Информационная безопасность

Страница 2

Помимо разглашения, утечка может произой­ти и в результате потери и хищения носителя кон­фиденциальной информации, а также хищения отображенной в носителе информации при сохран­ности носителя у собственника (владельца). Может произойти не означает, что произойдет. Выше уже отмечалось, что потеря носителя не всегда приво­дит к утечке информации. Хищение конфиденци­альной информации также не всегда связано с по­лучением ее лицами, не имеющими к ней доступа. Имелось немало случаев, когда хищение носите­лей конфиденциальной информации осуществля­лось у коллег по работе допущенными к этой ин­формации лицами с целью подсидки, причинения вреда коллеге. Такие носители, как правило, унич­тожались лицами, похитившими их. Но в любом случае потеря и хищение если и не приводят к утечке информации, то создают угрозу утечки. По­этому можно сказать, что к утечке конфиденци­альной информации приводит ее разглашение и могут привести хищение и потеря. Сложность со­стоит в том, что зачастую невозможно определить, во-первых, сам факт разглашения или хищения информации при сохранности носителя информа­ции у собственника (владельца), во-вторых, попала ли информация вследствие ее хищения или потери посторонним лицам. При этом не следует отожде­ствлять хищение с разглашением, как это иногда делается. Хищение может привести и часто приво­дит к разглашению и в последнем случае выступа­ет в роли опосредованного способа разглашения, но, во-первых, результатом хищения не всегда бы­вает разглашение, во-вторых, разглашение конфи­денциальной информации осуществляется не только посредством ее хищения.

Безопасность информационных технологий, 1999. ,№ 1 17

Специальный выпуск"

Утрата и утечка информации могут рассматри­ваться как виды уязвимости информации.

Суммируя соотношение форм и видов уязвимо­сти защищаемой информации, можно констатиро­вать:

1.Формы проявления уязвимости информации выражают результаты дестабилизирующего воз­действия на информацию, а виды уязвимости - ко­нечный суммарный итог реализации форм уязви­мости.

2.Утрата информации включает в себя, по срав­нению с утечкой, большее число форм проявления уязвимости информации, но она не поглощает утечку, т.к., во-первых, не все формы проявления уязвимости информации, которые приводят или могут привести к утечке, совпадают с формами, приводящими к утрате, во-вторых, если к утрате информации приводит хищение носителей, то к утечке может привести хищение и носителей, и отображенной в них информации при сохранности носителей.

3. Наиболее опасными формами проявления уязвимости конфиденциальной информации явля­ются потеря, хищение и разглашение - первые две одновременно могут привести и к утрате, и к утеч­ке информации, вторая (хищение информации при сохранности носителя) и третья могут не обна­ружиться со всеми вытекающими из этого послед­ствиями.

4. Неправомерно отождествлять виды и отдель­ные формы проявления уязвимости информации (утрата^потеря, утрата= хищение, утечка=разгла-шение (распространение), заменять формы прояв­ления уязвимости информации способами дестаби­лизирующего воздействия на информацию, а так­же ставить в один ряд формы и виды уязвимости защищаемой информации, как это, в частности, сделано в законе "Об информации, информатиза­ции и защитой нформации", где одной из целей за­щиты названо: предотвращение утечки, хищения, утраты, искажения, подделки информации.

Поскольку нарушение статуса информации вы­ражается в различных формах проявления уязви­мости информации, а все формы сводятся к двум видам уязвимости, содержательную часть понятия защита информации можно определить как пре­дотвращение утраты и утечки конфиденциальной информации и утраты защищаемой открытой ин­формации.

Вторая составляющая сущности защиты ин­формации - способ реализации содержательной части - в толковых словарях, как уже отмечалось, представлена как процесс или как совокупность методов, средств и мероприятий.

Защита информации включает в себя опреде­ленный набор методов, средств и мероприятий, од­нако ограничивать способ реализации только этим было бы неверно. Защита информации должна быть системной, а в систему помимо методов, средств и мероприятий входят и другие компонен­ты: объекты защиты, органы защиты, пользовате­ли информации. При этом защита не должна пред­ставлять собой нечто статичное, а являться непре­

рывным процессом. Но этот процесс не осуществ­ляется сам по себе, а происходит в результате дея­тельности людей. Деятельность же, по определе­нию, включает в себя не только процесс, но и цели, средства и результат. Защита информации не мо­жет быть бесцельной, безрезультатной и осуществ­ляться без помощи определенных средств. Поэто­му именно деятельность и должна быть способом реализации содержательной части защиты.

Объединив содержательную часть защиты ин­формации и способ реализации содержательнойча-сти, можно сформулировать следующее определе­ние:

Защита информации - деятельность по предот­вращению утраты и утечки конфиденциальной ин­формации и утраты защищаемой открытой инфор­мации.

Учитывая, что определение должно быть лако­ничным, а термин утрата и утечка защищаемой информации поглощаетвсе формы проявления уязвимости конфиденциальной и защищаемой ча­сти открытой информации, можно ограничиться более кратким определением при условии диффе­ренцированного его преломления в практической работе: Защита информации - деятельность по предотвращению утраты и утечки защищаемой информации.

'" А теперь проанализируем определение этого понятия, содержащееся в ГОСТ Р50922-96 "Защи­та информации. Основные термины и определе­ния", поскольку это определение официальное, имеющее в смысловом значении обязательный ха­рактер. Оно сформулировано так: Защита инфор­мации - деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.

Как видно, это определение совпадает с предло­женным по способу реализации содержательной части защиты и по одной из ее составляющих -предотвращению утечки защищаемой информа­ции. Однако определение утечки в ГОСТе дано дру­гое - оно не сформулировано отдельно, а вмонтиро­вано в определение термина Защита информации от утечки, которое звучит так: Защита информа­ции от утечки: деятельность по предотвращению неконтролируемого распространения защищаемой информации от ее разглашения, несанкциониро­ванного доступа к защищаемойинформации и от получения защищаемой информации (иностран­ными} разведками. Из этого определения вытека­ет, что утечка информации - это неконтролируе­мое распространение защищаемой информации.

Неконтролируемое распространение можно по смыслу приравнять к неправомерному выходу ин­формации за пределы защищаемой зоны ее функ­ционирования или установленного круга лиц. Но если в предложенном в данной статье определении утечки далее обозначен результат такого выхода -получение информации лицами, не имеющими к ней санкционированного доступа, то в стандарте неконтролируемое распространение выступает уже как результат, к которому приводят разглаше-

18 Безопасность информационных технологий, 1999. № 1

А. И. Алексенцев. Сущность и соотношение понятий "защита информации" .

ние, получение информации разведками и несанк­ционированный доступ к ней. Т.е., в первом случае неконтролируемое распространение приводит к несанкционированному получению, во втором -все наоборот. Но различия не ограничиваются этим. Вызывает недоумение, почему в один ряд по­ставлены разглашение, несанкционированный до­ступ к информации и ее получение. Разве несанк­ционированный доступ к информации не может привести к ее разглашению и получению? Если нет, то как он влияет на неконтролируемое распро­странение информации? Только как возможность с его помощью похитить ее. Но хищение в итоге опять приводит к получению информации. С дру­гой стороны, разве разглашение информации не приводит к ее получению иностранными разведка­ми и не только ими?