Объекты информационной безопасности.

1)ЧЕЛОВЕК

Нанесение вреда способности человека воспринимать информацию и осмысливать ее существенно снижает возможность его выживания в реальном мире. Исходя из этого, ИБ человека заключается в невозможности нанесения вреда ему как личности, социальная деятельность которой во многом базируется на осмыслении получаемой информации, информационных взаимодействиях с другими индивидами и имеет информацию в качестве предмета деятельности.

2)ИНФОРМАЦИОННАЯ КОММУНИКАЦИЯ.

Информационная коммуникация осуществляется через среду распространения информации, которая в современном обществе принимает форму информационной инфраструктуры. Нанесение вреда инфраструктуре может привести к нарушению целостности общества, деятельности его институтов. Поэтому ИБ общества заключается в невозможности нанесения вреда его духовной сфере, культурным ценностям, социальным регуляторам поведения людей, информационной инфраструктуре и передаваемым с ее помощью сообщениям.

3) ДЕЯТЕЛЬНОСТЬ ГОСУДАРСТВА

Деятельность государства заключается в обеспечении безопасности, ликвидации последствий стихийных бедствий и экологических катастроф, реализация социальных программ поддержки здравоохранения, социального обеспечения нетрудоспособных, защита прав и свобод граждан. Нанесение вреда деятельности государства способно существенно снижать возможности государства по выполнению государственных функций.

4) ГОСУДАРСТВЕННАЯ ТАЙНА

В деятельности государства порождается информация, раскрытие которой может снизить эффективность проводимой политики. Подобная информация закрывается. В этом случае объектом безопасности выступает режим доступа к информации, а ИБ заключается в невозможности нарушения этого режима.

5) КОММЕРЧЕСКАЯ ДЕЯТЕЛЬНОСТЬ

Объектом ИБ может быть коммерческое предприятие. Содержание ИБ будет заключаться в защите от несанкционированного доступа тех сведений, которые представляются собственнику достаточно важными. В случае, когда собственник предприятия не видит необходимости в защите своей информации, например в случае, когда это не окупается, содержание ИБ может быть сведено к защищенности конкретной информации, раскрытие которой может принести заметный ущерб коммерческой деятельности. Подобную информацию относят к коммерческой тайне.

6) ИНФОРМАЦИЯ

Объектом ИБ может выступать сама информация. Содержание ИБ будет заключаться в защищенности информации от угроз.

7) ИНФОРМАЦИОННАЯ СИСТЕМА.

Объектом ИБ может быть информационная система (ИС). Тогда под ИБ будет пониматься защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации. Компьютерная система (КС) является по своему назначению и содержательной сущности информационной системой, представляющей собой взаимосвязанную совокупность средств, методов и персонала, обеспечивающих сбор, хранение, обработку, передачу и отображение информации в интересах достижения поставленной цели. ИС могут быть как сосредоточенными, так и распределенными по территории. Функциональной основой любой ИС являются протекающие в ней информационные процессы. Характер этих процессов определяется соответствующей информационной технологией. Информационная технология (ИТ) - это совокупность средств и методов сбора, обработки, передачи данных для получения информации нового качества о состоянии объекта, явления. Целью создания ИС является удовлетворение потребностей пользователей в своевременном получении достоверной информации и сохранении ее конфиденциальности. Для обеспечения безопасности в КС требуется защита технических и программных средств. Поскольку, компьютерные системы относятся к классу человеко-машинных систем, то необходимо учесть также и человеческий фактор.

Следуя по пути интеграции, в июне 1993 года Международная организация по станда ртизации (ИСО) начала создавать международные стандарты по критериям оценки безопасности информационных технологий для общего использования, названные " Соmmon Сriteria” (СС)", которая насчитывает более сотни различных документов ISО 15408. Самым полным среди оценочных стандартов, - является стандарт " Критерий оценки безопасности информационных технологий " (издан 1 декабря 1999 года).

Этот международный стандарт стал итогом почти десятилетней работы специалистов нескольких стран и вобрал в себя опыт существовавших к тому времени документов национального и межнационального масштаба. По историческим причинам данный стандарт часто называют " Общими критериями" (или даже ОК).

В разработке Общих Критериев участвовали:

- Национальный институт стандартов и технологии и Агентство национальной безопасности (США);

- Учреждение безопасности коммуникаций (Канада);

- Агентство информационной безопасности (Германия);

- Агентство национальной безопасности коммуникаций (Голландия);

- Органы исполнения Программы безопасности и сертификации ИТ (Англия);

- Центр обеспечения безопасности систем (Франция).

Новые критерии адаптированы к потребностям взаимного признания результатов оценки безопасности ИТ в мировом масштабе и предназначены для использования в качестве основы для такой оценки. За десятилетие разработки лучшими специалистами мира ОК неоднократно редактировались. Разработка первой версии 1.0 «Общих критериев» (ОК) была завершена в январе 1996 года и одобрена ИСО в апреле 1996 года. Был проведён ряд экспериментальных оценок на основе версии 1.0 ОК, а также организовано широкое обсуждение документа. В мае 1998 года была опубликована версия 2.0 ОК, и на её основе в июне 1999года был принят Международный Стандарт ISO/IЕС 15408.

Текст документа ISО/IЕС 15408 был издан 1 декабря 1999г. как "Общие критерии оценки безопасности информационных технологий" (ОК). Изменения, внесённые в стандарт на завершающей стадии его принятия, учтены в версии 2.1 ОК, идентичной стандарту по содержанию.

Международный стандарт ISО/IЕС 15408 - это более универсальный и совершенный стандарт, определяющий инструменты оценки безопасности ИС и порядок их использования. Он считается аналогом Оранжевой книги, но вопреки распространенному заблуждению, не заменяет собой Оранжевую книгу в силу разной юрисдикции документов. Оранжевая книга используется исключительно Министерством Обороны США, в то время как ISO/IЕС 15408 ратифицировали множество стран, включая Россию. В отличие от “ Оранжевой книги ”, ОК не содержит предопределённых “ классов безопасности ”. Такие классы можно строить, исходя из требований безопасности, существующих для конкретной информационной системы.

Ведущие мировые производители оборудования ИТ основательно подготовились к этому моменту и сразу стали поставлять заказчикам любые средства, полностью отвечающие требованиям ОК.

«Общие критерии» (ОК) созданы для взаимного признания результатов оценки безопасности ИС в мировом масштабе и представляют собой ее основу. Они позволяют сравнить результаты независимых оценок информационной безопасности и допустимых рисков на основе множества общих требований к функциям безопасности средств и систем ИТ, а также гарантий, применяемых к ним в процессе тестирования

«Оранжевая книга» - документ стал первым стандартом в области создания защищенных компьютерных систем и впоследствии основой организации системы их сертификации по критериям защиты информации.

В «Оранжевой книге» дано определение безопасной системы - это система, которая посредством специальных механизмов защиты контролирует доступ к информации.