Дадим несколько определений:
· защита информации – это средства обеспечения безопасности информации;
· безопасность информации – защита информации от утечки, модификации и утраты. По существу сфера безопасности информации – не защита информации, а защита прав собственности на нее и интересов субъектов информационных отношений;
· утечка информации – ознакомление постороннего лица с содержанием секретной информации;
· модификация информации – несанкционированное изменение информации, корректное по форме и содержанию, но другое по смыслу;
· утрата информации – физическое уничтожение информации.
Цель защиты информации – противодействие угрозам безопасности информации. Угроза безопасности информации – действие или событие, которое может привести к разрушению, искажению или несанкционированному использованию информационных ресурсов(к утечке, модификации и утрате), включая хранимую, передаваемую и обрабатываемую информацию, а также программные и аппаратные средства. Поэтому для обеспечения безопасности информации необходима защита всех сопутствующих компонентов информационных отношений (т.е. компонентов информационных технологий и автоматизированных систем, используемых субъектами информационных отношений):
ü оборудования (технических средств);
ü программ (программных средств);
ü данных (информации);
ü персонала.
С этой целью в соответствующих организациях и на соответствующих объектах строится система защиты. Система защиты – это совокупность (комплекс) специальных мер правового (законодательного) и административного характера, организационных мероприятий, физических и технических (программно-аппаратных) средств защиты, а также специального персонала, предназначенных для обеспечения безопасности информации, информационных технологий и автоматизированной системы в целом.
Для построения эффективной системы защиты необходимо провести следующие работы:
1) определить угрозы безопасности информации;
2) выявить возможные каналы утечки информации и несанкционированного доступа(НСД) к защищаемым данным;
3) построить модель потенциального нарушителя;
4) выбрать соответствующие меры, методы, механизмы и средства защиты;
5) построить замкнутую, комплексную, эффективную систему защиты, проектирование которой начинается с проектирования самих автоматизированных систем и технологий.
При проектировании системы защиты существенное значение придается предпроектному обследованию объекта. На этой стадии:
ü устанавливается наличие секретной (конфиденциальной) информации в разрабатываемой автоматизированной информационной технической установке (АИТУ), оценивается уровень ее конфиденциальности и объем;
ü определяются режимы обработки информации (диалоговый, телеобработка и режим реального времени), состав комплекса технических средств и т.д.;
ü анализируется возможность использования имеющихся на рынке сертифицированных средств защиты информации;
ü определяется степень участия персонала, функциональных служб, специалистов и вспомогательных работников объекта автоматизации в обработке информации, характер их взаимодействия между собой и со службой безопасности;
ü определяются мероприятия по обеспечению режима секретности на стадии разработки.
Для создания эффективной системы защиты разработан ряд стандартов. Главная задача стандартов информационной безопасности – создать основу для взаимодействия между производителями потребителями и экспертами по квалификации продуктов информационных технологий. Каждая из этих групп имеет свои интересы и взгляды на проблему информационной безопасности.
Наиболее значимыми стандартами информационной безопасности являются (в хронологическом порядке):
Критерии безопасности компьютерных систем Министерства обороны США («Оранжевая книга»);
ü Руководящие документы Гостехкомиссии России;
ü Европейские критерии безопасности информационных технологий;
ü Федеральные критерии безопасности информационных технологий США;
ü Канадские критерии безопасности компьютерных систем;
ü Единые критерии безопасности информационных технологий.