Таким образом, объединив содержательную часть защиты информации и способ реализации содержательной части, можно сформулировать следующее определение: защита информации - это деятельность по предотвращению утраты и утечки конфиденциальной информации и утраты защищаемой открытой информации.
Учитывая, что определение должно быть лаконичным, а термин утрата и утечка защищаемой информации поглощает все формы проявления
уязвимости конфиденциальной и защищаемой части открытой информации, можно ограничиться более кратким определением при условии дифференцированного его преломления в практической работе: "Защита информации - это деятельность по предотвращению утраты и утечки защищаемой информации".
А теперь проанализируем определение рассматриваемого понятия, приведенное в ГОСТ Р50922- 2006 "Защита информации. Основные термины и определения", поскольку это определение официальное, имеющее в смысловом значении обязательный характер. Оно сформулировано так: "Защита информации - деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию".
Как видно, это определение совпадает с предложенным выше по способу реализации содержательной части защиты (это деятельность) и по одной из ее составляющих (это предотвращение утечки защищаемой информации). Однако определение утечки в ГОСТе не сформулировано отдельно, а вмонтировано в определение термина "защита информации от утечки", которое звучит так: "Защита информации от утечки - деятельность по предотвращению неконтролируемого распространения защищаемой информации, по защите от разглашения, несанкционированного доступа к защищаемой информации и от получения защищаемой информации иностранными разведками". Из этого определения следует, что утечка информации - это неконтролируемое распространение защищаемой информации.
Неконтролируемое распространение можно по смыслу приравнять к неправомерному выходу информации за пределы защищаемой зоны ее функционирования или установленного круга лиц. Но если в предложенном нами выше определении утечки далее обозначен результат такого выхода (получение информации лицами, не имеющими к ней санкционированного доступа), то в государственном стандарте неконтролируемое распространение выступает уже как результат, к которому приводят разглашение, получение информации иностранными разведками и несанкционированный доступ к ней. Таким образом, в первом случае неконтролируемое распространение приводит к несанкционированному получению, во втором - все наоборот.
Такая путаница в ГОСТе вызвана тем, что на одну доску поставлены понятия с разными значениями: форма проявления уязвимости защищаемой информации (разглашение), механизм получения информации (несанкционированный доступ) и результат неконтролируемого распространения информации (получение иностранными разведками).
По второму компоненту содержательной части защиты информации предложенное нами выше определение расходится с ГОСТом и по формулировке, и по существу. В нашем определении защита информации - это предотвращение утраты и утечки защищаемой информации, а в ГОСТе - предотвращение утечки защищаемой информации, а также несанкционированных и непреднамеренных воздействий на нее.
Таким образом, если в первой части определения содержательной части ГОСТ называет первый вид уязвимости информации (утечку), то во второй - не второй вид уязвимости (утрату), как следовало ожидать, а воздействия, которые могут привести к этому виду уязвимости.
Конечно, утрата не может произойти без несанкционированных или непреднамеренных воздействий на информацию, но зачем понадобился разный подход к обозначению двух видов уязвимости информации, почему в определении один называется, а другой подразумевается? Отчасти это объясняется, вероятно, тем, что результаты воздействия на информацию ГОСТ не сводит только к ее утрате. Это видно из расшифровки понятий несанкционированного и непреднамеренного воздействий на информацию.
К несанкционированному воздействию ГОСТ относит "воздействие на защищаемую информацию с нарушением установленных прав и/или правил на изменение информации, приводящего к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации".
Непреднамеренное воздействие определяется ГОСТом как "воздействие на защищаемую информацию ошибок пользователя информацией, сбоя технических и программных средств информационных систем, а также природных явлений или иных нецеленаправленных на изменение информации воздействий, связанных с функционированием технических средств, систем или с деятельностью людей, приводящих к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации".
Таким образом, результатом воздействия на информацию или ее носитель являются и вид уязвимости (утрата), и формы проявления уязвимости (искажение, уничтожение, блокирование), и способ воздействия (копирование). Если в данном случае копирование заменяет хищение, то это неверно, поскольку есть и другие способы хищения. К тому же непонятно, зачем в определении понятия отделен носитель информации от самой информации, ведь в итоге названные утрата и уничтожение носителя (без учета неправомерности постановки их в один ряд) являются одновременно утратой и уничтожением отображенной в них информации, а сбой функционирования носителя приводит к блокированию информации.
Может показаться, что все это - частности. Но определение любого понятия, помимо всего прочего, требует точности формулировки.
С понятием защиты информации тесно связано понятие безопасности информации. Термин "безопасность информации" имеет двойное смысловое значение, его можно толковать и как безопасность самой информации, и как отсутствие угроз со стороны информации субъектам информационных отношений. При этом безопасность самой информации также не вписывается в однозначное понимание.
С одной стороны, это может означать безопасность информации, с точки зрения изначальной полноты и надежности информации, с другой - защищенность установленного статус-кво информации.
В нормативных документах и литературе безопасность информации рассматривается только в разрезе ее защищенности, и это, вероятно, оправдано при наличии термина "информационная безопасность".
Существует несколько определений понятия "безопасность информации". При общем подходе к безопасности информации как к состоянию защищенности (или защиты) информации эти определения существенно различаются между собой содержательной частью.
Различают защищенность:
- от внутренних и внешних угроз;
- от утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), несанкционированного копирования, блокирования информации и т.п.;
- от случайных или преднамеренных несанкционированных воздействий на информацию;
- от несанкционированного ее получения и др.
Не вызывает возражений подход к определению безопасности информации как к состоянию защищенности информации, ибо сам термин "безопасность" означает отсутствие опасностей, что определенным образом корреспондируется с термином "состояние защищенности".
Вторую часть определения понятия "безопасность информации" можно сформулировать как защищенность от воздействий, нарушающих ее статус, или как защищенность от утраты и утечки, поскольку в конечном итоге они выражают одно и то же, т.к. предотвращение утраты и утечки информации осуществляется посредством предотвращения дестабилизирующих воздействий на информацию. Первый вариант представляется более предпочтительным, т.к. непосредственной целью защищенности информации является противодействие дестабилизирующим воздействиям. Таким образом, можно дать следующее определение: безопасность информации - защищенность от воздействий, нарушающих ее статус.
Из определений понятий "защита информации" и "безопасность информации" вытекает и соотношение между ними: защита информации направлена на обеспечение безопасности информации или, другими словами, безопасность информации обеспечивается с помощью ее защиты.
Понятие информационная безопасность в научной литературе сначала отождествлялось с понятием безопасность информации. Затем к этому прибавилась защищенность субъектов информационных отношений от негативных информационных воздействий.
В различных определениях присутствуют те или другие нюансы, но они не меняют сути названных подходов. Такое толкование информационной безопасности представляется неполным.
Смысловое содержание понятия "информационная безопасность" предполагает и в какой-то мере предопределяет включение в него трех составляющих.
Первой составляющей является удовлетворение информационных потребностей субъектов, включенных в информационную среду. Информационная безопасность субъекта не может быть обеспечена без наличия у него необходимой информации. Информационные потребности различных субъектов не одинаковы, отсутствие необходимой информации может иметь и, как правило, имеет отрицательные последствия. Эти последствия могут носить различный характер, их тяжесть зависит от состава отсутствующей информации.
Необходимая для удовлетворения информационных потребностей информация должна отвечать определенным требованиям. Во-первых, информация должна быть относительно полной. Относительно потому, что абсолютно полной информации ни один субъект иметь не может. Полнота информации характеризуется ее достаточностью для принятия правильных решений. Во-вторых, информация должна быть достоверной, ибо искаженная информация приводит к принятию неправильных решений. В-третьих, информация должна быть своевременной, т.к. необходимые решения эффективны лишь тогда, когда они принимаются вовремя.
Но требования полноты, достоверности и своевременности информации относятся не только к ее первоначальному статусу. Эти требования имеют силу в течение все время циркулирования информации, потому что их нарушение на стадии последующего использования информации также может привести к неправильным решениям или вообще к невозможности принятия решений, как и нарушение статуса конфиденциальности, может обесценить информацию. Поэтому информация должна быть защищена от воздействий, нарушающих ее статус, т.е. должна быть обеспечена ее безопасность. Следовательно, обеспечение безопасности информации является второй составляющей информационной безопасности.
К принятию неверных решений может привести не только отсутствие необходимой информации, но и наличие вредной, опасной для субъекта информации, которая чаще всего целенаправленно навязывается. Поэтому третьей составляющей информационной безопасности является обеспечения защиты субъектов информационных отношений от негативного информационного воздействия.
При таком подходе можно сформулировать следующее определение: информационная безопасность - состояние информационной среды, обеспечивающее удовлетворение информационных потребностей субъектов информационных отношений, безопасность информации и защиту субъектов от негативного информационного воздействия.
При этом под информационной средой, согласно закону "Об участии в международном информационном обмене" (отменен Законом РФ «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 года N 149-ФЗ), понимается сфера деятельности субъектов, связанная с созданием, преобразованием и потреблением информации. В законе дано и определение информационной безопасности как состояния защищенности информационной среды общества, обеспечивающего ее формирование, использование и развитие в интересах граждан, организаций, государства.
Этому определению не хватает конкретности. В него можно вписать и содержательную часть предложенного определения, а можно свести его только к безопасности информационных систем, что неправомерно, т.к. информационная безопасность не ограничивается безопасностью информационных систем.
Из представленных определений понятий "защита информации",
"безопасность информации" и "информационная безопасность"
следует, что существует прямая связь и зависимость между парами понятий
"защита информации" - "безопасность информации", "безопасность
информации" - "информационная безопасность", а также
опосредованная связь между понятиями "защита информации" -
"информационная безопасность".
Цель мероприятий в области информационной безопасности (ИБ) - защитить интересы субъектов информационных отношений. Интересы эти многообразны, но для АСОД все они концентрируются вокруг трех основных аспектов:
– доступность;
– целостность;
– конфиденциальность.
Разрушение важной информации, кража конфиденциальных данных, перерыв в работе АСОД вследствие отказа - все это выливается в крупные материальные потери, наносит ущерб репутации организации. Проблемы с системами управления или медицинскими системами угрожают здоровью и жизни людей.
Современные информационные системы сложны и, значит, опасны уже сами по себе, даже без учета активности злоумышленников. Постоянно обнаруживаются новые уязвимые места в программном обеспечении. Приходится принимать во внимание чрезвычайно широкий спектр аппаратного и программного обеспечения, многочисленные связи между компонентами.
Меняются принципы построения ИС. Подтверждением сложности проблематики ИБ является довольно быстрый рост затрат на защитные мероприятия и количества нарушений ИБ в сочетании с ростом среднего ущерба от каждого нарушения.
Успех в области информационной безопасности может принести только комплексный подход, сочетающий меры четырех уровней:
- законодательного;
- административного;
- процедурного;
- программно-технического.
Проблема ИБ - не только (и не столько) техническая; без законодательной базы, без постоянного внимания руководства организации и выделения необходимых ресурсов, без мер управления персоналом и физической защиты решить ее невозможно. Проблема эффективной защиты информации в АСОД и обеспечения ИБ в целом могут быть успешно решены только при системном подходе.
Литература
1. Конституция Российской Федерации. Принята 12.12.1993 года.
2. Федеральный закон Российской Федерации "О безопасности" от 28 декабря 2010 г. № 390-ФЗ. Вступает в силу 29 декабря 2010 г.
3. Закон
РФ от 21 июля 1993 г. N 5485-1 "О государственной тайне"
(с изменениями от 6 октября 1997 г., 30 июня 2003 г., 11 ноября 2003 г.).
4. Федеральный закон Российской Федерации «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 года N 149-ФЗ.
5. Федеральный закон РФ «О коммерческой тайне» от 29 июля 2004 года N 98-ФЗ (в ред. Федеральных законов от 02.02.2006 N 19-ФЗ, от 18.12.2006 N 231-ФЗ, от 24.07.2007 N 214-ФЗ, от 11.07.2011 N 200-ФЗ).
6. Федеральный закон «О персональных данных» от 27 июля 2006 года № 152-ФЗ.
7. Федеральный закон Российской Федерации от 7 февраля 2011 года № 3-ФЗ "О полиции". Опубликовано 8 февраля 2011 года. Вступает в силу 1 марта 2011 года.
8. Федеральный закон «Об оперативно-розыскной деятельности» от 12 августа 1995 года N 144-ФЗ (с изменениями и дополнениями на 2010 год).
9. Стратегия национальной безопасности Российской Федерации до 2020 года. Утверждена Указом Президента Российской Федерации от 12 мая 2009 г. № 537 <http://www.scrf.gov.ru/../../news/436.html>.