- •Введение
- •Понятие и сущность зи
- •2. Цели и задачи зи
- •Заключение
- •Закон рф от 21 июля 1993 г. N 5485-I "о государственной тайне" (с изменениями и дополнениями)
- •11 Закон рф от 21 июля 1993 г. N 5485-I "о государственной тайне" (с изменениями и дополнениями)
- •12 Федеральный закон Российской Федерации от 29 июля 2004 г. N 98-фз
2. Цели и задачи зи
ЗИ не может быть бесцельной, безрезультативной и осуществляться без помощи определенных средств. Поэтому функциональной направленностью защиты должна являться деятельность людей (деятельность включает в себя цели, задачи и т.д.).
В учебном пособии «Информационная безопасность: нормативно-правовые аспекты» дается такое определение: «Цель защиты информации – желаемый результат защиты информации»9.
Дестабилизирующее воздействие – это воздействие, приводящее к нарушению установленного статуса информации. В научной литературе и нормативных документах не сформировался термин «форма проявления уязвимости информации», однако конкретных самих форм проявляется множество; при этом часть называемых форм являются синонимами или разновидностями одних и тех же явлений.
Некоторые из этих форм не являются формами проявления уязвимости информации, а представляют собой способы несанкционированного доступа к информации; отдельные не имеют отношения не к тому, не к другому, либо составляют виды уязвимости информации. Формой проявления уязвимости информации должно быть то, что является не процессом, способом дестабилизирующего процесса, а результатом его. При таком подходе существует 6 форм проявления уязвимости информации:
хищение
потеря
несанкционированное уничтожение (разрушение)
искажение (изменение, модификация, подделка, фальсификация, порча, нарушение физической целостности)
блокирование (блокировка)
разглашение (раскрытие, распространение)
Характеристики форм
Хищение – умышленное изъятие, очень распространенная форма, имеет отношение и к носителям информации, и к самой информации.
Хищение может быть только преднамеренным и реализовываться в результате воздействия лиц как имеющих доступ к информации, так и не имеющих такового. Хищение может иметь свои цели: передачу информации сопернику (конкуренту), либо нанесение вреда собственнику или пользователю информации. Хищение является не только наиболее распространенной, но и наиболее опасной формой проявления уязвимости информации, т.к. может привести к обоим видам уязвимости.
Потеря – нечасто встречающаяся, но опасная форма проявления уязвимости информации, поскольку как и хищение может привести и к утрате и к утечке информации. Потеря имеет отношение только к носителям информации, может быть только непреднамеренной и реализовываться лишь в результате воздействия лиц, работающих с носителями информации; хотя эта форма реализуется в результате непреднамеренных действий, она наносит ущерб собственнику.
Несанкционированное уничтожение – довольно распространенная форма, имеет отношение и к носителям информации, и к самой информации, т.к. может быть уничтожен либо носитель с текстом, либо только текст. Уничтожение может быть как преднамеренным, так и непреднамеренным; может реализовываться в результате воздействия лиц, имеющих и не имеющих доступа к информации, а также сбоев в ЭВМ. Преднамеренное уничтожение имеет свои цели: нанесение вреда собственнику или пользователю информации; непреднамеренное – такой цели не имеет, но приводит к тем же результатам.
Искажение – замена действительной информации ложной, неправильной информацией. Модификация – видоизменение состава информации путем изменения в чем-либо отдельных ее частей.
Искажение имеет особенно существенное значение для информации обрабатываемой ЭВМ; может быть как преднамеренным так и непреднамеренным. Имеет отношение и к самой информации, может реализовываться как в результате воздействия лиц, работающих с информацией, так и не имеющих доступ к информации. Преднамеренное искажение имеет свои цели – нанесение вреда собственнику, непреднамеренное – имеет тот же результат.
Отличие искажения от уничтожения состоит в том, что уничтожение имеет своей целью уничтожение всей имеющейся на носителе информации, а искажение предусматривает изменение только части.
Блокирование – закрытие доступа к информации представляет собой изоляцию информации или приведения в такое состояние средств ее обработки, которая препятствует выполнению операции с информацией. Эта своеобразная форма уязвимости информации, поскольку имеет отношение только к информации обрабатываемой ЭВМ и результатом ее является временная утрата информации (условная), т.к. информация есть, а к ней нет доступа. Блокирование имеет отношение и к самой информации и к ее носителям; может быть и преднамеренной, и непреднамеренной, а реализовываться в результате воздействия лиц, имеющих и не имеющих доступ к информации, а также сбоев в работе ЭВМ. Преднамеренное блокирование имеет цель: нанесение ущерба пользователю информации, непреднамеренное – приводит к тем же результатам.
Разглашение – несанкционированное доведение защищаемой информации до потребителей, не имеющих права доступа к ней.
Довольно распространенная форма, имеет отношение только к самой информации, может быть как преднамеренным, так и непреднамеренным и реализовываться только лицами, имеющими доступ к информации. Преднамеренное разглашение имеет свои цели: либо передача информации сопернику, либо нанесение ущерба ее собственнику.
Эти 6 форм проявления уязвимости информации могут привести либо к утрате, либо к утечке информации.
ЗИ имеет двухуровневые цели:
непосредственные (конкретные)
опосредованные (общие)
Непосредственной (конкретной) целью ЗИ является обеспечение безопасности информации поскольку именно на это направлена деятельность по ЗИ. Общей целью ЗИ является обеспечение информационной безопасности.
В законе «о безопасности» 10 безопасность вообще определяется как «состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз.
Информационная безопасность является одной из составляющих национальной безопасности и поэтому имеет те же объекты приложения (личность, общество, государство); однако жизненно важные интересы субъектов названных с одной стороны – не идентичны и об этом свидетельствует наличие разных видов тайн, с другой стороны – не беспредельны наши интересы – они должны быть ограничены какими-то рамками, поэтому названную общую цель обеспечения информационной безопасности следует разделить на цели применительно к каждому субъекту информационных отношений.
В сфере защиты информации государственные интересы сформулированы в законе «о государственной тайны» 11 : это сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб государству.
Исходя из этого, применительно к интересам государства, целью ЗИ является обеспечение информационной безопасности государства в перечисленных областях его деятельности. К жизненно важным интересам общества закон «о безопасности» относит его материальные и духовные ценности, т.е. ценности вещественные (физические) и ценности относящиеся к умственной деятельности. Это то, что принято называть национальным природным богатством, представляющим собой совокупность ценностей, созданных и накопленных обществом за все время его деятельности. Эти ценности создаются отдельными личностями или коллективами людей, которые в совокупности и составляют общество.
В сфере ЗИ интересы общества составляют сведения неправомерное обращение с которыми может нанести экономический или моральный ущерб его субъектам. Таким образом, применительно к интересам общества, целью ЗИ является обеспечение информационной безопасности общества в области его экономической и духовной деятельности.
Правовой основой для этого должны быть закон о коммерческой тайне12, патентный закон, закон об авторском праве. К жизненно важным интересам личности тот же закон «о безопасности» относит ее (личности) конституционные права и свободы. В сфере ЗИ интересы личности сводятся к защите от разглашения личной тайны и персональных данных, имеющихся в информационных системах, т.е. информации относящейся к частной жизни граждан. Поэтому применительно к интересам личности, целью ЗИ должно быть обеспечение информационной безопасности личности в сфере ее частной жизни. Частично это регулируется законом «об информации, информатизации и защите информации», но для полного правового обеспечения информационной безопасности личности должны быть приняты закон о профессиональной тайне и закон или законы о личной тайне и информации о гражданах (персональные данные).
Таким образом, непосредственной целью ЗИ является обеспечение безопасности информации, а общей конечной целью – обеспечение информационной безопасности государства, общества и личности в области их жизненно важных интересов. Значение ЗИ определяется ее местом не только в системе информационной безопасности, но и в системе национальной безопасности.
По закону о безопасности жизненно важные интересы – это совокупность потребностей, удовлетворение которых надежно обеспечивает существование и возможности прогрессивного развития личности, общества и государства.
В ЗИ заинтересованы и государство, и общество в целом и отдельная личность; хотя цели ЗИ для этих субъектов различны, они в конечном итоге дополняют друг друга: каждый из субъектов объективно заинтересован в ЗИ других субъектов, поскольку от безопасности одного субъекта зависит безопасность других. И это закономерно, учитывая, что государство – есть политическая организация общества, представленная различными органами власти и управления для обеспечения интересов личности и общества, поэтому личность и общество заинтересованы в сильном безопасном государстве, тем более что их государственная структура формируется их усилиями.
Прямая связь существует между личностью и обществом, т.к. общество – есть совокупность отдельных личностей. Поэтому, естественно, что в различных сферах деятельности интересы всех субъектов должны или совпадать, или дополнять друг друга. С учетом этого значение ЗИ следует рассматривать с привязкой не к субъектам, а к областям (сферам) деятельности независимо от того ко всем или к одному субъекту относятся эти сферы деятельности.
При этом значение ЗИ целесообразно определять через призму последствий, которые наступают (происходят) при ЗИ или при ее отсутствии.
1. В области внешней политики обеспечивает свои внешне - политические интересы, т. е. иметь преимущества над другими государствами. Достигаются с помощью секретно - сепаратных договоров о военно-политическом сотрудничестве. Защита информации повышает политический уровень такого государства и его международный авторитет. Защита информации может давать и отрицательный результат: если предоставить очень большой объем закрытой информации, во внешней политике это может привести к осложнению в области международной политики.
2. В военной области защита информации позволяет сохранить в тайне от потенциального противника сведения о составе военной техники, ее количестве, тактики, технических данных о разработке новых систем оружия и военной технике, об организации обороны подготовке на случай войны. С другой стороны чрезмерная закрытость информации о вооружении вызывает сомнения других государств, приводит к гонке вооружений. Неоправданный объем защищенной информации в этой области сокращает возможность использования научно-технических достижений в гражданских областях экономики.
3. В экономической сфере деятельности защита информации дает возможность иметь высокие доходы, сохранять приоритет, заключать выгодные контракты, добиваться преимущества над конкурентами, избегать экономического ущерба. Излишняя засекреченность в экономике снижает доверие к ее отраслям или предприятиям со стороны потенциальных партнеров и потребителей продукции, тормозит инвестиции и подрывает престиж предприятия.
4. В социальной сфере - в политических, экономических, правовых и других областях, определяющих общественную и частную жизнь человека защита информации направлена на улучшения морального и материального благосостояния человека.