Теперь остановимся на основных информационных процессах. 


Мы поможем в написании ваших работ!



ЗНАЕТЕ ЛИ ВЫ?

Теперь остановимся на основных информационных процессах.



Поиск.

Поиск информации - это извлечение хранимой информации.
Методы поиска информации:

 непосредственное наблюдение;

общение со специалистами по интересующему вас вопросу;

чтение соответствующей литературы;

просмотр видео, телепрограмм;

прослушивание радиопередач, аудиокассет;

 работа в библиотеках и архивах;

запрос к информационным системам, базам и банкам компьютерных данных;

 другие методы.

Понять, что искать, столкнувшись с той или иной жизненной ситуацией, осуществить процесс поиска - вот умения, которые становятся решающими на пороге третьего тысячелетия.

 

Сбор и хранение.

    Сбор информации не является самоцелью. Чтобы полученная информация могла использоваться, причем многократно, необходимо ее хранить.
Хранение информации - это способ распространения информации в пространстве и времени.

    Способ хранения информации зависит от ее носителя (книга- библиотека, картина- музей, фотография- альбом).  ЭВМ предназначен для компактного хранения информации с возможностью быстрого доступа к ней.

    Информационная система - это хранилище информации, снабженное процедурами ввода, поиска и размещения и выдачи информации. Наличие таких процедур- главная особенность информационных систем, отличающих их от простых скоплений информационных материалов. Например, личная библиотека, в которой может ориентироваться только ее владелец, информационной системой не является. В публичных же библиотеках порядок размещения книг всегда строго определенный. Благодаря ему поиск и выдача книг, а также размещение новых поступлений представляет собой стандартные, формализованные процедуры.

Передача.

    В процессе передачи информации обязательно участвуют источник и приемник информации: первый передает информацию, второй ее получает. Между ними действует канал передачи информации - канал связи.
    Канал связи - совокупность технических устройств, обеспечивающих передачу сигнала от источника к получателю.

    Кодирующее устройство - устройство, предназначенное для преобразования исходного сообщения источника к виду, удобному для передачи.
    Декодирующее устройство - устройство для преобразования кодированного сообщения в исходное.

    Деятельность людей всегда связана с передачей информации.
В процессе передачи информация может теряться и искажаться: искажение звука в телефоне, атмосферные помехи в радио, искажение или затемнение изображения в телевидении, ошибки при передачи в телеграфе. Эти помехи, или, как их называют специалисты, шумы, искажают информацию. К счастью, существует наука, разрабатывающая способы защиты информации - криптология.

Каналы передачи сообщений характеризуются пропускной способностью и помехозащищенностью.

    Каналы передачи данных делятся на симплексные (с передачей информации только в одну сторону (телевидение)) и дуплексные (по которым возможно передавать информацию в оба направления (телефон, телеграф)). По каналу могут одновременно передаваться несколько сообщений. Каждое из этих сообщений выделяется (отделяется от других) с помощью специальных фильтров. Например, возможна фильтрация по частоте передаваемых сообщений, как это делается в радиоканалах. Пропускная способность канала определяется максимальным количеством символов, передаваемых ему в отсутствии помех. Эта характеристика зависит от физических свойств канала.

    Для повышения помехозащищенности канала используются специальные методы передачи сообщений, уменьшающие влияние шумов. Например, вводят лишние символы. Эти символы не несут действительного содержания, но используются для контроля правильности сообщения при получении.
С точки зрения теории информации все то, что делает литературный язык красочным, гибким, богатым оттенками, многоплановым, многозначным,- избыточность. Например, как избыточно с таких позиций письмо Татьяны к Онегину. Сколько в нем информационных излишеств для краткого и всем понятного сообщения "Я Вас люблю!"

Обработка.

Обработка информации - преобразование информации из одного вида в другой, осуществляемое по строгим формальным правилам.

Примеры обработки информации

Примеры Входная информация Выходная информация Правило        
Таблица умножения Множители Произведение Правила арифметики        
Определение времени полета рейса "Москва-Ялта" Время вылета из Москвы и время прилета в Ялту Время в пути Математическая формула        
Отгадывание слова в игре "Поле чудес" Количество букв в слове и тема Отгаданное слово Формально не определено        
Получение секретных сведений Шифровка от резидента Дешифрованный текст Свое в каждом конкретном случае        
Постановка диагноза болезни Жалобы пациента + результаты анализов Диагноз Знание + опыт врача        

 

Обработка информации по принципу "черного ящика" - процесс, в котором пользователю важна и необходима лишь входная и выходная информация, но правила, по которым происходит преобразование, его не интересуют и не принимаются во внимание.

"Черный ящик" - это система, в которой внешнему наблюдателю доступны лишь информация на входе и на выходе этой системы, а строение и внутренние процессы неизвестны.

 

Использование.

    Информация используется при принятии решений.

 Достоверность, полнота, объективность полученной информации обеспечат вам возможность принять правильное решение.

 Ваша способность ясно и доступно излагать информацию пригодится в общении с окружающими.

 Умение общаться, то есть обмениваться информацией, становится одним главных умений человека в современном мире.
Компьютерная грамотность предполагает:

 знание назначения и пользовательских характеристик основных устройств компьютера;

 Знание основных видов программного обеспечения и типов пользовательских интерфейсов;

 умение производить поиск, хранение, обработку текстовой, графической, числовой информации с помощью соответствующего программного обеспечения.
Информационная культура пользователя включает в себя:

 понимание закономерностей информационных процессов;

 знание основ компьютерной грамотности;

 технические навыки взаимодействия с компьютером;

 эффективное применение компьютера как инструмента;

 привычку своевременно обращаться к компьютеру при решении задач из любой области, основанную на владении компьютерными технологиями;

 применение полученной информации в практической деятельности.

Защита.

Защитой информации называется предотвращение:

доступа к информации лицам, не имеющим соответствующего разрешения (несанкционированный, нелегальный доступ);

 непредумышленного или недозволенного использования, изменения или разрушения информации.

Более подробно о защите информации мы остановимся далее.
    Информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.

Информационно-телекоммуникационная сеть - технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники.

Обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам.

Доступ к информации - возможность получения информации и ее использования.

Электронное сообщение - информация, переданная или полученная пользователем информационно-телекоммуникационной сети.

(иногда можно встретить термин «компьютерная информация» - информация, зафиксированная на машинном носителе или передаваемая по телекоммуникационным каналам в форме, доступной восприятию ЭВМ [Комментарии к УК РФ. Под ред. Скуратова Ю.И. и Лебедева В.М. М.: НОРМА, 1996-832 с.])

Документированная информация - зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или в установленных законодательством Российской Федерации случаях ее материальный носитель.

Особо можно выделить понятие

Конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.

В качестве комментария можно заметить, что это только часть возможных требований или свойств, которые возможны. Например, как будет подчеркнуто далее, можно выделить «целостность информации», «доступность информации» и другое.

Продолжая перечень понятий, выделим из [ГОСТ Р 50922 -96 ] понятие:

защищаемая информация – «информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации».

Однако теперь по№ 149-ФЗ [ Об И, ИТ и о ЗИ] к собственнику информации добавился еще и обладатель информации, защищающий ее ограничением доступа, как сказано в определении.

В новом законе № 149-ФЗ понятие защищаемая информация отсутствует, хотя в старом законе оно было, и говорилось, что «защищаемая информация – любая документированная информация, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю или иному лицу». По-видимому, решили убрать ограничение, связанное с документированностью информации.

Согласно ФЗ № 149-ФЗ, информация в зависимости от категории доступа к ней подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа).

К общедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не ограничен. «Общедоступная информация может использоваться любыми лицами по их усмотрению при соблюдении установленных федеральными законами ограничений в отношении распространения такой информации.

Обладатель информации, ставшей общедоступной по его решению, вправе требовать от лиц, распространяющих такую информацию, указывать себя в качестве источника такой информации».

Кроме того, по закону, информация в зависимости от порядка предоставления или распространения подразделяется на информацию:

1) свободно распространяемую;

2) предоставляемую по соглашению лиц, участвующих в соответствующих отношениях;

3) подлежащую предоставлению или распространению в соответствии с федеральными законами;

4) ограниченную или запрещенную для распространения в Российской Федерации.

 

Закон РФ «О средствах массовой информации», принятый в 1991 году, определяет понятие «массовая информация», как «предназначенные для неограниченного круга лиц печатные, аудиовизуальные и иные сообщения и материалы».

Хотя в новом законе ФЗ № 149-ФЗ нет определения «защищаемая информация», в нем есть определение «защиты информации». (Защиту информации иногда путают с информационной безопасностью.)

«Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:

1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

2) соблюдение конфиденциальности информации ограниченного доступа,

3) реализацию права на доступ к информации».

Это определение, конечно, требует комментария и сравнения с другими определениями из других документов.

В п.1 есть перечисление неправомерных действий, хотя неполное, но информативное.

П. 2 касается только конфиденциальности, хотя можно потребовать и целостность и доступность и другое.

П. 3 некоторым образом все же касается обеспечения доступности информации.

Забегая вперед можно сказать, что это определение в своих пунктах фактически перефразирует требования по целостности, конфиденциальности и доступности информации, о которых будет сказано далее.

Для сравнения приведем ряд других определений, собранных в словаре Парфенова В.И., который вышел в 2003 году.

Защита информации -

1) деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию [ГОСТ Р 50922-96 ЗИ. Основные термины и определения];

2) все средства и функции, обеспечивающие доступность, конфиденциальность или целостность информации или связи, исключая средства и функции, предохраняющие от неисправностей. Она включает криптографию, криптоанализ, защиту от собственного излучения и защиту компьютера [Указ Президента РФ №1268 от 26 авг 1996];

3) комплекс мероприятий проводимых с целью предотвращения утечки, хищения, утраты, несанкционированного уничтожения, изменения, модификации (подделки), несанкционированного копирования, блокирования информации [Положение о госуд. Лицензировании в обл. ЗИ от 27 апр. 1994];

4) организационные, программные и технические методы и средства, направленные на удовлетворение ограничений, установленных для типов данных или экземпляров типов данных в системе обработки данных [Толк. Словарь по информатике, 1991];

Далее отдельно будет рассмотрено понятие «количества информации», которое изучалось и оценивалось многими исследователями (Шеннон, Винера, Бриллюэн и др.). Например, К.Шеннон определял количество информации в сообщении, как «меру неопределенности, которую оно устраняет для получателя». Отсюда путь через неопределенность, случайные величины, энтропию.

К. Шеннон предложил единицу измерения информации — бит. Количество информации описывается формулой вида:

H = - Si=1n pi log pi

где р_i — вероятность появления i-го сигнала; n — количество возможных сигналов. (В обыденном понимании — чем неожиданнее новость, тем больше ее информативность.)

Колмогоров А.Н. в работе «Три подхода к определению понятия «Количество информации» сформулировал три способа определения количества информации: комбинаторный, вероятностный и алгоритмический. [Новое в жизни, науке, технике. Сер. "Математика, кибернетика", N1, 1991, С.24-29 или "Проблемы передачи информации", N1, 1965, С.1-7].

Однако математическая теория информации не охватывает всего богатства содержания информации, поскольку она, прежде всего, абстрагируется от содержательной (семантической) стороны сообщения. С точки зрения этой теории, «совокупность 100 букв, выбранных случайным образом, фраза в 100 слов из газеты, пьесы Шекспира или теорема Эйнштейна имеют в точности одинаковое количество информации». Тем не менее глубокие теоретические и практические результаты были получены, например, в области секретной связи.

Актуальными являются сегодня и понятия «информационная инфраструктура», «критические сегменты информационной инфраструктуры» и др.

Предметом защиты является не только информация. В настоящее время в связи с рассматриваемой областью говорят об активах (ресурсах), а информация рассматривается как их часть.

    В ряде документов активы или ресурсы (assets) – это «все, что имеет ценность для организации» [См. например, ISO/IEC 13335-1:2004]. Стандарт банка России уточняет это определение. В частности, согласно стандарту СТО БР ИББС 1.0-2006, активы организации банковской системы Российской Федерации: “все, что имеет ценность для организации банковской системы Российской Федерации и находится в ее распоряжении ”.

К активам организации (Банка) могут относиться:

- банковские ресурсы (финансовые, людские, вычислительные, телекоммуникационные и пр.);

- информационные активы на следующих фазах их жизненного цикла: генерация (создание), обработка, хранение, передача, уничтожение;

- банковские процессы (банковские платежные технологические процессы, банковские информационные технологические процессы, процессы жизненного цикла автоматизированных банковских систем и др.);

- банковские продукты и услуги.

В свою очередь информационные активы делятся на следующие типы:

финансово - аналитическая информация;

служебная информация;

управляющая информация общего и специального назначения;

справочная информация;

информация операционной и телекоммуникационной среды

платежная информация.

В качестве одного из важнейших активов также рассматривается репутация организации. В последнее время часто оценивается и так называемый брэнд организации или торговой марки.

Все активы организации должны быть идентифицированы и классифицированы удобным и приемлемым для нее образом. Примеры рекомендаций для этого даны в проекте рекомендаций Банка России РС БР ИББС- 2.3-2008.

    Среди объектов защиты особую роль играют приводимые ниже объекты, определение которым мы приводим в данном разделе.

Помимо понятия «информационная система» важно и используются понятия «автоматизированная система», «автоматизированная информационная система» и, в частности, «автоматизированная банковская система».

Автоматизированная система – система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций [ГОСТ 34.003-90]. В зависимости от вида деятельности выделяют виды автоматизированных систем:

АСУ – автоматизированная система управления,

САПР – система автоматизации проектирования, ….

Обращает внимание то, что персонал учитывается при определении автоматизированной системы, в отличие от определения «информационной системы» и следующего определения.

Автоматизированная информационная система – комплекс программных и технических средств, предназначенных для сбора, хранения, поиска и выдачи информации по запросам [Толковый словарь по информатике, М.: Ф и Ст, 1991].

Автоматизированная банковская система: автоматизированная система, реализующая банковский технологический процесс или его часть.

Сразу определим, что такое банковский технологический процесс, упомянутый в определении.

Банковский технологический процесс: технологический процесс, содержащий операции по изменению и(или) определению состояния банковской информации, используемой при функционировании или необходимой для реализации банковских услуг. В зависимости от вида деятельности выделяют: банковский информационный технологический процесс, банковский платежный технологический процесс и др.

Чтобы определить, что такое «информационная безопасность», рассмотрим сначала само понятие «безопасности». Здесь тоже имеет место различие мнений и определений.

Вл. Даль определял, что «безопасность – есть отсутствие опасности, сохранность, надежность».

В толковом словаре русского языка Ожегова С.И. сказано, что «безопасность – состояние, в котором не угрожает опасность, есть защита от опасности».

Закон «О безопасности» 1992 года гласит, что «безопасность – состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз». Появилось новое понятие «угрозы», близкое к понятию «опасности», упоминавшихся у Даля и Ожегова.

Приведем некоторые определения понятия «угрозы» по времени их появления в документах.

1. Угроза - совокупность условий и факторов, создающих опасность жизненноважным интересам личности, общества и государства [ФЗ О безопасности 05.03.1992].

2. Угроза - потенциальный источник возникновения ущерба [ГОСТ Р 51898-2002 п.3.5].

3. Угроза - потенциальная причина инцидента, который может нанести ущерб системе или организации. [ISO/IEC 13335-1:2004]

Как видно появляются новые понятия «инцидента» и «ущерба».

Сначала рассмотрим понятие «инцидент», но не просто, а именно «инцидент информационной безопасности».

Инцидент информационной безопасности (information security incident)[ ГОСТ ИСО/МЭК 13335-1]: Любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность.

В качестве некоторых примеров инцидентов в ГОСТе указаны:

- утрата услуг, оборудования или устройств;

- системные сбои или перегрузки;

- ошибки пользователей;

- несоблюдение политик или рекомендаций;

- нарушение физических мер защиты;

- неконтролируемые изменения систем;

- сбои программного обеспечения и отказы технических средств;

- нарушение правил доступа.

Более сложно понятие «инцидента» определено в стандарте [ ISO/IEC 18044: 2004], через «событие ИБ».

Инцидент - событие, являющееся следствием одного или нескольких нежелательных или неожиданных событий (информационной безопасности), имеющих значительную вероятность компрометации бизнес - операции и создания угрозы.[ ISO/IEC 18044: 2004].

Событием (информационной безопасности) является идентифицированное появление определенного состояния системы, сервиса или сети, указывающего на возможное нарушение политики информационной безопасности или отказ защитных мер, или возникновение неизвестной ранее ситуации, которая может иметь отношение к безопасности.[ ISO/IEC 18044: 2004].

 

В стандарте Банка России понятие «инцидента» распространено на организацию банковской системы РФ.

Инцидент информационной безопасности организации банковской системы Российской Федерации: событие, вызывающее действительное, предпринимаемое или вероятное нарушение информационной безопасности организации банковской системы Российской Федерации.

Нарушение может вызываться либо ошибкой людей, либо неправильным функционированием технических средств, либо природными факторами (например, пожар или наводнение), либо преднамеренными злоумышленными действиями, приводящими к нарушению конфиденциальности, целостности, доступности, учетности или неотказуемости.

 

С инцидентом связано следующее понятие.

Воздействие (impact): Результат нежелательного инцидента информационной безопасности.

 

Говоря об угрозах часто используется понятие «модели угроз», которая, согласно СТО БР ИББС 1.0-2006, «включает описание источников угроз, уязвимостей, используемых угрозами, методов и объектов нападений, пригодных для реализации угрозы, типов возможной потери, масштабов потенциального ущерба».

 

Разберем понятие «модели угроз» по составляющим.     

Источник угроз - субъект, материальный объект или физическое явление, создающее угрозу безопасности информации.

Для источников угроз – людей – разрабатывается модель нарушителя. В модели нарушителя конкретизируются субъекты, их средства, знания и опыт, с помощью которых они могут реализовать угрозы и нанести ущерб объектам, а также мотивации их действий.

Частным видом нарушителя является злоумышленник. Злоумышленник – основной субъект угроз, источник противоборства с собственником в борьбе за активы и доходы.

Уязвимость - недостатки или слабые места активов, которые могут быть использованы угрозой.[СТО БР ИББС-1.0 -2006]. Наличие уязвимости без присутствия угрозы не причиняет ущерба, но все уязвимости должны контролироваться на предмет изменения ситуации. Также и угрозы, не имеющие соответствующих уязвимостей, не приводят к ущербу, но должны учитываться.

Ущерб – физическое повреждение или другой вред здоровью людей, имуществу (активам) или окружающей среде. Количественная величина ущерба не всегда поддается оценке. В этих случаях для оценки ущерба может использоваться качественное описание.

 

Отечественный ГОСТ Р 51898 – 2002 определяет, что «безопасность – отсутствие недопустимого риска». То есть определяет через другое понятие «риска», которое более емко, чем просто понятие «опасности». К тому же упоминается не просто риск, а недопустимый риск. На этом понятие остановимся подробнее.

Риск – сочетание вероятности нанесения ущерба и тяжести этого ущерба [ГОСТ Р 51898-2002 Аспекты безопасности].

В этом [ГОСТ Р 51898-2002 ] также сказано, что термин «риск» обычно используют только тогда, когда существует возможность негативных последствий, а в некоторых ситуациях риск обусловлен возможностью отклонения от ожидаемого результата или события.

Риск – сочетание вероятности события и его последствий.[Guide 73: 2002 Risk Management – Vocabulary – Guidelines for use in standards].

Риск - неопределенность, предполагающая возможность потерь (ущерба) [СТО БР ИББС 0.1-2006].

Следует пояснить суть употребления слова «вероятность» в этих определениях. Об этом подчеркивается, например, и в известном австралийском стандарте AS/NZS 4360:2004 “Risk management”. Вероятность здесь не математическое понятие и число между 0 и 1, а возможность или частота события. Часто вероятность оценивается качественно, например, в терминах «низкая», «средняя», «высокая».

На практике можно встретить следующие виды рисков:

- стратегический риск,

- юридический риск,

- операционный риск,

- репутационный риск,

- рыночный риск,

- кредитный риск,

- инвестиционный риск,

- политический риск,

- проектный риск,

- ИТ - риск,

- риск информационной безопасности,

и другие.

Не вдаваясь здесь в подробное описание всех перечисленных рисков, приведем определение некоторых из важнейших.

Информационный риск (ИТ - риск) — это опасность возникновения убытков или ущерба в результате применения информационных технологий.

Иными словами, IT-риски связаны с созданием, передачей, хранением и использованием информации с помощью электронных носителей и иных средств связи (М. Мур). С информационным риском наиболее связаны операционный риск и риск информационной безопасности.

Операционный риск - риск убытков, связанных с неадекватными либо неудачными внутренними процессами, действиями персонала или систем, а также в связи с внешними событиями. Операционный риск включает в себя юридический риск, но не включает стратегический и репутационный риск.

Это определение из рекомендаций Базель-2 в переводе ЦБ РФ. В подлиннике оно такое.

«Operational risk is defined as:.the risk of direct or indirect loss resulting from inadequate or failed internal processes, people and systems or from external events. This definition includes legal risk. However, strategic and reputational risk is not included in this definition for the purpose of a minimum regulatory operational risk capital charge».

На мой взгляд, лучше следующий перевод.

Операционный риск определяется как риск прямых или косвенных потерь от неадекватных или имеющих недостатки внутренних процессов, людей и систем или от внешних событий.

Суть в том, что персонал – это только часть людей. Внешние злоумышленники сюда не входят.

Это один из примеров сложности перевода англоязычных терминов.

Определение риска информационной безопасности будет далее.

Завершая тему «риска» необходимо дать определение из [ГОСТ Р ИСО/МЭК 17799].

Менеджмент риска (risk management): Скоординированные действия по руководству и управлению организацией в отношении риска.

Примечание - Обычно менеджмент риска включает в себя оценку риска, обработку риска, принятие риска и коммуникация риска.[ISO/IEC Guide 73:2002]

Или

Менеджмент риска (risk management): Полный процесс идентификации, контроля, устранения или уменьшения последствий опасных событий, которые могут оказать влияние на ресурсы информационно-телекоммуникационных технологий.

Это одно из определений, взятое из [ГОСТ Р ИСО/МЭК 13335-1]. Далее вопросу менеджмента или управления рисками будет уделено внимание в отдельном курсе. Там будет нужна целая терминосистема по рискам.

Остаточный риск (residual risk): Риск, остающийся после его обработки.

Анализ риска (risk analysis): систематический процесс определения величины риска.

Оценка риска (risk assessment): процесс, объединяющий идентификацию риска, анализ риска и оценивание риска.

(Оценка риска (risk assessment): общий процесс анализа риска и оценка степени риска. Это определение из [ISO/IEC Guide 73:2002] используется в ГОСТ Р ИСО/МЭК 17799-2005. Там же используется понятие

Оценивание риска (risk evaluation): Процесс сравнения оцененного риска с данными критериями риска с целью определения значимости риска.[ISO/IEC Guide 73:2002]. Это еще один из примеров трудности перевода.

Обработка риска (risk treatment): Процесс выбора и осуществления мер по модификации риска. (Аналогично как в [ISO/IEC Guide 73:2002] и [ГОСТ Р ИСО/МЭК 17799-2005.]) Обработка риска включает: предотвращение, перенос, снижение и принятие риска. После обработки рисков могут оставаться остаточные риски.

Другие элементы терминосистемы по рискам будут рассмотрены отдельно.

Защитная мера (или мера защиты, контрмера, мера контроля) - мера, используемая для уменьшения риска [ГОСТ Р 51898-2002, ISO / IEC Guide 51 ].

Или, по другому, защитная мера (safeguard): сложившаяся практика, процедура или механизм обработки риска. В контексте безопасности информационно-телекоммуникационных технологий термин «защитная мера» может считаться синонимом термина «контроль» [ГОСТ Р ИСО/МЭК 13335-1]

Базовые защитные меры (baseline controls): минимальный набор защитных мер, установленный для системы или организации.[ГОСТ Р ИСО/МЭК 13335-1]. Они соответствуют базовому уровню безопасности (Baseline Security) – обязательный минимальный уровень защищенности для информационных систем. В ряде стран существуют требования к системе защитных мер, соответствующих этому уровню (CCTA Baseline security survey- Великобритания, BSI IT-Grundschutz – Германия, ISACA, …).

Контрмеры базового уровня служат для защиты от стандартного набора наиболее распространенных угроз (вирусы, сбои оборудования, не санкционируемый доступ и т.д.).

В целом средства контроля могут обеспечивать один или несколько из следующих видов защиты: предупреждение, сдерживание, обнаружение, снижение, восстановление, исправление, мониторинг и информированность.

Удобно далее говорить о системе обеспечения безопасности.

Она включает силы и средства обеспечения безопасности, которые действуют и используются на основе разработанных заранее и закрепленных некоторым формальным образом принципов и правил (в виде нормативно-правовых актов, ведомственных инструкций, положений и т.п.).

Можно говорить, что сущность функционирования системы безопасности заключается в выявлении, прогнозировании, предотвращении, нейтрализации, пресечении, локализации, устранении, отражении и уничтожении угроз защищаемому объекту, а также формировании условий, благоприятствующих деятельности данного объекта, достижения им своих целей, защиты его интересов.

Система обеспечения безопасности того или иного объекта решает следующие задачи:

1. Своевременное выявление и прогнозирование внешних и внутренних угроз.

2. Осуществление комплекса оперативных и долговременных мер по предупреждению и нейтрализации внутренних и внешних угроз.

3. Создание и поддержание в готовности сил и средств для обеспечения безопасности.

4. Управление силами и средствами обеспечения безопасности в нормальных (повседневных) условиях и при возникновении чрезвычайных ситуаций.

5. Осуществление системы мер по нормальному функционированию объектов безопасности после возникновения чрезвычайных ситуаций.

6. Участие в мероприятиях по обеспечению безопасности за пределами своего объекта в соответствии с договоренностями (соглашениями) внутри корпорации или объединения фирм (предприятий).

В последнее время все чаще в обиход входит понятие система комплексной безопасности [Тихонов, Райх, Информ безоп, 2006]. Под этим термином понимается совокупность организационных мероприятий и действий подразделений охраны и служб безопасности организаций и автоматизированных систем по защите информации, направленных на обеспечение установленного режима, порядка и правил поведения, предотвращение, обнаружение и ликвидацию угроз жизни, среде обитания, имуществу и информации, а также поддержание работоспособности технических средств и систем на охраняемом объекте с целью ограничения или предотвращения действий нарушителя для осуществления опасных несанкционированных операций на объекте, приводящих к частичному или полному нарушению функционирования данного объекта.

    Фактически в этом определении просто расширен список угроз безопасности.

Говоря о безопасности, уместно вспомнить ФЗ «О техническом регулировании» 2002 года. В нем определена «безопасность продукции, процессов производства, эксплуатации, хранения, перевозки, реализации и утилизации», как «состояние, при котором отсутствует недопустимый риск, связанный с причинением вреда жизни или здоровью граждан, имуществу физических или юридических лиц, государству или муниципальному имуществу, окружающей среде, жизни или здоровью животных и растений».

Перейдем от понятия «безопасность» к понятию «информационная безопасность».

Понятие «информационная безопасность» была нормативно закреплена в качестве самостоятельной составляющей понятия безопасности в ФЗ «О безопасности» в 1992 году.

Далее в 1996 году в ФЗ «Об участии в международном информационном обмене сказано, что «информационная безопасность – состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций и государства». Здесь «информационная среда - сфера деятельности субъектов, связанная с созданием, преобразованием и по треблением информации».

В Доктрине информационной безопасности РФ от 2000 года, это определение приспособлено и уточнено для России. Именно под «информационной безопасностью Российской Федерации» понимается – состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства.

Вообще, обычно понятие «информационной безопасности» (ИБ) надо уточнять – информационная безопасность чего?

В словаре Парфенова В.И. можно встретить определения:

- ИБ автоматизированных систем (АС), ИБ государства, ИБ личности, ИБ мирового сообщества, ИБ новых информационных технологий, ИБ общества, ИБ РФ. Этот список можно продолжать. Приведем здесь только одно из определений.



Поделиться:


Читайте также:




Последнее изменение этой страницы: 2019-12-15; просмотров: 264; Нарушение авторского права страницы; Мы поможем в написании вашей работы!

infopedia.su Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Обратная связь - 54.145.12.28 (0.12 с.)