- •Защита информации Защита информации как деятельность
- •Виды защиты информации
- •Цели и направления защиты информации Цели защиты информации
- •Направления защиты информации
- •Объекты защиты информации Определение понятия «объект защиты информации»
- •Информация как объект защиты Сущность и определение понятия информации как объекта защиты
- •Свойства информации как объекта защиты
- •Информация как объект правовых отношений
- •Часть 1 статьи 7 названного фз устанавливает:
- •Носитель информации как объект защиты
- •Информационный процесс как средство защиты информации
- •Автоматизированная система как комплексный объект защиты информации
- •Условия в которых существует информация Термины и определения
- •Вредоносное воздействие на информацию и их классификация.
Защита информации Защита информации как деятельность
В разных источниках (научная литература, нормативные документы) существует несколько разных подходов к пониманию сущности понятия «защиты информации», а так же способов реализации содержательной части этого определения. И как следствие существует достаточно большое количество определений понятия «защиты информации». Единственное, с чем согласны разные толкователи, это с тем, что понятие защита информации представляет собой некий процесс, действия. В рамках данной дисциплины мы будем толковать понятие в рамках того определения которое дано в 2.2.1 ГОСТ (ГОСТ Р 50922-2006 Защита информации. Основные термины и определения.): «Защита информации; ЗИ: деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию».
«Защита» имеет два толкования:
-
Защита – это процесс охраны, сбережения, сохранения, спасения от кого-то, чего-нибудь неприятного, враждебного, опасного.
-
Защита – это совокупность методов мер и средств, принимаемых и используемых для предотвращения, предупреждения чего-нибудь неприятного, враждебного, опасного.
В этих двух толкованиях общим является то, что защита понимается как некое предотвращение, предупреждение от чего-нибудь неприятного, враждебного, опасного. Примирительно к данной дисциплине, а именно к предмету защиты – информации, враждебная или опасная по отношению к информации должно рассматриваться строго говоря не только по отношению к самой информации, но и в отношении средств обработки информации, а так же в отношении субъектов информационной сферы (субъектами выступают обладатели информации и операторы информационных систем).
Основанием для включения субъектов в процесс и понятие является часть 1 статьи 5 федерального закона от 27.07.2006 №149-ФЗ «об информации, информационных технологиях и защиты информации». «Информация является объектом публичных гражданских и иных правоотношений для субъектов информационной сферы». С другой стороны в соответствие с п.1 раздела 1 Доктрины информационной безопасности РФ (утверждена президентом РФ 9.09.2000г. № Пр-1895) «Информационная сфера представляет собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и сбор информации, а так же системы регулирования возникающих при этом общественных отношений».
Состав информационной сферы представлен на рис.1.1.
Исходя из определения видно, что информационная сфера состоит из 3 групп
-
Объект информационной сферы
-
Субъект информационной сферы
-
Система регулирования отношения
Объектом информационной сферы являются информационные объекты и объекты информационной инфраструктуры (средства и системы обработки информации), включающие в себя организационно-технические и технические объекты.
Информационнаясистема – ст. 2 ФЗ от 27.07.2006 №149-ФЗ. «Информационная система – совокупность содержащаяся в базе данных информация и обеспечивающих её обработку информационных технологий и технических средств. Информационно-телекоммуникационная сеть – технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники.
Субъект информационной сферы (1)– это субъект, участвующий в осуществлении сбора формирования, предоставления, распространения и использования информации, а так же в создании, развитии и эксплуатации объектов информационной инфраструктуры. В качестве субъектов информационной сферы могут выступать обычные граждане (физические лица), а так же муниципальные образования, субъекты РФ, РФ в целом, организации, предприятия, учреждения (юридическое лицо), различные организационно-правовые формы, находящиеся как на территории РФ, так и за её пределами.
От имени РФ, субъектов РФ, или конкретного муниципального образования, полномочия субъекта информационной сферы осуществляются соответственно либо государственными органами, органами местного самоуправления. В пределах их полномочий, установленных соответствующими нормативно-правовыми актами.
В соответствии с определением (1) можно выделить 2 направления деятельности, в которых они могут принимать участие:
-
Деятельность, связанная со сбором, форматированием, предоставлением, распространением и использованием информации (Информационная деятельность).
-
Деятельность, связанная с созданием развитием и эксплуатацией объектов информационной инфраструктуры (Техническая деятельность).
В рамках информационной деятельности субъекты информационной сферы могут принимать участие в качестве:
-
Пользователя информации
-
Обладателя информации
-
Оператора объектов информационной инфраструктуры
-
Собственник объектов информационной инфраструктуры
В технической деятельности эти субъекты могут участвовать в качестве:
-
Государственного заказчика объектов информационной инфраструктуры
-
Заказчика объектов информационной инфраструктуры
-
Исполнителя контрактов или договоров на выполнение работ по созданию и развитию объектов информационной инфраструктуры
-
Соисполнитель контрактов и договоров на выполнение работ по созданию и развитию объектов информационной инфраструктуры
-
В качестве обладателя информации
-
В качестве операторов объектов информационной инфраструктуры
Пользовательинформации – субъект информационной сферы, получивший на законном основании право использовать предоставленную ему информацию. В соответствии со статьей 2 ФЗ:
-
Обладательинформации – лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам.
-
Оператор информационной системы – гражданин или юридическое лицо, осуществляющее деятельность по эксплуатации информационной системы, в том числе деятельность по обработке информации, содержащееся в ее базах данных.
Вернемся к вопросу, что является враждебным или опасным для самой информации и способным через воздействия на эту информацию, а так же на средства системы её обработки нанести ущерб субъектам информационной сферы и таким образом быть опасным или враждебным для самих субъектов информационной сферы.
Опасным для этих субъектов информационной сферы и для самой информации является нарушение установленного статуса информации, где под статусом понимается состояние информации в первую очередь правовое состояние. В свою очередь нарушение статуса с одной стороны в полном или частичном, а так же в постоянном или временном нарушении физической сохранности информации (информации вообще или у конкретного обладателя или в конкретной информационной системе).С другой стороны нарушение статуса может заключаться в полном или частичном, а так же в постоянном или временном нарушением структурной целостности информации или её доступности и конфиденциальности (речь идет о получении информации несанкционированными субъектами).
Применительно к сказанному безопасностьюинформации (обеспечением безопасности информации) называется деятельность по сохранению установленного статуса информации.
В пункте 2.4.5 ГОСТ Р 50922-2006 безопасность информации определяется следующим образом:
безопасностьинформации – это состояние защищенности информации, находящаяся в информационной системе или у конкретного обладателя этой информации, при котором субъектом информационной системы, средствами системы обработки и информационными технологиями обеспечивается конфиденциальность, целостность, доступность , а так же другие заданные характеристики её безопасности (недоказуемость, подконтрольность, аутентичность).
Целостность, доступность, конфиденциальность - интегральные характеристики безопасности.
Конфиденциальность – защищенность информации от несанкционированного (не имеющего законного основания) получения
Целостность – защищенность информации от несанкционированных изменений.
Доступность– возможность своевременного санкционированного получения доступа к информации.
Под доступом к информации будем понимать следующее: в статье 7 п.6 ФЗ говорится, что доступ к информации – это получение информации субъектом и использование этой информации. В свою очередь использование информации субъектом может заключаться в ознакомлении с этой информацией и ее обработке этой информации.
В этой же статье дается понятие обработки:
Обработкаинформации – выполнение с информацией операций действий: сбора, накопления, вывода, ввода, приема, передачи, записи, считывания, хранения, регистрации, модификации (преобразования), копирования, уничтожения, отображения, предоставления, распространения.
Возможность нарушения статуса информации обусловлена уязвимостью информации. Уязвимость – неспособность информации противостоять вредоносным воздействиям на неё. Проявляется уязвимость в разных конкретных формах. Форма проявления уязвимости информации – это конкретное выражение результата вредоносного воздействия на информацию и/или её носитель (включая средства и системы обработки этой информации). Конкретными такими формами проявления уязвимости информации могут являться:
-
разрушение
-
хищение
-
перехват
-
потеря
-
сбой в работе информации
-
несанкционированные следующие действия:
-
Уничтожение
-
Искажение или модификация
-
блокирование доступа
-
копирование
-
предоставление
-
распространение
-
ознакомление
-
Перехват информации а так же ее несанкционированное копирование приводит к изменению значения только одной характеристики – конфиденциальности. С другой стороны несанкционированное предоставление или распространение информации так же приводит к нарушению конфиденциальности информации, но при определённых условиях (когда у обладателя информации имеется только один экземпляр носителя информации) эти же самые действия приводят к нарушению не только конфиденциальности, но и доступности.
В свою очередь нарушение доступности информации возможно так же при потере информации, разрушении информации, хищении информации, несанкционированном уничтожении информации и несанкционированном блокировании доступа к информации. При определённых условиях потери или хищении могут так же привести к нарушению её конфиденциальности. Несанкционированное искажение (модифицирование) приводит к нарушению её целостности и частичном нарушении доступности. Сбой в «работе» информации может приводит к временному нарушению её целостности и доступности.
Определения понятий предоставления информации и распространение информации установлены в статье 2 названного федерального закона.
«Предоставлениеинформации – действия, направленное на получение информации определенным кругом лиц или передачу информации определённому кругу лиц»
«Распространениеинформации – действия, направленные на получение информации неопределенным кругом лиц или передачу информации неопределенному кругу лиц»
Термины, содержащиеся в приведенном определении понятия защиты информации, можно определить в соответствии с их определениями, приведенными в ГОСТ р 50922-2006 следующим образом: «Утечказащищаемойинформации – неконтролируемое распространение защищаемой информации в результате её разглашения, несанкционированного доступа к ней, получение защищаемой информации разведкой или другими заинтересованными субъектами»
Несанкционированноевоздействиена защищаемую информацию – преднамеренное воздействие, несанкционированный доступ и воздействие на защищаемую информацию с нарушением установленных прав и (или) правил на её изменение, приводящих к разрушению, уничтожению, искажению, незаконному перехвату и копированию, блокированию доступа к защищаемой информации, а так же к утрате, уничтожению или сбою функционирования носителя (включая средства и системы обработки) защищаемой информации.
Непреднамеренноевоздействиеназащищаемоюинформацию – воздействие на защищаемою информацию, ошибок её пользователя, сбоя и (или) отказа технических и программных средств, объектов информационной инфраструктуры, природных явлений или иных нецеленаправленных на изменение защищаемой информации действий или процессов, приводящих к искажению, уничтожению, копированию, блокированию доступа к защищаемой информации, а так же к утрате, уничтожению или сбою функционирования носителя (включая средства и системы обработки) защищаемой информации.
В качестве заинтересованных субъектов могут выступать государства, юридическое лицо, группа физических лиц или отдельное физическое лицо. В приведенных трех определениях используемые термины можно определить следующим образом:
-
Разглашение защищаемой информации – доведение защищаемой информации до заинтересованных субъектов, не имеющих право доступа к этой информации
-
Несанкционированный доступ к защищаемой информации – получение защищаемой информации заинтересованными субъектами с нарушением установленных нормативными правовыми документами или обладателями защищаемой информации прав или правил разграничения доступа к защищаемой информации
-
Преднамеренное воздействие на защищаемую информацию – любое преднамеренное воздействие на защищаемую информацию в том числе и электромагнитное и (или) воздействие другой физической природы, осуществляемое в террористических или криминальных целях.
Во всех приведенных определениях, начиная с определения понятия защиты информации, используется понятие «защищаемая информация». Это понятие в соответствии с названным федеральным законом и названным государственным стандартом РФ можно определить следующим образом: защищаемая информация – информация, подлежащая защите в соответствие с требованиями федерального законодательства РФ, руководящих и методических документов ФСБ России, ФСТИЭК России и (или) требованиями, установленными обладателем этой информации. В соответствии с определением защиты информации, информация является деятельностью, направленной на достижении определенной цели (целей). Деятельность по определению включает в себя не только сам процесс но и цель (цели) деятельности, объекты, методы, способы и средства, используемые в процессе деятельности, условия, в которых осуществляется деятельность, участников деятельности. Все перечисленное, что включает в себя деятельность, называют составляющими деятельность. Составляющими защиты информации как деятельности со сказанным являются
-
Цель защиты информации
-
Объекты, на которые направлена защита информации – объекты защиты информации
-
Условия, в которых осуществляется защита информации
-
Сам процесс защиты информации
-
Участники процесса защиты информации
-
Методы и способы защиты информации
Взаимосвязь всех перечисленных составляющих защиты информации представлена на рисунке 1.2.