Информация в настоящее время является движущим фактором развития общества. Наличие достоверной и актуальной информации позволяет управлять производственными и организационными процессами, влиять на социум. Все более важную роль в жизни общества играют различные информационные и коммуникационные технологии (ИКТ), информационные системы (ИС), базы данных (БД) и др. Их уязвимость обостряет необходимость наличия определенных знаний и навыков по защите информации, что при отсутствии знаний в данной области приведет к значительным потерям. Все вышеперечисленное повлияло на то, что информационная безопасность (ИБ) стала одной из главных проблем, с которой сталкивается современное общество, и ее значимость будет только увеличиваться по мере развития ИКТ и увеличения масштабов их внедрения.
Согласно Доктрине информационной безопасности РФ обеспечение информационной безопасности Российской Федерации является ключевым фактором в обеспечении национальной безопасности. При этом одним из ведущих направлений является совершенствование подготовки кадров и развитие образования в области информационной безопасности [7]. Существующая система образования в данной области ориентирована в основном на подготовку специалистов, чья профессиональная деятельность будет непосредственно связана с защитой информации. Для всех остальных категорий специалистов, чьи профессиональные или личные интересы будут в той или иной мере связаны с информацией и ИКТ, система обучения в области ИБ находится в стадии развития. Это усложняет решение вопросов обеспечения защиты информации, требующих компетентности каждого пользователя.
Из вышесказанного вытекает несоответствие значимости ИБ в современном информационном обществе и уровня изучения ее основ в процессе обучения специалистов, чья профессиональная деятельность не будет связана с защитой информации, но будет требовать наличия знаний в данной области.
В связи с вышеперечисленными и многими другими причинами в настоящее время существует необходимость введения дисциплины «Основы информационной безопасности» в программу обучения ИТ-специалистов и модернизация под требования современного информационного общества уже существующих учебных курсов данной дисциплины.
Разработка любого учебного курса должна начинаться с формулировки основных определений и постановки целей обучения. Одним из ключевых определений при изучении основ ИБ является собственно определение информационной безопасности, однако в настоящее время оно не имеет однозначной формулировки.
Например согласно ГОСТ Р 50922-2006, безопасность информации (данных) – это состояние защищенности информации (данных), при котором обеспечены её (их) конфиденциальность, доступность и целостность, а защита информации – это деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию [4].
В другом государственном стандарте – ГОСТ Р ИСО/МЭК 17799-2005 – информационная безопасность определяется как защита конфиденциальности, целостности и доступности информации, где конфиденциальность – это свойство информационных ресурсов, в том числе информации, связанное с тем, что они не станут доступными и не будут раскрыты для неуполномоченных лиц; целостность – это неизменность информации в процессе ее передачи или хранения; доступность – это свойство информационных ресурсов, в том числе информации, определяющее возможность их получения и использования по требованию уполномоченных лиц [5].
В стандарте ГОСТ Р ИСО/МЭК 13335-1-2006 дано следующее определение: информационная безопасность – это все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информации или средств её обработки [6].
В ГОСТ Р 50.1.053-2005 можно выделить несколько определений, связанные с защитой информации. Безопасность информации (данных) – это состояние защищенности информации (данных), при котором обеспечиваются ее (их) конфиденциальность, доступность и целостность. Она определяется отсутствием недопустимого риска, связанного с утечкой информации по техническим каналам, несанкционированными и непреднамеренными воздействиями на данные и (или) на другие ресурсы автоматизированной информационной системы, используемые при применении информационной технологии. Безопасность информации (при применении информационных технологий) – это состояние защищенности информационной технологии, обеспечивающее безопасность информации, для обработки которой она применяется, и информационную безопасность автоматизированной информационной системы, в которой она реализована. Безопасность автоматизированной информационной системы – это состояние защищенности автоматизированной информационной системы, при котором обеспечиваются конфиденциальность, доступность, целостность, подотчетность и подлинность ее ресурсов [3].
В Стандарте ЦБ РФ СТО БР ИББС-1.0-2010 дано следующее определение: информационная безопасность – безопасность, связанная с угрозами в информационной сфере. При этом защищенность достигается обеспечением совокупности свойств ИБ – доступности, целостности, конфиденциальности информационных активов. Приоритетность свойств ИБ определяется ценностью указанных активов для интересов (целей) организации банковской системы Российской Федерации [12].
Согласно Руководящему документу «Защита от несанкционированного доступа к информации. Термины и определения» безопасность информации – это состояние защищенности информации, обрабатываемой средствами вычислительной техники или автоматизированной системы, от внутренних или внешних угроз [11].
В Интернет-ресурсе «Энциклопедия информационной безопасности WikiSec.RU» понятие информационная безопасность разделяется по уровню применения: ИБ предприятия, личная ИБ, ИБ государства. Для каждого случая дается свое определение информационной безопасности. Информационная безопасность организации – состояние защищённости информационной среды организации, обеспечивающее её формирование, использование и развитие. Личная ИБ – защищенность человека от факторов опасности на уровне его личных интересов и потребностей, имеет множество разновидностей. Это связано с тем, что личность является биосоциальной системой и выступает одновременно в роли и человека как члена общества, и человека как живого организма, существующего в ограниченных параметрах окружающей среды. Информационная безопасность государства – состояние сохранности информационных ресурсов государства и защищенности законных прав личности и общества в информационной сфере. Информационная безопасность государства определяется способностью государства, общества, личности: обеспечивать с определенной вероятностью достаточные и защищенные информационные ресурсы и информационные потоки для поддержания своей жизнедеятельности и жизнеспособности, устойчивого функционирования и развития; противостоять информационным опасностям и угрозам, негативным информационным воздействиям на индивидуальное и общественное сознание и психику людей, а также на компьютерные сети и другие технические источники информации; вырабатывать личностные и групповые навыки и умения безопасного поведения; поддерживать постоянную готовность к адекватным мерам в информационном противоборстве, кем бы оно ни было навязано [15].
В ФЗ РФ «Об участии в международном информационном обмене» информационная безопасность определяется как состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства [14].
В Доктрине информационной безопасности Российской Федерации под информационной безопасностью подразумевается состояние защищенности национальных интересов в информационной сфере, определяемых совокупностью сбалансированных интересов личности, общества и государства [7].
В учебной литературе обычно внимание «сосредоточено на хранении, обработке и передаче информации вне зависимости от того, на каком языке (русском или каком-либо ином) она закодирована, кто или что является ее источником и какое психологическое воздействие она оказывает на людей» [2]. При этом термин информационная безопасность понимается как в англоязычной литературе: «защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры». Это определение берется как основное в учебных пособиях Галатенко В. А. [2], Башлы П. Н. [1] и др.
А.Д. Урсул определяет информационную безопасность как состояние защищенности основных сфер жизнедеятельности по отношению к опасным информационным воздействиям [13].
Прохоров С. А. дает следующее определение: безопасность информации – это состояние защищенности информации от различных угроз [10].
А. А. Малюк рассматривает информационную безопасность как такое состояние рассматриваемой системы, при котором она, с одной стороны, способна противостоять дестабилизирующему воздействию внешних и внутренних информационных угроз, а с другой – ее функционирование не создает информационных угроз для элементов самой системы и внешней среды [8].
Е. Б. Белов и В. П. Лось определяют информационную безопасность как способность государства, общества, личности: обеспечивать с достаточной вероятностью достаточные и защищенные информационные ресурсы и информационные потоки для поддержания своей жизнедеятельности и жизнеспособности, устойчивого функционирования и развития; противостоять информационным опасностям и угрозам, негативным информационным воздействиям на индивидуальное и общественное сознание и психику людей, а также на компьютерные сети и другие технические источники информации; вырабатывать личностные и групповые навыки и умения безопасного поведения; поддерживать постоянную готовность к адекватным мерам в информационном противоборстве, кем бы оно ни было навязано [9].
Анализируя приведенные выше определения, можно прийти к выводу, что словосочетание «информационная безопасность» в разных контекстах имеет различный смысл. В связи с этим в процессе обучения может возникнуть необходимость формулировать каждый раз новое понятие информационной безопасности в зависимости изучаемого раздела учебного курса. Но подобное решение не подходит для непрофильных специальностей, у которых на изучение всей дисциплины отводится не более семестра. Более справедливо будет вывести одно общее определение, объединяющее всю многогранность понятия ИБ.
Еще одна проблема, выявляющаяся при анализе терминологии, связана с так называемыми составляющими или категориями модели информационной безопасности, то есть свойствами информации находящимися под угрозой. Согласно ГОСТ Р 50922-2006, ГОСТ Р ИСО/МЭК 17799-2005 и ГОСТ Р 50.1.053 – 2005 таких составляющих три: целостность, доступность, конфиденциальность. В стандарте ГОСТ Р 50.1.053-2005 выделяется пять категорий безопасности ИС: к уже перечисленным добавляются подотчетность и подлинность ресурсов. В стандарте ГОСТ Р ИСО/МЭК 13335-1-2006 выделены семь составляющих: конфиденциальность, целостность, доступность, неотказуемость, подотчетность, аутентичность и достоверность. С одной стороны, в большинстве источников целостность, доступность и конфиденциальность выделяются как основные составляющие и авторы предлагают ограничиться только их изучением. С другой стороны, данный подход справедлив лишь для тех специалистов, кто не работает непосредственно с информационными системами, а ИТ-специалисты в своей профессиональной деятельности постоянно сталкиваются с необходимостью обеспечения безопасности ИС, а при этом им необходимо знать все семь составляющих модели ИБ.
Таким образом на основании вышеизложенного мы рекомендуем использовать в учебном курсе дисциплины «Основы информационной безопасности» для ИТ-специальностей, чья профессиональная деятельность не будет связана непосредственно с защитой информации, определение ИБ из ГОСТ Р ИСО/МЭК 13335-1-2006, согласно которому информационная безопасность – это все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информации или средств её обработки. Это определение включает в себя основные характеристики остальных перечисленных в данной статье определений, а также объединяет все семь основных категорий модели информационной безопасности.
Библиографический список
- Башлы П. Н. Информационная безопасность: учебно-практическое пособие / Башлы П. Н., Бабаш А. В., Баранова Е. К. – М.: Изд. Центр ЕАОИ, 2010
- Галатенко В.А. Основы информационной безопасности. – М.: Интернет-Университет Информационных Технологий – ИНТУИТ.РУ, 2003
- ГОСТ Р 50.1.053-2005 (Информационные технологии, основные термины и определения в области технической защиты информации)
- ГОСТ Р 50922-2006 (Защита информации. Основные термины и определения)
- ГОСТ Р ИСО/МЭК 17799-2005 (Информационная технология. Практические правила управления информационной безопасностью)
- ГОСТ Р ИСО/МЭК 13335-1-2006 (Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий)
- Доктрина информационной безопасности Российской Федерации, Москва, 2000
- Малюк А. А. Информационная безопасность: концептуальные и методологические основы защиты информации. Учеб. пособие для ВУЗов. – М.: Горячая линия – Телеком, 2004
- Основы информационной безопасности. Учебное пособие для вузов/ Е. Б. Белов, В. П. Лось, Р. В. Мещеряков, А. А. Шелупанов. – М.: Горячая линия – Телеком, 2006
- Прохоров С.А., Федосеев А.А., Денисов В.Ф., Иващенко А.В. Методы и средства проектирования профилей интегрированных систем обеспечения комплексной безопасности предприятий наукоемкого машиностроения. –Самара: Самарский научный центр РАН, 2009
- Руководящий документ Защита от несанкционированного доступа к информации. Термины и определения, утверждено решением председателя Гостехкомиссии России от 30 марта 1992 г.
- Стандарт ЦБ РФ СТО БР ИББС-1.0-2010 “Обеспечение ИБ организаций банковской системы РФ. Общие положения”. Принят и введен в действие Распоряжением Банка России от 21 июня 2010 года №Р705.
- Урсул А.Д. Информационная стратегия и безопасность в концепции устойчивого развития // Научно-техническая информация. Серия 1: Организация и методика информационной работы. – 1996. – № 1.
- Федеральный закон от 4 июля 1996 г. № 85-ФЗ «Об участии в международном информационном обмене»
- Энциклопедия информационной безопасности WikiSec.RU [Электронный ресурс]. – Режим доступа: http://www.wikisec.ru/ (дата обращения: 17.10.11).