Информационная безопасность
«Информационная безопасность» - очень широкое понятие, однако, в российском законодательстве, его чёткое юридическое определение отсутствует. Чтобы выбрать наиболее рациональное предлагается рассмотреть несколько различных вариантов:
состояние защищенности информационной среды общества, обеспечивающее её формирование, использование и развитие в интересах граждан, организаций и государства [49];
механизм защиты, обеспечивающий конфиденциальность, целостность, доступность, где конфиденциальность означает доступ к информации только авторизованных пользователей, целостность - достоверность и полноту информации и методов её обработки, доступность - доступ к информации и связанным с ней активам авторизованных пользователей по мере необходимости [10];
состояние защищенности информационных ресурсов, технологий их формирования и использования, а также прав субъектов информационной деятельности [62].
состояние защищенности национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства [12].
Нам представляется целесообразным расширить данную версию определения ввиду того, что абсолютно обезопаситься нельзя, можно только создать условия к минимизации ущерба в случае реализации угрозы.
С позиции целей настоящей диссертации понятие «информационная безопасность» следует изложить как состояние объекта защиты, при котором, реализация в отношении него угроз внешнего и внутреннего характера будет сведена к минимуму, либо ущерб от реализации которых будет минимален [44].
Из дефиниции «информационная безопасность» напрямую вытекает его составляющая «безопасность информации», которая, по мнению Фатьянова А.А.
[37], состоит из двух составляющих:безопасности содержательной части (смысла) информации - как отсутствия в ней побуждений человека к негативным действиям, умышленно заложенных механизмов негативного воздействия на человеческую психику или негативного воздействия на иной блок информации;
f
и самой «защиты информации» - как защищенности информации от внешних воздействий (попыток неправомерного копирования, распространения, модификации (изменения смысла), либо'уничтожения.
Таким образом, продолжает автор, «...выстраивается ряд из трех научных категорий: информационная безопасность, безопасность информации и защита информации», при этом «...каждая последующая категория является составной частью предыдущей» [37].
В некотором смысле аналогичной позиции придерживается Нестеров А.В.
[28]. Указанный автор задаётся вопросом о том, можно ли в принципе защищать нематериальную информацию? Автор отвечает на поставленный во- ¦ прос отрицательно, в связи с тем, что он разделяет понятия «данные», «информация» и «знания», поэтому, на взгляд автора, под «защитой информации» надо понимать защиту данных, то есть деятельность, направленную на предотвращение нарушения целостности, сохранности и подлинности защищаемых данных, а также непосредственно саму защиту как объект, включающий в себя средства и способы защиты, и, наконец, создание таких условий для защищаемых данных, при которых гарантированно обеспечивается целостность, сохранность и подлинность данных.При этом автор обращает наше внимание на целостность защиты данных, которые важнее целостности данных, так как нарушение целостности защиты данных еще не является нарушением целостности информации, содержащейся в данных, или конфиденциальности. Например, если к двум субъектам попада- / ет конверт с данными (шифрами и кодами счетов в банке), то один из них может просто не понять, о чем эта информация, а другой может тут же пойти и нелегально снять деньги. В целом же, продолжает автор, защита представляет собой свойство, характеризующее способность объекта препятствовать нанесению ущерба или уменьшать его уровень. В связи с этим ЗИ (данных) является одним из элементов системы безопасности информации.
В нормативных правовых актах понятие «защита информации» включает в себя организационные, правовые, технические и технологические меры по предотвращению угроз ИБ и устранению их последствий [29], а также деятельность, направленную на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию [9] и комплекс мероприятий, проводимых с целью предотвращения утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), несанкционированного копирования, блокирования информации и т.п.
Из понятия «защита информации» напрямую вытекает термин «техническая защита информации», как одна из мер, согласно [60], направленная на «обеспечение защиты (некриптографическими методами) информации, содержащей сведения, составляющие государственную тайну, иной информации с ограниченным доступом, предотвращения ее утечки по техническим каналам, несанкционированного доступа к ней, специальных воздействий на информацию (носители информации) в целях ее добывания, уничтожения, искажения и блокирования доступа к ней на территории РФ».
По смыслу ст.
9 [63] под «информацией ограниченного доступа» следует понимать сведения, доступ к которым устанавливается федеральными законами в целях защиты основ конституционного строя, нравственности, здоро- вья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства. Под «защищенностью информации» понимается интегральный показатель, характеризующий качество информации с точки зрения целостности (обеспечение защиты от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также иных неправомерных действий в отношении такой инфор- / мации); конфиденциальности; доступности.В диссертации под угрозой «защищенности информации» мы понимаем потенциально возможное событие, процесс или явление, которое посредством воздействия на компоненты ИТ и С может прямо или косвенно привести к нанесению ущерба владельцам информационных ресурсов или пользователям таких технологий и систем.
При этом из содержания понятия «защищенность информации» вытекают задачи обеспечения защиты информации в системах и средствах информатизации и связи органов власти субъектов РФ, то есть защите подлежат, в том числе: информационные ресурсы, представленные в виде носителей на магнитной и оптической основе, информативных физических полей, информационных массивов и баз данных; средства и системы информатизации (средства вычислительной техники, информационно-вычислительные комплексы, сети и системы), программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение), автоматизированные системы управления, системы связи и передачи данных, технические средства приема, передачи и обработки информации (звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки графической, смысловой и буквенно-цифровой информации).
По мнению Северина В.А. [50], информация как правовая категория не может существовать вне материального носителя, поэтому объектом правового
регулирования могут быть только информационные ресурсы, информационные системы, технологии и средства их обеспечения, а не информация как таковая.
Подводя итоги, подчеркнём, что изученный базисный понятийный аппарат в рассматриваемой области общественных отношений должен нам помочь в дальнейшем диссертационном исследовании, где анализируются как правовые, организационные, так и технические меры обеспечения безопасности информации.
Терминология, рассмотренная выше, будет использоваться (прямо или косвенно) применительно к ИТ и С (в частности Интернет), повсеместно используемым органами власти субъектов РФ на уровне региона.«Обеспечение информационной безопасности» становится деятельностью по созданию условий, при которых нанесения вреда зависящим от информации свойствам или составляющим объекта защиты затруднено (невыгодно источнику угроз), либо ущерб, от реализации которого будет минимален [44].
Структура термина «обеспечение информационной безопасности», по мнению Стрельцова А.А. [55], характеризуется объектом ИБ, угрозами безопасности этого объекта, субъектами обеспечения ИБ, деятельностью данных субъектов и используемыми ими средствами.
В нашем случае объектом ИБ являются национальные интересы РФ в ин-. формационной сфере и, в частности их региональный аспект. Данная информационная сфера образуется совокупностью общественных отношений, связанных с информацией и информационной инфраструктурой как объектами интересов личности, общества и государства.
Стрельцов А.А. полагает, что национальные интересы в информационной сфере «...определяются, прежде всего, той ролью, которую играет информация, информационная инфраструктура в обеспечении устойчивого развития нации в конкретных исторических условиях», развивая свою мысль, он же отмечает, что эти интересы образуются «...сбалансированной совокупностью социальных интересов индивида как личности, интересов общества и государства, реализуемых в информационной сфере, включая их интересы в использовании информационной сферы для сохранения национальной идентичности».
Кирьянов А.Ю. в [22], высказал мнение, что национальная безопасность «...определяется способностью нации длительно сохранять такие свои состояния, при которых обеспечивается как а) удовлетворение потребностей, необходимых для ее самосохранения и самосовершенствования, так и б) минимальный риск ущерба не только народам, образующим нацию сейчас и в будущем, но и базовым ценностям ее нынешнего и последующих поколений», а под риском автор подразумевает «меру опасности, одновременно указывающей и на возможность причинения ущерба объекту национальной безопасности, и на величину этого ущерба».
Национальные интересы в информационной сфере субъекта РФ образу- ' ются сбалансированной совокупностью интересов личности, общества и государства [31], [23].
Интересы личности, реализуемые в информационной сфере субъекта РФ, заключаются в реализации конституционных прав и свобод человека и гражданина на производство, поиск, получение, передачу, сбор и распространение информации, свободу средств массовой информации, мнений и слова, а также на тайну телефонных, телеграфных и иных сообщений, защиту доброго имени и деловой репутация, неприкосновенность частной жизни, личную и семейную тайну, на использование информации в интересах осуществления не запрещенной законом деятельности, физического, духовного и интеллектуального развития, защиту от противоправного сбора и использования персональных данных (подробно о персональных данных, см. Главу 5 [51] и [64]).Интересы общества, реализуемые в информационной сфере субъекта РФ, заключаются в развитии, сохранности и эффективном использовании, включая хозяйственное, открытых информационных ресурсов субъекта РФ и обеспечении доступа к ним физических и юридических лиц, создании и обеспечении устойчивого функционирования на основе единой сети связи РФ информационных, телекоммуникационных систем и сетей связи, создающих условия для реализации прав и свобод человека и гражданина в информационной сфере субъекта РФ, повышения эффективности экономического развития проживающих на его территории социальных групп.
Практика показала, что реализацию и защиту вышеперечисленных интересов органы власти субъектов РФ без активного использования ИТ и С выполнить не смогут. Анализ таких технологий и систем представлен в следующем разделе.