3882 (642539), страница 2

Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 2)

Поскольку нарушение статуса информации вы­ражается в различных формах проявления уязви­мости информации, а все формы сводятся к двум видам уязвимости, содержательную часть понятия защита информации можно определить как пре­дотвращение утраты и утечки конфиденциальной информации и утраты защищаемой открытой ин­формации.

Вторая составляющая сущности защиты ин­формации - способ реализации содержательной части - в толковых словарях, как уже отмечалось, представлена как процесс или как совокупность методов, средств и мероприятий.

Защита информации включает в себя опреде­ленный набор методов, средств и мероприятий, од­нако ограничивать способ реализации только этим было бы неверно. Защита информации должна быть системной, а в систему помимо методов, средств и мероприятий входят и другие компонен­ты: объекты защиты, органы защиты, пользовате­ли информации. При этом защита не должна пред­ставлять собой нечто статичное, а являться непре­

рывным процессом. Но этот процесс не осуществ­ляется сам по себе, а происходит в результате дея­тельности людей. Деятельность же, по определе­нию, включает в себя не только процесс, но и цели, средства и результат. Защита информации не мо­жет быть бесцельной, безрезультатной и осуществ­ляться без помощи определенных средств. Поэто­му именно деятельность и должна быть способом реализации содержательной части защиты.

Объединив содержательную часть защиты ин­формации и способ реализации содержательнойча-сти, можно сформулировать следующее определе­ние:

Защита информации - деятельность по предот­вращению утраты и утечки конфиденциальной ин­формации и утраты защищаемой открытой инфор­мации.

Учитывая, что определение должно быть лако­ничным, а термин утрата и утечка защищаемой информации поглощаетвсе формы проявления уязвимости конфиденциальной и защищаемой ча­сти открытой информации, можно ограничиться более кратким определением при условии диффе­ренцированного его преломления в практической работе: Защита информации - деятельность по предотвращению утраты и утечки защищаемой информации.

'—" А теперь проанализируем определение этого понятия, содержащееся в ГОСТ Р50922-96 "Защи­та информации. Основные термины и определе­ния", поскольку это определение официальное, имеющее в смысловом значении обязательный ха­рактер. Оно сформулировано так: Защита инфор­мации - деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.

Как видно, это определение совпадает с предло­женным по способу реализации содержательной части защиты и по одной из ее составляющих -предотвращению утечки защищаемой информа­ции. Однако определение утечки в ГОСТе дано дру­гое - оно не сформулировано отдельно, а вмонтиро­вано в определение термина Защита информации от утечки, которое звучит так: Защита информа­ции от утечки: деятельность по предотвращению неконтролируемого распространения защищаемой информации от ее разглашения, несанкциониро­ванного доступа к защищаемойинформации и от получения защищаемой информации (иностран­ными} разведками. Из этого определения вытека­ет, что утечка информации - это неконтролируе­мое распространение защищаемой информации.

Неконтролируемое распространение можно по смыслу приравнять к неправомерному выходу ин­формации за пределы защищаемой зоны ее функ­ционирования или установленного круга лиц. Но если в предложенном в данной статье определении утечки далее обозначен результат такого выхода -получение информации лицами, не имеющими к ней санкционированного доступа, то в стандарте неконтролируемое распространение выступает уже как результат, к которому приводят разглаше-

18 Безопасность информационных технологий, 1999. № 1

А. И. Алексенцев. Сущность и соотношение понятий "защита информации"...

ние, получение информации разведками и несанк­ционированный доступ к ней. Т.е., в первом случае неконтролируемое распространение приводит к несанкционированному получению, во втором -все наоборот. Но различия не ограничиваются этим. Вызывает недоумение, почему в один ряд по­ставлены разглашение, несанкционированный до­ступ к информации и ее получение. Разве несанк­ционированный доступ к информации не может привести к ее разглашению и получению? Если нет, то как он влияет на неконтролируемое распро­странение информации? Только как возможность с его помощью похитить ее. Но хищение в итоге опять приводит к получению информации. С дру­гой стороны, разве разглашение информации не приводит к ее получению иностранными разведка­ми и не только ими?

Такая путаница в ГОСТе вызвана тем, что на одну доску поставлены понятия с разными значе­ниями: форма проявления уязвимости защищае­мой информации (разглашение), механизм полу­чения информации (несанкционированный дос­туп) и результат неконтролируемого распростране­ния информации (получение разведками).

По второму компоненту содержательной части защиты информации предложенное в данной ста­тье и гостированное определения расходятся и по формулировке, и по существу. В статье - это пре­дотвращение утраты защищаемой информации, В ГОСТе - предотвращение несанкционированных и непреднамеренных воздействий на защищаемую информацию. Таким образом, если в первой части определения содержательной части ГОСТ называ­ет вид уязвимости информации (утечку), то во вто­рой - не вид (утрату), а воздействия, которые могут привести к этому виду уязвимости. Конечно, утра­та не может произойти без несанкционированных или непреднамеренных воздействий на информа­цию, но зачем понадобился разный подход к обо­значению двух видов уязвимости информации, по­чему один называется, другой подразумевается?

Отчасти это объясняется, вероятно, тем, что ре­зультаты воздействия на информацию ГОСТ не сводит только к ееутрате. Это видно из расшифров­ки понятий несанкционированного и непреднаме­ренного воздействий на информацию.

К несанкционированному воздействию ГОСТ относит воздействие на защищаемую информацию с нарушением установленных прав или правил на изменение информации, приводящее к искаже­нию, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничто­жению или сбою функционирования носителя ин­формации.

Непреднамеренное воздействие определяется ГОСТом как воздействие на защищаемую инфор­мацию ошибок пользователя информацией, сбоя технических и программных средств информаци­онных систем, а также природных явлений или иных нецеленаправленных на изменение инфор­мации воздействий, связанных с функционирова­нием технических средств, систем или с деятельно­стью людей, приводящих к искажению, уничто­

жению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.

Таким образом, результатом воздействия на информацию или ее носитель являются и вид уяз­вимости (утрата), и формы проявления уязвимости (искажение, уничтожение, блокирование), и спо­соб воздействия (копирование). Если в данном слу­чае копирование заменяет хищение, то это невер­но, поскольку есть и другие способы хищения. К тому же непонятно, в чем смысл в определении по­нятия отделять носитель информации от самой ин­формации, ведь в итоге названные утрата и унич­тожение носителя (без учета неправомерности по­становки их в один ряд) являются одновременно утратой и уничтожением отображенной в них ин­формации, а сбой функционирования носителя приводит к блокированию информации.

Может показаться, что все это - частности. Но определение любого понятия, помимо всего проче­го, требует точности формулировки. _

С понятием защиты информации тесно связано понятие безопасности информации.

Термин безопасность информации имеет двой­ное смысловое значение, его можно толковать и как безопасность самой информации, и как отсут­ствие угроз со стороны информации субъектам ин­формационных отношений.При этом безопасность самой информации также не вписываетсяв одно­значное понимание. С одной стороны, это может означать безопасность информации с точки зрения изначальной полноты и надежности информации, с другой стороны, — защищенность установленного статус-кво информации.

В нормативных документах и литературе безо­пасность информации рассматривается только в разрезе ее защищенности, и это, вероятно, оправ­дано при наличии термина информационная безо­пасность.

Существует несколько определений понятия безопасность информации. При общем подходе к безопасности информации как состоянию защи­щенности (или защиты) информации эти определе­ния существенно различаются между собой содер­жательной частью - защищенности от чего. Сюда относят: от внутренних и внешних угроз; от утеч­ки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (поддел­ки), несанкционированного копирования, блоки­рования информации и т.п.; от случайных или преднамеренных несанкционированных воздейст­вий на информацию или несанкционированного ее получения; от случайного или преднамеренного доступа лиц, не имеющих права на получение ин­формации, ее раскрытие, модификацию или раз­рушение, и др.

Не вызывает возражений подход к определе­нию безопасности информации как к состоянию защищенности информации, ибо сам термин безо­пасность означает отсутствие опасностей, что опре­деленным образом корреспондируется с термином состояние защищенности.

Вторую часть определения можно сформулиро-

Безопасность информационных технологий, 1999. № 1 19

Специальный выпуск

вать и как от воздействий, нарушающих ее статус, и как от утраты и утечки, поскольку в конечном итоге они выражают одно и то же, т.к. предотвра­щение утраты и утечки информации осуществля­ется посредством предотвращения дестабилизиру­ющих воздействий на информацию. Первый вари­ант представляется более предпочтительным, т.к. непосредственной целью защищенности информа­ции является противодействие дестабилизирую­щим воздействиям.

Из определений понятий защита информации и безопасность информации вытекает и соотноше­ние между ними: защита информации направлена на обеспечение безопасности информации или, другими словами, безопасность информации обес­печивается с помощьюее защиты.

Понятие информационная безопасность в науч­ной литературе сначала отождествлялось с поняти­ем безопасность информации. Затем к этому приба­вилось или это заменилось на защищенность субъе­ктов информационных отношений от негативных информационных воздействий. В различных опре­делениях присутствуют те или другие нюансы, но они не меняют сути названных подходов. Такое толкование информационной безопасности пред­ставляется неполным. Методологической основой определения этого понятия должно быть отнесение его не к самой информации, хотя информационная безопасность и сопряжена с информацией, а к субъ­ектам информационной среды - физическим и юридическим лицам, участвующим в информаци­онном процессе. Из этого, кстати, следует, что в практическом преломлении информационная безо­пасность не существует вообще, безотносительно к субъекту информационной среды, именно субъект диктует показатели такой безопасности. Это отно­сится не только к конкретным субъектам, но и к личности, обществу и государству в целом.

Смысловое содержание понятия информацион­ная безопасность предполагает и в какой-то мере предопределяет включение в него трех составляю­щих.

Первой составляющей является удовлетворе­ние информационных потребностей субъектов, включенных в информационную среду. Здравый смысл подсказывает, что не может быть обеспечена информационная безопасность субъекта без нали­чия у него необходимой информации. Информаци­онные потребности различных субъектов не одина­ковы, однаков любом случае отсутствие необходи­мой информации может иметь и, как правило, име­ет отрицательные последствия. Эти последствия могут носить различный характер, их тяжесть за­висит от состава отсутствующей информации.

Необходимая для удовлетворения информаци­онных потребностей информация должна отвечать определенным требованиям. Во-первых, информа­ция должна быть относительно полной. Относи­тельно потому, что абсолютно полной информации ни один субъект иметь не может. Полнота инфор­мации характеризуется ее достаточностью для принятия правильных решений. Во-вторых, ин­формация должна быть достоверной, ибо искажен­

ная информация приводит к принятию неправиль­ных решений. В-третьих, информация должна быть своевременной, т.к. необходимые решения эффективны лишь тогда, когда они принимаются вовремя.

Но требования полноты, достоверности и свое­временности информации относятся не только к ее первоначальному статусу. Эти требования имеют силу на все время циркулирования информации, потому что их нарушение на стадии последующего использования информации также может привес­ти к неправильным решениям или вообще к невоз­можности принятия решений, как и нарушение статуса конфиденциальности может обесценить информацию. Поэтому информация должна быть защищена от воздействий, нарушающих еестатус. А это относится к сфере безопасности информации. Стало быть, обеспечение безопасности информа­ции должно являться второй составляющей ин­формационной безопасности.

К принятию неверных решений может привес­ти не только отсутствие необходимой информации, но и наличие вредной, опасной для субъекта ин­формации, которая чаще всего целенаправленно навязывается. Это требует обеспечения защиты субъектов информационных отношений от нега­тивного информационного воздействия, что долж­но являться третьей составляющей информацион­ной безопасности.

При таком подходе можно сформулировать следующее определение:

Информационная безопасность - состояние ин­формационной среды, обеспечивающее удовлетво­рение информационных потребностей субъектов информационных отношений, безопасность ин­формации и защиту субъектов от негативного ин­формационного воздействия.

Характеристики

Список файлов реферата