Основні поняття

Дамо кілька визначень. Захист інформації - це кошти забезпечення безпеки інформації. Безпека інформації - захист інформації від витоку, модифікації втрати. Фактично, сфера безпеки інформації - не захист інформації, а захист прав власності її у та інтересів суб'єктів інформаційних відносин. Витік інформації - ознайомлення стороннього особи із вмістом секретної інформації.Модификация інформації - несанкціоноване зміна інформації, коректне за формою і змісту, але інше за змістом. Втрата інформації - фізичним знищенням інформації.

Мета захисту - протидія загрозам безпеки інформації. Загроза безпеки інформації - дію чи подія, що може призвести до руйнації, спотворення чи несанкціонованому використанню інформаційних ресурсів (тобто. до відпливу, модифікації і втрати), включаючи збережену, передану і оброблювану інформацію, і навіть програмні і апаратні кошти. Тож забезпечення безпеки інформації необхідна захист всіх супутніх компонентів інформаційних відносин (тобто. компонентів інформаційних технологій та автоматизованих систем, використовуваних суб'єктами інформаційних відносин):

устаткування (технічних засобів);

програм (програмних засобів);

даних (інформації);

персоналу.

Для цього він у організаціях і відповідних об'єктах будується система захисту. Система захисту - це сукупність (комплекс) спеціальних заходів правового (законодавчого) і адміністративного характеру, організаційних заходів, фізичних і технічних (програмно-апаратних) засобів захисту, і навіть спеціального персоналу, виділені на забезпечення безпеки інформації, інформаційних технологій і автоматизованої системи загалом. Для побудови ефективну систему захисту необхідно провести такі роботи:

1) визначити загрози національній безпеці інформації;

2) виявити можливі канали витікання інформації та несанкціонованого доступу (>НСД) до захищуваних даним;

3) побудувати модель потенційного порушника;

4) вибрати відповідних заходів, методи, механізми і засоби захисту;

5) побудувати замкнуту, комплексну, ефективну система захисту, проектування якої починається з проектування самих автоматизованих систем і технологій.

Під час проектування важливе значення надаєтьсяпредпроектному обстеження об'єкта. І на цій стадії:

встановлюється наявність секретної (конфіденційної) інформацією розроблюваноїАИТУ, оцінюється рівень її конфіденційності і обсяг;

визначаються режими обробки інформації (діалоговий, телеобробка і режим реального часу), склад комплексу технічних засобів тощо.;

аналізується зокрема можливість використання наявних над ринком сертифікованих засобів захисту інформації;

визначається ступінь участі персоналу, функціональних служб, фахівців та допоміжних працівників об'єкта автоматизації у фортепіанній обробці інформації, характер їх взаємодії між собою і з службою безпеки;

визначаються заходи щодо забезпечення режиму таємності на стадії розробки.

До сформування ефективну систему захисту розроблений ряд стандартів. Головне завдання стандартів інформаційну безпеку - створити основу для взаємодії між виробниками, споживачами й американськими експертами кваліфікацією продуктів інформаційних технологій. Кожна з цих груп має інтереси матимуть різні погляди на цю проблему інформаційну безпеку.

Найбільш значимими стандартами інформаційну безпеку є (в хронологічному порядку): Критерії безпеки комп'ютерних систем Міністерства оборони США («Помаранчева книга»), Керівні документиГостехкомиссии Росії, Європейські критерії безпеки інформаційних технологій, Федеральні критерії безпеки інформаційних технологій США, Канадські критерії безпеки комп'ютерних систем і Єдині критерії безпеки інформаційних технологій.