Информационная безопасность – это такое состояние информационных ресурсов, при котором обеспечиваются защита конфиденциальности, защита целостности и защита доступности.

Конфиденциальность – это обеспечение доступа к информации только авторизованным пользователям.

Целостность – это обеспечение достоверности и полноты информации, а также методов ее обработки.

Доступность – это обеспечение доступа к информации и связанным с ней активам в любой момент по мере необходимости, если пользователь надлежащим образом авторизован.

Разъяснение 3-х вышеозначенных терминов:

 1. Конфиденциальность: доступ к информации имеет только тот человек, которому обладатель информации предоставил соответствующие полномочия.

2. Целостность: достоверность и полнота, т.е. информация находится в том виде, в котором ее создал обладатель информационных ресурсов.

3. Доступ: лицо, которое имеет допуск к документам, может реализовать свое право в тот момент, когда ему это надо.

4) Рекомендация по стандартизации этого же агентства от 6 апреля 2005 г.:

1. Конфиденциальность – это такое состояние информации, когда доступ к ней имеют только субъекты, имеющие на это право.

2. Целостность – это состояние информации, при котором ее изменение осуществляется только преднамеренно и только теми субъектами, которые имеют на это право.

3. Доступность – это состояние информации, при котором субъекты с правом доступа могут реализовать его беспрепятственно. 

5) Стандарт ИСО/МЭК 13335-1-2006 «Информационная технология. Методы и средства обеспечения безопасности». Утвержден Приказом того же агентства от 19 декабря 2006 №317-СТ. Особенности:

1. Все критерии, связанные с информационной безопасностью, распространяются не только на информацию, но и на средства их обработки.

2. Конфиденциальность – это свойство информации быть недоступной и закрытой для неавторизованного субъекта.

3. Целостность – это свойство сохранения правильности и полноты.

4. Доступность – это свойство объекта находиться в таком состоянии, в котором уполномоченный субъект может в любой момент запросить ее и использовать.

Есть иные дополнительные критерии определения информационной безопасности в этом критерии:

1. Неотказуемость – это способность удостоверять имевшее место действие и событие так, чтобы эти события и действия не могли быть позже отвергнуты.

  2. Подотчетность – это возможность отслеживать любые действия подотчетного субъекта.

3. Аутентичность – это свойство, гарантирующее, что субъект или информация идентичны заявленным, т.е. обладают именно такими свойствами, которые им предписывает владелец.

2 отличия Стандарта:

1. Распространение критериев безопасности на средства обработки информации и на информацию.

2. Добавление такого фактора, как возможность отслеживать действия всех субъектов и возможность устанавливать связь между действиями всех субъектов и изменениями в информации.

Это приводит к отождествлению понятий «средство обработки информации» (носитель информации) и «информация». Это неверно, так как уничтожение носителя не всегда влечет уничтожение информации.

Информационная безопасность (итоговое понятие) – это такое состояние информационных ресурсов субъектов, при котором только лица, уполномоченные самим субъектом, могут осуществлять доступ к ней, и этот доступ является беспрепятственным, при этом в ходе доступа могут быть осуществлены только те полномочия в отношении информационного ресурса, которые были предоставлены его обладателям.

Т.е. для остальных субъектов информация недоступна.

Дополнительным критерием информационной безопасности является возможность субъекта в любой момент получить сведения о том, кто и когда осуществляет доступ к его информационным ресурсам и какие действия при этом осуществляются.

II. Защита информации.

Защита информации – это комплекс правовых, организационных и технических мер, которые направлены на: 1) обеспечение защиты информации от неправомерного доступа, включая уничтожение, модификацию и блокирование, а также от иных неправомерных действий в отношении информации; 2) соблюдение конфиденциальности информации ограниченного доступа; 3) реализация права на доступ к информации.

В ряде определенных законом случаев (государственная тайна и персональные данные) надо, чтобы оператор информационной системы или обладатель информации обеспечил выполнениеследующих условий:

1) Предотвращение несанкционированного доступа к информации, либо предотвращение передачи ее лицам, не имеющим право на доступ.

2) Своевременное обнаружение фактов несанкционированного доступа.

3) Предупреждение возможности неблагоприятных последствий нарушения порядка доступа.

4) Недопущение воздействия на технические средства обработки информации, в результате которых нарушается их функционирование.

5) Возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа.

6) Постоянный контроль за обеспечением уровня защищенности информации.