Понятие и сущность защиты информации

 

В настоящее время большинство авторов в определение комплексной системы защиты информации включают три основных компонента: объект, угроза, защита[1]. Объектом защиты в данном случае являются информация или носитель информации, или информационный процесс, которые необходимо защищать в соответствии с поставленной целью защиты информации[2]. В связи с возможностью перехода информации из одной формы в другую, а также с многообразием видов носителей информации определить полный перечень объектов защиты практически невозможно. Обычно объекты защиты определяют по основному признаку – содержат ли они или циркулирует ли в них информация ограниченного доступа. В соответствии с Национальным стандартом РФ «Защита информации. Основные термины и определения» (ГОСТ Р 50922-2006) к объектам защиты информации могут быть отнесены: охраняемая территория, здание (сооружение), выделенное помещение, информация и (или) информационные ресурсы объекта информатизации.

Носитель информации - это материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин[3].

Различают следующие виды носителей информации:

- люди (обслуживающий персонал, пользователи информации и информационных ресурсов и др.; способность мозга человека познавать внешний мир, накапливать в памяти информацию, а также анализировать и перерабатывать ее с целью создания новой информации ставит чело­века на первое место как носителя конфиденциальной информации);

- документ (согласно ст.2 Федеральный закон от 27 июля 2006 г. № 149-ФЗ "Об информации, информационных технологиях и о защите информации" документированная информация - зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или в установленных законодательством Российской Федерации случаях ее материальный носитель[4]; данный термин указывает на три основных признака документа: наличие материального носителя информации; идентифицируемость зафиксированных на носителе сведений; возможность изменения форм ее закрепления, т.е. возможность копирования информации; могут быть классифицированы по ряду признаков: по видам деятельности, по происхождению, по месту возникновения, по содержанию, по гласности, по форме, по срокам хранения, в зависимости от способа воспроизведения, по стадиям создания и др.; являются наиболее информативными носителями, так как они содержат, как правило, достоверную информацию в отработанном и сжатом виде; особую ценность имеют подписанные и утвержденные документы);

- публикации (информационные носители в виде разнообразных изданий: книги, статьи, обзоры, сообщения, доклады, рекламные проспекты и т.д.; отграничивают содержание различных конференций, симпозиумов, научных семинаров и других подобных публичных форумов, где опытные специалисты собирают новую и самую ценную информацию);

- технические носители (носители любой формы, кино-, фотоматериалы, магнитные носители, видеодиски, распечатки данных и программ на принтерах и др.);

- технические средства обеспечения производственной и трудовой деятельности (телефоны, телевизоры, радиоприемники, системы громкоговорящей связи, усилительные системы, охранные и пожарные системы, автоматизированные системы обработки данных и др.);

- промышленные и производственные отходы (несут сведения об используемых материалах, их составе, особенностях производства, технологии).

Угроза – одно из ключевых понятий в сфере обеспечения информационной безопасности. В соответствии с Национальным стандартом РФ «Защита информации. Основные термины и определения» (ГОСТ Р 50922-2006) под угрозой (безопасности информации) понимается совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации. Фактором, воздействующий на защищаемую информацию, считается явление, действие или процесс, результатом которого могут быть утечка, искажение, уничтожение защищаемой информации, блокирование доступа к ней. Источником угрозы безопасности информации является субъект (физическое лицо, материальный объект или физическое явление), являющийся непосредственной причиной возникновения угрозы безопасности информации.

К наиболее важным свойствам угрозы относятся избирательность, предсказуемость и вредоносность. Избирательность характеризует нацеленность угрозы на нанесение вреда тем или иным конкретным свойствам объекта безопасности. Предсказуемость характеризует наличие признаков возникновения угрозы, позволяющих заранее прогнозировать возможность появления угрозы и определять конкретные объекты безопасности, на которые она будет направлена. Вредоносность характеризует возможность нанесения вреда различной тяжести объекту безопасности. Вред, как правило, может быть оценен стоимостью затрат на ликвидацию последствий проявления угрозы либо на предотвращение ее появления.

Необходимо выделить два наиболее важных типа угроз:

намерение нанести вред, которое появляется в виде объявленного мотива деятельности субъекта;

возможность нанесения вреда – существование достаточных для этого условий и факторов.

Особенность первого типа угроз заключается в неопределенности возможных последствий, неясности вопроса о наличии у угрожающего субъекта сил и средств, достаточных для осуществления намерения.

Возможность нанесения вреда заключается в существовании достаточных для этого условий и факторов. Особенность угроз данного типа состоит в том, что оценка потенциала совокупности факторов, которые могут послужить превращению этих возможностей и условий во вред, может быть осуществлена только собственно субъектами угроз.

Между угрозой и опасностью нанесения вреда всегда существует устойчивая причинно-следственная связь.

Угроза всегда порождает опасность. Опасность также можно представить как состояние, в котором находится объект безопасности вследствие возникновения угрозы этому объекту. Главное отличие между ними заключается в том, что опасность является свойством объекта информационной безопасности и характеризует его способность противостоять проявлению угроз, а угроза – свойством объекта взаимодействия или находящихся во взаимодействии элементов объекта безопасности, выступающих в качестве источника угроз. Понятие угрозы имеет причинно-следственную связь не только с понятием опасности, но и с возможным вредом как последствием негативного изменения условий существования объекта. Возможный вред определяет величину опасности.

Под защитой информации понимается деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию[5].

Более широким понятием защиты информации является комплекс организационных, правовых и технических мер по предотвращению угроз информационной безопасности и устранению их последствий.

Выделяют следующие виды защиты информации:

правовая защита информации - защита информации правовыми методами, включающая в себя разработку законодательных и нормативных правовых документов (актов), регулирующих отношения субъектов по защите информации, применение этих документов (актов), а также надзор и контроль за их исполнением;

техническая защита информации - защита информации, заключающаяся в обеспечении некриптографическими методами безопасности информации (данных), подлежащей (подлежащих) защите в соответствии с действующим законодательством, с применением технических, программных и программно-технических средств;

криптографическая защита информации - защита информации с помощью ее криптографического преобразования;

физическая защита информации - защита информации путем применения организационных мероприятий и совокупности средств, создающих препятствия для проникновения или доступа неуполномоченных физических лиц к объекту защиты.

Организационные мероприятия по обеспечению физической защиты информации предусматривают установление режимных, временных, территориальных, пространственных ограничений на условия использования и распорядок работы объекта защиты.

Понятие «защита информации» тесно связано с понятием «информационная безопасность». Сущность защиты информации заключается в предупреждении, выявлении, обнаружении угроз, ликвидации их последствий, т.е. в обеспечении безопасности информации. Под безопасностью информации[6] принято считать состояние защищенности информации, при котором обеспечены ее конфиденциальность, доступность, целостность. Информационная безопасность - это состояние защищенности информационной среды, информационная безопасность государства – состояние защищенности его национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства[7].

Понятие и содержание правового обеспечения информационной безопасности

 

В большинстве первых отечественных работ правовые меры защиты информации принято рассматривать в рамках организационно-правового обеспечения защиты информации. Объединение орга­низационных и правовых мер вызвано отчасти объективно сло­жившимися обстоятельствами:

- недостаточное количество нормативных, правовых актов, регулирующих вопросы обеспечения информационной безопасности на федеральном уровне;

- преобладающее количество ведомственных норма­тивных документов, содержащих организационные требования по обеспечению защи­ты информации;

- внедрение автоматизированных информационных систем тре­бовало соответствующего правового обеспечения их защиты, однако на практике в развитии правовой базы долгое время не происходило существенных из­менений и приоритет оставался за организационными мерами.

Как следствие указанного положения дел, сложилась такая категория, как организационно-правовое обеспечение защиты информации, представляющее собой совокупность законов и других нормативных, правовых актов, а также организационных решений, которые регламен­тируют как общие вопросы обеспечения защиты информации, так и организацию, и функционирование защиты конкретных объек­тов и систем.

В настоящее время в связи с пересмотром законодательной базы в сфере информационной безопасности и изданием новых нормативных правовых актов следует говорить именно о правовом обеспечении защиты информации как самостоятельном направлении в структуре комплексной защиты информации.

Правовая защита в указанной области направлена на достижение следую­щих целей:

1) формирование правосознания граждан по обязательному соблюдению правил защиты конфиденциальной информации;

2) определение мер ответственности за нарушение правил за­щиты информации;

3) придание юридической силы технико-математическим ре­шениям обеспечения защи­ты информации;

4) придание юридической силы процессуальным процедурам разрешения ситуаций, складывающихся в процессе функциони­рования системы защиты.

Под правовым обеспечением информационной безопасности следует понимать совокупность законов и других нормативных, правовых актов, регламен­тирующих как общие вопросы обеспечения защиты информации, так и организацию, и функционирование защиты конкретных объек­тов и систем.

Правовое обеспечение информационной безопасности любой страны содержит как международные, так и национальные правовые нормы. В нашей стране правовые или законодательные основы обеспечения информационной безопасности составляют Конституция РФ, Законы РФ, Кодексы, Указы и другие нормативные акты, регулирующие отношения в области информации.

В системе правовой защиты информации можно выделить 4 уровня.

Первый уровень правовой охраны информации и защиты состоит из международных договоров о защите информации и законов РФ.

Второй уровень правовой защиты информации – это подзаконные акты: указы Президента РФ и постановления Правительства, письма Высшего Арбитражного Суда и постановления пленумов ВС РФ.

Третий уровень - ГОСТы безопасности информационных технологий и обеспечения безопасности информационных систем, также руководящие документы, нормы информационной безопасности и классификаторы, разрабатывающиеся государственными органами.

Четвертый уровень образуют локальные нормативные акты, инструкции, положения по информационной безопасности и документация по комплексной защите информации.

Понятие и содержание организационного обеспечения информационной безопасности

Исполнение законов и других нормативных, правовых актов, регламен­тирующих вопросы обеспечения защиты информации, прежде всего, основано на организаторской деятельностью со­ответствующих структур, создаваемых в государстве, ведомствах, учреждениях и организациях. Именно эта деятельность составляет содержание организационного обеспечения информационной безопасности.

Под организационным обеспечением информационной безопасности следует понимать совокупность специализированных органов, а также методов, сил и средств, реализующую задачи по защите информации.

Основной целью организационного обеспечения информационной безопасности является реализация на практике мер по защите информации с помощью выбранных сил и средств.

Организационная защита информации — составная часть систе­мы защиты информации, определяющая и вырабатывающая по­рядок и правила функционирования объектов защиты и деятель­ности должностных лиц в целях обеспечения защиты информа­ции.

Организационная защита информации тесно связана с правовым и инженерно-техническим направлением защиты информации: на основе законов и иных нормативных правовых актов и с помощью инженерно-технических решений организуется защита информации. На организационном уровне решаются следующие задачи обеспечения безопасности информации:

организация работ по разработке системы защиты информации;

ограничение доступа к информации;

разграничение доступа к информации;

планирование мероприятий;

разработка документации;

воспитание и обучение обслуживающих пользо­вателей;

сертификация средств защиты инфор­мации;

лицензирование деятельности по защите информации;

аттестация объектов защиты;

совершенствование системы защиты информации;

оценка эффективности функционирования системы защиты информации;

контроль выполнения установленных правил работы.

Применительно к защите конкретного объекта организационная защита представлена следующими направлениями:

- организация режима и охраны;

- организация работы с сотрудниками (подбор и расстановка персонала, обучение правилам работы с информацией, ознакомление с мерами ответственности за нарушение правил защиты информации и др.);

- организация работы с документами и документированной информацией;

- организация использования технических средств сбора, обработки, накопления и хранения информации;

- организация работы по анализу внутренних и внешних угроз информации и выработке мер по обеспечению ее защиты;

- организация работы по проведению систематического контроля за обеспечением защиты информации.

 

Контрольные вопросы:

1. Что понимается под объектом защиты?

2. Перечислите основные виды носителей информации.

3. Что такое угроза?

4. Перечислите наиболее важные свойства угроз.

5. Что такое защита информации?

6. Перечислите виды защиты информации.

7. Что такое безопасность информации?

8. Что такое информационная безопасность?

9. Что такое правовое обеспечение информационной безопасности?

10. Каково содержание правового обеспечения информационной безопасности?

11. Перечислите уровни системы правовой защиты информации.

12. Что такое организационное обеспечение информационной безопасности?

13. Перечислите задачи обеспечения безопасности информации, решаемые на организационном уровне.

14. Перечислите основные направления организационной защиты конкретного объекта.








Дата добавления: 2017-01-29; просмотров: 3602;


Поиск по сайту:

При помощи поиска вы сможете найти нужную вам информацию.

Поделитесь с друзьями:

Если вам перенёс пользу информационный материал, или помог в учебе – поделитесь этим сайтом с друзьями и знакомыми.
helpiks.org - Хелпикс.Орг - 2014-2024 год. Материал сайта представляется для ознакомительного и учебного использования. | Поддержка
Генерация страницы за: 0.021 сек.