Понятие «информация» сегодня употребляется весьма
широко и разносторонне. Трудно найти такую область знаний, где бы оно не
использовалось. Огромные информационные потоки буквально захлестывают
людей. Как и всякий продукт, информация имеет потребителей, нуждающихся в
ней, и потому обладает определенными потребительскими качествами, а
также имеет и своих обладателей или производителей.
С точки зрения потребителя, качество используемой
информации позволяет получать дополнительный экономический или моральный
эффект.
С точки зрения обладателя – сохранение в тайне
коммерчески важной информации позволяет успешно конкурировать на рынке
производства и сбыта товаров и услуг. Это, естественно, требует
определенных действий, направленных на защиту конфиденциальной
информации. При этом под безопасностью понимается состояние защищенности
жизненно важных интересов личности, предприятия, государства от
внутренних и внешних угроз.
При хранении, поддержании и предоставлении доступа к
любому информационному объекту его владелец либо уполномоченное им лицо
накладывает явно либо самоочевидно набор правил по работе с ней.
Умышленное их нарушение классифицируется как атака на информацию.
Каковы возможные последствия атак на информацию? В первую очередь, конечно, это экономические потери.
Раскрытие коммерческой информации может привести к серьезным прямым убыткам на рынке.
Известие о краже большого объема информации обычно
серьезно влияет на репутацию фирмы, приводя косвенно к потерям в объемов
торговых операций.
Фирмы-конкуренты могут воспользоваться кражей
информации, если та осталась незамеченной, для того чтобы полностью
разорить фирму, навязывая ей фиктивные либо заведомо убыточные сделки.
Подмена информации, как на этапе передачи, так и на этапе хранения в фирме может привести к огромным убыткам.
Многократные успешные атаки на фирму, предоставляющую
какой-либо вид информационных услуг, снижают доверие к фирме у клиентов,
что сказывается на объеме доходов.
Как свидетельствует отечественная и зарубежная печать,
злоумышленные действия над информацией не только не уменьшаются, но и
имеют достаточно устойчивую тенденцию к росту.
Защита информации – комплекс мероприятий, направленных
на обеспечение важнейших аспектов информационной безопасности
(целостность, доступность и, если нужно, конфиденциальность информации и
ресурсов, используемых для ввода, хранения, обработки и передачи
данных).
Система называется безопасной, если она, используя
соответствующие аппаратные и программные средства, управляет доступом к
информации так, что только должным образом авторизованные лица или же
действующие от их имени процессы получают право читать, писать,
создавать и удалять информацию.
Абсолютно безопасных систем нет, поэтому говорят о
надежной системе в смысле «система, которой можно доверять» (как можно
доверять человеку). Система считается надежной, если она с
использованием достаточных аппаратных и программных средств обеспечивает
одновременную обработку информации разной степени секретности группой
пользователей без нарушения прав доступа.
Основными критериями оценки надежности являются политика безопасности и гарантированность.
Политика безопасности, являясь активным компонентом
защиты (включает в себя анализ возможных угроз и выбор соответствующих
мер противодействия), отображает тот набор законов, правил и норм
поведения, которым пользуется конкретная организация при обработке,
защите и распространении информации.
Выбор конкретных механизмов обеспечения безопасности
системы производится в соответствии со сформулированной политикой
безопасности.
Гарантированность, являясь пассивным элементом защиты,
отображает меру доверия, которое может быть оказано архитектуре и
реализации системы (другими словами, показывает, насколько корректно
выбраны механизмы, обеспечивающие безопасность системы).
В надежной системе должны регистрироваться все
происходящие события, касающиеся безопасности (должен использоваться
механизм подотчетности протоколирования, дополняющийся анализом
запомненной информации, то есть аудитом). |