Теоретические основы защиты информации

Лекция "Теоретические основы защиты информации"

Теоретические основы защиты информации

Начиная рассмотрение теоретических аспектов информационной безопасности, рассмотрим определения информации, применяемые в современной литературе.

Наиболее общее определение информации гласит, что информация – это сведения вне зависимости от формы их представления.

В современных российских и международных стандартах приводятся следующие определения информации:

- знания о предметах, фактах, идеях и т.д., которыми могут обмениваться люди в рамках конкретного контекста (ISO/IEC 10746-2:1996);

- знания относительно фактов, событий, вещей, идей и понятий, которые в определенном контексте могут иметь конкретный смысл (ISO/IEC 2382:2015);

- сведения, воспринимаемые человеком и (или) специальными устройствами как отражение фактов материального или духовного мира в процессе коммуникации (ГОСТ 7.0-99).

Информационные технологии – процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.

Информационная система – совокупность содержащихся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;

Информационно-телекоммуникационная сеть – технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники.

Защита информации представляет собой процесс принятия правовых, организационных и технических мер, направленных на обеспечение защищенного состояния объекта информации (в качестве объекта может выступать информация, данные, ресурсы автоматизированной системы, автоматизированная система, информационная система предприятия, общества, государства, организации и т.п.).

Информационная безопасность – защищённость информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений. Поддерживающая инфраструктура – системы электро-, тепло-, водо-, газоснабжения, системы кондиционирования и т. д., а также обслуживающий персонал. Неприемлемый ущерб – ущерб, которым нельзя пренебречь.

При этом информационная безопасность может рассматриваться в двух аспектах: как состояние и как процесс. Состояние информационной безопасности означает, что информационные объекты защищены от имеющихся угроз, а процесс подразумевает осуществление данной защиты.

Основными критериями информационной безопасности является обеспечение ее конфиденциальности, целостности и доступности.

- конфиденциальность – состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на это право;

- целостность – избежание несанкционированной модификации информации;

- доступность – избежание временного или постоянного сокрытия информации от пользователей, получивших права доступа.

Рассмотрим каждый из этих критериев в отдельности.

Обеспечение конфиденциальности происходит за счет предоставления доступа к ней с наименьшими привилегиями, что следует из принципа минимальной необходимой осведомленности. Применительно к конфиденциальности информации на предприятии можно сказать, что каждый из сотрудников имеет доступ только к той части информации, которая необходима для выполнения им своих служебных обязанностей. В рамках политики информационной безопасности должна проводиться классификация информации по степени возможности ограничения доступа. Примером обеспечения конфиденциальности информации является ее шифрование.