заинтересованность субъектов обеспечения информационной безопасности.
1. Субъекты и объекты информационной системы с точки зрения защиты ее безопасности
Субъект в сфере защиты информации - активный компонент в информационной системе, который может стать причиной формирования потока информации от объекта к субъекту или изменение состояния системы.
В информационной системе участвует следующие субъекты:
производители информации (как отдельных и исходных информационных объектов, так и составных объектов);
обладатели (держатели) информации как своего рода посредники между производителями информации и потребителями информации;
потребители информации как конечные получатели информации и потенциальные будущие производители информации.
Собственники информационных объектов (информационных вещей) или информационные собственники могут быть трех видов:
собственник информационного объекта - производитель информации, отображенной в этом информационном объекте. Это производитель информации, обладающий всеми информационными правомочиями, и одновременно собственник оригинала информационного объекта, на котором содержится созданная им информация. Информационные правомочия и право собственности на оригинал информационного объекта он приобретает по факту создания информации на основании конституционного права свободного творчества;
собственник (или владелец) информационного объекта - обладатель (держатель) информации, отображенной в этом информационном объекте. Это субъект, обладающий определенным объемом информационных правомочий в соответствии с условиями договора, заключенного им с производителем информации на тиражирование и распространение информации с учетом удовлетворения имущественных прав производителя информации. Одновременно в соответствии с условиями этого же договора он является собственником либо оригинала произведения (при передаче ему всех информационных правомочий), либо учтенной копии информационного объекта (при передаче части таких правомочий);
собственник информационного объекта - потребитель информации, отображенной на этом объекте. Это субъект, обладающий информационными правомочиями в объеме права знать и применять в личной деятельности содержание информации, отображенной в приобретенном им информационном объекте, на условиях договора купли-продажи, в том числе и договора оферты. Ему запрещаются тиражирование и распространение информации в коммерческих целях или другим способом, нарушающие имущественные права производителя информации. Все перечисленные выше собственники могут в полной мере осуществлять правомочия вещного собственника, т.е. продать, дарить, наследовать и осуществлять другие аналогичные действия. Однако при этом должны жестко выполняться условия договора на переданные ему информационные правомочия, устанавливающие право использования содержания информации, отображенной на этом объекте. Получатель информационного объекта также не имеет права нарушить указанные информационные правомочия.
Следует отметить, что информационные объекты, находящиеся в собственности указанных выше субъектов, не всегда одни и те же вещи, т.е. это не всегда один и тот же носитель информации. При взаимодействии производителя и обладателя информации это может быть физически один и тот же объект (например, когда речь идет об оригинале произведения). Однако в собственности потребителей информации находятся информационные объекты как вещи принципиально разные. А «объединяются» они в рамках рассмотренных информационных правомочий только через содержание информации, отображенной на этих носителях.
Объект в сфере защиты информации - это пассивный компонент информационной системы, который хранит, принимает или обрабатывает информацию. Доступ к объекту означает доступ к информации содержащейся в нем.
В качестве объекта рассматривают информацию и информационные ресурсы, носители информации, процессы обработки информации.
Носителями информации могут быть как технические средства, так и физические объекты.
К объектам информационной безопасности относятся:
информация персонального характера (персональные данные) - зафиксированная на материальном носителе информация о конкретном человеке, в частности посредством ссылки на идентификационный номер или на один или несколько факторов, специфичных для его физической, психологической, ментальной, экономической, культурной или социальной идентичности;
перечень персональных данных - список категорий данных об одном субъекте, собираемых держателем (обладателем) массива персональных данных;
массив персональных данных - упорядоченная и организованная совокупность персональных данных неопределенного числа субъектов персональных данных.
Вводятся следующие понятия:
режим конфиденциальности персональных данных- нормативно установленные правила, определяющие ограничения доступа, передачи и условия хранения персональных данных;
сбор персональных данных - документально оформленная процедура получения на законных основаниях персональных данных держателем (обладателем) массива персональных данных от субъектов этих данных либо из других источников в соответствии с действующим законодательством;
согласие субъекта персональных данных - свободно данное конкретное и сознательное указание о своей воле, в том числе письменно подтвержденное, которым субъект данных оповещает о своем согласии на проведение работы с его персональными данными;
передача персональных данных - предоставление персональных данных их держателем (обладателем) третьим лицам в соответствии с федеральным законодательством и международными договорами;
трансграничная передача персональных данных - передача персональных данных их держателем (обладателем) другим держателям, находящимся под юрисдикцией других государств;
актуализация персональных данных - внесение изменений в персональные данные в порядке, установленном действующим законодательством;
блокирование персональных данных - временное прекращение передачи, уточнения, использования и уничтожения персональных данных;
уничтожение (стирание или разрушение) персональных данных - действия держателя (обладателя) персональных данных по приведению этих данных в состояние, не позволяющее восстановить их содержание;
обезличивание персональных данных - изъятие из персональных данных той их части, которая позволяет отождествить их с конкретным человеком.
. Взаимодействие субъектов и объектов в сфере защиты информации
информация безопасность защита
Классификация субъектов и объектов информационной безопасности, а также применяемых на предприятии средств работы с информацией - один из важнейших этапов построения комплексной системы безопасности. От корректности и тщательности ее проведения зависит то, насколько адекватно меры безопасности будут отражать специфику бизнес-процесса, и то, насколько удачно будут распределены материальные вложения в систему информационной безопасности.
Для понимания материала, изложенного в данной работе, необходимо разделить понятие информационной системы на объекты, субъекты и средства работы с информацией. В первой части эти термины были уже определены, но для избежание путаницы повторим и уточним определения.
Объектом будем называть информацию создаваемую, хранимую, обрабатываемую, отправляемую или принимаемую.
Субъектом будет выступать любой пользователь системы, ориентированный как на производственные или иные задачи, так и на поддержку самой системы (администратор).
Средство работы с информацией - это набор аппаратного и программного обеспечения, с помощью которого производится работа в системе, т.е. субъекты воздействуют на объекты.
Таким образом задача сводится к классификации:
объектов - по степени их важности для предприятия;
средств работы с информацией - их способности поддерживать предопределенный уровень информационной безопасности;
субъектов - по степени их допуска к работе с тем или иным объектом (или на том или ином средстве работы с информацией).
В идеальном варианте, когда классификация полностью проведена, остается только привести в соответствие три составляющих - объект данной категории обрабатывается только средством соответствующей категории надежности субъектом соответствующей категории доступа. Если не найдено средство или субъект соответствующего уровня - нужно сделать обновление или докупить средства и произвести обучение или прием на работу новых пользователей.
Любой доверенный и квалифицированный пользователь, не знакомый с возможностью и принципами социальной инженерии, представляет собой угрозу.
Классификация субъектов будет подробно освещена в ниже, а в данной коснемся вопроса классификации объектов и средств работы с ними. Кроме того следует учесть, что хотя в качестве объекта классификации и выделена информация как таковая, иногда бывает необходимо классифицировать и иные ресурсы, которые могут рассматриваться как объект защиты, например, место, выделенное для хранения на жестком диске, или процессорное время. Однако, на наш взгляд, разобравшись в принципах классификации информации, можно при необходимости произвести аналогичную классификацию любых других ресурсов.
Теперь рассмотрим классификацию объектов, в данном случае информации. Широко используемая во времена бумажных документов классификация - секретная, для служебного пользования (ДСП) и открытая - перекочевала и в век электронной информации. Однако, на наш взгляд, данная классификация не является исчерпывающей и может с натяжкой охватывать в разрезе информационной безопасности только аспект конфиденциальности.
В статье "служба информационной безопасности", посвященной общим понятиям информационной безопасности, были рассмотрены основные факторы, на которых основывается информационная безопасность.
Соответственно, ценность или важность любого информационного объекта необходимо рассматривать именно с такой точки зрения, так как градации "секретный - конфиденциальный - открытый" или "очень важный - важный - неважный" представляются достаточно бедными для точного определения значения объекта.
Для того чтобы до конца понять эти различия, приведем пример, как главный объект предприятия, который раньше можно было классифицировать как важный или секретный, теперь размещается в разных классификационных категориях.
Пример 1. Государственное учреждение закрытого типа, аналогичное министерству обороны или службе разведки. Для таких учреждений обычно на первом месте стоит понятие конфиденциальности, поэтому скорее будет допущена возможность повреждения или уничтожения информации, чем ее разглашение.
Пример 2. Банк. Если в качестве объекта выступает, например, значение суммы финансовых средств на счету клиента (остаток), то главная задача банка - обеспечить невозможность ее несанкционированного изменения (целостность). При этом в экстраординарных ситуациях можно пойти на временное отсутствие доступа к счету или разглашение данных.
Пример 3. Поставщик интернет-услуг (бесплатный почтовый сервер). Обычно для такого учреждения очень важно обеспечить возможность постоянного доступа пользователей к сервису (скорость интернета пользователей так же важна). Конфиденциальность и целостность остаются также важными, но не всегда первостепенными требованиями.
Примерная модель классификации.
Таким образом можно предложить следующую модель для классификации информационных объектов. Для удобства дальнейших ссылок на класс категории рекомендуем сразу ввести буквенно-цифровое обозначение (в приведенном примере литера "Д" означает "доступность", "Ц" - "целостность"* "К" - "конфиденциальность", цифры возрастают с убыванием значимости критерия).
По наличию (доступность)
Критическая - без нее работа субъекта останавливается (ДО).
Очень важная - без нее можно работать, но очень короткое время (Д1).
Важная - без нее можно работать некоторое время, но рано или поздно она понадобится (Д2).
Полезная - без нее можно работать, но ее использование экономит ресурсы (ДЗ).
Несущественная - устаревшая или неиспользуемая, не влияющая на работу субъекта (Д4).
Вредная - ее наличие требует обработки, а обработка ведет к расходу ресурсов, не давая результатов либо принося ущерб (Д5).
(В определенных организациях может понадобиться и такой параметр.)
По несанкционированной модификации (целостность)
Критическая - ее несанкционированное изменение приведет к неправильной работе всего субъекта или значительной его части; последствия модификации необратимы (ЦО).
Очень важная - ее несанкционированное изменение приведет к неправильной работе субъекта через некоторое время, если не будут предприняты некоторые действия; последствия модификации необратимы (Ц1).
Важная - ее несанкционированное изменение приведет к неправильной работе части субъекта через некоторое время, если не будут предприняты некоторые действия; последствия модификации обратимы (Ц2).
Значимая - ее несанкционированное изменение скажется через некоторое время, но не приведет к сбою в работе субъекта; последствия модификации обратимы (ЦЗ).
Незначимая - ее несанкционированное изменение не скажется на работе системы (Ц4).
Аналогичным образом вместо понятия "несанкционированного изменения" можно рассмотреть понятие "санкционированное изменение, которое не было произведено вовремя".
По разглашению (конфиденциальность)
Критическая - разглашение информации приведет к краху работы субъекта или к очень значительным материальным потерям (КО).
Очень важная - разглашение приведет к значительным материальным потерям, если не будут предприняты некоторые действия (К1).
Важная - разглашение приведет к некоторым материальным (может быть, косвенным) или моральным потерям, если не будут предприняты некоторые действия (К2).
Значимая - приносит скорее моральный ущерб, может быть использована только в определенных ситуациях (КЗ).
Малозначимая - может принести моральный ущерб в очень редких случаях (К4).
Незначимая - не влияет на работу субъекта (К5).
Для более сложных способов работы с объектами можно дополнительно ввести понятие важности по неотрекаемости и понятие важности по учету, которые упоминались в статье "служба информационной безопасности". Проанализировав общую схему классификации информационных объектов, несложно распространить ее и на другие понятия.
Каждая из указанных выше категорий информации имеет свой жизненный цикл, по истечении периодов которого степень важности объекта, как правило, снижается.
Жизненный цикл обычно можно обозначить следующими стадиями.
Информация используется в операционном режиме, т. е. принимает участие в производственном цикле и бывает востребована практически постоянно.
Информация используется в архивном режиме, т. е. не принимает непосредственного участия в производственном цикле, но периодически требуется для аналитической или другой деятельности.
Информация хранится в архивном режиме для обеспечения соответствия требованиям сохранения (например, вышестоящей организации), практически не нужна самому предприятию.
3. Заинтересованность субъектов обеспечения информационной безопасности
Будучи заинтересованным в обеспечении хотя бы одного из вышеназванных свойств и возможностей, субъект информационных отношений является уязвимым, то есть потенциально подверженным нанесению ему ущерба(прямого или косвенного, морального или материального) посредством воздействия на критичную для него информацию, её носители и процессы её обработки либо посредством неправомерного использования такой информации.
Поэтому все субъекты информационных отношений в той или иной степени (в зависимости от размеров ущерба, который им может быть нанесён) заинтересованы в обеспечении своей информационной безопасности. Об этом же самом, только другими словами, сказано в первой части стандарта ГОСТ Р ИСО/МЭК 15408-2008 «Информационная технология <#"justify">·доступность информации - такое свойство системы (средств и технологий обработки, инфраструктуры, в которой циркулирует информация), которое характеризует способность обеспечивать своевременный доступ субъектов к интересующей их информации и соответствующим автоматизированным службам всегда, когда в обращении к ним возникает необходимость (готовность к обслуживанию поступающих от субъектов запросов);
·целостность информации- такое свойство информации, которое заключается в ее существовании в неискаженном виде (неизменном по отношению к некоторому фиксированному ее состоянию). Точнее говоря, субъектов интересует обеспечение более широкого свойства - достоверности информации, которое складывается из адекватности (полноты и точности) отображения состояния предметной области и непосредственно целостности информации, то есть ее не искаженности. Однако, мы ограничимся только рассмотрением вопросов обеспечения целостности информации, так как вопросы адекватности отображения выходят далеко за рамки проблемы безопасности ИТ;
·конфиденциальность информации- такую субъективно определяемую (приписываемую собственником) характеристику (свойство) информации, которая указывает на необходимость введения ограничений на круг <#"justify">Поскольку в нашем случае (речь об информационной безопасности) ущерб субъектам информационных отношений может быть нанесён только опосредованно, через определённую информацию и её носители, то закономерно возникает заинтересованность субъектов в защите этой информации, её носителей, процессов и систем её обработки.
Отсюда следует, что в качестве объектов, подлежащих защите с целью обеспечения безопасности субъектов информационных отношений, должны рассматриваться: информация, любые её носители (отдельные компоненты и автоматизированной системе (АС) в целом) и процессы её обработки (передачи).
Вместе с тем, говоря о защите АС, всегда следует помнить, что уязвимыми, в конечном счёте, являются именно заинтересованные в обеспечении определённых свойств информации и систем её обработки субъекты (информация, равно как и средства её обработки, не имеют своих интересов, которые можно было бы ущемить). Поэтому, под безопасностью АС или циркулирующей в ней информации, всегда следует понимать косвенное обеспечение безопасности соответствующих субъектов, участвующих в процессах автоматизированного информационного взаимодействия.
Термин «безопасность информации» нужно понимать как защищённость информации от нежелательного для соответствующих субъектов информационных отношений её разглашения (нарушения конфиденциальности), искажения или утраты (нарушения целостности, фальсификации) или снижения степени доступности (блокирования) информации, а также незаконного её тиражирования (неправомерного использования).
Поскольку субъектам информационных отношений ущерб может быть нанесён также посредством воздействия на процессы и средства обработки критичной для них информации, то становится очевидным необходимость обеспечения защиты системы обработки и передачи данной информации от несанкционированного вмешательства в процесс её функционирования, а также от попыток хищения, незаконной модификации и/или разрушения любых компонентов данной системы.
Под «безопасностью автоматизированной системы» (системы обработки информации, компьютерной системы) следует понимать защищённость всех её компонентов (технических средств, программного обеспечения, данных, пользователей и персонала) от разного рода нежелательных для соответствующих субъектов воздействий.
Надо отметить, что пользователи и персонал системы также являются заинтересованными в обеспечении безопасности субъектами (внутренними).
Безопасность любого компонента (ресурса) АС складывается из обеспечения трёх его свойств: конфиденциальности, целостности и доступности.
Конфиденциальность компонента (ресурса) АС заключается в том, что он доступен только тем субъектам (пользователям, программам, процессам), которым предоставлены на то соответствующие полномочия.
Целостность компонента (ресурса) АС предполагает, что он может быть модифицирован только субъектом, имеющим для этого соответствующие права. Целостность является одним из условий корректности (неизменности, работоспособности) компонента в любой момент времени.
Доступность компонента (ресурса) АС означает, что имеющий соответствующие полномочия субъект может без особых проблем получить своевременный доступ к необходимому компоненту системы.
Кроме того, для защиты субъектов от пиратства и разграничения их ответственности необходимо обеспечивать следующие свойства информационной инфраструктуры:
Øнеотказуемость субъектов от выполненных критичных действий;
Øзащиту от неправомерного тиражирования открытой информации.
Так же необходимо различать понятия «информационная безопасность» и «безопасность информации», которые до недавнего времени воспринимались как синонимы. Под информационной безопасностью понимается защищённость общества и личности от деструктивного информационного воздействия (пропаганды, агрессивной рекламы, низкопробных видов искусства и т.п.), а под безопасностью информации понимается состояние защищённости информации от угроз.
Под системой защиты информации в ИС понимается единый комплекс правовых норм, организационных мер, технических, программных и крипто- графических средств, обеспечивающий защищенность информации в ИС в соответствии с принятой политикой безопасности.
Правильный подход к проблемам информационной безопасности начинается с выявления субъектов информационных отношений и интересов этих субъектов, связанных с использованием информационных систем (ИС). Из этого положения можно вывести два важных следствия:
. Трактовка понятия «информационная безопасность», для разных категорий субъектов может существенно различаться. Для иллюстрации достаточно сопоставить режимные государственные организации и учебные институты. В первом случае «пусть лучше все сломается, чем враг узнает хоть один секретный бит», во втором - «да нет у нас никаких секретов, лишь бы все работало».
Зачем надо защищаться? Ответов на этот вопрос может быть множество, в зависимости от структуры и целей предприятия. Для одних первой задачей является предотвращение утечки информации (маркетинговых планов, перспективных разработок и т.д.) конкурентам. Другие могут пренебречь конфиденциальностью своей информации и сосредоточить внимание на ее целостности. Например, для банка важно в первую очередь обеспечить неизменность обрабатываемых платежных поручений, чтобы злоумышленник не смог несанкционированно дописать в платежку еще один нолик или изменить реквизиты получателя. Для третьих на первое место поднимается задача обеспечения доступности и безотказной работы информационных систем. Для провайдера Internet-услуг, компании, имеющей Web-сервер, или оператора связи первейшей задачей является именно обеспечение безотказной работы всех (или наиболее важных) узлов своей информационной системы. Расставить такого рода приоритеты можно только по результатам анализа деятельности предприятия.
. Информационная безопасность не сводится исключительно к защите от несанкционированного доступа к информации, это принципиально более широкое понятие. Субъект информационных отношений может пострадать (понести убытки и/или получить моральный ущерб) не только от несанкционированного доступа, но и от поломки системы, вызвавшей перерыв в работе. Более того, для многих открытых организаций (например, учебных) собственно защита от несанкционированного доступа к информации стоит по важности отнюдь не на первом месте. Главное для них - это обеспечение непрерывности работы информационной системы. Согласно определению информационной безопасности, она зависит не только от компьютеров, но и от поддерживающей инфраструктуры, к которой можно отнести системы электро-, водо- и теплоснабжения, кондиционеры, средства коммуникаций и, конечно, обслуживающий персонал. Эта инфраструктура имеет самостоятельную ценность, но нас будет интересовать лишь то, как она влияет на выполнение информационной системой предписанных ей функций.
Обратим внимание, что в определении ИБ перед существительным «ущерб» стоит прилагательное «неприемлемый». Очевидно, застраховаться от всех видов ущерба невозможно, тем более невозможно сделать это экономически целесообразным способом, когда стоимость защитных средств и мероприятий не превышает размер ожидаемого ущерба. Значит, с чем-то приходится мириться и защищаться следует только от того, с чем смириться никак нельзя. Иногда таким недопустимым ущербом является нанесение вреда здоровью людей или состоянию окружающей среды, но чаще порог неприемлемости имеет материальное (денежное) выражение, а целью защиты информации становится уменьшение размеров ущерба до допустимых значений.
Информационная безопасность - многогранная, можно даже сказать, многомерная область деятельности, в которой успех может принести только систематический, комплексный подход. Спектр интересов субъектов, связанных с использованием информационных систем, можно разделить на следующие категории: обеспечение доступности, целостности и
конфиденциальности информационных ресурсов и поддерживающей инфраструктуры.
Заключение
Информация - это ресурс. Потеря конфиденциальной информации приносит моральный или материальный ущерб.
Условия, способствующие неправомерному овладению конфиденциальной информацией, сводятся к ее разглашению, утечке и несанкционированному доступу к ее источникам.
В современных условиях безопасность информационных ресурсов может быть обеспечена только комплексной системной защиты информации.
Эффективность взаимодействия субъекта и объекта в сфере защиты информационной безопасности в значительной степени зависит от того, насколько адекватно они понимают друг друга.
В данной работе были рассмотрены понятия "субъект в сфере защиты информации", "объект в сфере защиты информации" и мы можем с уверенностью сказать, что субъект, полностью знающий структуру информационно системы и понимающий ее упорядоченную систему, обеспечивает защиту информационной безопасности, кроме случаев естественной угрозы.
Список использованной литературы
.Галатенко, В.А. Основы информационной безопасности. Интернет-университет информационных технологий − ИНТУИТ.ру, 2008;
.Галатенко, В.А. Стандарты информационной безопасности. Интернет-университет информационных технологий − ИНТУИТ.ру, 2009;
.Гафнер, В.В. Информационная безопасность: Учебное пособие / В.В. Гафнер. - Рн/Д: Феникс, 2010.
.Громов, Ю.Ю. Информационная безопасность и защита информации: Учебное пособие / Ю.Ю. Громов, В.О. Драчев, О.Г. Иванова. - Ст. Оскол: ТНТ, 2010.
.Ефимова, Л.Л. Информационная безопасность детей. Российский и зарубежный опыт: Монография / Л.Л. Ефимова, С.А. Кочерга. - М.: ЮНИТИ-ДАНА, 2013.
.Лопатин, В.Н. Информационная безопасность России: Человек, общество, государство. Серия: Безопасность человека и общества. М.: 2013;
.Партыка, Т.Л. Информационная безопасность: Учебное пособие / Т.Л. Партыка, И.И. Попов. - М.: Форум, 2012.
.Петров, С.В. Информационная безопасность: Учебное пособие / С.В. Петров, И.П. Слинькова, В.В. Гафнер. - М.: АРТА, 2012.
.Семененко, В.А. Информационная безопасность: Учебное пособие / В.А. Семененко. - М.: МГИУ, 2010.
.Указ Президента РФ «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена» от 17.03.2008 №351;
.Шаньгин, В.Ф. Информационная безопасность компьютерных систем и сетей: Учебное пособие / В.Ф. Шаньгин. - М.: ИД ФОРУМ, НИЦ ИНФРА-М, 2013.
.Шаньгин, В.Ф. Защита компьютерной информации. Эффективные методы и средства. − М.: ДМК Пресс, 2008.
.Щербаков, А.Ю. Современная компьютерная безопасность. Теоретические основы. Практические аспекты. − М.: Книжный мир, 2009.
.Ярочкин, В.И. Информационная безопасность: Учебник для вузов / В.И. Ярочкин. - М.: Акад. Проект, 2008.