия того, что при необходимости можно будет доказать, что автором сообщения является именно заявленный человек, и не может являться никто другой; отличие этой категории от предыдущей в том, что при подмене автора, кто-то другой пытается заявить, что он автор сообщения, а при нарушении апеллируемости – сам автор пытается "откреститься" от своих слов, подписанных им однажды.
Под информационной безопасностью компьютерной системы обработки информации понимается защищенность всех ее компонентов (технических средств, программного обеспечения, данных и персонала) от различного рода нежелательных для соответствующих субъектов (владельцев) информационных отношений опасных воздействий и угроз.
Под опасными воздействиями (или угрозой) обычно понимают потенциально возможное событие, действие (воздействие), процесс или явление, которое может привести к нанесению ущерба чьим-либо интересам.
Опасные воздействия (угрозы) на компьютерную информационную систему можно подразделить на случайные и преднамеренные. Анализ опыта проектирования, изготовления и эксплуатации информационных систем показывает, что информация подвергается различным случайным воздействиям на всех этапах цикла жизни системы.
Причинами случайных воздействий (угроз) при эксплуатации могут быть:
· аварийные ситуации из-за стихийных бедствий и отключений электропитания;
· отказы и сбои аппаратуры;
· ошибки в программном обеспечении;
· ошибки в работе персонала;
· помехи в линиях связи из-за воздействий внешней среды.
Преднамеренные воздействия (угрозы) - это целенаправленные действия нарушителя. В качестве нарушителя могут выступать служащий, посетитель, конкурент, наемник.
Преднамеренные воздействия (угрозы) делятся на внешние и внутренние.
Внешние преднамеренные угрозы информационной безопасности являются:
1. недобросовестные конкуренты;
2. преступные группировки и формирования;
3. отдельные лица и организации административно-управленческого аппарата.
Внутренние преднамеренные угрозы информационной безопасности являются:
1. администрация учреждения, предприятия;
2. обслуживающий персонал;
3. технические средства обеспечения производственной и трудовой деятельности.
Преднамеренные воздействия преследуют следующие цели: ознакомление с охраняемой информацией, ее модификация в корыстных целях и уничтожение для нанесения прямого материального или морального ущерба.
По оценкам экспертов преднамеренные опасные воздействия на информационную систему можно примерно охарактеризовать так:
· 82% угроз совершается собственными сотрудниками учреждения или фирмы при их прямом или посредственном участии;
· 17% угроз совершается извне – внешние угрозы;
· 1% угроз совершается случайными людьми.
Преднамеренные воздействия совершаются по следующим мотивам:
· недовольством служащего своей карьерой;
· взяткой;
· любопытством;
· конкурентной борьбой;
· стремлением самоутвердиться любой ценой.
Опасные воздействия (или угроза) на информационную систему можно классифицировать по следующим признакам:
· по величине нанесенного ущерба;
· по вероятности возникновения;
· по причинам появления (стихийные бедствия, преднамеренные действия);
· по характеру нанесенного ущерба (материальный, моральный)
· по характеру воздействия (активные, пассивные);
· по отношению к информационной системы (внутренние, внешние).