Ключевые принципы и факторы информационной безопасности
Факторы, влияющие на информационную безопасность
Под факторами понимают события и явления двух категорий:
- влияющие на процесс обработки информации таким образом, что это может повлечь ухудшение ее качественных характеристик – конфиденциальности, целостности, доступности;
- создающие условия, которые делают риски хищения или модификации информации более или менее вероятными.
Широкий перечень рисков первой категории устанавливается ГОСТ Р 51275-99, который посвящен вопросам защиты данных.
Стандарт предлагает такую классификацию рисков:
- объективные внутренние. К ним относятся передача сигналов по незащищенным линиям связи, наличие электромагнитных, акустических, оптических излучений, которые могут быть перехвачены, дефекты, сбои и отказы оборудования и программ;
- внешние. Это явления техногенного характера, например, электромагнитные излучения, способные повредить информацию, аварии систем обеспечения, стихийные бедствия, термические риски – пожары, биологические – микробы или грызуны;
- субъективные внутренние. Это разглашение информации лицами, имеющими право доступа к ней, передача данных по открытым каналам связи, их обработка на незащищенных технических средствах, публикация информации в СМИ, ее копирование на неучтенный носитель, утеря носителя, любые неправомерные действия с данными – изменение, копирование, использование аппаратных закладок, неправильная защита информации, неправильное выстраивание механизма контроля, ошибки персонала;
- субъективные внешние. Это организация доступа к информации со стороны иностранных или конкурентных разведок, использование специальных средств для внешнего доступа к данным, действия криминальных групп, диверсионная деятельность.[29]
Внедрение тех или иных мер обеспечения информационной безопасности необходимо, чтобы информация из устройств, почты и других источников не могла попасть третьим лицам.
Выделяют 3 основных принципа информационной безопасности:
Целостность информации и данных
Целостность – гарантия того, что информация сейчас существует в ее исходном виде, то есть при ее хранении или передаче не было произведено несанкционированных изменений.
Целостность информации условно подразделяется на статическую и динамическую.
Статическая целостность информации предполагает неизменность информационных объектов от их исходного состояния, определяемого автором или источником информации.
Динамическая целостность информации включает вопросы корректного выполнения сложных действий с информационными потоками, например, анализ потока сообщений для выявления некорректных, контроль правильности передачи сообщений, подтверждение отдельных сообщений и др.
Целостность является важнейшим видом информационной безопасности в тех случаях, когда информация используется для управления различными процессами, например техническими, социальными и т. д.
Конфиденциальность – гарантия доступности конкретной информации только тому кругу лиц, для кого она предназначена.
Конфиденциальность – самый проработанный у нас в стране аспект информационной безопасности. К сожалению, практическая реализация мер по обеспечению конфиденциальности современных информационных систем в России связана с серьезными трудностями. Во-первых, сведения о технических каналах утечки информации являются закрытыми, так что большинство пользователей лишено возможности составить представление о потенциальных рисках. Во-вторых, на пути пользовательской криптографии как основного средства обеспечения конфиденциальности стоят многочисленные законодательные и технические проблемы.
Конфиденциальная информация есть практически во всех организациях. Это может быть технология производства, программный продукт, анкетные данные сотрудников и др. Применительно к вычислительным системам в обязательном порядке конфиденциальными данными являются пароли для доступа к системе.
Доступность – это гарантия получения требуемой информации или информационной услуги пользователем за определенное время.
Роль доступности информации особенно проявляется в разного рода системах управления – производством, транспортом и т. п. Менее драматичные, но также весьма неприятные последствия – и материальные, и моральные – может иметь длительная недоступность информационных услуг, которыми пользуется большое количество людей, например, продажа железнодорожных и авиабилетов, банковские услуги, доступ в информационную сеть Интернет и т. п.
Фактор времени в определении доступности информации в ряде случаев является очень важным, поскольку некоторые виды информации и информационных услуг имеют смысл только в определенный промежуток времени. Например, получение заранее заказанного билета на самолет после его вылета теряет всякий смысл. Точно так же получение прогноза погоды на вчерашний день не имеет никакого смысла, поскольку это событие уже наступило.
Выделение этих трех категорий в качестве базовых составляющих информационной безопасности обусловлено необходимостью реализации комплексного подхода при обеспечении режима информационной безопасности. Кроме этого, нарушение одной из этих категорий может привести к нарушению или полной бесполезности двух других. Например, хищение пароля для доступа к компьютеру (нарушение конфиденциальности) может привести к его блокировке, уничтожению данных (нарушение доступности информации) или фальсификации информации, содержащейся в памяти компьютера (нарушение целостности информации).