Сергей Терехов – Защита персональных данных курс лекций (страница 3)

Доступность информации – возможность субъекту информационных отношений за приемлемое время получить требуемую информационную услугу.

Целостность информации – устойчивость информации к несанкционированному или случайному воздействию на нее в процессе обработки, результатом которого может быть уничтожение или искажение информации.

Конфиденциальность информации – требование обладателя информации о запрете несанкционированного доступа к информации.

Неотрекаемость – возможность доказать авторство информационного сообщения.

Все эти свойства будут более подробно проанализированы после ввода понятия «информационная система»

1.6. 

Обработка информации

Информация может использоваться в первозданном виде, в той форме, в которой она возникла, или в более удобном (обработанном) виде для пользователя. Понятие «обработка информации» не менее базовое, чем понятие самой информации. ФЗ №149 не дает определения данного понятия. Самое общее определение может быть таким: обработка информации – любые действия с информацией. Чтобы немного конкретизировать действия обычно перечисляют примеры действий: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление), уничтожение.

Некоторые из перечисленных действий на бытовом уровне не воспринимаются в качестве «обработки», например, хранение информации, однако при рассмотрении вопросов информационной безопасности под обработкой также понимают и хранение. Примером обработки информации может служить начисление заработной платы сотрудникам предприятия.

1.7. 

Информационные технологии

Обработка информации как алгоритмический процесс, состоящий из последовательных и(или) параллельных действий над ней и приводящий к необходимому результату (получение новой информации, упорядочивание, структурирование и т.д.) называется информационной технологией.

Если сведения о контрагентах предприятия внесены на отдельные картонные карточки, а затем карточки упорядочены в алфавитном порядке по названиям предприятий, то это пример (устаревшей) информационной технологии поиска информации.

1.8. 

Информационная система

Для автоматизации обработки информации используют технические средства. В начале и середине двадцатого века это были логарифмические линейки, арифмометры и нечто аналогичное. Сейчас это компьютеры, многочисленный спектр периферийного оборудования компьютеров (принтеры, сканеры и т.д.), сети передачи данных. Технические средства, используемые непосредственно для реализации информационных технологий, называют основными техническими средствами и системами (ОТСС). Для обеспечения работоспособности ОТСС требуется электроэнергия, системы кондиционирования, контрольно-измерительная аппаратура и т.д. Подобные технические средства, которые не используются непосредственно для обработки информации, но без которых обработка неосуществима, называются вспомогательными техническими средствами и системами (ВТСС) или поддерживающей инфраструктурой.

Теперь можно дать определение информационной системы:  «информационная система – совокупность содержащейся в базах данных информации и обеспечивающих её обработку информационных технологий и средств». Это понятие информационной системы, взятое из федерального закона 149-ФЗ, несмотря на кажущуюся сложность при переводе на обычный язык абсолютно просто для восприятия. Информационная система – это компьютеры (средства), управляемые прикладными программами (информационные технологии), определяющими нужный процесс обработки информации. Например, персональный компьютер (средства), на котором установлена программа расчета заработной платы (информационная технология) сотрудников предприятия (информация) – типичный пример информационной системы.

1.8.1.

Классификация информационных систем

Информационные системы подразделяются на различные классы на основе отличительных признаков, причем число таких классификаций находится в прямой зависимости от цели и числа существенных признаков. Классификация, приведенная ниже, сделана в контексте информационной безопасности, когда отличительные признаки позволяют ранжировать системы по степени защищенности.

Для проведения классификации потребуется определить понятие контролируемой зоны, которое имеет большое значение для организации защиты информации.

Контролируемая зона – пространство (территория, здание, часть здания, помещение), в котором исключено неконтролируемое пребывание посторонних лиц, а также транспортных, технических и иных материальных средств.

Огороженная территория с единственным пропускным пунктом, через который разрешен проход только сотрудникам предприятия или иным лицам, но только в сопровождении сотрудников – пример контролируемой зоны.

Если предприятие размещено в 2-х зданиях, расположенных на противоположных сторонах улицы, то здания – контролируемая зона, а улица поверх которой проложены коммуникационные кабели, объединяющие локальные подсети в единую сеть предприятия – неконтролируемая зона.

Если предприятие арендует две несмежные комнаты на одном этаже и компьютеры, размещенные в этих комнатах, объединены в локальную вычислительную сеть посредством кабеля, проходящего через не принадлежащие ему помещения, то в целом сеть развернута в неконтролируемой зоне.

1.8.1.1.

Локальная информационная система

Следующие понятия, касающиеся локальных и распределенных информационных систем, достаточны сложны при академическом подходе к их определению. Поэтому ниже приводятся достаточно вольные трактовки, которых вполне достаточно для понимания необходимых аспектов информационной безопасности. В частности, эти понятия понадобятся при определении частной модели угроз безопасности (см. соответствующую лекцию).

Локальная информационная система состоит из расположенных локально в контролируемой зоне единственного или нескольких компьютеров (основного технического средства), и выполняющих обработку информации.

1.8.1.2.

Распределенная информационная система

Распределенная система – это набор независимых компьютеров, представляющийся их пользователям единой объединенной системой. Компоненты в распределенной информационной системе (информация, программы) распределены по нескольким компьютерам. Несколько другое понимание распределенной системы, когда компоненты ее не только распределены по нескольким компьютерам, но и расположены в разных контролируемых зонах, которые объединены сетями общего пользования, например, Интернет.

Наиболее распространенный вид распределенной информационной системы в малых предприятиях, когда на одном из компьютеров (сервере) располагаются данные (база данных), а основная обработка ведется на других компьютерах (клиентах). Такая технология обработки данных носит название «Клиент-сервер».

1.8.1.3.

Автономная (изолированная) информационная система

Автономная (замкнутая, закрытая) информационная система не связана никакими каналами передачи данных с другими информационными системами. Единственный способ получения доступа к информации в автономной системе (за исключением использования побочных электромагнитных излучений и наводок) быть пользователем или внутренним нарушителем (получившим несанкционированный доступ).

Персональный компьютер с установленной операционной системой Windows и приложением для расчета заработной платы сотрудникам малого предприятия – пример автономной информационной системы, если выполнены следующие условия:

в компьютере не задействованы или отсутствуют технические средства для организации доступа к персональным сетям (технология типа Blue Tooth), локальным проводным и беспроводным сетям (Ethernet, Wi-Fi), сетям международного информационного обмена (Интернет).

Компьютер размещен в контролируемой зоне предприятия.

1.8.1.4.

Информационная система, имеющая подключения к сети общего пользования

Под сетью общего пользования понимается локальная вычислительная сеть предприятия, корпоративная сеть предприятия, охватывающая подразделения, которые территориально разнесены на значительные расстояния друг от друга, сеть Интернет. Такие информационные системы типичны для малого и среднего бизнеса, так как они развивались без учета на этапе проектирования (если вообще проектировались) проблем информационной безопасности. Более того, реальные информационные системы имеют многоточечное соединение с другими сетями, что сильно затрудняет их изоляцию.

Обычная практика, когда компьютеры одной информационной системы (например, бухгалтерского учета) расположены на разных этажах здания и подключены к «этажным» коммутаторам совместно с компьютерами других систем. В свою очередь, коммутаторы, размещенные на разных этажах, объединяются главным коммутатором. Такая топология исключительно уязвима, так как требуется защищать каждый компьютер информационной системы. Правильное решение – все компьютеры информационной системы имеют единственную «точку» соединения с сетями общего пользования. Обычно такой точкой бывает аппаратный или программный маршрутизатор (с межсетевым экраном), который при надлежащей настройке способен гибко контролировать передачу данных из информационной системы и в информационную систему.