О концепции защиты информации, страница 3

Следовательно, классификация защищаемой информации по видам тайны и степеням конфиденциальности также требует дополнительной научной проработки и правового, в первую очередь, законодательного закрепления.

Классификация информации по собственникам и владельцам не составляет сложностей, хотя сами их определения имеют разночтения. Так, если в законе "Об информации, информатизации и защите информации" собственник определяется как субъект, в полном объеме реализующей полномочия владения, пользования, распоряжения информацией, а владелец - в пределах, установленных законом, то в законе "Об участии в международном информационном обмене" полномочия собственника определены в объеме, устанавливаемом законом, а владельца - в объеме, устанавливаемом собственником.

Не до конца разработанным остается вопрос о составе и классификации носителей защищаемой информации. Большинство специалистов не придают этому вопросу особого значения и при его рассмотрении ограничиваются почти типовой фразой: "люди, документы, магнитные диски и др." Между тем это основной объект защиты, т.к. информация не существует вне носителей, и поэтому требуется на основе определения понятия "носитель информации", содержащегося в уже упоминавшемся ГОСТе 50-922-96, выявление и классификация всех имеющихся видов носителей, поскольку защита каждого вида имеет свои особенности.

Важнейшей составляющей концепции защиты информации должно быть определение состава потенциально существующих угроз безопасности информации, поскольку их наличием определяется система защиты информации. Однако пока еще нет единого похода даже к определению самого понятия угрозы безопасности информации. В одном случае угроза рассматривается как потенциально существующая опасность (ситуация, возможность) нарушения безопасности информации, в другом - как мера возможности возникновения такого явления или события, следствием которого могут быть нежелательные воздействия на информацию. В конкретном преломлении большинство авторов публикаций угрозу безопасности информации отождествляют либо с характером (видом, способом) дестабилизирующего воздействия на информацию, либо с последствиями (результатами) такого воздействия. Между тем может быть и иной подход к определению угрозы безопасности информации, базирующийся на сформулированном в законе "О безопасности" понятии "угроза безопасности", которая рассматривается как "совокупность условий и факторов, создающих опасность жизненно важным интересам личности, общества и государства".

При таком подходе угроза безопасности не сводится к чему-то однозначному, а включает в себя несколько составляющих, и этот подход представляется более верным, поскольку применительно к информации он предопределяет включение в состав угрозы таких взаимосвязанных и взаимообусловленных компонентов, как источники, виды и способы дестабилизирующего воздействия на информацию, причины, обстоятельства и условия такого воздействия, а, если источником воздействия являются люди, дополнительно - каналов, методов и средств несанкционированного доступа к информации.

Каждый компонент угрозы безопасности информации требует глубокой научной проработки. В частности, необходимы полное выявление и оценка источников дестабилизирующего воздействия на информацию, в литературе названы лишь некоторые из них; по каждому источнику должны быть определены виды и способы дестабилизирующего воздействия, которые тоже раскрыты в неполной мере; совершенно мало внимания уделено причинам, которые лежат в основе дестабилизирующего воздействия на информацию со стороны каждого источника, обстоятельствам, вызывающим эти причины, условиям, при которых они реализуются. Наиболее сложным и наименее исследованным является вопрос о каналах несанкционированного доступа к информации. Во-первых, нет однозначного толкования этого понятия. Одни авторы отождествляют канал с технологией или способами доступа к информации, другие - с дестабилизирующими факторами, проявление которых может привести к несанкционированному доступу к информации, третьи рассматривают его как совокупность объектов защиты, возможностей соперника и необходимых условий для несанкционированного доступа к информации, четвертые - как физический путь от злоумышленника к источнику информации. При этом часть специалистов по существу ставит знак равенства между каналом несанкционированного доступа к информации и каналом утечки информации, хотя очевидно, что канал несанкционированного доступа может использоваться как для получения информации, так и для ее уничтожения, искажения или блокирования. Во-вторых, не определены все потенциально существующие каналы несанкционированного доступа к информации. Хотя по литературе они исчисляются несколькими десятками, многие из них, по мнению автора, являются не каналами, а методами несанкционированного доступа, в то же время не названы некоторые действительные каналы. В-третьих, представляется сомнительным классификация каналов на технические, агентурные и легальные, это, скорее, применимо к видам разведки или методам несанкционированного доступа. Кстати, и методы несанкционированного доступа к информации нуждаются в серьезном дополнительном исследовании.