Garantire la sicurezza delle informazioni. Fondamenti della sicurezza delle informazioni La sicurezza delle informazioni è garantita

Le tecnologie informatiche in rapido sviluppo stanno apportando cambiamenti significativi alle nostre vite. Le informazioni sono diventate una merce che può essere acquistata, venduta e scambiata. Inoltre, il costo delle informazioni è spesso centinaia di volte superiore al costo del sistema informatico in cui sono archiviate.

Dal grado di sicurezza tecnologie dell'informazione Attualmente dipende il benessere e talvolta anche la vita di molte persone. Questo è il prezzo da pagare per la crescente complessità e la capillare diffusione dei sistemi automatizzati di elaborazione delle informazioni.

Sotto sicurezza delle informazioni la sicurezza è compresa sistema informativo da interferenze accidentali o intenzionali che causano danni ai proprietari o agli utenti delle informazioni.

In pratica, tre aspetti della sicurezza delle informazioni sono più importanti:

  • disponibilità(la capacità di ottenere il servizio informativo richiesto in un tempo ragionevole);
  • integrità(pertinenza e coerenza delle informazioni, loro protezione dalla distruzione e dalle modifiche non autorizzate);
  • riservatezza(protezione dalla lettura non autorizzata).

Le violazioni della disponibilità, dell'integrità e della riservatezza delle informazioni possono essere causate da vari impatti pericolosi sulle informazioni sistemi informatici.

Principali minacce alla sicurezza informatica

Un moderno sistema informativo è un sistema complesso costituito da un gran numero di componenti con vari gradi di autonomia che sono interconnessi e si scambiano dati. Quasi ogni componente può essere esposto a influenze esterne o guastarsi. I componenti di un sistema informativo automatizzato possono essere suddivisi nei seguenti gruppi:

  • hardware- computer e loro componenti (processori, monitor, terminali, periferiche- unità disco, stampanti, controller, cavi, linee di comunicazione, ecc.);
  • software- programmi acquistati, sorgenti, oggetti, moduli di caricamento; sistemi operativi e programmi di sistema (compilatori, linker, ecc.), utilità, programmi di diagnostica, ecc.;
  • dati- conservati, temporaneamente e permanentemente, su supporti magnetici, cartacei, archivi, log di sistema, ecc.;
  • personale- personale operativo e utenti.

Gli impatti pericolosi su un sistema informativo informatico possono essere suddivisi in accidentali e intenzionali. Un’analisi dell’esperienza nella progettazione, produzione e funzionamento dei sistemi informativi mostra che le informazioni sono soggette a varie influenze casuali in tutte le fasi del ciclo di vita del sistema. Ragioni influenze casuali durante il funzionamento possono verificarsi:

  • emergenze dovute a calamità naturali e interruzioni di corrente;
  • guasti e malfunzionamenti delle apparecchiature;
  • errori del software;
  • errori nel lavoro del personale;
  • interferenze nelle linee di comunicazione dovute a influenze ambientali.

Impatti intenzionali- Queste sono azioni mirate dell'autore del reato. L'autore del reato può essere un dipendente, un visitatore, un concorrente o un mercenario. Le azioni dell'autore del reato possono essere dovute a vari motivi:

  • insoddisfazione dei dipendenti rispetto alla propria carriera;
  • tangente;
  • curiosità;
  • concorrenza;
  • il desiderio di affermarsi ad ogni costo.

Puoi creare un modello ipotetico di un potenziale trasgressore:

  • qualifica dell'autore del reato a livello di sviluppatore di questo sistema;
  • il violatore può essere un esterno o un utente legittimo del sistema;
  • l'autore del reato conosce informazioni sui principi di funzionamento del sistema;
  • l'autore del reato sceglie l'anello più debole della difesa.

Il tipo più comune e diversificato di violazioni informatiche è accesso non autorizzato(NSD). NSD sfrutta qualsiasi errore nel sistema di sicurezza ed è possibile a causa di una scelta irrazionale dei mezzi di sicurezza, della loro installazione e configurazione errate.

Classifichiamo i canali informativi non discriminatori attraverso i quali le informazioni possono essere rubate, modificate o distrutte:

  • Attraverso una persona:
    • furto di supporti di memorizzazione;
    • leggere le informazioni dallo schermo o dalla tastiera;
    • leggere le informazioni da una stampa.
  • Attraverso il programma:
    • intercettazione password;
    • decrittografia delle informazioni crittografate;
    • copiare informazioni da supporti di memorizzazione.
  • Tramite attrezzatura:
    • connessione di hardware appositamente progettato che fornisce l'accesso alle informazioni;
    • intercettazione laterale radiazione elettromagnetica da apparecchiature, linee di comunicazione, reti di alimentazione, ecc.

Particolare attenzione dovrebbe essere prestata alle minacce a cui possono essere esposte le reti informatiche. La caratteristica principale di qualsiasi rete di computer è che i suoi componenti sono distribuiti nello spazio. La comunicazione tra i nodi della rete viene effettuata fisicamente utilizzando le linee di rete e programmaticamente utilizzando un meccanismo di messaggi. In questo caso, i messaggi di controllo e i dati scambiati tra i nodi della rete vengono trasmessi sotto forma di pacchetti di scambio. Reti informatiche caratterizzato dal fatto che il cosiddetto attacchi remoti. L'intruso può trovarsi a migliaia di chilometri dall'oggetto attaccato e può essere attaccato non solo un computer specifico, ma anche le informazioni trasmesse sui canali di comunicazione di rete.

Garantire la sicurezza delle informazioni

La formazione di un regime di sicurezza delle informazioni è un problema complesso. Le misure per risolverlo possono essere suddivise in cinque livelli:

  1. legislativo (leggi, regolamenti, norme, ecc.);
  2. morale ed etico (tutti i tipi di standard di comportamento, il cui mancato rispetto porta a un calo del prestigio di una determinata persona o di un'intera organizzazione);
  3. amministrativo (azioni generali intraprese dalla direzione dell'organizzazione);
  4. fisici (ostacoli meccanici, elettromeccanici ed elettronico-meccanici sulle possibili vie di accesso di potenziali intrusi);
  5. hardware-software ( dispositivi elettronici e programmi speciali di sicurezza delle informazioni).

Un insieme unico di tutte queste misure volte a contrastare le minacce alla sicurezza al fine di ridurre al minimo la possibilità di danni sistema di protezione.

Un sistema di protezione affidabile deve rispettare i seguenti principi:

  • Il costo dei dispositivi di protezione dovrebbe essere inferiore all’entità del possibile danno.
  • Ogni utente deve disporre del set minimo di privilegi richiesti per operare.
  • Quanto più efficace è la protezione, tanto più facile sarà per l'utente lavorarci.
  • Possibilità di spegnimento in caso di emergenza.
  • Gli specialisti coinvolti nel sistema di protezione devono comprendere appieno i principi del suo funzionamento e, in caso di situazioni difficili, rispondere adeguatamente ad essi.
  • L'intero sistema di elaborazione delle informazioni deve essere protetto.
  • Gli sviluppatori del sistema di sicurezza non dovrebbero essere tra coloro che questo sistema controllerà.
  • Il sistema di sicurezza deve fornire evidenza del corretto funzionamento.
  • Le persone coinvolte nel garantire la sicurezza delle informazioni devono assumersi la responsabilità personale.
  • Si consiglia di dividere gli oggetti protetti in gruppi in modo che una violazione della protezione in uno dei gruppi non pregiudichi la sicurezza degli altri.
  • Un sistema di sicurezza affidabile deve essere completamente testato e coerente.
  • La protezione diventa più efficace e flessibile se consente all'amministratore di modificarne i parametri.
  • I sistemi di sicurezza devono essere progettati partendo dal presupposto che gli utenti commetteranno gravi errori e generalmente avranno le peggiori intenzioni.
  • Le decisioni più importanti e critiche devono essere prese dagli esseri umani.
  • L'esistenza di meccanismi di sicurezza dovrebbe essere nascosta, se possibile, agli utenti il ​​cui lavoro viene monitorato.

Hardware e software per la sicurezza delle informazioni

Nonostante il fatto che i moderni sistemi operativi per personal computer, come Windows 2000, Windows XP e Windows NT, hanno i propri sottosistemi di sicurezza, rimane l'importanza di creare strumenti di sicurezza aggiuntivi. Il fatto è che la maggior parte dei sistemi non è in grado di proteggere i dati che si trovano al di fuori di essi, ad esempio durante lo scambio di informazioni in rete.

Gli strumenti hardware e software per la sicurezza delle informazioni possono essere suddivisi in cinque gruppi:

  1. Sistemi di identificazione (riconoscimento) e di autenticazione (autenticazione) dell'utente.
  2. Sistemi di crittografia dei dati su disco.
  3. Sistemi di crittografia per i dati trasmessi su reti.
  4. Sistemi di autenticazione elettronica dei dati.
  5. Strumenti di gestione delle chiavi crittografiche.

1. Sistemi di identificazione e autenticazione degli utenti

Vengono utilizzati per limitare l'accesso di utenti casuali e illegali alle risorse del sistema informatico. L'algoritmo generale per il funzionamento di tali sistemi consiste nell'ottenere informazioni di identificazione dall'utente, verificarne l'autenticità e quindi fornire (o non fornire) a questo utente la possibilità di lavorare con il sistema.

Nella realizzazione di questi sistemi si pone il problema della scelta delle informazioni sulla base delle quali vengono effettuate le procedure di identificazione e autenticazione dell'utente. Si possono distinguere le seguenti tipologie:

  • informazioni segrete di cui dispone l'utente (password, chiave segreta, identificatore personale, ecc.); l'utente deve ricordare queste informazioni oppure possono essere utilizzati mezzi di memorizzazione speciali;
  • parametri fisiologici di una persona (impronte digitali, modelli dell'iride, ecc.) o caratteristiche comportamentali (caratteristiche del lavoro su una tastiera, ecc.).

Vengono considerati i sistemi basati sul primo tipo di informazioni tradizionale. Vengono chiamati i sistemi che utilizzano il secondo tipo di informazioni biometrico. Va notato che esiste una tendenza emergente di sviluppo accelerato sistemi biometrici identificazione.

2. Sistemi di crittografia dei dati su disco

Per rendere le informazioni inutili a un avversario, una serie di metodi di trasformazione dei dati chiamati crittografia[dal greco kryptos- nascosto e grafo- Sto scrivendo].

I sistemi di crittografia possono eseguire trasformazioni crittografiche dei dati a livello di file o a livello di disco. I programmi del primo tipo includono archiviatori come ARJ e RAR, che consentono l'uso di metodi crittografici per proteggere i file di archivio. Un esempio del secondo tipo di sistema è il programma di crittografia Diskreet, parte del popolare pacchetto software Norton Utilities, Best Crypt.

Un'altra caratteristica di classificazione dei sistemi di crittografia dei dati su disco è il metodo del loro funzionamento. Secondo il metodo di funzionamento, i sistemi di crittografia dei dati del disco sono divisi in due classi:

  • sistemi di crittografia “trasparenti”;
  • sistemi specificatamente chiamati ad eseguire la cifratura.

Nei sistemi di crittografia trasparente (crittografia al volo), le trasformazioni crittografiche vengono eseguite in tempo reale, senza che l'utente se ne accorga. Ad esempio, un utente scrive un documento preparato in un editor di testo su un disco protetto e il sistema di sicurezza lo crittografa durante il processo di scrittura.

I sistemi di seconda classe sono solitamente utilità che devono essere chiamate specificamente per eseguire la crittografia. Questi includono, ad esempio, archiviatori con protezione tramite password integrata.

La maggior parte dei sistemi che offrono l'impostazione di una password per un documento non crittografano le informazioni, ma richiedono solo una password quando si accede al documento. Tali sistemi includono MS Office, 1C e molti altri.

3. Sistemi di crittografia dei dati trasmessi sulle reti

Esistono due metodi di crittografia principali: crittografia del canale e crittografia del terminale (abbonato).

Nel caso crittografia del canale Tutte le informazioni trasmesse tramite il canale di comunicazione, comprese le informazioni di servizio, sono protette. Questo metodo di crittografia presenta il seguente vantaggio: incorporare le procedure di crittografia nel livello di collegamento dati consente l'uso dell'hardware, che aiuta a migliorare le prestazioni del sistema. Tuttavia, questo approccio presenta anche notevoli svantaggi:

  • la crittografia dei dati di servizio complica il meccanismo di instradamento dei pacchetti di rete e richiede la decrittografia dei dati nei dispositivi di comunicazione intermedi (gateway, ripetitori, ecc.);
  • la crittografia delle informazioni di servizio può portare alla comparsa di modelli statistici nei dati crittografati, che influiscono sull'affidabilità della protezione e impongono restrizioni sull'uso di algoritmi crittografici.

Crittografia del terminale (abbonato). consente di garantire la riservatezza dei dati trasmessi tra due abbonati. In questo caso viene protetto solo il contenuto dei messaggi, tutte le informazioni di servizio rimangono aperte. Lo svantaggio è la capacità di analizzare informazioni sulla struttura dello scambio di messaggi, come mittente e destinatario, tempo e condizioni di trasmissione dei dati e quantità di dati trasmessi.

4. Sistemi di autenticazione elettronica dei dati

Quando si scambiano dati sulle reti si pone il problema di autenticare l'autore del documento e il documento stesso, ovvero accertando l'autenticità dell'autore e controllando che non vi siano modifiche nel documento ricevuto. Per autenticare i dati viene utilizzato un codice di autenticazione del messaggio (imita l'inserimento) oppure una firma elettronica.

Imitovstak generato dai dati semplici attraverso una speciale trasformazione crittografica utilizzando una chiave segreta e trasmesso sul canale di comunicazione alla fine dei dati crittografati. L'inserimento dell'impersonificazione viene verificato dal destinatario, che detiene la chiave segreta, ripetendo la procedura precedentemente eseguita dal mittente sui dati pubblici ricevuti.

Firma digitale elettronica rappresenta una quantità relativamente piccola di informazioni di autenticazione aggiuntive trasmesse insieme al testo firmato. Il mittente genera una firma digitale utilizzando la chiave privata del mittente. Il destinatario verifica la firma utilizzando la chiave pubblica del mittente.

Pertanto, per implementare le imitazioni, vengono utilizzati i principi della crittografia simmetrica e per implementare una firma elettronica, viene utilizzata la crittografia asimmetrica. Studieremo questi due sistemi di crittografia più dettagliatamente in seguito.

5. Strumenti di gestione delle chiavi crittografiche

La sicurezza di qualsiasi sistema crittografico è determinata dalle chiavi crittografiche utilizzate. Se la gestione delle chiavi non è sicura, un utente malintenzionato potrebbe ottenere informazioni chiave e ottenere pieno accesso a tutte le informazioni su un sistema o una rete.

Si distinguono i seguenti tipi di funzioni di gestione delle chiavi: generazione, archiviazione e distribuzione delle chiavi.

Metodi generazione di chiavi per i crittosistemi simmetrici e asimmetrici sono diversi. Per generare chiavi di crittosistemi simmetrici vengono utilizzati strumenti di generazione hardware e software numeri casuali. La generazione delle chiavi per i sistemi crittografici asimmetrici è più complessa, poiché le chiavi devono avere determinate proprietà matematiche. Ci soffermeremo su questo problema in modo più dettagliato quando studieremo i crittosistemi simmetrici e asimmetrici.

Funzione magazzinaggio implica l'organizzazione dell'archiviazione sicura, la registrazione e la cancellazione delle informazioni chiave. Per garantire l'archiviazione sicura delle chiavi, queste vengono crittografate utilizzando altre chiavi. Questo approccio porta al concetto di gerarchia delle chiavi. La gerarchia delle chiavi include in genere una chiave master (ovvero una chiave master), una chiave di crittografia della chiave e una chiave di crittografia dei dati. Va notato che la generazione e l'archiviazione della chiave principale rappresentano un problema critico nella sicurezza crittografica.

Distribuzione- il processo più critico nella gestione delle chiavi. Questo processo deve garantire la riservatezza delle chiavi distribuite, oltre ad essere rapido e accurato. Le chiavi vengono distribuite tra gli utenti della rete in due modi:

  • utilizzando lo scambio diretto di chiavi di sessione;
  • utilizzando uno o più centri di distribuzione chiave.

Elenco dei documenti

  1. SUI SEGRETI DI STATO. Legge Federazione Russa del 21 luglio 1993 n. 5485-1 (come modificata dalla legge federale n. 131-FZ del 6 ottobre 1997).
  2. INFORMAZIONI, INFORMAZIONI E PROTEZIONE DELLE INFORMAZIONI. Legge federale della Federazione Russa del 20 febbraio 1995 n. 24-FZ. Adottato dalla Duma di Stato il 25 gennaio 1995.
  3. SULLA TUTELA GIURIDICA DEI PROGRAMMI PER MACCHINE DI CALCOLO ELETTRONICHE E DELLE BANCHE DI DATI. Legge della Federazione Russa del 23 febbraio 1992 n. 3524-1.
  4. LA FIRMA DIGITALE ELETTRONICA. Legge federale della Federazione Russa del 10 gennaio 2002 n. 1-FZ.
  5. SUL COPYRIGHT E DIRITTI CONNESSI. Legge della Federazione Russa del 9 luglio 1993 n. 5351-1.
  6. SULLE COMUNICAZIONI E GLI ORGANI DI INFORMAZIONE DEL GOVERNO FEDERALE. Legge della Federazione Russa (modificata dal Decreto del Presidente della Federazione Russa del 24 dicembre 1993 n. 2288; Legge federale del 7 novembre 2000 n. 135-FZ.
  7. Regolamento sull'accreditamento dei laboratori di prova e degli organismi di certificazione delle apparecchiature di sicurezza delle informazioni secondo i requisiti di sicurezza delle informazioni / Commissione tecnica statale sotto la Presidenza della Federazione Russa.
  8. Istruzioni sulla procedura per la marcatura dei certificati di conformità, delle loro copie e dei mezzi di certificazione della sicurezza delle informazioni / Commissione tecnica statale sotto il Presidente della Federazione Russa.
  9. Regolamento sulla certificazione degli oggetti di informatizzazione secondo i requisiti di sicurezza delle informazioni / Commissione tecnica statale sotto il Presidente della Federazione Russa.
  10. Regolamento sulla certificazione dei mezzi di sicurezza delle informazioni secondo i requisiti di sicurezza delle informazioni: con integrazioni in conformità al decreto del governo della Federazione Russa del 26 giugno 1995 n. 608 "Sulla certificazione dei mezzi di sicurezza delle informazioni" / Commissione tecnica statale sotto il Presidente di la Federazione Russa.
  11. Regolamento sulle licenze statali per le attività nel campo della sicurezza informatica / Commissione tecnica statale sotto il Presidente della Federazione Russa.
  12. Sistemi automatizzati. Protezione contro l'accesso non autorizzato alle informazioni. Classificazione dei sistemi automatizzati e requisiti per la protezione delle informazioni: documento guida / Commissione tecnica statale sotto il Presidente della Federazione Russa.
  13. Il concetto di protezione delle apparecchiature informatiche e dei sistemi automatizzati dall'accesso non autorizzato alle informazioni: documento guida / Commissione tecnica statale sotto la presidenza della Federazione Russa.
  14. Strutture informatiche. Firewall. Protezione contro l'accesso non autorizzato alle informazioni. Indicatori di sicurezza contro l'accesso non autorizzato alle informazioni: documento guida / Commissione tecnica statale sotto la presidenza della Federazione Russa.
  15. Strutture informatiche. Protezione contro l'accesso non autorizzato alle informazioni. Indicatori di sicurezza contro l'accesso non autorizzato alle informazioni: documento guida / Commissione tecnica statale sotto la presidenza della Federazione Russa.
  16. Protezione delle informazioni. Segnali protettivi speciali. Classificazione e requisiti generali: Documento guida/Commissione tecnica statale sotto la Presidenza della Federazione Russa.
  17. Protezione contro l'accesso non autorizzato alle informazioni. Termini e definizioni: Documento guida / Commissione tecnica statale sotto il Presidente della Federazione Russa.

Nella vita di tutti i giorni, la sicurezza informatica (SI) è spesso intesa solo come la necessità di contrastare la fuga di segreti e la diffusione di informazioni false e ostili. Tuttavia, questa comprensione è molto ristretta. Esistono molte definizioni diverse di sicurezza delle informazioni, che mettono in risalto le sue proprietà individuali.

Nella legge federale non più in vigore “Sull’informazione, l’informatizzazione e la protezione delle informazioni” ai sensi sicurezza delle informazioni inteso lo stato di sicurezza dell'ambiente informativo della società, garantendone la formazione e lo sviluppo nell'interesse dei cittadini, delle organizzazioni e dello Stato.

Altre fonti forniscono le seguenti definizioni:

Sicurezza delle informazioni- Questo

1) un insieme di misure organizzative e tecniche che garantiscono l'integrità dei dati e la riservatezza delle informazioni unita alla loro disponibilità a tutti gli utenti autorizzati;

2) indicatore che riflette lo stato di sicurezza del sistema informativo;

3) statosicurezza dell’ambiente informativo;

4) uno Stato che garantisce la sicurezza delle risorse e dei canali informativi,nonché l'accesso alle fonti di informazione.

V.I. Yarochkin ci crede sicurezza delle informazioni C'è lo stato di sicurezza delle risorse informative, delle tecnologie per la loro formazione e utilizzo, nonché i diritti dei soggetti delle attività di informazione.

Una definizione abbastanza completa è data da V. Betelin e V. Galatenko, che lo credono

In questo tutorial faremo affidamento sulla definizione di cui sopra.

La sicurezza delle informazioni non si limita alla protezione delle informazioni e alla sicurezza informatica. È necessario distinguere la sicurezza delle informazioni dalla protezione delle informazioni.

A volte la sicurezza delle informazioni si riferisce alla creazione nei computer e nei sistemi informatici di un insieme organizzato di mezzi, metodi e misure progettati per prevenire la distorsione, la distruzione o l'uso non autorizzato delle informazioni protette.

Le misure per garantire la sicurezza delle informazioni devono essere attuate in diversi ambiti - politica, economia, difesa, nonché a vari livelli - statale, regionale, organizzativo e personale. Pertanto, i compiti di sicurezza delle informazioni a livello statale differiscono dai compiti di sicurezza delle informazioni a livello organizzativo.

L'oggetto dei rapporti informativi può subire (subire perdite materiali e/o morali) non solo da un accesso non autorizzato alle informazioni, ma anche da un guasto del sistema che provoca un'interruzione del lavoro. La sicurezza delle informazioni non dipende solo dai computer, ma anche dall'infrastruttura di supporto, che comprende sistemi di fornitura elettrica, idrica e termica, condizionatori d'aria, comunicazioni e, ovviamente, personale di manutenzione. Sostenere le infrastrutture ha il suo valore, la cui importanza non può essere sopravvalutata.

Dopo gli eventi dell’11 settembre 2001, la legislazione statunitense, in conformità al Patriot Act, ha definito il concetto di “infrastruttura critica”, intesa come “un insieme di sistemi e strutture fisici o virtuali che sono importanti per gli Stati Uniti per a tal punto che il loro fallimento o la loro distruzione potrebbero portare a conseguenze disastrose nei settori della difesa, dell’economia, della salute e della sicurezza della nazione”. Il concetto di infrastruttura critica copre aree chiave dell’economia e dell’economia nazionale degli Stati Uniti come la difesa nazionale, agricoltura, produzione alimentare, aviazione civile, trasporto marittimo, autostrade e ponti, tunnel, dighe, condutture, approvvigionamento idrico, assistenza sanitaria, servizi di emergenza, governo, produzione militare, sistemi e reti di informazione e telecomunicazioni, energia, trasporti, sistemi bancari e finanziari, prodotti chimici industria, servizio postale.

In termini sociali, la sicurezza delle informazioni implica la lotta contro l’“inquinamento” informativo dell’ambiente e l’uso delle informazioni per scopi illegali e immorali.

Inoltre, gli oggetti dell'influenza delle informazioni e, di conseguenza, della sicurezza delle informazioni possono essere la coscienza pubblica o individuale.

A livello statale, i soggetti della sicurezza informatica sono le autorità esecutive, legislative e giudiziarie. I singoli dipartimenti hanno creato organismi che si occupano specificamente della sicurezza delle informazioni.

Inoltre, i soggetti della sicurezza informatica possono essere:

Cittadini e associazioni pubbliche;

Media;

Imprese e organizzazioni indipendentemente dalla loro forma di proprietà.

Interessi I soggetti SI legati all'utilizzo dei sistemi informativi possono essere suddivisi nelle seguenti principali categorie:

Disponibilità- la capacità di ottenere il servizio informativo richiesto in tempi ragionevoli. I sistemi informativi vengono creati (acquisiti) per ottenere determinati servizi informativi (servizi). Se per un motivo o per l'altro diventa impossibile per gli utenti ricevere questi servizi, ciò causa un danno a tutti i soggetti dei rapporti informativi. Il ruolo guida dell’accessibilità è particolarmente evidente in diverse tipologie di sistemi di gestione: produzione, trasporti, ecc. Pertanto, senza contrapporre l’accessibilità ad altri aspetti, l’accessibilità è l’elemento più importante della sicurezza delle informazioni.

Integrità- pertinenza e coerenza delle informazioni, la loro protezione dalla distruzione e dalle modifiche non autorizzate. L'integrità può essere divisa in statica (intesa come immutabilità degli oggetti informativi) e dinamica (relativa alla corretta esecuzione di azioni complesse (transazioni)). Quasi tutto documenti normativi E sviluppi interni riguardano l’integrità statica, sebbene l’aspetto dinamico non sia meno importante. Un esempio di applicazione dei controlli dinamici di integrità è l'analisi del flusso di messaggi finanziari al fine di individuare furti, riordini o duplicazioni di singoli messaggi.

Riservatezza- protezione da accessi non autorizzati. La riservatezza è tutelata dalle leggi, dai regolamenti e dall'esperienza pluriennale dei relativi servizi. I prodotti hardware e software consentono di chiudere quasi tutti i potenziali canali di fuga di informazioni.

Bersaglio attività nel campo della sicurezza informatica - tutela degli interessi dei soggetti della sicurezza informatica.

Compiti dell'IS:

1. Garantire il diritto dell'individuo e della società a ricevere informazioni.

2. Fornire informazioni oggettive.

3. Lotta alle minacce criminali nel campo dei sistemi di informazione e telecomunicazione, terrorismo telefonico, riciclaggio di denaro, ecc.

4. Protezione delle persone, delle organizzazioni, della società e dello Stato dalle minacce informative e psicologiche.

5. Formazione dell'immagine, lotta alla calunnia, alle dicerie, alla disinformazione.

Il ruolo della sicurezza informatica aumenta quando si verifica una situazione estrema, quando qualsiasi messaggio falso può portare ad un aggravamento della situazione.

È il criterio- garanzia della sicurezza delle informazioni da fughe di informazioni, distorsioni, perdite o altre forme di svalutazione. Le tecnologie informatiche sicure devono avere la capacità di prevenire o neutralizzare l'impatto delle minacce sia esterne che interne alle informazioni e contenere metodi e mezzi adeguati per proteggerle.

Il progresso scientifico e tecnologico ha trasformato l’informazione in un prodotto che può essere acquistato, venduto e scambiato. Spesso il costo dei dati è molte volte superiore al prezzo dell'intero sistema tecnico, che memorizza ed elabora le informazioni.

La qualità delle informazioni commerciali fornisce i benefici economici necessari per l'azienda, quindi è importante proteggere i dati critici da azioni illegali. Ciò consentirà all’azienda di competere con successo sul mercato.

Definizione di sicurezza informatica

Sicurezza delle informazioni (IS)- questo è lo stato del sistema informativo in cui è meno suscettibile a interferenze e danni da parte di terzi. La sicurezza dei dati implica anche la gestione dei rischi associati alla divulgazione di informazioni o all’impatto sui moduli di sicurezza hardware e software.

La sicurezza delle informazioni elaborate in un'organizzazione è un insieme di azioni volte a risolvere il problema della protezione dell'ambiente informativo all'interno dell'azienda. Allo stesso tempo, l’uso e lo sviluppo dinamico delle informazioni non dovrebbero essere limitati alle persone autorizzate.

Requisiti per il sistema di sicurezza delle informazioni

La protezione delle risorse informative dovrebbe essere:

1. Costante. Un utente malintenzionato può in qualsiasi momento tentare di aggirare i moduli di protezione dei dati che lo interessano.

2. Bersaglio. Le informazioni devono essere protette nell’ambito di uno scopo specifico stabilito dall’organizzazione o dal proprietario dei dati.

3. Pianificato. Tutti i metodi di protezione devono essere conformi agli standard, alle leggi e ai regolamenti governativi che regolano la protezione dei dati riservati.

4. Attivo. Le attività a supporto del funzionamento e del miglioramento del sistema di protezione dovrebbero essere svolte regolarmente.

5. Complesso. L'uso esclusivo di moduli di protezione individuale o mezzi tecnici è inaccettabile. È necessario applicare tutti i tipi di protezione nella massima misura, altrimenti il ​​sistema sviluppato sarà privo di significato e base economica.

6. Universale. I mezzi di protezione devono essere selezionati in base ai canali di perdita esistenti nell'azienda.

7. Affidabile. Tutte le tecniche di sicurezza devono bloccare in modo affidabile i possibili percorsi verso le informazioni protette da parte di un utente malintenzionato, indipendentemente dalla forma in cui i dati vengono presentati.

Anche il sistema DLP deve soddisfare questi requisiti. Ed è meglio valutare le sue capacità nella pratica, piuttosto che in teoria. Puoi provare SearchInform CIB gratuitamente per 30 giorni.

Modello del sistema di sicurezza

Le informazioni sono considerate sicure se vengono soddisfatte tre proprietà principali.

Primo - integrità- comporta garantire l'affidabilità e la corretta visualizzazione dei dati protetti, indipendentemente da quali sistemi di sicurezza e tecniche di protezione siano utilizzati in azienda. L'elaborazione dei dati non dovrebbe essere interrotta e gli utenti del sistema che lavorano con file protetti non dovrebbero riscontrare modifiche o distruzioni non autorizzate delle risorse o guasti del software.

Secondo - riservatezza - significa che l'accesso alla visualizzazione e alla modifica dei dati è consentito esclusivamente agli utenti autorizzati del sistema di sicurezza.

Terzo - disponibilità - implica che tutti gli utenti autorizzati debbano avere accesso alle informazioni riservate.

È sufficiente violare una delle proprietà delle informazioni protette affinché l'utilizzo del sistema diventi privo di significato.

Fasi di creazione e mantenimento di un sistema di sicurezza delle informazioni

In pratica, la realizzazione di un sistema di sicurezza informatica si realizza in tre fasi.

Nella prima faseÈ in fase di sviluppo un modello base del sistema che funzionerà nell'azienda. Per fare ciò è necessario analizzare tutte le tipologie di dati che circolano in azienda e che necessitano di essere protetti da attacchi di terzi. Il piano di lavoro nella fase iniziale prevede quattro domande:

  1. Quali fonti di informazione dovrebbero essere protette?
  2. Qual è lo scopo di accedere alle informazioni protette?

Lo scopo potrebbe essere quello di rivedere, cambiare, modificare o distruggere i dati. Ogni azione è illegale se eseguita da un aggressore. La familiarizzazione non porta alla distruzione della struttura dei dati, ma la modifica e la distruzione portano alla perdita parziale o totale delle informazioni.

  1. Qual è la fonte delle informazioni riservate?

Le fonti in questo caso sono persone e risorse informative: documenti, chiavette, pubblicazioni, prodotti, sistemi informatici, mezzi di supporto all'attività lavorativa.

  1. Metodi per ottenere l'accesso e come proteggersi da tentativi non autorizzati di influenzare il sistema?

Esistono le seguenti modalità per ottenere l'accesso:

  • Accesso non autorizzato- utilizzo illecito dei dati;
  • Perdita- diffusione incontrollata di informazioni all'esterno della rete aziendale. Si verifica una fuga di notizie a causa di carenze e debolezze nel canale tecnico del sistema di sicurezza;
  • Divulgazione- una conseguenza dell'influenza del fattore umano. Gli utenti autorizzati possono divulgare informazioni ai concorrenti o per negligenza.

Seconda fase comprende lo sviluppo di un sistema di protezione. Ciò significa implementare tutti i metodi, i mezzi e gli ambiti selezionati di protezione dei dati.

Il sistema è costruito in più aree di protezione contemporaneamente, a più livelli, che interagiscono tra loro per garantire un controllo affidabile delle informazioni.

Livello legale garantisce il rispetto degli standard governativi nel campo della protezione delle informazioni e include copyright, decreti, brevetti e descrizioni del lavoro. Un sistema di sicurezza ben costruito non viola i diritti degli utenti e gli standard di elaborazione dei dati.

Livello organizzativo consente di creare norme sul modo in cui gli utenti lavorano con informazioni riservate, selezionano il personale e organizzano il lavoro con documentazione e supporti di archiviazione fisici.

Le regole relative al modo in cui gli utenti gestiscono le informazioni riservate sono chiamate regole di controllo dell'accesso. Le regole vengono stabilite dalla direzione dell'azienda insieme al servizio di sicurezza e al fornitore che implementa il sistema di sicurezza. L'obiettivo è creare condizioni per l'accesso alle risorse informative per ciascun utente, ad esempio il diritto di leggere, modificare o trasferire un documento riservato. Le regole di controllo degli accessi sono sviluppate a livello organizzativo e implementate nella fase di lavoro con la componente tecnica del sistema.

Livello tecnico Sono convenzionalmente suddivisi in sottolivelli fisico, hardware, software e matematico.

  • fisico- creazione di barriere attorno all'oggetto protetto: sistemi di sicurezza, rumore, rafforzamento delle strutture architettoniche;
  • hardware- installazione di mezzi tecnici: computer speciali, sistemi di monitoraggio dei dipendenti, protezione di server e reti aziendali;
  • programma- installazione della struttura software del sistema di sicurezza, implementazione delle regole di controllo degli accessi e test di funzionamento;
  • matematico- implementazione di metodi crittografici e stenografici di protezione dei dati per la trasmissione sicura su una rete aziendale o globale.

Terza ed ultima fase- si tratta di supporto per le prestazioni del sistema, il monitoraggio regolare e la gestione del rischio. È importante che il modulo di sicurezza sia flessibile e consenta all'amministratore della sicurezza di migliorare rapidamente il sistema quando vengono scoperte nuove potenziali minacce.

Tipologie di dati sensibili

Dati riservati- si tratta di informazioni il cui accesso è limitato in conformità con leggi e regolamenti statali che le società stabiliscono autonomamente.

  • Personale dati riservati: dati personali dei cittadini, diritto alla riservatezza, corrispondenza, occultamento dell'identità. L'unica eccezione sono le informazioni diffuse dai media.
  • Servizio dati riservati: informazioni alle quali solo lo Stato (autorità pubbliche) può limitare l'accesso.
  • giudiziario dati riservati: segreto delle indagini e dei procedimenti giudiziari.
  • Commerciale dati riservati: tutti i tipi di informazioni relative al commercio (profitto) e il cui accesso è limitato dalla legge o dall'impresa (sviluppi segreti, tecnologie di produzione, ecc.).
  • Professionale dati riservati: dati relativi alle attività dei cittadini, ad esempio segreti medici, notarili o legali, la cui divulgazione è punibile dalla legge.

Minacce alla riservatezza delle risorse informative

Minaccia- si tratta di possibili o concreti tentativi di impossessarsi di risorse informative protette.

Fonti di minaccia la sicurezza dei dati riservati sono aziende concorrenti, aggressori e autorità governative. L'obiettivo di qualsiasi minaccia è compromettere l'integrità, la completezza e la disponibilità dei dati.

Le minacce possono essere interne o esterne. Minacce esterne rappresentano tentativi di accesso ai dati dall'esterno e sono accompagnati dall'hacking di server, reti, account dei dipendenti e dalla lettura di informazioni da canali di fuga tecnici (lettura acustica tramite microspie, telecamere, targeting di hardware, acquisizione di informazioni vibroacustiche da finestre e strutture architettoniche).

Minacce interne implicare azioni illecite del personale, dell'ufficio lavorativo o della direzione dell'azienda. Di conseguenza, un utente del sistema che lavora con informazioni riservate può rivelare informazioni a estranei. In pratica, questa minaccia si verifica più spesso di altre. Un dipendente può divulgare dati segreti ai concorrenti per anni. Ciò è facilmente implementabile perché l'amministratore della sicurezza non classifica le azioni di un utente autorizzato come una minaccia.

Poiché le minacce interne alla sicurezza delle informazioni coinvolgono fattori umani, sono più difficili da monitorare e gestire. Gli incidenti possono essere prevenuti dividendo i dipendenti in gruppi a rischio. Un modulo automatizzato per la compilazione di profili psicologici farà fronte a questo compito.

Un tentativo di accesso non autorizzato può avvenire in diversi modi:

  • attraverso i dipendenti che potrebbero trasmettere dati riservati a soggetti esterni, sottrarre supporti fisici o accedere a informazioni protette tramite documenti stampati;
  • utilizzando software gli aggressori effettuano attacchi volti a rubare coppie di accesso-password, intercettare chiavi crittografiche per decrittografare dati e copiare non autorizzate informazioni.
  • utilizzando componenti hardware sistema automatizzato, ad esempio, l’introduzione di dispositivi di ascolto o l’utilizzo di tecnologie hardware per la lettura di informazioni a distanza (al di fuori dell’area controllata).


Sicurezza delle informazioni hardware e software

Tutti i moderni sistemi operativi sono dotati di moduli di protezione dei dati integrati livello di programma. MAC OS, Windows, Linux, iOS svolgono un ottimo lavoro di crittografia dei dati sul disco e durante la trasmissione ad altri dispositivi. Tuttavia, per creare un lavoro efficace con informazioni riservate, è importante utilizzare moduli di sicurezza aggiuntivi.

I sistemi operativi degli utenti non proteggono i dati durante la trasmissione in rete, ma i sistemi di sicurezza consentono di controllare i flussi di informazioni che circolano attraverso la rete aziendale e la conservazione dei dati nei server.

Il modulo di protezione hardware e software è solitamente suddiviso in gruppi, ciascuno dei quali svolge la funzione di protezione delle informazioni sensibili:

  • Livello di identificazioneè un sistema completo di riconoscimento degli utenti che può utilizzare l'autenticazione standard o multilivello, la biometria (riconoscimento facciale, scansione delle impronte digitali, registrazione vocale e altre tecniche).
  • Livello di crittografia garantisce lo scambio di chiavi tra mittente e destinatario e crittografa/decrittografa tutti i dati di sistema.

Tutela giuridica delle informazioni

La base giuridica per la sicurezza delle informazioni è fornita dallo Stato. La protezione delle informazioni è regolata dalle convenzioni internazionali, dalla Costituzione, dalle leggi e dai regolamenti federali.

Lo Stato determinerà inoltre l'entità della responsabilità in caso di violazione delle disposizioni legislative in materia di sicurezza informatica. Ad esempio, il capitolo 28 “Reati in materia di informazioni informatiche"nel codice penale della Federazione Russa, comprende tre articoli:

  • Articolo 272 “Accesso abusivo alle informazioni informatiche”;
  • Articolo 273 “Creazione, utilizzo e diffusione di contenuti dannosi programmi informatici»;
  • Articolo 274 “Violazione delle norme relative ai mezzi operativi di archiviazione, elaborazione o trasmissione delle informazioni informatiche e delle reti informatiche e di telecomunicazioni”.

Annotazione: La lezione copre i concetti base della sicurezza informatica. Familiarizzazione con la legge federale "sull'informazione, le tecnologie dell'informazione e la protezione dell'informazione".

GOST" Protezione delle informazioni. Termini e definizioni di base" introduce il concetto sicurezza delle informazioni come uno stato di sicurezza delle informazioni, in cui è garantita riservatezza, disponibilità e integrità.

  • Riservatezza– uno stato delle informazioni in cui l'accesso alle stesse è effettuato solo da soggetti che ne hanno diritto.
  • Integrità– uno stato dell'informazione in cui non si verifica alcun cambiamento o il cambiamento è effettuato solo intenzionalmente da soggetti che ne hanno diritto;
  • Disponibilità– uno stato dell'informazione in cui i soggetti titolari del diritto di accesso possono esercitarlo senza impedimenti.

Minacce alla sicurezza delle informazioni– un insieme di condizioni e fattori che creano un pericolo potenziale o effettivo di violazione della sicurezza delle informazioni [,]. Attacco si chiama tentativo di mettere in atto una minaccia, e colui che fa un tale tentativo lo è intruso. Vengono richiamati i potenziali aggressori fonti di minaccia.

La minaccia è una conseguenza della presenza vulnerabilità o vulnerabilità nel sistema informativo. Le vulnerabilità possono sorgere per diversi motivi, ad esempio a causa di errori involontari da parte dei programmatori durante la scrittura dei programmi.

Le minacce possono essere classificate in base a diversi criteri:

  • Di proprietà dell'informazione(disponibilità, integrità, riservatezza), contro cui sono principalmente dirette le minacce;
  • da componenti dei sistemi informativi presi di mira da minacce (dati, programmi, hardware, infrastrutture di supporto);
  • per modalità di attuazione (azioni accidentali/intenzionali, naturali/provocate dall'uomo);
  • in base all'ubicazione della fonte della minaccia (all'interno/all'esterno dell'IS in questione).

Garantire la sicurezza delle informazioni è un compito complesso, la cui soluzione richiede approccio integrato. Si distinguono i seguenti livelli di protezione delle informazioni:

  1. legislativo – leggi, regolamenti e altri documenti della Federazione Russa e della comunità internazionale;
  2. amministrativo – un insieme di misure adottate a livello locale dalla direzione dell’organizzazione;
  3. livello procedurale - misure di sicurezza messe in atto dalle persone;
  4. livello software e hardware– mezzi diretti di protezione delle informazioni.

Il livello legislativo è la base per costruire un sistema di protezione delle informazioni, come fornisce concetti di base area tematica e determina la punizione per i potenziali aggressori. Questo livello svolge un ruolo di coordinamento e guida e aiuta a mantenere un atteggiamento negativo (e punitivo) nella società nei confronti delle persone che violano la sicurezza delle informazioni.

1.2. Legge federale "sull'informazione, sulle tecnologie dell'informazione e sulla protezione dell'informazione"

IN Legislazione russa La legge fondamentale nel campo della protezione delle informazioni è la legge federale "sull'informazione, le tecnologie dell'informazione e la protezione delle informazioni" del 27 luglio 2006, numero 149-FZ. Pertanto, i concetti e le decisioni fondamentali sanciti dalla legge richiedono un'attenta considerazione.

La legge regola i rapporti che nascono quando:

  • esercitare il diritto di ricercare, ricevere, trasmettere, produrre e diffondere informazioni;
  • applicazione delle tecnologie dell'informazione;
  • garantire la sicurezza delle informazioni.

La legge fornisce definizioni di base nel campo della protezione delle informazioni. Eccone alcuni:

  • informazioni- informazioni (messaggi, dati) indipendentemente dalla forma della loro presentazione;
  • tecnologie dell'informazione- processi, metodi di ricerca, raccolta, archiviazione, elaborazione, fornitura, distribuzione di informazioni e metodi di implementazione di tali processi e metodi;
  • sistema informativo- l'insieme delle informazioni contenute nelle banche dati e nelle tecnologie informatiche e nei mezzi tecnici che ne garantiscono il trattamento;
  • proprietario delle informazioni- una persona che ha creato in modo indipendente informazioni o ha ricevuto, sulla base di una legge o di un accordo, il diritto di consentire o limitare l'accesso alle informazioni determinate da qualsiasi criterio;
  • operatore del sistema informativo- cittadino o persona giuridica svolgere attività connesse al funzionamento del sistema informativo, compreso il trattamento delle informazioni contenute nelle proprie banche dati.
  • riservatezza delle informazioni- l'obbligo per una persona che ha avuto accesso a determinate informazioni di non trasferire tali informazioni a terzi senza il consenso del proprietario.

L'articolo 4 della legge formula i principi della regolamentazione giuridica delle relazioni nel campo dell'informazione, della tecnologia dell'informazione e della protezione delle informazioni:

  1. libertà di ricercare, ricevere, trasmettere, produrre e diffondere informazioni con qualsiasi mezzo legale;
  2. stabilire restrizioni sull'accesso alle informazioni solo tramite leggi federali;
  3. apertura delle informazioni sulle attività degli enti statali e dei governi locali e libero accesso a tali informazioni, salvo nei casi stabiliti dalle leggi federali;
  4. uguaglianza dei diritti per le lingue dei popoli della Federazione Russa nella creazione di sistemi informativi e nel loro funzionamento;
  5. garantire la sicurezza della Federazione Russa durante la creazione dei sistemi informativi, il loro funzionamento e la protezione delle informazioni in essi contenute;
  6. affidabilità delle informazioni e tempestività della loro fornitura;
  7. inviolabilità della vita privata, inammissibilità della raccolta, conservazione, utilizzo e diffusione di informazioni sulla vita privata di una persona senza il suo consenso;
  8. l'inammissibilità di stabilire mediante atti normativi eventuali vantaggi derivanti dall'utilizzo di alcune tecnologie dell'informazione rispetto ad altre, a meno che l'uso obbligatorio di determinate tecnologie dell'informazione per la creazione e il funzionamento dei sistemi informativi statali non sia stabilito dalle leggi federali.

Tutte le informazioni sono suddivise in pubblicamente disponibile e limitato accesso. A informazioni disponibili al pubblico include informazioni generalmente note e altre informazioni, il cui accesso non è limitato. La legge definisce le informazioni il cui accesso non può essere limitato, ad esempio, informazioni sull'ambiente o sulle attività degli enti governativi. Si prevede inoltre che restrizione di accesso all'informazione è stabilito dalle leggi federali al fine di proteggere i fondamenti del sistema costituzionale, la moralità, la salute, i diritti e gli interessi legittimi di altre persone, garantendo la difesa del Paese e la sicurezza dello Stato. È obbligatorio mantenere la riservatezza delle informazioni, il cui accesso è limitato dalle leggi federali.

È vietato richiedere a un cittadino (individuo) di fornire informazioni sulla sua vita privata, comprese le informazioni che costituiscono un segreto personale o familiare, e di ricevere tali informazioni contro la volontà del cittadino (individuo), salvo diversamente previsto dalle leggi federali.

  1. informazioni liberamente diffuse;
  2. informazioni fornite previo consenso dei soggetti partecipanti al relativo rapporto;
  3. informazioni che, in conformità con le leggi federali, sono soggette a fornitura o distribuzione;
  4. informazioni la cui distribuzione è limitata o vietata nella Federazione Russa.

La legge stabilisce l’equivalenza e-mail, firmato con una firma digitale elettronica o altro analogo di una firma autografa e un documento firmato a mano.

Viene data la seguente definizione di protezione delle informazioni: essa rappresenta l'adozione di misure legali, organizzative e tecniche volte a:

  1. garantire la protezione delle informazioni da accesso non autorizzato, distruzione, modifica, blocco, copia, fornitura, distribuzione, nonché da altre azioni illecite in relazione a tali informazioni;
  2. mantenendo la riservatezza delle informazioni accesso limitato;
  3. attuazione del diritto di accesso alle informazioni.

Il proprietario delle informazioni, l'operatore del sistema informativo nei casi stabiliti dalla legislazione della Federazione Russa, è tenuto a garantire:

  1. prevenzione dell'accesso non autorizzato alle informazioni e (o) trasferimento delle stesse a persone che non hanno il diritto di accedere alle informazioni;
  2. rilevamento tempestivo di fatti di accesso non autorizzato alle informazioni;
  3. prevenire la possibilità di conseguenze negative derivanti dalla violazione dell'ordine di accesso alle informazioni;
  4. impedire l'influenza sui mezzi tecnici di elaborazione delle informazioni, a causa della quale il loro funzionamento viene interrotto;
  5. la possibilità di ripristinare immediatamente le informazioni modificate o distrutte a causa di accessi non autorizzati alle stesse;
  6. monitoraggio costante volto a garantire il livello di sicurezza delle informazioni.

Pertanto, viene creata la legge federale "sull'informazione, sulle tecnologie dell'informazione e sulla protezione delle informazioni". base giuridica scambio di informazioni nella Federazione Russa e determina i diritti e gli obblighi dei suoi soggetti.

La definizione di informazione come informazione di vario genere, presentata in qualsiasi forma e oggetto di vari processi, corrisponde alla seguente interpretazione del concetto di "protezione dell'informazione" nella legge "Sull'informazione, sulle tecnologie dell'informazione e sulla protezione dell'informazione".

La protezione delle informazioni è l'adozione di misure legali, organizzative e tecniche volte a:

  • 1) garantire la protezione delle informazioni da accesso non autorizzato, distruzione, modifica, blocco, copia, fornitura, distribuzione, nonché da altre azioni illecite in relazione a tali informazioni;
  • 2) mantenimento della riservatezza delle informazioni riservate,
  • 3) attuazione del diritto di accesso alle informazioni.

In conformità con i documenti governativi dell'FSTEC della Russia sicurezza delle informazioni - Questo è lo stato di sicurezza delle informazioni elaborate dalla tecnologia informatica o da un sistema automatizzato da minacce interne ed esterne.

Conforme a GOST R 50922-96 protezione delle informazioni - attività volte a prevenire la fuga di informazioni protette e impatti non autorizzati e involontari sulle informazioni protette.

Ciò riflette la lotta a due tipi di minacce: ricezione non autorizzata (perdita) di informazioni protette e impatto sulle informazioni protette.

Pertanto, la protezione delle informazioni è intesa come un insieme di misure e azioni volte a garantirne la sicurezza nel processo di raccolta, trasmissione, elaborazione e archiviazione.

In senso stretto, la definizione di cui sopra del concetto di “protezione delle informazioni” è principalmente identica al concetto di “garantire la sicurezza delle informazioni” (Fig. 1.5). Notiamo che la sicurezza dell'informazione è lo stato della sua protezione dagli effetti destabilizzanti dell'ambiente esterno (uomo e natura) e dalle minacce interne al sistema o alla rete in cui si trova o potrebbe trovarsi, vale a dire riservatezza, integrità e disponibilità delle informazioni.

Sottolineiamolo ancora una volta riservatezza delle informazioni - questo è uno status (requisito) determinato dal suo proprietario e che determina il grado di protezione richiesto. In sostanza, la riservatezza delle informazioni è l'esigenza che le informazioni siano conosciute solo da coloro che sono ammessi e verificati (autorizzati).

Riso. 1.5.

soggetti del sistema (utenti, processi, programmi). Per gli altri soggetti del sistema tale informazione dovrebbe essere sconosciuta.

Integrità delle informazioni - si tratta della capacità dell'informazione (requisito informativo) di mantenere inalterato il contenuto semantico (rispetto al dato originario), ovvero la sua resistenza alla distorsione o alla distruzione accidentale o intenzionale.

Disponibilità di informazioni - Questa è la capacità (requisito) di un oggetto - un sistema informativo (rete) - di fornire un accesso tempestivo e senza ostacoli ai soggetti autorizzati (utenti, abbonati) alle informazioni a cui sono interessati o di effettuare uno scambio tempestivo di informazioni tra di loro.

Soggetto -è una componente attiva del sistema che può provocare la formazione di un flusso di informazioni da un oggetto a un soggetto o un cambiamento nello stato del sistema. Oggetto - un componente passivo di un sistema che elabora, memorizza, riceve o trasmette informazioni. Accedere ad un oggetto significa accedere alle informazioni in esso contenute.

Sottolineiamolo accesso alle informazioni - la capacità di ottenere e utilizzare informazioni, ad es. la possibilità di riceverli, familiarizzare con le informazioni, elaborare, in particolare, copiare, modificare o distruggere le informazioni.

Viene fatta una distinzione tra accesso autorizzato e non autorizzato alle informazioni. Accesso autorizzato alle informazioni - Questo è l'accesso alle informazioni che non viola le regole stabilite di controllo degli accessi. Le regole di controllo degli accessi servono a regolare i diritti di accesso dei soggetti di accesso agli oggetti di accesso.

Accesso non autorizzato alle informazioni caratterizzato da una violazione delle regole stabilite di controllo degli accessi.

Un utente, programma o processo che ha accesso non autorizzato alle informazioni viola le regole di controllo degli accessi (uno degli elementi della politica di sicurezza). L'accesso non autorizzato è il tipo più comune di violazione del computer e della rete.

Si noti che nell'interpretazione qui fornita del concetto di "protezione delle informazioni" (come garanzia della sicurezza delle informazioni - riservatezza, integrità e disponibilità delle informazioni) corrisponde il concetto di "sicurezza delle informazioni". Conforme alla norma GOST R ISO/IEC 17799-2005 sicurezza delle informazioni - un meccanismo di sicurezza che garantisce riservatezza (solo gli utenti autorizzati hanno accesso alle informazioni), integrità (l'affidabilità e la completezza delle informazioni e il modo in cui vengono elaborate) e disponibilità (accesso alle informazioni e alle risorse correlate da parte degli utenti autorizzati secondo necessità). Nello standard delle Ferrovie Russe JSC (STO Ferrovie Russe 1.18.002-2009) “Gestione della sicurezza delle informazioni. Disposizioni generali" la sicurezza delle informazioni è definita anche come uno stato di sicurezza delle informazioni che garantisce caratteristiche quali riservatezza, integrità e disponibilità.

L'attuazione delle attività volte a garantire la sicurezza delle informazioni nella Federazione Russa è affidata allo Stato, che, in conformità con la legge, è il principale soggetto della sicurezza. Notiamo che lo stato è un'organizzazione del potere politico che copre un determinato territorio e agisce contemporaneamente come mezzo per garantire gli interessi dell'intera società e come uno speciale meccanismo di controllo e repressione.

Nella Dottrina sulla Sicurezza dell'Informazione della Federazione Russa (2000), per sicurezza dell'informazione della Federazione Russa si intende lo stato di tutela dei suoi interessi nazionali in sfera informativa, determinato dalla totalità degli interessi equilibrati dell'individuo, della società e dello Stato.

Ci sono quattro componenti principali degli interessi nazionali della Federazione Russa nella sfera dell'informazione:

  • 1) conformità diritti costituzionali e le libertà dell'uomo e del cittadino nel campo dell'ottenimento delle informazioni e del loro utilizzo, garantendo il rinnovamento spirituale della Russia, preservando e rafforzando i valori morali della società, le tradizioni del patriottismo e dell'umanesimo, il potenziale culturale e scientifico del Paese;
  • 2) supporto informativo alla politica statale della Federazione Russa, correlato, tra le altre cose, a garantire l'accesso dei cittadini alle risorse informative statali aperte;
  • 3) sviluppo delle moderne tecnologie dell'informazione, industria dell'informazione nazionale, soddisfazione delle esigenze del mercato interno con i suoi prodotti e ingresso di questi prodotti nel mercato mondiale; garantire l'accumulo, la conservazione e l'uso efficace delle risorse informative nazionali;
  • 4) proteggere le risorse informative nazionali da accessi non autorizzati, garantendo la sicurezza dei sistemi informativi e di telecomunicazione.

Pertanto, l'obiettivo di garantire la sicurezza delle informazioni nella Federazione Russa è, prima di tutto, quello di proteggere gli interessi equilibrati di vitale importanza dei soggetti delle relazioni informative nella sfera dell'informazione: cittadini, comunità di persone, imprese, organizzazioni, società e stato. .

Con tutta la varietà di tipi di organizzazioni, direzioni e dimensioni delle loro attività, numero di partecipanti, le loro risorse significative sono le informazioni, i processi di supporto, i sistemi informativi e l'infrastruttura di rete, ad es. patrimonio informativo. La riservatezza, l'integrità e la disponibilità delle informazioni possono contribuire in modo significativo alla competitività, alla liquidità, alla redditività, alla conformità e alla reputazione aziendale di un'organizzazione.

Il contenuto della loro sicurezza delle informazioni risiede nella protezione delle attività mirate relative alle informazioni e all'infrastruttura informatica, ai servizi informativi forniti e ad altre risorse informative dell'organizzazione. Questi includono sistemi e risorse informativi, oggetti di proprietà intellettuale, diritti di proprietà su questi oggetti, diritti personali non di proprietà dei membri dell'organizzazione, il diritto di mantenere il regime stabilito di accesso alle informazioni che costituiscono un segreto protetto dalla legge, ad esempio , segreti commerciali e dati personali. Questi componenti dell'organizzazione come oggetto di sicurezza delle informazioni sono protetti da minacce esterne e interne.

Sotto sicurezza delle informazioni di un'organizzazione, società, impresa Comprenderemo lo stato di sicurezza delle risorse informative (risorse): informazioni e infrastrutture informative, altre risorse informative, che garantisce un rischio accettabile di danno a fronte di minacce esterne e interne, accidentali e intenzionali.

L'obiettivo principale di garantire la sicurezza delle informazioni delle organizzazioni è ridurre al minimo o ottenere un rischio accettabile o un danno economico in caso di violazione della sicurezza delle informazioni - compromissione della sua riservatezza, violazione dell'integrità e della disponibilità.

Quando si sviluppano requisiti per la sicurezza di un'organizzazione nel suo insieme e la sicurezza della sua "dimensione informativa" - sicurezza delle informazioni, analisi e valutazione della sicurezza, gestione della sicurezza delle informazioni di un'organizzazione, di norma, la metodologia di accettabile (o inaccettabile) viene utilizzato il rischio delle attività dell'organizzazione (Fig. 1.6). L’entità del rischio è determinata dal rischio atteso di eventi avversi


Riso. 1.6.

conseguenze sulla sicurezza causate dalla manifestazione di minacce alle attività dell’organizzazione (la probabilità che la minaccia si realizzi e il valore della risorsa).

I compiti principali per garantire la sicurezza delle informazioni di un'organizzazione, società o impresa includono:

  • - identificazione degli oggetti più importanti, nonché deboli e vulnerabili in termini informativi;
  • - valutazione e previsione delle fonti di minaccia alla sicurezza delle informazioni e metodi della loro attuazione;
  • - sviluppo di una politica per garantire la sicurezza delle informazioni della società, una serie di misure e meccanismi per la sua attuazione;
  • - sviluppo di un quadro normativo per garantire la sicurezza delle informazioni della società, coordinando le attività degli organi di gestione per garantire la sicurezza delle informazioni;
  • - sviluppo di misure per garantire la sicurezza delle informazioni in caso di minaccia o emergenza;
  • - sviluppo di un sistema gerarchico per garantire la sicurezza delle informazioni, migliorandone l'organizzazione, le forme, i metodi e i mezzi per prevenire, respingere e neutralizzare le minacce alla sicurezza delle informazioni;
  • - garantire l'integrazione sicura di un sistema o di una rete aziendale nelle reti e nei sistemi informativi globali.

Un'interpretazione ampia del concetto di "protezione delle informazioni" prevede una serie di misure volte a garantire la sicurezza delle informazioni presentate in qualsiasi forma materiale, la sicurezza del funzionamento dei sistemi informativi e delle reti di telecomunicazione e l'uso delle tecnologie dell'informazione. E in questo senso, coincide con la comprensione emergente del concetto di “garantire la sicurezza delle informazioni” dei sistemi di informazione o telecomunicazione (attualmente non definito da atti legislativi).

La moderna interpretazione data della sicurezza delle informazioni (in senso lato - come garanzia della sicurezza delle informazioni e delle infrastrutture informative - sistemi e tecnologie informativi) non ha un confine sufficientemente chiaro con il processo di garanzia della sicurezza delle informazioni.

Allo stesso tempo, il contenuto dei processi per garantire la sicurezza delle informazioni e la protezione delle informazioni (e, di conseguenza, i concetti di sicurezza delle informazioni e protezione delle informazioni) differisce nel livello di gerarchia e complessità dell'organizzazione degli oggetti protetti e nella natura di le minacce. Garantire la sicurezza delle informazioni degli oggetti implica la "protezione delle informazioni" e la "protezione dalle informazioni", garantendo la sicurezza (protezione) delle informazioni e dell'infrastruttura informativa dalle minacce. Entrambi i concetti implicano l'uso di una serie di misure e mezzi di protezione: legali, organizzativi e tecnologici (tecnici) con un'enfasi sull'uno o sull'altro gruppo di essi.

Accettiamo la seguente interpretazione dei concetti “sicurezza delle informazioni” e “garantire la sicurezza delle informazioni”.

Notiamo innanzitutto che il concetto sicurezzaè definito come “uno stato in cui non esiste minaccia di pericolo, esiste protezione dal pericolo”, e in generale come l’impossibilità di causare danno a qualcuno o qualcosa a causa della manifestazione di minacce, cioè. loro sicurezza (stato di sicurezza) dalle minacce. Concetto sicurezza Lo considereremo in due modi - come attività e mezzo di attività - e includeremo anche argomenti di supporto.

In conformità con il lavoro, nella struttura del concetto di "sicurezza dell'informazione" distingueremo un oggetto di sicurezza delle informazioni, le minacce a questo oggetto e la garanzia della sua sicurezza delle informazioni dalla manifestazione di minacce (Fig. 1.7).

Nel contesto del problema globale di uno sviluppo sicuro, le persone, la società (comunità di persone, organizzazioni, comprese società, imprese, ecc.) e lo Stato sono considerati i principali oggetti della sicurezza delle informazioni.

Nella forma più generale, per questi oggetti, la sicurezza dell'informazione può essere definita come l'impossibilità di causare danni alle proprietà di un oggetto di sicurezza o alle proprietà dei suoi componenti strutturali, determinate dalle informazioni e dall'infrastruttura informativa, ad es. come sicurezza (lo stato di sicurezza) della loro “dimensione informativa”.

Sulla base di quanto sopra, è possibile determinare il contenuto della sicurezza delle informazioni di una persona, di una società e di uno Stato come la sicurezza della loro “dimensione informativa”.

La sicurezza delle informazioni di una persona consiste nell'impossibilità di arrecargli danno come individuo, la cui attività sociale si basa in gran parte sulla comprensione delle informazioni ricevute.


Riso. 1.7.

comunicazione, interazioni informative con altri individui e che spesso utilizza le informazioni come oggetto di attività.

La sicurezza informatica della società risiede nell'impossibilità di causare danni alla sua sfera spirituale, ai valori culturali, ai regolatori sociali del comportamento umano, all'infrastruttura informativa e ai messaggi trasmessi con il suo aiuto.

La sicurezza informatica dello Stato risiede nell'impossibilità di arrecare danno alle sue attività nello svolgimento delle funzioni di gestione degli affari sociali legati all'uso delle informazioni e dell'infrastruttura informativa della società. A volte, tenendo conto dell'importanza della componente di sicurezza delle informazioni associata all'impatto sulla psiche e sulla coscienza di una persona e sulla coscienza pubblica, in essa si distinguono le informazioni e la sicurezza psicologica.

Garantire la sicurezza delle informazioni caratterizzato da attività volte a prevenire danni alle proprietà di un oggetto di sicurezza, causati dalle informazioni e dall'infrastruttura informatica, nonché dai mezzi e dai soggetti di tale attività.

Pertanto, garantire la sicurezza delle informazioni è considerata principalmente come una soluzione al problema globale dello sviluppo sicuro della civiltà mondiale, degli stati, delle comunità di persone, di un individuo e dell'esistenza della natura. Allo stesso tempo, il concetto di "sicurezza dell'informazione" caratterizza lo stato di sicurezza di una persona, società, stato, natura nelle condizioni della possibile azione di due tipi di minacce generalizzate: compromissione (divulgazione) dei loro segreti, nonché come impatto negativo (accidentale o intenzionale) delle informazioni sui loro sottosistemi informativi (coscienza e sulla psiche di un individuo, coscienza di massa, sfera dell'informazione (ambiente), società e stati, elementi sensibili all'informazione di oggetti naturali).

Sotto sicurezza delle informazioni di una persona, società, stato, comprenderemo lo stato di sicurezza della loro "dimensione informativa" (interessi vitali di una persona, società, stato nella sfera dell'informazione; patrimonio informativo di un'organizzazione, società, impresa; informazione stessa e informazione infrastrutture) dalla manifestazione di minacce esterne ed interne, accidentali e intenzionali.

La formulazione specifica sarà data nel paragrafo successivo.

Negli ultimi anni, il concetto di “sicurezza dell’informazione” si è diffuso (ma non è sancito dalla legge) per oggetti di sicurezza dell’informazione come informazioni e sistemi automatizzati, reti aziendali e di telecomunicazioni. Accettiamo per loro la seguente interpretazione del concetto di “sicurezza dell'informazione”.

Sicurezza delle informazioni di un sistema informativo o di una rete aziendaleè uno stato di sicurezza delle informazioni che si trovano o circolano al suo interno e della sua infrastruttura informativa, che garantisce il funzionamento stabile di un sistema o di una rete sotto l'influenza di fattori destabilizzanti (minacce).

ARTICOLI CORRELATI