Различного рода информация и поддерживающая её инфраструктура являются ценными производственными ресурсами любой организации. Как и всяким другим ресурсам, информации угрожают внутренние и внешние опасности – такие как: компьютерное мошенничество, шпионаж, кражи, саботаж, вандализм, а также другие источники отказов и аварий. Предполагается, что такие угрозы со временем станут более распространенными, опасными и изощренными. В то же время из-за возрастающей зависимости организаций от четко функционирующих информационных систем и сервисов, угрозы информации и информационной инфраструктуре становятся все более значимыми. Тенденция к переходу на распределенные вычислительные системы, «облачные» вычисления усложняет возможности централизованного контроля информационных систем и увеличивает риски.
Под информационной безопасностью понимается защищенность информации и поддерживающей ее инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб владельцам и пользователям информации.
Защита информации – это комплекс мероприятий, направленных на обеспечение информационной безопасности.
Информационная безопасность обеспечивает три основных компонента:
а) конфиденциальность: защита конфиденциальной информации от несанкционированного раскрытия или перехвата, собственно обеспечивающая доступ к информации только авторизованных пользователей;
б) целостность: точность, полнота и достоверность информации и компьютерных программ;
в) доступность: обеспечение доступности информации и жизненно важных сервисов для авторизованных пользователей.
Информационная безопасность достигается путем реализации соответствующего комплекса мероприятий, который может быть представлен стратегиями, методами, процедурами, организационными структурами, функциями программного и аппаратного обеспечения. Указанные мероприятия должны обеспечить достижение целей информационной безопасности организации.
Как определить требования к информационной безопасности?
Организация должна определить свои требования к информационной безопасности с учетом следующих трех факторов:
Во-первых, оценка рисков организации. Посредством оценки рисков происходит выявление угроз активам организации, оценка уязвимости соответствующих активов и вероятности возникновения угроз, а так же оценка возможных последствий.
Во-вторых, анализ юридических, законодательных, регулирующих и договорных требований, которым должны удовлетворять организация, ее торговые партнеры, подрядчики и поставщики услуг.
В-третьих, учет специфического набора принципов, целей и требований, разработанных организацией в отношении обработки информации.