Концепция безопасности информационных систем

Под информационной безопасностью понимается защищенность информации и поддерживающей инфраструктуры от случайных и преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры.

Состояние защищённости объекта — обязательное условие нормального функционирования организации. Только в условиях защищённости деятельность организации является оправданной, а планы будущего развития реальными.

Концепция информационной безопасности объекта представляет собой научно обоснованную систему взглядов на определение основных направлений, условий и порядка практического решения задач защиты от противоправных действий.

Объектами безопасности являются:

• — персонал (руководство, ответственные исполнители, сотрудники);
• — финансовые средства, материальные ценности, новейшие технологии;
• — информационные ресурсы (информация с ограниченным доступом, составляющая коммерческую тайну, иная конфиденциальная информация, предоставленная в виде документов и массивов независимо от формы и вида их представления).

Субъектами правоотношений при решении проблемы безопасности являются:

• — государство (Российская Федерация) как собственник ресурсов, создаваемых, приобретаемых и накапливаемых за счет средств государственных бюджетов, а также информационных ресурсов, отнесенных к категории государственной тайны;
• — организация как юридическое лицо, являющееся собственником финансовых, а также информационных ресурсов, составляющих служебную и коммерческую тайну;
• — другие юридические и физические лица, в том числе партнеры и клиенты по финансовым отношениям, задействованные в процессе функционирования организации как внутри страны, так и во внешнефинансовых связях (органы государственной власти, исполнительные органы, организации, привлекаемые для оказания услуг в области безопасности, обслуживающий персонал, клиенты и др.).

Концепция определяет цели и задачи системы безопасности, принципы ее организации, функционирования и правовые основы, виды угроз безопасности и ресурсы, подлежащие защите, а также основные направления разработки системы безопасности, включая правовую, организационную и инженерно-техническую защиту.

Основной целью системы безопасности является охрана законных интересов и прав собственника, нормальное функционирование объекта информатизации в ведении коммерческой деятельности, предотвращение угроз безопасности объекта. Кроме того, система безопасности призвана охранять жизнь и здоровье работников предприятия, предотвращать утечку, искажение и уничтожение ценной информации, не допустить кражу имущества и материальных ценностей, снизить вероятность сбоев и нарушения работы технических средств, обеспечить бесперебойное осуществление производственной деятельности.

Кроме того, целями являются: обеспечение сохранности сведений конфиденциального характера; эффективное управление, сохранность и защита государственных информационных ресурсов; обеспечение правового режима использования документов, информационных массивов, баз данных, прикладных программных продуктов, обеспечение полноты, целостности, достоверности информации в системах обработки.

Главные задачи системы информационной безопасности:

• — прогнозирование и своевременное выявление, и устранение угроз безопасности персоналу и ресурсам объекта; причин и условий, способствующих нанесению финансового, материального и морального ущерба, нарушению его нормального функционирования и развития;
• — категорирование информации, выявление объектов ограниченного доступа, отнесение материальных ресурсов к различным степеням важности;
• — предотвращение утечки информации по техническим каналам;
• — предотвращение несанкционированного уничтожения, искажения, копирования, блокирования информации в системах информатизации;
• — создание механизма и условий оперативного реагирования на угрозы безопасности и проявление негативных тенденций в функционировании объекта;
• — эффективное пресечение угроз персоналу и посягательств на ресурсы на основе правовых, организационных и инженерно-технических мер и средств обеспечения безопасности;
• — создание условий для максимально возможного возмещения и локализации наносимого ущерба неправомерным действиям физических и юридических лиц, ослабление негативного влияния последствий нарушения безопасности на достижение стратегических целей объекта.