Ответы на вопросы / 15-23
.doc16-17. Определение и нормативное закрепление состава защищаемой информации
Эффективность государственного развития, достижение политико-экономических интересов неразрывно связано с процессом информатизации всего общества, всех сфер жизнедеятельности государства.
Информатизация общества - это социально-технологический процесс, который обеспечивает экономическую мощь развитых государств.
Защита информации - есть неразрывная составная часть информатизации, без которой как показывает мировой опыт, процесс информатизации развивается не эффективно и не обеспечивает защиту государственных интересов, прав и свобод личности.
В современных условиях информационный ресурс государства выступает аналогом производительных сил и включает в себя:
1 собственно информацию в виде упорядоченных баз и банков данных;
2 интеллектуальный потенциал людей, владеющих информацией и средствами информатизации;
3 средства информации, в том числе математическое, программное, информационное, лингвистическое и организационное обеспечение, информационные системы, комплексы, системы передачи данных (информации).
. По формам собственности информационные ресурсы подразделяются на государственные,
межгосударственные,
негосударственные (в том числе коммерческие)
и смешанной собственности и как элемент состава имущества находятся в собственности граждан, органов государственной власти, органов местного самоуправления, организаций и общественных объединений.
Права собственности на информационные ресурсы и отношения между их владельцами регулируются гражданским законодательством России. [41]
Определение 1. Под информацией будем понимать сведения о фактах, событиях, процессах и явлениях, о состоянии объектов (их свойствах, характеристиках) в некоторой предметной области, используемые (необходимые) для оптимизации принимаемых решений в процессе управления данными объектами.
.
19.Необходимые свойства информации
доступность информации, то есть свойство системы (среды, средств и технологии ее обработки), в которой циркулирует информация, характеризующееся способностью обеспечивать своевременный беспрепятственный доступ субъектов к интересующей их информации и готовность соответствующих автоматизированных служб к обслуживанию поступающих от субъектов запросов всегда, когда в обращении к ним возникает необходимость;
целостность информации, то есть свойство информации, заключающееся в ее существовании в неискаженном виде (неизменном по отношению к некоторому фиксированному ее состоянию). Точнее говоря, субъектов интересует обеспечение более широкого свойства - достоверности информации, которое складывается из адекватности (полноты и точности) отображения состояния предметной области и непосредственно целостности информации, то есть ее неискаженности;
конфиденциальность информации - субъективно определяемую (приписываемую) характеристику (свойство) информации, указывающую на необходимость введения ограничений на круг субъектов, имеющих доступ к данной информации, и обеспечиваемую способностью системы (среды) сохранять указанную информацию в тайне от субъектов, не имеющих полномочий на доступ к ней. Объективные предпосылки подобного ограничения доступности информации для одних субъектов заключены в необходимости защиты законных интересов других субъектов информационных отношений.
Термин "безопасность информации" нужно понимать как защищенность информации от нежелательного ее разглашения (нарушения конфиденциальности), искажения (нарушения целостности), утраты или снижения степени доступности информации, а также незаконного ее тиражирования.
Определение требований к защищенности информации
Определение 2. Защищаемая информация - информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.
Примечание:
Собственником информации может быть - государство, юридическое лицо, группа физических лиц, отдельное физическое лицо.(58)
16.Состав защищаемой информации.
Информация подразделяется по уровням требований к ее защищенности. Развитие системы классификации информации по уровням требований к ее защищенности предполагает введение ряда степеней (градаций) требований по обеспечению каждого из свойств безопасности информации: доступности, целостности, конфиденциальности и защищенности от тиражирования.
Определение 3. Категорирование защищаемой информации [объекта защиты] - установление градаций важности защиты защищаемой информации [объекта защиты]. (58)
Пример градаций требований к защищенности:
нет требований;
низкие;
средние;
высокие;
очень высокие.
Количество дискретных градаций и вкладываемый в них смысл могут различаться. Главное, чтобы требования к защищенности различных свойств информации указывались отдельно и достаточно конкретно.
В дальнейшем любой отдельный функционально законченный документ, содержащий определенные сведения, вне зависимости от вида носителя, на котором он находится, будем называть информационным пакетом.
Пример оценки требований к защищенности некоторого типа информационных пакетов приведен в таблице 1.
Таблица 1.
|
Субъекты |
Уровень ущерба по свойствам информации |
|||
|
|
Конфиденциальность |
Целостность |
Доступность |
Защита от тиражирования |
|
N 1 |
Нет |
Средняя |
Средняя |
Нет |
|
N 2 |
Высокая |
Средняя |
Средняя |
Нет |
|
N m |
Низкая |
Низкая |
Низкая |
Нет |
|
В итоге |
Высокая |
Средняя |
Средняя |
Нет |
(18)
20.Информация по уровню важности подразделяется на:
жизненно важная незаменимая информация;
важная информация;
полезная информация;
несущественная информация.
Жизненно важная незаменимая информация, наличие которой необходимо для функционирования организации.
Важная информация – информация, которая может быть заменена или восстановлена, но процесс восстановления очень труден и связан с большими затратами.
Полезная информация – информация, которую трудно восстановить, однако организация может функционировать без нее.
Несущественная информация – информация, которая больше не нужна организации.(60)
21. Определение объектов защиты
Поскольку субъектам информационных отношений ущерб может быть нанесен также посредством воздействия на процессы и средства обработки критичной для них информации, то становится очевидной необходимость обеспечения защиты всей системы обработки и передачи данной информации от несанкционированного вмешательства в процесс ее функционирования, а также от попыток хищения, незаконной модификации и/или разрушения любых компонентов данной системы.
Поэтому под безопасностью автоматизированной системы обработки информации (компьютерной системы) будем понимать защищенность всех ее компонентов (технических средств, программного обеспечения, данных и персонала) от подобного рода нежелательных для соответствующих субъектов информационных отношений воздействий. (18)
22.Определение1. Объект защиты - информация или носитель информации или информационный процесс, в отношении которых необходимо обеспечивать защиту в соответствии с поставленной целью защиты информации. (58)
23.Объекты защиты :
аппаратные средства АС (серверы, рабочие станции, периферийное оборудование и другие технические средства);
программные средства (операционные системы, специальное программное обеспечение, СУБД, интерфейсное и сетевое программное обеспечение);
информационное обеспечение (базы данных, файлы пользователей, справочная информация);
системы связи;
сотрудники организации.(61)
Безопасность любого компонента (ресурса) АС складывается из обеспечения трех его характеристик: конфиденциальности, целостности и доступности.
Конфиденциальность компонента системы заключается в том, что он доступен только тем субъектам доступа (пользователям, программам, процессам), которым предоставлены на то соответствующие полномочия.
Целостность компонента системы предполагает, что он может быть модифицирован только субъектом, имеющим для этого соответствующие права. Целостность является гарантией корректности (неизменности, работоспособности) компонента в любой момент времени.
Доступность компонента означает, что имеющий соответствующие полномочия субъект может в любое время без особых проблем получить доступ к необходимому компоненту системы (ресурсу).
Конечной целью защиты АС и циркулирующей в ней информации является предотвращение или минимизация наносимого субъектам информационных отношений ущерба (прямого или косвенного, материального, морального или иного) посредством нежелательного воздействия на объекты АС, а также разглашения (утечки), искажения (модификации), утраты (снижения степени доступности) или незаконного тиражирования информации.
(18)