Информационная безопасность

несанкционированный доступ путем подкупа и склонения к сотрудничеству со стороны конкурентов и преступных группировок - 24%;

отсутствие на фирме  надлежащего контроля и жестких  условий обеспечения информационной безопасности - 14%;

традиционный обмен  производственным опытом - 12%;

бесконтрольное использование информационных систем - 10%;

наличие предпосылок  возникновения среди сотрудников  конфликтных ситуаций 8%;

а также отсутствие высокой  трудовой дисциплины, психологическая  несовместимость, случайный подбор кадров, слабая работа кадров по сплочению  коллектива.

Среди форм и методов  недобросовестной конкуренции находят  наибольшее распространение:

экономическое подавление, выражающееся в срыве сделок и  иных соглашений (48%),

парализации деятельности фирмы (31%),

компрометации фирмы (11%),

шантаже руководителей фирмы (10%);

физическое подавление:

ограбления и разбойные нападения  на офисы, склады, грузы (73%),

угрозы физической расправы над  руководителями фирмы и ведущими специалистами (22%),

убийства и захват заложников (5%);

информационное воздействие:

подкуп сотрудников (43%),

копи-рование информации (24%),

проникновение в базы данных (18%),

продажа конфиденциальных документов (10%),

подслушивание телефонных переговоров и переговоров в  помещениях (5%),

а также ограничение доступа к информации, дезинформация;

финансовое подавление включает такие понятия, как инфляция, бюджетный дефицит, коррупция, хищение  финансов, мошенничество; психическое  давление может выражаться в виде хулиганских выходок, угрозы и шантажа, энергоинформационного воздействия.

Основными угрозами информации являются ее разглашение, утечка и несанкционированный  доступ к ее источникам. Каждому  из условий неправомерного овладения  конфиденциальной информацией можно  поставить в соответствие определенные каналы, определенные способы защитных действий и определенные классы средств защиты или противодействия. Совокупность определений, каналов, способов и средств представляется в виде следующей схемы.

Государственный стандарт РФ ГОСТ Р 50922 - 96

ГОСТ Р 50922 - 96

ГОСУДАРСТВЕННЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Защита информации

Основные термины и  определения

Дата введения 1.07.97 г.

1. Область применения 

2. Общие положения 

3 Стандартизованные термины  и их определения 

3.1 Основные понятия 

3.2 Организация защиты информации

4. Приложение А (справочное)

1 ОБЛАСТЬ ПРИМЕНЕНИЯ 

Настоящий стандарт устанавливает  основные термины и их определения  в области защиты информации.

Термины, установленные  настоящим стандартом, обязательны  для применения во всех видах документации и литературы по защите информации.

Настоящий стандарт применяется  совместно с ГОСТ РВ 50170-92.

2 ОБЩИЕ ПОЛОЖЕНИЯ 

Установленные в стандарте  термины расположены в систематизированном  порядке, отражающем систему понятий  в данной области знания.

Для каждого понятия установлен один стандартизованный термин.

Заключенная в круглые  скобки часть термина может быть опущена при использовании термина  в документах по стандартизации.

Наличие квадратных скобок в терминологической статье означает, что в нее включены два (три, четыре и т.п.) термина, имеющие общие терминоэлементы.

Разрешается, при необходимости, уточнять приведенные определения, вводя дополнительные признаки, раскрывающие значения терминов, без искажения  смысла определения.

Термины и определения общетехнических понятий, необходимые для понимания текста стандарта, приведены в приложении А.

3 СТАНДАРТИЗОВАННЫЕ ТЕРМИНЫ  И ИХ ОПРЕДЕЛЕНИЯ 

3.1 Основные понятия 

Защищаемая информация - информация, являющаяся предметом  собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.

Примечание: Собственником  информации может быть - государство, юридическое лицо, группа физических лиц, отдельное физическое лицо.

Защита информации - защита информации: Деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.

Защита информации от утечки - деятельность по предотвращению неконтролируемого распространения защищаемой информации от ее разглашения, несанкционированного доступа к защищаемой информации и от получения защищаемой информации [иностранными] разведками.

Защита информации от несанкционированного воздействия - защита информации от НСВ: Деятельность по предотвращению воздействия на защищаемую информацию с нарушением установленных прав и/или правил на изменение информации, приводящего к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.

Зашита информации от непреднамеренного воздействия - деятельность по предотвращению воздействия на защищаемую информацию ошибок пользователя информацией, сбоя технических и программных  средств информационных систем, а  также природных явлений или иных нецеленаправленных на изменение информации воздействий, связанных с функционированием технических средств, систем или с деятельностью людей, приводящих к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.

Защита информации от разглашения - деятельность по предотвращению несанкционированного доведения защищаемой информации до неконтролируемого количества получателей информации.

Защита информации от несанкционированного доступа - защита информации от НСД: Деятельность по предотвращению получения защищаемой информации заинтересованным субъектом с нарушением установленных  правовыми документами или собственником, владельцем информации прав или правил доступа к защищаемой информации.

Примечание: Заинтересованным субъектом, осуществляющим несанкционированный  доступ к защищаемой информации, может  выступать: государство, юридическое  лицо, группа физических лиц, в том  числе общественная организация, отдельное физическое лицо.

Защита информации от [иностранной] разведки - деятельность по предотвращению получения защищаемой информации [иностранной] разведкой.

Защита информации от [иностранной] технической разведки - деятельность по предотвращению получения  защищаемой информации [иностранной] разведкой  с помощью технических средств.

Защита информации от агентурной разведки - деятельность по предотвращению получения защищаемой информации агентурной разведкой.

Цель защиты информации - желаемый результат защиты информации.

Примечание: Целью защиты информации может быть предотвращение ущерба собственнику, владельцу, пользователю информации в результате возможной  утечки информации и/или несанкционированного и непреднамеренного воздействия на информацию.

Эффективность защиты информации - степень соответствия результатов  защиты информации поставленной цели.

Показатель эффективности  зашиты информации - мера или характеристика для оценки эффективности защиты информации.

Нормы эффективности  защиты информации - значения показателей  эффективности защиты информации, установленные  нормативными документами.

3.2 Организация  защиты информации

Организация защиты информации - содержание и порядок действий по обеспечению защиты информации.

Система защиты информации - совокупность органов и/или исполнителей, используемая ими техника защиты информации, а также объекты защиты, организованные и функционирующие  по правилам, установленным соответствующими правовыми, организационно-распорядительными и нормативными документами по защите информации.

Мероприятие по защите информации - совокупность действий по разработке и/или практическому применению способов и средств защиты информации.

Мероприятие по контролю эффективности защиты информации- совокупность действий по разработке и/или практическому  применению методов [способов] и средств  контроля эффективности защиты информации.

Техника защиты информации - средства защиты информации, средства контроля эффективности защиты информации, средства и системы управления, предназначенные для обеспечения защиты информации.

Объект защиты - информация или носитель информации или информационный процесс, в отношении которых  необходимо обеспечивать защиту в соответствии с поставленной целью защиты информации.

Способ защиты информации - порядок и правила применения определенных принципов и средств  защиты информации.

Категорирование защищаемой информации [объекта защиты] - установление градаций важности защиты защищаемой информации [объекта защиты].

Метод [способ] контроля эффективности защиты информации - порядок и правила применения определенных принципов и средств  контроля эффективности защиты информации.

Контроль состояния  защиты информации - проверка соответствия организации и эффективности защиты информации установленным требованиям и/или нормам в области защиты информации.

Средство защиты информации - техническое, программное средство, вещество и/или материал, предназначенные  или используемые для защиты информации.

Средство контроля эффективности  защиты информации - техническое, программное  средство, вещество и/или материал, предназначенные или используемые для контроля эффективности защиты информации.

Контроль организации  защиты информации - проверка соответствия состояния организации, наличия и содержания документов требованиям правовых, организационно-распорядительных и нормативных документов по защите информации.

Контроль эффективности  защиты информации - проверка соответствия эффективности мероприятий по защите информации установленным требованиям или нормам эффективности защиты информации.

Организационный контроль эффективности зашиты информации- проверка полноты и обоснованности мероприятий  по защите информации требованиям нормативных документов по защите информации.

Технический контроль эффективности  зашиты информации - контроль эффективности  защиты информации, проводимой с использованием средств контроля.

ГОСТ Р 50922-96 Приложение А (справочное) Термины и определения, необходимые для понимания текста стандарта

Информация - сведения о  лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы  их представления.

Доступ к информации - получение субъектом возможности  ознакомления с информацией, в том  числе при помощи технических средств.

Субъект доступа к  информации - субъект доступа: участник правоотношений в информационных процессах.

Примечание: Информационные процессы - процессы создания, обработки, хранения, защиты от внутренних и внешних  угроз, передачи, получения, использования и уничтожения информации.

Носитель информации - физическое лицо, или материальный объект, в том числе физическое поле, в которых информация находит  свое отображение в виде символов, образов, сигналов, технических решений  и процессов.

Собственник информации - субъект, в полном объеме реализующий полномочия владения, пользования, распоряжения информацией в соответствии с законодательными актами.

Владелец информации - субъект, осуществляющий владение и  пользование информацией и реализующий полномочия распоряжения в пределах прав, установленных законом и/или собственником информации.

Пользователь [потребитель] информации - субъект, пользующийся информацией, полученной от ее собственника, владельца  или посредника в соответствии с  установленными правами и правилами доступа к информации либо с их нарушением.

Право доступа к информации - право доступа: совокупность правил доступа к информации, установленных  правовыми документами или собственником, владельцем информации.

Правило доступа к  информации - правило доступа: совокупность правил, регламентирующих порядок и условия доступа субъекта к информации и ее носителям.

Орган защиты информации - административный орган, осуществляющий организацию защиты информации.

Способы защиты информации

3.1. Общие положения

3.2. Характеристика защитных  действий 

Способы - это порядок  и приемы использования сил и  средств для достижения поставленной цели по защите конфиденциальной информации.