Информационная безопасность. 
Система обеспечения физической безопасности предприятия

Стремительно развивающиеся компьютерные информационные технологии вносят заметные изменения в нашу жизнь. Информация стала товаром, который можно приобрести, продать, обменять, причем стоимость информации часто в сотни раз превосходит стоимость компьютерной системы, в которой она хранится. От степени безопасности информационных технологий в настоящее время зависит благополучие, а порой и жизнь многих людей.

Под информационной безопасностью понимается защищенность информационной системы от случайного или преднамеренного вмешательства, наносящего ущерб владельцам или пользователям информации. На практике важнейшими являются три аспекта информационной безопасности:

• — доступность (возможность за разумное время получить требуемую информационную услугу);
• — целостность (актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения);
• — конфиденциальность (защита от несанкционированного доступа).
• — нарушения доступности, целостности и конфиденциальности информации могут быть вызваны различными опасными воздействиями на информационные компьютерные системы.

Классификация угроз информационной безопасности производится по двум основным критериям: по местонахождению источника (угрозы делятся на внешние и внутренние); по способу организации (угрозы подразделяются на организационные, программно-математические, физические и радиоэлектронные).

К внешним угрозам информационной безопасности относятся:

• — деятельность иностранных разведывательных и специальных служб;
• — деятельность конкурирующих иностранных экономических структур;
• — деятельность отечественных политических и экономических групп, криминальных формирований и отдельных лиц антигосударственного и антиобщественного характера, проявляющаяся в виде воздействия на элементы системы информационной безопасности;
• — стихийные бедствия и катастрофы.

К внутренним угрозам могут быть отнесены:

• — нарушения требований информационной безопасности (непреднамеренные и преднамеренные) персоналом и пользователями;
• — отказы и неисправности элементов системы информационной безопасности, включая сбои программного обеспечения всех видов.

Группу организационных угроз составляют:

• — нарушения требований информационной безопасности, допускаемые персоналом и пользователями системы информационной безопасности;
• — несанкционированный доступ персонала и пользователей системы информационной безопасности к ресурсам, содержащим конфиденциальную информацию;
• — манипулирование (дезинформация, скрытие или искажение) конфиденциальной информацией;
• — несанкционированное копирование данных в систему информационной безопасности;
• — хищение конфиденциальной информации из базы данных пользователей и базы данных системы информационной безопасности;
• — хищение машинных носителей конфиденциальной информации;
• — хищение «ключей» для средств криптографической защиты;
• — уничтожение или модификация данных в системе информационной безопасности.

В число программно-математических угроз входят:

• — внедрение программ-вирусов;
• — применение программных закладок.

К физическим угрозам относятся:

• — уничтожение, разрушение средств связи (обработки, передачи, приема и др.) конфиденциальной информации, целенаправленное внесение в них неисправностей;
• — уничтожение или разрушение компьютерных носителей конфиденциальной информации;
• — воздействие на персонал и пользователей системы информационной безопасности с целью реализации других видов (физических, программно-математических, организационных) угроз.

Примерами радиоэлектронных угроз являются:

• — перехват конфиденциальной информации в технических каналах утечки;
• — внедрение средств перехвата конфиденциальной информации в аппаратуру системы информационной безопасности;
• — перехват и дешифрование конфиденциальной информации в сетях передачи данных и линиях связи;
• — навязывание ложной информации по сетям передачи данных и линиям связи;
• — радиоэлектронное подавление линий связи, дезорганизация систем управления.

Рассмотрим классификацию методов, используемых для обеспечения информационной безопасности:

• — препятствие — метод физического преграждения пути злоумышленнику к информации;
• — управление доступом — метод защиты с помощью регулирования использования информационных ресурсов системы;
• — маскировка — метод защиты информации путем ее криптографического преобразования;
• — регламентация — метод защиты информации, создающий условия автоматизированной обработки, при которых возможности несанкционированного доступа сводится к минимуму;
• — принуждение — метод защиты, при котором персонал вынужден соблюдать правила обработки, передачи и использования информации;
• — побуждение — метод защиты, при котором пользователь побуждается не нарушать режимы обработки, передачи и использования информации за счет соблюдения этических и моральных норм.

Средства обеспечивающие защиту могут быть классифицированы по следующим признакам:

• — технические средства — различные электрические, электронные и компьютерные устройства;
• — физические средства — реализуются в виде автономных устройств и систем;
• — программные средства — программное обеспечение, предназначенное для выполнения функций защиты информации;
• — криптографические средства — математические алгоритмы, обеспечивающие преобразования данных для решения задач информационной безопасности;
• — организационные средства — совокупность организационно-технических и организационно-правовых мероприятий;
• — морально-этические средства — реализуются в виде норм, сложившихся по мере распространения ЭВМ и информационных технологий;
• — законодательные средства — совокупность законодательных актов, регламентирующих правила пользования ИС, обработку и передачу информации.