logo
лекции Войнов

7.1. Основные понятия

Защита информации в автоматизированной информационной системе - это

137

совокупность мероприятий, обеспечивающих предупреждение физического уничтожения информации, ее модификации, искажения или несанкционированного получения.

Защите подлежит не всякая информация, а только имеющая определенную ценность и важность. Конфиденциальной называют информацию, доступ к которой в организации ограничивается. Конфиденциальная информация может содержать государственную или коммерческую тайну. В соответствии с законом Российской Федерации «О государственной тайне» сведениям, представляющим ценность для государства, может быть присвоена одна из трех возможных степеней секретности (гриф секретности): «особой важности», «совершенно секретно», «секретно» (в порядке убывания). Менее важной информации может быть присвоен гриф «для служебного пользования». Для обозначения ценности конфиденциальной коммерческой информации обычно используются категории «коммерческая тайна -строго конфиденциально», «коммерческая тайна». Практика показала, что защищать необходимо не только конфиденциальную информацию. Совокупность несекретных данных в итоге может оказаться секретной. Сводные данные одного уровня секретности в целом могут являться информацией более высокого уровня секретности. Для того чтобы исключить, возможность свободного и произвольного доступа пользователей и персонала к конфиденциальным сведениям, в ЭИС принимаются правила разграничения доступа и создается подсистема разграничения доступа к информации.

Цель мероприятий по защите информации в ЭИС - безопасность информации. Безопасность(защищённость) информации в ЭИС – такое состояние всех компонентов автоматизированной системы, при котором обеспечивается защита информации от возможных угроз на требуемом уровне.

Уровень (класс) защищенности автоматизированной системы - это опреде­ленная совокупность требований по защите информации от несанкционированного доступа. В настоящее время в различных странах приняты стандарты, в которых определены типовые классы защищенности информационных систем и заданы критерии отнесения конкретной автоматизированной системы к тому или иному классу. В России вопросами защиты информации в автоматизированных информационных системах занимается Государственная техническая комиссия при

138

Президенте Российской Федерации (Гостехкомиссия России).

Угроза безопасности информации - действие или событие, которое может привести к разрушению, искажению или несанкционированному использованию (утечке) информационных ресурсов, включая хранимую, передаваемую и обраба­тываемую информацию. Угроза может быть реализована путем непосредственного воздействия на носители информации в ЭИС (бумажные документы, магнитные носители), а также путем косвенного воздействия на компоненты технического, программного обеспечения или персонал ЭИС (см. рис. 7.1).

Рис. 7.1 Понятие угрозы безопасности информации в ЭИС

Количество возможных угроз безопасности информации, а также путей их реализации достаточно велико, поэтому для защиты от этих угроз в автоматизированных системах применяют системы защиты информации. Система защиты информации в автоматизированной системе - это единый комплекс, совокупность взаимосвязанных правовых норм, организационных мер, технических и программных средств, обеспечивающий защищенность информации.

139