Понятие информационной безопасности. Основные задачи и уровни обеспечения информационной безопасности

ИБ - состояние определённого объекта (в качестве объекта может выступать информация, данные, ресурсы автоматизированной системы, автоматизированная система, информационная система предприятия, общества, государства и т. п.)

Безопасность информации — состояние защищенности информации, обеспечивающее безопасность информации, для обработки которой она применяется, и информационную безопасность автоматизированной информационной системы, в которой она реализована.

Безопасность автоматизированной информационной системы — состояние защищенности автоматизированной системы, при котором обеспечиваются конфиденциальность, доступность, целостность, подотчетность и подлинность её ресурсов.

На сегодняшний день сформулировано три базовых принципа, которые должна обеспечивать информационная безопасность:

• целостность данных — защита от сбоев, ведущих к потере информации, а также зашита от неавторизованного создания или уничтожения данных;
• конфиденциальность информации;
• доступность информации для всех авторизованных пользователей.

Система обеспечения доверия к безопасности информации должна: 1) определять критерии для оценки безопасности существующих и создаваемых систем; 2) собирать доказательства соответствия создаваемых систем этим критериям; 3) формулировать обоснованные предложения по совершенствованию существующих методов и систем обеспечения защищенности, безопасности и достоверности информации в тех случаях, когда они не удовлетворяют имеющимся критериям.

После определения правовых основ безопасности автоматизированных (АС) следует осуществление практических мероприятий по созданию системы обеспечения безопасности информации (ОБИ). Указанные мероприятия включают следующие этапы:

1. Разработка политики безопасности;
2. Проведение анализа рисков;
3. Планирование обеспечения информационной безопасности;
4. Планирование действий в чрезвычайных ситуациях;
5. Подбор механизмов и средств обеспечения информационной безопасности.

Первые два этапа обычно трактуются как выработка политики безопасности и составляют так называемый административный уровень системы ОБИ предприятия.

Третий и четвертый этапы заключаются в разработке процедур безопасности. На этих этапах формируется уровень планирования системы ОБИ.

На последнем этапе практических мероприятий определяется программно-технический уровень системы ОБИ.

Законы и стандарты в области информационной безопасности являются лишь отправным нормативным базисом системы ОБИ информационной системы. Основой практического построения интегрированной системы является создание административного уровня системы, определяющее генеральное направление работ по ОБИ.

Целью административного уровня является разработка программы работ в области информационной безопасности и обеспечение ее выполнения. Программа представляет официальную политику безопасности, отражающую собственный концептуальный подход организации к ОБИ. Конкретизация политики безопасности выражается в планах по информационной защите АС.

Законодательный уровень является важнейшим для обеспечения информационной безопасности. Большинство людей не совершают противоправных действий не потому, что это технически невозможно, а потому, что это осуждается и/или наказывается обществом, потому, что так поступать не принято.

Мы будем различать на законодательном уровне две группы мер: