Основы безопасности информационных технологий

К определению основных понятий в области безопасности информационных технологий и общих целей защиты надо подходить с позиции защиты интересов и законных прав субъектов информационных отношений. Необходимо всегда помнить, что защищать надо именно субъектов информационных отношений, так как в конечном счете именно им, а не самой информации или системам ее обработки может наноситься ущерб. Иными словами, защита информации и систем ее обработки - вторичная задача. Главная задача - это защита интересов субъектов информационных отношений. Такая расстановка акцентов позволяет правильно определять требования к защищенности конкретной информации и систем ее обработки. В соответствии с возможной заинтересованностью различных субъектов информационных отношений существует четыре основных способа нанесения им ущерба посредством разного рода воздействий на информацию и системы ее обработки:

• нарушение конфиденциальности (раскрытие) информации;

• нарушение целостности информации (ее полное или частичное уничтожение, искажение, фальсификация, дезинформация);15

• нарушение (частичное или полное) работоспособности системы. Вывод из строя или неправомерное изменение режимов работы компонентов системы обработки информации, их модификация или подмена могут приводить к получению неверных результатов расчетов, отказам системы от потока информации (непризнанию одной из взаимодействующих сторон факта передачи или приема сообщений) и/или отказам в обслуживании конечных пользователей;

• несанкционированное тиражирование открытой информации (не являющейся конфиденциальной), например, программ, баз данных, разного рода документации, литературных произведений и т.д. в нарушение прав собственников информации, авторских прав и т.п. Информация, обладая свойствами материальных объектов, имеет такую особенность, как неисчерпаемость ресурса, что существенно затрудняет контроль за ее тиражированием.

Защищать АС (с целью защиты интересов субъектов информационных отношений) необходимо не только от несанкционированного доступа (НСД) к хранимой и обрабатываемой в них информации, но и от неправомерного вмешательства в процесс ее функционирования, нарушения работоспособности системы, то есть от любых несанкционированных действий. Защищать необходимо все компоненты АС: оборудование, программы, данные, персонал.

Нормативные акты, регулирующие вопросы в сфере информационных технологий.

Действующее российское законодательство в области ИТ было сформировано в начале и середине 90-х годов прошлого века, когда уровень использования ИТ был невысоким, и за последние пять лет не претерпело сколь-нибудь серьезных изменений. Его можно условно разделить на четыре части:

1. нормативно-правовые акты, регулирующие принципы и основы создания и использования ИТ;

2. нормативно-правовые акты, относящиеся к институту лицензирования и сертификации ИТ;

3. нормативно-правовые акты института интеллектуальной собственности, в рамках которого осуществляется защита прав на практически все существующие виды ИТ;

4. нормативно-правовые акты, регулирующие специальные вопросы создания и использования ИТ в отдельных отраслях экономики, общественной жизни и государственной деятельности;

5. нормативно-правовые акты, регулирующие отношения, связанные с защитой информации при использовании ИТ;

Базовым актом, регулирующим использование ИТ в Российской Федерации, является Федеральный Закон «Об информации, информатизации и защите информации» № 24-ФЗ, принятый Государственной Думой Федерального Собрания Российской Федерации 25 января 1995 года и вступивший в силу 20 февраля 1995 года. Данный закон является системообразующим нормативно-правовым актом и содержит основные юридические дефиниции и принципы, применяемые не только к ИТ, но и ко всем информационным отношениям в Российской Федерации.