Угрозы порождают риски.
Рассматриваем проблему с точки зрения выделенных двух классов угроз информационного характера:
угрозы информации (1) и информационные угрозы (2).
Угрозы информации являются первичными для информационной сферы, в целом для решения проблемы информационной безопасности.
Схема формирования ущерба организации за счёт угроз информационной безопасности показана на Рисунке.
Механизм влияния информационных угроз связан с порождением информационных рисков для деятельности объекта информатизации и с ущербом, который наносится объекту, если информационная угроза становится реальным событием. Это событие приносит непосредственный ущерб информационной сфере объекта и одновременно порождает информационную угрозу, которая становится причиной рисков для деятельности организации.
Виды порождаемых рисков связаны с основной деятельностью объекта (риски предпринимательские, финансовые, банковские, производственные и другие) и от степени зависимости организации от своих информационных технологий.
Ущерб от информационных рисков может превышать ущерб от рисков основной деятельности объекта информатизации за счёт дополнительного непосредственного ущерба в информационной сфере (требуется восстановление средств АС, информационных ресурсов и т.д.).
Объекты защиты
В качестве объектов, в интересах или в отношении которых решаются задачи обеспечения информационной безопасности, могут быть любые объекты (субъекты), включаемые в информационную сферу, реализующие информационные технологии и процессы (хранение, обработку, передачу, использование информации) и обеспечивающие реализацию технологий и процессов.
Задача защиты информации
В качестве объектов защиты определяются, прежде всего, информационные объекты (ИО): документы, массивы документов и данных, банки и базы данных, сообщения, отдельные информационные показатели и т.д.
Кроме того, объектами защиты могут быть средства реализации информационных технологий, влияющие, в конечном счете, на состояние информационных объектов:
компьютерные и телекоммуникационные системы;
программы и программные комплексы;
технические устройства и блоки;
автоматизированные рабочие места;
серверы;
компоненты телекоммуникационной среды и т.д.
К категории объектов защиты могут быть отнесены технологические компоненты информационных процессов:
режимы обработки и передачи данных;
функциональные задачи автоматизированных систем обработки данных;
транзакции и команды и т.д.
Интегрированным объектом защиты, как правило, является объект информатизации (организация, предприятие, банк, орган управления и т.д.)
Задача безопасности информации
Субъектами, в интересах которых решаются задачи информационной безопасности, являются непосредственно потребители информации:
В компьютерных и телекоммуникационных системах –
отдельные пользователи.
На объектах информатизации в целом –
руководство объекта;
службы и подразделения;
виды деятельности;
процессы деятельности, в том числе технологические производственные процессы и т.д.
Перечисленные субъекты потребления информации при решении задач безопасности информации рассматриваются как объекты защиты: объекты защиты от деструктивного влияния информации.
Под обобщенным, интегрированным объектом защиты будем понимать объект информатизации в целом (организацию, предприятие, банк, подразделение и т.д.).