Во-первых, все критерии распространяются не только на саму информацию, но и на средства обработки (принципиальный момент).
Интересный подход к раскрытию ключевых понятий:
- Конфиденциальность - свойство информации быть недоступной и закрытой для неавторизованного субъекта (подходят к ней с другого конца);
- Целостность - свойство сохранения правильности и полноты;
- Доступность - свойство объекта находиться в таком состоянии, в котором уполномоченный субъект может в любой момент запросить и использовать.
В этом стандарте также предусмотрены другие критерии определения понятия информационной безопасности:
- Неотказуемость (скорее всего механический перевод слова с английского) - способность удостоверять имевшее место действие или событие так, чтобы эти события и действия не могли быть позже отвергнуты (идет в паре с подотчётностью)
- Подотчетность – свойство, позволяющее однозначно прослеживать действия любого субъекта использования информации
то есть любые действия субъекта должны быть как-то отслежены и закреплены так, чтобы субъект не мог потом отказаться от этих действий);
- Аутентичность - свойство, гарантирующее, что субъект или информация идентичны заявленным, то есть обладают именно такими свойствами, которые им приписывает владелец (идет в паре с достоверностью и означает, что информация обладает теми свойствами, о которых заявляет владелец информации)
- Достоверность (идет в паре с аутентичностью).
Возвращаясь к основным отличиям, которых два:
Во вторых, добавление такого фактора безопасности, как возможность отслеживать действия всех субъектов в отношении информационных ресурсов и однозначно устанавливать связь между действиями эти субъектов и любыми изменениями в информации (дополнительный фактор информационной безопасности, который заслуживает внимания).
Если этот фактор естественно обоснован, то распространение критериев на средства обработки – это перебор. Эта ошибка вытекает из отождествления информации с ее материальным носителем. Информация не совсем материальна и не имеет неразрывной связи с носителем, если мы его уничтожаем, это далеко не всегда приводит к уничтожению информации.
Исходя из этого на основании анализа имеющихся НА информационную безопасность можно описать как такое состояние информационных ресурсов субъекта, при котором только лица, уполномоченные самим субъектом, могут осуществлять доступ к ней, и этот доступ является беспрепятственным. При этом в ходе доступа могут быть осуществлены только те полномочия в отношении информационного ресурса, которые были предоставлены его обладателем (например доступ read only).
Информационная безопасность предполагает, что для всех остальных субъектов информация остается недоступной.