Хорев Анатолий Анатольевич, доктор технических наук, профессор Московский государственный институт электронной техники (технический университет), г.Москва Угрозы безопасности информации Источник: 1 2010 год В статье предпринята попытка систематизировать ряд категорий, терминов и определений в области информационной безопасности, приведена классификация угроз безопасности информации. Бурное внедрение в различные сферы деятельности средств информатизации, развитие рыночных отношений в России в начале 90-х годов прошлого столетия обусловило возрастание интереса к вопросам информационной безопасности и защиты информации. Широкое использование в нашей стране средств информатизации и информационных технологий иностранного производства неизбежно привело к изменению нормативно-правовой базы в области защиты информации, попыткам адаптации её к зарубежным стандартам в области информационной безопасности. К созданию новой нормативно-правовой базы в области защиты информации и информационной безопасности наряду с небольшим количеством специалистов-профессионалов, занимавшихся еще в годы советской власти вопросами защиты информации, было привлечено большое количество юристов и специалистов из различных отраслей науки и промышленности, не имевших не только базовой подготовки в области защиты информации, но и опыта практической работы в сфере информационной безопасности. В результате в настоящее время практически отсутствует единая терминология в области защиты информации. В законы, национальные стандарты, ГОСТы, нормативно-методические документы введено большое количество различных терминов и определений, которые имеют неоднозначную трактовку и понимание. Это коснулось даже самого термина «информационная безопасность». Например, в соответствии с [15] «информационная безопасность» - это состояние защищённости объекта информатизации, при котором обеспечивается безопасность информации и автоматизированных средств её обработки. В соответствии с [4] «информационная безопасность» - защита конфиденциальности, целостности и доступности информации, а в соответствии с [3] «информационная безопасность» - все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчётности, аутентичности и достоверности информации или средств её обработки. Такое разночтение, на мой взгляд, связано прежде всего с тем, что в среде специалистов отсутствует единое понимание основополагающих категорий, терминов и определений в области информационной безопасности. Данная статья является попыткой систематизировать ряд категорий, терминов и определений, касающихся угроз безопасности информации. Итак, в обиходе используются два понятия: «информационная безопасность» и «безопасность информации». Термин «информационная безопасность» наиболее часто используется применительно к конкретной системе (например, информационная безопасность информационно-телекоммуникационной сети и т.д.), объекту (например, информационная безопасность объекта информатизации) или даже государству (например, информационная безопасность Российской Федерации). Основными объектами обеспечения информационной безопасности в информационных и телекоммуникационных системах являются [5]: информационные ресурсы, содержащие сведения, отнесённые к государственной тайне, и конфиденциальную информацию; средства и системы информатизации (средства вычислительной техники, информационно-вычислительные комплексы, сети и системы), программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение), автоматизированные системы управления, системы связи и передачи данных, осуществляющие приём, обработку, хранение и передачу информации ограниченного доступа, их информативные физические поля; технические средства и системы, обрабатывающие открытую информацию, но размещённые в помещениях, в которых обрабатывается информация ограниченного доступа, а также сами помещения, предназначенные для обработки такой информации; помещения, предназначенные для ведения закрытых переговоров, а также переговоров, в ходе которых оглашаются сведения ограниченного доступа. Совокупность информационных ресурсов, содержащих сведения ограниченного доступа, технических средств и систем обработки информации ограниченного доступа (ТСОИ), вспомогательных технических средств и систем (ВТСС), помещений или объектов (зданий, сооружений), в которых они установлены, составляет защищаемый объект информатизации (ОИ). Защищаемые объекты информатизации должны аттестовываться по требованиям безопасности информации [13]. Поэтому термин «информационная безопасность» наиболее целесообразно применять именно к защищаемому объекту информатизации. При этом под информационной безопасностью объекта информатизации будем понимать состояние его защищённости, при котором обеспечивается безопасность информации, технических средств и систем её обработки, а также информационных технологий, с использованием которых осуществляется обработка информации. Помещения, предназначенные для ведения закрытых переговоров, содержащих сведения, отнесённые к государственной тайне, называются выделенными помещениями (ВП), а помещения, предназначенные для ведения конфиденциальных переговоров - защищаемыми помещениями (ЗП). Выделенные и защищаемые помещения также должны аттестовываться по требованиям безопасности информации [13]. Рис. 1. Классификация угроз безопасности информации В соответствии с [2] ВП и ЗП относятся к защищаемым объектам информатизации. Однако, на мой взгляд, учитывая, что угрозы безопасности информации, способы и средства защиты ВП (ЗП) и ТСОИ существенно отличаются, ВП (ЗП) целесообразно исключить из ОИ и выделить в отдельную группу защищаемых объектов. «Безопасность информации» - с одной стороны более узкое понятие, так как касается состояния защищённости только информации и не касается защищённости технических средств её обработки и информационных технологий, но, с другой стороны, и более широкое понятие, так как под информацией понимаются сведения (сообщения, данные) независимо от формы их представления [11]. Носителем информации могут быть физическое лицо (человек) или материальный объект, в том числе физическое поле, в котором информация находит своё отображение в виде символов, образов
ваш уровень доступа:Открытый
в т.ч для открытого доступа:775
аналитических материалов:980
в т.ч для открытого доступа:5305
последнее обновление:29.01.2013
Угрозы безопасности информации. (Хорев А.А.).
Комментариев нет:
Отправить комментарий