Информационная безопасность: различия между версиями

Материал из Википедии — свободной энциклопедии
Перейти к навигации Перейти к поиску
[непроверенная версия][непроверенная версия]
Содержимое удалено Содержимое добавлено
Строка 7: Строка 7:
В то время как '''информационная безопасность''' — это ''состояние'' защищённости информационной среды, '''защита информации''' — представляет собой ''деятельность'' по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию, то есть ''процесс'', направленный на достижение этого состояния.
В то время как '''информационная безопасность''' — это ''состояние'' защищённости информационной среды, '''защита информации''' — представляет собой ''деятельность'' по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию, то есть ''процесс'', направленный на достижение этого состояния.


== Критерии информационной безопасности ==
== [[Критерии информационной безопасности]] ==


[[Image:Information security components JMK.png|thumb|250px|right|Компоненты информационной безопасности, согласно модели CIA]]
[[Image:Information security components JMK.png|thumb|250px|right|Компоненты информационной безопасности, согласно модели CIA]]

Версия от 12:50, 4 февраля 2009

Определения

Информационная безопасность организации — состояние защищённости информационной среды организации, обеспечивающее её формирование, использование и развитие.

Информационная безопасность государства — состояние защищённости интересов в информационной сфере, определяющихся сбалансированной совокупностью интересов личности, общества и государства.

В то время как информационная безопасность — это состояние защищённости информационной среды, защита информации — представляет собой деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию, то есть процесс, направленный на достижение этого состояния.

Компоненты информационной безопасности, согласно модели CIA

В качестве стандартной модели безопасности часто приводят модель из трёх категорий:

  • конфиденциальность (англ. confidentiality) — доступность информации только определённому кругу лиц;
  • целостность (integrity) — гарантия существования информации в исходном виде;
  • доступность (availability) — возможность получения информации авторизованным пользователем в нужное для него время.

Выделяют и другие категории модели безопасности:

  • аутентичность — возможность установления автора информации;
  • апеллируемость — возможность доказать, что автором является именно заявленный человек, и никто другой.

Обеспечение информационной безопасности

При использовании

Модели управления доступом, для обеспечения конфиденциальности, целостности и доступности:

Обеспечение безопасности при передаче:

Средства авторизации и аутентификации:

Средства обеспечения апеллируемости:

Средства обеспечения аутентичности:

Службы обеспечения безопасности

Уровня предприятия

Уровня государства:

Стандарты в области информационной безопасности

  • BS 7799-1:2005 — Британский стандарт BS 7799 первая часть. BS 7799 Part 1 — Code of Practice for Information Security Management (Практические правила управления информационной безопасностью) описывает 127 механизмов контроля, необходимых для построения системы управления информационной безопасностью (СУИБ) организации, определённых на основе лучших примеров мирового опыта (best practices) в данной области. Этот документ служит практическим руководством по созданию СУИБ
  • BS 7799-2:2005 — Британский стандарт BS 7799 вторая часть стандарта. BS 7799 Part 2 — Information Security management — specification for information security management systems (Спецификация системы управления информационной безопасностью) определяет спецификацию СУИБ. Вторая часть стандарта используется в качестве критериев при проведении официальной процедуры сертификации СУИБ организации.
  • BS 7799-3:2006 — Британский стандарт BS 7799 третья часть стандарта. Новый стандарт в области управления рисками информационной безопасности
  • ISO/IEC 17799:2005 — «Информационные технологии — Технологии безопасности — Практические правила менеджмента информационной безопасности». Международный стандарт, базирующийся на BS 7799-1:2005.
  • ISO/IEC 27000 — Словарь и определения.
  • ISO/IEC 27001:2005 — «Информационные технологии — Методы обеспечения безопасности — Системы управления информационной безопасностью — Требования». Международный стандарт, базирующийся на BS 7799-2:2005.
  • ISO/IEC 27002 — Сейчас: ISO/IEC 17799:2005. Дата выхода — 2007 год.
  • ISO/IEC 27005 — Сейчас: BS 7799-3:2006 — Руководство по менеджменту рисков ИБ.
  • ГОСТ Р 50922-96 — Защита информации. Основные термины и определения.
  • Р 50.1.053-2005 — Информационные технологии. Основные термины и определения в области технической защиты информации.
  • ГОСТ Р 51188—98 — Защита информации. Испытание программных средств на наличие компьютерных вирусов. Типовое руководство.
  • ГОСТ Р 51275-99 — Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения.
  • ГОСТ Р ИСО/МЭК 15408-1-2002 — Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель.
  • ГОСТ Р ИСО/МЭК 15408-2-2002 — Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности.
  • ГОСТ Р ИСО/МЭК 15408-3-2002 — Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности.
  • ГОСТ Р ИСО/МЭК 15408 — «Общие критерии оценки безопасности информационных технологий» — стандарт, определяющий инструменты и методику оценки безопасности информационных продуктов и систем; он содержит перечень требований, по которым можно сравнивать результаты независимых оценок безопасности — благодаря чему потребитель принимает решение о безопасности продуктов. Сфера приложения «Общих критериев» — защита информации от несанкционированного доступа, модификации или утечки, и другие способы защиты, реализуемые аппаратными и программными средствами.
  • ГОСТ Р ИСО/МЭК 17799 — «Информационные технологии. Практические правила управления информационной безопасностью». Прямое применение международного стандарта с дополнением — ISO/IEC 17799:2005.
  • ГОСТ Р ИСО/МЭК 27001 — «Информационные технологии. Методы безопасности. Система управления безопасностью информации. Требования». Прямое применение международного стандарта — ISO/IEC 27001:2005.
  • ГОСТ Р 51898-2002 — Аспекты безопасности. Правила включения в стандарты.
  • German Information Security Agency. IT Baseline Protection Manual — Standard security safeguards (Руководство по базовому уровню защиты информационных технологий).

См. также

Ссылки