Автор работы: Пользователь скрыл имя, 16 Ноября 2009 в 19:02, Не определен
Статья
Защита информации включает в себя определенный набор методов, средств и мероприятий, однако ограничивать способ реализации только этим было бы неверно. Защита информации должна быть системной, а в систему помимо методов, средств и мероприятий входят и другие компоненты: объекты защиты, органы защиты, пользователи информации. При этом защита не должна представлять собой нечто статичное, а являться непре
рывным процессом. Но этот процесс не осуществляется сам по себе, а происходит в результате деятельности людей. Деятельность же, по определению, включает в себя не только процесс, но и цели, средства и результат. Защита информации не может быть бесцельной, безрезультатной и осуществляться без помощи определенных средств. Поэтому именно деятельность и должна быть способом реализации содержательной части защиты.
Объединив содержательную часть защиты информации и способ реализации содержательнойча-сти, можно сформулировать следующее определение:
Защита информации - деятельность по предотвращению утраты и утечки конфиденциальной информации и утраты защищаемой открытой информации.
Учитывая, что определение должно быть лаконичным, а термин утрата и утечка защищаемой информации поглощаетвсе формы проявления уязвимости конфиденциальной и защищаемой части открытой информации, можно ограничиться более кратким определением при условии дифференцированного его преломления в практической работе: Защита информации - деятельность по предотвращению утраты и утечки защищаемой информации.
'—" А теперь проанализируем определение этого понятия, содержащееся в ГОСТ Р50922-96 "Защита информации. Основные термины и определения", поскольку это определение официальное, имеющее в смысловом значении обязательный характер. Оно сформулировано так: Защита информации - деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.
Как видно, это
определение совпадает с
Неконтролируемое распространение можно по смыслу приравнять к неправомерному выходу информации за пределы защищаемой зоны ее функционирования или установленного круга лиц. Но если в предложенном в данной статье определении утечки далее обозначен результат такого выхода -получение информации лицами, не имеющими к ней санкционированного доступа, то в стандарте неконтролируемое распространение выступает уже как результат, к которому приводят разглаше-
18 Безопасность информационных технологий, 1999. № 1
А. И. Алексенцев. Сущность и соотношение понятий "защита информации"...
ние, получение информации разведками и несанкционированный доступ к ней. Т.е., в первом случае неконтролируемое распространение приводит к несанкционированному получению, во втором -все наоборот. Но различия не ограничиваются этим. Вызывает недоумение, почему в один ряд поставлены разглашение, несанкционированный доступ к информации и ее получение. Разве несанкционированный доступ к информации не может привести к ее разглашению и получению? Если нет, то как он влияет на неконтролируемое распространение информации? Только как возможность с его помощью похитить ее. Но хищение в итоге опять приводит к получению информации. С другой стороны, разве разглашение информации не приводит к ее получению иностранными разведками и не только ими?
Такая путаница в ГОСТе вызвана тем, что на одну доску поставлены понятия с разными значениями: форма проявления уязвимости защищаемой информации (разглашение), механизм получения информации (несанкционированный доступ) и результат неконтролируемого распространения информации (получение разведками).
По второму компоненту содержательной части защиты информации предложенное в данной статье и гостированное определения расходятся и по формулировке, и по существу. В статье - это предотвращение утраты защищаемой информации, В ГОСТе - предотвращение несанкционированных и непреднамеренных воздействий на защищаемую информацию. Таким образом, если в первой части определения содержательной части ГОСТ называет вид уязвимости информации (утечку), то во второй - не вид (утрату), а воздействия, которые могут привести к этому виду уязвимости. Конечно, утрата не может произойти без несанкционированных или непреднамеренных воздействий на информацию, но зачем понадобился разный подход к обозначению двух видов уязвимости информации, почему один называется, другой подразумевается?
Отчасти это объясняется, вероятно, тем, что результаты воздействия на информацию ГОСТ не сводит только к ееутрате. Это видно из расшифровки понятий несанкционированного и непреднамеренного воздействий на информацию.
К несанкционированному воздействию ГОСТ относит воздействие на защищаемую информацию с нарушением установленных прав или правил на изменение информации, приводящее к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.
Непреднамеренное воздействие определяется ГОСТом как воздействие на защищаемую информацию ошибок пользователя информацией, сбоя технических и программных средств информационных систем, а также природных явлений или иных нецеленаправленных на изменение информации воздействий, связанных с функционированием технических средств, систем или с деятельностью людей, приводящих к искажению, уничто
жению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.
Таким образом, результатом воздействия на информацию или ее носитель являются и вид уязвимости (утрата), и формы проявления уязвимости (искажение, уничтожение, блокирование), и способ воздействия (копирование). Если в данном случае копирование заменяет хищение, то это неверно, поскольку есть и другие способы хищения. К тому же непонятно, в чем смысл в определении понятия отделять носитель информации от самой информации, ведь в итоге названные утрата и уничтожение носителя (без учета неправомерности постановки их в один ряд) являются одновременно утратой и уничтожением отображенной в них информации, а сбой функционирования носителя приводит к блокированию информации.
Может показаться, что все это - частности. Но определение любого понятия, помимо всего прочего, требует точности формулировки. _
С понятием защиты информации тесно связано понятие безопасности информации.
Термин безопасность информации имеет двойное смысловое значение, его можно толковать и как безопасность самой информации, и как отсутствие угроз со стороны информации субъектам информационных отношений.При этом безопасность самой информации также не вписываетсяв однозначное понимание. С одной стороны, это может означать безопасность информации с точки зрения изначальной полноты и надежности информации, с другой стороны, — защищенность установленного статус-кво информации.
В нормативных документах и литературе безопасность информации рассматривается только в разрезе ее защищенности, и это, вероятно, оправдано при наличии термина информационная безопасность.
Существует несколько определений понятия безопасность информации. При общем подходе к безопасности информации как состоянию защищенности (или защиты) информации эти определения существенно различаются между собой содержательной частью - защищенности от чего. Сюда относят: от внутренних и внешних угроз; от утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), несанкционированного копирования, блокирования информации и т.п.; от случайных или преднамеренных несанкционированных воздействий на информацию или несанкционированного ее получения; от случайного или преднамеренного доступа лиц, не имеющих права на получение информации, ее раскрытие, модификацию или разрушение, и др.
Не вызывает возражений подход к определению безопасности информации как к состоянию защищенности информации, ибо сам термин безопасность означает отсутствие опасностей, что определенным образом корреспондируется с термином состояние защищенности.
Вторую часть определения можно сформулиро-
Безопасность информационных технологий, 1999. № 1 19
Специальный выпуск
вать и как от воздействий, нарушающих ее статус, и как от утраты и утечки, поскольку в конечном итоге они выражают одно и то же, т.к. предотвращение утраты и утечки информации осуществляется посредством предотвращения дестабилизирующих воздействий на информацию. Первый вариант представляется более предпочтительным, т.к. непосредственной целью защищенности информации является противодействие дестабилизирующим воздействиям.
Из определений понятий защита информации и безопасность информации вытекает и соотношение между ними: защита информации направлена на обеспечение безопасности информации или, другими словами, безопасность информации обеспечивается с помощьюее защиты.
Понятие информационная безопасность в научной литературе сначала отождествлялось с понятием безопасность информации. Затем к этому прибавилось или это заменилось на защищенность субъектов информационных отношений от негативных информационных воздействий. В различных определениях присутствуют те или другие нюансы, но они не меняют сути названных подходов. Такое толкование информационной безопасности представляется неполным. Методологической основой определения этого понятия должно быть отнесение его не к самой информации, хотя информационная безопасность и сопряжена с информацией, а к субъектам информационной среды - физическим и юридическим лицам, участвующим в информационном процессе. Из этого, кстати, следует, что в практическом преломлении информационная безопасность не существует вообще, безотносительно к субъекту информационной среды, именно субъект диктует показатели такой безопасности. Это относится не только к конкретным субъектам, но и к личности, обществу и государству в целом.
Смысловое содержание понятия информационная безопасность предполагает и в какой-то мере предопределяет включение в него трех составляющих.
Первой составляющей является удовлетворение информационных потребностей субъектов, включенных в информационную среду. Здравый смысл подсказывает, что не может быть обеспечена информационная безопасность субъекта без наличия у него необходимой информации. Информационные потребности различных субъектов не одинаковы, однаков любом случае отсутствие необходимой информации может иметь и, как правило, имеет отрицательные последствия. Эти последствия могут носить различный характер, их тяжесть зависит от состава отсутствующей информации.
Необходимая для удовлетворения информационных потребностей информация должна отвечать определенным требованиям. Во-первых, информация должна быть относительно полной. Относительно потому, что абсолютно полной информации ни один субъект иметь не может. Полнота информации характеризуется ее достаточностью для принятия правильных решений. Во-вторых, информация должна быть достоверной, ибо искажен
ная информация приводит к принятию неправильных решений. В-третьих, информация должна быть своевременной, т.к. необходимые решения эффективны лишь тогда, когда они принимаются вовремя.
Но требования полноты, достоверности и своевременности информации относятся не только к ее первоначальному статусу. Эти требования имеют силу на все время циркулирования информации, потому что их нарушение на стадии последующего использования информации также может привести к неправильным решениям или вообще к невозможности принятия решений, как и нарушение статуса конфиденциальности может обесценить информацию. Поэтому информация должна быть защищена от воздействий, нарушающих еестатус. А это относится к сфере безопасности информации. Стало быть, обеспечение безопасности информации должно являться второй составляющей информационной безопасности.
К принятию неверных решений может привести не только отсутствие необходимой информации, но и наличие вредной, опасной для субъекта информации, которая чаще всего целенаправленно навязывается. Это требует обеспечения защиты субъектов информационных отношений от негативного информационного воздействия, что должно являться третьей составляющей информационной безопасности.
При таком подходе можно сформулировать следующее определение:
Информационная безопасность - состояние информационной среды, обеспечивающее удовлетворение информационных потребностей субъектов информационных отношений, безопасность информации и защиту субъектов от негативного информационного воздействия.