8.2. Информационная безопасность: понятие, задачи и уровни обеспечения
Первоначально понятие «информационная безопасность» в научной литературе отождествлялось с понятием безопасность информации. Позднее стали использовать другой термин - «защищенность субъектов информационных отношений от негативных информационных воздействий».
В Доктрине информационной безопасности Российской Федерации термин «информационная безопасность» определяется как состояние защищенности национальных интересов в информационной сфере, определяемых совокупностью сбалансированных интересов личности, общества и государства.
В законе РФ «Об участии в международном информационном обмене» информационная безопасность определяется аналогичным образом. Под ним понимается состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства.
В современной весьма многочисленной литературе по вопросам информационной безопасности приводится целый ряд определений понятия «информационная безопасность». В частности, в коллективной монографии «Информационная безопасность государственных организаций и коммерческих фирм» (М.,2002), вышедшей под общей редакцией действующего министра РФ по связи и информации Л. Д. Реймана, указывается, что информационная безопасность подразумевает защищенность информации, обрабатываемой в информационно-вычислительной системе, от случайных или преднамеренных воздействий внутреннего или внешнего характера, чреватых нанесением ущерба владельцам информационных ресурсов или пользователям информации.
В соответствии с данным определением обеспечение информационной безопасности не сводится только к защите от противоправных действий со стороны тех или иных лиц. Важнейшее значение здесь имеет и защита от возможных воздействий, носящих случайный характер (аварии, сбои или отказы оборудования, систем электроснабжения, отопления, водоснабжения, природные катастрофы и т.д.), а также от случайных ошибок пользователей и обслуживающего персонала информационных систем.
С точки зрения современного отечественного исследователя А. И. Алексенцева, методологической основой определения понятия «информационная безопасность» должно быть отнесение его не к самой информации, а к субъектам информационной среды - физическим и юридическим лицам, участвующим в информационном процессе. В практическом плане информационная безопасность существует лишь во взаимосвязи с субъектом информационной среды, именно субъект диктует показатели такой безопасности. Это относится не только к конкретным субъектам, но и к личности, обществу и государству.
Позиция А. И. Алексенцева состоит в том, что смысловое содержание понятия «информационная безопасность» предполагает удовлетворение информационных потребностей субъектов, включенных в информационную среду. Информационная безопасность субъекта не может быть обеспечена без наличия у него необходимой информации. Информационные потребности различных субъектов не одинаковы, но для любого субъекта отсутствие возможности получения необходимой информации может иметь отрицательные последствия. Эти последствия могут носить различный характер, их тяжесть зависит от состава отсутствующей информации.
Необходимая для удовлетворения информационных потребностей информация должна отвечать определенным требованиям:
• во-первых, информация должна быть относительно полной, поскольку абсолютно полной информации ни один субъект иметь не может. Полнота информации характеризуется ее достаточностью для принятия правильных решений;
• во-вторых, информация должна быть достоверной, ибо искаженная информация приводит к принятию неправильных решений;
• в-третьих, информация должна быть своевременной, так как необходимые решения эффективны лишь тогда, когда они принимаются вовремя.
К принятию неверных решений может привести и наличие вредной, опасной для субъекта информации, которая чаще всего целенаправленно навязывается. Это требует обеспечения защиты субъектов информационных отношений от негативного информационного воздействия, что является еще одной составляющей информационной безопасности.
При таком подходе можно сформулировать следующее определение понятия «информационная безопасность: «информационная безопасность» - это состояние информационной среды, обеспечивающее удовлетворение информационных потребностей субъектов информационных отношений, безопасность информации и защиту субъектов от негативного информационного воздействия.
Обеспечение информационной безопасности предполагает осуществление многомерной деятельности, носящей систематический и комплексный характер. При ее осуществлении важно иметь в виду те задачи, которые выдвигаются перед сторонами, заинтересованными в информационной безопасности. Все многообразие выделяемых задач может быть сведено к нескольким основным, а именно:
1) обеспечение доступности информации, что подразумевает возможность за приемлемое время получить требуемую информационную услугу, а также предотвращение несанкционированного отказа в получении информации;
2) обеспечение целостности информации, предусматривающее предотвращение несанкционированной модификации или разрушение информации;
3) обеспечение конфиденциальности информации, что связано с предотвращением несанкционированного ознакомления с информацией.
Выделяют четыре категории субъектов информационной безопасности, отличающиеся друг от друга правовым, техническим, финансовым, организационным и иным ресурсным обеспечением своей информационной безопасности, а именно:
• государство в целом;
• государственные организации;
• коммерческие структуры;
• отдельные граждане.
Среди всех перечисленных субъектов информационной безопасности на сегодняшний день в Российской Федерации самым незащищенным не только в техническом, организационном, но и в правовом отношении являются граждане России. Основная сложность обеспечения их безопасности состоит в низкой информированности граждан о проблемах информационной безопасности, отсутствии широкого доступа к средствам индивидуальной защиты информации.
В обеспечении информационной безопасности выделяют несколько уровней:
1. Концептуально-политический. На этом уровне принимаются документы, в которых определяются основные направления государственной политики в области информационной безопасности, формулируются цели и задачи обеспечения информационной безопасности в отношении всех обозначенных субъектов, намечаются пути и средства реализации поставленных целей. Примером подобного рода документов является Доктрина информационной безопасности РФ, утвержденная Президентом РФ 9 сентября 2000 г.
2. Законодательный. На этом уровне принимаются нормативноправовые акты (законы, постановления правительства и др.), призванные инициировать создание и функционирование системы правового регулирования обеспечения информационной безопасности.
3. Нормативно-технический. На данном уровне осуществляется разработка стандартов, руководящих и методических материалов и документов регламентирующих процессы разработки, внедрения и эксплуатации средств обеспечения информационной безопасности. Приводятся в соответствие национальные и международные стандарты в сфере информационных технологий.
4. Административный. Осуществление мероприятий по обеспечению безопасности на данном уровне проводится в рамках конкретного предприятия, учреждения, организации. На этом уровне руководство организации реализует конкретные меры по обеспечению информационной безопасности. В их основе лежит политика безопасности предприятия (совокупность документированных управленческих решений, направленных на защиту информации), определяющая стратегию предприятия в области информационной безопасности, а также объем выделяемых ресурсов для создания и функционирования системы информационной безопасности предприятия.
В числе конкретных мер по обеспечению информационной безопасности можно выделить несколько основных:
• управление персоналом предприятия;
• физическая защита имущества и работников предприятия;
• поддержание работоспособности персонала и оборудования предприятия;
• реагирование на нарушения режима безопасности (санкции в отношении нарушителей, совершенствование системы безопасности, разработка и реализация превентивных мер по обеспечению информационной безопасности);
• планирование восстановительных работ.
5. Программно-технический уровень. Данный уровень предполагает использование, как минимум, нескольких механизмов обеспечения информационной безопасности, среди них:
• идентификация и проверка подлинности пользователей средств информатизации;
• управление доступом к информации;
• протоколирование и аудит;
• криптография;
• экранирование;
• обеспечение высокой доступности.
В современных условиях использование различных механизмов обеспечения информационной безопасности стало актуальным не только для отдельных предприятий, учреждений, организаций, как государственных, так и частных, но и для простых граждан. Несанкционированный доступ к информации личного характера может инициировать совершение правонарушений в отношении жизни и имущества граждан.
Назад | Содержание | Вперед |