Уровень ущерба по свойствам информации

Субъекты	Конфиден­циальность	Целостность	Доступность	Защита от тиражирования
N1	Нет	Средняя	Средняя	Нет
N2	Высокая	Средняя	Средняя	Нет
Nm	Низкая	Низкая	Низкая	Нет
итог	Высокая	Средняя	Средняя	Нет

К определению основных понятий в области безопасности информационных технологий и общих целей защиты надо подходить с позиции защиты интересов и законных прав субъектов информационных отношений. Необходимо всегда помнить, что защищать надо именно субъектов информационных отношений, так как, в конечном счете, именно им, а не самой информации или системам ее обработки может наноситься ущерб.

Иными словами, защита информации и систем ее обработки – вторичная задача. Главная задача – это защита интересов субъектов информационных отношений.

Такая расстановка акцентов позволяет правильно определять требования к защищенности конкретной информации и систем ее обработки. В соответствии с возможной заинтересованностью различных субъектов информационных отношений существует четыре основных способа нанесения им ущерба посредством разного рода воздействий на информацию и системы ее обработки:

• нарушение конфиденциальности (раскрытие) информации;

• нарушение целостности информации (ее полное или частичное уничтожение, искажение, фальсификация, дезинформация);

• нарушение (частичное или полное) работоспособности системы.

Вывод из строя или неправомерное изменение режимов работы компонентов системы обработки информации, их модификация или подмена могут приводить к получению неверных результатов расчетов, отказам системы от потока информации (непризнанию одной из взаимодействующих сторон факта передачи или приема сообщений) и/или отказам в обслуживании конечных пользователей; несанкционированное тиражирование открытой информации (не являющейся конфиденциальной), например, программ, баз данных, разного рода документации, литературных произведений и т.д. в нарушение прав собственников информации, авторских прав и т.п. Информация, обладая свойствами материальных объектов, имеет такую особенность, как неисчерпаемость ресурса, что существенно затрудняет контроль за ее тиражированием.

Защищать АС (с целью защиты интересов субъектов информационных отношений) необходимо не только от несанкционированного доступа (НСД) к хранимой и обрабатываемой в них информации, но и от неправомерного вмешательства в процесс ее функционирования, нарушения работоспособности системы, то есть от любых несанкционированных действий. Защищать необходимо все компоненты АС: оборудование, пpогpам­мы, данные, персонал. Механический перенос подходов к обеспечению безопасности субъектов информационных отношений из одной предметной области в другую, как правило, успеха не имеет.

Причина этого – существенные различия интересов субъектов в разных предметных областях, в частности, различия в приоритетах свойств защищаемой информации и требований к характеристикам систем обработки информации. Требования к уровню защищенности критичных свойств информационных пакетов различных типов (документов, справок, отчетов и т.п.) в конкретной предметной области должны устанавливаться ее владельцами (собственниками) или другими субъектами информационных отношений на основе анализа серьезности последствий нарушения каждого из свойств информации (типов информационных пакетов): доступности, целостности и конфиденциальности. Прежде чем переходить к рассмотрению основных задач и подходов к построению систем защиты, призванных обеспечить надлежащий уровень безопасности субъектов информационных отношений, надо уточнить, от какого рода нежелательных воздействий необходимо защищать информацию и автоматизированные системы ее обработки и передачи.