Сущность и понятие защиты информации
По содержательной части защита информации рассматривается как: предупреждение несанкционированного доступа к информации; создание условий, ограничивающих распространение информации; ограждение права собственника на владение и распоряжение информацией; предотвращение утечки, хищения, утраты, несанкционированного уничтожения, копирования, модификации, искажения, блокирования, разглашения информации, несанкционированных и непреднамеренных воздействий на нее; сохранение полноты, надежности, целостности, достоверности, конфиденциальности информации и т.д.
Способом реализации содержательной части понятия одни авторы называют совокупность мероприятий, методов и средств, другие - деятельность, у третьих он вообще отсутствует.
Методологической основой для раскрытия сущности и определения понятия защиты информации должно быть определение понятия “защита” в целом, безотносительно к предмету защиты.
В толковых словарях термин “защита” интерпретируется двояко: как процесс охраны, сбережения, спасения от кого-чего нибудь неприятного, враждебного, опасного и как совокупность методов, средств и мер, принимаемых для предотвращения, предупреждения чего-то. Таким образом, содержательная часть в этих определениях по смыслу совпадает - это предотвращение, предупреждение чего-то опасного, враждебного. Если соотнести это положение с защитой информации, то самым опасным для собственника информации является нарушение установленного статуса информации, и поэтому содержательной частью защиты должно быть предотвращение такого нарушения.
Нарушение статуса информации обусловлено ее уязвимостью, которая означает неспособность информации самостоятельно противостоять дестабилизирующим воздействиям, сохранять при таких воздействиях свой статус.
Но уязвимость информации - понятие собирательное, она не существует вообще, а проявляется (выражается) в различных формах. В научной литературе и нормативных документах не сформировался термин “форма проявления уязвимости информации”, но самих конкретных форм называется множество. При этом значительное количество перечисляемых форм являются синонимами или разновидностями одних и тех же явлений, некоторые не могут быть отнесены к формам по своей сущности.
Представляется, что к формам проявления уязвимости информации, выражающим результаты дестабилизирующего воздействия на информацию, должны быть отнесены:
· хищение носителя информации или отображенной в нем информации (кража);
· потеря носителя информации (утеря);
· несанкционированное уничтожение носителя информации или отображенной в нем информации (разрушение);
· искажение информации (несанкционированное изменение, несанкционированная модификация, подделка, фальсификация);
· блокирование информации;
· разглашение информации (несанкционированное распространение, раскрытие)
Та или другая форма уязвимости информации может реализоваться при преднамеренном или случайном, непосредственном или опосредованном дестабилизирующем воздействии различными способами на носитель информации или саму информацию со стороны определенных источников воздействия.
Термин “утечка информации”, вероятно, не самый благозвучный, однако он более емко, чем другие термины, отражает суть явления, к тому же он давно уже закрепился в научной литературе и нормативных документах. Правда, единого подхода к определению этого термина нет. Наиболее распространенные определения в обобщенном виде сводятся либо к неправомерному (неконтролируемому) выходу конфиденциальной информации за пределы организаций и круга лиц, которым эта информация доверена, либо к несанкционированному завладению конфиденциальной информацией соперником. При этот термин “конфиденциальная информация” иногда неправомерно заменяется термином “защищаемая информация”.
Первый вариант не раскрывает в полной мере сущности утечки, поскольку он не принимает во внимание последствий неправомерного выхода конфиденциальной информации.
Второй вариант утечку информации связывает с неправомерным завладением конфиденциальной информацией только соперником. В таком варианте, к примеру, средства массовой информации, которым нередко поставляют или они сами добывают конфиденциальную информацию, должны рассматриваться в качестве соперников собственника информации, в этом случае настоящий соперник получает информацию правомерно, через СМИ.
Исходя из изложенного, можно сформулировать следующее определение:
“Утечка информации - неправомерный выход конфиденциальной информации за пределы защищаемой зоны ее функционирования или установленного круга лиц, результатом которого является получение информации лицами, не имеющими к ней санкционированного доступа”.
Утрата и утечка информации могут рассматриваться как виды уязвимости информации.
Суммируя соотношение форм и видов уязвимости защищаемой информации, можно констатировать:
1. Формы проявления уязвимости информации выражают результаты дестабилизирующего воздействия на информацию, а виды уязвимости - конечный суммарный итог реализации форм уязвимости.
2. Утрата информации включает в себя, по сравнению с утечкой, большее
число форм проявления уязвимости информации, но она не поглощает утечку, т.к., во-первых, не все формы проявления уязвимости информации, которые приводят или могут привести к утечке, совпадают с формами, приводящими к утрате, во-вторых, если к утрате информации приводит хищение носителей, то к утечке может привести хищение и носителей, и отображенной в них информации при сохранности носителей.
3. Наиболее опасными формами проявления уязвимости конфиденциальной информации являются потеря, хищение и разглашение - первые две одно временно могут привести и к утрате, и к утечке информации, вторая (хищение информации при сохранности носителя) и третья могут не обнаружиться со всеми вытекающими из этого последствиями.
4. Неправомерно отождествлять виды и отдельные формы проявления уязвимости информации (утрата=потеря, утрата=хищение, утечка=разглашение (распространение), заменять формы проявления уязвимости информации способами дестабилизирующего воздействия на информацию, а также ставить в один ряд формы и виды уязвимости защищаемой информации, как это, в частности, сделано в законе “Об информации, информатизации и защите информации”, где одной из целей защиты названо: “предотвращение утечки, хищения, утраты, искажения, подделки информации”.
5. Поскольку нарушение статуса информации выражается в различных формах проявления уязвимости информации, а все формы сводятся к двум видам уязвимости, содержательную часть понятия “защита информации” можно определить как предотвращение утраты и утечки конфиденциальной информации и утраты защищаемой открытой информации.
Вторая составляющая сущности защиты информации - способ реализации содержательной части - в толковых словарях, как уже отмечалось, представлена как процесс или как совокупность методов, средств и мероприятий.
Защита информации включает в себя определенный набор методов, средств и мероприятий, однако ограничивать способ реализации только этим было бы неверно. Защита информации должна быть системной, а в систему, помимо методов, средств и мероприятий, входят и другие компоненты: объекты защиты, органы защиты, пользователи информации. При этом защита не должна представлять собой нечто статичное, а являться непрерывным процессом. Но этот процесс не осуществляется сам по себе, а происходит в результате деятельности людей. Деятельность же, по определению, включает в себя не только процесс, но и цели, средства и результат. Защита информации не может быть бесцельной, безрезультатной и осуществляться без помощи определенных средств. Поэтому именно деятельность и должна быть способом реализации содержательной части защиты.
Объединив содержательную часть защиты информации и способ реализации содержательной части, можно сформулировать следующее определение:
“Защита информации - деятельность по предотвращению утраты и утечки конфиденциальной информации и утраты защищаемой открытой информации”.
А теперь проанализируем определение этого понятия, содержащееся в ГОСТ Р50922-96 “Защита информации. Основные термины и определения”, поскольку это определение официальное, имеющее в смысловом значении обязательный характер. Оно сформулировано так: “Защита информации - деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию”.
Как видно, это определение совпадает с предложенным по способу реализации содержательной части защиты и по одной из ее составляющих - предотвращению утечки защищаемой информации. Однако определение утечки в ГОСТе дано другое - оно не сформулировано отдельно, а “вмонтировано” в определение термина “Защита информации от утечки”, которое звучит так: “Защита информации от утечки: деятельность по предотвращению неконтролируемого распространения защищаемой информации от ее разглашения, несанкционированного доступа к защищаемой информации и от получения защищаемой информации {иностранными} разведками”. Из этого определения вытекает, что утечка информации - это неконтролируемое распространение защищаемой информации.
Такая путаница в ГОСТе вызвана тем, что на одну доску поставлены понятия с разными значениями: форма проявления уязвимости защищаемой информации (разглашение), механизм получения информации (несанкционированный доступ) и результат неконтролируемого распространения информации (получение разведками).
По второму компоненту содержательной части защиты информации предложенное в данной статье и гостированное определения расходятся и по формулировке, и по существу. В статье - это предотвращение утраты защищаемой информации, В ГОСТе - предотвращение несанкционированных и непреднамеренных воздействий на защищаемую информацию.
Цели и значение ЗИ
Необходимо отличать цели ЗИ от задач по ее защите. Если цели определяют ради чего защищают и-ю, то задачи должны определять то, что требует исполнения для обеспечения ЗИ. Цели стоят как бы над ЗИ, а задачи под ней.
ЗИ как и любой вид деятельности должен иметь двухуровневые цели: непосредственное и опосредованное. Непосредственная цель ЗИ сводится к обеспечению безопасности и-и, поскольку именно на это направлен процесс ЗИ. Следовательно непосредственной целью является обеспечение ИБ (т.к. БИ одна из составляющих ИБ), опосредованной или общей целью ЗИ является обеспечение ИБ гос-ва, общ-ва и личности.
В сфере ЗИ гос интересы сформулированы в законе о ГТ. Это сведения в области военной, внешнеполитической, эконом, развед, котрразвед и оперативно-розыскн деят-ти, утрата или утечка кот может нанести ущерб РФ, исходя из этого,применительно к интересам гос-ва, общей целью ЗИ является обеспечение ИБ гос-ва в названных (перечисленных) обл деят-ти.
К жизненноважным интересам общества закон безопасности относит его материальные и дховные ценности, т.е. ценности вещественные, физические и ценности, относящиеся к умственной деятельности. Эти ценности создают отдел личности или коллектив людей, кот в совокупности и составляют общество. В сфере обеспечения ЗИ интересы общества сост-т сведения, неправомерное обращение с кот может нанести экон или моральный ущерб его субъектам. Т.о., применительно к интересам общ-ва, целью ЗИ является обеспечение ИБ общ-ва в обл его материальной и духовной деятельности. Правовой основой для этого д.б.: закон о КТ, патентный закон и закон об авторском праве и смежных правах.
К жизненоважным интересам личности Закон о безопасности относит ее конституционные права и свободы. В сфере ЗИ интересы личности сводятся к защите от разглашения личной тайны и персональных данных, т.е. и-и, относится к частной жизни гражданина. Поэтому применительно к интересам личности, целью ЗИ д.б. обеспечение ИБ личности в сфере ее частной жизни, частично это регулируется в з-не «Об инфор, информатизации и ЗИ», но для полного правового обеспечения ИБ личности д.б. приняты закон о профессиональной тайне и закон о или законы о личной тайне и персональных данных. Т.о., непосредственно целью ЗИ является обеспечение безопасности и-и, а общей, конечной целью – обеспечение ИБ гос-ва, общ-ва, личности в обл их жизненноважных интересов.
В ЗИ заинтересованы и государство, и общество в целом и отдельная личность; хотя цели ЗИ для этих субъектов различны, они в конечном итоге дополняют друг друга: каждый из субъектов объективно заинтересован в ЗИ других субъектов поскольку от безопасности одного субъекта зависит безопасность других. И это закономерно, учитывая, что государство – есть политическая организация общества, представленная различными органами власти и управления для обеспечения интересов личности и общества, поэтому личность и общество заинтересованы в сильном безопасном государстве, тем более что их государственная структура формируется их усилиями.
Прямая связь существует между личностью и обществом, поэтому, естественно, что в различных сферах деятельности интересы всех субъектов должны или совпадать, или дополнять друг друга. С учетом этого значение ЗИ следует рассматривать с привязкой не к субъектам, а к областям (сферам) деятельности независимо от того ко всем или к одному субъекту относятся эти сферы деятельности. При этом значение ЗИ целесообразно определять через призму последствий, которые наступают (происходят) при ЗИ или при ее отсутствии.
В области внешней политики ЗИ позволяет государству обеспечивать свои внешнеполитические интересы, иметь преимущества над другими государствами. Достигается это с помощью заключения секретных, сепаратных договоров о разделах сфер влияния, о военно-политическом сотрудничестве, о взаимной дипломатической поддержке, о противодействии экспансии третьих государств.
Защита такой информации повышает уровень политического влияния государства в отдельных странах, регионах и международных организациях (ООН, ЮНЕСКО), а вместе с тем усиливает международный авторитет государства, дает возможность избежать отрицательной реакции международного сообщества на соответствующие действия. Однако и незащищенность или неправомерное, необоснованное раскрытие информации приводит к отрицательным внешнеполитическим последствиям: 1) ухудшение отношения с другими странами; 2) утрата политических приоритетов; 3) создание угроз для национальной безопасности. А поскольку сфера внешней политики тесно связана с обороной и экономикой страны, то политический ущерб может повлечь за собой прямой или косвенный экономический, либо военный ущерб.
В военной области ЗИ позволяет сохранять в тайне от потенциального противника сведения о составе вооружения и военной технике, их количестве и тактико-технических данных (сама информация, технология), о разработке новых систем оружия, об организации обороны на случай войны. С другой стороны, чрезмерная закрытость информации о типах вооружения и состоянии вооруженных сил вызывает у других государств подозрения о военном преимуществе соперника, ведет к гонке вооружений, а, следовательно, и к подрыву экономики, к усилению противостояния между государствами, а иногда и к военным конфликтам. К тому же неоправданный объем защищаемой информации в военно-промышленном комплексе сокращает возможности использования научно – технических достижений этой сферы в гражданских отраслях промышленности, продаже оружия и военной техники другим странам. Все это ведет к экономическому ущербу.
В тоже время незащищенность или необоснованное раскрытие информации в военной области дает военно-политические преимущества другим странам, позволяет им использовать военные достижения соперника и модернизировать свое вооружение в выгодном для себя направлении. Военное преимущество открывает дорогу для нажима, шантажа в любой сфере деятельности.
Незащищенность в военной сфере приводит и к экономическому ущербу: 1) для обеспечения военной безопасности необходимо создавать новые виды вооружения, что требует проведения новых научных разработок, моделей, что невозможно без финансирования; 2) чрезмерная открытость приводит к срыву переговоров о продаже вооружений другим странам, созданию трудностей таких переговоров, поскольку другие государства заинтересованы в покупке вооружений, тактико-технические данные которых держатся в секрете.
ЗИ в сфере экономики дает возможность иметь высокие доходы, сохранять приоритет в соответствующих сферах деятельности, заключать выгодные контракты, добиваться преимущества над конкурентами, избегать экономического ущерба, что в масштабах государства укрепляет его мощь и положение в мире, позволяет выделять необходимые средства на оборону и социальную сферу, а в масштабах коммерческих предприятий обеспечивать безопасность их работы, увеличивать прибыль, избегать неоправданных рисков.
Однако излишняя засекреченность в экономике снижает доверие к ее отраслям или предприятиям со стороны потенциальных партнеров и потребителей продукции, тормозит инвестиции, подрывает авторитет предприятия. К тому же неоправданные режимные ограничения тормозят развитие научно-технического процесса, поскольку подрывают научные сотрудничества, обмен идеями. Нужно учитывать и то, что излишнее засекречивание информации в областях экономики связанных с проведением научно-исследовательских работ нередко преследует цель спрятать некачественную работу от оценки коллег. В тоже время незащищенность необходимой экономической информации может свести на нет преимущества ее собственника, снизить прибыль, привести к убыткам и даже банкротству.
Социальная сфера – область общественная, относящаяся к жизни людей и их взаимоотношений. Эта сфера охватывает многие направления: политическое, экономическое, правоохранительное. Поэтому положение людей определяется не только чисто специальными мерами относящимися к ним, но и состоянием экономики в целом, внешнеполитической и военной деятельности государства. Следовательно, ЗИ в этих сферах имеет и социальные последствия.
В сфере экономики ЗИ направлена, в конечном итоге, на улучшение материального положения граждан. Безопасность граждан от внешних угроз обеспечивается внешнеполитической и военной деятельностью; к тому же внешнеполитическая деятельность направлена и на улучшение экономического положения граждан. Но есть и внутриполитическая область деятельности, которая относится исключительно к социальной сфере: экология, здравоохранение, образование, материальное обеспечение. Во внутриполитической деятельности большое значение имеет правовая ЗИ, касающаяся граждан. Эта защита позволяет обеспечивать права и свободы граждан, сохранение их личной тайны, безопасность персональных данных, охрану материальной и интеллектуальной собственности, личную безопасность. В тоже время неоправданная засекреченность в этой сфере может привести к тяжелым последствиям: потери здоровья, даже смерти (Чернобыль), ухудшению материального положения (различные виды реформ), нарушению конституционных прав. Следует учитывать и то, что под лозунгом необходимости ЗИ нередко делаются попытки скрыть от общества неблаговидные действия как руководства отдельных предприятий, так и страны в целом, запретные исследования в различных областях, в том числе и медицинские. Незаконное скрытие информации имеет целью избежать отрицательной реакции граждан, но иногда превращается в противоположность, приводит не только к пассивному недовольству, но и социальным взрывам, забастовкам. Однако и незащищенность в социальной сфере, особенно относящаяся к личной тайне, приводит к отрицательным последствиям для граждан.
Есть один минус ЗИ, имеющий отношение ко всем сферам деят-ти – высокие затраты на ЗИ.