суббота, 17 ноября 2012 г.

Соотношение понятий "информационная безопасность" и "защита информации"

Информационная безопасность

Информационная безопасность РФсостояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства. (Доктрина Информационной Безопасности Российской Федерации)

Безопасность информации [данных]состояние защищенности информации [данных], при котором обеспечены ее [их] конфиденциальность, доступность и целостность (ГОСТ Р 50922-2006 "Информационные технологии. Основные термины и определения в области технической защиты информации", Р 50.1.053-2005 "Техническая защита информации. Основные термины и определения" ).

Безопасность информациисостояние защищенности информации, характеризуемое способностью персонала, технических средств и информационных технологий обеспечивать конфиденциальность (т.е. сохранение в тайне от субъектов, не имеющих полномочий на ознакомление с ней), целостность и доступность информации при ее обработке техническими средствами (СТР-К).

Безопасность информациисостояние защищенности информации, обрабатываемой средствами вычислительной техники или автоматизированной системы, от внутренних или внешних угроз (РД ГТК).

Информационная безопасностьзащита конфиденциальности, целостности и доступности информации (ГОСТ 17799:2005 "Информационные технологии. Технологии безопасности. Практические правила менеджмента информационной безопасности").

Информационная безопасность – все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информации или средств ее обработки (ГОСТ 13335-1:2006 "Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий").

Безопасностьсостояние защищенности интересов (целей) организации банковской системы РФ в условиях угроз (СТО БР ИББС-1.0).

Информационная безопасность – безопасность, связанная с угрозами в информационной сфере. Защищенность достигается обеспечением совокупности свойств ИБ - доступности, целостности, конфиденциальности информационных активов. Приоритетность свойств ИБ определяется ценностью указанных активов для интересов (целей) организации банковской системы РФ (СТО БР ИББС-1.0).

Информационная безопасность – защищенность интересов (целей) организации в информационной сфере, представляющей собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом отношений (Положение БР № 242-П).

Таким образом, информационную безопасность характеризуют:
  • Направленность на защиту интересов и достижение целей бизнеса (организации/предприятия)
  • Необходимость достижения и поддержания конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информации или средств ее обработки.
  • Комплексность и полнота подхода.

Защита информации

Защита информациипринятие правовых, организационных и технических мер, направленных на:
  • обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
  • соблюдение конфиденциальности информации ограниченного доступа;
  • реализацию права на доступ к информации (ФЗ № 149 "Об информации, информационных технологиях и защите информации")
Защита информации (ЗИ)деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию (ГОСТ Р 50922-2006 "Информационные технологии. Основные термины и определения в области технической защиты информации").

Защита информации от несанкционированного доступа или воздействиядеятельность, направленная на предотвращение получения информации заинтересованным субъектом (или воздействия на информацию) с нарушением установленных прав или правил (СТР-К).

Техническая защита информацииобеспечение защиты некриптографическими методами информации, содержащей сведения, составляющие государственную тайну, иной информации с ограниченным доступом, предотвращение ее утечки по техническим каналам, несанкционированного доступа к ней, специальных воздействий на информацию и носители информации в целях ее добывания, уничтожения, искажения и блокирования доступа к ней на территории Российской Федерации (ГОСТ Р 50.1.053-2005 "Техническая защита информации. Основные термины и определения").

Таким образом, защиту информации характеризуют:
  • Необходимость противодействовать угрозам (несанкционированным воздействиям и т.д.), нарушающим различные свойства информации (конфиденциальность, целостность и т.д.).
  • Процессы реализации комплексов мер (правовые, организационные и технические) направленных на предотвращение различных угроз (несанкционированных воздействий) защищаемым объектам.

Система защиты информации

Система защиты информациисовокупность органов и (или) исполнителей, используемой ими техники защиты информации, а также объектов защиты информации, организованная и функционирующая по правилам и нормам, установленным соответствующими документами в области защиты информации (ГОСТ Р 50922-2006 "Информационные технологии. Основные термины и определения в области технической защиты информации").

Система защиты информации от несанкционированного доступа – комплекс организационных мер и программно-технических (в том числе криптографических) средств защиты от несанкционированного доступа к информации в автоматизированных системах (РД ГТК).

Система информационной безопасности – совокупность защитных мер, защитных средств и процессов их эксплуатации, включая ресурсное и административное (организационное) обеспечение (СТО БР ИББС-1.0).

Таким образом, систему защиты информации характеризуют:
  • Комплексы мер (правовые, организационные и технические) направленных на предотвращение различных угроз (несанкционированных воздействий) защищаемым объектам
  • Необходимость противодействия угрозам
  • Ресурсы, необходимые для реализации используемых мер защиты

Соотношение рассмотренных понятий



Источник: материалы лекций Алексея Басенко