Страница: 3/6
Безопасность информационных технологий, 1999. ,№ 1 17
Специальный выпуск"
Утрата и утечка информации могут рассматриваться как виды уязвимости информации.
Суммируя соотношение форм и видов уязвимости защищаемой информации, можно констатировать:
1.Формы проявления уязвимости информации выражают результаты дестабилизирующего воздействия на информацию, а виды уязвимости - конечный суммарный итог реализации форм уязвимости.
2.Утрата информации включает в себя, по сравнению с утечкой, большее число форм проявления уязвимости информации, но она не поглощает утечку, т.к., во-первых, не все формы проявления уязвимости информации, которые приводят или могут привести к утечке, совпадают с формами, приводящими к утрате, во-вторых, если к утрате информации приводит хищение носителей, то к утечке может привести хищение и носителей, и отображенной в них информации при сохранности носителей.
3. Наиболее опасными формами проявления уязвимости конфиденциальной информации являются потеря, хищение и разглашение - первые две одновременно могут привести и к утрате, и к утечке информации, вторая (хищение информации при сохранности носителя) и третья могут не обнаружиться со всеми вытекающими из этого последствиями.
4. Неправомерно отождествлять виды и отдельные формы проявления уязвимости информации (утрата^потеря, утрата= хищение, утечка=разгла-шение (распространение), заменять формы проявления уязвимости информации способами дестабилизирующего воздействия на информацию, а также ставить в один ряд формы и виды уязвимости защищаемой информации, как это, в частности, сделано в законе "Об информации, информатизации и защитой нформации", где одной из целей защиты названо: предотвращение утечки, хищения, утраты, искажения, подделки информации.
Поскольку нарушение статуса информации выражается в различных формах проявления уязвимости информации, а все формы сводятся к двум видам уязвимости, содержательную часть понятия защита информации можно определить как предотвращение утраты и утечки конфиденциальной информации и утраты защищаемой открытой информации.
Вторая составляющая сущности защиты информации - способ реализации содержательной части - в толковых словарях, как уже отмечалось, представлена как процесс или как совокупность методов, средств и мероприятий.
Защита информации включает в себя определенный набор методов, средств и мероприятий, однако ограничивать способ реализации только этим было бы неверно. Защита информации должна быть системной, а в систему помимо методов, средств и мероприятий входят и другие компоненты: объекты защиты, органы защиты, пользователи информации. При этом защита не должна представлять собой нечто статичное, а являться непре
рывным процессом. Но этот процесс не осуществляется сам по себе, а происходит в результате деятельности людей. Деятельность же, по определению, включает в себя не только процесс, но и цели, средства и результат. Защита информации не может быть бесцельной, безрезультатной и осуществляться без помощи определенных средств. Поэтому именно деятельность и должна быть способом реализации содержательной части защиты.
Объединив содержательную часть защиты информации и способ реализации содержательнойча-сти, можно сформулировать следующее определение:
Защита информации - деятельность по предотвращению утраты и утечки конфиденциальной информации и утраты защищаемой открытой информации.
Учитывая, что определение должно быть лаконичным, а термин утрата и утечка защищаемой информации поглощаетвсе формы проявления уязвимости конфиденциальной и защищаемой части открытой информации, можно ограничиться более кратким определением при условии дифференцированного его преломления в практической работе: Защита информации - деятельность по предотвращению утраты и утечки защищаемой информации.
'" А теперь проанализируем определение этого понятия, содержащееся в ГОСТ Р50922-96 "Защита информации. Основные термины и определения", поскольку это определение официальное, имеющее в смысловом значении обязательный характер. Оно сформулировано так: Защита информации - деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.
Как видно, это определение совпадает с предложенным по способу реализации содержательной части защиты и по одной из ее составляющих -предотвращению утечки защищаемой информации. Однако определение утечки в ГОСТе дано другое - оно не сформулировано отдельно, а вмонтировано в определение термина Защита информации от утечки, которое звучит так: Защита информации от утечки: деятельность по предотвращению неконтролируемого распространения защищаемой информации от ее разглашения, несанкционированного доступа к защищаемойинформации и от получения защищаемой информации (иностранными} разведками. Из этого определения вытекает, что утечка информации - это неконтролируемое распространение защищаемой информации.
Реферат опубликован: 15/04/2006