Информационные отношения. Субъекты информационных отношений и их безопасность

Прежде всего, необходимо разобраться, что такое безопасность информационных отношений, определить что (кого), от чего, почему и зачем надо защищать. Только получив четкие ответы на данные вопросы, можно правильно сформулировать общие требования к системе обеспечения безопасности и переходить к обсуждению вопросов построения соответствующей защиты.

Согласно данному в предыдущем разделе определению субъекта системы, в этом качестве могут выступать:

· государство (в целом или отдельные его органы и организации),

· общественные или коммерческие организации (объединения) и предприятия (юридические лица),

· отдельные граждане (физические лица).

В процессе своей деятельности субъекты могут находиться друг с другом в разного рода отношениях, в том числе, касающихся вопросов получения, хранения, обработки, распространения и использования определенной информации.

Такие отношения между субъектами называют информационными отношениями, а самих участвующих в них субъектов - субъектами информационных отношений.

Различные субъекты по отношению к определенной информации могут выступать в качестве (возможно одновременно) источников (поставщиков) информации, пользователей (потребителей) информации, собственников (владельцев, распорядителей) информации, физических и юридических лиц, о которых собирается информация, владельцев систем сбора и обработки информации и участников процессов обработки и передачи информации и т.д.

Для успешного осуществления своей деятельности в некоторой предметной области субъекты информационных отношений могут быть заинтересованы в обеспечении:

· своевременного доступа (за приемлемое для них время) к необходимой им информации;

· конфиденциальности (сохранения в тайне) определенной части информации;

· достоверности (полноты, точности, адекватности, целостности) информации;

· защиты от навязывания им ложной (недостоверной, искаженной) информации (то есть от дезынформации);

· защиты части информации от незаконного ее тиражирования (защиты авторских прав, прав собственника информации и т.п.);

· разграничения ответственности за нарушения законных прав (интересов) других субъектов информационных отношений и установленных правил обращения с информацией;

· возможности осуществления непрерывного контроля и управления процессами обработки и передачи информации.

Будучи заинтересованным в обеспечении хотя бы одного из вышеназванных требований, субъект информационных отношений является уязвимым, то есть потенциально подверженным нанесению ему ущерба (прямого или косвенного, материального или морального) посредством воздействия на важную для него информацию и её носители, либо посредством неправомерного использования такой информации. Поэтому все субъекты информационных отношений заинтересованы в обеспечении своей информационной безопасности.

Для обеспечения информационной безопасностисубъектов необходимо постоянно поддерживать следующие свойства компонентов системы(в том числе и автоматизированной): конфиденциальность, целостность, доступность.

Конфиденциальность компонента системы заключается в том, что он доступен только тем субъектам доступа (пользователям, программам, процессам), которым предоставлены на то соответствующие полномочия.

Целостность компонента системы предполагает, что он может быть модифицирован только субъектом, имеющим для этого соответствующие права. Целостность является гарантией корректности (неизменности, работоспособности) компонента в любой момент времени.

Доступность компонента означает, что имеющий соответствующие полномочия субъект может в любое время без особых проблем получить доступ к необходимому компоненту системы.

Поскольку ущерб субъектам информационных отношений может быть нанесен опосредованно, через определенную информацию и её носители (в том числе автоматизированные системы обработки), то закономерно возникает заинтересованность субъектов в обеспечении безопасности этой информации и систем ее обработки и передачи. Иными словами, в качестве объектов, подлежащих защите в интересах обеспечения безопасности субъектов информационных отношений, должны рассматриваться информация, её носители и информационные технологии.

Всегда следует помнить, что уязвимыми в конечном счете являются именно заинтересованные в обеспечении определенных свойств информации и систем ее обработки субъекты (информация, равно как и средства ее обработки, не имеет своих интересов, которые можно было бы ущемить и нанести тем самым ущерб). В дальнейшем, говоря об обеспечении безопасности АС или циркулирующей в системе информации, всегда следует понимать под этим косвенное обеспечение безопасности субъектов, участвующих в процессах автоматизированного информационного взаимодействия.

В свете сказанного под безопасностью информации нужно понимать ее защищенность от нежелательных для соответствующих субъектов информационных отношений факторов, к числу которых относят разглашение информации (т.е. нарушение конфиденциальности), искажение (преднамеренное нарушение целостности), утрату, снижение степени доступности информации, незаконное ее тиражирование, копирование или фальсификацию.

Поскольку субъектам информационных отношений ущерб может быть нанесен также посредством воздействия на процессы и средства обработки важной для них информации, то становится очевидной необходимость обеспечения защиты всей системы обработки и передачи данной информации от несанкционированного вмешательства в процесс ее функционирования, а также от попыток хищения, незаконной модификации и/или разрушения любых компонентов данной системы.

В связи с этим под безопасностью автоматизированной системы обработки информации (компьютерной системы) понимается защищенность всех ее компонентов (технических средств, программного обеспечения, данных и персонала) от всякого рода нежелательных для соответствующих субъектов информационных отношений воздействий.

Таким образом, конечной целью защитыАС и циркулирующей в ней информации является предотвращение или сведение к минимуму наносимого субъектам информационных отношений ущерба (прямого или косвенного, материального, морального или иного) посредством нежелательного воздействия на компоненты АС, а также разглашения (утечки), искажения (модификации), утраты (снижения степени доступности) или незаконного тиражирования информации.