I. Информационная безопасность.
1) Вопросами информационной безопасности озаботились в Доктрине информационной безопасности, утвержденной Указом Президента от 9 сентября 2000 №ПР-1895.
Информационная безопасность РФ – это состояние защищенности ее национальных интересов в информационной сфере, определяющаяся совокупностью сбалансированных интересов личности, общества и государства.
Основной дефект определения в том, что безопасность определяется через защищенность.
2)Концепция сотрудничества государств стран СНГ в сфере информационной безопасности. Утверждена Решением Совета Глав Государств в 2010 г.
В ст. 2 данной концепции информационная безопасность – это состояние защищенности от внешних и внутренних угроз информационной сферы, развиваемой и используемой с учетом жизненно важных интересов личности, общества и государства.
Здесь также безопасность определяется через защищенность.
3) ГОСТ ИСО/МЭК 17799-2005 «Информационная технология. Практические правила управления информационной безопасностью». Утвержден Приказом агентства по техрегулированию и метрологии от 29 декабря 2005 №447. Это – основной документ. Готовая политика информационной безопасности. Это – основной документ.
В п. 2.1 Стандарта есть понятие информационной безопасности.
Информационная безопасность – это такое состояние информационных ресурсов, при котором обеспечиваются защита конфиденциальности, защита целостности и защита доступности.
Конфиденциальность – это обеспечение доступа к информации только авторизованным пользователям.
Целостность – это обеспечение достоверности и полноты информации, а также методов ее обработки.
Доступность – это обеспечение доступа к информации и связанным с ней активам в любой момент по мере необходимости, если пользователь надлежащим образом авторизован.
Разъяснение 3-х вышеозначенных терминов:
1. Конфиденциальность: доступ к информации имеет только тот человек, которому обладатель информации предоставил соответствующие полномочия.
2. Целостность: достоверность и полнота, т.е. информация находится в том виде, в котором ее создал обладатель информационных ресурсов.
3. Доступ: лицо, которое имеет допуск к документам, может реализовать свое право в тот момент, когда ему это надо.
4) Рекомендация по стандартизации этого же агентства от 6 апреля 2005 г.:
1. Конфиденциальность – это такое состояние информации, когда доступ к ней имеют только субъекты, имеющие на это право.
2. Целостность – это состояние информации, при котором ее изменение осуществляется только преднамеренно и только теми субъектами, которые имеют на это право.
3.Доступность – это состояние информации, при котором субъекты с правом доступа могут реализовать его беспрепятственно.
5) Стандарт ИСО/МЭК 13335-1-2006 «Информационная технология. Методы и средства обеспечения безопасности». Утвержден Приказом того же агентства от 19 декабря 2006 №317-СТ. Особенности:
1. Все критерии, связанные с информационной безопасностью, распространяются не только на информацию, но и на средства их обработки.
2. Конфиденциальность – это свойство информации быть недоступной и закрытой для неавторизованного субъекта.
3. Целостность – это свойство сохранения правильности и полноты.
4. Доступность – это свойство объекта находиться в таком состоянии, в котором уполномоченный субъект может в любой момент запросить ее и использовать.
Есть иные дополнительные критерии определения информационной безопасности в этом критерии:
1. Неотказуемость – это способность удостоверять имевшее место действие и событие так, чтобы эти события и действия не могли быть позже отвергнуты.
2. Подотчетность – это возможность отслеживать любые действия подотчетного субъекта.
3. Аутентичность – это свойство, гарантирующее, что субъект или информация идентичны заявленным, т.е. обладают именно такими свойствами, которые им предписывает владелец.
2 отличия Стандарта:
1. Распространение критериев безопасности на средства обработки информации и на информацию.
2. Добавление такого фактора, как возможность отслеживать действия всех субъектов и возможность устанавливать связь между действиями всех субъектов и изменениями в информации.
Это приводит к отождествлению понятий «средство обработки информации» (носитель информации) и «информация». Это неверно, так как уничтожение носителя не всегда влечет уничтожение информации.
Информационная безопасность (итоговое понятие) – это такое состояние информационных ресурсов субъектов, при котором только лица, уполномоченные самим субъектом, могут осуществлять доступ к ней, и этот доступ является беспрепятственным, при этом в ходе доступа могут быть осуществлены только те полномочия в отношении информационного ресурса, которые были предоставлены его обладателям.