Сущность понятия «информационная безопасность» (ИБ). Основные определения предметной области «ИБ».

Защита информации – это комплекс мероприятий, направленных на обеспечение информационной безопасности.

Важной специфической особенностью терминологической системы информационной безопасности является ее тесная связь с правовой лексикой. Это следствие того факта, что информационная безопасность давно перестала быть технической дисциплиной, частью информатики. В связи с этим выработка единообразия в терминологии по проблеме обеспечения информационной безопасности создает предпосылки для целенаправленного развития всех работ по теории информационной безопасности и методологии защиты информации. 

Определение информационной безопасности в свете информационных проблем современного общества 

Сложность освещения проблемы обеспечения информационной безопасности связана с отсутствием до настоящего времени общепринятого толкования терминов, используемых для описания данной предметной области. В связи с этим для определения понятия информационной безопасности необходимо рассмотреть базовое ключевое понятие «безопасность».

Безопасность - некоторое состояние рассматриваемой системы, при котором последняя, с одной стороны, способна противостоять дестабилизирующему воздействию внешних и внутренних угроз, а с другой – ее функционирование не создает угроз для элементов самой системы и внешней среды. При таком определении мерой безопасности системы являются:

•   с точки зрения способности противостоять дестабилизирующему воздействию внешних и внутренних угроз – степень (уровень) сохранения системой своей структуры, технологии и эффективности функционирования при воздействии дестабилизирующих факторов; 

•   с точки зрения отсутствия угроз для элементов системы и внешней среды – степень (уровень) возможности (или отсутствия возможности) появления таких дестабилизирующих факторов, которые могут представлять угрозу элементам самой системы или внешней среде. 

Информационная безопасность – такое состояние рассматриваемой системы, при котором она, с одной стороны, способна противостоять дестабилизирующему воздействию внешних и внутренних информационных угроз, а с другой – ее функционирование не создает информационных угроз для элементов самой системы и внешней среды. 

Именно такое понятие информационной безопасности положено в основу Доктрины информационной безопасности и законодательства в сфере обеспечения информационной безопасности Российской Федерации (дословно – «Информационная безопасность – это состояние защищенности жизненно-важных интересов личности, общества и государства в информационной сфере от внутренних и внешних угроз»). 

Ориентиром в направлении поиска путей решения проблем информационной безопасности может служить информация. 

Информация как непременный компонент любой организованной системы, с одной стороны, легко уязвима (т.е. весьма доступна для дестабилизирующего воздействия большого числа разноплановых угроз), а с другой – сама может быть источником большого числа разноплановых угроз, как для элементов самой системы, так и для внешней среды. Отсюда, обеспечение информационной безопасности в общей постановке проблемы может быть достигнуто лишь при взаимоувязанном решении трех составляющих проблем:

•   защите находящейся в системе информации от дестабилизирующего воздействия внешних и внутренних угроз информации; 

•   защите элементов системы от дестабилизирующего воздействия внешних и внутренних информационных угроз; 

•   защите внешней среды от информационных угроз со стороны рассматриваемой системы.

 Таким образом, развитие теории информационной безопасности обусловливается основными направлениями развития защиты информации как первой составляющей общей проблемы информационной безопасности, с одной стороны.

С другой, – изучением и разработкой второй составляющей информационной безопасности – защиты от информации (регулярные исследования и разработки на сегодняшний день практически не ведутся). 

Необходимо отметить, что проблема защиты от информации существенно сложнее проблемы защиты информации в силу многообразности информационных угроз, воздействие которых не всегда очевидно. Предотвращение и нейтрализация таковых требуют как технических решений, так и организационно-правовых и политических на внутригосударственном, межгосударственном и международном уровнях. 

В свою очередь, отличительной особенностью проблемы защиты людей от информации, состоит в том, что ее решение будет носить преимущественно гуманитарный характер, в то время как решения по защите от информации технических средств и систем, так же как и по защите информации, носят технический характер и поддаются строгой структуризации. 

Основные составляющие информационной безопасности 

Информационная безопасность многомерная область деятельности, в которой успех может принести только систематический, комплексный подход. 

С методологической точки зрения подход к проблемам информационной безопасности начинается с выявления субъектов информационных отношений и интересов этих субъектов. 

В обеспечении информационной безопасности нуждаются столь разные субъекты информационных отношений, таких как: 

•   государство в целом или отдельные органы и организации; 

•   общественные или коммерческие организации (объединения), предприятия (юридические лица); 

•   отдельные граждане (физические лица). 

Весь спектр интересов субъектов, связанных с использованием информации, можно разделить на следующие категории: обеспечение доступности, целостности и конфиденциальности ресурсов информационной среды и поддерживающей инфраструктуры. 

Доступность – это возможность за приемлемое время получить требуемую информационную услугу. 

Целостность - актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения. 

Конфиденциальность – это защита от несанкционированного доступа к информации. 

Информационные системы создаются (приобретаются) для получения определенных информационных услуг. Если по тем или иным причинам предоставить эти услуги пользователям становится невозможно, это, очевидно наносит ущерб всем субъектам информационных отношений. Поэтому, не противопоставляя доступность остальным аспектам, принято выделять ее как важнейший элемент информационной безопасности. 

Целостность можно подразделить на статическую (понимаемую как неизменность информационных объектов) и динамическую (относящуюся к корректному выполнению сложных действий). Средства контроля динамической целостности применяются в частности при анализе потока финансовых сообщений с целью выявления кражи, переупорядочения или дублирования отдельных сообщений. 

Конфиденциальность – самый проработанный у нас в стране аспект информационной безопасности. Но практическая реализация мер по обеспечению конфиденциальности современных информационных систем имеет в России серьезные трудности. Во-первых, сведения о технических каналах утечки информации являются закрытыми. Большинство пользователей лишено возможности составить представление о потенциальных рисках. Во-вторых, на пути пользовательской криптографии как основного средства обеспечения конфиденциальности стоят многочисленные законодательные препоны и технические проблемы. 

Значение информационной безопасностидля субъектов информационных отношений

В случае государственных организаций во главу ставится конфиденциальность («пусть лучше все сломается, чем враг узнает хоть один секретный бит»). Далее, для государственных структур особую значимость принимает целостность информации. Доступность как одна из составляющих ИБ по отношению к двум другим составляющим обладает наименьшим приоритетам. 

Для коммерческих организаций ведущую роль играет доступность информации. Особенно ярко это проявляется в разного рода системах управления – производством, транспортном и т.п. Внешне менее драматичные, но также весьма неприятные последствия – и материальные, и моральные – может иметь длительная недоступность информационных услуг, которыми пользуется большое количество людей (продажа железнодорожных и авиабилетов, банковские услуги и т.п.). Целостность также важнейший аспект ИБ коммерческих структур. Набор и характеристики комплектующих изделий, ход технологического процесса – все это примеры информации, нарушение целостности которой может оказаться в буквальном смысле смертельным. В то же время конфиденциальность в случае коммерческой информации играет заметно меньшую роль. 

Для граждан на первое место можно поставить целостность и доступность информации, обладание которой необходимо для осуществления нормальной жизнедеятельности. Например, участившиеся случаи искажения информации («черного шара») во время выборов. Конфиденциальность здесь не играет ключевой роли, хотя следует отметить, что физические лица на сегодняшний день являются самыми незащищенными субъектами информационных отношений.