Понятие информационной безопасности

1. Понятие информационной безопасности

Под информационной безопасностью понимается защищенность информации и поддерживающей ее инфраструктуры от любых случайных или злонамеренных  воздействий, результатом которых  может явиться нанесение ущерба самой информации, ее владельцам или  поддерживающей инфраструктуре. Задачи информационной безопасности сводятся к минимизации ущерба, а также  к прогнозированию и предотвращению таких воздействий.  В свою очередь  защита информации – это комплекс мероприятий, направленных на обеспечение  информационной безопасности.

Таким образом, правильный с методологической точки зрения подход к проблемам  информационной безопасности начинается с выявления субъектов информационных отношений и интересов этих субъектов, связанных с использованием информационных систем (ИС). Угрозы информационной безопасности – это оборотная сторона использования  информационных технологий.

Возвращаясь к вопросам терминологии, что термин "компьютерная безопасность" представляется слишком узким. Компьютеры – только одна из составляющих информационных систем, и хотя внимание будет сосредоточено в первую очередь на информации, которая хранится, обрабатывается и передается с помощью компьютеров, ее безопасность определяется всей совокупностью составляющих и, в первую очередь, самым слабым звеном, которым в подавляющем большинстве случаев оказывается человек (записавший, например, свой пароль на "горчичнике", прилепленном к монитору).  
 
 

2. Основные  составляющие информационной безопасности

 

Информационная  безопасность – многогранная, можно  даже сказать, многомерная область  деятельности, в которой успех  может принести только систематический, комплексный подход. Спектр интересов  субъектов, связанных с использованием информационных систем, можно разделить  на следующие категории: обеспечение  доступности, целостности и конфиденциальности информационных ресурсов и поддерживающей инфраструктуры. Иногда в число основных составляющих ИБ включают защиту от несанкционированного копирования информации, но, на наш взгляд, это слишком специфический аспект с сомнительными шансами на успех, поэтому не станем его выделять. Поясним понятия доступности, целостности и конфиденциальности.

Доступность – это возможность за приемлемое время получить требуемую информационную услугу.

Под целостностью подразумевается актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения.

Конфиденциальность – это защита от несанкционированного доступа к информации.  
 
 
 
 

3. Основные  определения и  критерии классификации  угроз

Угроза - это потенциальная возможность определенным образом нарушить информационную безопасность. Попытка реализации угрозы называется атакой, а тот, кто предпринимает такую попытку, - злоумышленником. Потенциальные злоумышленники называются источниками угрозы.

Наиболее  распространенные угрозы, которым подвержены современные информационные системы. Иметь представление о возможных  угрозах, а также об уязвимых местах, которые эти угрозы обычно эксплуатируют, необходимо для того, чтобы выбирать наиболее экономичные средства обеспечения  безопасности. Слишком много мифов  существует в сфере информационных технологий (вспомним все ту же "Проблему 2000"), поэтому незнание в данном случае ведет к перерасходу средств  и, что еще хуже, к концентрации ресурсов там, где они не особенно нужны, за счет ослабления действительно  уязвимых направлений. 
 
 
 
 
 
 
 
 
 
 
 

4. Ущерб от атак на информационную безопасность

 

Уже в 2001 году зафиксированный объем потерь составил около $150 млрд., а в последующие  годы эта цифра выросла еще  больше. И это при том, что достоянием гласности становится лишь около 15% преступлений в области информационной безопасности! Большая часть этого ущерба - результат внутренних атак: до 70% потерь, понесенных компаниями, связана с действиями их собственных сотрудников. 

Таким образом, в современных условиях наличие развитой системы информационной безопасности становится одним из важнейших  условий конкурентоспособности  и даже жизнеспособности любой компании.

Из других источников ( http://www.itmnews.ru/security.php?s=215 ): 

По данным исследования компании Deloitte "2006 Global Security Survey", 49% компаний пострадали от какого-либо рода проблем безопасности в прошлом году. Из них, 31 процент заразились вредоносным кодом. Однако самое важное  - 28 процентов подверглись попыткам атак изнутри, а данные 18 процентов компаний были украдены также изнутри сети. 
 
 
 
 
 
 
 
 

5. Методы  обеспечения информационной безопасности

 

Задача  обеспечения информационной безопасности должна решаться системно. Это означает, что различные средства защиты (аппаратные, программные, физические, организационные  и т. д.) должны применяться одновременно и под централизованным управлением. При этом компоненты системы должны "знать" о существовании друг друга, взаимодействовать и обеспечивать защиту как от внешних, так и от внутренних угроз. На сегодняшний день существует большой арсенал методов обеспечения информационной безопасности:

1. средства идентификации и аутентификации пользователей;
2. средства шифрования информации, хранящейся на компьютерах и передаваемой по сетям;
3. межсетевые экраны;
4. виртуальные частные сети;
5. средства контентной фильтрации;
6. инструменты проверки целостности содержимого дисков;
7. средства антивирусной защиты;
8. системы обнаружения уязвимостей сетей и анализаторы сетевых атак.

 
 
 
 
 
 
 
 
 
 
 

Заключение:  
 

Важность  проблематики ИБ объясняется двумя  основными причинами:

1. ценностью накопленных информационных ресурсов;
2. критической зависимостью от информационных технологий.

Разрушение  важной информации, кража конфиденциальных данных, перерыв в работе вследствие отказа - все это выливается в  крупные материальные потери, наносит  ущерб репутации организации. Проблемы с системами управления или медицинскими системами угрожают здоровью и жизни  людей.

Современные информационные системы сложны и, значит, опасны уже сами по себе, даже без  учета активности злоумышленников. Постоянно обнаруживаются новые  уязвимые места в программном  обеспечении. Приходится принимать  во внимание чрезвычайно широкий  спектр аппаратного и программного обеспечения, многочисленные связи  между компонентами.

Меняются  принципы построения корпоративных ИС. Используются многочисленные внешние информационные сервисы; предоставляются вовне собственные; получило широкое распространение явление, обозначаемое исконно русским словом "аутсорсинг", когда часть функций корпоративной ИС передается внешним организациям. Развивается программирование с активными агентами. 
 
 
 
 

ЛИТЕРАТУРА

1. Моримото. "windows server 2003".

2. Жаров  А. "Железо IBM".

3. Фигурнов  В.Э. "IBM РС для пользователя".

4. Ж-л "КОМПЬЮТЕР-ПРЕСС"

5. Ж-л "Мир ПК"