Такая путаница в ГОСТе вызвана тем, что на одну доску поставлены понятия с разными значе­ниями: форма проявления уязвимости защищае­мой информации (разглашение), механизм полу­чения информации (несанкционированный дос­туп) и результат неконтролируемого распростране­ния информации (получение разведками).

По второму компоненту содержательной части защиты информации предложенное в данной ста­тье и гостированное определения расходятся и по формулировке, и по существу. В статье - это пре­дотвращение утраты защищаемой информации, В ГОСТе - предотвращение несанкционированных и непреднамеренных воздействий на защищаемую информацию. Таким образом, если в первой части определения содержательной части ГОСТ называ­ет вид уязвимости информации (утечку), то во вто­рой - не вид (утрату), а воздействия, которые могут привести к этому виду уязвимости. Конечно, утра­та не может произойти без несанкционированных или непреднамеренных воздействий на информа­цию, но зачем понадобился разный подход к обо­значению двух видов уязвимости информации, по­чему один называется, другой подразумевается?

Отчасти это объясняется, вероятно, тем, что ре­зультаты воздействия на информацию ГОСТ не сводит только к ееутрате. Это видно из расшифров­ки понятий несанкционированного и непреднаме­ренного воздействий на информацию.

К несанкционированному воздействию ГОСТ относит воздействие на защищаемую информацию с нарушением установленных прав или правил на изменение информации, приводящее к искаже­нию, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничто­жению или сбою функционирования носителя ин­формации.

Непреднамеренное воздействие определяется ГОСТом как воздействие на защищаемую инфор­мацию ошибок пользователя информацией, сбоя технических и программных средств информаци­онных систем, а также природных явлений или иных нецеленаправленных на изменение инфор­мации воздействий, связанных с функционирова­нием технических средств, систем или с деятельно­стью людей, приводящих к искажению, уничто­

жению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.

Таким образом, результатом воздействия на информацию или ее носитель являются и вид уяз­вимости (утрата), и формы проявления уязвимости (искажение, уничтожение, блокирование), и спо­соб воздействия (копирование). Если в данном слу­чае копирование заменяет хищение, то это невер­но, поскольку есть и другие способы хищения. К тому же непонятно, в чем смысл в определении по­нятия отделять носитель информации от самой ин­формации, ведь в итоге названные утрата и унич­тожение носителя (без учета неправомерности по­становки их в один ряд) являются одновременно утратой и уничтожением отображенной в них ин­формации, а сбой функционирования носителя приводит к блокированию информации.

Может показаться, что все это - частности. Но определение любого понятия, помимо всего проче­го, требует точности формулировки.

С понятием защиты информации тесно связано понятие безопасности информации.

Термин безопасность информации имеет двой­ное смысловое значение, его можно толковать и как безопасность самой информации, и как отсут­ствие угроз со стороны информации субъектам ин­формационных отношений.При этом безопасность самой информации также не вписываетсяв одно­значное понимание. С одной стороны, это может означать безопасность информации с точки зрения изначальной полноты и надежности информации, с другой стороны, защищенность установленного статус-кво информации.

В нормативных документах и литературе безо­пасность информации рассматривается только в разрезе ее защищенности, и это, вероятно, оправ­дано при наличии термина информационная безо­пасность.

Существует несколько определений понятия безопасность информации. При общем подходе к безопасности информации как состоянию защи­щенности (или защиты) информации эти определе­ния существенно различаются между собой содер­жательной частью - защищенности от чего. Сюда относят: от внутренних и внешних угроз; от утеч­ки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (поддел­ки), несанкционированного копирования, блоки­рования информации и т.п.; от случайных или преднамеренных несанкционированных воздейст­вий на информацию или несанкционированного ее получения; от случайного или преднамеренного доступа лиц, не имеющих права на получение ин­формации, ее раскрытие, модификацию или раз­рушение, и др.

Не вызывает возражений подход к определе­нию безопасности информации как к состоянию защищенности информации, ибо сам термин безо­пасность означает отсутствие опасностей, что опре­деленным образом корреспондируется с термином состояние защищенности.

Вторую часть определения можно сформулиро-

Безопасность информационных технологий, 1999. № 1 19

Специальный выпуск

вать и как от воздействий, нарушающих ее статус, и как от утраты и утечки, поскольку в конечном итоге они выражают одно и то же, т.к. предотвра­щение утраты и утечки информации осуществля­ется посредством предотвращения дестабилизиру­ющих воздействий на информацию. Первый вари­ант представляется более предпочтительным, т.к. непосредственной целью защищенности информа­ции является противодействие дестабилизирую­щим воздействиям.

Из определений понятий защита информации и безопасность информации вытекает и соотноше­ние между ними: защита информации направлена на обеспечение безопасности информации или, другими словами, безопасность информации обес­печивается с помощьюее защиты.

Понятие информационная безопасность в науч­ной литературе сначала отождествлялось с поняти­ем безопасность информации. Затем к этому приба­вилось или это заменилось на защищенность субъе­ктов информационных отношений от негативных информационных воздействий. В различных опре­делениях присутствуют те или другие нюансы, но они не меняют сути названных подходов. Такое толкование информационной безопасности пред­ставляется неполным. Методологической основой определения этого понятия должно быть отнесение его не к самой информации, хотя информационная безопасность и сопряжена с информацией, а к субъ­ектам информационной среды - физическим и юридическим лицам, участвующим в информаци­онном процессе. Из этого, кстати, следует, что в практическом преломлении информационная безо­пасность не существует вообще, безотносительно к субъекту информационной среды, именно субъект диктует показатели такой безопасности. Это отно­сится не только к конкретным субъектам, но и к личности, обществу и государству в целом.

Смысловое содержание понятия информацион­ная безопасность предполагает и в какой-то мере предопределяет включение в него трех составляю­щих.

Первой составляющей является удовлетворе­ние информационных потребностей субъектов, включенных в информационную среду. Здравый смысл подсказывает, что не может быть обеспечена информационная безопасность субъекта без нали­чия у него необходимой информации. Информаци­онные потребности различных субъектов не одина­ковы, однаков любом случае отсутствие необходи­мой информации может иметь и, как правило, име­ет отрицательные последствия. Эти последствия могут носить различный характер, их тяжесть за­висит от состава отсутствующей информации.

Необходимая для удовлетворения информаци­онных потребностей информация должна отвечать определенным требованиям. Во-первых, информа­ция должна быть относительно полной. Относи­тельно потому, что абсолютно полной информации ни один субъект иметь не может. Полнота инфор­мации характеризуется ее достаточностью для принятия правильных решений. Во-вторых, ин­формация должна быть достоверной, ибо искажен­

ная информация приводит к принятию неправиль­ных решений. В-третьих, информация должна быть своевременной, т.к. необходимые решения эффективны лишь тогда, когда они принимаются вовремя.

Но требования полноты, достоверности и свое­временности информации относятся не только к ее первоначальному статусу. Эти требования имеют силу на все время циркулирования информации, потому что их нарушение на стадии последующего использования информации также может привес­ти к неправильным решениям или вообще к невоз­можности принятия решений, как и нарушение статуса конфиденциальности может обесценить информацию. Поэтому информация должна быть защищена от воздействий, нарушающих еестатус. А это относится к сфере безопасности информации. Стало быть, обеспечение безопасности информа­ции должно являться второй составляющей ин­формационной безопасности. )