1. Основные понятия информационной безопасности и защиты информации
В соответствии с Федеральным законом «Об информации, информационных технологиях и о защите информации» информация – это сведения (сообщения, данные), независимо от формы их представления1.
Данное определение является достаточно общим. Необходимо отметить, что с точки зрения обеспечения информационной безопасности имеет смысл рассматривать информацию только как сведения, имеющие материальное выражение. Это связано с тем, что невозможно обрабатывать информацию, которая не зафиксирована каким-либо образом. Поэтому мы будем оперировать понятием «документированная информация», которое также определено в указанном законе.
Документированная информация – зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или в установленных законодательством Российской Федерации случаях ее материальный носитель2.
Обрабатываемая информация в большинстве случаев представляет собой не отдельные документы, а документы, определенным образом сгруппированные, т.е. массивы документов, или, иначе говоря, информационные ресурсы.
Информационные ресурсы – организованная и структурированная документированная информация, содержащаяся в библиотеках, архивах, фондах, банках данных, информационных системах3.
Поскольку в настоящее время подавляющее большинство информации обрабатывается с использованием автоматизированных информационных систем, ограничимся их рассмотрением.
Федеральный закон «Об информации, информационных технологиях и о защите информации» дает следующее определение:
Информационная система – совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств4.
В то же время нельзя забывать и о том, что любая информационная система не существует «сама по себе». Деятельность информационной системы обеспечивают обслуживающий персонал и целый ряд вспомогательных систем – системы электроснабжения, кондиционирования и отопления, водоснабжения, средства коммуникаций и т.д. Такие вспомогательные системы мы будем называть поддерживающей инфраструктурой.
Поддерживающая инфраструктура – совокупность технических средств и технологий, обеспечивающих функционирование информационной системы.
Таким образом, можно сформулировать определение термина «информационная безопасность» применительно к информационным системам:
Информационная безопасность – состояние защищенности информационной системы, поддерживающей ее инфраструктуры и обслуживающего персонала от воздействий, которые могут нанести неприемлемый ущерб субъектам информационных правоотношений.
Обеспечение информационной безопасности осуществляется путем выполнения различного рода действий и мероприятий, носящих общее название «защита информации».
Защита информации – комплекс мероприятий, направленных на обеспечение информационной безопасности.
Следует четко различать эти два понятия: если «информационная безопасность» представляет собой определенное состояние информационной системы, то «защита информации» – это процесс, т.е. выполняемые действия.
Рассматривая определение информационной безопасности, необходимо отметить, что перед существительным «ущерб» стоит прилагательное «неприемлемый». Очевидно, что застраховаться от всех видов ущерба невозможно, тем более, крайне сложно сделать это экономически целесообразным способом, когда стоимость защитных средств и мероприятий не превышает размер ожидаемого ущерба. Значит, с чем-то приходится мириться и защищаться следует только от того, с чем смириться никак нельзя. Иногда таким недопустимым ущербом является нанесение вреда здоровью людей или состоянию окружающей среды, но зачастую порог неприемлемости имеет материальное (денежное) выражение, а целью защиты информации становится уменьшение размеров ущерба до допустимых значений. В органах внутренних дел недопустимым ущербом, кроме вышеперечисленного, может являться нарушение режима работы с информацией ограниченного доступа.
Оборотной стороной защищенности являются угрозы информационной безопасности.
Угрозы информационной безопасности – воздействия на информационную систему, поддерживающую инфраструктуру либо обслуживающий персонал, способные нарушить информационную безопасность.
Спектр интересов субъектов информационных правоотношений, связанных с использованием информационных систем, можно разделить на следующие категории:
1. Обеспечение целостности информации.
2. Обеспечение конфиденциальности информации.
3. Обеспечение доступности информации.
Раскроем содержание указанных терминов.
Целостность – свойство информации предотвращать несанкционированные создание, модификацию или уничтожение.
Целостность можно подразделить на статическую (понимаемую как неизменность информационных объектов) и динамическую (относящуюся к корректному выполнению действий над информацией). Средства контроля динамической целостности применяются, в частности, при анализе потока финансовых сообщений с целью выявления кражи денежных средств.
Целостность оказывается важнейшим аспектом ИБ в тех случаях, когда информация служит «руководством к действию». Рецептура лекарств, предписанные медицинские процедуры, набор и характеристики комплектующих изделий, ход технологического процесса – все это примеры информации, нарушение целостности которой может оказаться в буквальном смысле смертельным. Недопустимо и искажение официальной информации, будь то текст закона или страница Web-сервера правительственной организации.
Конфиденциальность – свойство информации предотвращать несанкционированное ознакомление или копирование.
Конфиденциальность – самый проработанный у нас в стране аспект информационной безопасности.
Доступность – свойство информации, обеспечивающее беспрепятственное обращение к ней для проведения санкционированных операций.
Информационные системы создаются или приобретаются для получения определенных информационных услуг. Если по тем или иным причинам предоставить эти услуги пользователям становится невозможно, это, очевидно, наносит ущерб всем субъектам информационных отношений.
Угрозы информационной безопасности – понятие обширное и многогранное. Соответственно, и классификация угроз может осуществляться по различным критериям:
По аспекту информационной безопасности: угрозы целостности, конфиденциальности, доступности.
По степени преднамеренности: преднамеренные (умышленные) либо случайные.
По природе возникновения: искусственные либо естественные.
По положению источника: внутренние либо внешние.
По непосредственному источнику: источником которых являются технические средства либо источником которых является человек.
Следует отметить, что приведенная классификация угроз является далеко не полной. Можно разделять угрозы по степени причиняемого вреда, по способу доступа к ресурсам информационной системы, по характеру атакуемой информации и т.п.