Інформаційна безпека

Сутність і співвідношення понять «захист інформації «, «безпеку інформації «, «інформаційна безпеку «.

А. І. АЛЕКСЕНЦЕВ, кандидат історичних наук, професор Російський державний гуманітарний университет.

Поняття захист інформації, безпеку інформації, інформаційна безпеку є базовими, оскільки з їхньою сутність визначає остаточному підсумку політику й діяльність у сфері захисту. У той самий час ці поняття взаємозв'язані й взаємозумовлені. Тим часом і в нормативні документи, й у наукову літературу немає єдиних підходів до визначення даних понять, отже, і до розкриття їх сутності, бо визначення мають у концентрованому вигляді висловлювати сутність понять. Передусім це стосується поняттю захист інформації, де різні думки найбільш значний. У цьому відмінності стосуються як змістову частину поняття, і способу її реализации.

По змістову частину захист інформації сприймається як: попередження несанкціонованого доступу до інформації; створення умов, обмежують поширення інформації; огородження права власника осіб на володіння і розпорядження інформацією; запобігання витоку, розкрадання, втрати, несанкціонованого знищення, копіювання, модифікації, спотворення, блокування, розголошення інформації, несанкціонованих і випадкових впливів її у; збереження повноти, надійності, цілісності, достовірності, конфиден-,. циальности інформації та т.д.

У спосіб реалізації змістову частину поняття одні автори називають сукупність ме-Si/роприятий, методів і коштів, іншідіяльність, третіх він взагалі отсутствует.

Методологічної підвалинами розкриття суті Доповнень і визначення поняття захисту має бути визначення поняття захист у цілому, безвідносно до предмета защиты.

У тямущих словниках термін захист інтерпретується подвійно: як процес охорони, заощадження, порятунку від когось, чогось неприємного, ворожого, небезпечного як і сукупність методів, засобів і заходів, прийнятих задля унеможливлення, попередження чогось. Отже, змістовна частину — у цих визначеннях за змістом збігається — це запобігання, попередження чогось небезпечного, ворожого. Якщо співвіднести це положення із захистом інформації, то найнебезпечнішим для власника інформації є порушення встановленого статусу інформації, і тому змістовної частиною захисту має бути, запобігання такого нарушения.

Порушення статусу будь-який інформації заключается порушення її фізичної схоронності взагалі або в даного власника (у повному або частковому обсязі), структурної цілісності, доступності для правомочних користувачів. Порушення статусу конфіденційної комп’ютерної інформації, зокрема складової державну таємницю, додатково включає у собі порушення її конфіденційності (закрытости для сторонніх осіб). Порушення статусу інформації зумовлено її вразливістю, що означає нездатність інформації самостійно протистояти дестабілізуючим впливам, зберігати при таких впливах свого статусу. Але вразливість інформації - поняття збірне, вона існує взагалі, а проявляється (виражається) у різних формах. У науковій літературі і нормативні документи не сформувався термін форма прояви уразливості інформації, але самих конкретних формназывается безліч. При цьому значна кількість що перераховуються форм є синонімами чи різновидами одним і тієї ж явищ, деякі неможливо знайти віднесено до формам зі своєї сутності. Звісно ж, що формам прояви уразливості інформації, выражающим результати дестабілізуючого на інформацію, би мало бути віднесено:*) — розкрадання носія інформації, або відображеній у ньому інформації (крадіжка); - втрата носія інформації (втрата); - несанкціоноване знищення носія інформації, або відображеній в неминформации (руйнація); - спотворення інформації (несанкціоноване зміна, несанкціонована модифікація, підробка, фальсифікація); - блокування інформації; - розголошення інформації (несанкціоноване поширення, розкриття) Розкрадання інформації часто ставлять у один ряду зустрічей за її несанкціонованим копіюванням, розмноженням, зніманням, перехопленням. Проте є не формами прояви уразливості інформації, а способами розкрадання., Терміни модифікація, підробка, фальсифікація ні адекватні терміну спотворення, вони теж мають нюанси, але суть їх сама й той самий — несанкціоноване часткове чи повне измене-ниепервоначальной інформації. Та чи інша форма уразливості информации.

*) У дужках дано існуючі варіанти назв форм.

16 Безпека інформаційних технологій, 1999. .№ 1.

А. І. Алексенцев. Сутність і співвідношення понять «захист інформації «…

может реалізуватися при навмисному чи випадковому, безпосередньому чи опосередкованому дестабилизирующем вплив у різний спосіб на носій інформації, або саму інформацію з боку певних джерел впливу. Але результатами прояви форм уразливості інформації можуть бути або втрата, або витік інформації, або одночасно й інше. ^ До втрати як конфіденційної, і защищаемой частини відкритої інформації наводять розкрадання і втрата носіїв інформації, несанкціоноване знищення носіїв інформації, або лише відображеній у яких інформації, спотворення і блокування інформації. Втрата то, можливо повної чи часткової, безповоротної або тимчасовою (при блокуванні інформації), але у будь-якому разі вона шкодить власнику інформації. Термін витік інформації, мабуть, не самий благозвучний, але він більш ємно, ніж інші терміни, відбиває суть явища, при цьому він давно вже закріпився у науковій літератури і нормативні документи. Щоправда, єдиного підходи до визначенню цього терміна немає. Найбільш распро-странные визначення в узагальненому вигляді зводяться або до неправомірному (неконтрольованого) виходу конфіденційної комп’ютерної інформації межі громадських організацій і кола осіб, яким цей інформація довірено, або до несанкціонованому за-владению конфіденційної інформацією суперником. При цей термін конфіденційна, інформація іноді неправомірно замінюється терміном що захищається інформація. Перший варіант не розкриває повною мірою сутності витоку, оскільки вона так само до уваги наслідків неправомірного виходу конфіденційної інформації. А може бути двоякими: чи інформація потрапила вруки осіб, не мають до неї санкціонованого доступу, або потрапила. Наприклад, втрачений носій конфіденційної комп’ютерної інформації означає неправомірний вихід інформації межі осіб, мають до неї доступ, але він може потрапити в до чужих рук, і може бути розглянуті і схоплений мусороуборочной машиною і знищено у встановленому для сміття порядку. У разі просочування інформації не відбувається. Другий варіант просочування інформації пов’язує з неправомірним заволодіння конфіденційної інформацією лише суперником. У такому варіанті, до прикладу, засоби інформації, яким нерідко поставляють або їх самі видобувають конфіденційну інформацію, розглядати в ролі суперників власника інформації, у разі справжній суперник отримує інформацію правомірно, через ЗМІ. У той самий час витік інформації значить отримання його може лише особами, не які працюють для підприємства, до відпливу призводить і несанкціоноване ознайомлення з конфіденційної інформацією осіб цього підприємства. З викладеного, можна сформулювати таке визначення: Витік інформації - неправомірний вихід конфіденційної комп’ютерної інформації за межі защищаемой зони її функціонування чи встановленого кола осіб, результатом якого є отримання інформації особами, які мають до ній санкціонованого доступу. Термін витік інформації нерідко, зокрема й у нормативні документи, замінюється чи ототожнюється з термінами розголошення інформації, поширення інформації та передавання інформації. Такий їхній підхід представляється неправомірним. Термін розголошення інформації означає несанкціоноване доведення конфіденційної комп’ютерної інформації до споживачів, які мають права доступу до неї, в такий спосіб, вона передбачає, що розголошення походить від когось, здійснюється кимось. Результатом розголошення є витік інформації, але витік не зводиться лише розголошенню. Термін поширення стосовно конфіденційної інформації без слів несанкціоноване чи необгрунтоване щось висловлює, бо розповсюдження інформації може бути обгрунтованим, до до того ж він знов-таки передбачає, що походить від когось. Термін передача інформації свідчить саме за себе. Крім розголошення, витік може й внаслідок втрата часу та розкрадання носія конфіденційної комп’ютерної інформації, і навіть розкрадання відображеній в носії інформації при схоронності носія біржа у власника (власника). Може значить, що буде. Вище зазначалось, що втрата носія який завжди призводить до відпливу інформації. Розкрадання конфіденційної комп’ютерної інформації теж завжди пов’язані з отриманням її особами, які мають до неї доступу. Було багато випадків, коли розкрадання носіїв конфіденційної комп’ютерної інформації здійснювалося в колег для роботи допущеними до цієї інформації особами із єдиною метою підсиджування, заподіяння шкоди колезі. Такі носії, зазвичай, знищувалися особами, похитившими їх. Але за будь-якого разі втрата і крадіжка якщо і призводять до відпливу інформації, то створюють загрозу витоку. Тому можна сказати, що відпливу конфіденційної інформації наводить її розголошення і може привести розкрадання і втрата. Складність у тому, що часто неможливо визначити, по-перше, сам факт розголошення чи розкрадання інформації при схоронності носія інформації біржа у власника (власника), по-друге, потрапила чи інформація внаслідок її розкрадання чи втрату стороннім особам. У цьому годі було ототожнювати розкрадання з розголошенням, як це подекуди робиться. Розкрадання може спричинити і часто призводить до розголошенню й у цьому разі виступає у ролі опосередкованого способу розголошення, але, по-перше, результатом розкрадання не буває розголошення, по-друге, розголошення конфіденційної інформації здійснюється як з її допомогою хищения.

Безпека інформаційних технологій, 1999. ,№ 1 17.

Специальный випуск «.

Втрата і витік інформації можна розглядати як види уразливості інформації. Підсумовуючи співвідношення форм і деяких видів уразливості защищаемой інформації, можна констатувати: 1. Формы прояви уразливості інформації висловлюють результати дестабілізуючого на інформацію, а види уразливості - кінцевий сумарний підсумок реалізації форм уразливості. 2. Утрата інформації включає у собі, проти витіканням, більше число форм прояви уразливості інформації, але він не поглинає відплив, т.к., по-перше, в повному обсязі форми прояви уразливості інформації, які наводять чи можуть призвести до відпливу, збігаються з формами, приводящими до втрати, по-друге, якщо втрати інформації наводить розкрадання носіїв, то до відпливу можуть призвести розкрадання носіїв, і відображеній у яких інформації при схоронності носіїв. 3. Найбільш небезпечними формами прояви уразливості конфіденційної інформації є втрата, розкрадання і розголошення — два одночасно можуть призвести і до втрати, і до відпливу інформації, друга (розкрадання інформації при схоронності носія) й третя можуть виявитися зі усіма від цього последствиями.

4. Неправомірно ототожнювати види й окремі форми прояви уразливості інформації (утрата^потеря, втрата= розкрадання, утечка=разгла-шение (поширення), заміняти форми прояви уразливості інформації способами дестабілізуючого на інформацію, і навіть ставити в один ряд форми й ті види уразливості защищаемой інформації, як і, в частковості, зроблено на законі «Про інформацію, інформатизації і нформации », де однієї з цілей захисту названо: запобігання витоку, розкрадання, втрати, спотворення, підробки информации.

Оскільки порушення статусу інформації виявляється у різні форми прояви уразливості інформації, проте форми зводяться до двох видам уразливості, змістовну частина поняття захист інформації можна визначити як запобігання втрати і витоку конфіденційної інформації та втрати защищаемой відкритої информации.

Друга складова сутності захисту — спосіб втілення змістову частину — в тямущих словниках, як зазначалось, представлена як процес чи як сукупність методів, засобів і мероприятий.

Захист інформації включає у собі певний набір методів, засобів і заходів, проте обмежувати спосіб втілення лише цим було виділено б не так. Захист інформації мусить бути системної, а систему крім методів, засобів і заходів інші компоненти: об'єкти захисту, органи захисту, користувачі інформації. У цьому захист має являти собою щось статичне, а бути непре рывным процесом. Але це процес стоїть сам собою, а відбувається внаслідок діяльності людей. Діяльність, по визначенню, включає у собі як процес, а й мети, кошти й результат. Захист інформації може бути безцільної, безрезультатною і здійснюватися без допомоги певних коштів. Саме тому діяльність і бути способом реалізації змістову частину защиты.

Об'єднавши змістовну частина захисту і загальнодосяжний спосіб реалізації содержательнойча-сти, можна сформулювати таке определение:

Захист інформації - діяльність із запобіганню втрати і витоку конфіденційної інформації та втрати защищаемой відкритої информации.

З огляду на, вже саме визначення має бути лаконічним, а термін втрата і витік защищаемой інформації поглощаетвсе форми прояви уразливості конфіденційною і защищаемой частини відкритої інформації, можна обмежитися більш коротким визначенням за умови диференційованого його заломлення в практичну роботу: Захист інформації - діяльність із запобіганню втрати і витоку защищаемой інформації. «— «Нині ж проаналізуємо визначення цього поняття, що міститься в ГОСТ Р50 922−96 «Захист інформації. Основні терміни та визначенням », оскільки визначення офіційне, має в сенсовому значенні обов’язковий характер. Воно сформульовано так: Захист інформації - діяльність із запобіганню витоку защищаемой інформації, несанкціонованих і випадкових впливів на защищаемую информацию.

Як бачимо, визначення збігаються з запропонованим за способом реалізації змістову частину захисту та за однією з його складовихзапобіганню витоку защищаемой інформації. Проте визначення витоку в ГОСТі дано інше — він сформульовано окремо, а вмонтовано в визначення терміна Захист інформації від витоку, яке таке: Захист інформації від витоку: діяльність із запобіганню неконтрольованого поширення защищаемой інформації від неї розголошення, несанкціонованого доступу до защищаемойинформации і південь від отримання защищаемой інформації (іноземними} розвідками. На цьому визначення випливає, що витік інформації - це неконтрольоване поширення защищаемой информации.

Неконтрольований поширення можна за змісту прирівняти до неправомірному виходу інформації межі защищаемой зони її функціонування чи встановленого кола осіб. Але тоді як запропонованому цієї статті визначенні витоку далі вказано результат такого виходуотримання інформації особами, які мають до неї санкціонованого доступу, то стандарті неконтрольоване поширення виступає вже проводяться як результат, якого наводять разглаше;

18 Безпека інформаційних технологій, 1999. № 1.

А. І. Алексенцев. Сутність і співвідношення понять «захист інформації «…

ние, отримання інформації розвідками і не санкціонованого доступу до неї. Тобто., у разі неконтрольоване поширення призводить до несанкціонованому отриманню, у другомуусе зовсім навпаки. Але й різниця не обмежуються цим. Просто дивно, чому один ряд поставлені розголошення, не санкціонованого доступу до інформації та його одержання. Хіба не санкціонованого доступу до інформації неспроможна призвести до її розголошенню й отримання? Якщо ні, те, як впливає на неконтрольоване поширення інформації? Та хоч можливість із його за допомогою викрасти її. Але розкрадання результаті знову призводить до отриманню інформації. З іншого боку, хіба розголошення інформації не призводить до її отриманню іноземними розвідками і як ними? Така плутанина в ГОСТі викликана тим, що у одну дошку поставлені поняття з різними значеннями: форма прояви уразливості защищаемой інформації (розголошення), механізм отримання (не санкціонованого доступу) і результат неконтрольованого поширення інформації (отримання розвідками). За другим компоненту змістову частину захисту запропоноване цієї статті і гостированное визначення розходяться і з формулюванні, і сутнісно. У статті - це запобігання втрати защищаемой інформації, У ГОСТі - запобігання несанкціонованих і випадкових впливів на защищаемую інформацію. Отже, тоді як першій його частині визначення змістову частину ГОСТ називає вид уразливості інформації (відплив), то на другий — не вид (втрату), а впливу, які можуть призвести до цього виду уразливості. Звісно, втрата неспроможна статися без несанкціонованих чи випадкових впливів на інформацію, але навіщо знадобився різний підхід до позначенню два види уразливості інформації, чому один називається, інший мається на увазі? Почасти це пояснюється, мабуть, тим, що результати на інформацію ГОСТ не зводить лише у ееутрате. Це з розшифровки понять несанкціонованого ненавмисного впливів на інформацію. До несанкціонованому впливу ГОСТ відносить вплив на защищаемую інформацію з порушенням встановлених правий чи правил зміну інформації, що веде до спотворення, знищення, копіювання, блокування доступу до інформації, і навіть до втрати, знищення чи збою функціонування носія інформації. Ненавмисне вплив визначається ДОСТом вплив на защищаемую інформацію помилок користувача інформацією, збою технічних і програмних засобів інформаційних систем, і навіть природних явищ чи інших нецеленаправленных зміну інформації впливів, що з функціонуванням технічних засобів, систем чи з діяльністю людей, що призводять до спотворення, уничто жению, копіювання, блокування доступу до інформації, і навіть до втрати, знищення чи збою функціонування носія інформації. Отже, результатом на інформацію чи його носій є й посвідку уразливості (втрата), і форми прояви уразливості (спотворення, знищення, блокування), і загальнодосяжний спосіб впливу (копіювання). Якщо тому випадку копіювання заміняє розкрадання, це не так, бо є й інші способи розкрадання. До того ж незрозуміло, у чому зміст в визначенні поняття відокремлювати носій інформації від самого інформації, адже у результаті названі втрата і знищення носія (не враховуючи неправомірності постановки їх до одного ряд) є одночасно втратою і знищенням відображеній у яких інформації, а збій функціонування носія призводить до блокування інформації. Може скластися враження, що це — частковості. Але визначення будь-якого поняття, крім іншого, вимагає точності формулювання. _ З поняттям захисту тісно пов’язані поняття безпеки інформації. Термін безпеку інформації має подвійне значеннєве значення, його можна тлумачити як і безпеку самої інформації, як і відсутність загроз із боку інформації суб'єктам інформаційних отношений. При цьому безпеку самої інформації теж вписываетсяв однозначне розуміння. З одного боку, це означатиме безпеку інформації з погляду початкової повноти й надійності інформації, з іншого боку, — захищеність встановленого статус-кво інформації. У нормативні документи й літератури безпеку інформації розглядається лише у розрізі її захищеності, і це, мабуть, виправдано за наявності терміна інформаційна безпеку. Є кілька визначень поняття безпеку інформації. При спільний підхід до гарантування безпеки інформації, як стану захищеності (чи захисту) інформації ці визначення істотно різняться між собою змістовної частиною — захищеності чого. Сюди відносять: від внутрішніх та зовнішніх загроз; від витоку, розкрадання, втрати, несанкціонованого знищення, спотворення, модифікації (підробки), несанкціонованого копіювання, блокування інформації тощо.; випадкових чи навмисних несанкціонованих впливів на інформацію чи несанкціонованого її отримання; від випадкового чи навмисного доступу осіб, які мають права отримання інформації, її розкриття, модифікацію чи руйнація, та інших. Чи не викличе заперечень підхід до визначення безпеки інформації, як до стану захищеності інформації, бо термін безпеку означає відсутність небезпек, що належним чином кореспондується з терміном стан захищеності. Другу частина визначення можна сформулиро;

Безпека інформаційних технологій, 1999. № 1 19.

Специальный выпуск вать і від впливів, що порушують її статус, і від втрати і витоку, що у остаточному підсумку вони висловлюють один і той ж, т.к. запобігання втрати і просочування інформації здійснюється з допомогою запобігання дестабілізуючих впливів на інформацію. Перший варіант представляється найкращим, т.к. безпосередньої метою захищеності інформації є протидія дестабілізуючим воздействиям.

З визначень понять захист інформації та безпеку інформації випливає і співвідношення з-поміж них: захист інформації спрямовано забезпечення безпеки інформації, або, інакше кажучи, безпеку інформації забезпечується за помощьюее защиты.

Поняття інформаційна безпеку наукову літературу спочатку ототожнювалося з визначенням безпеку інформації. Відтак до цьому додалося або ж цей змінилося аналогічними зазіханнями на захищеність суб'єктів інформаційних відносин від негативних інформаційних впливів. У різних визначеннях присутні ті й інші нюанси, але вони змінюють суті названих підходів. Таке тлумачення інформаційну безпеку представляється неповним. Методологічної основою визначення цього поняття має бути віднесення їх до самої інформації, хоча інформаційна безпека продукції та пов’язані з інформацією, а до суб'єктів інформаційного середовища — фізичним та юридичним особам, бере участі у інформаційному процесі. З цього, до речі, слід, що у практичному переломленні інформаційна безпеку немає взагалі, безвідносно до суб'єкту інформаційного середовища, саме суб'єкт диктує показники такій безпеці. Це стосується як до конкретних суб'єктам, до особистості, суспільству, і державі целом.

Змістові зміст поняття інформаційна безпеку передбачає й у певною мірою визначає включення до нього трьох составляющих.

Першої складовою є задоволення інформаційними потребами суб'єктів, включених в інформаційне середовище. Здоровий сенс підказує, і що може бути забезпечена інформаційна безпеку суб'єкта без того що в нього необхідної інформації. Інформаційні потреби різних суб'єктів різні, однаков будь-якому разі відсутність необхідної інформації може мати і, зазвичай, має негативні наслідки. Ці наслідки можуть мати різний характер, їх тяжкість залежить від складу відсутньої информации.

Необхідна задоволення інформаційними потребами інформація має відповідати певним вимогам. По-перше, інформація мусить бути щодо повної. Щодо оскільки абсолютно повної інформації жоден суб'єкт мати неспроможна. Повнота інформації характеризується її достатністю до ухвалення виважених рішень. По-друге, інформація мусить бути достовірної, бо спотворений ная інформація призводить до прийняттю неправильних рішень. По-третє, інформація мусить бути своєчасної, т.к. необхідні рішення ефективні буде лише тоді, коли їх беруть вчасно. Але вимоги повноти, достовірності й своєчасності інформації ставляться як до її початкового статусу. Ці вимоги мають силу попри всі час циркулювання інформації, що їх порушення на стадії подальшого використання інформації він може призвести до неправильним рішенням чи загалом до неможливості прийняття рішень, як і порушення статусу конфіденційності може знецінити інформацію. Тому інформація повинна бути захищеною від впливів, що порушують еестатус. І це належить до сфері безпеки інформації. Отже, забезпечення безпеки інформації повинно бути другий складової інформаційну безпеку. До прийняттю невірних рішень можуть призвести як відсутність необхідної інформації, а й наявність шкідливою, небезпечну суб'єкта інформації, яка найчастіше цілеспрямовано нав’язується. Це забезпечення захисту суб'єктів інформаційних відносин від негативного інформаційного впливу, що повинно бути третьої складової інформаційну безпеку. За такого підходу можна сформулювати таке визначення: Інформаційна безпеку — стан інформаційного середовища, що забезпечує задоволення інформаційними потребами суб'єктів інформаційних відносин, безпеку інформації та захист суб'єктів від негативного інформаційного впливу. У цьому під інформаційної середовищем, відповідно до Закону Про в міжнародному інформаційному обміні, розуміється розмах суб'єктів, що з створенням, перетворенням і споживанням інформації. У законі дано й визначення інформаційну безпеку як стану захищеності інформаційного середовища суспільства, забезпечує її формування, користування та розвиток у сфері громадян, організацій, держави. Цьому визначенню бракує конкретності. До нього можна вписати і змістовну частина запропонованого визначення, а можна звести його лише у безпеки інформаційних систем, що неправомірно, т.к. інформаційна безпеку не обмежується безпекою інформаційних систем. Із запропонованих цієї статті визначень понять захист інформації, безпеку інформації, інформаційна безпеку видно, що є пряма зв’язок і залежність між поняттями захист інформації - безпеку інформації, безпеку інформації - інформаційна безпека продукції та опосередкована — між поняттями захист інформації - інформаційна безопасность.

20 Безпека інформаційних технологій, 1999. № 1.