Всем ясно, что информация имеет огромное значение в современном государстве. Вопросами информационной безопасности озаботились и на национальном уровне.
Признаком проявления этой озабоченности является Доктрина информационной безопасности, утвержденная Указом Президента РФ от 9 сентября 2000 года №ПР-1895. Это большой и в какой то мере бестолковый документ, но там дано понятие информационной безопасности. В соответствии с данным документом информационная безопасность РФ характеризуется как состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства.
Это определение имеет некие дефекты. Самый основной заключается в том, что понятие безопасность определяют через понятие защищенность, а что такое защищенность в доктрине не сказано. Аналогичный подход усматривается в другом программном документе по информационной безопасности - в Концепции сотрудничества государств стран СНГ в сфере обеспечения информационной безопасности. Этот документ имеет большее значение, чем доктрина, так как это международный документ.
Концепция была утверждена решением конгресса глав государств в Бишкеке 10 октября 2008 года. В ст. Концепции 2 информационная безопасность характеризуется как состояние защищенности от внешних и внутренних угроз информационной сферы, развиваемой и используемой с учетом жизненно-важных интересов личности, обществ и государства.
Родство этих определений видно на лицо. Видимо, Доктрина была взята за основу при разработке концепции. И вместе с этим определением был привнесен недостаток (определение безопасности через защищенность)
Чтобы понять, что такое безопасность, нужно обратиться к документу более низкого уровня - ГОСТ ИСО/МЭК 17799-2005. Это очень важный документ "Информационная технология, практические правила управления информационной безопасностью". Он утвержден приказом ФА по Техническому регулированию и метеорологии от 29 декабря 2005 №447 (этот документ надо запомнить, потому что это готовая политика информационной безопасности).
В п 2.1 этого ГОСТа закреплено понятие информационной безопасности, которая описывается как такое состояние информационных ресурсов, при котором обеспечивается:
- защита конфиденциальности;
- защита целостности;
- защита доступности.
Под ними в стандарте понимается:
- Конфиденциальность - обеспечение доступа к информации только авторизованным пользователям. По сути, это когда доступ к информации имеет только тот человек, которому обладатель информации предоставил соответствующие полномочия (например, определенные категории доступа к государственной тайне).
- Целостность - обеспечение достоверности и полноты информации, а также методов ее обработки. По сути, это достоверность и полнота, то есть информация находится в том виде, в котором ее создал обладатель информационных ресурсов.
- Доступность - обеспечение доступа к информации и связанным с ней активам в любой момент по мере необходимости, если пользователь надлежащим образом авторизован. Те есть лицо может реализовать свое право на доступ к информации в тот момент, когда ему это надо - в любой момент в любое время.
Это определение можно признать стержневым, и другие документы, принятые по данному вопросу, ему следуют. Как пример можно привести Рекомендацию по стандартизации, которая утверждена Приказом ФА по Техническому регулированию от 6 апреля 2005 года №77-ст. Там тоже информационная безопасность определяется через эти три понятия:
- Конфиденциальность - такое состояние информации, при котором доступ к ней имеют только те субъекты, у которых есть на это специальное право;
- Целостность – такое состояние информации, при котором ее изменение осуществляется только преднамеренно и только теми субъектами, которые имеют на это право [тут несколько расшифровывается понятие доступ – это так же право модификации];
- Доступность - такое состояние информации, при котором субъекты с правом доступа могут реализовать его без препятствий.
То есть общая идея выдерживается.
Некоторые отступления в сторону есть в ГОСТ ИСО/МЭК 13335-1-2006 "Информационная технология, методы и средства обеспечения безопасности" (он несколько выбивается из общего ряда). Утвержден Приказом ФА по техническому регулированию от 19 декабря 2006 №317-ст.