Как видно, это определение совпадает с предложенным по способу реализации содержательной части защиты и по одной из ее составляющих -предотвращению утечки защищаемой информации. Однако определение утечки в ГОСТе дано другое - оно не сформулировано отдельно, а вмонтировано в определение термина Защита информации от утечки, которое звучит так: Защита информации от утечки: деятельность по предотвращению неконтролируемого распространения защищаемой информации от ее разглашения, несанкционированного доступа к защищаемойинформации и от получения защищаемой информации (иностранными} разведками. Из этого определения вытекает, что утечка информации - это неконтролируемое распространение защищаемой информации.
Неконтролируемое распространение можно по смыслу приравнять к неправомерному выходу информации за пределы защищаемой зоны ее функционирования или установленного круга лиц. Но если в предложенном в данной статье определении утечки далее обозначен результат такого выхода -получение информации лицами, не имеющими к ней санкционированного доступа, то в стандарте неконтролируемое распространение выступает уже как результат, к которому приводят разглаше-
ние, получение информации разведками и несанкционированный доступ к ней. Т.е., в первом случае неконтролируемое распространение приводит к несанкционированному получению, во втором -все наоборот. Но различия не ограничиваются этим. Вызывает недоумение, почему в один ряд поставлены разглашение, несанкционированный доступ к информации и ее получение. Разве несанкционированный доступ к информации не может привести к ее разглашению и получению? Если нет, то как он влияет на неконтролируемое распространение информации? Только как возможность с его помощью похитить ее. Но хищение в итоге опять приводит к получению информации. С другой стороны, разве разглашение информации не приводит к ее получению иностранными разведками и не только ими?
Такая путаница в ГОСТе вызвана тем, что на одну доску поставлены понятия с разными значениями: форма проявления уязвимости защищаемой информации (разглашение), механизм получения информации (несанкционированный доступ) и результат неконтролируемого распространения информации (получение разведками).
По второму компоненту содержательной части защиты информации предложенное в данной статье и гостированное определения расходятся и по формулировке, и по существу. В статье - это предотвращение утраты защищаемой информации, В ГОСТе - предотвращение несанкционированных и непреднамеренных воздействий на защищаемую информацию. Таким образом, если в первой части определения содержательной части ГОСТ называет вид уязвимости информации (утечку), то во второй - не вид (утрату), а воздействия, которые могут привести к этому виду уязвимости. Конечно, утрата не может произойти без несанкционированных или непреднамеренных воздействий на информацию, но зачем понадобился разный подход к обозначению двух видов уязвимости информации, почему один называется, другой подразумевается?
Отчасти это объясняется, вероятно, тем, что результаты воздействия на информацию ГОСТ не сводит только к ееутрате. Это видно из расшифровки понятий несанкционированного и непреднамеренного воздействий на информацию.
К несанкционированному воздействию ГОСТ относит воздействие на защищаемую информацию с нарушением установленных прав или правил на изменение информации, приводящее к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.
Непреднамеренное воздействие определяется ГОСТом как воздействие на защищаемую информацию ошибок пользователя информацией, сбоя технических и программных средств информационных систем, а также природных явлений или иных нецеленаправленных на изменение информации воздействий, связанных с функционированием технических средств, систем или с деятельностью людей, приводящих к искажению, уничто
жению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.
Таким образом, результатом воздействия на информацию или ее носитель являются и вид уязвимости (утрата), и формы проявления уязвимости (искажение, уничтожение, блокирование), и способ воздействия (копирование). Если в данном случае копирование заменяет хищение, то это неверно, поскольку есть и другие способы хищения. К тому же непонятно, в чем смысл в определении понятия отделять носитель информации от самой информации, ведь в итоге названные утрата и уничтожение носителя (без учета неправомерности постановки их в один ряд) являются одновременно утратой и уничтожением отображенной в них информации, а сбой функционирования носителя приводит к блокированию информации.
Может показаться, что все это - частности. Но определение любого понятия, помимо всего прочего, требует точности формулировки. _
С понятием защиты информации тесно связано понятие безопасности информации.
Термин безопасность информации имеет двойное смысловое значение, его можно толковать и как безопасность самой информации, и как отсутствие угроз со стороны информации субъектам информационных отношений.При этом безопасность самой информации также не вписываетсяв однозначное понимание. С одной стороны, это может означать безопасность информации с точки зрения изначальной полноты и надежности информации, с другой стороны, — защищенность установленного статус-кво информации.
В нормативных документах и литературе безопасность информации рассматривается только в разрезе ее защищенности, и это, вероятно, оправдано при наличии термина информационная безопасность.
Существует несколько определений понятия безопасность информации. При общем подходе к безопасности информации как состоянию защищенности (или защиты) информации эти определения существенно различаются между собой содержательной частью - защищенности от чего. Сюда относят: от внутренних и внешних угроз; от утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), несанкционированного копирования, блокирования информации и т.п.; от случайных или преднамеренных несанкционированных воздействий на информацию или несанкционированного ее получения; от случайного или преднамеренного доступа лиц, не имеющих права на получение информации, ее раскрытие, модификацию или разрушение, и др.
Не вызывает возражений подход к определению безопасности информации как к состоянию защищенности информации, ибо сам термин безопасность означает отсутствие опасностей, что определенным образом корреспондируется с термином состояние защищенности.
Вторую часть определения можно сформулиро-
вать и как от воздействий, нарушающих ее статус, и как от утраты и утечки, поскольку в конечном итоге они выражают одно и то же, т.к. предотвращение утраты и утечки информации осуществляется посредством предотвращения дестабилизирующих воздействий на информацию. Первый вариант представляется более предпочтительным, т.к. непосредственной целью защищенности информации является противодействие дестабилизирующим воздействиям.