 |
Термины и определения.
|
|
|
|
Проведенный анализ терминологических источников по информационной безопасности, в том числе законодательных актов Российской Федерации, руководящих документов Государственной технической комиссии при Президенте Российской Федерации (Гостехкомиссии России), отечественных и зарубежных стандартов, показал, что в этой области пока не существует терминологического единства.
Понятие информационной безопасности, на наш взгляд, непосредственно связано с понятием информатизации общества.
Под информационной безопасностью в широком смысле будем понимать такое свойство процесса информатизации и всей жизнедеятельности общества, которое гарантирует устранение всех негативных последствий информатизации либо сводит их до такого минимума, который обеспечивает выживание и дальнейшее развитие человечества, его превращение в развитую, гуманную информационную цивилизацию.
Только в случае обеспечения информационной безопасности информатизация общества окажется процессом всеобщей интеллектуально-гуманистической перестройки жизнедеятельности человечества на основе наиболее полного использования информации как ресурса его развития.
Проблема информационной безопасности в своем системно-обобщенном плане в настоящее время только начинает разрабатываться в рамках нового научного направления, именуемого социальной информатикой и претендующего на изучение закономерностей взаимодействия общества и информатики, прежде всего, процесса информатизации общества и становления информационной цивилизации [1, 5, 6, 62].
Информационная безопасность в узком смысле (Information security) — это совокупность свойств информации, связанная с обеспечением запрещения неавторизованного доступа (получения, ознакомления с содержанием, передачи, хранения и обработки), модификации или уничтожения, а также любых других несанкционированных действий с личной, конфиденциальной или секретной информацией, представленной в любом физическом виде.
|
|
|
По своему содержанию информационная безопасность включает:
- компьютерную безопасность;
- безопасность информационных систем и процессов в обществе (в том числе и еще не охваченных процессом информатизации);
- создание необходимой социальной среды для гуманистической ориентации информационных процессов.
Таким образом, в отличие от трактовки зарубежных специалистов [74] информационная безопасность не сводится только к компьютерной безопасности, так же как информатизация не тождественна компьютеризации общества. Поэтому понятие информационной безопасности, включая в себя компьютерную безопасность в качестве неотъемлемой составной части, должно распространяться на все информационные процессы в обществе и другие социальные процессы, в той или иной степени влияющие на информацию и средства информатики.
Компьютерная безопасность (Computer security) — раздел информационной безопасности, связанный с ее обеспечением при создании и эксплуатации различных систем электронной обработки данных и автоматизированных сетей связи, в первую очередь вычислительных (компьютерных) систем.
Она определяется степенью защищенности (охраны) информации, технических и программных средств вычислительной техники от нанесения им ущерба в результате сознательных либо случайных противоправных действий или стихийных бедствий.
Безопасность вычислительных (информационных, компьютерных) систем (Security of Information (Computer) Systems) — совокупность свойств, связанная с достижением компьютерной безопасности при эксплуатации вычислительных (информационных, компьютерных) систем.
|
|
|
Безопасность данных (Data security) — совокупность свойств данных, связанная с достижением информационной безопасности и определяемая защищенностью данных от случайного или преднамеренного доступа к ним лиц, не имеющих на это право, от неавторизованной модификации данных или от их уничтожения.
Защита (Protection; Lock out) информации при эксплуатации вычислительных (компьютерных) систем — система мер, направленных на ограничение доступа ко всей или части информации, а также недопущение ее несанкционированного использования при эксплуатации вычислительных (компьютерных) систем.
Защита информации в широком смысле согласно Указу Президента Российской Федерации от 5 января 1992 года «О создании Государственной технической комиссии при Президенте Российской Федерации» является неразрывной частью процесса информатизации и отождествляется с безопасностью информационного ресурса, включающего в себя важнейшую и ценнейшую информацию и средства, способы ее обработки и хранения — информационные технологии.
Защита данных (Data protection) — система организационных, методических, правовых, информационных, программных и технических мероприятий, методов и средств, направленных на ограничение или исключение несанкционированного доступа к данным, их использования или изменения на любой стадии процесса сбора, обработки, хранения, передачи и уничтожения.
Под каналом утечки информации будем понимать способ, позволяющий нарушителю получить несанкционированный доступ к обрабатываемой или хранящейся в системе информации.
В процессе своей деятельности государство (в целом или отдельные его органы и организации), общественные или коммерческие организации (объединения) и предприятия (юридические лица), отдельные граждане (физические лица) могут находиться друг с другом в разного рода отношениях, в том числе касающихся вопросов получения, хранения, обработки, распространения и использования определенной информации. Такие отношения между субъектами будем называть информационными отношениями, а самих участвующих в них субъектов — субъектами информационных отношений.
Различные субъекты по отношению к определенной информации могут выступать в следующем качестве (возможно одновременно):
|
|
|
· источников (поставщиков) информации;
· пользователей (потребителей) информации;
· собственников (владельцев, распорядителей) информации;
· физических и юридических лиц, о которых собирается информация;
· владельцев систем сбора и обработки информации и участников процессов обработки и передачи информации и т.д.
Для успешного осуществления своей деятельности по управлению объектами некоторой предметной области субъекты информационных отношений могут быть заинтересованы в обеспечении:
· своевременного доступа (за приемлемое для них время) к необходимой им информации;
· конфиденциальности (сохранения в тайне) определенной части информации;
· достоверности (полноты, точности, адекватности, целостности) информации;
· защиты от навязывания им ложной (недостоверной, искаженной) информации (то есть от дезинформации);
· защиты части информации от незаконного ее тиражирования (защиты авторских прав, прав собственника информации и т.п.);
· разграничения ответственности за нарушения законных прав (интересов) других субъектов информационных отношений и установленных правил обращения с информацией;
· возможности осуществления непрерывного контроля и управления процессами обработки и передачи информации.
Будучи заинтересованным в обеспечении хотя бы одного из вышеназванных требований субъект информационных отношений является уязвимым, то есть потенциально подверженным нанесению ему ущерба (прямого или косвенного, материального или морального) посредством воздействия на критичную для него информацию и ее носители либо посредством неправомерного использования такой информации. Поэтому все субъекты информационных отношений заинтересованы в обеспечении своей информационной безопасности (конечно, в различной степени в зависимости от величины ущерба, который им может быть нанесен).
Для удовлетворения законных прав и перечисленных выше интересов субъектов (обеспечения их информационной безопасности) необходимо постоянно поддерживать следующие свойства информации и систем ее обработки:
|
|
|
· доступность информации, то есть свойство системы (среды, средств и технологии ее обработки), в которой циркулирует информация, характеризующееся способностью обеспечивать своевременный беспрепятственный доступ субъектов к интересующей их информации и готовность соответствующих автоматизированных служб к обслуживанию поступающих от субъектов запросов, когда в обращении к ним возникает необходимость;
· целостность информации, то есть свойство информации, заключающееся в ее существовании в неискаженном виде (неизменном по отношению к некоторому фиксированному ее состоянию). Точнее говоря, субъектов интересует обеспечение более широкого свойства — достоверности информации, которое складывается из адекватности (полноты и точности) отображения состояния предметной области и непосредственно целостности информации, то есть ее неискаженности. Однако мы ограничимся только рассмотрением вопросов обеспечения целостности информации, так как вопросы обеспечения адекватности отображения выходят далеко за рамки проблемы обеспечения информационной безопасности;
· конфиденциальность информации — субъективно определяемую (приписываемую) характеристику (свойство) информации, указывающую на необходимость введения ограничений на круг субъектов, имеющих доступ к данной информации, и обеспечиваемую способностью системы (среды) сохранять указанную информацию в тайне от субъектов, не имеющих полномочий на доступ к ней. Объективные предпосылки подобного ограничения доступности информации для одних субъектов заключены в необходимости защиты законных интересов других субъектов информационных отношений.
Поскольку ущерб субъектам информационных отношений может быть нанесен опосредовано, через определенную информацию и ее носители (в том числе автоматизированные системы обработки), то закономерно возникает заинтересованность субъектов в обеспечении безопасности этой информации и систем ее обработки и передачи. Иными словами, в качестве объектов, подлежащих защите в интересах обеспечения безопасности субъектов информационных отношений, должны рассматриваться: информация, ее носители и процессы ее обработки.
Однако всегда следует помнить, что уязвимыми в конечном счете являются именно заинтересованные в обеспечении определенных свойств информации и систем ее обработки субъекты (информация, равно как и средства ее обработки, не имеет своих интересов, которые можно было бы ущемить и нанести тем самым ущерб). В дальнейшем, говоря об обеспечении безопасности АС или циркулирующей в системе информации, всегда будем понимать под этим косвенное обеспечение безопасности субъектов, участвующих в процессах автоматизированного информационного взаимодействия.
|
|
|
Поэтому термин безопасность информации нужно понимать как защищенность информации от нежелательного для соответствующих субъектов информационных отношений ее разглашения (нарушения конфиденциальности), искажения (нарушения целостности), утраты или снижения степени доступности информации, а также незаконного ее тиражирования.
Поскольку субъектам информационных отношений ущерб может быть нанесен также посредством воздействия на процессы и средства обработки критичной для них информации, то становится очевидной необходимость обеспечения защиты всей системы обработки и передачи данной информации от несанкционированного вмешательства в процесс ее функционирования, а также от попыток хищения, незаконной модификации и/или разрушения любых компонентов данной системы.
Поэтому под безопасностью автоматизированной системы обработки информации (компьютерной системы) будем понимать защищенность всех ее компонентов (технических средств, программного обеспечения, данных и персонала) от подобного рода нежелательных для соответствующих субъектов информационных отношений воздействий.
Безопасность любого компонента (ресурса) АС складывается из обеспечения трех его характеристик: конфиденциальности, целостности и доступности.
Конфиденциальность компонента системы заключается в том, что он доступен только тем субъектам доступа (пользователям, программам, процессам), которым предоставлены на то соответствующие полномочия.
Целостность компонента системы предполагает, что он может быть модифицирован только субъектом, имеющим для этого соответствующие права. Целостность является гарантией корректности (неизменности, работоспособности) компонента в любой момент времени.
Доступность компонента означает, что имеющий соответствующие полномочия субъект может в любое время без особых проблем получить доступ к необходимому компоненту системы (ресурсу).
Таким образом, конечной целью защиты АС и циркулирующей в ней информации является предотвращение или минимизация наносимого субъектам информационных отношений ущерба (прямого или косвенного, материального, морального или иного) посредством нежелательного воздействия на компоненты АС, а также разглашения (утечки), искажения (модификации), утраты (снижения степени доступности) или незаконного тиражирования информации.
Наибольшую сложность при решении вопросов обеспечения безопасности конкретных информационно-управляющих систем (информационных технологий) представляет задача определения реальных требований к уровням защиты критичной для субъектов информации, циркулирующей в АС. Ориентация на интересы субъектов информационных отношений дает ключ к решению данной задачи для общего случая.
Итак, для обеспечения жизненно важных интересов – потребностей, удовлетворение которых необходимо для обеспечения надежного существования и прогрессивного развития субъектов, — информация должна обладать определенными свойствами (рис.1.2).
Рис. 1.2. Свойства информации
Обеспечение безопасности — есть непрерывный процесс, заключающийся в обоснованном выборе и реализации наиболее рациональных методов построения и развития системы защиты, контроля ее состояния, выявления и ликвидации слабых мест, являющихся потенциальным каналом противоправных действий. При этом наибольший эффект достигается, когда все используемые средства и методы объединяются в единый целостный механизм — систему защиты информации.
Безопасность следует обеспечивать как в отношении информации, циркулирующей в ИС, так и в отношении технических средств обработки и передачи и персонала ИС (рис 1.3).
С позиции системного подхода защита информации должна обеспечиваться с соблюдением ряда требований
(рис. 1.4).
Рис 1.3. Схема обеспечения безопасности информации
Для обеспечения комплексности защиты необходимо охватывать весь технологический комплекс, использовать средства многоуровневого иерархического управления доступа. Кроме этого, система должна быть открытой для изменений, дополнений, повышающих надежность защиты. Для того чтобы система защиты эффективно функционировала, необходима четкость в определении полномочий и прав пользователей информации.
Так как система защиты информации наделена соответствующими функциями, то она должна иметь необходимый набор ресурсов (рис. 1.5).
Рис. 1.4 Схема требований к защите информации
Рис.1.5. Схема необходимых ресурсов для обеспечения ИБ
Итак, система информационной безопасности должна рассматривать комплекс проблем в совокупности, ориентируясь на защиту интересов субъектов информационной деятельности. Необходимо всегда помнить, что защищать надо именно субъектов информационных отношений, так как в конечном счете именно им, а не самой информации или системам ее обработки может наноситься ущерб. Иными словами, защита информации и систем ее обработки — вторичная задача. Главная задача — это защита интересов субъектов информационных отношений. Такая расстановка акцентов позволяет правильно определять требования к защищенности конкретной информации и систем ее обработки.
|
|
|
