Информация является одним из ценнейших ресурсов любой компании, поэтому обеспечение защиты информации является одной из важнейших и приоритетных задач.
Безопасность информационной системы - это свойство, заключающееся в способности системы обеспечить ее нормальное функционирование, то есть обеспечить целостность и секретность информации. Для обеспечения целостности и конфиденциальности информации необходимо обеспечить защиту информации от случайного уничтожения или несанкционированного доступа к ней.
Во целостностью понимается невозможность несанкционированного или случайного уничтожения, а также модификации информации. Во конфиденциальностью информации - невозможность утечки и несанкционированного завладения хранимой, передаваемой или такой, что принимается.
Известны следующие источники угроз безопасности информационных систем: антропогенные источники, вызванные случайными или преднамеренными действиями субъектов; техногенные источники, приводящие к отказам и сбоям технических и программных средств из-за устаревших программных и аппаратных средств или ошибок в ПО; стихийные источники, вызванные природными катаклизмами или форс-мажорными обстоятельствами.
В свою очередь антропогенные источники угроз делятся: на внутренние (действия со стороны сотрудников компании) и внешние (несанкционированное вмешательство посторонних лиц из внешних сетей общего назначения) источники, на непреднамеренные (случайные) и преднамеренные действия субъектов. Существует достаточно много возможных направлений утечки информации и путей несанкционированного доступа к ней в системах и сетях: перехват информации; модификация информации (исходное сообщение или документ изменяется или подменяется другим и отсылается адресату); подмена авторства информации (кто-то может послать письмо или документ от вашего имени ) использование недостатков операционных систем и прикладных программных средств; копирование носителей информации и файлов с преодолением мер защиты; незаконное подключение к аппаратуре и линиям связи; маскировка под зарегистрированного пользователя и присвоение его полномочий; введения новых пользователей, внедрение компьютерных вирусов и т.д.
Для обеспечения безопасности информационных систем применяют системы защиты информации, которые являются комплексом организационно - технологических мероприятий, программно-технических средств и правовых норм, направленных на противодействие источникам угроз безопасности информации. При комплексном подходе методы противодействия угрозам интегрируются, создавая архитектуру безопасности систем. Необходимо отметить, что любая системы защиты информации не является полностью безопасной. Всегда приходится выбирать между уровнем защиты и эффективностью работы информационных систем.
К средствам защиты информации ИС от действий субъектов относятся: средства защиты информации от несанкционированного доступа, защита информации в компьютерных сетях; криптографическая защита информации; электронной цифровой подписи, защита информации от компьютерных вирусов.