Что такое безопасность информационных технологий

Прежде всего, необходимо понять, что же такое безопасность информационных технологий, определить что (кого), от чего (от кого), почему (зачем) и как (в какой степени и какими средствами) надо защищать. Только получив чёткие ответы на данные вопросы, можно правильно сформулировать общие требования к системе обеспечения безопасности ИТ и переходить к обсуждению вопросов построения соответствующих систем защиты.

Что же такое безопасность и безопасность ИТ в частности? Очень часто говорят, что безопасность это отсутствие опасностей. Это не совсем правильно, так как полностью устранить все возможные опасности нельзя. Безопасность - это защищённость от опасностей. Точнее, безопасность - это защищённость от возможного ущерба, наносимого при реализации этих опасностей (угроз).

Наносимый при осуществлении угроз ущерб может быть материальным, моральным или физическим. Наноситься этот ущерб может напрямую или косвенно. Субъектами нанесения ущерба, в конечном счёте, всегда являются люди. Даже если пострадают материальные объекты или информационные ресурсы, ущерб (косвенный) в итоге будет причинён людям, каким-либо образом, связанным с этими объектами или заинтересованным в их сохранности и целостности. Самим этим объектам (ресурсам) - все равно. Они не живые, у них нет своих интересов. Но от них зависят люди, которым повреждения этих объектов (ресурсов) могут быть далеко небезразличны.

Реальность такова, что чем с большим числом объектов нас что-то связывает, тем в большей опасности для косвенного нанесения нам ущерба мы находимся.

Если мы заинтересованы в надлежащей работе АС, то косвенный ущерб нашим интересам может быть нанесён путём нарушения нормального функционирования этих систем или нарушения необходимых нам свойств отдельных компонентов и ресурсов АС. Причём, среди таких компонентов не только информация, но и её носители (устройства хранения, обработки, передачи данных), а также процессы обработки и передачи
информации.

Под автоматизированной системой обработки информации будем понимать организационно-техническую систему, представляющую собой совокупность следующих взаимосвязанных компонентов:

■ технических средств обработки и передачи данных (средств вычислительной техники и связи);
■ методов и алгоритмов обработки данных в виде программного обеспечения;
■ информации (массивов, наборов, баз данных) на различных носителях;
■ обслуживающего персонала и пользователей системы, объединённых по организационно-структурному, тематическому, технологическому или другим признакам для выполнения автоматизированной обработки информации (данных) с целью удовлетворения информационных потребностей субъектов информационных отношений

рисунок - Основные компоненты автоматизированной системы

Под обработкой информациив АС будем понимать любую совокупность операций (приём, накопление, хранение, преобразование, отображение, передача и т.п.), осуществляемых над информацией (сведениями, данными) с использованием средств АС.