Навигация
Информационная безопасность
26825
знаков
1
таблица
0
изображений
Сущность и соотношение понятий "защита информации", "безопасность информации", "" А. И. АЛЕКСЕНЦЕВ, кандидат исторических наук, профессор Российский государственный гуманитарный университет |
Понятия защита информации, безопасность информации, информационная безопасность являются базовыми, поскольку их сущность определяет в конечном итоге политику и деятельность в сфере защиты информации. В то же время эти понятия взаимосвязаны и взаимообусловлены. Между тем и в нормативных документах, и в научной литературе нет единых подходов к определению данных понятий, а, следовательно, и к раскрытию их сущности, ибо определения должны в концентрированном виде выражать сущность понятий. В первую очередь это относится к понятию защита информации, где разброс мнений наиболее значителен. При этом различия касаются как содержательной части понятия, так и способа ее реализации.
По содержательной части защита информации рассматривается как: предупреждение несанкционированного доступа к информации; создание условий, ограничивающих распространение информации; ограждение права собственника на владение и распоряжение информацией; предотвращение утечки, хищения, утраты, несанкционированного уничтожения, копирования, модификации, искажения, блокирования, разглашения информации, несанкционированных и непреднамеренных воздействий на нее; сохранение полноты, надежности, целостности, достоверности, конфиден-,. циальности информации и т.д.
Способом реализации содержательной части понятия одни авторы называют совокупность ме-Si/роприятий, методов и средств, другие -деятельность, у третьих он вообще отсутствует.
Методологической основой для раскрытия сущности и определения понятия защиты информации должно быть определение понятия защита в целом, безотносительно к предмету защиты.
В толковых словарях термин защита интерпретируется двояко: как процесс охраны, сбережения, спасения от кого, чего-нибудь неприятного, враждебного, опасного и как совокупность методов, средств и мер, принимаемых для предотвращения, предупреждения чего-то. Таким образом, содержательная часть в этих определениях по смыслу совпадает - это предотвращение, предупреждение чего-то опасного, враждебного. Если соотнести это положение с защитой информации, то самым опасным для собственника информации является нарушение установленного статуса информации, и поэтому содержательной частью защиты должно быть , предотвращение такого нарушения.
Нарушение статуса любой информации заклю-
чается в нарушении ее физической сохранности вообще либо у данного собственника (в полном или частичном объеме), структурной целостности, доступности для правомочных пользователей. Нарушение статуса конфиденциальной информации, в том числе составляющей государственную тайну, дополнительно включает в себя нарушение ее конфиденциальности (закры-тости для посторонних лиц).
Нарушение статуса информации обусловлено ее уязвимостью, которая означает неспособность информации самостоятельно противостоять дестабилизирующим воздействиям, сохранять при таких воздействиях свой статус.
Но уязвимость информации - понятие собирательное, она не существует вообще, а проявляется (выражается) в различных формах. В научной литературе и нормативных документах не сформировался термин форма проявления уязвимости информации, но самих конкретных формназывается множество. При этом значительное количество перечисляемых форм являются синонимами или разновидностями одних и тех же явлений, некоторые не могут быть отнесены к формам по своей сущности.
Представляется, что к формам проявления уязвимости информации, выражающим результаты дестабилизирующего воздействия на информацию, должны быть отнесены:*)
- хищение носителя информации или отображенной в нем информации (кража);
- потеря носителя информации (утеря);
- несанкционированное уничтожение носителя информации или отображенной в неминформации (разрушение);
- искажение информации (несанкционированное изменение, несанкционированная модификация, подделка, фальсификация);
- блокирование информации;
- разглашение информации (несанкционированное распространение, раскрытие)
Хищение информации часто ставится в один ряд с ее несанкционированным копированием, размножением, съемом, перехватом. Однако последние являются не формами проявления уязвимости информации, а способами хищения. ,
Термины модификация, подделка, фальсификация не совсем адекватны термину искажение, они имеют нюансы, но суть их одна и та же - несанкционированное частичное или полное измене-ниепервоначальной информации.
Та или другая форма уязвимости информации
*) В скобках даны существующие варианты названий форм
16 Безопасность информационных технологий, 1999. .№ 1
А. И. Алексенцев. Сущность и соотношение понятий "защита информации"...
может реализоваться при преднамеренном или случайном, непосредственном или опосредованном дестабилизирующем воздействии различными способами на носитель информации или саму информацию со стороны определенных источников воздействия.
Но результатами проявления форм уязвимости информации могут быть либо утрата, либо утечка информации, либо одновременно то и другое. ^
К утрате как конфиденциальной, так и защищаемой части открытой информации приводят хищение и потеря носителей информации, несанкционированное уничтожение носителей информации или только отображенной в них информации, искажение и блокирование информации. Утрата может быть полной или частичной, безвозвратной или временной (при блокировании информации), но в любом случае она наносит ущерб собственнику информации.
Термин утечка информации, вероятно, не самый благозвучный, однако он более емко, чем другие термины, отражает суть явления, к тому же он давно уже закрепился в научной литературе и нормативных документах. Правда, единого подхода к определению этого термина нет. Наиболее распро-странные определения в обобщенном виде сводятся либо к неправомерному (неконтролируемому) выходу конфиденциальной информации за пределы организаций и круга лиц, которым эта информация доверена, либо к несанкционированному за-владению конфиденциальной информацией соперником. При этот термин конфиденциальная информация иногда неправомерно заменяется термином защищаемая информация.
Первый вариант не раскрывает в полной мере сущности утечки, поскольку он не принимает во внимание последствий неправомерного выхода конфиденциальной информации. А они могут быть двоякими: или информация попала вруки лиц, не имеющих к ней санкционированного доступа, или не попала. Например, потерянный носитель конфиденциальной информации означает неправомерный выход информации за пределы лиц, имеющих к ней доступ, но он может попасть в чужие руки, а может быть и прихвачен мусороуборочной машиной и уничтожен в установленном для мусора порядке. В последнем случае утечки информации не происходит.
Второй вариант утечку информации связывает с неправомерным завладением конфиденциальной информацией только соперником. В таком варианте, к примеру, средства массовой информации, которым нередко поставляют или они сами добывают конфиденциальную информацию, должны рассматриваться в качестве соперников собственника информации, в этом случае настоящий соперник получает информацию правомерно, через СМИ.
В то же время утечка информации не означает получение ее только лицами, не работающими на предприятии, к утечке приводит и несанкционированное ознакомление с конфиденциальной информацией лиц данного предприятия.
Исходя из изложенного, можно сформулировать следующее определение:
Утечка информации - неправомерный выход конфиденциальной информации за пределы защищаемой зоны ее функционирования или установленного круга лиц, результатом которого является получение информации лицами, не имеющими к ней санкционированного доступа.
Термин утечка информации нередко, в том числе и в нормативных документах, заменяется или отождествляется с терминами разглашение информации, распространение информации и даже передача информации. Такой подход представляется неправомерным. Термин разглашение информации означает несанкционированное доведение конфиденциальной информации до потребителей, не имеющих права доступа к ней, таким образом, он предполагает, что разглашение исходит от кого-то, осуществляется кем-то. Результатом разглашения является утечка информации, но утечка не сводится только к разглашению. Термин распространение применительно к конфиденциальной информации без слов несанкционированное или необоснованное ничего не выражает, поскольку распространение информации может быть и обоснованным, к тому же он опять-таки предполагает, что информация исходит от кого-то. Термин передача информации говорит сам за себя.
Помимо разглашения, утечка может произойти и в результате потери и хищения носителя конфиденциальной информации, а также хищения отображенной в носителе информации при сохранности носителя у собственника (владельца). Может произойти не означает, что произойдет. Выше уже отмечалось, что потеря носителя не всегда приводит к утечке информации. Хищение конфиденциальной информации также не всегда связано с получением ее лицами, не имеющими к ней доступа. Имелось немало случаев, когда хищение носителей конфиденциальной информации осуществлялось у коллег по работе допущенными к этой информации лицами с целью подсидки, причинения вреда коллеге. Такие носители, как правило, уничтожались лицами, похитившими их. Но в любом случае потеря и хищение если и не приводят к утечке информации, то создают угрозу утечки. Поэтому можно сказать, что к утечке конфиденциальной информации приводит ее разглашение и могут привести хищение и потеря. Сложность состоит в том, что зачастую невозможно определить, во-первых, сам факт разглашения или хищения информации при сохранности носителя информации у собственника (владельца), во-вторых, попала ли информация вследствие ее хищения или потери посторонним лицам. При этом не следует отождествлять хищение с разглашением, как это иногда делается. Хищение может привести и часто приводит к разглашению и в последнем случае выступает в роли опосредованного способа разглашения, но, во-первых, результатом хищения не всегда бывает разглашение, во-вторых, разглашение конфиденциальной информации осуществляется не только посредством ее хищения.
Безопасность информационных технологий, 1999. ,№ 1 17
Специальный выпуск"
Утрата и утечка информации могут рассматриваться как виды уязвимости информации.
Суммируя соотношение форм и видов уязвимости защищаемой информации, можно констатировать:
1.Формы проявления уязвимости информации выражают результаты дестабилизирующего воздействия на информацию, а виды уязвимости - конечный суммарный итог реализации форм уязвимости.
2.Утрата информации включает в себя, по сравнению с утечкой, большее число форм проявления уязвимости информации, но она не поглощает утечку, т.к., во-первых, не все формы проявления уязвимости информации, которые приводят или могут привести к утечке, совпадают с формами, приводящими к утрате, во-вторых, если к утрате информации приводит хищение носителей, то к утечке может привести хищение и носителей, и отображенной в них информации при сохранности носителей.
3. Наиболее опасными формами проявления уязвимости конфиденциальной информации являются потеря, хищение и разглашение - первые две одновременно могут привести и к утрате, и к утечке информации, вторая (хищение информации при сохранности носителя) и третья могут не обнаружиться со всеми вытекающими из этого последствиями.
4. Неправомерно отождествлять виды и отдельные формы проявления уязвимости информации (утрата^потеря, утрата= хищение, утечка=разгла-шение (распространение), заменять формы проявления уязвимости информации способами дестабилизирующего воздействия на информацию, а также ставить в один ряд формы и виды уязвимости защищаемой информации, как это, в частности, сделано в законе "Об информации, информатизации и защитой нформации", где одной из целей защиты названо: предотвращение утечки, хищения, утраты, искажения, подделки информации.
Поскольку нарушение статуса информации выражается в различных формах проявления уязвимости информации, а все формы сводятся к двум видам уязвимости, содержательную часть понятия защита информации можно определить как предотвращение утраты и утечки конфиденциальной информации и утраты защищаемой открытой информации.
Вторая составляющая сущности защиты информации - способ реализации содержательной части - в толковых словарях, как уже отмечалось, представлена как процесс или как совокупность методов, средств и мероприятий.
Защита информации включает в себя определенный набор методов, средств и мероприятий, однако ограничивать способ реализации только этим было бы неверно. Защита информации должна быть системной, а в систему помимо методов, средств и мероприятий входят и другие компоненты: объекты защиты, органы защиты, пользователи информации. При этом защита не должна представлять собой нечто статичное, а являться непре
рывным процессом. Но этот процесс не осуществляется сам по себе, а происходит в результате деятельности людей. Деятельность же, по определению, включает в себя не только процесс, но и цели, средства и результат. Защита информации не может быть бесцельной, безрезультатной и осуществляться без помощи определенных средств. Поэтому именно деятельность и должна быть способом реализации содержательной части защиты.
Объединив содержательную часть защиты информации и способ реализации содержательнойча-сти, можно сформулировать следующее определение:
Защита информации - деятельность по предотвращению утраты и утечки конфиденциальной информации и утраты защищаемой открытой информации.
Учитывая, что определение должно быть лаконичным, а термин утрата и утечка защищаемой информации поглощаетвсе формы проявления уязвимости конфиденциальной и защищаемой части открытой информации, можно ограничиться более кратким определением при условии дифференцированного его преломления в практической работе: Защита информации - деятельность по предотвращению утраты и утечки защищаемой информации.
'—" А теперь проанализируем определение этого понятия, содержащееся в ГОСТ Р50922-96 "Защита информации. Основные термины и определения", поскольку это определение официальное, имеющее в смысловом значении обязательный характер. Оно сформулировано так: Защита информации - деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.
Как видно, это определение совпадает с предложенным по способу реализации содержательной части защиты и по одной из ее составляющих -предотвращению утечки защищаемой информации. Однако определение утечки в ГОСТе дано другое - оно не сформулировано отдельно, а вмонтировано в определение термина Защита информации от утечки, которое звучит так: Защита информации от утечки: деятельность по предотвращению неконтролируемого распространения защищаемой информации от ее разглашения, несанкционированного доступа к защищаемойинформации и от получения защищаемой информации (иностранными} разведками. Из этого определения вытекает, что утечка информации - это неконтролируемое распространение защищаемой информации.
Неконтролируемое распространение можно по смыслу приравнять к неправомерному выходу информации за пределы защищаемой зоны ее функционирования или установленного круга лиц. Но если в предложенном в данной статье определении утечки далее обозначен результат такого выхода -получение информации лицами, не имеющими к ней санкционированного доступа, то в стандарте неконтролируемое распространение выступает уже как результат, к которому приводят разглаше-
Похожие работы
... мероприятия по новому месту работы, жительства; также в окружении носителей коммерческих секретов. Персонал оказывает существенное, а в большинстве случаев даже решающее влияние на информационную безопасность банка. В этой связи подбор кадров, их изучение, расстановка и квалифицированная работа при увольнениях в значительной степени повышают устойчивость коммерческих предприятий к возможному ...
... обстоятельствах могут быть рассмотрены как внешние, относятся: критическое состояние отечественных отраслей промышленности; недостаточное финансирование мероприятий по обеспечению информационной безопасности Российской Федерации; недостаточная экономическая мощь государства; недостаточное количество квалифицированных кадров в области обеспечения информационной безопасности; отставание России от ...
... обслуживании до исполнения на машине пользователя злонамеренного программного кода без его согласия и ведома. 1.3 Методы защиты компьютерной сети организации от НСД из сети Интернет. Применение межсетевых экранов Существует несколько подходов к решению проблемы защиты КСО подключенной к сети Интернет от НСД. Первый подход состоит в усилении защиты всех имеющихся систем, открытых к ...
... ИБ. Выполнение курсовой работы, вызвано необходимостью пересмотра, корректировки и дополнения существующих данных, приведённых в «Доктрине информационной безопасности Российской Федерации». 1. ИДЕНТИФИКАЦИЯ УГРОЗ, ИСТОЧНИКОВ УГРОЗ, ОБЪЕКТОВ ОБЕСПЕЧЕНИЯ И МЕР ОБЕСПЕЧЕНИЯ ИБ РОССИЙСКОЙ ФЕДЕРАЦИИ В СФЕРЕ ОБОРОНЫ Информационная безопасность РФ, являясь одной из составляющих национальной ...
0 комментариев