Классификация угроз безопасности
Защита информации
Понятие и сущность защиты информации
По содержательной части защита информации рассматривается как:
- предупреждение несанкционированного доступа к информации;
- создание условий, ограничивающих распространение информации;
- ограждение права собственника на владение и распоряжение информацией;
- предотвращение утечки, хищения, утраты, несанкционированного уничтожения, копирования, модификации, искажения, блокирования, разглашения информации, несанкционированных и непреднамеренных воздействий на нее;
- сохранение полноты, надежности, целостности, достоверности, конфиденциальности информации и т.д.
Методологической основой для раскрытия сущности и определения понятия защиты информации должно быть определение понятия защита в целом, безотносительно к предмету защиты.
В толковых словарях термин защита интерпретируется двояко: как процесс охраны, сбережения, спасения от кого, чего-нибудь неприятного, враждебного, опасного и как совокупность методов, средств и мер, принимаемых для предотвращения, предупреждения чего-то. Таким образом, содержательная часть в этих определениях по смыслу совпадает – это предотвращение, предупреждение чего-то опасного, враждебного. Если соотнести это положение с защитой информации, то самым опасным для собственника информации является нарушение установленного статуса информации, и поэтому содержательной частью защиты должно быть, предотвращение такого нарушения.
Нарушение статуса любой информации заключается в нарушении ее физической сохранности вообще либо у данного собственника (в полном или частичном объеме), структурной целостности, доступности для правомочных пользователей. Нарушение статуса конфиденциальной информации, в том числе составляющей государственную тайну, дополнительно включает в себя нарушение ее конфиденциальности (закрытости для посторонних лиц).
Вторая составляющая сущности защиты информации – способ реализации содержательной части – в толковых словарях, как уже отмечалось, представлена как процесс или как совокупность методов, средств и мероприятий.
Защита информации включает в себя определенный набор методов, средств и мероприятий, однако ограничивать способ реализации только этим было бы неверно. Защита информации должна быть системной, а в систему помимо методов, средств и мероприятий входят и другие компоненты: объекты защиты, органы защиты, пользователи информации. При этом защита не должна представлять собой нечто статичное, а являться непрерывным процессом. Но этот процесс не осуществляется сам по себе, а происходит в результате деятельности людей. Деятельность же, по определению, включает в себя не только процесс, но и цели, средства и результат. Защита информации не может быть бесцельной, безрезультатной и осуществляться без помощи определенных средств. Поэтому именно деятельность и должна быть способом реализации содержательной части защиты.
Объединив содержательную часть защиты информации и способ реализации содержательной части, можно сформулировать следующее определение:
Защита информации – деятельность по предотвращению утраты и утечки конфиденциальной информации и утраты защищаемой открытой информации.
Цель защиты информации – желаемый результат защиты информации. Целью защиты информации может быть предотвращение ущерба собственнику, владельцу, пользователю информации в результате возможной утечки информации и/или несанкционированного и непреднамеренного воздействия на информацию.
Концепция информационной безопасности, как система взглядов на цели, способы обеспечения безопасности информации и средства ее защиты, должна в общем виде отвечать на три простых вопроса:
- Что защищать?
- От чего защищать?
- Как защищать?
С вопросом «Что защищать?» связано понятие объекта защиты.
Объект защиты – информация или носитель информации, или информационный процесс, в отношении которых необходимо обеспечивать защиту в соответствии с поставленной целью защиты информации;
Объект защиты – информация, технические средства и технология ее обработки, в отношении которых необходимо обеспечить безопасность информации.
Ключевое свойство информации – ее ценность, то есть, стоимость ущерба от разрушения, потери или разглашения. Кроме того, спецификой информации является то, что она не исчезает при потреблении, не передается полностью при обмене (в отличие от денег она остается и у старого пользователя). С одной стороны, она является «неделимой», то есть имеет смысл только при достаточно полном объеме сведений, с другой стороны, качество ее повышается при добавлении новых достоверных данных, то есть можно проводить постепенное накапливание сведений и небольшими частями. Поэтому, прежде чем ответить на первый вопрос, необходимо четко разобраться, какая информация может потребовать защиты. (Это может быть, например, весь объем данных, накапливающийся и формирующийся в фирме, которые имеют коммерческую значимость, сведения о поставщиках и производителях, о продавцах и дилерах, о договорах и клиентах, планы фирмы, предельные цены, размеры премий дилерам и посредникам, имена и адреса сотрудников, себестоимость продукции, маркетинговые и аналитические исследования).
Следующим шагом должно стать разделение этих объектов защиты по степени ценности содержащейся в них информации и определение потенциально опасных систем, позволяющих получить к ним доступ. Поэтому все описанные средства несанкционированного съема информации привязаны к конкретному носителю, для работы с которым они предназначены. На основании вышеизложенного можно практически ответить на первый вопрос. Если хоть в общих чертах знать основные методы работы злоумышленников и возможности их аппаратуры, то это не займет много времени.
Многие службы безопасности крупных коммерческих структур успешно проводят операции по добыванию информации о потенциальных клиентах, партнерах или конкурентах. Они же жестко контролируют собственных сотрудников во избежание утечки своих секретов. Нельзя забывать, что интеграция России в международные организации, участие в совместных фирмах и проектах делает отечественных предпринимателей объектом внимания частных и даже государственных служб разведки Запада и Востока.
Вопрос «От чего защищать?» связан с понятием угрозы. Угроза – потенциальная возможность неправомерного преднамеренного или случайного воздействия, приводящее к потере или разглашению информации. Обычно выделяют внутренние и внешние источники угроз.
С вопросом «Как защитить информацию?» неотъемлемо связано понятие система защиты информации.
Система защиты информации – совокупность органов и/или исполнителей, используемая ими техника защиты информации, а также объекты защиты, организованные и функционирующие по правилам, установленным соответствующими правовыми, организационно-распорядительными и нормативными документами по защите информации.
Основными целями защиты информации являются:
- предотвращение утечки, хищения, утраты, искажения, подделки информации;
- предотвращение угроз безопасности личности, общества, государства;
- предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации;
- предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы;
- обеспечение правового режима документированной информации как объекта собственности;
- защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;
- сохранение государственной тайны документированной информации в соответствии с законодательством;
- обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологий и средств их обеспечения.
В соответствии с этими целями процесс защиты информации должен обеспечить поддержание ее целостности и конфиденциальности.
Классификация и характеристика основных методов и средств защиты
К настоящему времени разработано много различных средств, методов, мер и мероприятий, предназначенных для защиты информации. Сюда входят:
- аппаратные и программные средства,
- криптографическое закрытие информации,
- физические меры,
- организационные мероприятия,
- законодательные меры,
- морально-этические средства.
Иногда все эти средства защиты делятся на технические и нетехнические, причем, к техническим относят аппаратные и программные средства и криптографическое закрытие информации, а к нетехническим – все остальные.
Аппаратные средства – устройства, встраиваемые непосредственно в вычислительную технику, или устройства, которые сопрягаются с ней по стандартному интерфейсу. К аппаратным средствам защиты относятся различные электронные, электронно-механические, электронно-оптические устройства. Например, генераторы кодов, предназначенные для автоматического генерирования идентифицирующего кода устройства, устройства измерения индивидуальных характеристик человека (голоса, отпечатков) с целью его идентификации (биометрическая идентификация), и т.д. Особую и получающую наибольшее распространение группу аппаратных средств защиты составляют устройства для шифрования информации (криптографические методы).
Программные средства – это специальные программы и программные комплексы, предназначенные для защиты информации в ИС. К программным средствам защиты относятся специальные программы, которые предназначены для выполнения функций защиты и включаются в состав программного обеспечения систем обработки данных. Программная защита является наиболее распространенным видом защиты, чему способствуют такие положительные свойства данного средства, как универсальность, гибкость, простота реализации, практически неограниченные возможности изменения и развития и т.п.
Криптографическое закрытие (шифрование) информации заключается в таком преобразовании защищаемой информации, при котором по внешнему виду нельзя определить содержание закрытых данных. Криптографической защите специалисты уделяют особое внимание, считая ее наиболее надежной, а для информации, передаваемой по линии связи большой протяженности – единственным средством защиты информации от хищений.
Физические средствавключают различные инженерные устройства и сооружения, препятствующие физическому проникновению злоумышленников на объекты защиты и осуществляющие защитуперсонала (личные средства безопасности), материальных средств и финансов, информации от противоправных действий. Примеры физических средств: замки на дверях, решетки на окнах, средства электронной охранной сигнализации и т.п.
Организационные средстваосуществляют своим комплексом регламентацию производственной деятельности в ИС и взаимоотношений исполнителей на нормативно-правовой основе таким образом, что разглашение, утечка и несанкционированный доступ к конфиденциальной информации становится невозможным или существенно затрудняется за счет проведения организационных мероприятий. Комплекс этих мер реализуется группой информационной безопасности, но должен находиться под контролем первого руководителя.
Законодательные средствазащиты определяются законодательными актами страны, которыми регламентируются правила пользования, обработки и передачи информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил.
Морально-этические средствазащиты включают всевозможные нормы поведения, которые традиционно сложились ранее, складываются по мере распространения ИС и ИТ в стране и в мире или специально разрабатываются. Морально-этические нормы могут быть неписаные (например, честность) либо оформленные в некий свод (устав) правил или предписаний. Эти нормы, как правило, не являются законодательно утвержденными, но поскольку их несоблюдение приводит к падению престижа организации, они считаются обязательными для исполнения.
Мероприятия по защите информации:
Организационные – мероприятия ограничительного характера, сводящиеся к регламентации доступа и использования технических средств обработки информации.
Организационно-технические – обеспечивают блокирование возможных каналов утечки информации через технические средства с помощью специальных устройств, устанавливаемых на элементы конструкций зданий, помещений, технических средств обработки информации.
Технические – приобретение, установка и использование защищенных от различных воздействий технических средств обработки информации.
Принято различать следующие основные виды средств защиты:
- Нормативно-правовые
- Морально-этические
- Организационные
- Технические.
Нормативно-правовые – включают в себя законы и другие правовые акты, а также механизмы их реализации, регламентирующие информационные отношения в обществе.
Морально-этические – правила и нормы поведения, направленные на
обеспечение безопасности информации, не закрепленные законодательно или административно, но поддерживаемые в коллективах через традиции и механизм общественного мнения.
Организационные – правила, меры и мероприятия, регламентирующие вопросы доступа, хранения, применения и передачи информации, вводимые в действие административным путем. Без выполнения этих правил установка любых, даже самых дорогих, технических средств защиты обернется пустой тратой денег для организации, в которой не решены на должном уровне организационные вопросы. И это справедливо для любых каналов утечки.
Технические средства – это комплексы специального технического и программного обеспечения, предназначенные для предотвращения утечки обрабатываемой или хранящейся информации путем исключения несанкционированного доступа к ней с помощью технических средств съема.
Реальная система защиты включает в себя все перечисленные виды средств и, как правило, создается путем их интеграции. Главной трудностью в ее создании является то, что она одновременно должна удовлетворять двум группам прямо противоположных требований: обеспечивать надежную защиту информации и не создавать заметных неудобств. Обычно совместить эти требования удается только достаточно квалифицированному профессионалу. Кроме того, система защиты должна быть адекватна возможным угрозам, с обязательной оценкой как вероятности их появления, так и величины реального ущерба от потери или разглашения информации, циркулирующей в определенном носителе.
Защищаемая информация
Защищаемая информация – информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.
К основным объектам информационной безопасности государства относят:
- информационные ресурсы, содержащие сведения, составляющие государственную тайну, коммерческую тайну и другую конфиденциальную информацию;
- систему формирования распространения и использования информационных ресурсов, включающую в себя информационные системы различного класса и назначения, информационные технологии, регламенты и процедуры сбора, обработки, хранения и передачи информации, научно-технический и обслуживающий персонал;
- информационную инфраструктуру, включая центры обработки и анализа информации, каналы информационного обмена и телекоммуникации, механизмы обеспечения функционирования телекоммуникационных систем и сетей, в том числе системы и средства защиты информации.
Информационная безопасность перечисленных объектов создает условия надежного функционирования государственных и общественных институтов, юридических лиц и отдельных граждан. Средства ее обработки, накопления, хранения и передачи постоянно совершенствуются. Информация как категория, имеющая действительную или потенциальную ценность, стоимость, как и любой другой вид ценности, охраняется, защищается ее собственником или владельцем.
Собственник защищаемой информации – юридическое или физическое лицо, которое по своему усмотрению владеет, пользуется и распоряжается принадлежащей ему информацией.
Владелец защищаемой информации – юридическое или физическое лицо, которое имеет полномочия владеть, пользоваться и распоряжаться данной информацией по договору с собственником, в силу закона или решения административных органов.
Каждое государство защищает свои информационные ресурсы. Информационные ресурсы государства в самом первом приближении могут быть разделены на три большие группы:
- информация открытая – на распространение и использование которой не имеется никаких ограничений;
- информация запатентованная – охраняется внутригосударственным законодательством или международными соглашениями как объект интеллектуальной собственности;
- информация, «закрываемая» ее собственником, владельцем и защищаемая с помощью отработанных механизмов защиты государственной, коммерческой или другой охраняемой тайны. К этому виду относят обычно информацию, не известную другим лицам, которая или не может быть запатентована или умышленно не патентуется с целью избежания или уменьшения риска завладения этой информацией соперниками, конкурентами.
Защищают и охраняют, как правило, не всю или не всякую информацию, а наиболее важную, ценную для ее собственника, ограничение распространения которой приносит ему какую-то пользу или прибыль, возможность эффективно решать стоящие перед ним задачи.
Какую информацию относят к защищаемой?
Во-первых, секретную информацию. К секретной информации в настоящее время принято относить сведения, содержащие государственную тайну.
Во-вторых, конфиденциальную информацию. К этому виду защищаемой информации относят обычно сведения, содержащие коммерческую тайну, а также тайну, касающуюся личной (неслужебной) жизни и деятельности граждан.
Таким образом, под защищаемой информацией понимают сведения, на использование и распространение которых введены ограничения их собственником.
Защищаемая информация имеет следующие отличительные признаки:
- засекречивать информацию, то есть ограничивать к ней доступ, может только ее собственник (владелец) или уполномоченные им на то лица;
- чем важнее для собственника информация, тем тщательнее он ее защищает. А для того чтобы все, кто сталкивается с этой защищаемой информацией, знали, что одну информацию необходимо оберегать более тщательно, чем другую, собственник определяет ей различную степень секретности;
- защищаемая информация должна приносить определенную пользу ее собственнику и оправдывать затрачиваемые на ее защиту силы и средства.
Таким образом, одним из основных признаков защищаемой информации являются ограничения, вводимые собственником информации на ее распространение и использование.
Носители защищаемой информации
Информацию можно рассматривать с точки зрения отображения ее на каких-то или в каких-то материальных (физических) объектах, которые длительное время могут сохранять ее в относительно неизменном виде или переносить ее из одного места в другое.
Носители информации– материальные объекты, в том числе физические поля, в которых, информация находит свое отображение в виде символов, образов, сигналов, технических решений и процессов, создавая тем самым возможность для ее накопления, хранения, передачи и использования.
Для записи как секретной, так и несекретной информации используются одни и те же носители.
Как правило, носители секретной и конфиденциальной информации охраняются собственником этой информации. Это вызвано тем, что если к ним получит несанкционированный доступ соперник или лицо, от которого эта информация охраняется, то носитель может стать источником информации, из которого это лицо может незаконно добыть интересующую его и защищаемую от него информацию.
Носители защищаемой информации можно классифицировать следующим образом:
- человек;
- документы;
- изделия (предметы);
- вещества и материалы;
- электромагнитные, тепловые, радиационные и другие излучения;
- гидроакустические, сейсмические и другие поля; геометрические формы строений, их размеры и т.п.
Мозг человека представляет собой исключительно сложную систему, хранящую и перерабатывающую информацию, поступающую из внешнего мира. Свойства мозга отражать и познавать внешний мир, накапливать в своей памяти колоссальные объемы информации, в том числе и секретной, естественно, ставят человека на первое место как носителя конфиденциальной информации. Человек как хранитель секретной и конфиденциальной информации обладает возможностью (кроме получения такой информации извне) генерировать новую информацию, в том числе секретную. У него как носителя защищаемой информации могут быть отмечены как позитивные черты, так и негативные.
Положительно то, что без согласия субъекта – носителя защищаемой информации, или, как еще говорят, секретоносителя, из его памяти, как правило, никакая информация не может быть извлечена. Он может давать оценку важности имеющейся у него в памяти информации и в соответствии с этим обращаться с нею. Он может ранжировать и потребителей защищаемой информации, то есть знать, кому и какую информацию он может доверить. В то же время он может заблуждаться в отношении истинности потребителя защищаемой информации, или встать на пути сознательного несохранения доверенной ему по службе или работе секретной или конфиденциальной информации: совершить государственную измену (шпионаж, выдача государственной или служебной тайны врагу и т.п.) или разболтать секреты своим знакомым и родственникам.
Документ – зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать. По форме документы как носители информации могут быть самыми разнообразными: бумага, кино- и фотопленка, магнитные ленты и диски, перфорированные ленты и карты и др. Информация, записанная на носителе, может быть в виде текста, чертежей, формул, графиков, карт и т.п.
На документе, носителе защищаемой информации, указывается степень закрытости информации (гриф секретности), поэтому потребитель, имея такие данные на руках, может знать кому и как с этой информацией обращаться. Уровень защиты секретных документов может быть организован с учетом важности содержащихся в них охраняемых сведений. Слабыми свойствами документа как носителя защищаемой информации являются следующие. Если к документу получил несанкционированный доступ недобросовестный потребитель, то он может воспользоваться информацией в своих целях (если она не зашифрована). Документ может быть также утрачен: похищен или уничтожен, испорчен и т.д. За документальной информацией чаще охотятся и иностранные разведки.
Изделия (предметы) как носители защищаемой информации также довольно распространены. Под ними понимаются засекреченные образцы и комплексы вооружения, военной и другой техники; оборудование; функциональные системы, агрегаты, приборы, входящие в состав комплексов или образцов; комплектующие элементы – сборочные единицы и детали, не имеющие самостоятельного эксплуатационного назначения и предназначенные для выполнения соответствующих функций в составе оборудования, образцов вооружения, военной и другой техники. Выполнение ими функций носителей информации осуществляется попутно с выполнением этими изделиями своего основного назначения.
Является ли то или иное изделие секретным может определить только специалист. Особенно, если это касается каких-то комплектующих элементов или оборудования.
Материалы и вещества при определенных условиях также могут выступать в качестве носителей защищаемой информации. В их числе можно назвать конструкционные и эксплуатационные материалы, полуфабрикаты, сырье, топливо и т.п., применяемые при изготовлении и эксплуатации техники и ее элементов. Например, термостойкие покрытия космического корабля.
К веществам, которые могут нести информацию о режимном объекте, относятся также отходы режимных предприятий (вода, воздух, осадки на земле вокруг объекта и т.п.). Чтобы эту информацию можно было использовать, ее необходимо декодировать с помощью специальных приборов. Примером того, как этот вид носителей защищаемой информации интересует иностранные разведки, могут служить случаи задержания разведчиков и агентов спецслужб на границе с пробами воды, грунта, растений и др.
Радио- и электромагнитные излучения различной частоты переносят информацию от источника информации (радиопередатчика, излучателя) к приемнику и являются «продуктом» работы радиотехнических и других систем, и, следовательно, несут информацию об этих системах. Радио- и электромагнитные излучения могут переносить и конфиденциальную, и секретную информацию. Их распространение, как правило, неконтролируемо и может перехватываться соперником, Для их приема необходимы соответствующие технические приспособления и приборы. О том, что данная перехваченная информация является секретной, может судить только специалист. Для возможного использования такая информация должна быть предварительно декодирована.
Понятие и структура угроз защищаемой информации
Одной из главных особенностей проблемы защиты информации является требование полноты определения угроз информации, потенциально возможных в современных информационных системах. Даже один неучтенный (невыявленный, не принятый во внимание) дестабилизирующий фактор может в значительной степени снизить (и даже свести на нет) эффективность защиты.
Угроза безопасности информации – это потенциально существующая возможность случайного или преднамеренного действия или бездействия, в результате которого может быть нарушена безопасность информации (данных).
Угроза безопасности информации – совокупность условий и факторов, создающих потенциальную или реально существующую опасность, связанную с утечкой информации, и/или несанкционированными и/или непреднамеренными воздействиями на нее.
Угроза – это человек, вещь, событие или идея, которая представляет некоторую опасность для ценностей, нуждающихся в защите.
Угроза – это потенциальная возможность определенным образом нарушить информационную безопасность.
Попытка реализации угрозы называется атакой, а тот, кто предпринимает такую попытку, – злоумышленником. Потенциальные злоумышленники называются источниками угрозы.
Угрозы безопасности информации в современных информационных системах обусловлены:
- случайными и преднамеренными разрушающими и искажающими воздействиями внешней среды;
- степенью надежности функционирования средств обработки информации;
- преднамеренными корыстными воздействиями несанкционированных пользователей, целью которых является хищение, разглашение, уничтожение, разрушение, несанкционированная модификация и использование обрабатываемой информации;
- непреднамеренными, случайными действиями обслуживающего персонала и др.
Классификация угроз безопасности
Основные проявления рассмотренных угроз заключаются в незаконном владении конфиденциальной информацией, ее копировании, модификации, уничтожении в интересах злоумышленников с целью нанесения ущерба как материального, так и морального. Кроме этого, непреднамеренные действия обслуживающего персонала и пользователей также приводят к нанесению определенного ущерба.
Основными путями реализации угроз являются:
- агентурные источники в органах управления и защиты информации;
- вербовка должностных лиц органов управления, организаций, предприятий и т.д.;
- перехват и несанкционированный доступ к информации, с использованием технических средств разведки;
- использование преднамеренного программно-математического воздействия;
- подслушивание конфиденциальных переговоров в служебных помещениях, транспорте и других местах их ведения.
Факторами, обусловливающими информационные потери и различные виды ущерба, являются:
- несчастные случаи, вызывающие выход из строя оборудования и информационных ресурсов (пожары, взрывы, аварии, удары, столкновения, падения, воздействия химических или физических сред);
- поломки элементов средств обработки информации;
- последствия природных явлений (наводнения, бури, молнии, землетрясения и др.);
- кражи, преднамеренная порча материальных средств;
- аварии и выход из строя аппаратуры, программного обеспечения, без данных;
- ошибки накопления, хранения, передачи, использования информации, восприятия, чтения, интерпретации содержания информации, соблюдения правил, неумения, оплошности, наличие помех, сбои и искажения отдельных элементов и знаков или сообщения;
- ошибки эксплуатации: нарушение защиты, переполнение файлов, ошибки языка управления данными, ошибки при подготовке и вводе информации;
- злонамеренные действия в материальной сфере; болтливость, разглашение;
- убытки социального характера (уход, увольнение, забастовка и др.).
Основные виды угроз: внешние и внутренние. К внутренней угрозе относятся как преднамеренные действия, так и непреднамеренные ошибки персонала. Внешние угрозы весьма разнообразны.
Особенности защиты документированной информации
Конфиденциальность предполагает сохранение прав на информацию, ее неразглашение (секретность) и неизменность во всех случаях, кроме правомочного использования.
Конфиденциальная информация– документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации.
Владельцами (собственниками)конфиденциальной информации могут быть:
- государство и его структуры (органы). В этом случае к ней относятся сведения, являющиеся государственной, служебной тайной, иные виды защищаемой информации, принадлежащей государству или ведомству. В их числе могут быть и сведения, являющиеся коммерческой тайной;
- предприятия, товарищества, акционерные общества (в том числе и совместные) и другие – информация является их собственностью и составляет коммерческую тайну;
- общественные организации – как правило, партийная тайна, не исключена также государственная и коммерческая тайна;
- граждане государства: их права (тайна переписки, телефонных и телеграфных разговоров, врачебная тайна и др.) гарантируются государством, личные тайны – их личное дело. Следует отметить, что государство не несет ответственности за сохранность личных тайн.
Классификация информации по степени ее конфиденциальности без отнесения ее к какому-то конкретному виду выглядит несколько абстрактной. Но она дает представление о возможности ранжирования защищаемой информации по степени ее важности для собственника. Всю информацию по степени секретности можно разделить на пять уровней:
1. Особой важности (особо важная);
2. Совершенно секретная (строго конфиденциальная);
3. Секретная (конфиденциальная);
4. Для служебного пользования (не для печати, рассылается по списку);
5. Несекретная (открытая).
Следует отметить, что чем выше секретность информации определена ее собственником, тем выше уровень ее защиты, тем более дорогостоящей она становится, тем уже круг лиц, знакомящихся с этой информацией.
По содержаниюзащищаемая информация может быть разделена на политическую, экономическую, военную, разведывательную и контрразведывательную, научно-техническую, технологическую, деловую и коммерческую.
Следует отметить, что вышеизложенные классификации не являются исчерпывающими и их разработка еще предстоит науке и законодательству.
Защите подлежит вся конфиденциальная информация и определяемая собственником часть открытой информации. Защита информации осуществляется дифференцированно, в том числе и с зависимостью от состава информации и принадлежностью конфиденциальной информации к различным видам тайны. От того, какой вид тайны защищается, зависят и организация, и технология, и уровень защиты. До сих пор четко не определены не только границы, но и понятия некоторых видов тайн и даже их состав. То есть виды тайны не имеют четкой правовой регламентации с указанием необходимых оснований для отнесения конфиденциальной информации к определенным видам тайны.
Структура классификации информации:
- носители: документированная и недокументированная;
- право собственности: государственные и негосударственные информационные ресурсы;
- условия правового режима: государственная тайна и конфиденциальная информация.
Персональные данные – сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность. Персональные данные на всех работников компании обычно хранятся в отделе кадров. При этом компания несет ответственность перед работниками в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.
Личная тайна – защищаемая физическим лицом информация личного характера, распространение которой может нанести моральный или материальный ущерб отдельному физическому лицу.
Служебная тайна – служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом РФ и федеральными законами.
Коммерческая тайна – информация, не являющаяся государственными секретами, связанная с производственной, технической, технологической информацией, управлением финансовой и другой деятельностью предприятия, разглашение (передача, утечка) которой может нанести ущерб его интересам.
Коммерческая тайна – не являющиеся государственными секретами сведения, связанные с производством, технологической информацией, управлением, финансами и другой деятельностью предприятия, разглашение (передача, утечка) которых может нанести ущерб его интересам.
Профессиональная тайна – сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами. В части компании, занимающейся предоставлением услуг связи, – это информация операторов связи и иных клиентов, которая передается и обрабатывается в информационно-телекоммуникационных ресурсах компании.
Государственная тайна– защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации.
Классификация конфиденциальной информации по степеням конфиденциальности
Современные западные стандарты (например, ISO 17799), используют следующую классификацию:
- открытая информация;
- конфиденциальная информация;
- строго конфиденциальная информация.
Такое деление не является правильным с учетом нормативных документов, действующих на территории РФ. Согласно действующему законодательству Российской Федерации можно применить следующее разграничение информации по степени конфиденциальности:
- открытая информация (ОИ);
- для внутреннего использования (ДВИ);
- конфиденциальная информация (КИ).
При этом необходимо отметить, что право на отнесение информации к какому-либо грифу конфиденциальности и определение перечня и состава такой информации принадлежит ее обладателю.
Базовыми принципами защиты информации являются конфиденциальность, целостность и доступность, соблюдение которых есть необходимое условие обеспечения безопасности различных категорий информации.
Дата добавления: 2016-12-16; просмотров: 4643;