Специалисты, давайте говорить на одном языке и понимать друг друга

В настоящее время вопросам обеспечения безопасности информации уделяется все большее и большее внимание. Это связано с тем, что информация в жизни общества, в эффективном функционировании фирмы (организации) играет важную роль, а в некоторых случаях и определяющую. Так, по оценкам специалистов в области информационной безопасности следует, что если фирма (организация) допускает утечку 20 и более процентов важной информации, то такая фирма (организация) в 60 случаях из 100 банкротится. Поэтому экономически развитые страны в настоящее время тратят большие деньги на обеспечение безопасности, в том числе и информационной.

Так, например, на содержание службы безопасности эти страны сегодня тратят в среднем до 25% годовой прибыли в год.

 

 

У нас фирмы (организации) расходуют на эти цели менее 1%.

И надо сказать, что руководители этих фирм не испытывают большой радости, тратя такие деньги на обеспечение безопасности. Их заставляет жизнь. Серьезная конкуренция. Подтверждением этому служат и данные государственного департамента США. Так, стоимость устройств подслушивания, проданных в СЩА, составляет около 900 млн. долларов в год. При этом стоимость аппаратуры, применяемой против частных лиц - порядка 530 млн. долларов, против корпораций и им равных - 370 млн. долларов. Урон, нанесенный корпорациям, против которых осуществлялось прослушивание, составляет более 8000 млн. дол. Все это говорит о том, что проблема обеспечения безопасности информации остается очень острой и ее нужно решать.

Чтобы в дальнейшем было понятно, о чем идет речь, необходимо уяснить некоторые термины и определения в области информационной безопасности, которые облегчают восприятие материала.

В настоящее время существует некоторая база таких терминов и определений. Есть государственный стандарт РФ - "Защита информации". Основные термины и определения". Но, к сожалению, этот стандарт посвящен только вопросам защиты информации, как процессу. Он не охватывает другие области информационной безопасности.

Справедливости ради необходимо отметить большую работу, проведенную ВНИИ стандарт по созданию справочника "Терминология в области защиты информации", где представлено большое количество терминов и определений в области информационной безопасности. Большинство из них понятны и ими можно и нужно пользоваться. Некоторые требуют уточнения. Но в целом это уже база терминов и определений, позволяющая специалистам разговаривать на одном языке и понимать друг друга.

Итак, прежде чем вести речь об обеспечении безопасности информации, есть смысл дать определение, а что такое безопасность информации, рассмотреть требования к ней, угрозы для безопасности информации.

Под безопасностью информации (здесь и далее) понимается состояние уровня защищенности, обеспечивающего защиту от несанкционированного доступа к ее содержанию и нарушения целостности информации.

Безопасность информации должна отвечать требованиям: конфиденциальности, целостности (рис.1).

Конфиденциальность - способность информации обеспечивать защиту от несанкционированного доступа к ее содержанию.

Целостность - способность информации обеспечивать защиту от несанкционированного ее уничтожения и модификации.

Модификация может быть преднамеренной и случайной.

Под модификацией информации понимается подделка, изменение ее содержания или объема.

В качестве угроз безопасности информации могут быть: утечка; блокирование; нарушение целостности.
Блокирование информации - потеря санкционированного доступа к ней.

Утечка информации - результат несанкционированного ознакомления с нею.

Согласно ГОСТа Р 50922-96:

Защита информации - деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.

Защита информации от утечки - деятельность, направленная на предотвращение неконтролируемого распространения защищаемой информации в результате ее разглашения, несанкционированного доступа к информации и получения защищаемой информации разведками.

Защита информации от несанкционированного воздействия - деятельность, направленная на предотвращение воздействия на защищаемую информацию с нарушением установленных прав и (или) правил на изменение информации, приводящего к ее искажению, уничтожению, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.

Защита информации от непреднамеренного воздействия - деятельность, направленная на предотвращение воздействия на защищаемую информацию, ошибок ее пользователя, сбоя технических и программных средств информационных систем, природных явлений или иных нецеленаправленных на изменение информации мероприятий, приводящих к искажению, а также к утрате, уничтожению или сбою функционирования носителя информации
Таким образом, в данной статье даны некоторые понятия в области информационной безопасности, которые помогут уяснить суть излагаемых вопросов в последующих статьях.

В дальнейших выпусках журнала планируется рассмотреть следующие вопросы.

О комплексном подходе к обеспечению безопасности информации; защита информации о самом объекте; организация пропускного режима - первый шаг к обеспечению безопасности информации на объекте; организация конфиденциального делопроизводства - важная составная часть обеспечения безопасности информации; защита информации на объектах технических средств обработки информации; защита информации в выделенных помещениях; защита информации в каналах связи; организация контроля состояния безопасности информации; эффективность системы защиты информации. Показатели, критерии оценки.

Автор надеется, что данный материал поможет специалистам более эффективно решать вопросы обеспечения безопасности информации.