Информационные технологииStfw.Ru 🔍

О безопасности информационных технологий

Существует ли информационная безопасность, или некоторые аспекты законопроекта технического регламента "О безопасности информационных технологий" А.В. Нестеров
🕛 27.10.2006, 11:03
Сфера информационных технологий переживает сложный период перемен. Среди данных перемен наиболее важны перемены в законодательстве, посвященном информации, информатизации и защите информации. Многих специалистов волнуют вопросы: возможно ли техническое регулирование информационных технологий, почему в перечне видов безопасности в ФЗ РФ "О техническом регулировании" нет информационной безопасности? Два федеральных закона [1, 2] канули в лету, но появились два новых [3, 4], понятие информатизация исчезло из заглавия одного закона, но при этом основное понятие рассматриваемой сферы "информационные технологии" появилось в заглавии другого закона. Очень важный шаг сделали законодатели, приняв федеральный закон РФ "О персональных данных". На наш взгляд, в отличие от данного федерального закона другой федеральный закон "Об информации, информационных технологиях и безопасности информации" не только очень слабый, но и слабее закона, на смену которому он пришел. А, учитывая, с какой поспешностью он был принят, то можно предположить, что законодатели решали тактическую задачу по легализации термина "информационные технологии". Очень интересными стали сообщения о разработке "Информационного кодекса РФ", а, если учесть обсуждаемый законопроект [5], то станет, понятен неподдельный интерес власти к сфере информационных технологий.

Фактически власть осознала, что ни административная реформа, ни реформа технического регулирования, ни другие задуманные ей преобразования не возможны без реформы информационной сферы. В этой связи попытаемся на примере рассматриваемого законопроекта показать, что только методологический подход позволит перевести выше указанную проблему в задачу и решить ее. Корни ее лежат в концептуальной плоскости определения понятия информации.

Законопроект формально соответствует современным юридическим требованиям по наличию статьи, посвященной основным понятиям, используемым в законопроекте, однако по существу основные понятия в законопроекте фактически остались не раскрытыми. Определения основных понятий должны снимать вопросы, а не выносить их за скобки, и тем более не порождать новые вопросы. Например, активы информационных технологий определяются через информационные и другие ресурсы, входящие в состав информационной технологии. Но определение информационного ресурса было выброшено из [3]. Так что такое информационный ресурс?

В законопроекте используются, по мнению законотворцев, как очевидные технические, технологические и научные термины, по поводу которых научные и профессиональные сообщества ни как не могут прийти к согласию. Что же тогда делать юристам в форс-мажорных, а тем более в спорных ситуациях?

Рассмотрим некоторые из этих понятий. Это технология, ресурсы, активы, процессы, процедуры, средства, способ, функциональные возможности.

Если убрать слово "информационная", то под технологией в законопроекте понимается совокупность средств, систем и процедур их применения, обеспечивающая осуществление процессов. Опытный глаз сразу увидит недостатки. Это не определение технологии, а определение неполного состава неизвестной и не полной совокупности элементов, которые входят в обеспечивающую технологию некоторых процессов. Мы здесь не находим ни структурных, ни функциональных свойств самой технологии. В связи с принятием нового ФЗ РФ "Об информации :" должна измениться и формулировка понятия "информационная технология". В соответствии со ст. 2 данного закона под ней понимаются процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов. Таким образом, технология это процессы, методы и способы их осуществления. Интересно, чем отличается способ осуществления метода от самого метода, и чем они отличаются от процедур из [5]? Если исходить из того, что метод это описание конечной последовательности операций, приводящей к искомому результату, а способ - описание неопределенной совокупности операций, могущей привести к искомому результату, а вместе они процедура (описание процесса), то тогда мы различаем термины процесс и процедура, что нельзя сказать о [3].

В соответствие с [3] информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств. Таким образом, технология является частью системы, в которую еще входят информация баз данных и технические средства. Здесь уже ни где нет упоминания о программных и аппаратных средствах. Исходя из этого, информационная технология должна только обеспечивать обработку информации из баз данных. Как же быть с другими операциями процессов и действиями в рамках методов? Еще больше "туману" создает ст. 2 законопроекта, в частности, под объектами технического регулирования понимаются процессы эксплуатации информационных технологий и телекоммуникационной инфраструктуры. Что законотворцы понимают под данными процессами не разъяснено. Можно только догадываться, что возможно под данными процессами понимаются процессы поиска, сбора, хранения, обработки, представления, распространения информации. Тогда, наверное, эксплуатация - это управление и обеспечение информационной системы в процессе ее функционирования (реализации), включающее технические, технологические (технологию) и информационные (информация в базах данных) средства. Если ориентироваться на [3], то в ст. 1 отмечается, что закон регулирует отношения, возникающие при применении информационных технологий. Включает ли применение в себя эксплуатацию так же не ясно.

Следующее определение понятия активы технологии фактически выносит его смысл за скобки. Ранее в [1] информационные ресурсы определялись как отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах). Если теперь нет законодательно определенного термина информационные ресурсы, то тогда может быть, законотворцы под ресурсами подразумевали используемый в законе [3] термин "средства". В этом случае, зачем вводить еще один термин "активы", который уже имеет юридическую смысловую нагрузку.

Основным понятием в информационных технологиях являются информационные процессы. К сожалению и здесь правила формулирования определений нарушены. Фактически определение информационных процессов представляет собой не полный список действий или операций, при чем без разъяснения или ссылок на другие законы.

Если законопроект посвящен безопасности информационных технологий, то, наверное, должны быть определены действия, совершенные "неправомочным способом". Само же понятие информационных процессов должно быть закреплено в другом законе, в частности в [3]. К сожалению, в законопроекте только упоминаются модификация, подмена и уничтожение, осуществляемые неправомочным способом, но не дается определение свойств, квалифицирующих данные действия. В законопроекте используется широко известный термин "доступ", однако его нет в перечне операций, входящих в информационные процессы. Определение доступа к информации дано в [3], однако, оно формальное и, поэтому сразу возникают вопросы. Если доступ - это возможность получения информации и ее использования, то как квалифицировать действия, когда субъект получил возможность, но не воспользовался данной возможностью, т. е. не получил информацию, или получил информацию, но не использовал ее? Напомним, что союз "и" подразумевает только одну логическую операцию.

Следующим важным понятием является обработка информации. На наш взгляд, лучше использовать термин "обработка данных" в соответствии с ФЗ РФ "О персональных данных". В частности под обработкой данных понимаются отдельные действия или операции, выполняемые с данными, или совокупность таких выполняемых с применением средств автоматизации или без их применения действий, как запись, организация, накопление, хранение, обновление или изменение, извлечение, обезличивание, уничтожение данных. Таким образом, сбор данных не входит в обработку данных. Кроме того, выделяется блокирование данных - временное прекращение извлечение и/или использование данных. Также не относится к обработке распространение данных, которое состоит из обнародования данных через средства массовой информации, размещение их в информационно-телекоммуникационных сетях или предоставление доступа к данным для неограниченного круга лиц каким-либо иным способом. Под передачей данных в данном законе подразумевается предоставление оператором какому-то лицу доступа к данным. В этой связи, в данном законе более четко прописан оператор информационной системы, в частности, - это субъект, осуществляющий работу с информационной системой на законных основаниях и определяющий цели, содержание и применение результатов обработки данных.

В законопроекте используется термин "функциональные возможности информационных технологий", которые также не определены. Попытаемся догадаться, что это такое. В [3] данное понятие не используется, но определен оператор информационной системы, который ее эксплуатирует, в том числе осуществляет обработку информации, содержащейся в ее базах данных. Таким образом, оператор или иное лицо, получившее право на доступ к информации или/и функциональным возможностям информационной технологии, может получать информацию или/и осуществлять с ней доступные операции. При этом т. к. информационная технология может иметь возможность оперировать и с самими ее функциями, то сами функциональные возможности включают и такую возможность.

Казалось бы, что ст. 16 [3], посвященная защите информации, должна быть согласована с нормами законопроекта специального технического регламента "О безопасности информационных технологий" [5], однако это не так. Если в [5] даны определения трем основным терминам (доступность, конфиденциальность и цельность), то в [3] только определена конфиденциальность информации.

Удивительно, но в соответствии с [3] защита информации представляет собой принятие некоторых мер, направленных на обеспечение защиты информации. Среди этих мер есть действия, предотвращающие неправомерные действия в виде доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения и иных неправомерных действий. К сожалению и законопроект в части защиты информации так же имеет недостатки, в частности, в нем под конфиденциальностью понимают состояние защищенности информации ограниченного доступа от неправомерного раскрытия. Что такое раскрытие не расшифровывается. Под целостностью в [5] понимается состояние защищенности информации и функциональных возможностей информационных технологий от модификации, подмены и уничтожения неправомочным способом. Таким образом, в [5] защита информации превращается в состояние защищенности информации при обеспечении безопасности при эксплуатации информационных технологий в целях защиты жизни и здоровья граждан и далее по тексту.

Так что же мы должны делать? Защищать информацию или обеспечивать безопасность информационных технологий и соответственно информации. Это пример того, как неправильно выбранные термины, включенные в закон, могут искажать реальность.

Термины "защита информации" и "безопасность информации" необходимо различать. Зададим первый вопрос: можно ли в принципе защищать нематериальную информацию? В связи с тем, что мы разделяем понятия "данные", "информация" и "знания", на наш взгляд, под защитой информации надо понимать защиту данных, т. е. деятельность, направленную на предотвращение нарушения целостности, сохранности и подлинности защищаемых данных, а также непосредственно саму защиту как объект, включающий в себя средства и способы защиты, и, наконец, создание таких условий для защищаемых данных, при которых гарантировано обеспечивается целостность, сохранность и подлинность данных [6]. При этом обратим внимание на то, что целостность защиты данных важнее целостности данных, т. к. нарушение целостности защиты данных еще не является нарушением целостности информации, содержащихся в данных или конфиденциальности. Например, если к двум субъектам попадает конверт с данными (шифрами и кодами счетов в банке), то один из них может просто не понять, о чем эта информация, а другой может тут же пойти и нелегально снять деньги. В целом же защита представляет собой свойство, характеризующее способность объекта препятствовать нанесению ущерба или уменьшать его уровень.

В этой связи, защита информации (данных) является одним из элементов системы безопасности информации. Можно выделить в данной системе три подсистемы: реализации безотказности, доступности и защиты информации. Не надо забывать, что данные могут быть открытыми (не защищенными), но если они будут не доступными, например, по причине наличия очереди на доступ к ним (времени ожидания), то безопасность может быть нарушена. На наш взгляд, безопасность информационных технологий в соответствии с [5] не должно определяться только ее состоянием и характеризоваться доступностью, конфиденциальностью и целостностью, где две последние, в свою очередь зависят от состояния защищенности, но и от условий, в которых находятся данные технологии.

Под безопасностью, в частности данных, будем понимать не только деятельность по реализации защиты данных, безотказности технологии и организации контролируемого окружения, но и мониторинг неконтролируемого окружения. Поэтому безопасность информации (данных, информационных технологий) должна удовлетворять требованиям норм, в которых определены свойства отчуждаемых данных; требованиям правил (процедур), в которых определены состояния процессов взаимодействия, и требованиям условий, в которых определены ситуации среды продуцирования. Аналогичные требования должны быть предъявлены и к защите данных.

В связи с тем, что информационные технологии могут функционировать не только в не контролируемом окружении, но и в не дружественном окружении, необходимо оценивать риск причинения ущерба от нарушения системы информационной безопасности. Обычно риск причинения ущерба оценивается показателем в виде произведения степени вероятности наступления негатива, возможной величины ущерба и длительности негативных последствий. В теории безопасности выделяют три степени ущерба, в котором может находиться объект: неработоспособное состояние, опасное состояние и аварийное состояние. Неработоспособное состояние характеризуется нарушением обязательных требований и определяется приемлемым ущербом. Опасное состояние возникает в результате происшествия и определяется неприемлемым, но допустимым ущербом. Аварийное состояние возникает в результате аварии и определяется недопустимым ущербом. Таким образом, можно выделить три степени ущербного состояния объекта: угрожающее, опасное и вредное и тем самым разделить следующие понятия: угроза, опасность и вред. Сам же ущерб определяется как состояние объекта, характеризующее процесс его негативного изменения.

Для того чтобы предотвращать негатив необходимо учитывать причины возникновения негатива, путем оценки вероятности возникновения причин возможных негативов. Однако нейтрализация причин негатива может не дать искомого результата, т. к. могут оставаться источники опасности. В этой связи необходим анализ возможных источников опасности, а для этого надо уметь оценивать вероятность появления источников опасности.

Таким образом, в [5] должны быть установлены не только требования к обеспечению безопасности при эксплуатации информационных технологий :, но и другие факторы. Законопроект должен регулировать отношения в сфере безопасности информационных технологий или реализации информационной безопасности, в том числе определять юридический статус субъектов данных отношений, а также регулировать требования на взаимодействия данных субъектов как внутри информационных технологий и информационных систем, так и вне их.

К сожалению, Законопроект слабо связан с ГОСТом [12] по защите информации. Кроме того, отметим, что мы различаем такие понятия как безопасность, пригодность и качество, которые иногда рассматриваются как синонимы [10]. Наши критические замечания Доктрины информационной безопасности РФ приведены в [11].

Далее необходимо остановиться на коренных вопросах. Возможно ли техническое регулирование информационных технологий? Что является объектом технического регулирования в информационных технологиях? Почему в списке видов безопасности в ФЗ РФ "О техническом регулировании" [7] нет информационной безопасности (существует ли информационная безопасность)?

Объектом технического регулирования может быть продукция - результат деятельности, представленный в материально-вещественной форме и предназначенный для дальнейшего использования в хозяйственных или иных целях, в том числе и процесс производства, эксплуатации ... [7]. Если исходить, из того, что информация нематериальна (правильнее говорить - идеальна), то тогда информационная безопасность не существует, нет такого понятия как идеальная продукция, и информация не может быть объектом технического регулирования. Однако любая информация представлена на материально-вещественном носителе, поэтому, если ввести понятие информационный объект, например как информационный продукт, информационный товар, информационная услуга, то тогда появляется возможность использовать юридические термины продукция, товар, услуга. Кроме того, необходимо не забывать, что информация не только идеальна, но и субъективна, т. к. разные люди могут извлечь разный объем информации из одних и тех же данных. Таким образом, информация фактически является метафорой для обозначения свойств отображения чего-либо в некоторых данных. При этом данные могут отображать сами себя, нечто отличное от них и неизвестно что. Если индивид (человек или устройство) целенаправленно фиксирует в своей памяти (отражает или отображает) нечто, то это можно расценить как сбор данных. Однако документированная информация или только отображенные данные на вещественном или/и материальном носителе можно отнести к информационным объектам, т. к. они имеют объективную форму. Отметим, что вообще-то существуют и действительные объекты, которые также могут выступать как носители информации [8]. В качестве продукта продуцента мы рассматриваем не только продукцию (отчуждаемый материально-вещественный результат), но и процесс продуцирования, в том числе взаимодействия с получателем (потребителем) или сопродуцентом, а также элементы среды, в которой происходит продуцирование. В этой связи, документированная информация, информационная технология и информационная система являются материально-вещественными продуктами или в терминах [7] продукцией и процессами производства, эксплуатации, а стало быть, объектами технического регулирования, т. к. данная продукция и процессы могут причинить вред жизни или здоровью граждан, имуществу, окружающей среде. Информационные технологии используются не только гражданами, но и в промышленных технологиях и оказывают существенное влияние на все виды безопасности. Кроме того, они могут опосредованно воздействовать на безопасность окружающей среды.

В заключение отметим, что реальные процессы, происходящие в информационной сфере, слабо регламентируются нормами информационных законов, и поэтому остро необходим Информационный кодекс, но соответствующий юридическим и профессиональным требованиям. В [9] отмечается, что основной аспект методологии законотворчества касается учета причин, целей и юридического содержания законопроекта, отражает метод регулирования определенных отношений через императивные, диспозитивные и иные мобилизующие средства, необходимые для достижения целей закона.
Литература
Федеральный закон РФ "Об информации, информатизации и защите информации" // Система Гарант.
Федеральный закон РФ "О международном информационном обмене" // Система Гарант.
Федеральный закон РФ "Об информации, информационных технологиях и защите информации" // Российская газета, 29 июля 2006 г.
Федеральный закон РФ "О персональных данных" // Российская газета, 29 июля 2006 г.
Законопроект технического регламента "О безопасности информационных технологий" // nitr.ru.
Нестеров А. В. Философия защиты информации // НТИ. - Сер.1. - 2004. - №3. - С. 1 - 9.
Федеральный закон РФ "О техническом регулировании" // Система Консультант+.
Нестеров А. В. Философия информационных услуг // НТИ. - Сер.1. - 2005. - №.12. - С. 1 - 7.
Бачило И. Л. О методологии и юридической технике законотворчества // Государство и право. - 2006. - №6. - С. 14 - 22.
Нестеров А. В. Философия качества // Компетентность. - 2004. - №1. - С. 28 - 36.
Нестеров А. В. Некоторые соображения по поводу "Доктрины информационной безопасности РФ" // НТИ. - Сер. 1. - 2001. - №4. - С.1-5.
ГОСТ Р 50922- 96. Защита информации.

Информационная безопасность   Теги: Безопасность

Читать IT-новости в Telegram
Информационные технологии
Мы в соцсетях ✉