Причины и условия, источники и способы дестабилизирующего воздействия на защищаемую информацию

Может показаться, что все это - частности. Но определение любого понятия, помимо всего прочего, требует точности формулировки.

С понятием защиты информации тесно связано понятие безопасности информации. Термин "безопасность информации" имеет двойное смысловое значение, его можно толковать и как безопасность самой информации, и как отсутствие угроз со стороны информации субъектам информационных отношений. При этом безопасность самой информации также не вписывается в однозначное понимание.

С одной стороны, это может означать безопасность информации, с точки зрения изначальной полноты и надежности информации, с другой - защищенность установленного статус-кво информации.

В нормативных документах и литературе безопасность информации рассматривается только в разрезе ее защищенности, и это, вероятно, оправдано при наличии термина "информационная безопасность".

Существует несколько определений понятия "безопасность информации". При общем подходе к безопасности информации как к состоянию защищенности (или защиты) информации эти определения существенно различаются между собой содержательной частью.

Различают защищенность:

- от внутренних и внешних угроз;

- от утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), несанкционированного копирования, блокирования информации и т.п.;

- от случайных или преднамеренных несанкционированных воздействий на информацию;

- от несанкционированного ее получения и др.

Не вызывает возражений подход к определению безопасности информации как к состоянию защищенности информации, ибо сам термин "безопасность" означает отсутствие опасностей, что определенным образом корреспондируется с термином "состояние защищенности".

Вторую часть определения понятия "безопасность информации" можно сформулировать как защищенность от воздействий, нарушающих ее статус, или как защищенность от утраты и утечки, поскольку в конечном итоге они выражают одно и то же, т.к. предотвращение утраты и утечки информации осуществляется посредством предотвращения дестабилизирующих воздействий на информацию. Первый вариант представляется более предпочтительным, т.к. непосредственной целью защищенности информации является противодействие дестабилизирующим воздействиям. Таким образом, можно дать следующее определение: безопасность информации - защищенность от воздействий, нарушающих ее статус.

Из определений понятий "защита информации" и "безопасность информации" вытекает и соотношение между ними: защита информации направлена на обеспечение безопасности информации или, другими словами, безопасность информации обеспечивается с помощью ее защиты.

Понятие информационная безопасность в научной литературе сначала отождествлялось с понятием безопасность информации. Затем к этому прибавилась защищенность субъектов информационных отношений от негативных информационных воздействий.

В различных определениях присутствуют те или другие нюансы, но они не меняют сути названных подходов. Такое толкование информационной безопасности представляется неполным.

Методологической основой определения этого понятия должно быть отнесение его не к самой информации, хотя информационная безопасность и сопряжена с информацией, а к субъектам информационной среды - физическим и юридическим лицам, участвующим в информационном процессе. Из этого следует, что в практическом преломлении информационная безопасность не существует вообще, безотносительно к субъекту информационной среды - именно субъект диктует показатели такой безопасности. Это относится не только к конкретным субъектам, но и к личности, обществу и государству в целом.

Смысловое содержание понятия "информационная безопасность" предполагает и в какой-то мере предопределяет включение в него трех составляющих.

Первой составляющей является удовлетворение информационных потребностей субъектов, включенных в информационную среду. Информационная безопасность субъекта не может быть обеспечена без наличия у него необходимой информации. Информационные потребности различных субъектов не одинаковы, отсутствие необходимой информации может иметь и, как правило, имеет отрицательные последствия. Эти последствия могут носить различный характер, их тяжесть зависит от состава отсутствующей информации.

Необходимая для удовлетворения информационных потребностей информация должна отвечать определенным требованиям. Во-первых, информация должна быть относительно полной. Относительно потому, что абсолютно полной информации ни один субъект иметь не может. Полнота информации характеризуется ее достаточностью для принятия правильных решений. Во-вторых, информация должна быть достоверной, ибо искаженная информация приводит к принятию неправильных решений. В-третьих, информация должна быть своевременной, т.к. необходимые решения эффективны лишь тогда, когда они принимаются вовремя.

Но требования полноты, достоверности и своевременности информации относятся не только к ее первоначальному статусу. Эти требования имеют силу в течение все время циркулирования информации, потому что их нарушение на стадии последующего использования информации также может привести к неправильным решениям или вообще к невозможности принятия решений, как и нарушение статуса конфиденциальности, может обесценить информацию. Поэтому информация должна быть защищена от воздействий, нарушающих ее статус, т.е. должна быть обеспечена ее безопасность. Следовательно, обеспечение безопасности информации является второй составляющей информационной безопасности.

К принятию неверных решений может привести не только отсутствие необходимой информации, но и наличие вредной, опасной для субъекта информации, которая чаще всего целенаправленно навязывается. Поэтому третьей составляющей информационной безопасности является обеспечения защиты субъектов информационных отношений от негативного информационного воздействия.

При таком подходе можно сформулировать следующее определение: информационная безопасность - состояние информационной среды, обеспечивающее удовлетворение информационных потребностей субъектов информационных отношений, безопасность информации и защиту субъектов от негативного информационного воздействия.

При этом под информационной средой, согласно закону "Об участии в международном информационном обмене" (отменен Законом РФ «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 года N 149-ФЗ), понимается сфера деятельности субъектов, связанная с созданием, преобразованием и потреблением информации. В законе дано и определение информационной безопасности как состояния защищенности информационной среды общества, обеспечивающего ее формирование, использование и развитие в интересах граждан, организаций, государства.

Этому определению не хватает конкретности. В него можно вписать и содержательную часть предложенного определения, а можно свести его только к безопасности информационных систем, что неправомерно, т.к. информационная безопасность не ограничивается безопасностью информационных систем.

Из представленных определений понятий "защита информации", "безопасность информации" и "информационная безопасность" следует, что существует прямая связь и зависимость между парами понятий "защита информации" - "безопасность информации", "безопасность информации" - "информационная безопасность", а также опосредованная связь между понятиями "защита информации" - "информационная безопасность".

Заключение

Цель мероприятий в области информационной безопасности (ИБ) - защитить интересы субъектов информационных отношений. Интересы эти многообразны, но для АСОД все они концентрируются вокруг трех основных аспектов:

– доступность;

– целостность;

– конфиденциальность.

Разрушение важной информации, кража конфиденциальных данных, перерыв в работе АСОД вследствие отказа - все это выливается в крупные материальные потери, наносит ущерб репутации организации. Проблемы с системами управления или медицинскими системами угрожают здоровью и жизни людей.

Современные информационные системы сложны и, значит, опасны уже сами по себе, даже без учета активности злоумышленников. Постоянно обнаруживаются новые уязвимые места в программном обеспечении. Приходится принимать во внимание чрезвычайно широкий спектр аппаратного и программного обеспечения, многочисленные связи между компонентами.

Меняются принципы построения ИС. Подтверждением сложности проблематики ИБ является довольно быстрый рост затрат на защитные мероприятия и количества нарушений ИБ в сочетании с ростом среднего ущерба от каждого нарушения.

Успех в области информационной безопасности может принести только комплексный подход, сочетающий меры четырех уровней:

- законодательного;

- административного;

- процедурного;

- программно-технического.

Проблема ИБ - не только (и не столько) техническая; без законодательной базы, без постоянного внимания руководства организации и выделения необходимых ресурсов, без мер управления персоналом и физической защиты решить ее невозможно. Проблема эффективной защиты информации в АСОД и обеспечения ИБ в целом могут быть успешно решены только при системном подходе.

Литература

Обязательные источники

1. Конституция Российской Федерации. Принята 12.12.1993 года.

2. Федеральный закон Российской Федерации "О безопасности" от 28 декабря 2010 г. № 390-ФЗ. Вступает в силу 29 декабря 2010 г.

3. Закон РФ от 21 июля 1993 г. N 5485-1 "О государственной тайне"
(с изменениями от 6 октября 1997 г., 30 июня 2003 г., 11 ноября 2003 г.).

4. Федеральный закон Российской Федерации «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 года N 149-ФЗ.

5. Федеральный закон РФ «О коммерческой тайне» от 29 июля 2004 года N 98-ФЗ (в ред. Федеральных законов от 02.02.2006 N 19-ФЗ, от 18.12.2006 N 231-ФЗ, от 24.07.2007 N 214-ФЗ, от 11.07.2011 N 200-ФЗ).

6. Федеральный закон «О персональных данных» от 27 июля 2006 года № 152-ФЗ.

7. Федеральный закон Российской Федерации от 7 февраля 2011 года № 3-ФЗ "О полиции". Опубликовано 8 февраля 2011 года. Вступает в силу 1 марта 2011 года.

8. Федеральный закон «Об оперативно-розыскной деятельности» от 12 августа 1995 года N 144-ФЗ (с изменениями и дополнениями на 2010 год).

9. Стратегия национальной безопасности Российской Федерации до 2020 года. Утверждена Указом Президента Российской Федерации от 12 мая 2009 г. № 537.

10. Доктрина информационной безопасности Российской Федерации. Утверждена Указом Президента РФ от 9 сентября 2000 г. N Пр-1895.

11. Указ Президента Российской Федерации от 06.03.97 № 188 "Об утверждении перечня сведений конфиденциального характера" // Собрание законодательства Российской Федерации. 1997. № 10. Ст. 4775.

12. Указ Президента Российской Федерации от 24.01.98 № 61 "Об утверждении перечня сведений, отнесенных к государственной тайне"// Собрание законодательства Российской Федерации. 1998. № 5. Ст. 561.

13. Приказ Министра внутренних дел Российской Федерации № 280 от 04 апреля 2009 года «Об утверждении Концепции информатизации органов внутренних дел Российской Федерации и внутренних войск МВД России до 2012 года».

Основная литература

1. Информационные технологии в органах внутренних дел: монография / Овчинский А.С; Борзунов К.К.; Яковец В.Н. и др. / Под научной редакцией д.т.н., профессора А.С. Овчинского. - М.: - Московский университет МВД России, 2010.

2. Аверченков В.И. Организационная защита информации: учеб. пособие для вузов / В.И. Аверченков, М.Ю. Рытов. - М. Изд-во «Флинта», 2011.

3. Бачило И.Л., Лопатин В.Н., Федотов М.А. Информационное право: Учебник/ Под ред. Акад. РАН Б.Н. Топорникова. - СПб.: Издательство «Юридический центр Пресс», 2001.

4. Галатенко В.А. Основы информационной безопасности: курс лекций / Учебное пособие под ред. академика РАН В.Б.Бетелина. - М.: ИНТУИТ.РУ, 2006.

5. Девянин П.Н. Модели безопасности компьютерных систем. Управление доступом и информационными потоками. Учебное пособие для вузов. - М.: Горячая линия-Телеком, 2012.

6. Журавленко Н.И., Кадулин В.Е., Борзунов К.К. Основы информационной безопасности: Учебное пособие / под общей редакцией А.С. Овчинского. - М.: Московский университет МВД России, 2007.

7. Зайцев А.П., Шелупанов А.А. Технические средства и методы защиты информации М.: ООО "Издательство "Машиностроение", 2009.

8. Корт С. Теоретические основы защиты информации. - М.: Гелиос АРВ, 2005.

9. Мельников В. П. Информационная безопасность и защита информации: учебное пособие для студ. высш. учеб. заведений / В. П. Мельников, С. А. Клейменов, А. М. Петраков; под. ред. С.А. Клейменова.-- М.: Издательский центр «Академия», 2008.

10. Меньшаков Ю. К. Виды и средства иностранных технических разведок. - М.: МГТУ им. Н.Э. Баумана, 2009.

11. Хорев Б.П. Методы и средства защиты информации в компьютерных системах: Учебное пособие. - М.: Академия, 2008.

12. Яковец Е.Н. Основы правовой защиты информации и интеллектуальной собственности. - М.: Юрлитинформ, 2010.

13. Яковец Е.Н. Правовые основы обеспечения информационной безопасности Российской Федерации. - М.: Юрлитинформ, 2010.

14. Ярочкин В.И. Информационная безопасность: Учебник для студентов вузов. - М.: Академический Проект; Гаудеамус, 2007.

Размещено на Allbest.ru