А. И. АЛЕКСЕНЦЕВ, кандидат исторических наук, профессор,
Российский государственный гуманитарный университет
О КОНЦЕПЦИИ ЗАЩИТЫ ИНФОРМАЦИИ
(к постановке вопроса)
Последнее десятилетие ознаменовалось значительным усилением внимания к проблемам защиты информации. Этот интерес имеет под собой объективную основу. С одной стороны, в стране "возродилась" коммерческая тайна, упраздненная в ноябре 1917 г., скорректированы сущность и подходы к защите государственной тайны, появилась необходимость в уточнении понятий и определении границ других видов тайны. С другой стороны, резко возросло значение информации, в том числе и в первую очередь требующей защиты.
В этих условиях, казалось бы, естественным, чтобы усилия специалистов по защите информации в первую очередь были направлены на разработку концептуальных вопросов защиты, которые раскрывали бы сущность, цели, стратегию, принципы, направления защиты информации, отвечали бы на вопросы: какую информацию необходимо защищать, почему и каким образом ее нужно защищать. Это создало бы возможность для целостного видения проблемы защиты информации, позволило бы упорядочить содержание и этапы разработки правовой базы по защите информации, способствовало бы сосредоточению внимания специалистов на наиболее актуальной тематике защиты информации и в конечном итоге в практическом преломлении повысило бы качество защиты информации.
Однако направленность научной деятельности в этой сфере пошла по другому руслу. С возрождением коммерческой тайны стало появляться все большее количество публикаций неизвестных ранее авторов, значительная часть которых не имели до этого никакого отношения к защите информации. Пользуясь актуальностью проблемы, они торопятся "снимать пенки", "творя" антинаучно-популярные "произведения". При этом нередко без ссылок и критического анализа к месту и не к месту используется, а иногда и перевирается зарубежная литература, выдвигаются безграмотные положения, работы по частным вопросам публикуются под обобщающими громкими названиями, относящимися к проблемам защиты информации в целом. Для таких авторов, видимо, сам факт публикации является важнее ее содержания.
К счастью, не эти "специалисты" определяют погоду. К настоящему времени издано большое количество действительно научных работ, в том числе книг, которые значительно продвинули решение актуальных вопросов защиты информации. Этому способствовало и появление новых периодических изданий, посвященных защите информации, среди которых следует выделить "Безопасность информационных технологий", "Защита информации. Конфидент" (издаются с 1994 г.), и актуализация проблем защиты информации в "Вопросах защиты информации", издающихся (сначала под другим названием) с 1973 г.
Но эти безусловно ценные публикации в основном относятся к отдельным направлениям или объектам защиты информации, в первую очередь, к защите информации в компьютерных системах и к инженерно-технической защите. Вопросы правовой и организационной защиты информации затрагиваются в значительно меньшей степени.
Что касается общеметодологических, концептуальных подходов к защите информации в целом, то они нашли свое отражение лишь в работах В.А.Герасименко, А.А.Малюка и А.А.Шиверского. Но для разработки полноценной концепции защиты информации этого недостаточно. Необходимы коллективные усилия ведущих специалистов по углубленному исследованию узловых проблем защиты информации и сведению их в стройную единую систему.
Целью данной статьи является определение наиболее актуальных вопросов концепции защиты информации и общий анализ состояния их научной проработки. Позиция автора по решению некоторых из этих вопросов будет изложена в последующих статьях.
Концепция защиты информации должна базироваться на определенных теоретических основах и методологических принципах защиты. Разработке теоретических основ защиты информации много внимания уделяет проф. Герасименко В.А., отдельные фрагменты теории содержатся в публикациях других авторов. Однако еще недостаточно раскрыты или вообще не нашли своего отражения такие теоретические вопросы, как объективная необходимость и общественная потребность в защите информации, зависимость системы и состояния защиты информации от политико-правовых и социально-экономических реальностей, соотношение защиты информации с информатизацией общества и, в частности, установление необходимого баланса между потребностью в свободном обмене информацией и допустимыми ограничениями на ее распространение, действительное соотношение (а не декларируемый баланс) интересов государства, общества и личности в сфере защиты информации, влияние защиты информации на права, свободы и безопасность граждан, социальные последствия защиты информации, общее и противоречия в межгосударственном, государственном и ведомственном подходах к защите информации, в обеспечении информационной безопасности личности, общества и государства, место и роль государства и других субъектов информационных отношений в защите сведений , составляющих различные виды тайны, формы общественного контроля за защитой информации и др.
Требуют дополнительной проработки и некоторые методологические принципы защиты информации: обеспечение единства, взаимосвязи и сбалансированности в решении задач производственной деятельности и защиты информации, сочетание общих норм защиты с нормами, вызываемыми спецификой деятельности предприятий различного профиля, обеспечение сбалансированного соотношения объективной необходимости с экономической целесообразностью защиты информации, сочетание максимального ограничения доступа к защищаемой информации с качественным выполнением служебных обязанностей, обеспечение персональной ответственности за защиту информации и др.
Концепция защиты информации, прежде всего, предполагает раскрытие понятия "защита информация". Содержание этого понятия имеет ключевое, основополагающее значение, поскольку оно должно выражать суть защиты, а суть защиты определяет цели, задачи, объекты, методы, технологию защиты. Однако единого подхода к трактовке этого понятия до сих пор нет. В нормативных документах и литературе содержится около двух десятков определений понятия, некоторые из них схожи по смыслу, но разнятся формулировками, другие различаются и смысловым содержанием.
Несмотря на множество определений данного понятия, ни одно из них, по мнению автора, не отражает в полной мере сущности защиты информации. Представляется, что определение термина должно базироваться на формах и видах проявления уязвимости информации, ибо защита информации должна иметь своим содержанием предотвращение опасностей для информации, которые обусловлены уязвимостью самой информации.
Сущность защиты информации неразрывно связана с целями защиты, т.к. содержательная часть защиты зависит от ответа на вопрос: зачем, ради чего должна защищаться информация. В определении целей защиты информации также наличествует большой разброс мнений.
Во-первых, нередко цели отождествляются или подменяются задачами защиты. А между ними имеется существенное различие. Если цели определяют ради чего защищается информация, то задачи должны устанавливать, что требует исполнения (решения) для обеспечения защиты информации.
Во-вторых, цели иногда сводятся к предупреждению тех или других форм проявления уязвимости информации, т.е. к сущности защиты. И, наконец, немало сформулировано таких целей, в которых перемешаны и задачи, и сущность защиты с добавлением того, что не имеет отношения ни целям защиты, ни к самой защите.
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.