Информационная безопасность
Информационная безопасность-это практика предотвращения несанкционированного доступа, использования, раскрытия, искажения, изменения, исследования или уничтожения информации. Независимо от формы, в которой представлена информация: электронной или физической, главной проблемой в настоящее время является защита ее конфиденциальности, целостности и доступности. Особенно актуальным становится нарушение надлежащего уровня информационной безопасности, которое может произойти в результате действий, направленных на компьютерные системы.
Информационная система сегодня-это совокупность составляющих связанных между собой частей, находящихся в постоянном взаимодействии. Практически каждая составляющая часть может быть подвергнута какому-либо действию извне, а может и просто перестать работать сама по себе.
Автоматизированная информационная система представляет собой соединение из:
- аппаратов-носителей и передатчиков информации. Чаще всего это компьютеры и их составные части (мониторы, дисководы, процессоры);
- программного обеспечения. Это различные программы-исходные и приобретенные, диагностические программы, загрузочные модули, утилиты и тому подобное;
- информации. То, что хранится постоянно или определенный срок, архивы, системные журналы;
- работников. Люди, которые являются обслуживающим персоналом либо пользователями.
Информационная безопасность данных, хранящихся в компьютерной системе, может быть нарушена в результате воздействия: случайного или преднамеренного.
Случайно может произойти в результате:
- различных аварийных ситуаций;
- отказе в работе аппаратуры;
- ошибочных действий работников;
- ошибок в работе программ.
Преднамеренно информационная безопасность нарушается в результате того, что человек, имеющий доступ к компьютеру, по различным мотивам поведения, сознательно совершает действия.
Эти действия называют несанкционированным доступом, следствием которого являются хищение, уничтожение либо искажение информации.
Может быть осуществлено:
- непосредственно действиями человека: прочитать информацию, похитить носитель;
- с использованием программ: узнать пароль, скопировать на другой носитель;
- с подключением специальных аппаратов: получить доступ к информации, перехватить электромагнитные излучения от сетей питания, линий связи.
Поэтому информационная безопасность находится в зоне особого внимания, если идет речь о данных, находящихся в компьютерных системах. Опасность вызвана тем, что можно оказать воздействие на защиту, находясь за тысячи километров от компьютера-носителя этой информации.
Отсюда возникает задача по обеспечению информационной безопасности.
На решение этой проблемы влияют:
- нормы законов, подзаконные акты, стандарты;
- нормы морали: формирование нравственных критериев, несоблюдение которых влечет осуждение обществом как людей, так и организаций:
- управленческие действия: осуществляются в пределах организации руководством и направлены на сохранение информации;
- физические действия: создаются физические и механические препятствия, направленные на предотвращение несанкционированного допуска к информации;
- аппараты и программы: они ограничивают допуск нарушителей к источнику информации.
Надлежащую организацию системы защиты информационной безопасности, а также осуществляют таким образом, чтобы она была:
- эффективна и проста в использовании;
- гибкой–ее можно легко изменять под новые нужды;
- обеспечена ответственностью тех, кто ее разрабатывает;
- направлена на защиту всей информации, а не на часть;
- легко изменяемой человеком в самых важных случаях, но не самостоятельно;
- скрыта от пользователей;
- отключалась в тревожных случаях.
Помимо организации системы защиты имеет значение и аппаратно-программные средства защиты информации. Они представляют собой системы:
- идентификации пользователей-направлена на ограничение доступа нарушителя путем получения информации, позволяющей идентифицировать пользователя;
- шифрования дисковых данных-направлена на преобразование данных- криптография, в результате чего происходят криптографические преобразования на уровне файлов или дисков;
- шифрования данных, передаваемых по сетям-направлена на шифрование: канальное, когда защищается вся передаваемая информация и оконечное, когда защищается только передаваемая информация, а вся служебная остается открытой;
- аутентификации или проверки подлинности пользователя-направлена на использование электронной цифровой подписи либо на имитовставку, проверяемую получателем информации;
управления криптографическими ключами-направлено на сохранение безопасности криптосистемы путем использования функций управления ключами.