Защита информации Защита информации как деятельность

В разных источниках (научная литература, нормативные документы) существует несколько разных подходов к пониманию сущности понятия «защиты информации», а так же способов реализации содержательной части этого определения. И как следствие существует достаточно большое количество определений понятия «защиты информации». Единственное, с чем согласны разные толкователи, это с тем, что понятие защита информации представляет собой некий процесс, действия. В рамках данной дисциплины мы будем толковать понятие в рамках того определения которое дано в 2.2.1 ГОСТ (ГОСТ Р 50922-2006 Защита информации. Основные термины и определения.): «Защита информации; ЗИ: деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию».

«Защита» имеет два толкования:

1. Защита – это процесс охраны, сбережения, сохранения, спасения от кого-то, чего-нибудь неприятного, враждебного, опасного.

2. Защита – это совокупность методов мер и средств, принимаемых и используемых для предотвращения, предупреждения чего-нибудь неприятного, враждебного, опасного.

В этих двух толкованиях общим является то, что защита понимается как некое предотвращение, предупреждение от чего-нибудь неприятного, враждебного, опасного. Примирительно к данной дисциплине, а именно к предмету защиты – информации, враждебная или опасная по отношению к информации должно рассматриваться строго говоря не только по отношению к самой информации, но и в отношении средств обработки информации, а так же в отношении субъектов информационной сферы (субъектами выступают обладатели информации и операторы информационных систем).

Основанием для включения субъектов в процесс и понятие является часть 1 статьи 5 федерального закона от 27.07.2006 №149-ФЗ «об информации, информационных технологиях и защиты информации». «Информация является объектом публичных гражданских и иных правоотношений для субъектов информационной сферы». С другой стороны в соответствие с п.1 раздела 1 Доктрины информационной безопасности РФ (утверждена президентом РФ 9.09.2000г. № Пр-1895) «Информационная сфера представляет собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и сбор информации, а так же системы регулирования возникающих при этом общественных отношений».

Состав информационной сферы представлен на рис.1.1.

Исходя из определения видно, что информационная сфера состоит из 3 групп

1. Объект информационной сферы

2. Субъект информационной сферы

3. Система регулирования отношения

Объектом информационной сферы являются информационные объекты и объекты информационной инфраструктуры (средства и системы обработки информации), включающие в себя организационно-технические и технические объекты.

Информационнаясистема – ст. 2 ФЗ от 27.07.2006 №149-ФЗ. «Информационная система – совокупность содержащаяся в базе данных информация и обеспечивающих её обработку информационных технологий и технических средств. Информационно-телекоммуникационная сеть – технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники.

Субъект информационной сферы (1)– это субъект, участвующий в осуществлении сбора формирования, предоставления, распространения и использования информации, а так же в создании, развитии и эксплуатации объектов информационной инфраструктуры. В качестве субъектов информационной сферы могут выступать обычные граждане (физические лица), а так же муниципальные образования, субъекты РФ, РФ в целом, организации, предприятия, учреждения (юридическое лицо), различные организационно-правовые формы, находящиеся как на территории РФ, так и за её пределами.

От имени РФ, субъектов РФ, или конкретного муниципального образования, полномочия субъекта информационной сферы осуществляются соответственно либо государственными органами, органами местного самоуправления. В пределах их полномочий, установленных соответствующими нормативно-правовыми актами.

В соответствии с определением (1) можно выделить 2 направления деятельности, в которых они могут принимать участие:

1. Деятельность, связанная со сбором, форматированием, предоставлением, распространением и использованием информации (Информационная деятельность).

2. Деятельность, связанная с созданием развитием и эксплуатацией объектов информационной инфраструктуры (Техническая деятельность).

В рамках информационной деятельности субъекты информационной сферы могут принимать участие в качестве:

1. Пользователя информации

2. Обладателя информации

3. Оператора объектов информационной инфраструктуры

4. Собственник объектов информационной инфраструктуры

В технической деятельности эти субъекты могут участвовать в качестве:

1. Государственного заказчика объектов информационной инфраструктуры

2. Заказчика объектов информационной инфраструктуры

3. Исполнителя контрактов или договоров на выполнение работ по созданию и развитию объектов информационной инфраструктуры

4. Соисполнитель контрактов и договоров на выполнение работ по созданию и развитию объектов информационной инфраструктуры

5. В качестве обладателя информации

6. В качестве операторов объектов информационной инфраструктуры

Пользовательинформации – субъект информационной сферы, получивший на законном основании право использовать предоставленную ему информацию. В соответствии со статьей 2 ФЗ:

1. Обладательинформации – лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам.

2. Оператор информационной системы – гражданин или юридическое лицо, осуществляющее деятельность по эксплуатации информационной системы, в том числе деятельность по обработке информации, содержащееся в ее базах данных.

Вернемся к вопросу, что является враждебным или опасным для самой информации и способным через воздействия на эту информацию, а так же на средства системы её обработки нанести ущерб субъектам информационной сферы и таким образом быть опасным или враждебным для самих субъектов информационной сферы.

Опасным для этих субъектов информационной сферы и для самой информации является нарушение установленного статуса информации, где под статусом понимается состояние информации в первую очередь правовое состояние. В свою очередь нарушение статуса с одной стороны в полном или частичном, а так же в постоянном или временном нарушении физической сохранности информации (информации вообще или у конкретного обладателя или в конкретной информационной системе).С другой стороны нарушение статуса может заключаться в полном или частичном, а так же в постоянном или временном нарушением структурной целостности информации или её доступности и конфиденциальности (речь идет о получении информации несанкционированными субъектами).

Применительно к сказанному безопасностьюинформации (обеспечением безопасности информации) называется деятельность по сохранению установленного статуса информации.

В пункте 2.4.5 ГОСТ Р 50922-2006 безопасность информации определяется следующим образом:

безопасностьинформации – это состояние защищенности информации, находящаяся в информационной системе или у конкретного обладателя этой информации, при котором субъектом информационной системы, средствами системы обработки и информационными технологиями обеспечивается конфиденциальность, целостность, доступность , а так же другие заданные характеристики её безопасности (недоказуемость, подконтрольность, аутентичность).

Целостность, доступность, конфиденциальность - интегральные характеристики безопасности.

Конфиденциальность – защищенность информации от несанкционированного (не имеющего законного основания) получения

Целостность – защищенность информации от несанкционированных изменений.

Доступность– возможность своевременного санкционированного получения доступа к информации.

Под доступом к информации будем понимать следующее: в статье 7 п.6 ФЗ говорится, что доступ к информации – это получение информации субъектом и использование этой информации. В свою очередь использование информации субъектом может заключаться в ознакомлении с этой информацией и ее обработке этой информации.

В этой же статье дается понятие обработки:

Обработкаинформации – выполнение с информацией операций действий: сбора, накопления, вывода, ввода, приема, передачи, записи, считывания, хранения, регистрации, модификации (преобразования), копирования, уничтожения, отображения, предоставления, распространения.

Возможность нарушения статуса информации обусловлена уязвимостью информации. Уязвимость – неспособность информации противостоять вредоносным воздействиям на неё. Проявляется уязвимость в разных конкретных формах. Форма проявления уязвимости информации – это конкретное выражение результата вредоносного воздействия на информацию и/или её носитель (включая средства и системы обработки этой информации). Конкретными такими формами проявления уязвимости информации могут являться:

1. разрушение

2. хищение

3. перехват

4. потеря

5. сбой в работе информации

6. несанкционированные следующие действия:

   1. Уничтожение

   2. Искажение или модификация

   3. блокирование доступа

   4. копирование

   5. предоставление

   6. распространение

   7. ознакомление

Перехват информации а так же ее несанкционированное копирование приводит к изменению значения только одной характеристики – конфиденциальности. С другой стороны несанкционированное предоставление или распространение информации так же приводит к нарушению конфиденциальности информации, но при определённых условиях (когда у обладателя информации имеется только один экземпляр носителя информации) эти же самые действия приводят к нарушению не только конфиденциальности, но и доступности.

В свою очередь нарушение доступности информации возможно так же при потере информации, разрушении информации, хищении информации, несанкционированном уничтожении информации и несанкционированном блокировании доступа к информации. При определённых условиях потери или хищении могут так же привести к нарушению её конфиденциальности. Несанкционированное искажение (модифицирование) приводит к нарушению её целостности и частичном нарушении доступности. Сбой в «работе» информации может приводит к временному нарушению её целостности и доступности.

Определения понятий предоставления информации и распространение информации установлены в статье 2 названного федерального закона.

«Предоставлениеинформации – действия, направленное на получение информации определенным кругом лиц или передачу информации определённому кругу лиц»

«Распространениеинформации – действия, направленные на получение информации неопределенным кругом лиц или передачу информации неопределенному кругу лиц»

Термины, содержащиеся в приведенном определении понятия защиты информации, можно определить в соответствии с их определениями, приведенными в ГОСТ р 50922-2006 следующим образом: «Утечказащищаемойинформации – неконтролируемое распространение защищаемой информации в результате её разглашения, несанкционированного доступа к ней, получение защищаемой информации разведкой или другими заинтересованными субъектами»

Несанкционированноевоздействиена защищаемую информацию – преднамеренное воздействие, несанкционированный доступ и воздействие на защищаемую информацию с нарушением установленных прав и (или) правил на её изменение, приводящих к разрушению, уничтожению, искажению, незаконному перехвату и копированию, блокированию доступа к защищаемой информации, а так же к утрате, уничтожению или сбою функционирования носителя (включая средства и системы обработки) защищаемой информации.

Непреднамеренноевоздействиеназащищаемоюинформацию – воздействие на защищаемою информацию, ошибок её пользователя, сбоя и (или) отказа технических и программных средств, объектов информационной инфраструктуры, природных явлений или иных нецеленаправленных на изменение защищаемой информации действий или процессов, приводящих к искажению, уничтожению, копированию, блокированию доступа к защищаемой информации, а так же к утрате, уничтожению или сбою функционирования носителя (включая средства и системы обработки) защищаемой информации.

В качестве заинтересованных субъектов могут выступать государства, юридическое лицо, группа физических лиц или отдельное физическое лицо. В приведенных трех определениях используемые термины можно определить следующим образом:

1. Разглашение защищаемой информации – доведение защищаемой информации до заинтересованных субъектов, не имеющих право доступа к этой информации

2. Несанкционированный доступ к защищаемой информации – получение защищаемой информации заинтересованными субъектами с нарушением установленных нормативными правовыми документами или обладателями защищаемой информации прав или правил разграничения доступа к защищаемой информации

3. Преднамеренное воздействие на защищаемую информацию – любое преднамеренное воздействие на защищаемую информацию в том числе и электромагнитное и (или) воздействие другой физической природы, осуществляемое в террористических или криминальных целях.

Во всех приведенных определениях, начиная с определения понятия защиты информации, используется понятие «защищаемая информация». Это понятие в соответствии с названным федеральным законом и названным государственным стандартом РФ можно определить следующим образом: защищаемая информация – информация, подлежащая защите в соответствие с требованиями федерального законодательства РФ, руководящих и методических документов ФСБ России, ФСТИЭК России и (или) требованиями, установленными обладателем этой информации. В соответствии с определением защиты информации, информация является деятельностью, направленной на достижении определенной цели (целей). Деятельность по определению включает в себя не только сам процесс но и цель (цели) деятельности, объекты, методы, способы и средства, используемые в процессе деятельности, условия, в которых осуществляется деятельность, участников деятельности. Все перечисленное, что включает в себя деятельность, называют составляющими деятельность. Составляющими защиты информации как деятельности со сказанным являются

1. Цель защиты информации

2. Объекты, на которые направлена защита информации – объекты защиты информации

3. Условия, в которых осуществляется защита информации

4. Сам процесс защиты информации

5. Участники процесса защиты информации

6. Методы и способы защиты информации

Взаимосвязь всех перечисленных составляющих защиты информации представлена на рисунке 1.2.