Доктрина информационной безопасности, утв. Указом Президента от 9 сентября 2000 г. № ПР-1895.
В нем дано понятие информационной безопасности. Она характеризуется как состояние защищенности национальных интересов РФ в информационной сфере, определяющаяся совокупностью сбалансированных интересов личности, общества и государства.
Определение имеет некоторые дефекты. Понятие безопасность определяется через понятие защищенность, а вот что такое защищенность в доктрине не сказано.
Аналогичный подход усматривается в Концепции сотрудничества государств стран СНГ в сфере обеспечения информационной безопасности. Это документ международного права, поэтому имеет приоритет над Доктриной, утвержденной Указом Президента. Он был утвержден решением глав государств СНГ в Бишкеке 10 октября 2008 г. РФ ратифицировала документ.
В ст. 2 данной концепции информационная безопасность характеризуется как состояние защищенности от внешних и внутренних угроз информационной сферы, развиваемой и используемой с учетом жизненно важных интересов личности, общества и государства.
Родство определений просматривается на лицо. Те, кто писал Доктрину, взял определение из Концепции. В данном документе также безопасность определяется через защищенность.
У нас есть Стандарт ГОС ИСО/МЭК 17799-2005 «Информационная технология. Практические правила управления информационной безопасностью». Стандарт утверждён Приказом Федерального агентства по техническому регулированию и метрологии от 29 декабря 2005 г. № 447. Этот документ- это готовая политика информационной безопасности. Это типовая информационная политика безопасности предприятия.
В п.2.1 стандарта закреплено понятие информационной безопасности, которое описывается как такое состояние информационных ресурсов, при котором обеспечивается защита конфиденциальности, защита целостности, защита доступности.
Под конфиденциальностью понимается обеспечение доступа к информации только авторизованным пользователям. Конфиденциальность- это когда доступ к информации имеет только тот человек, которому обладатель информации предоставил полномочия. Например, есть определенные категория доступа к государственной тайне: информация с грифом «Совершенно секретно» открыта только определенному кругу людей. Например, лица, которые имеют доступ «секретно», не могут пользоваться информацией с грифом «совершенно секретно».
Целостность - это обеспечение достоверности и полноты информации, а также методов её обработки. Это достоверность и полнота. Она находится в том виде, в котором её создал обладатель информационных ресурсов.
Доступность - это обеспечение доступа к информации и связанным с ней активом в любой момент по мере необходимости, если пользователь надлежащим образом авторизован. Лицо, у которого есть допуск к работе с документами «Совершенно секретно» может реализовать свое право на доступ к такой информации в том момент, когда ему это надо.
Есть Рекомендации по стандартизации, утв. Федеральном агентством по техническому регулированию от 6 апреля 2005 г. № 77 СТ. Там информационная безопасность определяется через три ключевых понятия: конфиденциальности, целостности и доступности.
Конфиденциальность- такой доступ к информации, когда определённые лица имеют право на доступ к информации.
Целостность- это состояние информации, при котором изменение такой информации осуществляется только преднамеренно и только теми субъектами, которые имеют на это право.
Доступность- состояние информации, при котором субъекты с правом доступа могут реализовать её беспрепятственно.
Некоторые отступления в сторону есть в Стандарте ИСО/МЭК 13335-1-2006. Стандарт называется «Информационная технология. Методы и средства обеспечения безопасности». Стандарт утвержден Приказом Федерального агентства по техническому регулированию от 19 декабря 2006 г. № 317-СТ.
Все критерии, связанные с информационной безопасностью распространяются не только на саму информацию, но и на средства их обработки.
Конфиденциальность определяется как свойство информации быть недоступной и закрытой для неавторизованного субъекта.
Целостность - это свойство сохранения правильности и полноты.
Доступность - это свойство объекта находится в таком состоянии, в котором уполномоченный субъект может запросить её и использовать.
В данном стандарте предусмотрены другие критерии определения понятия информационной безопасности:
1) Неотказуемость - это механической перевод слова availability. Это способность удостоверять имевшее место действие или событие так, чтобы эти события или действия не могли быть позже отвергнуты;
2) Подотчётность - это свойство, позволяющее однозначно прослеживать действия любого субъекта использования информации. Т.е. любые действия субъекта должны быть как-то отслежены, и субъект не может отказаться от совершения этих действий;
3) Аутентичность - это свойство, гарантирующее, что субъект или информация идентично заявлены, т.е. обладают именно такими свойствами, которые им приписывает владелец. Например, если ресурс информации у нас слон, то он должен обладать всеми качествами слона: цвет, масса, хобот, вес.
4) Достоверность - информация обладает именно этими свойствами, которые заявляет владелец такой информации.
В этом стандарте факторы информации распространяются не только на информацию, но и на её средства обработки. Добавление такого фактора как возможность отслеживать действия всех субъектов в отношении всех информационных ресурсов и однозначно устанавливать связь между действиями этих субъектов и любыми изменениями информации.
Распространение критериев информации на средства её обработки- это перебор. Т.к. в данном случае информация отождествляется с её материальным носителем. Информация не совсем материальна, она не имеет неразрывной связи с носителем. Если мы носитель уничтожаем, то это далеко не всегда приводит к уничтожению информации.
Информационную безопасность можно описать как такое состояние информационных ресурсов субъекта, при котором только лица, уполномоченные самим субъектом могут осуществлять доступ к ней и этот доступ является беспрепятственным, при этом в ходе доступа могут быть осуществлены только те полномочия в отношении информационного ресурса, которые были предоставлены владельцем информации (например, предоставление документа в режиме read only). Идея в том, что для всех остальных субъектов информация становится недоступной.
Дополнительным критерием информационной безопасности является возможность субъекта в любой момент получить сведения о том, кто и когда осуществляет доступ к его информационным ресурсам, и какие действия при этом осуществляются.
Если какой-то из критериев нарушается, то информационная безопасность не обеспечена.