Так, например, на содержание службы безопасности эти страны сегодня тратят в среднем до 25% годовой прибыли в год.
У нас фирмы (организации) расходуют на эти цели менее 1%.
И надо сказать, что руководители этих фирм не испытывают большой радости, тратя такие деньги на обеспечение безопасности. Их заставляет жизнь. Серьезная конкуренция. Подтверждением этому служат и данные государственного департамента США. Так, стоимость устройств подслушивания, проданных в СЩА, составляет около 900 млн. долларов в год. При этом стоимость аппаратуры, применяемой против частных лиц - порядка 530 млн. долларов, против корпораций и им равных - 370 млн. долларов. Урон, нанесенный корпорациям, против которых осуществлялось прослушивание, составляет более 8000 млн. дол. Все это говорит о том, что проблема обеспечения безопасности информации остается очень острой и ее нужно решать.
Чтобы в дальнейшем было понятно, о чем идет речь, необходимо уяснить некоторые термины и определения в области информационной безопасности, которые облегчают восприятие материала.
В настоящее время существует некоторая база таких терминов и определений. Есть государственный стандарт РФ - "Защита информации". Основные термины и определения". Но, к сожалению, этот стандарт посвящен только вопросам защиты информации, как процессу. Он не охватывает другие области информационной безопасности.
Справедливости ради необходимо отметить большую работу, проведенную ВНИИ стандарт по созданию справочника "Терминология в области защиты информации", где представлено большое количество терминов и определений в области информационной безопасности. Большинство из них понятны и ими можно и нужно пользоваться. Некоторые требуют уточнения. Но в целом это уже база терминов и определений, позволяющая специалистам разговаривать на одном языке и понимать друг друга.
Итак, прежде чем вести речь об обеспечении безопасности информации, есть смысл дать определение, а что такое безопасность информации, рассмотреть требования к ней, угрозы для безопасности информации.
Под безопасностью информации (здесь и далее) понимается состояние уровня защищенности, обеспечивающего защиту от несанкционированного доступа к ее содержанию и нарушения целостности информации.
Безопасность информации должна отвечать требованиям: конфиденциальности, целостности (рис.1).
Конфиденциальность - способность информации обеспечивать защиту от несанкционированного доступа к ее содержанию.
Целостность - способность информации обеспечивать защиту от несанкционированного ее уничтожения и модификации.
Модификация может быть преднамеренной и случайной.
Под модификацией информации понимается подделка, изменение ее содержания или объема.
В качестве угроз безопасности информации могут быть: утечка; блокирование; нарушение целостности.
Блокирование информации - потеря санкционированного доступа к ней.
Утечка информации - результат несанкционированного ознакомления с нею.
Согласно ГОСТа Р 50922-96:
Защита информации - деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.
Защита информации от утечки - деятельность, направленная на предотвращение неконтролируемого распространения защищаемой информации в результате ее разглашения, несанкционированного доступа к информации и получения защищаемой информации разведками.
Защита информации от несанкционированного воздействия - деятельность, направленная на предотвращение воздействия на защищаемую информацию с нарушением установленных прав и (или) правил на изменение информации, приводящего к ее искажению, уничтожению, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.
Защита информации от непреднамеренного воздействия - деятельность, направленная на предотвращение воздействия на защищаемую информацию, ошибок ее пользователя, сбоя технических и программных средств информационных систем, природных явлений или иных нецеленаправленных на изменение информации мероприятий, приводящих к искажению, а также к утрате, уничтожению или сбою функционирования носителя информации
Таким образом, в данной статье даны некоторые понятия в области информационной безопасности, которые помогут уяснить суть излагаемых вопросов в последующих статьях.
В дальнейших выпусках журнала планируется рассмотреть следующие вопросы.
О комплексном подходе к обеспечению безопасности информации; защита информации о самом объекте; организация пропускного режима - первый шаг к обеспечению безопасности информации на объекте; организация конфиденциального делопроизводства - важная составная часть обеспечения безопасности информации; защита информации на объектах технических средств обработки информации; защита информации в выделенных помещениях; защита информации в каналах связи; организация контроля состояния безопасности информации; эффективность системы защиты информации. Показатели, критерии оценки.
Автор надеется, что данный материал поможет специалистам более эффективно решать вопросы обеспечения безопасности информации.