Вторая статья первого цикла информационной безопасности будет посвящена краткому обзору основных понятий, касающихся безопасности АСУ. Постараюсь сделать её краткой и изложить весь представленный материал максимально лаконично. Первоначальных вопросов будет 6, в дальнейшем их количество может измениться. Погнали!

Навигация по статье:

Начиная работать в области защиты информации, вам как специалисту в этой области необходимо ориентироваться в руководящей документации, а этой в основном различные стандарты, которые помогут вам уяснять все тонкости вашей профессии. Да, порой это не так интересно, да, хочется не обращать на это внимание, но без ГОСТ’ов, к сожалению, никуда. В них содержится почти вся информация, необходимая для организации безопасности, а также при расследовании инцидентов, связанных с нарушением политики безопасности организации.

Первый стандарт с которым нам придется столкнуться расположен по данной ссылке (Информационная технология (ИТ). Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий.). В данном документе представлены основные понятия безопасности и их взаимосвязь. Приступим к рассмотрению наших вопросов.

1. Определение безопасности

Безопасность. Как часто вам приходится слышать данное слово? Самым простым определением безопасности можно предположить как отсутствие опасностей. Однако, такое определение не совсем корректно отображает текущую реальность. Более точно определение безопасности можно дать следующим образом.

Безопасность - защищенность от опасностей, а вернее защищенность от возможного ущерба, наносимого при возможной реализации любых угроз.

Угрозы могут нанести следующие виды ущерба:

  1. Материальный
  2. Моральный
  3. Физический

Причём субъектом ущерба в конечном счёте всё равно станет человек. Даже если вред был нанесен непосредственно не человеку, то косвенный ущерб прилетит сотруднику организации.

2. Понятия автоматизированной системы и безопасности автоматизированной системы

С самого начала мы оперируем понятием автоматизированная система. При этом мы ни разу не раскрывали данное понятие. Дадим наконец определение данному термину.

Автоматизированная система - организационно-техническая система, которая представляет собой совокупность определенных компонентов, способная выполнять автоматизированную обработку информации с целью удовлетворения информационных потребностей субъектов информационных отношений.

В общем случае можно выделить 4 основных компонента автоматизированной системы:

  1. Технические средства обработки и передачи данных - (всеразличное техническое оборудование, сервера, персональные компьютеры, сетевое оборудование и др.)
  2. Программное обеспечение
  3. Информация, хранящаяся на различных носителях
  4. Персонал - конечные пользователи и обслуживающие организации

Раскрыв понятие автоматизированной системы можно дать понятие безопасности автоматизированной системы.

Безопасность автоматизированной системы - защищенность всех её компонентов от различного рода нежелательного воздействия.

3. Определение информации и информационных ресурсов

При выполнении мероприятий по защите автоматизированной системы мы сталкиваемся с таким понятием как информация, которая является одним из главных компонентов автоматизированной системы. Дадим определение понятию информация и информационные ресурсы

Информация - всевозможные сведения о фактах, событиях, процессах и явлениях, о состояниях объектов в какой-либой определенной предметной области.

На основе информации принимаются те или иные решения, которые помогают оптимизировать процесс управления автоматизированной системой. Информация может иметь различные свойства (о некоторых из них мы поговорим позже), при этом этими свойствами можно управлять для того чтобы получить необходимый нам результат в принятии решений.

Информационные ресурсы - различные отдельные документы, а также наборы (массивы) документов в информационных системах.

4. Категории субъектов информационных отношений

В момент когда происходит взаимодействие с информационными ресурсами, субъекты находятся в разного рода отношениях (касающиеся именно вопросов взаимодействия с информацией). Такие отношения, как некоторые уже догодались, называются информационными отношениями, а субъекты, которые в них участвуют - субъектами информационных отношений.

Существует 3 основные категории субъектов информационных отношений:

  1. Государство - сюда включается как государство в целом, так все его ответвления в виде различных ведомств, органов и организаций.
  2. Юридические лица и объединения.
  3. Физические лица.

Каждый из субъектов информационного взаимодействия по отношению к определенной информации может выступать как источником информации, так и потребителем информации, а в некоторых моментах одновременно принимать обе стороны.

5. Три свойства информационной безопасности - конфиденциальность, целостность, доступность

При рассмотрении свойств информации каждый уважающий себя специалист по защите информации должен помнить 3 главных кита на которых держится безопасность. В английском языке данной тройке даже выделено специальное определение CIA Triad.

railroad

Рассмотрим вкратце каждое из свойств.

  • Конфиденциальность. Свойство информации, позволяющее ограничить круг субъектов, имеющих доступ к информации, а также сохранить данную информацию в тайне от субъектов, не имеющих прав на доступ к таковой информации.

если говорить кратко, то это сохранение в тайне определенной части информации

  • Целостность. Свойство информации, позволяющее существовать данной информации в неискаженном виде (по отношению к некоторому фиксированную состоянию).

  • Доступность. Свойство информации, позволяющее обеспечить своевременный доступ субъектов к интересующей их информации, когда в этом возникает необходимость.

при этом субъекты как вы понимаете должны удовлетворять свойству конфиденциальности, т.е. иметь право на доступ к требуемой информации

6. Цели защиты автоматизированной системы и информации, циркулирующей в АС

Крайний вопрос, который сегодня рассмотрим, касается целей защиты АС и информации, которая находится в АС.

Цель обеспечения безопасности АС - защита субъектов данной АС, которые непосредственно участвуют в процессах информационного взаимодействия, от нанесения им различного рода ущерба (смотри здесь) в результате какого-либо воздействия на информацию и системы АС.

Цель защиты информации, находящейся в АС - предотвращение утечки, искажения, утраты, блокирования или незаконного распространения информации.

Статья получилась небольшой, да и затрагивает в основном теоретические сведения, касающиеся защиты информации в автоматизированной системе. Для себя уже выделил данный материал и понял, что практику придется рассмотривать иным способом. В скором времени буду выкладывать наработки того, что прохожу сам и как отрабатываю практические навыки в этом.

⤧  Next post Необычный взгляд на редактирование текста. Часть I. ⤧  Previous post Проблемы обеспечения безопасности автоматизированных систем