Информационная безопасность предприятия

Информационная безопасность предприятия

ODiplom // Экономика // 26.01.2018

Автор: Андрей Нестеров

Рубрика: Экономика

Опубликовано: 26.01.2018

Библиографическое описание:

Нестеров А.К. Информационная безопасность предприятия // Образовательная энциклопедия ODiplom.ru

Нарастает зависимость современных предприятий от информационных технологий, что повышает степень важность информационной безопасности предприятия.

Понятие информационной безопасности

Содержание информационной безопасности основывается на двух ее аспектах:

  1. Непосредственная информационная безопасность — состояние защищенности информационной среды.
  2. Обеспечение защиты информации — деятельность, направленная на предотвращение утечки защищаемой информации, недопущение несанкционированных и непреднамеренных воздействий на защищаемую информацию.

Определение: информационная безопасность предприятия состоит в осуществлении целенаправленной деятельности органов управления и должностных лиц предприятия с использованием разрешённых сил и средств по достижению состояния защищённости информационной среды организации, обеспечивающее её нормальное функционирование и динамичное развитие .

Другой подход к определению информационной безопасности основан на выделении системных параметров и функционального блока.

«Информационная безопасность — защищённость информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений» . Системными параметрами выступают сама информация и инфраструктура, под которой следует понимать все системы обеспечения, начиная от электроснабжения, заканчивая обслуживающим персоналом. Функциональный блок — это угрозы информационной системе и ущерб, которым нельзя пренебречь вследствие нарушения состояния информационной безопасности.

Сегодня динамично возрастает роль информационных технологий, информационных ресурсов и значимости накопленной информации для субъектов предпринимательства. В результате, обеспечение информационной безопасности компании становится одним из фундаментальных принципов ее экономической безопасности.

Информационная безопасность, выступая в качестве одной из основ экономической безопасности компании, и вопросы, связанные с ее обеспечением, представляют сегодня один из жизненно необходимых аспектов ведения успешной предпринимательской деятельности в условиях агрессивной рыночной экономики. Говоря об агрессивности современной экономической системы, следует учитывать процессы преобразования структуры активов предприятий в сторону преобладания информационных активов над материальным капиталом. В соответствии с этими тенденциями в компаниях развиваются и усложняются информационные системы и системы коммуникаций. Их основной задачей является обеспечение таких условий для экономической деятельности предприятия, в которых достигается максимальная эффективность всех внутренних процессов в условиях динамичной окружающей среды предприятия и активной конкурентной борьбы. Обеспечение информационной безопасности в целом ведет к значительной экономии затрат, средств и ресурсов предприятия, тогда как ущерб, наносимый вследствие преднамеренных действий и непреднамеренных ошибок, приводит к значительным материальным потерям. Например, раскрытие особых условий технологических процессов приводит к появлению аналогичных продуктов у конкурентов, в результате такого нарушения информационной безопасности предприятие теряет часть рынка, соответственно падает выручка и снижается прибыль. Если же информационные активы являются ключевым фактором конкурентоспособности предприятия, то нарушение информационной безопасности ведет к катастрофическим последствиям для компании.

Признаки информационной безопасности

Специфика обеспечения информационной безопасности компании проявляется в трех базовых признаках: конфиденциальности, целостности и доступности информации.

  1. Конфиденциальность: свойство информационных ресурсов, в том числе информации, связанное с тем, что они не станут доступными и не будут раскрыты для неуполномоченных лиц.
  2. Целостность: неизменность информации в процессе её передачи или хранения.
  3. Доступность: свойство информационных ресурсов, в том числе информации, определяющее возможность их получения и использования по требованию уполномоченных лиц.

Функциональные признаки обеспечения информационной безопасности предприятия заключаются в формировании следующих условий:

  1. Строгое выполнение обязательств: подтверждение всех действий, совершенных в информационной системе, и событий, предписанных к совершению, таким образом, что эти действия и события не могут быть позже отменены, за исключением случаев, предусмотренных регламентом.
  2. Реализация подотчетности и идентификации: обеспечение однозначной идентификации всех субъектов информационной системы и пользователей информации, имеющих определенные права доступа к ней, и регистрации всех совершаемых действий, связанных с получением и обработкой информации.

  3. Достижение достоверности: подтверждение соответствия совершаемых операций регламентированным действиям и результатам.
  4. Обеспечение подлинности: формирование условий, гарантирующих фактическую идентичность информационных ресурсов заявленным параметрам.

Способы и средства обеспечения информационной безопасности сводятся к трем сферам аппаратное обеспечение, программное обеспечение и каналы коммуникации. Непосредственные процедуры и механизмы защиты информации распределены между защитой физического уровня, персональную защиту и организационную защиту.

Концепция информационной безопасности

Таким образом, концепция информационной безопасности может быть представлена в виде структурной схемы, отражающей ее базовые и функциональные признаки, способы и средства обеспечения информационной безопасности, процедуры и механизмы защиты информации. Концепция информационной безопасности отражена в виде схемы на рисунке.

Концепция информационной безопасности

В контексте того, что сейчас предприятия активно внедряют информационные технологии в свою деятельность, обеспечение информационной безопасности становится весьма актуальным вопросом для предприятий, в интересах которых минимизировать угрозы информационной безопасности.

Угрозы информационной безопасности компаний

Объективным условием возникновения понятия информационной безопасности является появление угроз нанесения ущерба имущественным и иным интересам в результате воздействия непосредственно на информацию или на средства коммуникации, по которым она передается. В настоящее время развитие информационных технологий привело к появлению широкого разнообразия как средств обработки и передачи данных, так и возможностей их хищения и использования в корыстных целях. Вследствие этого компании должны обеспечивать защиту собственной информации для предотвращения промышленного шпионажа и нанесения иного ущерба своим интересам, минимизируя потенциальные и устраняя существующие угрозы своей информационной безопасности.

В соответствии с концепцией обеспечения информационной безопасности компании только выявление и контроль всего спектра угроз позволяет построить эффективную систему защиты информации.

По отношению в информационной системе предприятия, угрозы информационной безопасности могут быть внутренними или внешними. Внутренние представляют собой нарушение регламента предприятия в отношении использования информационных ресурсов предприятия, использование данных компании в личных целях, занесение сотрудниками вируса в информационную сеть, хищение конфиденциальных данных и т.д. Внешние угрозы являются следствием действий субъектов, не имеющих отношения к компании, наиболее типичными примерами являются хакерская атака на информационную систему и саботаж поддерживающей инфраструктуры.

По признаку намеренности угрозы разделяют на преднамеренные и непреднамеренные. К непреднамеренным угрозам относят факты случайного удаления данных персоналом, форс-мажорные обстоятельства, связанные с работой информационной системы, стихийные бедствия, ведущие к поломке аппаратного обеспечения и т.д. Преднамеренные угрозы имеют своей целью нанесение ощутимого ущерба предприятию, а субъекты, осуществляющие такие действия, следуют четким планам по преодолению возможной защиты.

В зависимости от цели угрозы выделяют действия, направленные на получение данных, уничтожение данных, изменение или внесение данных, нарушение работы программного обеспечения, контроль над работой программного обеспечения и прочие. Наибольшее значение имеют угрозы, направленные на получение закрытых, конфиденциальных данных предприятия для дальнейшего их использования в нелегальных целях, например, хищение данных по коммерческим контрактам, патентам, изобретениям или разработкам с целью их последующей перепродажи конкурентам.

Функциональная классификация угроз информационной безопасности оперирует четырьмя критериями.

Критерий информационной безопасности

Угрозы информационной безопасности

1.

Общая информационная безопасность

По базовым признакам доступности, целостности, конфиденциальности, против которых угрозы направлены в первую очередь.

2.

Компоненты информационных систем

На эти компоненты непосредственно направлены угрозы: данные, программы, аппаратура, поддерживающая инфраструктура.

3.

Способ осуществления

Случайные/преднамеренные действия/угрозы

Действия/угрозы природного/техногенного характера

5.

Расположение источника угроз

Внутри информационной системы или вне ее

Учитывая многогранность современных информационных систем, можно согласиться с утверждением, что «нельзя защититься от всех мыслимых и немыслимых угроз ИБ хотя бы потому, что невозможно предусмотреть действия злоумышленников, не говоря уж обо всех ошибках пользователей» .

Выстраивая информационную систему и предпринимая конкретные шаги, направленные на предупреждение угроз информационной безопасности, необходимо прорабатывать меры прямой защиты от известных угроз и обеспечивать возможность оперативного реагирования на те угрозы, для которых меры защиты не предусмотрены базовым регламентом. Для обоих случаев существует ряд общих методов защиты, которые обеспечивают снижение ущерба, наносимого информационной системе вследствие нарушения информационной безопасности, позволяют снизить вероятность реализации максимального широкого спектра угроз и обезопасить предприятие от различных внешних атак и ошибок внутренних пользователей. В соответствии с концепцией информационной безопасности они разделяются на аппаратные, программные и коммуникационные.

Выводы

Сегодня наблюдается критически высокое значение информационных активов предприятий в контексте их превалирующего значения по отношению к стоимости материальных ресурсов организации.

Учитывая уровень современного развития информационных технологий, вопросы обеспечения защиты информации становятся одной из фундаментальных детерминант экономической безопасности компании. Информационная безопасность представляется единственно возможным направлением для предупреждения нанесения ущерба экономическим интересам компании путем организации защиты от существующих и потенциальных угроз информационным ресурсам компании.

Литература

  1. Борисов М.А., Заводцев И.В., Чижов И.В. Основы программно-аппаратной защиты информации. – М.: Либроком, 2012.
  2. Галатенко В.А. Стандарты информационной безопасности. – М.: Интернет-университет информационных технологий, 2006.
  3. Мельников В.П., Клейменов С.А., Петраков А.М. Информационная безопасность. – М.: Академия, 2012.

Управление рисками безопасности информационных систем организаций

Код курса КП44, 2 дня

Статус

Авторский курс Учебного центра “Информзащита”

Аннотация

Об эффективном риск-менеджменте сегодня говорят многие. Риск-менеджмент стал востребованным и используемым инструментом для принятия различных управленческих решений.

Перед руководителями и сотрудниками служб информационной безопасности (ИБ) зачастую стоит задача убедить менеджмент компании выделить средства на проекты, направленные на усиление защищенности организации. Но как убедить руководство в необходимости затрат, как говорить с ним на одном языке, как доказать оптимальность тех или иных вложений в ИБ?

Ответ один – необходимо владеть и умело использовать понятные управленцам инструменты формирования решений. Помочь справиться с этой задачей поможет данный курс, построенный на основе всестороннего анализа имеющихся международных и отечественных подходов и стандартов в области управления рисками, в том числе линейки ISO/IEC 27000 (ГОСТ Р ИСО/МЭК 27000), NIST 800-30, CobiT, ITIL, CRAMM, OCTAVE, CORAS и др., а также недавно вышедшего в свет стандарта ISO/IEC 27005:2011.

Курс поможет приобрести и систематизировать знания и навыки, необходимые для организации процессов управления рисками, лежащих в основе обеспечения информационной безопасности предприятия, в соответствии с требованиями «современного менеджмента».

Аудитория

  • Руководители служб информационной безопасности и служб автоматизации
  • Аналитики по вопросам информационной безопасности
  • Специалисты по вопросам защиты информации
  • Аудиторы информационных систем (внешние и внутренние)
  • Сотрудники служб поддержки качества и внутреннего контроля

Предварительная подготовка

Общие представления об информационных системах, организационных и технических аспектах обеспечения ИБ компьютерных систем.

В результате обучения

Вы приобретете знания:

  • место и роль управления рисками в общем комплексе работ по обеспечению ИБ;
  • общие проблемы безопасности информационных систем;
  • основные виды информационных рисков, их отличия от других видов рисков;
  • методики анализа рисков, методы и средства управления информационными рисками;
  • методы и средства защиты информации и контроля широко используемых информационных технологий;
  • основные международные стандарты и рекомендации по управлению информационными рисками;
  • используемые программные средства анализа и управления рисками.

Вы сможете:

  • разрабатывать корпоративную методику анализа рисков;
  • проводить классификацию критичных информационных ресурсов, анализ угроз и рисков автоматизированных систем;
  • выбирать и разрабатывать меры защиты информации (контрмеры по снижению рисков) и оценивать их эффективность;
  • разрабатывать предложения по совершенствованию политики безопасности компании;
  • обоснованно выбирать программные средства автоматизации процессов управления рисками.

Пакет слушателя

  • Фирменное учебное пособие.
  • Нормативные, руководящие документы и стандарты, используемые при проведении аудита ИБ, демо-версии некоторых рассматриваемых в курсе инструментальных средств, дополнительная и справочная информация по тематике курса в электронном виде.

Дополнительно

После успешной сдачи зачета выпускники получают свидетельства об обучении Учебного центра «Информзащита».

Обучение на данном курсе учитывается при получении документов установленного образца в области информационной безопасности в Учебном центре «Информзащита» в соответствии с Положением об условиях получения специалистами документов о повышении квалификации в области защиты информации.

Выпускники Учебного центра могут получать бесплатные консультации специалистов центра в рамках пройденного курса.

Программа курса

Раздел 1. Управление рисками информационной безопасности организации

  • Актуальность проблемы управления информационной безопасностью организации. Место и роль процессов по управлению рисками в общей системе обеспечения информационной безопасности и защиты информационных ресурсов.
  • Методологические основы управления рисками. Понятия и определения в области управления рисками. Управление рисками в основных международных стандартах информационной безопасности. Модель процессов управления информационными рисками.
  • Стратегии анализа информационных рисков организации. Сравнительные методики и основные подходы к анализу рисков ИБ. Инструментальные средства анализа рисков.
  • Оценка рисков информационной безопасности.

    Менеджмент-решение. Активы ИС, риски, угрозы и уязвимости. Идентификация активов при анализе рисков ИС. Анализ угроз информационной безопасности организации. Анализ уязвимостей информационной инфраструктуры организации.

  • Обработка рисков информационной безопасности. Практические примеры «из жизни» управления рисками информационной безопасности организации.
  • Планирование деятельности по управлению рисками ИБ.

Раздел 2. Основные положения теории и практики управления информационной безопасностью, связанные с разработкой и обслуживанием информационных систем

  • Роль управления информационными рисками в политике информационной безопасности организации. Управление инцидентами информационной безопасности в организации. Организационные вопросы обеспечения информационной безопасности. Порядок разработки, структура и содержание политик ИБ. Управление информационными рисками на различных стадиях жизненного цикла ИТ.
  • Реализация концепции управления информационными рисками на практике. Проработка тестов по анализу и оценке угроз, уязвимостей и информационных рисков организаций. Примерный анализ и моделирование событий и инцидентов информационной безопасности в различных организациях.
  • Программные средства, используемые для анализа и управления рисками. Обзор, анализ и сравнение современных программных продуктов по анализу рисков: COBRA, CRAMM, RiskWatch, Buddy System, RA Software Tool, IBM Tivoli Risk Manager, Экспертная система «Авангард». Проблемы внедрения в России. Практические примеры оценки рисков в ИТ и в бизнесе.

Последующее обучение

І. Постановка проблемы

В период глобальной компьютеризации и интернетизации, который сейчас переживает современное общество, все типы предприятий становятся зависимыми от информационных систем. Это делает их уязвимыми к угрозам различного характера. Поэтому, оценивание рисков информационной безопасности предприятия и создание его собственной политики информационной безопасности должны стоять на высоких позициях в списке бизнес–приоритетов собственников.

IІ. Цель работы

Целью исследования является обоснование необходимости управления рисками, а также проведение анализа методов оценивания рисков для формирования политики информационной безопасности малых предприятий.

III. Риск–менеджмент как эффективный способ для анализа рисков малых предприятий

В настоящий момент корпоративные сети предприятий считаются наиболее уязвимыми с точки зрения безопасности во всей их инфраструктуре. Рассмотрим стандартную схему корпоративной сети предприятия на примере интернет–магазина (рис.1).

Рисунок 1 – Структурная схема малого предприятия

Как следует из ее архитектуры и методов использования, определение границ безопасности для нее практически невозможно, так как предприятие использует сеть для хранения данных, пользуется связями типа peer–to–peer, ведет переписку с помощью мгновенных сообщений, имеет удаленный доступ, а также клиентские сервисы. Поэтому, для обеспечения ИБ данного предприятия необходимо выработать некие стандартные подходы.

По словам Петренко С.А. , независимо от размера компании и ее конкретных информационных систем, усилия для обеспечения режима безопасности информации состоят из следующих этапов:

  • определение политики информационной безопасности;
  • установление границ, которые предназначены для поддержки режима информационной безопасности;
  • оценка рисков;
  • выбор контрмер и управления рисками;
  • выбор элементов управления в целях обеспечения режима информационной безопасности;
  • сертификация систем управления информационной безопасностью на соответствие стандартам безопасности.

Набор минимальных требований, к режиму информационной безопасности, перечисленных в стандартах ISO 17799 (международный стандарт), BSI (Германия), NIST 800–30 (США), составляет основу информационной безопасности. Этого набора, как правило, достаточно для целого ряда стандартных проектов малого бизнеса.

В его рамках можно использовать особые стандарты и спецификации, которые имеют минимальный перечень наиболее вероятных угроз, таких как вирусы, несанкционированный доступ, и другие.

Для выполнения более специфических требований к безопасности необходимо разрабатывать индивидуальный, повышенный режим безопасности . Этот режим предусматривает стратегии работы с рисками разных классов, в которых реализуются следующие подходы:

  • снижение рисков: многие риски могут быть снижены за счет использования простых и дешевых контрмер;
  • неприятие риска: некоторые классы риска можно избежать с помощью выведения веб–сервера организации за пределы локальной сети;
  • изменение характера риска: если невозможно уклониться от риска или уменьшить его, то лучше застраховать уязвимый объект;
  • принятие риска: специалист должен знать остаточную ценность риска из–за невозможности сведения его к малой величине.
  • В результате, принимая во внимание все вышеперечисленные моменты, возможно создать достаточно эффективную систему риск–менеджмента для предприятия.

    IV. Методы оценивания рисков в условиях политики информационной безопасности

    Существует большое количество программ, для оценки рисков безопасности. Например, RA2 art of Risk, vsRisk, RiskWatch, COBRA, РискМенеджер, и многие другие.

    С точки зрения использования таких программ в сфере малого бизнеса наилучших результатов с меньшими материальными затратами можно достичь с помощью методик OCTAVE–S и CRAMM.

    Методы OCTAVE основаны на практических критериях OCTAVE, которые являются стандартными подходами для оценки ИБ. Данная методика реализуется вручную, без использования программных средств. Аналитическая команда, состоящая из 3–5 человек, рассматривает риски организационных активов в их соотношении с целями бизнеса. Конечным результатом метода является организацонно–направленная стратегия безопасности и план по смягчению последствий нарушений ИБ .

    В отличие от OCTAVE, CRAMM–CCTA Risk Analysis & Management реализуется с помощью специализированного программного обеспечения, которое можно настроить для различных отраслей. Текущая версия CRAMM 5 соответствует BS 7799 (ISO 17799).

    Анализ рисков по методу CRAMM состоит из идентификации и расчета рисков на основе оценок определенных ресурсов, уязвимостей, угроз и ресурсов. Управление рисками с помощью CRAMM помогает выявить и выбрать контрмеры для снижения рисков предприятий рассматриваемых структур до приемлемого уровня .

    Вывод

    Согласно проведенному исследованию, информационная безопасность является чрезвычайно важным фактором корректного функционирования малого предприятия. Для его поддержания функционирования компании необходимо систематически проводить оценку рисков, анализ рисковых ситуаций, либо полный аудит предприятия.

    Применение различных методов оценивания рисков в рамках риск–менеджмента позволяет обезопасить собственников предприятия от заранее предусмотренных рисков, а также способствует выработке методики защиты, отражения и принятия неучтенных рисков.

    Рассматриваемые подходы и приемы можно распространить на все типы предприятий малого бизнеса.

    Список использованных источников

    1. Петренко С.А. Управление информационными рисками. Экономически оправданная безопасность / Петренко С.А., Симонов С.В. – М.: Компания АйТи; ДМК Пресс, 2004. – 384 с.: ил.
    2. JetInfo, информационный бюллетень, вып. 1(68)/1999; /М.:Джет Инфо Паблишер
    3. Managing Risk: It’s Not Just for Big Business, Stephen Townsend, IS 8930 Information Security Administration, Summer 2010,7/14/2010 . – Режим доступа: http://stephendtownsend.com/wordpress/wp-content/uploads/2010/12/Stephen_Townsend_ResearchPaper2.pdf
    4. Software Engineering Institute Carnegie Mellon . – Режим доступа: http://www.cert.org/octave/octaves.html
    5. IT Expert . – Режим доступа: http://www.itexpert.ru/rus/ITEMS/77-33/index.php

Понятие об информационной безопасности

Словосочетание "информационная безопасность" в разных контекстах может иметь различный смысл. В Доктрине информационной безопасности Российской Федерации термин "информационная безопасность" используется в широком смысле. Имеется в виду состояние защищенности национальных интересов в информационной сфере, определяемых совокупностью сбалансированных интересов личности, общества и государства.

В Законе РФ "Об участии в международном информационном обмене" (закон утратил силу, в настоящее время действует "Об информации, информационных технологиях и о защите информации") информационная безопасность определяется аналогичным образом – как состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства.

Наше внимание будет сосредоточено на хранении, обработке и передаче информации вне зависимости от того, на каком языке (русском или каком-либо ином) она закодирована, кто или что является ее источником и какое психологическое воздействие она оказывает на людей.

Поэтому термин "информационная безопасность" будет использоваться в узком смысле, так, как это принято, например, в англоязычной литературе.

Под информационной безопасностью мы будем понимать защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры. (Чуть дальше мы поясним, что следует понимать под поддерживающей инфраструктурой.)

Защита информации – это комплекс мероприятий, направленных на обеспечение информационной безопасности.

Таким образом, правильный с методологической точки зрения подход к проблемам информационной безопасности начинается с выявления субъектов информационных отношений и интересов этих субъектов, связанных с использованием информационных систем (ИС). Угрозы информационной безопасности – это оборотная сторона использования информационных технологий.

Из этого положения можно вывести два важных следствия:

  1. Трактовка проблем, связанных с информационной безопасностью, для разных категорий субъектов может существенно различаться. Для иллюстрации достаточно сопоставить режимные государственные организации и учебные институты. В первом случае "пусть лучше все сломается, чем враг узнает хоть один секретный бит", во втором – "да нет у нас никаких секретов, лишь бы все работало".
  2. Информационная безопасность не сводится исключительно к защите от несанкционированного доступа к информации, это принципиально более широкое понятие. Субъект информационных отношений может пострадать (понести убытки и/или получить моральный ущерб) не только от несанкционированного доступа, но и от поломки системы, вызвавшей перерыв в работе. Более того, для многих открытых организаций (например, учебных) собственно защита от несанкционированного доступа к информации стоит по важности отнюдь не на первом месте.

Возвращаясь к вопросам терминологии, отметим, что термин "компьютерная безопасность" (как эквивалент или заменитель ИБ) представляется нам слишком узким. Компьютеры – только одна из составляющих информационных систем, и хотя наше внимание будет сосредоточено в первую очередь на информации, которая хранится, обрабатывается и передается с помощью компьютеров, ее безопасность определяется всей совокупностью составляющих и, в первую очередь, самым слабым звеном, которым в подавляющем большинстве случаев оказывается человек (записавший, например, свой пароль на "горчичнике", прилепленном к монитору).

Согласно определению информационной безопасности, она зависит не только от компьютеров, но и от поддерживающей инфраструктуры, к которой можно отнести системы электро-, водо- и теплоснабжения, кондиционеры, средства коммуникаций и, конечно, обслуживающий персонал. Эта инфраструктура имеет самостоятельную ценность, но нас будет интересовать лишь то, как она влияет на выполнение информационной системой предписанных ей функций.

Обратим внимание, что в определении ИБ перед существительным "ущерб" стоит прилагательное "неприемлемый". Очевидно, застраховаться от всех видов ущерба невозможно, тем более невозможно сделать это экономически целесообразным способом, когда стоимость защитных средств и мероприятий не превышает размер ожидаемого ущерба.

Значит, с чем-то приходится мириться и защищаться следует только от того, с чем смириться никак нельзя. Иногда таким недопустимым ущербом является нанесение вреда здоровью людей или состоянию окружающей среды, но чаще порог неприемлемости имеет материальное (денежное) выражение, а целью защиты информации становится уменьшение размеров ущерба до допустимых значений.

Основные составляющие информационной безопасности

Информационная безопасность – многогранная, можно даже сказать, многомерная область деятельности, в которой успех может принести только системный, комплексный подход.

Спектр интересов субъектов, связанных с использованием информационных систем, можно разделить на следующие категории: обеспечение доступности, целостности и конфиденциальности информационных ресурсов и поддерживающей инфраструктуры.

Иногда в число основных составляющих ИБ включают защиту от несанкционированного копирования информации, но, на наш взгляд, это слишком специфический аспект с сомнительными шансами на успех, поэтому мы не станем его выделять.

Поясним понятия доступности, целостности и конфиденциальности.

Доступность – это возможность за приемлемое время получить требуемую информационную услугу.

Под целостностью подразумевается актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения.

Наконец, конфиденциальность – это защита от несанкционированного доступа к информации.

Информационные системы создаются (приобретаются) для получения определенных информационных услуг. Если по тем или иным причинам предоставить эти услуги пользователям становится невозможно, это, очевидно, наносит ущерб всем субъектам информационных отношений. Поэтому, не противопоставляя доступность остальным аспектам, мы выделяем ее как важнейший элемент информационной безопасности.

Особенно ярко ведущая роль доступности проявляется в разного рода системах управления – производством, транспортом и т.п. Внешне менее драматичные, но также весьма неприятные последствия – и материальные, и моральные – может иметь длительная недоступность информационных услуг, которыми пользуется большое количество людей (продажа железнодорожных и авиабилетов, банковские услуги и т.п.).

Целостность можно подразделить на статическую (понимаемую как неизменность информационных объектов) и динамическую (относящуюся к корректному выполнению сложных действий (транзакций)). Средства контроля динамической целостности применяются, в частности, при анализе потока финансовых сообщений с целью выявления кражи, переупорядочения или дублирования отдельных сообщений.

Целостность оказывается важнейшим аспектом ИБ в тех случаях, когда информация служит "руководством к действию".

Рецептура лекарств, предписанные медицинские процедуры, набор и характеристики комплектующих изделий, ход технологического процесса – все это примеры информации, нарушение целостности которой может оказаться в буквальном смысле смертельным. Неприятно и искажение официальной информации, будь то текст закона или страница Web-сервера какой-либо правительственной организации. Конфиденциальность – самый проработанный у нас в стране аспект информационной безопасности. К сожалению, практическая реализация мер по обеспечению конфиденциальности современных информационных систем наталкивается в России на серьезные трудности. Во-первых, сведения о технических каналах утечки информации являются закрытыми, так что большинство пользователей лишено возможности составить представление о потенциальных рисках. Во-вторых, на пути пользовательской криптографии как основного средства обеспечения конфиденциальности стоят многочисленные законодательные препоны и технические проблемы.

Если вернуться к анализу интересов различных категорий субъектов информационных отношений, то почти для всех, кто реально использует ИС, на первом месте стоит доступность. Практически не уступает ей по важности целостность – какой смысл в информационной услуге, если она содержит искаженные сведения?

Наконец, конфиденциальные моменты есть также у многих организаций (даже в упоминавшихся выше учебных институтах стараются не разглашать сведения о зарплате сотрудников) и отдельных пользователей (например, пароли).

Выделяют и другие не всегда обязательные категории модели безопасности:

  • неотказуемость или апеллируемость — невозможность отказа от авторства;
  • подотчётность — обеспечение идентификации субъекта доступа и регистрации его действий;
  • достоверность — свойство соответствия предусмотренному поведению или результату;
  • аутентичность или подлинность — свойство, гарантирующее, что субъект или ресурс идентичны заявленным.

Важность и сложность проблемы информационной безопасности

Информационная безопасность является одним из важнейших аспектов интегральной безопасности, на каком бы уровне мы ни рассматривали последнюю – национальном, отраслевом, корпоративном или персональном.

Для иллюстрации этого положения ограничимся несколькими примерами.


Загрузка. Пожалуйста, подождите…

 замена батареи в ноутбуке не фирменной, не заряжается
snn_65
12 августа 2015 18:05

0
Группа: Посетитель
Сообщений: 2
Регистрация: 12.08.2015

У меня ноутбук В590. При смене батареи "Lenovo L11M6Y01" на новую "PALMEXX L11M6Y01" выдал сообщение "Данная система может не поддерживать аккумуляторы, не аккумулятор Lenovo или уполномоченным производителем.

Эта система будет загружаться, однако аккумуляторы могут не заряжаться. Внимание: компания Lenovo яс никакой ответственности за исполнение несанкционированного батареи. И не дает никакой гарантии на случай ошибок или ущерба, возникающих в результате их использования." Батарею видит, но заряда нет. При этом, что везде пишется что эта батарея подходит для данного ноута. Как устранить данную проблему. Стоит Win 10.

Algonk
22 августа 2015 07:55

48
Группа: Администратор
Сообщений: 1077
Регистрация: 23.09.2010

Зарядка батареи не зависит от версии Windows. Иначе бы ноутбуки заряжались только с запущенной Windows, он должен заряжаться в полностью выключенном состоянии. И действительно, у этой модели вроде в этом плане никаких особых заморочек не имеется, и все должно работать.
Следовательно, проблема механическая.
http://www.youtube.com/watch?v=B-oP3i1Fewg#t=282 это видео может быть полезным.
Если ничего не поможет, то только обмен по гарантии, ибо дело в батарейке.

———————
Друзья, если вы обнаружили не рабочую ссылку или ошибку, пожалуйста сообщите администрации сайта!

Alamut
2 сентября 2015 21:57

2
Группа: Посетитель
Сообщений: 1
Регистрация: 2.09.2015

Сообщение отредактировал Alamut — 2 сентября 2015 21:58

Информация

Посетители, находящиеся в группе Гость, не могут оставлять ответы в данном форуме.

1 чел. читают эту тему (гостей: 1)

admin