Помощничек
Главная | Обратная связь


Археология
Архитектура
Астрономия
Аудит
Биология
Ботаника
Бухгалтерский учёт
Войное дело
Генетика
География
Геология
Дизайн
Искусство
История
Кино
Кулинария
Культура
Литература
Математика
Медицина
Металлургия
Мифология
Музыка
Психология
Религия
Спорт
Строительство
Техника
Транспорт
Туризм
Усадьба
Физика
Фотография
Химия
Экология
Электричество
Электроника
Энергетика

Понятие и сущность информационной безопасности



Концептуальные и научно-методологические основы информационной безопасности еще только начинают разрабатываться. Поэтому уточнение терминологии, научно обоснованная структуризация проблемы информационной безопасности, классификация жизненно важных интересов в сфере информационной безопасности и источников информационных угроз, показатели, критерии и нормативы информационной безопасности, а также другие характеристики и свойства информационной безопасности как объекта исследования – должны быть предметами дальнейших разработок.

Первоочередной задачей при создании теории информационной безопасности следует считать формирование понятийного аппарата в виде системы понятий, среди которых базовым является информационная опасность, информационная угроза и информационная безопасность.

В определениях, используемых в настоящее время многими специалистами в области информационной безопасности, безопасность рассматривается как одна из сторон защищенности. Такой подход применяется, например, в доктрине информационной безопасности:… «информационная безопасности определяется как состояние защищенности жизненно важных интересов граждан, общества и государства в информационной сфере».

Ключевыми словами в данном определении являются: информационная безопасность, защищенность, интересы, информационная сфера. При этом безопасность рассматривают как один из видов защищенности, а именно: защищенность жизненно важных интересов граждан, общества и государства в информационной сфере.

Но безопасность не всегда обеспечивается только защитой. Она может быть достигнута также соответствующими правилами поведения и взаимодействия объектов, высокой профессиональной подготовкой персонала, безопасностью работы техники, надежностью всех видов обеспечения функционирования объектов информационной безопасности и т.д.

Безопасность интересов не всегда влечет безопасность субъектов – владельцев этих интересов.

Словосочетание "информационная безопасность" в разных контекстах может иметь различный смысл. В Доктрине информационной безопасности Российской Федерации термин "информационная безопасность" используется в широком смысле. Имеется в виду состояние защищенности национальных интересов в информационной сфере, определяемых совокупностью сбалансированных интересов личности, общества и государства.

Под информационной безопасностью мы будем понимать защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры. (Чуть дальше мы поясним, что следует понимать под поддерживающей инфраструктурой.)

Защита информации – это комплекс мероприятий, направленных на обеспечение информационной безопасности.

Таким образом, правильный с методологической точки зрения подход к проблемам информационной безопасности начинается с выявления субъектов информационных отношений и интересов этих субъектов, связанных с использованием информационных систем (ИС). Угрозы информационной безопасности – это оборотная сторона использования информационных технологий.

Из этого положения можно вывести два важных следствия:

· Трактовка проблем, связанных с информационной безопасностью, для разных категорий субъектов может существенно различаться. Для иллюстрации достаточно сопоставить режимные государственные организации и учебные институты. В первом случае "пусть лучше все сломается, чем враг узнает хоть один секретный бит", во втором - "да нет у нас никаких секретов, лишь бы все работало".

· Информационная безопасность не сводится исключительно к защите от несанкционированного доступа к информации, это принципиально более широкое понятие. Субъект информационных отношений может пострадать (понести убытки и/или получить моральный ущерб) не только от несанкционированного доступа, но и от поломки системы, вызвавшей перерыв в работе. Более того, для многих открытых организаций (например, учебных) собственно защита от несанкционированного доступа к информации стоит по важности отнюдь не на первом месте.

Возвращаясь к вопросам терминологии, отметим, что термин "компьютерная безопасность" (как эквивалент или заменитель ИБ) представляется нам слишком узким. Компьютеры - только одна из составляющих информационных систем, и хотя наше внимание будет сосредоточено в первую очередь на информации, которая хранится, обрабатывается и передается с помощью компьютеров, ее безопасность определяется всей совокупностью составляющих и, в первую очередь, самым слабым звеном, которым в подавляющем большинстве случаев оказывается человек (записавший, например, свой пароль на "горчичнике", прилепленном к монитору).

Согласно определению информационной безопасности, она зависит не только от компьютеров, но и от поддерживающей инфраструктуры, к которой можно отнести системы электро-, водо- и теплоснабжения, кондиционеры, средства коммуникаций и, конечно, обслуживающий персонал. Эта инфраструктура имеет самостоятельную ценность, но нас будет интересовать лишь то, как она влияет на выполнение информационной системой предписанных ей функций.

Обратим внимание, что в определении ИБ перед существительным "ущерб" стоит прилагательное "неприемлемый". Очевидно, застраховаться от всех видов ущерба невозможно, тем более невозможно сделать это экономически целесообразным способом, когда стоимость защитных средств и мероприятий не превышает размер ожидаемого ущерба. Значит, с чем-то приходится мириться и защищаться следует только от того, с чем смириться никак нельзя. Иногда таким недопустимым ущербом является нанесение вреда здоровью людей или состоянию окружающей среды, но чаще порог неприемлемости имеет материальное (денежное) выражение, а целью защиты информации становится уменьшение размеров ущерба до допустимых значений.

Доктрина информационной безопасности в значительной степени является политическим документом. Поэтому определения в ней носят лозунговый характер.

Как показывает анализ, приведенная в доктрине формулировка информационной безопасности в значительной мере сужает определяемую этим понятием сферу и, следовательно, не позволяет выявить все проблемы, связанные с обеспечением информационной безопасности.

Обращение к толковым словарям русского языка позволяет дать следующее определение указанным понятиям.

Опасность

· состояние окружающей среды или объекта, в котором существует возможность причинить объекту существенный ущерб или вред;

· свойство объекта, характеризующее его способность наносить ущерб или вред другим объектам.

Безопасность:

· состояние объекта, в котором ему не может быть нанесено существенного ущерба или вреда;

· свойство объекта, характеризующее его (объекта) способность не причинять другим объектам существенный вред или ущерб.

Угроза:

· намерение нанести (причинить) объекту существенный ущерб;

· опасность, реализация которой становится весьма вероятной;

· фактор или совокупность факторов, создающих опасность объекту.

Рассматриваемые определения позволяют более корректно сформулировать базовые понятия теории информационной безопасности.

Определение первое.Информационная опасность- это:

· состояние окружающей среды или объекта, в котором существует возможность причинить объекту существенный ущерб или вред путем оказания воздействия на информационную сферу объекта;

· свойство объекта, характеризующее его способность наносить ущерб какому-либо объекту путем оказания воздействия на информационную. Сферу этого объекта.

Опасные информационные воздействия бывают разных видов. Один из них связан с истреблением ценной информации, что снижает эффективность собственной деятельности, либо повышает эффективность деятельности противника (конкурента). Информационную безопасность от воздействий этого вида осуществляют органы цензуры, служба обеспечения секретности контрразведка и др. Если же информация выводится из технологических систем, то речь идет о технической разведке или шпионаже.

Другой вид информационных опасностей связан с внедрением, вводом информации, что может не только привести к опасным ошибкам в деятельности субъекта, но и заставить действовать во вред, даже подвести к самоубийству человека, поражению армии, катастрофе в обществе. Информационную безопасность этого вида обеспечивают специальные структуры информационной борьбы. Они нейтрализуют акции дезинформации, пресекают манипулирование общественным мнением противодействуют радиоэлектронной борьбе, ликвидируют последствия компьютерных атак и др.

Системно - деятельностный подход предполагает выделить три блока проблем обеспечения безопасности в инфосфере. Первый – это гуманитарные проблемы, связанные с развитием духовной сферы общества, соблюдением конституционных прав граждан в области информационной деятельности, с формированием и использованием информационных ресурсов. Второй - включает вопросы, связанны с информатизацией, с развитием и формированием единого (или общего) информационного пространства страны (региона), с включением его в мировое информационное поле. Третий - охватывает вопросы, связанные с обеспечением безопасности функционеров. Решения упомянутых выше проблем ставит на повестку дня вопрос определения объектов и субъектов, средств и принципов обеспечения безопасного информационного развития, источников у и направленности опасных информационных потоков

Определение второе. Информационная безопасность определяется способностью государства, общества, личности:

· обеспечивать с определенной вероятностью достаточные и защищенные информационные ресурсы и информационные потоки для поддержания своей жизнедеятельности и жизнеспособности, устойчивого функционирования и развития;

· противостоять информационным опасностям и угрозам, негативным информационным воздействиям на индивидуальное и общественное сознание и психику людей, а также на компьютерные сети и другие технические источники информации;

· вырабатывать личностные и групповые навыки и умения безопасного поведения;

· поддерживать постоянную готовность к адекватным мерам в информационном противоборстве, кем бы оно ни было навязано.

Определение второе. Информационная безопасность – это:

· состояние объекта, когда ему путем воздействия на его информационную сферу не может быть нанесен существенный ущерб или вред;

· свойство объекта, характеризующее его способность не наносить существенного ущерба какому-либо объекту путем оказания воздействия на информационную сферу этого объекта;

· состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства.

Из тех приведенных определений мы с вами выберем и запомнить третье, так как оно более подходит к пониманию изучаемой вами дисциплины и применяется во всех учебно-методических пособиях, разработанных профессорско-преподавательским составом МАКБ.

Понятие информационной безопасности — связано с угрозой интересам личности, общества и государства, возникающей от:

· воздействия информации на общество, на безопасность государства;

· воздействия на саму информацию;

· нарушения информационных прав и свобод личности.

При этом информационное законодательство выступает как правовое обеспечение информационной безопасности, а концепция информационной безопасности — как основа, методическое руководство для конструирования информационного законодательства.

Информационная безопасность - такое состояние рассмат­риваемой системы, при котором она, с одной стороны, способна противостоять дестабилизирующему воздействию внешних и внут­ренних информационных угроз, а с другой - ее функционирование не создает информационных угроз для элементов самой системы и внешней среды.

Именно такое понятие информационной безопасности положе­но в основу Доктрины информационной безопасности и законода­тельства в сфере обеспечения информационной безопасности Российской Федерации (дословно - «Информационная безопасность - это состояние защищенности жизненно-важных интересов личности, общества и государства в информационной сфере от внутренних и внешних угроз»).

Приведенное определение представляется достаточно полным и вполне корректным. Однако, для того, чтобы служить более кон­кретным ориентиром в направлении поиска путей решения проблем информационной безопасности, оно нуждается в уточнении и дета­лизации его основополагающих понятий. При этом отправной точкой может служить тот факт, что информация как непременный компо­нент любой организованной системы, с одной стороны, легко уязви­ма (т. е. весьма доступна для дестабилизирующего воздействия большого числа разноплановых угроз), а с другой сама может быть источником большого числа разноплановых угроз как для элементов самой системы, так и для внешней среды.

Отсюда естественным образом вытекает, что обеспечение информационной безопасности в общей постановке проблемы может быть достигнуто лишь при взаимоувязанном решении трех составляющих проблем:

1. Первая - защита находящейся в системе информации от деста­билизирующего воздействия внешних и внутренних угроз инфор­мации.

2. Вторая - защита элементов системы от дестабилизирующего воздействия внешних и внутренних информационных угроз.

Третья - защита внешней среды от информационных угроз со стороны рассматриваемой системы.

В соответствии с изложенным общая схема обеспечения ин­формационной безопасности может быть представлена так, как показано на рис..1.

 

Рис. 1. Общая схема обеспечения информационной безопасности.

 

Естественно, что проблемы информационной безопасности яв­ляются производными относительно более общих проблем ин­форматизации. Поэтому содержание проблем информационной безопасности должно формироваться в строгом соответствии с содержанием проблем информатизации, а концептуальные подхо­ды к их решению должны взаимоувязываться с концепциями информатизации.

Понимая под безопасностью состояние защищенности жизненно важных интересов личности, предприятия, государства от внутренних и внешних угроз, можно выделить и компоненты безопасности – такие как:

1. Персонал.

2. Материальные и финансовые средства.

3. Информацию.

Суть информационной безопасности состоит:

1. В проведении правовых, организационных и технических мероприятий.

2. В использовании информационных технологий, инфраструктуры и информационных ресурсов.

3. В защите информации и прав субъектов, участвующих в информационной деятельности.

Из этого положения можно вывести два важных следствия:

1. Трактовка проблем, связанных с информационной безопасностью, для разных категорий субъектов может существенно различаться. Для иллюстрации достаточно сопоставить режимные государственные организации и учебные институты. В первом случае "пусть лучше все сломается, чем враг узнает хоть один секретный бит", во втором – "да нет у нас никаких секретов, лишь бы все работало".

2. Информационная безопасность не сводится исключительно к защите от несанкционированного доступа к информации, это принципиально более широкое понятие. Субъект информационных отношений может пострадать (понести убытки и/или получить моральный ущерб) не только от несанкционированного доступа, но и от поломки системы, вызвавшей перерыв в работе. Более того, для многих открытых организаций (например, учебных) собственно защита от несанкционированного доступа к информации стоит по важности отнюдь не на первом месте.

Возвращаясь к вопросам терминологии, отметим, что термин "компьютерная безопасность" (как эквивалент или заменитель ИБ) представляется нам слишком узким. Компьютеры – только одна из составляющих информационных систем, и хотя наше внимание будет сосредоточено в первую очередь на информации, которая хранится, обрабатывается и передается с помощью компьютеров, ее безопасность определяется всей совокупностью составляющих и, в первую очередь, самым слабым звеном, которым в подавляющем большинстве случаев оказывается человек (записавший, например, свой пароль на "горчичнике", прилепленном к монитору).

Согласно определению информационной безопасности, она зависит не только от компьютеров, но и от поддерживающей инфраструктуры, к которой можно отнести системы электро-, водо- и теплоснабжения, кондиционеры, средства коммуникаций и, конечно, обслуживающий персонал. Эта инфраструктура имеет самостоятельную ценность, но нас будет интересовать лишь то, как она влияет на выполнение информационной системой предписанных ей функций.

Обратим внимание, что в определении ИБ перед существительным "ущерб" стоит прилагательное "неприемлемый". Очевидно, застраховаться от всех видов ущерба невозможно, тем более невозможно сделать это экономически целесообразным способом, когда стоимость защитных средств и мероприятий не превышает размер ожидаемого ущерба. Значит, с чем-то приходится мириться и защищаться следует только от того, с чем смириться никак нельзя. Иногда таким недопустимым ущербом является нанесение вреда здоровью людей или состоянию окружающей среды, но чаще порог неприемлемости имеет материальное (денежное) выражение, а целью защиты информации становится уменьшение размеров ущерба до допустимых значений

Анализируя определение информационной безопасности мы встречаем такие понятия как внутренние и внешние угрозы, информационная безопасность личности, государства и общества и т.д. Итак.

Определение третье.Информационная угрозаэто угроза объекту путем оказания воздействия на его информационную сферу, т.е.:

· намерение нанести (причинить) объекту ущерб путем оказания воздействия на его информационную сферу;

· информационная опасность, реализация которой становится весьма вероятной;

· фактор или совокупность факторов, создающих информационную опасность объекту (поведение объектов, природные явления и т.д.)

Определение четвертое.Информационная безопасность РФ это состояние страны, в которой гражданам, объединениям и общественным группам граждан, обществу и государству не может быть нанесен существенный ущерб путем оказания воздействия на информационную сферу страны.

Определение пятое.Информационная безопасность личности – это состояние человека, в котором его личности не может быть нанесено существенного ущерба путем оказания воздействия на окружающее человека информационное пространство.

Определение шестое.Информационная безопасность общества это состояние общества, в котором ему не может быть нанесен существенный ущерб путем воздействия на информационную сферу общества.

Определение седьмое.Информационная безопасность государстваэто состояние государства, в котором ему не может быть нанесен существенный ущерб путем оказания воздействия на информационную сферу государства.

Определение восьмое. Информационная война - действия, принимаемые для достижения информационного превосходства в интересах национальной военной стратегии, осуществляемые путем влияния на информацию и информационные системы противника при одновременной защите собственной информации своих информационных систем. На следующем рисунке представлены направления и цели защиты информации и их взаимосвязь.

Информационное оружие представляет собой совокупность средств, методов и технологий, обеспечивающих возможность силового воздействия на информационную сферу противника с целью разрушения его информационной инфраструктуры, систем управления государством, снижения его обороноспособности.

Определение девятое. Информационный терроризмэто особая форма насилия, представляющая собой сознательное и целенаправленное информационное воздействие или угрозу применения такого воздействия для принуждения правительства к реализации политических, экономических, религиозных и иных целей террористической организацией или отдельными террористами, сопровождаемое эмоциональным воздействием на общество для возбуждения в нем страха, панических настроений, потери доверия к власти и создание политической нестабильности.

В информационном пространстве с позиции информационной безопасности наиболее типовыми являются две следующие опасности:

1-я – контроль (извлечение) информационных ресурсов государства, т.е. фактически информационная разведка (шпионаж).

Информационное пространство было и остается сферой деятельности многочисленных разведывательных служб. Сегодня информационная разведка может быть реализована двумя путями: во –первых, несанкционированным проникновением в информационные и управленческие системы. Во-вторых, легальным путем, за счет активного участия зарубежных фирм в создании информационной структуры России. (Информационные ресурсы находятся под контролем зарубежных партнеров).

2-я опасность – угроза разрушения или дезорганизация информационных ресурсов элементов государственных структур.

В проблеме информационной безопасности особое место занимает безопасность компьютерных систем.

В настоящее время в теории и практике информационной безопасности уже начинают выкристаллизовываться два направления, которые можно определить как информационно-психологическая безопасность и защита информации.

Информационно-психологическая безопасность связана с защитой интересов личности, общества и через них государства при рассмотрении конституционных прав и свобод человека и гражданина и духовной жизни общества.

Защита информации связана с обеспечением безопасности информации.

Объектами опасного информационного воздействия и, следовательно информационной безопасности могут выступать сознание (индивидуальное и общественное), психика отдельных людей и их объединения, информационные системы различного масштаба и назначения.

Субъектами информационной безопасности следует, считать те органы и структуры, которые в той или иной мере занимаются ее обеспечением. На государственном уровне ими являются органы исполнительной, законодательной и судебной власти. В отдельных ведомствах созданы органы, специально занимающиеся информационной безопасностью. Применительно к нашим странам это структуры в Министерстве обороны, Министерстве внутренних дел, службе безопасности, Службе внешней разведки, органы по охране авторских прав и пр.

Организация информационной безопасности предполагает разработку определенных принципов ее обеспечения;

1. Принцип баланса интересов личности, общества и государства. Очевидно, что личность заинтересована в конфиденциальности информации об интимной жизни, доходах, социально значимых ошибках и т.д. Но общество заинтересовано в сведениях об антисоциальных проявлениях, коррупции, преступных доходах и т.д. Государственные органы вообще хотели бы знать все о гражданах.

2. Принцип законности и правой обеспеченности. Рост значимости информационной безопасности явно опережает развитие соответствующей сферы права, чем умело пользуются и политики, и просто мошенники. Средства массовой информации не несут практически никакой ответственности за ложную информацию, направленную на массы, а не против конкретного человека.

3. Принцип интеграции с международными системами безопасности информации. Выполнение этого канона настоятельно требует глобализация жизни на планете, развитие международных коммуникаций, медиатизация общества. Еще один принцип связан с экономической эффективностью. Здесь основное правило гласит, что результаты от мер информационной безопасности должны превышать совокупные затраты на них. Это часто не соблюдается, например, приводились данные о том, что в недавнее время меры по обеспечению секретности информации не только не окупались, но даже вредили прогрессу.

4. Принцип мобильности и недопущения неоправданных режимных ограничений.

5. Принцип презумпции несекретности информации, означающее что строгому нормированию подлежит конфиденциальность, а не гласность.

6. Принцип равной открытости и равной секретности информации в международных отношениях.

7. Принцип комплексности, системности.

 




Поиск по сайту:

©2015-2020 studopedya.ru Все права принадлежат авторам размещенных материалов.