Под автоматизированной системой обработки информации
(АС) будем понимать организационно-техническую систему, представляющую собой
совокупность следующих взаимосвязанных компонентов:
технических
средств обработки и передачи данных (средств вычислительной техники и связи);
методов
и алгоритмов обработки в виде соответствующего программного обеспечения;
информации
(массивов, наборов, баз данных) на различных носителях;
персонала
и пользователей системы, объединенных по организационно-структурному,
тематическому, технологическому или другим признакам для выполнения
автоматизированной обработки информации (данных) с целью удовлетворения
информационных потребностей субъектов информационных отношений.
Под обработкой информации в АС будем понимать любую
совокупность операций (прием, сбор, накопление, хранение, преобразование,
отображение, выдача и т.п.), осуществляемых над информацией (сведениями,
данными) с использованием средств АС.
Различные субъекты по отношению к определенной информации
могут выступать в качестве (возможно одновременно):
источников
(поставщиков) информации;
пользователей
(потребителей) информации;
собственников
(владельцев, распорядителей) информации;
физических
и юридических лиц, о которых собирается информация;
владельцев
систем сбора и обработки информации и участников процессов обработки и передачи
информации и т.д.
Для успешного осуществления своей деятельности по
управлению объектами некоторой предметной области субъекты информационных
отношений могут быть заинтересованы в обеспечении:
своевременного
доступа (за приемлемое для них время) к необходимой им информации;
конфиденциальности
(сохранения в тайне) определенной части информации;
достоверности
(полноты, точности, адекватности, целостности) информации;
защиты
от навязывания им ложной (недостоверной, искаженной) информации (то есть от
дезинформации);
защиты
части информации от незаконного ее тиражирования (защиты авторских прав, прав
собственника информации и т.п.);
разграничения
ответственности за нарушения законных прав (интересов) других субъектов
информационных отношений и установленных правил обращения с информацией;
возможности
осуществления непрерывного контроля и управления процессами обработки и
передачи информации.
Будучи заинтересованным в обеспечении хотя бы одного
из вышеназванных требований субъект информационных отношений является уязвимым,
то есть потенциально подверженным нанесению ему ущерба (прямого или косвенного,
материального или морального) посредством воздействия на критичную для него
информацию и ее носители либо посредством неправомерного использования такой
информации. Поэтому все субъекты информационных отношений заинтересованы в
обеспечении своей информационной безопасности (конечно в различной степени в
зависимости от величины ущерба, который им может быть нанесен).
Для удовлетворения законных прав и перечисленных
выше интересов субъектов (обеспечения их информационной безопасности)
необходимо постоянно поддерживать следующие свойства информации и систем ее
обработки:
доступность
информации,
то есть свойство системы (среды, средств и технологии ее обработки), в которой
циркулирует информация, характеризующееся способностью обеспечивать
своевременный беспрепятственный доступ субъектов к интересующей их информации и
готовность соответствующих автоматизированных служб к обслуживанию поступающих
от субъектов запросов всегда, когда в обращении к ним возникает необходимость;
целостность
информации,
то есть свойство информации, заключающееся в ее существовании в неискаженном
виде (неизменном по отношению к некоторому фиксированному ее состоянию). Точнее
говоря, субъектов интересует обеспечение более широкого свойства -
достоверности информации, которое складывается из адекватности (полноты и
точности) отображения состояния предметной области и непосредственно
целостности информации, то есть ее неискаженности. Однако, мы ограничимся
только рассмотрением вопросов обеспечения целостности информации, так как
вопросы обеспечения адекватности отображения выходят далеко за рамки проблемы
обеспечения информационной безопасности;
конфиденциальность
информации
- субъективно определяемую (приписываемую) характеристику (свойство)
информации, указывающую на необходимость введения ограничений на круг
субъектов, имеющих доступ к данной информации, и обеспечиваемую способностью
системы (среды) сохранять указанную информацию в тайне от субъектов, не имеющих
полномочий на доступ к ней. Объективные предпосылки подобного ограничения
доступности информации для одних субъектов заключены в необходимости защиты
законных интересов других субъектов информационных отношений.
Поскольку ущерб субъектам информационных отношений
может быть нанесен опосредовано, через определенную информацию и ее носители (в
том числе автоматизированные системы обработки), то закономерно возникает
заинтересованность субъектов в обеспечении безопасности этой информации и
систем ее обработки и передачи. Иными словами, в качестве объектов, подлежащих
защите в интересах обеспечения безопасности субъектов информационных отношений,
должны рассматриваться: информация, ее носители и процессы ее обработки.
Однако, всегда следует помнить, что уязвимыми в
конечном счете являются именно заинтересованные в обеспечении определенных
свойств информации и систем ее обработки субъекты (информация, равно как и
средства ее обработки, не имеет своих интересов, которые можно было бы ущемить
и нанести тем самым ущерб). В дальнейшем, говоря об обеспечении безопасности АС
или циркулирующей в системе информации, всегда будем понимать под этим
косвенное обеспечение безопасности субъектов, участвующих в процессах
автоматизированного информационного взаимодействия.
В свете сказанного, термин "безопасность
информации" нужно понимать как защищенность
информации от нежелательного для соответствующих субъектов информационных
отношений ее разглашения (нарушения конфиденциальности), искажения (нарушения
целостности), утраты или снижения степени доступности информации, а также
незаконного ее тиражирования.
Поскольку субъектам информационных отношений ущерб
может быть нанесен также посредством воздействия на процессы и средства
обработки критичной для них информации, то становится очевидной необходимость
обеспечения защиты всей системы обработки и передачи данной информации от
несанкционированного вмешательства в процесс ее функционирования, а также от
попыток хищения, незаконной модификации и/или разрушения любых компонентов
данной системы.
Поэтому под безопасностью автоматизированной системы
обработки информации (компьютерной системы) будем понимать защищенность всех ее
компонентов (технических средств, программного обеспечения, данных и персонала)
от подобного рода нежелательных для соответствующих субъектов информационных
отношений воздействий.
Безопасность любого компонента (ресурса) АС
складывается из обеспечения трех его характеристик: конфиденциальности,
целостности и доступности.
Конфиденциальность компонента системы заключается в
том, что он доступен только тем субъектам доступа (пользователям, программам,
процессам), которым предоставлены на то соответствующие полномочия.
Целостность компонента системы предполагает, что он
может быть модифицирован только субъектом, имеющим для этого соответствующие
права. Целостность является гарантией корректности (неизменности,
работоспособности) компонента в любой момент времени.
Доступность компонента означает, что имеющий
соответствующие полномочия субъект может в любое время без особых проблем получить
доступ к необходимому компоненту системы (ресурсу).
В свете приведенного выше подчеркнем, что конечной
целью защиты АС и циркулирующей в ней информации является предотвращение или
минимизация наносимого субъектам информационных отношений ущерба (прямого или
косвенного, материального, морального или иного) посредством нежелательного
воздействия на компоненты АС, а также разглашения (утечки), искажения
(модификации), утраты (снижения степени доступности) или незаконного
тиражирования информации.
Наибольшую сложность при решении вопросов
обеспечения безопасности конкретных информационно-управляющих систем
(информационных технологий) представляет задача определения реальных требований
к уровням защиты критичной для субъектов информации, циркулирующей в АС.
Ориентация на интересы субъектов информационных отношений дает ключ к решению
данной задачи для общего случая.
Определение требований к защищенности информации
Исторически сложившийся подход к классификации
государственной информации (данных) по уровням требований к ее защищенности
основан на рассмотрении и обеспечении только одного свойства информации - ее
конфиденциальности (секретности). Требования же к обеспечению целостности и
доступности информации, как правило, лишь косвенно фигурируют среди общих
требований к системам обработки этих данных. Считается, что раз к информации
имеет доступ только узкий круг доверенных лиц, то вероятность ее искажения
(несанкционированного уничтожения) незначительна. Низкий уровень доверия к АС и
предпочтение к бумажной информационной технологии еще больше усугубляют
ограниченность данного подхода.
Если такой подход в какой-то степени оправдан в силу
существующей приоритетности свойств безопасности важной государственной
информации, то это вовсе не означает, что его механический перенос в другую
предметную область (с другими субъектами и их интересами) будет иметь успех.
Во многих областях деятельности (предметных
областях) доля конфиденциальной информации сравнительно мала. Для коммерческой
и персональной информации, равно как и для государственной информации, не
подлежащей засекречиванию, приоритетность свойств безопасности информации может
быть иной. Для открытой информации, ущерб от разглашения которой несущественен,
важнейшими могут быть такие качества, как доступность, целостность или
защищенность от неправомерного тиражирования. К примеру, для платежных
(финансовых) документов самым важным является свойство их целостности
(достоверности, неискаженности). Затем, по степени важности, следует свойство
доступности (потеря платежного документа или задержка платежей может обходиться
очень дорого). Требований к обеспечению конфиденциальности отдельных платежных
документов может не предъявляется вообще.
Попытки подойти к решению вопросов защиты такой
информации с позиций традиционного обеспечения только конфиденциальности,
терпят провал. Основными причинами этого, на наш взгляд, являются узость
существующего подхода к защите информации, отсутствие опыта и соответствующих
проработок в плане обеспечения целостности и доступности информации, не
являющейся конфиденциальной.
Развитие системы классификации информации по уровням
требований к ее защищенности предполагает введение ряда степеней (градаций)
требований по обеспечению каждого из свойств безопасности информации: доступности,
целостности, конфиденциальности и защищенности от тиражирования. Пример
градаций требований к защищенности:
нет
требований;
низкие;
средние;
высокие;
очень
высокие.
| 
