йного заховання інформації від користувачів, які отримали права доступу.
Виділяють і інші не завжди обов'язкові категорії моделі безпеки:
неспростовності або апелліруемость (англ. non-repudiation) - здатність засвідчувати мало місце дія чи подія так, що ці події або дії не могли бути пізніше відкинуті;
підзвітність (англ. accountability) - забезпечення ідентифікації суб'єкта доступу та реєстрації його дій;
достовірність (англ. reliability) - властивість відповідності передбаченому поведінки чи результату;
автентичність або справжність (англ. authenticity) - властивість, що гарантує, що суб'єкт або ресурс ідентичні заявленим.
Обсяг (реалізація) поняття «інформаційна безпека»
Системний підхід до опису інформаційної безпеки пропонує виділити наступні складові інформаційної безпеки:
Законодавча, нормативно-правова та наукова база.
Структура і завдання органів (підрозділів), що забезпечують безпеку ІТ.
Організаційно-технічні і режимні заходи і методи (Політика інформаційної безпеки).
Програмно-технічні засоби і способи забезпечення інформаційної безпеки.
Нижче в даному розділі докладно буде розглянута кожна зі складових інформаційної безпеки.
Метою реалізації інформаційної безпеки будь-якого об'єкта є побудова Системи забезпечення інформаційної безпеки даного об'єкту (СОІБ). Для побудови та ефективної експлуатації СОІБ необхідно:
виявити вимоги захисту інформації, специфічні для даного об'єкта захисту;
врахувати вимоги національного та міжнародного Законодавства;
використовувати напрацьовані практики (стандарти, методології) побудови подібних СОІБ;
визначити підрозділи, відповідальні за реалізацію і підтримку СОІБ;
розподілити між підрозділами області відповідальності у здійсненні вимог СОІБ;
на базі управління ризиками інформаційної безпеки визначити загальні положення, технічні та організаційні вимоги, складові Політику інформаційної безпеки об'єкта захисту;
реалізувати вимоги Політики інформаційної безпеки, впровадивши відповідні програмно-технічні засоби і способи захисту інформації;
реалізувати Систему менеджменту (управління) інформаційної безпеки (СМІБ);
використовуючи СМІБ організувати регулярний контроль ефективності СОІБ і при необхідності перегляд і коригування СОІБ і СМІБ.
Як видно з останнього етапу робіт, процес реалізації СОІБ безперервний і циклічно (після кожного перегляду) повертається до першого етапу, повторюючи послідовно всі інші. Так СОІБ коригується для ефективного виконання своїх завдань захисту інформації та відповідності новим вимогам постійно оновлюється інформаційної системи.
Нормативні документи в галузі інформаційної безпеки
У Російській Федерації до нормативно-правовим актам у галузі інформаційної безпеки відносяться:
Акти федерального законодавства:
Міжнародні договори РФ;
Конституція РФ;
Закони федерального рівня (включаючи федеральні конституційні закони, кодекси);
Укази Президента РФ;
Постанови Уряду РФ;
Нормативні правові акти федеральних міністерств і відомств;
Нормативні правові акти суб'єктів РФ, органів місцевого самоврядування і т. д.
Детальніше списки і зміст зазначених нормативних документів у галузі інформаційної безпеки обговорюються в розділі Інформаційне право.
До нормативно-методичних документів можна віднести
Методичні документи державних органів Росії:
Доктрина інформаційної безпеки РФ;
Керівні документи ФСТЕК (Гостехкомиссии Росії);
Накази ФСБ;
Стандарти інформаційної безпеки, з яких виділяють:
Міжнародні стандарти;
Державні (національні) стандарти РФ;
Рекомендації по стандартизації;
Методичні вказівки.
Органи (підрозділи), що забезпечують інформаційну безпеку
У залежності від програми діяльності в галузі захисту інформації (в рамках державних органів влади або комерційних організацій), сама діяльність організовується спеціальними державними органами (підрозділами), або відділами (служб...
