Доступность – это возможность за приемлемое время получить требуемую информационную услугу. Под целостностью подразумевается актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения.
Наконец, конфиденциальность – это защита от несанкционированного доступа к информации.
Информационные системы создаются (приобретаются) для получения определенных информационных услуг. Если по тем или иным причинам предоставить эти услуги пользователям становится невозможно, это, очевидно, наносит ущерб всем субъектам информационных отношений. Поэтому, не противопоставляя доступность остальным аспектам, мы выделяем ее как важнейший элемент информационной безопасности.
Особенно ярко ведущая роль доступности проявляется в разного рода системах управления – производством, транспортом и т.п. Внешне менее драматичные, но также весьма неприятные последствия – и материальные, и моральные – может иметь длительная недоступность информационных услуг, которыми пользуется большое количество людей (продажа железнодорожных и авиабилетов, банковские услуги и т.п.).
Целостность можно подразделить на статическую (понимаемую как неизменность информационных объектов) и динамическую (относящуюся к корректному выполнению сложных действий (транзакций)). Средства контроля динамической целостности применяются, в частности, при анализе потока финансовых сообщений с целью выявления кражи, переупорядочения или дублирования отдельных сообщений.
Целостность оказывается важнейшим аспектом ИБ в тех случаях, когда информация служит "руководством к действию". Рецептура лекарств, предписанные медицинские процедуры, набор и характеристики комплектующих изделий, ход технологического процесса – все это примеры информации, нарушение целостности которой может оказаться в буквальном смысле смертельным. Неприятно и искажение официальной информации, будь то текст закона или страница Web-сервера какой-либо правительственной организации. Конфиденциальность – самый проработанный у нас в стране аспект информационной безопасности. К сожалению, практическая реализация мер по обеспечению конфиденциальности современных информационных систем наталкивается в России на серьезные трудности. Во-первых, сведения о технических каналах утечки информации являются закрытыми, так что большинство пользователей лишено возможности составить представление о потенциальных рисках. Во-вторых, на пути пользовательской криптографии как основного средства обеспечения конфиденциальности стоят многочисленные законодательные препоны и технические проблемы.
Понятие угрозы
Современная литература понятия \"информационная угроза\" рассматривает как потенциальную возможность определенным образом нарушить информационную безопасность, или степень вероятности возникновения такого явления (события), следствием которого в могут быть нежелательные воздействия на информацию, тогда как попытки реализовать угрозу рассматривается атакой, а тот, кто начинает такую??попытку, - злоумышленником Потенциальные злоумышленники называются источниками за грозы Успешность атаки может приводить к потере информации одной из критических особенностей (конфиденциальности, целостности или доступа к информацииї).
Обычно угроза является следствием наличия уязвимых мест в защите информационных систем (таких, например, как возможность доступа посторонних лиц к критически важного оборудования или ошибки в программно ом обеспечении) Угроза информации, циркулирующей в информационной системе, зависит от ее структуры и конфигурации, технологии обработки информации в ней, состояния окружающей физической среды а также действий персоналу.
Стоит отметить, что ряд угроз не следует считать следствием каких-то ошибок, просчетов или злого умысла, ведь они существуют в силу самой природы информационных систем (угроза отключения электричества или и ее параметров за допустимые пределы существует из-за зависимости аппаратного обеспечения информационной системы от качественного электропитания) Часто существуют угрозы причинения вреда системам обработки данных че рез физическое воздействие стихийных природных явлений, не зависящих от человеки.
Учитывая это, рассмотрим наиболее распространенные угрозы, которые уязвимы современные информационные системы, что позволит выбрать наиболее экономичные средства обеспечения безопасности Ведь неосведомленность в этой деле приведет к перерасходу средств и, что еще хуже, к концентрации ресурсов там, где они особо и не нужны, за счет ослабления действительно уязвимых направлениив.