В Доктрине информационной безопасности Российской Федерации дается определение информационной безопасности. Под информационной безопасностью Российской Федерации понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства.
В литературе отмечаются неоднозначные подходы к определению понятия информационной безопасности. Так, по мнению М.В. Арсентьева, информационная безопасность - снятие информационной неопределенности относительно объективно и субъективно существующих реальных и потенциальных угроз за счет контроля над мировым информационным пространством и наличие возможностей, условий и средств для отражения этих угроз, что в совокупности определяет уровень (степень) информационной безопасности каждого субъекта.
В.Ю. Статьев и В.А. Тиньков определяют информационную безопасность как защиту информации и поддерживающей ее инфраструктуры с помощью совокупности программных, аппаратно-программных средств и методов с целью недопущения причинения вреда владельцам этой информации или поддерживающей его инфраструктуре.
|
|
А.Д. Урсул определяет информационную безопасность как состояние защищенности основных сфер жизнедеятельности по отношению к опасным информационным воздействиям.
Введем ряд определений.
Информация - это сведения о лицах, предметах, фактах, событиях и процессах. Выделяется более двадцати видов информации по ее отраслевой принадлежности и востребованности в обществе (правовая, научная, финансовая, банковская, коммерческая, медицинская и т.д.). Нет объективной необходимости обеспечивать защиту всей информации, поэтому принято подразделять информацию на открытую и ограниченного доступа. Для эффективного решения задач защиты информации целесообразно в качестве объекта защиты выбирать информацию ограниченного доступа.
Информацию ограниченного доступа можно подразделить на конфиденциальную информацию и государственную тайну. Конфиденциальная информация - доверительная, не подлежащая огласке информация, доступ к которой ограничивается в соответствии с законодательством. Конфиденциальность информации определяет и доверяет посторонним лицам владелец этой информации.
К конфиденциальной информации относятся сведения, составляющие тайну частной жизни, профессиональную, служебную, коммерческую тайну.
Тайна частной жизни - это охраняемые законом конфиденциальные сведения, составляющие личную и семейную тайну лица, незаконное собирание или распространение которых причиняет вред правам и законным интересам этого лица и предоставляет ему право на защиту в соответствии с законодательством Российской Федерации.
|
|
Профессиональная тайна - это охраняемые законом конфиденциальные сведения, доверенные или ставшие известными лицу исключительно в силу исполнения им своих профессиональных обязанностей, не связанных с государственной или муниципальной службой, незаконное получение или распространение которых может повлечь за собой вред правам и законным интересам другого лица, доверившего эти сведения, и привлечение к ответственности в соответствии с действующим законодательством.
Служебная тайна - это охраняемая законом конфиденциальная информация о деятельности государственных органов, доступ к которой ограничен федеральным законом или в силу служебной необходимости, а также ставшая известной в государственных органах и органах местного самоуправления только на законном основании и в силу исполнения их представителями служебных обязанностей, имеющая действительную или потенциальную ценность в силу неизвестности ее третьим лицам.
Коммерческая тайна - это охраняемые законом конфиденциальные сведения в области производственно-хозяйственной, управленческой, финансовой деятельности организации, имеющие действительную или потенциальную ценность в силу неизвестности их третьим лицам, к ним нет свободного доступа на законном основании, обладатель сведений принимает меры к их конфиденциальности, незаконное получение, использование или разглашение которых создает угрозу причинения вреда владельцу этих сведений и предоставляет ему право на возмещение причиненных убытков или уголовно-правовую защиту в соответствии с законодательством Российской Федерации.
В отличие от конфиденциальной информации государственная тайна определяется государством через соответствующие государственные органы, получение и разглашение этой информации строго регламентировано нормативными актами, информация имеет гриф секретности. Содержание государственной тайны находит свое законодательное закрепление в Законе РФ «О государственной тайне». Государственная тайна - защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации.
В этом же Законе РФ «О государственной тайне» прописаны такие принципы как законность, обоснованность и своевременность.
Принцип законности - в широком смысле принцип точного и неукоснительного исполнения всеми органами государства, должностными лицами и гражданами требований закона. Принцип законности служит базой для законотворчества в части правового обеспечения защиты информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, системы регулирования возникающих при этом отношений.
Принцип обоснованности. Защите подлежит прежде всего информация ограниченного доступа, т.е. информация, незаконное получение и распространение которой может причинить вред гражданину, обществу и государству. Необоснованная защита информации, прежде всего ограничение доступа к ней, посягает на конституционные права граждан на информацию, а в отдельных случаях препятствует развитию экономики, научно-технического прогресса, отношений в жизненно важных областях деятельности общества и государства. Принцип обоснованности заключается в установлении путем экспертной оценки целесообразности ограничения доступа к конкретной информации, выделении вероятных экономических и иных последствий этого акта исходя из баланса жизненно важных интересов личности, общества, государства, разработки адекватных мер противодействия внешним и внутренним угрозам информационной безопасности.
|
|
Принцип своевременности защиты информационной сферы позволяет реализовать процедуру предварительного ограничения доступа к защищаемой информации, осуществлять ее защиту и заключается в установлении ограничений на распространение этой информации с момента ее получения, разработки или заблаговременно. Значение этого принципа заключается прежде всего в том, что ограничение доступа к защищаемой информации, информационным системам, если не исключает полностью, то делает маловероятной возможность совершения преступных посягательств в данной сфере. На практике своевременность достигается путем разработки и четкого исполнения положений концепции и системы защиты объекта. Особое значение данного принципа проявляется в тех случаях, когда та или иная тема, проект, исследование находятся на стадии разработки, изучения, анализа, и при этом разработчики не уделяют должного внимания ограничению доступа к результатам работы, используют незащищенные каналы и средства связи, ЭВМ, привлекают к работе непроверенных специалистов и т.д. Как известно, новые разработки, направления исследований, технологии представляют повышенный интерес и являются приоритетным направлением в деятельности разведывательных органов иностранных государств, промышленного шпионажа, конкурентов, преступных элементов.
Ответственность за посягательство на указанные виды тайны предусмотрена в Уголовном кодексе РФ (ст. 137, 138, 142, 183, 275, 276, 283, 284). В УК РФ 1996 года включена новая, не известная прежнему уголовному законодательству России, глава 28 «Преступления в сфере компьютерной информации» (ст. 272, 273, 274). Указанные нормы уголовного закона входят в систему правовых мер, направленных на защиту информации, прав и законных интересов граждан, общества и государства в информационной сфере.
|
|
Право на информацию складывается из двух элементов - права на получение информации и права на ее распространение. Первое относится не к гражданским, частным, а к публичным правам. Право же на передачу информации имеет гражданско-правовое содержание, оно представляет собой исключительное право. Законом РФ «О правовой охране программ для ЭВМ и баз данных» регулируются отношения, возникающие в связи с правовой охраной и использованием программ для ЭВМ и баз данных. В статье 12 данного закона права на программу для ЭВМ или базу данных отнесены к исключительным правам владельца информации.
В содержание информационной безопасности входит информационная сфера. Определение информационной сферы сформулировано в ФЗ «Об участии в международном информационном обмене». Информационная сфера - сфера деятельности субъектов, связанная с созданием, преобразованием и потреблением информации.
Как уже отмечалось, в основе понятия «информационная безопасность» лежит понятие «безопасность», нашедшее свое отражение в Законе РФ «О безопасности».
Безопасность - это состояние защищенности жизненно важных интересов личности, общества, государства от внутренних и внешних угроз. К жизненно важным интересам закон относит совокупность потребностей, удовлетворение которых надежно обеспечивает существование и возможности прогрессивного развития личности, общества и государства. Основные объекты безопасности: личность, ее права и свободы; общество, его материальные и духовные ценности; государство, его конституционный строй, суверенитет и территориальная целостность.
Таким образом, информационная безопасность - состояние защищенности жизненно важных интересов личности, общества, государства в информационной сфере от внешних и внутренних угроз, обеспечивающее ее формирование, использование и развитие.
Рассматривая это определение, необходимо отметить, что одним из важнейших аспектов информационной безопасности является определение и классификация возможных угроз безопасности.
Угроза безопасности - совокупность условий и факторов, создающих опасность жизненно важным интересам личности, общества и государства.
Классификацию угроз можно представить в виде таблицы 1.
Таблица 1 Виды угроз
Угрозы | Внешние | Внутренние | |
Естественные | Преднамеренные | Развитие технологий | |
Непреднамеренные | Стихийные бедствия | 1. Отказ техники 2. Технические сбои | |
Искусственные | Преднамеренные | 1. Разработка ПО 2. Угроза целостности 3. Отказ в об служивании | 1. Угроза рас крытия (наруше ние конфиденци альности) 2. Угроза цело стности 3. Отказ в об служивании |
Непреднамеренные | 1. Политиче ские факторы 2. Социаль ные факторы | Ошибки ПО |
Среди возможных угроз можно выделить следующие: ♦♦♦ По источнику угрозы:
> внешние - связанные со стихийными бедствиями, техногенными, политическими, социальными факторами, развитием информационных и коммуникационных технологий, другими внешними воздействиями;
> внутренние - связанные с отказами вычислительной и коммуни
кационной техники, ошибками программного обеспечения.
По природе возникновения:
> естественные (объективные) - вызванные воздействием на информационную среду объективных физических процессов или стихийных природных явлений, не зависящих от воли человека;
> искусственные (субъективные) - вызванные воздействием на информационную сферу человека.
■ непреднамеренные (случайные) угрозы - ошибки программного обеспечения, персонала, отказы вычислительной и коммуникационной техники и т.д.;
■ преднамеренные (умышленные) угрозы - неправомерный доступ к информации, разработка специального программного обеспечения, используемого для осуществления неправомерного доступа, разработка и распространение вирусных программ и т.д. Преднамеренные угрозы обусловлены действиями людей.
По цели реализации:
> нарушение конфиденциальности (угроза раскрытия) заключается в том, что информация становится известной пользователю, который не авторизован для этого. В терминах компьютерной безопасности угроза раскрытия имеет место всякий раз, когда получен несанкционированный доступ к некоторой секретной информации, хранящейся в вычислительной системе или передаваемой от одной системы к другой. Иногда в связи с угрозой раскрытия используется термин «утечка информации»;
> нарушение целостности (угроза целостности) включает в себя любое несанкционированное изменение информации, хранящейся в вычислительной системе или передаваемой из одной системы в другую. Когда нарушитель преднамеренно изменяет информацию, мы говорим, что целостность этой информации нарушена. Целостность также будет нарушена, если к несанкционированному изменению приводит случайная ошибка. Санкционированными изменениями являются те, которые сделаны определенными лицами с обоснованной целью;
> нарушение доступности (угроза отказа служб /отказа в обслуживании) возникает всякий раз, когда в результате преднамеренных действий, предпринятых другим пользователем, умышленно блокируется доступ к некоторому ресурсу вычислительной системы. Например, если один пользователь запрашивает доступ к службе, а другой предпринимает что-либо для недопущения этого доступа, мы говорим, что имеет место отказ службы. Бло-
кирование может быть постоянным, так чтобы запрашиваемый ресурс никогда не был получен, или оно может вызвать только задержку запрашиваемого ресурса, достаточно долгую для того, чтобы он стал бесполезным. В таких случаях говорят, что ресурс исчерпан. Наиболее частые примеры атак, связанных с отказом служб, включают в себя ресурсы общего пользования (принтеры или процессоры). ♦♦♦ По характеру воздействия:
> активные;
> пассивные.
♦♦♦ По объекту воздействия угрозы:
> воздействующие на информационную среду в целом;
> воздействующие на отдельные элементы информационной среды. Основные проблемы информационной безопасности связаны прежде
всего с умышленными угрозами (действиями людей), так как они являются основной причиной и движущей силой преступлений и правонарушений. В то же время средства вычислительной техники (прежде всего ЭВМ), встраиваясь в систему отношений по поддержанию информационной безопасности, оказывают на них определенное воздействие. В отдельных случаях ЭВМ функционируют как источники повышенной опасности, и тогда нарушение установленных правил их эксплуатации может привести к нарушению информационной безопасности.
Отметим, что реализованная угроза называется атакой.
Следующим в нашем рассмотрении, но не менее важным, является понятие защищенности.
Под защищенностью понимается совокупность правовых, научно-технических, специальных, организационных мер, направленных на своевременное выявление, предупреждение и пресечение неправомерного получения и распространения защищаемой информации, осуществляемых органами законодательной, исполнительной и судебной власти, общественными и иными организациями и объединениями, гражданами, принимающими участие в обеспечении информационной безопасности в соответствии с законодательством, регламентирующим отношения в информационной сфере.
Правовые меры - деятельность законодательных органов по созданию правовой базы, обеспечивающей надлежащее формирование, распространение и использование информации; регулирующей деятельность субъектов, осуществляющих создание, преобразование и потребление информации; предусматривающей ответственность за нарушения в информационной сфере, меры обеспечения безопасности и правовой защиты информации, информационной инфраструктуры.
Научно-технические меры - деятельность субъектов, осуществляющих свою работу в информационной сфере, направленная на своевременное и активное использование достижений научно-технического прогресса в обеспечении информационной безопасности, а также участие в разработке новых технологий, программ, научно обоснованных способов защиты информации.
Специальные меры - деятельность государственных органов, уполномоченных осуществлять разведывательные, контрразведывательные, оперативно-розыскные мероприятия, направленные на упреждающее получение информации о планах, намерениях, устремлениях специальных служб, информационных и иных организаций, конкурентов и частных лиц, с использованием специальных технических средств, иных источников информации, указанных в Федеральном законе «Об оперативно-розыскной деятельности».
Организационные меры - деятельность субъектов по обеспечению физической, технической защиты информации, оборудования и носителей информации. Разработка и внедрение программ информационной безопасности и контроль за их выполнением, взаимодействие и обмен опытом защиты информации с правоохранительными, информационными органами. Работа по подбору, допуску и проверке персонала, подготовка и обучение сотрудников приемам работы с охраняемой информацией и ее носителями.
Отметим, что информационная безопасность в современных условиях приобретает все большую актуальность и значимость, является одним из приоритетных направлений обеспечения национальной безопасности России, а также международной безопасности.