Понятие защиты информации

Понятие защиты информации

Горюнов Владимир Сергеевич

Начальник информационного отдела НЧОУ ВО «Северный институт предпринимательства», г. Архангельск

После того, как мы рассмотрели вопросы, связанные с понятием и основными свойствами информации, как объекта посягательств с целью осуществления несанкционированного доступа, необходимо заострить внимание на обеспечение безопасности информации. Принятие мер по обеспечению безопасности информации подразумевает направленность действий по обеспечению надежной защиты информации. Что же такое защита информации?

Под защитой информации стоит понимать комплексное применение средств и методов для обеспечения надежности передаваемой, хранимой и обрабатываемой информации. Иными слова можно сказать, что защита информации это набор действий по достижению надежного уровня защищенности информации, циркулирующей внутри той или иной информационной системы.

Комплекс мер по достижению надежного уровня защищенности информации включает в себя:

•              обеспечение физической целостности информации, исключение возможности искажения или уничтожения отдельных элементов информации;  предотвращение попытки подмены отдельных элементов

информации при сохранении ее физической целостности;

•              разграничение прав доступа к информационным ресурсам и исключение возможности совершения несанкционированного доступа к информационным ресурсам лицам или процессам, которые не имеют на это соответствующих полномочий;

•              достижение состояния уверенности владельцем информационного ресурса в отношении того, что передаваемые им информационные данные будут использованы в строгом соответствии с обговоренными условиями между сторонами того или иного договора.

В качестве нарушителя надежного уровня защищенности информации выступают процессы, которые подразделяются на случайные и злоумышленные (преднамеренные). Случайные разрушительные процессы возникают непреднамеренно, являются следствием ошибочных действий пользователей, технических сбоев. В отличии от случайных разрушительных процессов злоумышленные нарушения рассматриваются с точки зрения наличия умысла в действиях пользователя информационной системы.

Проблемный аспект достижения надежного уровня защищенности информации в системах электронной обработки данных возникает одновременно с их созданием, так как его возникновение напрямую связано с конкретными фактами совершения злоумышленных действий со стороны пользователя по отношению к информации.

Выдвижение проблемного аспекта достижения надежного уровня защищенности информации на передний план в любой компании подтверждается ростом статьи затрат на разработку и проведение защитных мероприятий. Для того, чтобы достичь надежного уровня защищенности информации с помощью проводимых защитных мероприятий, необходимо вложить значительный объем материальных и финансовых ресурсов. Построение эффективной системы защиты информации подразумевает разработку и построение оптимизационной модели, которая позволит достигнуть заданного уровня защищенности информации за счет минимального расходования предусмотренных в бюджете материальных и финансовых ресурсов. Построение строки бюджета на проведение мероприятий по достижению требуемого уровня защищенности информации необходимо начать с вопроса выявления следующих факторов: 

•              выявить и построить так называемую модель угроз информации; 

•              выяснить вопрос о влиянии каждой из угроз на содержащуюся информацию в информационной системе компании; 

•              какой размер материальных и финансовых ресурсов можно направить на нейтрализацию каждой из угроз.

На первоначальном этапе активного использования персонального компьютера в повседневной жизни в качестве настораживающего фактора на пути достижения надежного уровня защищенности информации  представляли хакеры, которые при помощи телефонной линии и модема несанкционированно получали доступ к информационным ресурсам. На современном этапе развития информационных технологий несанкционированный доступ к информационным ресурсам может быть осуществлен с помощью вредоносного программного обеспечения, компьютерных вирусов, глобальной информационно-телекоммуникационной сети Интернет.

Несанкционированный доступ к информационным ресурсам может быть осуществлен с помощью следующих способов:

•              просмотр;

•              копирование и подмена данных;

•              ввод ложных программ и сообщений в результате подключения к каналам связи;

•              чтение остатков информации на ее носителях;

•              прием сигналов электромагнитного излучения и волнового

характера;

•              использование специальных программ.

Для того, чтобы проводить мероприятия по борьбе с фактическими проявлениями несанкционированного доступа к информационным ресурсам, необходимо разработать, создать и внедрить многоступенчатую непрерывную и управляемую архитектуру безопасности информации. Обязанность по защите информационных ресурсов распространяется не только на информацию конфиденциального содержания. Информационный ресурс выступает в качестве объекта защиты, на который обычно действует совокупность дестабилизирующих факторов. Вид и уровень воздействия дестабилизирующих факторов проявляются по разному, и не могут не зависеть от вида и уровня других, то есть все взаимосвязано.

На практике встречаются такие ситуации, когда вид и уровень взаимодействия имеющихся факторов существенно зависят от влияния других, явно или скрыто усиливающих такие воздействия. В такой ситуации для осуществления мероприятий по защите информационных ресурсов необходимо использовать как независимые с точки зрения эффективности защиты средства, так и взаимозависимые. Для обеспечения надежного уровня безопасности данных, нужно произвести поиск оптимального решения, сочетающего в себе относительно небольшую стоимость защитных мероприятий, некоторые неудобства при проведении мер защиты и значимостью того или иного защищаемого информационного ресурса. На основе детального анализа многочисленных взаимодействующих факторов можно найти разумное и эффективное решение о сбалансированности мер защиты от конкретных источников опасности.