Москва
+7-929-527-81-33
Вологда
+7-921-234-45-78
Вопрос юристу онлайн Юридическая компания ЛЕГАС Вконтакте

Онтологические аспекты проблематики оценки эффективности защиты информации от несанкционированного доступа

  • Печать
Обновлено 05.06.2025 08:34

Необходимость рассмотрения онтологических аспектов защиты информации в ИС обусловлена рядом обстоятельств, к основным из которых относятся:

во-первых, отсутствие определений рада применяемых на практике терминов и характеристик взаимосвязей этих терминов в действующих терминологических документах и правовых актах;

во-вторых, разные трактовки или неоднозначность трактовок некоторых терминов и их определений в различных публикациях по тематике защиты информации. 

Конечно, в данной монографии невозможно охватить все используемые в данной области термины и определения, однако некоторые из них для материала данной монографии нуждаются в пояснении. К таким терминам относятся, например, защита информации, обеспечение безопасности информации, информационная безопасность и безопасность информации, несанкционированный доступ, эффективность защиты и защищенность информации, политика безопасности информации (или политика информационной безопасности). Ниже рассматривается авторская трактовка определений указанных терминов и их взаимосвязей.

В соответствии с [5] защита информации представляет собой «принятие правовых, организационных и технических мер, направленных:

1) на обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

2) на соблюдение конфиденциальности информации ограниченного доступа;

3) на реализацию права на доступ к информации».

Следует отметить, что «обеспечение защиты информации» здесь рассматривается в узком смысле как совокупность действий по реализации правовых, организационных и технических мер непосредственно по защите информации. В широком смысле обеспечение защиты информации включает в себя финансовое, кадровое, техническое, программное и другие виды обеспечения, которые влияют как непосредственно, так и опосредованно на защиту информации. В [6] дается несколько иное определение защиты информации как «деятельности, направленной на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию». При этом защита информации включает в себя правовую, техническую, криптографическую и физическую защиты, а также защиту от разглашения.

Защита информации - деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.

Как было отмечено ранее, в данной работе рассматривается только ТЗИ. В соответствии с определением (см. рисунок 1.1) ТЗИ реализуется некриптографическими методами. Появление данного понятия обусловлено разделением сфер ответственности государственных регуляторов в этой области - ФСБ России (отвечает за криптографическую защиту информации) и ФСТЭК России (отвечает за ТЗИ).

Рассматривая понятие «обеспечение безопасности информации», необходимо подчеркнуть, что здесь так же, как и в предыдущем случае, «обеспечение» рассматривается в узком смысле. Однако здесь это слово привязано к иному понятию - «безопасности информации», под которым в соответствии с [7] понимается «состояние защищенности информации, при котором обеспечены ее конфиденциальность, целостность и доступность».

Таким образом, понятие безопасности информации определено через другое понятие - «защищенности информации», широко применяемое во многих отечественных документах.

Вместе с тем понятие защищенности информации в законах, действующих терминологических документах, нормативных правовых актах органов исполнительной власти сегодня отсутствует.

На наш взгляд, защищенность информации следует понимать как соответствие состава принятых мер по защите информации составу мер, установленному требованиями нормативного документа, в соответствии с которым оценивается эта защищенность.

В связи с этим ИС может быть отнесена к защищенной, если в ней выполняются требования нормативных документов уполномоченных органов исполнительной власти, требования государственных, международных стандартов или стандартов организаций в области защиты информации и информационных технологий, если таковые имеются. Таким образом, понятие защищенности связывается с определенным нормативным документом или некоторым набором таких документов, выполнение требований которых является основанием считать, что информация в ИС защищена в смысле выполнения этих требований. Необходимость учета нескольких нормативных документов одновременно обусловлена, например, тем, что одна и та же ИС может относиться к разным системам (например, к государственной ИС и одновременно к информационной системе персональных данных), требования к которым регламентируются разными нормативными документами, при этом она как система персональных данных может оказаться вполне защищенной, а как государственная информационная система - нет.

Необходимо подчеркнуть, что сегодня для обеспечения дифференцированного подхода к защите информации в отечественных нормативных документах [8-13] введены классы или уровни защищенности ИС, для каждого из которых установлен определенный набор требований. В связи с этим защищенность информации всегда рассматривается в связке с классом защищенности ИС (или уровнем защищенности персональных данных для информационных систем персональных данных). В этом смысле, например, в соответствии с [13] информация в государственной ИС может оказаться защищенной по классу КЗ, но незащищенной по классу К2.

Кроме того, не все действующие нормативные документы «привязаны» к содержанию парируемых угроз безопасности информации, что приводит к необходимости дополнительного анализа возможностей такого парирования при реализации тех или иных требований по ТЗИ. Без такого анализа зачастую весьма сложно утверждать, достаточен ли набор требований, взятых из выбранных нормативных документов, для парирования актуальных угроз в конкретной ИС, и, следовательно, считать ИС защищенной. Это подчеркивает тот факт, что понятие защищенности ИС является относительным.

С учетом изложенного безопасность информации достигается тогда, когда выполняются требования, установленные нормативным документом для рассматриваемого класса защищенности, или выполняются более жесткие требования по сравнению с установленными. В этом смысле уровень безопасности информации также определяется в зависимости от установленного для ИС класса защищенности.

Необходимость раскрытия соотношения понятий «безопасность информации» и «информационная безопасность» обусловлена следующим. В современной Доктрине информационной безопасности применяется термин «информационная безопасность Российской Федерации», под которой понимается «состояние защищенности личности общества и государства от внешних и внутренних информационных угроз, при котором обеспечивается реализация конституционных прав и свобод человека и гражданина, достойные качество и уровень жизни граждан, суверенитет, территориальная целостность и устойчивое социально-экономическое развитие Российской Федерации, оборона и безопасность государства» [14]. Аналогичным образом в [15] трактуется понятие «информационная безопасность организации», под которой понимается «состояние защищенности интересов (целей) организации в условиях угроз в информационной сфере», при этом «информационная сфера - это совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение, хранение и использование информации, а также системы регулирования возникающих при этом отношений». Из изложенного следует, что если безопасность информации касается только самой информации, то информационная безопасность - это значительно более широкое понятие, охватывающее интересы людей, организаций (предприятий) и государства в информационной сфере. Кроме защиты самой информации в данном случае должна обеспечиваться «защита от информации» (от навязывания ложной, тенденциозной, социально вредной и иной неприемлемой для личности, общества и государства информации), защита прав на информированность и др. В данной работе рассматриваются только вопросы, связанные с понятием «безопасность информации».

Одним из основополагающих понятий в области защиты информации является понятие «несанкционированный доступ». В соответствии с [6, 7] под несанкционированным доступом (НСД) понимается «доступ к информации или к ресурсам автоматизированной информационной системы, осуществляемый с нарушением установленных прав и (или) правил доступа».

Такие права и (или) правила устанавливаются обладателем1 информации для пользователей ИС, для процессов обработки информации, обслуживания ИС, изменения программных, аппаратных (технических) и информационных ресурсов, при этом НСД может быть осуществлен преднамеренно или непреднамеренно.

Поскольку по указанному определению к НСД относится и доступ к аппаратным ресурсам ИС, то следует различать физический НСД, то есть несанкционированный физический доступ к аппаратным ресурсам ИС2, и виртуальный НСД - доступ к командам, процедурам и функциям операционной среды элементов ИС и с их использованием или путем запуска специально созданных программ, скриптов, команд - к пользовательской информации (данным или прикладным программам). Необходимо подчеркнуть, что в этой связи к НСД можно относить также:

перехват информации, передаваемой по телекоммуникационной среде, так как такой перехват связан с установкой в узлы телекоммуникационных сетей программных средств перехвата и с запуском в операционной среде этих узлов таких средств перехвата;

реализацию сетевых атак типа «Отказ в обслуживании», направленных на нарушение функционирования ИС, так как при этом нарушаются штатные условия выполнения команд операционной среды, происходит, например, зациклирование вызова этих команд из-за переполнения буферов и т.д.

Виртуальный НСД к информации является состоявшимся, если нарушитель или инициированный им процесс получает возможность выполнения действия (путем вызова команд операционной системы, запуска специально сформированных программ, скриптов и др.) относительно блока защищаемой информации, то есть ее копирования, уничтожения, модификации и т.д.

Следует отметить, что виртуальный НСД может быть

непосредственным или удаленным. Непосредственный виртуальный НСД реализуется после получения физического доступа к аппаратным ресурсам ИС путем ввода команд операционной среды с использованием периферийных устройств (например, клавиатуры), а удаленный виртуальный НСД - по информационно-телекоммуникационной среде (сети) с использованием протоколов сетевого (межсетевого) взаимодействия.

Наконец, рассматривая понятие эффективности защиты информации, необходимо отметить, что этот термин достаточно часто встречается в организационно-распорядительных и нормативных документах, (например, «эффективность мер по обеспечению безопасности персональных данных» [16], «эффективность комплекса мер по обеспечению информационной безопасности» [14], «эффективность реализованных в рамках системы защиты мер...» [10], «эффективность использования мер и средств обеспечения безопасности [17], «эффективность требований по защите», «эффективность компонентов защиты», «эффективность механизма защиты» [18] и т.д.).

Более того, например, в [16] даже регламентируется процедура оценки эффективности защиты, где указано, что «оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию по технической защите конфиденциальной информации».

В соответствии с [6] эффективность защиты информации определяется как «степень соответствия результатов защиты информации поставленной цели». Иногда, наряду с «функциональной» эффективностью, которая фактически имеется в виду в данном определении, в этом понятии учитывают и затраты на применение мер и средств ТЗИ. Так, в [19] «эффективность обеспечения информационной безопасности» понимается как связь между достигнутым результатом и использованными ресурсами для обеспечения заданного уровня информационной безопасности». В данной монографии эффективность защиты информации понимается в соответствии с [6].

Иногда, понятие «эффективность» подменяют понятием «достаточность», имея в виду, что мера или средство ТЗИ не обладает никакой эффективностью, если не удовлетворяет принятому критерию достаточности. Следует подчеркнуть, что оценка достаточности является бинарной: либо она обеспечивается (показатель оценки равен, например, 1), либо не обеспечивается (показатель равен 0). Достаточность не характеризует степень приближения к заданному уровню защищенности и это понятие отличается от понятия эффективности, характеризующей меру приближения уровня защищенности информации к уровню, определенному в соответствии с установленными требованиями. Оценка эффективности позволяет на основе количественной меры установить, насколько далека защищенность информации в ИС от той, которая соответствует заданному классу защищенности ИС или в более общем представлении - поставленной цели защиты (одной из таких целей может быть выполнение требований, соответствующих заданному в нормативном документе классу защищенности или уровню защищенности персональных данных).

Однако цели ТЗИ, которые ставятся при организации защиты информации в ИС, могут быть существенно разными. Например, цель может состоять в устранении всех известных уязвимостей, в достижении максимально возможной защищенности информации имеющимися средствами, в парировании всех известных угроз безопасности информации, актуальных для данной ИС, в обеспечении устойчивости функционирования ИС в целом или даже в виде необходимости соблюдения некоторых интересов пользователей (предприятия, организации или совокупности предприятий и организаций, эксплуатирующих ИС), например, в недопущении снижения прибыли предприятия ниже установленного порога из-за нарушений безопасности информации, в исключении возможности неприемлемого ущерба от реализации угроз безопасности информации и др. Зачастую такие цели могут быть иерархически упорядоченными. Тогда оценка эффективности по нижестоящей цели выступает как составляющая часть оценки эффективности в соответствии с вышестоящей целью.

Если необходимо оценивать эффективность применения того или иного средства или меры защиты информации, то также имеет место неопределенность данного понятия. Во-первых, эффективность может оцениваться относительно заранее определенной и декларированной цели защиты для данного средства (меры). Во-вторых, оценка может проводиться относительно некоторой общей цели для определенного направления ТЗИ, например, для защиты информации от НСД, защиты информации от несанкционированной передачи во внешние сети и т.д.

На уровне предприятия (организации)

На уровне ИС

На уровне программног о и аппаратного обеспечения

Чаще всего рассматривается некоторая общая цель защиты, которая формулируется для данной ИС в целом, что создает предпосылки для оценивания вклада каждого средства защиты, применяемого в данной ИС, в результирующую эффективность защиты информации в ней.

В связи с изложенным оценка эффективности защиты оказывается условной или относительной, то есть зависящей от того, каким образом сформулирована цель ТЗИ в конкретной ИС. Это обстоятельство во многом обусловливает тот факт, что сегодня при выборе мер и средств защиты информации, построении систем защиты количественная оценки эффективности ТЗИ, несмотря на востребованность, пока практически не проводится.

Наконец, необходимо остановиться на понятии «политика безопасности информации», которое сегодня весьма широко применяется на практике. В соответствии с [15, 20] политика безопасности информации организации - это совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности. Это понятие пришло в Россию из международных стандартов и широко используется во многих национальных стандартах, являющихся аутентичными переводами международных стандартов в области обеспечения безопасности информации.

Сложности с применением этого понятия возникают тогда, когда нужно формировать некий документ с изложением содержания политики безопасности информации в организации (предприятии), поскольку строгой регламентации содержания понятия «политики безопасности информации», по сути, нет. Во многом это содержание пересекается с содержанием концепции защиты и формируется в виде концентрированного выражения правил, приемов, процедур, принципов, которыми руководствуется организация при создании системы защиты информации и которые прямо или косвенно учитываются в такой концепции.

На наш взгляд, изложенные пояснения по рассмотренным терминам и их определениям будут способствовать пониманию излагаемых в монографии подходов к оценке эффективности ТЗИ, помогут исключить их некорректную трактовку и применение в практике оценки эффективности ТЗИ.

Обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам.

К аппаратным ресурсам относятся серверы, рабочие станции, аппаратные средства ввода/ вывода информации, коммуникационное оборудование и т.п.

 

 

 

 
Юридические услуги
Яндекс.Метрика
Представительство в суде и защита прав, досудебное урегулирование споров, медиация, абонентское сопровождение организаций, кадровое делопроизводство, трудовое право, восстановление на работе и выплата заработной платы, регистрация и ликвидация предприятий, земельные споры, споры связанные с недвижимостью, сопровождение сделок с недвижимостью, бесплатная юридическая консультация. Квалифицированный юрист Вологда. Квалифицированный адвокат Вологда. Квалифицированный юрист Москва. Квалифицированный адвокат Москва. Квалифицированный юрист Санкт-Петербург. Квалифицированный адвокат Санкт-Петербург. Суд по интеллектуальным правам. Европейский суд по правам человека. Апелляционная жалоба. Апелляционная жалоба в Московский городской суд. Апелляционная жалоба в Санкт-Петербургский городской суд. Санкт-Петербургский городской суд. Московский городской суд. Верховный суд. Кассационная жалоба. Кассационная жалоба в Верховный суд. Оценка перспектив обращения в Европейский суд по правам человека. Подготовка жалоб в Европейский суд по правам человека. ЕСПЧ. Оценка перспектив обращения в ЕСПЧ. Подготовка жалоб в ЕСПЧ. Жалоба ЕСПЧ. Жалоба в ЕСПЧ. Адвокат ЕСПЧ. Юрист ЕСПЧ. Адвокат Европейский суд по правам человека. Юрист Европейский суд по правам человека. Комитет ООН по правам человека. Подготовка жалоб в Комитет ООН по правам человека. Подготовка жалоб в Комитет ООН по правам человека. Оценка перспектив обращения в Комитет ООН по правам человека. Жалоба Комитет ООН по правам человека. Адвокат Комитет ООН по правам человека. Юрист Комитет ООН по правам человека. Арбитражный суд города Москвы. Арбитражный суд Московской области. Арбитражный суд города Санкт-Петербурга и Ленинградской области. Арбитражный суд Вологодской области. Девятый апелляционный арбитражный суд. Десятый апелляционный арбитражный суд. Тринадцатый апелляционный арбитражный суд. Четырнадцатый арбитражный апелляционный суд. Арбитражный суд Московского округа. Арбитражный суд Северо-Западного округа. Юрист Верховный Суд. Адвокат Верховный Суд. Юрист Верховный Суд Российской Федерации. Адвокат Верховный Суд Российской Федерации. Юрист Верховный Суд РФ. Адвокат Верховный Суд РФ. Юрист Вологодский областной суд. Адвокат Вологодский областной суд. Юрист Ленинградский областной суд. Адвокат Ленинградский областной суд. Юрист Сантк-Петербургский городской суд. Адвокат Санкт-Петербургский городской суд. Юрист Московский областной суд. Адвокат Московский областной суд. Юрист Московский городской суд. Адвокат Московский городской суд. Реновация Москва. Реновация в Москве. Юрист реновация Москва. Юрист реновация в Москве. Адвокат реновация Москва. Адвокат реновация в Москве.