Важные публикации
Как контролировать своих сотрудников? 15 апреля 2021
Также определения термина «информационная безопасность» могут отличаться и в зависимости от объекта или среды, о которых идет речь, рассматриваться в контексте культурных, социальных, политических или экономических проблем. Например, исследователь может рассматривать информационную безопасность в государственной политике, в организации, в компьютерной сети, в обществе и т.д. В связи с этим трактовка понятия может быть сужена, уточнена. Например, в Доктрине информационной̆ безопасности Российской̆ Федерации 2016 г. приведено следующее обозначение информационной безопасности:
Информационная безопасность Российской̆ Федерации — состояние защищенности личности, общества и государства от внутренних и внешних информационных угроз, при котором обеспечиваются реализация конституционных прав и свобод человека и гражданина, достойные качество и уровень жизни граждан, суверенитет, территориальная целостность и устойчивое социально-экономическое развитие Российской̆ Федерации, оборона и безопасность государства.
На основании вышесказанного объектами информационной безопасности могут быть государство, информационно-технические системы, сознание человека и т.д. Субъектами информационной безопасности могут являться лица, структуры или органы, которые действуют в целях ее обеспечения.
Базовые определения термина «информационная безопасность», которые можно соотнести с различными категориями объектов и любыми сферами жизни, встречаются у исследователей, рассматривающих эту область знаний с основ – комплексно и многоаспектно.
Наиболее комплексным и понятным мы считаем определение, изложенное в ГОСТ Р ИСО/МЭК 13335-1-2006 «Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий» (далее – ГОСТ Р ИСО/МЭК 13335-1-2006):
Информационная безопасность – все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информации или средств ее обработки.
Напомним, что средством обработки информации является любая система обработки информации, услуга или инфраструктура, или их фактическое месторасположение.
Не путайте понятия «информационная безопасность» и «безопасность информации». Отождествлять их не нужно. Так, в ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения» (далее – ГОСТ Р 50922-2006) приведено следующее определение понятия «безопасность информации»:
Безопасность информации [данных] – состояние защищенности информации [данных], при котором обеспечены ее [их] конфиденциальность, доступность и целостность.
Как видим, определение «информационная безопасность» (первое), приведенное в ГОСТ Р ИСО/МЭК 13335-1-2006, шире, чем определение «безопасность информации» (второе), приведенное в ГОСТ Р 50922-2006:
На основании определения информационной безопасности, которое приведено в ГОСТ Р ИСО/МЭК 13335-1-2006, далее в статье мы рассмотрим, какие свойства и способности должна иметь информация и средства ее обработки, а также какие конкретные действия помогут обеспечить информационную безопасность (например, организации).
В ГОСТ Р ИСО/МЭК 13335-1-2006 содержатся 6 свойств и 1 способность, которыми должны обладать информация или средства ее обработки (Таблица 2). Изучим каждое из них.
Таблица 2
Свойства и способности информации и средств ее обработки
Конфиденциальность – это свойство информации (или средств ее обработки) быть недоступной и закрытой (подразумевается отсутствие права на доступ) для неавторизованного индивидуума, неполномочного лица, логического объекта или процесса.
В федеральных законах Российской Федерации установлена обязательность соблюдения конфиденциальности информации, к которой относятся персональные данные, коммерческая, служебная, профессиональная или иные тайны. В законодательстве установлено около 50 видов конфиденциальной информации.
Целостность – это свойство сохранения правильности и полноты информационных активов (то есть всей информации, которая имеет ценность для организации), а также обеспечения их правильной и полной обработки определенными средствами, исключающее модификацию или аннулирование информации в результате несанкционированного доступа.
Простыми словами, информация, обладающая таким свойством, как целостность, остается неизменной независимо от каких-либо факторов, а все ее изменения санкционированы и совершены разрешенными объектами и средствами обработки информации.
Доступность – это свойство, которое позволяет информации (или средствам ее обработки) находиться в состоянии готовности и используемости по запросу авторизованного логического объекта. То есть если информация обладает таким свойством, как доступность, то все субъекты, которые имеют какие-либо права доступа к ней, смогут беспроблемно использовать ее в соответствии с установленным порядком (регламентом, положением или др.).
В зависимости от системы или пространства, в которых существует информация, к правам доступа могут относиться право на ее чтение, изменение, комментирование, копирование/вставку, уничтожение и т.д.
Неотказуемость (или апеллируемость) – это способность информации удостоверять произошедшее действие или событие так, чтобы оно не могло быть впоследствии отвергнуто. Простым языком, это невозможность отказа от авторства и совершения действия. Если информация обладает таким свойством, то она может рассматриваться как доказательство.
Наглядный пример информации со способностью неотказуемости – электронная подпись, в которой используется однонаправленная хеш-функция.
Подотчетность – это свойство средства обработки информации, обеспечивающее однозначное прослеживание действий любого логического объекта.
Другими словами, подотчетность обеспечивает регистрацию действий, которые производятся с информацией, а также фиксирует субъектов, которые их совершают. Это может быть возможно благодаря, например, методам идентификации и аутентификации.
Аутентичность – это свойство информации (или средств ее обработки), гарантирующее, что субъект (пользователь), процесс, система, сама информация или ресурс идентичны заявленным, то есть являются подлинными, настоящими.
На основании этого свойства некоторые приложения, реализующие вход в свои системы через определенные клиенты, разрешают доступ лишь после подтверждения взаимных запросов.
Достоверность – это свойство соответствия информации (или средств ее обработки) предусмотренному поведению и результатам. На наличие такого свойства может влиять значительное количество технических и смысловых факторов.
Приведем пример, который пояснит это свойство. Реквизиты получателя онлайн-платежа, куда зачисляются денежные средства, должны быть достоверными, то есть соответствовать реквизитам, которые видит на своем экране плательщик, совершающий операцию.
Схематически все свойства и состояния информации и средств её обработки, необходимые для обеспечения информационной безопасности, изображены в Схеме.
Схема
Все свойства и состояния информации и средств её обработки, необходимые для обеспечения информационной безопасности
В определении информационной безопасности, которое изложено в ГОСТ Р ИСО/МЭК 13335-1-2006 (мы упоминали его в разделе статьи «Определение информационной безопасности по ГОСТ»), зафиксировано три процесса: определение, достижение и поддержание (свойств и состояний информации и средств ее обработки). Исходя из этого, можно составить общее представление о том, что нужно делать, чтобы обеспечить информационную безопасность, например, в организации.
Перечень действий по обеспечению информационной безопасности в организации
Для реализации приведенного выше перечня действий используются различные методы и средства обеспечения информационной безопасности, а также их комбинации, которые могут быть реализованы в конкретном классе программных продуктов – DLP. Сегодня в России одной из лучших DLP-систем является Falcongaze SecureTower. Она представлена на рынке отечественного ПО уже 18 лет, разрабатывается передовыми специалистами и аналитиками с учетом всей специфики и условий ведения бизнеса на территории СНГ, а также предъявляет минимальные требования, необходимые для внедрения