Свойства информации конфиденциальность доступность целостность. Конфиденциальность, целостность и доступность данных. объяснить — почему целостность, доступность и конфиденциальность являются главными составляющими «информационной безопасности»

Основные составляющие информационной безопасности

Информационная безопасность – многогранная, можно даже сказать, многомерная область деятельности, в которой успех может принести только системный, комплексный подход.

Спектр интересов субъектов, связанных с использованием информационных систем, можно разделить на следующие категории: обеспечение доступности, целостности и конфиденциальности информационных ресурсов и поддерживающей инфраструктуры.

Иногда в число основных составляющих ИБ включают защиту от несанкционированного копирования информации, но, на наш взгляд, это слишком специфический аспект с сомнительными шансами на успех, поэтому мы не станем его выделять.

Доступность – это возможность за приемлемое время получить требуемую информационную услугу. Под целостностью подразумевается актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения.

Наконец, конфиденциальность – это защита от несанкционированного доступа к информации.

Информационные системы создаются (приобретаются) для получения определенных информационных услуг. Если по тем или иным причинам предоставить эти услуги пользователям становится невозможно, это, очевидно, наносит ущерб всем субъектам информационных отношений. Поэтому, не противопоставляя доступность остальным аспектам, мы выделяем ее как важнейший элемент информационной безопасности.

Особенно ярко ведущая роль доступности проявляется в разного рода системах управления – производством, транспортом и т.п. Внешне менее драматичные, но также весьма неприятные последствия – и материальные, и моральные – может иметь длительная недоступность информационных услуг, которыми пользуется большое количество людей (продажа железнодорожных и авиабилетов, банковские услуги и т.п.).

Целостность можно подразделить на статическую (понимаемую как неизменность информационных объектов) и динамическую (относящуюся к корректному выполнению сложных действий (транзакций)). Средства контроля динамической целостности применяются, в частности, при анализе потока финансовых сообщений с целью выявления кражи, переупорядочения или дублирования отдельных сообщений.

Целостность оказывается важнейшим аспектом ИБ в тех случаях, когда информация служит "руководством к действию". Рецептура лекарств, предписанные медицинские процедуры, набор и характеристики комплектующих изделий, ход технологического процесса – все это примеры информации, нарушение целостности которой может оказаться в буквальном смысле смертельным. Неприятно и искажение официальной информации, будь то текст закона или страница Web-сервера какой-либо правительственной организации. Конфиденциальность – самый проработанный у нас в стране аспект информационной безопасности. К сожалению, практическая реализация мер по обеспечению конфиденциальности современных информационных систем наталкивается в России на серьезные трудности. Во-первых, сведения о технических каналах утечки информации являются закрытыми, так что большинство пользователей лишено возможности составить представление о потенциальных рисках. Во-вторых, на пути пользовательской криптографии как основного средства обеспечения конфиденциальности стоят многочисленные законодательные препоны и технические проблемы.

Если вернуться к анализу интересов различных категорий субъектов информационных отношений, то почти для всех, кто реально использует ИС, на первом месте стоит доступность. Практически не уступает ей по важности целостность – какой смысл в информационной услуге, если она содержит искаженные сведения?

Наконец, конфиденциальные моменты есть также у многих организаций (даже в упоминавшихся выше учебных институтах стараются не разглашать сведения о зарплате сотрудников) и отдельных пользователей (например, пароли).

Все специалисты по безопасности знают классическую триаду "конфиденциальность, целостность и доступность" (КЦД) или "confidentiality, integrity, availability" (CIA). Ее применяют к месту и не очень, но мало кто знает, откуда она вообще появилась? Этому в ВУЗах не учат, а стоило бы. Тогда стало бы понятно, что эта концепция уже немного устарела и не является догмой.

Напомню, что впервые этот принцип был изложен в статье "Защита информации в компьютерных системах", написанной Зальцером и Шредером в 1974-м году и опубликованной в "Communications of the ACM". В этой статье безопасность определялась как "техники, которые контролируют, кто может использовать или модифицировать компьютер или содержащуюся в нем информацию ". При этом авторы ссылались на других авторов, которые считали, что все нарушения безопасности могут быть разбиты всего на 3 группы - неавторизованное использование (unauthorized information release), неавторизованное изменение и неавторизованное блокирование использования (unauthorized denial of use). С тех пор и началось победное шествие этой триады по миру. У нас она как-то подзадержалась и зависла во многих нормативных документах.

Однако, чтобы понимать всю ограниченность этой концепции в современном мире надо вспомнить окружение, в котором эта триада появилась. Мейнфреймы, язык COBOL, операционная система MVS, Multics, UNIX и т.д. Что поменялось с тех пор? Все. Появился Интернет, черви навроде Stuxnet, Java и C++, облачные вычисления и много чего... Все это уже очень трудно уложить в традиционную триаду. Стали появляться расширения триады. Например, ФСБ в своей методичке по персональным данным, указав триаду как основные характеристики безопасности, добавила еще: "в дополнение к перечисленным выше основным характеристикам безопасности могут рассматриваться также и другие характеристики безопасности. В частности, к таким характеристикам относятся неотказуемость, учетность (иногда в качестве синонима используется термин «подконтрольность»), аутентичность (иногда в качестве синонима используется термин «достоверность») и адекватность ".А в 91-м Джон МакКамбер предложил свою модель на базе триады, названную им моделью информационной безопасности МакКамбера (я о ней 3 года назад).

ОЭСР в 1992-м году предложила свои 9 принципов безопасности - Awareness, Responsibility, Response, Ethics, Democracy, Risk Assessment, Security Design and Implementation, Security Management и Reassessment. ОСЭР всегда смотрела на безопасность с философски-культурологической позиции;-)

В 2002-м году Дон Паркер предложил свой "Паркеровский гексагон", котрый к триаде добавлял еще 3 характеристики - владение или контроль (possession или control), аутентичность (достоверность) и полезность (utility).

По поводу владения/контроля Паркер приводил такой пример. Представьте, что вор украл у вас запечатанный конверт с банковскими картами и PIN-кодами к ним. Даже если вор не открыл этот конверт и не нарушил тем самым его конфиденциальность, это все равно должно вызывать беспокойство владельца конверта, который потерял над ним контроль. Аналогичная ситуация с тестами на проникновение, например, в системы АСУ ТП. Во время таких тестов не страдает ни один из элементов классической триады, но успешное проникновение показывает потерю контроля.

На тему полезности Паркер тоже приводил жизненную ситуацию. Допустим вы зашифровали свой жесткий диск и забыли пароль (ключ). Для данных на диске сохраняется конфиденциальность, целостность, доступность, достоверность и контроль, но... вы не можете ими воспользоваться. Это и есть нарушение полезности.

NIST в 2004-м году пошел еще дальше и предложил свою модель из 33 (!) элементов или, как написано в SP800-27 "Engineering Principles for Information Technology Security (A Baseline for Achieving Security)", принципов. Но и это тоже не конец. Многие организации пытались придумать что-то свое, подменяя понятие "информационной безопасности" другими - "управление рисками", "security governance" и т.д. И у каждого из них был свой набор характеристик или принципов, реализация которых позволяла надеяться на создание действительно защищенной системы или процесса.

Еще один способ получения пароля - это внедрение в чужой компьютер «троян-ского коня». Так называют резидентную программу, работающую без ведома хозяи-на данного компьютера и выполняющую действия, заданные злоумышленником. В частности, такого рода программа может считывать коды пароля, вводимого пользователем во время логического входа в систему.

Программа-«троянский конь» всегда маскируется под какую-нибудь полезную ути-литу или игру, а производит действия, разрушающие систему. По такому прин-ципу действуют и программы-вирусы, отличительной особенностью которых яв-ляется способность «заражать» другие файлы, внедряя в них свои собственные копии. Чаще всего вирусы поражают исполняемые файлы. Когда такой испол-няемый код загружается в оперативную память для выполнения, вместе с ним получает возможность исполнить свои вредительские действия вирус. Вирусы могут привести к повреждению или даже полной утрате информации.

Нелегальные действия легального пользователя - этот тип угроз исходит от ле-гальных пользователей сети, которые, используя свои полномочия, пытаются вы-полнять действия, выходящие за рамки их должностных обязанностей. Напри-мер, администратор сети имеет практически неограниченные права на доступ ко всем сетевым ресурсам. Однако на предприятии может быть информация, до-ступ к которой администратору сети запрещен. Для реализации этих ограниче-ний могут быть предприняты специальные меры, такие, например, как шифрова-ние данных, но и в этом случае администратор может попытаться получить дос-туп к ключу. Нелегальные действия может попытаться предпринять и обычный пользователь сети. Существующая статистика говорит о том, что едва ли не по-ловина всех попыток нарушения безопасности системы исходит от сотрудников предприятия, которые как раз и являются легальными пользователями сети.

«Подслушиванием внутрисетевого трафика - это незаконный мониторинг сети, захват и анализ сетевых сообщений. Существует много доступных программных и аппаратных анализаторов трафика, которые делают эту задачу достаточно три-виальной. Еще более усложняется защита от этого типа угроз в сетях с глобаль-ными связями. Глобальные связи, простирающиеся на десятки и тысячи кило-метров, по своей природе являются менее защищенными, чем локальные связи (больше возможностей для прослушивания трафика, более удобная для злоумыш-ленника позиция при проведении процедур аутентификации). Такая опасность одинаково присуща всем видам территориальных каналов связи и никак не зави-сит от того, используются собственные, арендуемые каналы или услуги общедос-тупных территориальных сетей, подобных Интернету.

Однако использование общественных сетей (речь в основном идет об Интерне-те) еще более усугубляет ситуацию. Действительно, использование Интернета добавляет к опасности перехвата данных, передаваемых по линиям связи, опас-ность несанкционированного входа в узлы сети, поскольку наличие огромного числа хакеров в Интернете увеличивает вероятность попыток незаконного про-никновения в компьютер. Это представляет постоянную угрозу для сетей, под-соединенных к Интернету.

Интернет сам является целью для разного рода злоумышленников. Поскольку Интернет создавался как открытая система, предназначенная для свободного об-мена информацией, совсем не удивительно, что практически все протоколы стека TCP/IP имеют «врожденные» недостатки защиты. Используя эти недос-| татки, злоумышленники все чаще предпринимают попытки несанкционирован-ного доступа к информации, хранящейся на узлах Интернета.

Системный подход к обеспечению безопасности

Построение и поддержка безопасной системы требует системного подхода. В со-ответствии с этим подходом прежде всего необходимо осознать весь спектр воз-можных угроз для конкретной сети и для каждой из этих угроз продумать тактику. ее отражения. В этой борьбе можно и нужно использовать самые разноплановые средства и приемы - морально-этические и законодательные, административ-ные и психологические, защитные возможности программных и аппаратных средств сети.

К морально-этическим средствам защиты можно отнести всевозможные нормы, которые сложились по мере распространения вычислительных средств в той или иной стране. Например, подобно тому как в борьбе против пиратского копирова-ния программ в настоящее время в основном используются меры воспитатель-ного плана, необходимо внедрять в сознание людей аморальность всяческих по-кушений на нарушение конфиденциальности, целостности и доступности чужих информационных ресурсов.

Законодательные средства защиты - это законы, постановления правительства и указы президента, нормативные акты и стандарты, которыми регламентируют-ся правила использования и обработки информации ограниченного доступа, а также вводятся меры ответственности за нарушения этих правил. Правовая регламентация деятельности в области защиты информации имеет целью защи-ту информации, составляющей государственную тайну, обеспечение прав потре-бителей на получение качественных продуктов, защиту конституционных прав граждан на сохранение личной тайны, борьбу с организованной преступностью.

Административные меры - это действия, предпринимаемые руководством пред-приятия или организации для обеспечения информационной безопасности. К та-ким мерам относятся конкретные правила работы сотрудников предприятия, например режим работы сотрудников, их должностные инструкции, строго опре-деляющие порядок работы с конфиденциальной информацией на компьютере. К административным мерам также относятся правила приобретения предпри-ятием средств безопасности. Представители администрации, которые несут от-ветственность за защиту информации, должны выяснить, насколько безопасным является использование продуктов, приобретенных у зарубежных поставщиков. Особенно это касается продуктов, связанных с шифрованием. В таких случаях желательно проверить наличие у продукта сертификата, выданного российски-ми тестирующими организациями.

Психологические меры безопасности могут играть значительную роль в укрепле-нии безопасности системы. Пренебрежение учетом психологических моментов в неформальных процедурах, связанных с безопасностью, может привести к на-рушениям защиты. Рассмотрим, например, сеть предприятия, в которой работает много удаленных пользователей. Время от времени пользователи должны ме-нять пароли (обычная практика для предотвращения их подбора). В данной системе выбор паролей осуществляет администратор. В таких условиях злоумыш-ленник может позвонить администратору по телефону и от имени легального пользователя попробовать получить пароль. При большом количестве удален-ных пользователей не исключено, что такой простой психологический прием мо-жет сработать.

К физическим средствам защиты относятся экранирование помещений для защи-ты от излучения, проверка поставляемой аппаратуры на соответствие ее специ-фикациям и отсутствие аппаратных «жучков», средства наружного наблюдения, устройства, блокирующие физический доступ к отдельным блокам компьютера, различные замки и другое оборудование, защищающие помещения, где находят-ся носители информации, от незаконного проникновения и т. д. и т. п.

Технические средства информационной безопасности реализуются программным и аппаратным обеспечением вычислительных сетей. Такие средства, называемые также службами сетевой безопасности, решают самые разнообразные задачи по защите системы, например контроль доступа, включающий процедуры аутен-тификации и авторизации, аудит, шифрование информации, антивирусную за-щиту, контроль сетевого графика и много других задач. Технические средства безопасности могут быть либо встроены в программное (операционные системы и приложения) и аппаратное (компьютеры и коммуникационное оборудование) обеспечение сети, либо реализованы в виде отдельных продуктов, созданных специально для решения проблем безопасности.

Политика безопасности

Важность и сложность проблемы обеспечения безопасности требует выработки политики информационной безопасности, которая подразумевает ответы на сле-дующие вопросы:

Какую информацию защищать?
Какой ущерб понесет предприятие при потере или при раскрытии тех или иных данных?
Кто или что является возможным источником угрозы, какого рода атаки на безопасность системы могут быть предприняты?
Какие средства использовать для защиты каждого вида информации?

Специалисты, ответственные за безопасность системы, формируя политику без-опасности, должны учитывать несколько базовых принципов. Одним из таких принципов является предоставление каждому сотруднику предприятия того ми-нимально уровня привилегий на доступ к данным, который необходим ему для выполнения его должностных обязанностей. Учитывая, что большая часть нару-шений в области безопасности предприятий исходит именно от собственных со-трудников, важно ввести четкие ограничения для всех пользователей сети, не на-деляя их излишними возможностями.

Следующий принцип - использование комплексного подхода к обеспечению без-опасности. Чтобы затруднить злоумышленнику доступ к данным, необходимо предусмотреть самые разные средства безопасности, начиная с организационно-административных запретов и кончая встроенными средствами сетевой аппара-туры. Административный запрет на работу в воскресные дни ставит потенциаль-ного нарушителя под визуальный контроль администратора и других пользовате-лей, физические средства защиты (закрытые помещения, блокировочные ключи) ограничивают непосредственный контакт пользователя только приписанным ему компьютером, встроенные средства сетевой ОС (система аутентификации и авторизации) предотвращают вход в сеть нелегальных пользователей, а для легального пользователя ограничивают возможности только разрешенными для него операциями (подсистема аудита фиксирует его действия). Такая система защиты с многократным резервированием средств безопасности увеличивает ве-роятность сохранности данных.

Используя многоуровневую систему защиты, важно обеспечивать баланс надеж-ности защиты всех уровней. Если в сети все сообщения шифруются, но ключи легкодоступны, то эффект от шифрования нулевой. Или если на компьютерах установлена файловая система, поддерживающая избирательный доступ на уров-не отдельных файлов, но имеется возможность получить жесткий диск и устано-вить его на другой машине, то все достоинства средств защиты файловой систе-мы сводятся на нет. Если внешний трафик сети, подключенной к Интернету, проходит через мощный брандмауэр, но пользователи имеют возможность свя-зываться с узлами Интернета по коммутируемым линиям, используя локально установленные модемы, то деньги (как правило, немалые), потраченные на бранд-мауэр, можно считать выброшенными на ветер.

Следующим универсальным принципом является использование средств, кото-рые при отказе переходят в состояние максимальной защиты. Это касается самых различных средств безопасности. Если, например, автоматический пропускной пункт в какое-либо помещение ломается, то он должен фиксироваться в таком положении, чтобы ни один человек не мог пройти на защищаемую территорию. А если в сети имеется устройство, которое анализирует весь входной трафик и отбрасывает кадры с определенным, заранее заданным обратным адресом, то при отказе оно должно полностью блокировать вход в сеть. Неприемлемым следова-ло бы признать устройство, которое бы при отказе пропускало в сеть весь внеш-ний трафик.

Принцип единого контрольно-пропускного пункта - весь входящий во внутрен-нюю сеть и выходящий во внешнюю сеть трафик должен проходить через един-ственный узел сети, например через межсетевой экран (firewall ). Только это позволяет в достаточной степени контролировать трафик. В противном случае, когда в сети имеется множество пользовательских станций, имеющих независи-мый выход во внешнюю сеть, очень трудно скоординировать правила, ограничи-вающие права пользователей внутренней сети по доступу к серверам внешней сети и обратно - права внешних клиентов по доступу к ресурсам внутренней сети.

Принцип баланса возможного ущерба от реализации угрозы и затрат на ее пре-дотвращение. Ни одна система безопасности не гарантирует защиту данных нг уровне 100 %, поскольку является результатом компромисса между возможны-ми рисками и возможными затратами. Определяя политику безопасности, администратор должен взвесить величину ущерба, которую может понести предприятие в результате нарушения защиты данных, и соотнести ее с величиной за-трат, требуемых на обеспечение безопасности этих данных. Так, в некоторых случаях можно отказаться от дорогостоящего межсетевого экрана в пользу стан-дартных средств фильтрации обычного маршрутизатора, в других же можно пой-ти на беспрецедентные затраты. Главное, чтобы принятое решение было обосно-вано экономически.

При определении политики безопасности для сети, имеющей выход в Интернет, специалисты рекомендуют разделить задачу на две части: выработать политику доступа к сетевым службам Интернета и выработать политику доступа к ресур-сам внутренней сети компании.

Политика доступа к сетевым службам Интернета включает следующие пункты:

Определение списка служб Интернета, к которым пользователи внутренней сети должны иметь ограниченный доступ.
Определение ограничений на методы доступа, например на использование протоколов SLIP (Serial Line Internet Protocol ) и РРР (Point -to -Point Proto -col ). Ограничения методов доступа необходимы для того, чтобы пользователи не могли обращаться к «запрещенным» службам Интернета обходными путями. Например, если для ограничения доступа к Интернету в сети устанавлива-ется специальный шлюз, который не дает возможности пользователям рабо-тать в системе WWW , они могут устанавливать с Web-серверами РРР-соеди-нения по коммутируемой линии. Во избежание этого надо просто запретить использование протокола РРР.
Принятие решения о том, разрешен ли доступ внешних пользователей из Ин-тернета во внутреннюю сеть. Если да, то кому. Часто доступ разрешают толь-ко для некоторых, абсолютно необходимых для работы предприятия служб, например электронной почты.

Политика доступа к ресурсам внутренней сети компании может быть выражена в одном из двух принципов:

· запрещать все, что не разрешено в явной форме;

· разрешать все, что не запрещено в явной форме.

В соответствии с выбранным принципом определяются правила обработки внеш-него графика межсетевыми экранами или маршрутизаторами. Реализация защи-ты на основе первого принципа дает более высокую степень безопасности, одна-ко при этом могут возникать большие неудобства у пользователей, а кроме того, такой способ защиты обойдется значительно дороже. При реализации второго принципа сеть окажется менее защищенной, однако пользоваться ею будет удоб-нее и потребуется меньше затрат.

Исторически проблема обеспечения безопасности имеет три аспекта: конфиденциальность, целостность и доступность, каждый из которых может осуществляться соответствующей одноименной службой.

3.2.1 Конфиденциальность

Конфиденциальность информации – это свойство информации быть известной только аутентифицированным законным субъектам системы.

Служба конфиденциальности обеспечивает секретность информации. Правильно сконфигурированная, эта служба открывает доступ к информации только аутентифицированным пользователям. Ее надежная работа зависит от службы обеспечения идентификации и однозначного определения подлинности лиц. Выполняя эту функцию, служба конфиденциальности ограждает системы от атак доступа. Служба конфиденциальности должна учитывать различные способы представления информации – в виде распечаток, файлов или пакетов, передающихся по сетям.

Существуют различные способы обеспечения секретности документов в зависимости от их вида. Бумажные документы нужно защищать физически, т. е. хранить в отдельном месте, доступ к которому контролируется службой конфиденциальности. Не следует забывать о таких вещах, как запирание картотек и ящиков столов, ограничение доступа в кабинеты внутри офиса или в сам офис.

В работе с электронными документами имеются свои тонкости. Во-первых, файлы могут храниться одновременно в нескольких местах: на внешних запоминающих устройствах большой емкости (жестких дисках или магнитных лентах), на гибких дисках, zip-дисках или компакт-дисках. Во вторых, физический доступ к месту хранения файлов не обязателен. Сохранение конфиденциальности магнитных лент и дисков аналогично защите бумажных документов и связано с ограничением физического доступа. Контроль над файлами в компьютерных системах осуществляют системы управления доступом. Работа этих систем зависит от надежной идентификации и аутентификации пользователя и правильной конфигурации, исключающей обход защитных механизмов через уязвимые места системы. В таблице 3.1показаны примеры механизмов обеспечения конфиденциальности файлов и требования, которые к ним предъявляются.

Таблица 3.1 – Механизмы обеспечения конфиденциальности файлов и требования к ним

Недостаточно защитить только ту информацию, которая хранится в виде файлов, ведь злоумышленники могут перехватить ее в процессе передачи по сетевому соединению. Следовательно, требуется обеспечить конфиденциальность информации, передаваемой по каналам связи (рисунок 3.1). Это делается с помощью технологий шифрования.

Рисунок 3.1 – Шифрование обеспечивает защиту информации при передаче по сетям

Механизмы защиты можно применить как для отдельного сообщения, так и для всего трафика соединения. Шифрование позволяет предотвращать атаки подслушивания, но не сможет защитить от перехвата информации. В последнем случае требуется надежная система идентификации и аутентификации для определения подлинности удаленного получателя (рисунок 3.2).

Рисунок 3.2 – Шифрование в сочетании с надежной идентификацией позволяет предотвратить перехват трафика

Служба обеспечения конфиденциальности потока осложнена самим фактом передачи информации между двумя конечными пунктами (рисунок 3.3). Конфиденциальность потока данных не касается сохранности передаваемой информации. Наличие потока данных позволяет анализатору трафика выявить организации, между которыми установлена связь. Количество трафика, передающегося от узла к узлу, также представляет собой ценную информацию. Например, многие службы новостей наблюдают за поставками пиццы в Белый дом и Пентагон. Главная идея состоит в том, что увеличение количества пицц указывает на возникновение какой-то неординарной ситуации. Для описания такого типа деятельности существует специальный термин – анализ движения и событий (traffic and pattern analysis).

Рисунок 3.3 – Анализ потоков информации позволяет выявить совместно работающие организации

Конфиденциальность потока данных обеспечивается за счет скрытия информации, передаваемой между двумя конечными пунктами, внутри гораздо большего трафика данных. В Вооруженных Силах используется такой прием: две воинских части сначала устанавливают связь, а затем передают постоянный объем данных, независимо от числа фактически отправляемых сообщений (свободное место заполняется информационным "мусором"). Таким образом, количество трафика остается постоянным, и какие-то изменения в интенсивности передачи сообщений обнаружить нельзя.

Большинство коммерческих организаций не задумывается о конфиденциальности потока данных. Однако в некоторых случаях сам факт установки соединения является секретной информацией. Предположим, происходит слияние двух компаний. В этом случае возникновение между ними новых информационных потоков является секретной информацией до тех пор, пока не будет объявлено об этом событии.

Информационная безопасность – многогранная, можно даже сказать, многомерная область деятельности, в которой успех может принести только систематический, комплексный подход.

Спектр интересов субъектов, связанных с использованием информационных систем, можно разделить на следующие категории: обеспечение доступности , целостности и конфиденциальности информационных ресурсов и поддерживающей инфраструктуры.

Поясним понятия доступности, целостности и конфиденциальности.

Доступность – это возможность за приемлемое время получить требуемую информационную услугу. Под целостностью подразумевается актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения.

Наконец, конфиденциальность – это защита от несанкционированного доступа к информации.

Информационные системы создаются (приобретаются) для получения определенных информационных услуг. Если по тем или иным причинам предоставить эти услуги пользователям становится невозможно, это, очевидно, наносит ущерб всем субъектам информационных отношений. Поэтому, не противопоставляя доступность остальным аспектам, она выделяется как важнейший элемент информационной безопасности.

Целостность можно подразделить на статическую (понимаемую как неизменность информационных объектов) и динамическую (относящуюся к корректному выполнению сложных действий (транзакций)). Средства контроля динамической целостности применяются, в частности, при анализе потока финансовых сообщений с целью выявления кражи, переупорядочения или дублирования отдельных сообщений.

4. Необходимость и важность политики

Политика устанавливает правила, которые определяют конфигурацию систем, действия служащих организации в обычных условиях и в случае непредвиденных обстоятельств. Таким образом, политика выполняет две основные функции:

· определяет безопасность внутри организации;

· определяет место каждого служащего в системе безопасности.