Какие свойства информации подлежат защите

Какие свойства информации подлежат защите thumbnail

Защита информации – это деятельность, которая направлена на предотвращение утечки защищаемых данных, непреднамеренных и несанкционированных воздействий на защищаемые данные.

Информационная безопасность

Государственная информационная безопасность представляет собою состояние сохранности всех информационных ресурсов государства, а также защищенность всех законных прав общества и личности в информационной сфере.

В сегодняшнем социуме сфера информации имеет две составные части:

  • информационно-техническую (созданный искусственно человеком мир технологий, техники и так далее);
  • и информационно-психологическую (естественный мир живой природы, который включает и самого человека).

Модель информационной безопасности

В виде стандартной модели информационной безопасности зачастую приводят модель, состоящую из трех различных категорий:

  • конфиденциальность – представляет собой состояние информации, при котором допуск к ней осуществляют лишь субъекты, которые имеют такое право;
  • целостность – представляет собой избежание несанкционированных изменений информации;
  • доступность – представляет собой избежание постоянного или временного сокрытия информации от юзеров, которые получили права доступа.

Можно выделить и другие, не всегда необходимые категории модели информационной безопасности:

  • апеллируемость или неотказуемость — способность подтверждать имевшее место событие или действие так, чтобы эти действия или события не могли оказаться позже опровергнутыми;
  • подотчетность – официальная регистрация данных;
  • достоверность – представляет собой свойство соответствия предусмотренным результатам или поведению;
  • аутентичность или подлинность – представляет собой свойство, которое гарантирует, что ресурс или субъект идентичен заявленным.

 

Составляющие информационной безопасности

Системный подход к описанию безопасности информации предлагает выделить такие составляющие безопасности информации:

  • Научная, нормативно-правовая и законодательная база.
  • Задачи и структура органов (подразделений), которые обеспечивают безопасность ИТ.
  • Режимные и организационно-технические методы защиты информации (политика безопасности информации).
  • Программные, а также технические средства защиты информации.

Задачей реализации безопасности информации какого-либо объекта считается построение СОИБ (система обеспечения безопасности данных). Для формирования и действенной эксплуатации СОИБ нужно:

  • выявить требования к защите информации, специфические для этого объекта защиты;
  • принять во внимание требования международного и национального Законодательства;
  • использовать существующие практики (методологии, стандарты) построения подобных систем;
  • определить подразделения, которые ответственны за реализацию и поддержку системы;
  • распределить между всеми подразделениями области их ответственности в исполнении требований СОИБ;
  • на основе управления рисками безопасности информации установить общие положения, организационные и технические требования, которые составляют политику безопасности информации объекта защиты;
  • исполнить требования политики безопасности информации посредством внедрения соответствующих программно-технических способов и средств информационной защиты;
  • реализовать систему управления (менеджмента) безопасности информации (СМИБ);
  • применяя СМИБ, организовать постоянный контроль действенности СОИБ и при необходимости корректировку и пересмотр СОИБ и СМИБ.

Судя по последнему этапу работ, процесс реализации системы обеспечения безопасности данных беспрерывный и циклично (после каждого из пересмотров) возвращается к первому шагу, повторяя поочередно все остальные. Таким образом, СОИБ корректируется для действенного выполнения собственных задач информационной защиты, и соответствия новым требованиям регулярно обновляющейся системы информации.

Нормативные документы в сфере безопасности информации

В России к нормативно-правовым актам в сфере информационной безопасности причисляются:

1)      Федеральные законодательные акты:

  • Международные договоры России.
  • Конституция России.
  • Закон о защите информации федерального уровня (сюда включены конституционные федеральные кодексы, законы).
  • Указы Президента России.
  • Правительственные постановления Российской Федерации.
  • Правовые нормативные акты федеральных ведомств и министерств.
  • Правовые нормативные акты субъектов России, а также государственных органов местного самоуправления и так далее.

2) К нормативно-методическим документам возможно причислить:

  • Методические документы правительственных органов России:

а) Доктрина безопасности информации России.

б) Руководящие документы государственной технической комиссии (ФСТЭК) Российской Федерации.

в) Приказы Федеральной службы безопасности.

  • Стандарты безопасности информации, из которых можно выделить:

а) Международные стандарты.

б) Национальные (государственные) стандарты России.

в) Рекомендации по стандартизации.

г) Указания методические.

Органы (подразделения), которые обеспечивают информационную безопасность

Правительственные органы РФ, которые контролируют деятельность в области информационной защиты:

  • Комитет Госдумы по безопасности.
  • Совет безопасности России.
  • ФСТЭК (Федеральная служба по экспортному и техническому контролю) РФ.
  • ФСБ (Федеральная служба безопасности) России.
  • ФСО (Федеральная служба охраны) РФ.
  • СВР (Служба внешней разведки) России.
  • Минобороны (Министерство обороны) РФ.
  • МВД (Министерство внутренних дел) России.
  • Роскомнадзор (Федеральная служба по контролю в сфере массовых коммуникаций, информационных технологий, а также связи).

Организационная защита различных объектов информатизации

Организация защиты информации представляет собою регламентацию взаимоотношений исполнителей, а также производственной деятельности на нормативно-правовой основе, которая исключает или существенно затрудняет неправомерное овладение какой-либо конфиденциальной информацией и выражение внешних, внутренних угроз. Организационная информационная защита обеспечивает:

  • организацию режима, охраны, работу с документами, с кадрами;
  • применение технических средств информационной безопасности, а также информационно-аналитическую деятельность по обнаружению внешних, внутренних угроз деятельности предпринимателя.

К основным мероприятиям защиты информации можно причислить:

  • Организацию охраны, режима. Их цель — исключить возможность тайного проникновения в помещения и на территорию каких-либо сторонних лиц;
  • Организацию работы с сотрудниками, которая предполагает подбор и расстановку всего персонала, сюда включено ознакомление с работниками, их изучение, обучение всем правилам работы с данными конфиденциального характера, ознакомление с мерами их ответственности за нарушение каких-либо правил информационной защиты и так далее.
  • Организацию работы с документированной информацией и документами, включая организацию использования и разработки документов и носителей информации конфиденциального характера, их учет, возврат, исполнение, хранение, а также уничтожение.
  • Организацию применения технических средств для сбора, обработки, хранения и накопления информации конфиденциального характера.
  • Организацию работы по исследованию внешних и внутренних угроз информации конфиденциального характера и выработке мер по формированию ее защиты.
  • Организацию работы по осуществлению систематического контроля за работой сотрудников с конфиденциальной информацией, порядком хранения, учета и устранения документов, а также технических носителей.

Во всякой конкретной ситуации организационные мероприятия принимают специфическое для каждой организации содержание и форму, и такие меры направлены на обеспечение информационной безопасности в конкретных условиях.

Источник

  1. Основные свойства
    информации как предмета защиты

Информация – это
набор некоторых сведений о каком-либо
объекте или окружающем мире. Эти сведения
могут иметь бытовой или научный характер.

В зависимости от
того, в какой области деятельности
человека относится информация, выделяют
следующие виды:

  1. Служебная

  2. Профессиональная

  3. Промышленная

  4. Коммерческая

  5. Государственная

  6. Военная

Все эти виды
конфиденциальной информации подлежат
защите, одним из видов которых является
инженерно-техническая защита информации.

Информация является
уникальным объектом в связи со своими
свойствами. Информация не имеет физических
параметров, у нее нет массы, размеров,
энергии. Информация может храниться,
обрабатываться, передаваться по каналам
связи и видоизменяться.

Сама по себе
информация в чистом виде выделена быть
не может, она может существовать только
на каком то материальном носителе, в
вещественном объекте, в физическом
поле.

С точки зрения
защиты, информация обладает рядом
свойств, основные из которых следующие:

1.
Информация
доступна человеку, если она содержится
на материальном носителе
.
Так как с помощью материальных средств
можно защищать только материальный
объект, то объектами защиты являются
материальные носители информации.
Различают носители – источники информации,
носители – переносчики информации и
носители – получатели информации.
Например, чертеж является источником
информации, а бумага, на которой он
нарисован, – носитель информации.
Физическая природа источника и носителя
в этом примере одна и та же – бумага.
Однако между ними существует разница.
Бумага без нанесенного на ней текста
или рисунка может быть источником
информации о ее физических и химических
характеристиках. Когда бумага содержит
семантическую информацию, ей присваивается
другое имя: чертеж, документ и т. д. Чертеж
детали или узла входит в состав более
сложного документа – чертежа прибора,
механизма или машины и т. д. вплоть до
конструкторской документации образца
продукции. Другие носители, например,
поля не имеют четких границ в пространстве,
но в любом случае их характеристики
измеряемы. Физическая природа
носителя-источника информации,
носителя-переносчика и носителя-получателя
может быть как одинаковой, так и разной.
Передача информации путем перемещения
ее носителей в пространстве связана с
затратами энергии, причем величина
затрат зависит от длины пути, параметров
среды и вида носителя.

2. Ценность
информации оценивается степенью
полезности ее для пользователя

(собственника, владельца, получателя).
Информация может обеспечивать ее
пользователю определенные преимущества:
приносить прибыль, уменьшить риск в его
деятельности в результате принятия
более обоснованных решений и др.

Нейтральная
информация не влияет на состояние дел
ее пользователя, но носитель с нейтральной
для конкретного получателя информацией
может оказывать вредное воздействие
на другой носитель с полезной информацией,
если близки по значениям параметры
носителей, например, частоты колебаний
электромагнитных полей разных источников.
Носители информации, оказывающее
воздействие на другой носитель,
представляют собой помехи.

Вредной является
информация, в результате использования
которой ее получателю наносится моральный
или материальный ущерб. Когда такая
информация создается преднамеренно,
то ее называют дезинформацией.

Полезность
информации всегда конкретна. Нет ценной
информации вообще. Информация полезна
или вредна для конкретного ее пользователя.
Чрезвычайно ценная информация для одних
пользователей может не представлять
ценности для других.

Поэтому при защите
информации определяют, прежде всего,
круг лиц (фирм, государств), заинтересованных
в защищаемой информации, так как-вероятно,
что среди них окажутся злоумышленники.

В интересах защиты
ценной (полезной) информации ее владелец
(государство, организация, физическое
лицо) наносит на носитель условный знак
полезности содержащейся на нем информации,
— гриф секретности или конфиденциальности.
В качестве критерия для определения
грифа конфиденциальности инфор­мации
могут служить результаты прогноза
последствий попадания информа­ции к
конкуренту или злоумышленнику, в том
числе:

  • величина
    экономического и морального ущерба,
    наносимого организации;

  • реальность создания
    предпосылок для катастрофических
    последствий в деятельности организации,
    например, банкротства.

3.
Учитывая, что информация может быть для
получателя полезной или вредной, что
она покупается и продается, то информацию
можно рассмат­ривать как товар.
Цена
информации связана с ее ценностью, но
это разные понятия. Например, при
проведении исследований могут быть
затрачены большие материальные и
финансовые ресурсы, которые завершились
отри­цательным результатом, т. е. не
получена информация, на основе которой
ее владелец может получить прибыль. Но
отрицательные результаты представ­ляют
ценность для специалистов, занимающихся
рассматриваемой пробле­мой, так как
полученная информация укорачивает путь
к истине.

Полезная информация
может быть создана ее владельцем в
результате научно-исследовательской
деятельности, заимствована из различных
откры­тых источников, может попасть
к злоумышленнику случайно, например, в
результате непреднамеренного подслушивания
и, наконец, добыта различны­ми
нелегальными путями. Цена информации,
как любого товара, складывает­ся из
себестоимости и прибыли.

Себестоимость
определяется расходами владельца
информации на ее по­лучение путем:

  • проведения
    исследований в научных лабораториях,
    аналитических центрах, группах и т. д.;

  • покупки информации
    на рынке информации;

  • добывания информации
    противоправными действиями.

Прибыль от информации
ввиду ее особенностей может принимать
раз­личные формы, причем денежное ее
выражение не является самой распро­страненной
формой. В общем случае прибыль от
информации может быть получена в
результате следующих действий:

  • продажи информации
    на рынке;

  • материализации
    информации в продукции с новыми
    свойствами или технологии, приносящими
    прибыль;

  • использования
    информации для принятия более эффективных
    решений.

4.
Ценность
информации изменяется во времени.
Распространение
ин­формации и ее использование приводят
к изменению ее ценности и цены. Ха­рактер
изменения ценности во времени зависит
от вида информации. Ценность большинства
видов информации, циркулирующей в
обществе, со временем уменьшается –
информация стареет.

В зависимости от
продолжительности жизненного цикла
коммерческая информация классифицируется
следующим образом:

  • оперативно-тактическая,
    теряющая ценность примерно по 10% в день
    (например, информация выдачи краткосрочного
    кредита, предложения по приобретению
    товара в срок до одного месяца и др.):

  • стратегическая
    информация, ценность которой убывает
    примерно 10% в месяц (сведения о партнерах,
    о долгосрочном кредите, развитии и т.
    д.).

Информация о
законах природы имеет очень большое
время жизненного цикла. Ее старение
проявляется в уточнении законов,
например, в ограниче­ниях законов
Ньютона для микромира.

5.
Невозможно объективно (без учета
полезности ее для потребителя, владельца,
собственника) оценить количество
информации
.
Количество информации, содержащейся,
например, в книге, для разных читателей-
разное. Даже один и тот же человек в
разные периоды своей жизни находит в
книге каждый раз что-то новое для себя.
Количество информации в голове человека
можно косвенно оценить по его действиям,
так как для принятия обоснованного
решения необходимо больше информации.

Для определения
количества информации в теории информации
предложен энтропийный подход, В
соответствии с ним количество информации
оценивается мерой уменьшения у получателя
неопределенности (энтропии) выбора или
ожидания событий после получения
информации.

На практике
используют более грубый и простой, так
называемый объемный способ измерения
информации путем подсчета количества
(в битах или байтах) символов сообщения
или измерения характеристик носителя
(количества листов, времени передачи
сообщения и др.). Но семантика информации
и ее ценность при этом не учитываются.

6.
При копировании,
не изменяющем информационные параметры
носителя, количество информации не
меняется, а цена снижается
.
После снятия копии с документа на
ксероксе или другим способом количество
информации в нем не меняется. В результате
этого несанкционированное копирование
(хищение) информации может остаться
незамеченным для ее владельца, если
отсутствуют иные признаки проникновения
злоумышленника к ее источнику и факта
хищения. Но если при копировании
происходят воздействия на информационные
параметры носителя, приводящие к
изменению их значений, или незначительные
изменения накапливаются, то количество
информации уменьшается. Ухудшается
качество звука и изображения соответственно
на аудио- и видеопленке из-за механического
разрушения магнитного слоя, книжка
зачитывается до дыр, обесцвечиваются
из-за воздействия яркого ультрафиолетового
света цвета изображения оригинала при
ксерокопировании и т. д.

Так как при каждом
копировании увеличивается число ее
законных и незаконных пользователей,
то в соответствии с законами рынка цена
снижается. Например, видеопиратство
вызывает большое беспокойство у
владельцев видеопродукции, так как
широкое распространение пиратских
копий значительно сбивает цены на рынке.

Источник

В России действуют законы, где описано, как правильно работать с информацией: кто отвечает за ее сохранность, как ее собирать, обрабатывать, хранить и распространять. Стоит знать их, чтобы случайно что-нибудь не нарушить.

Мы собрали для вас пять основных ФЗ о защите информации и информационной безопасности и кратко рассказали их ключевые моменты.

149-ФЗ «Об информации, информационных технологиях и о защите информации»

149-ФЗ — главный закон об информации в России. Он определяет ключевые термины, например, говорит, что информация — это любые данные, сведения и сообщения, представляемые в любой форме. Также там описано, что такое сайт, электронное сообщение и поисковая система. Именно на этот закон и эти определения нужно ссылаться при составлении документов по информационной безопасности.

В 149-ФЗ сказано, какая информация считается конфиденциальной, а какая — общедоступной, когда и как можно ограничивать доступ к информации, как происходит обмен данными. Также именно здесь прописаны основные требования к защите информации и ответственность за нарушения при работе с ней.

Ключевые моменты закона об информационной безопасности:

  1. Нельзя собирать и распространять информацию о жизни человека без его согласия.
  2. Все информационные технологии равнозначны — нельзя обязать компанию использовать какие-то конкретные технологии для создания информационной системы.
  3. Есть информация, к которой нельзя ограничивать доступ, например сведения о состоянии окружающей среды.
  4. Некоторую информацию распространять запрещено, например ту, которая пропагандирует насилие или нетерпимость.
  5. Тот, кто хранит информацию, обязан ее защищать, например, предотвращать доступ к ней третьих лиц.
  6. У государства есть реестр запрещенных сайтов. Роскомнадзор может вносить туда сайты, на которых хранится информация, запрещенная к распространению на территории РФ.
  7. Владелец заблокированного сайта может удалить незаконную информацию и сообщить об этом в Роскомнадзор — тогда его сайт разблокируют.

152-ФЗ «О персональных данных»

Этот закон регулирует работу с персональными данными — личными данными конкретных людей. Его обязаны соблюдать те, кто собирает и хранит эти данные. Например, компании, которые ведут базу клиентов или сотрудников. Мы подробно рассматривали этот закон в отдельной статье «Как выполнить 152-ФЗ о защите персональных данных и что с вами будет, если его не соблюдать»

Ключевые моменты закона:

  1. Перед сбором и обработкой персональных данных нужно спрашивать согласие их владельца.
  2. Для защиты информации закон обязывает собирать персональные данные только с конкретной целью.
  3. Если вы собираете персональные данные, то обязаны держать их в секрете и защищать от посторонних.
  4. Если владелец персональных данных потребует их удалить, вы обязаны сразу же это сделать.
  5. Если вы работаете с персональными данными, то обязаны хранить и обрабатывать их в базах на территории Российской Федерации. При этом данные можно передавать за границу при соблюдении определенных условий, прописанных в законе — жесткого запрета на трансграничную передачу данных нет.

98-ФЗ «О коммерческой тайне»

Этот закон определяет, что такое коммерческая тайна, как ее охранять и что будет, если передать ее посторонним. В нем сказано, что коммерческой тайной считается информация, которая помогает компании увеличить доходы, избежать расходов или получить любую коммерческую выгоду.

Ключевые моменты закона о защите информации компании:

  1. Обладатель информации сам решает, является она коммерческой тайной или нет. Для этого он составляет документ — перечень информации, составляющей коммерческую тайну.
  2. Некоторые сведения нельзя причислять к коммерческой тайне, например, информацию об учредителе фирмы или численности работников.
  3. Государство может затребовать у компании коммерческую тайну по веской причине, например, если есть подозрение, что компания нарушает закон. Компания обязана предоставить эту информацию.
  4. Компания обязана защищать свою коммерческую тайну и вести учет лиц, которым доступна эта информация.
  5. Если кто-то разглашает коммерческую тайну, его можно уволить, назначить штраф или привлечь к уголовной ответственности.

63-ФЗ «Об электронной подписи»

Этот закон касается электронной подписи — цифрового аналога физической подписи, который помогает подтвердить подлинность информации и избежать ее искажения и подделки. Закон определяет, что такое электронная подпись, какую юридическую силу она имеет и в каких сферах ее можно использовать.

Ключевые моменты закона:

  1. Для создания электронной подписи можно использовать любые программы и технические средства, которые обеспечивают надежность подписи. Вы не обязаны использовать для этого какое-то конкретное государственное ПО.
  2. Подписи бывают простые, усиленные неквалифицированные и усиленные квалифицированные. У них разные технические особенности, разные сферы применения и разный юридический вес. Самые надежные — усиленные квалифицированные подписи, они полностью аналогичны физической подписи на документе.
  3. Те, кто работает с квалифицированной подписью, обязаны держать в тайне ключ подписи.
  4. Выдавать электронные подписи и сертификаты, подтверждающие их действительность, может только специальный удостоверяющий центр.

187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»

Этот закон касается компаний, которые работают в сферах, критически важных для жизни государства — таких, что сбой в их работе отразится на здоровье, безопасности и комфорте граждан России.

К таким сферам относится здравоохранение, наука, транспорт, связь, энергетика, банки, топливная промышленность, атомная энергетика, оборонная промышленность, ракетно-космическая промышленность, горнодобывающая промышленность, металлургическая промышленность и химическая промышленность. Также сюда относят компании, которые обеспечивают работу предприятий из этих сфер, например, предоставляют оборудование в аренду или разрабатывают для них ПО.

Если на предприятии из этой сферы будет простой, это негативно отразится на жизни всего государства. Поэтому к IT-инфраструктуре и безопасности информационных систем на этих предприятиях предъявляют особые требования.

Ключевые моменты закона об информационной безопасности критически важных структур:

  1. Для защиты критической инфраструктуры существует Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА).
  2. Объекты критически важной инфраструктуры обязаны подключиться к ГосСОПКА. Для этого нужно купить и установить специальное ПО, которое будет следить за безопасностью инфраструктуры компании.
  3. Одна из мер предупреждения — проверка и сертификация оборудования, ПО и всей инфраструктуры, которая используется на критически важных предприятиях.
  4. Субъекты критической информационной инфраструктуры обязаны сообщать об инцидентах в своих информационных системах и выполнять требования государственных служащих. Например, использовать только сертифицированное ПО.
  5. Все IT-системы критически важных предприятий должны быть защищены от неправомерного доступа и непрерывно взаимодействовать с ГосСОПКА.
  6. При разработке IT-инфраструктуры критически важные предприятия должны руководствоваться 239 приказом ФСТЭК. В нем прописаны основные требования к защите информации на таких предприятиях.
  7. Государство имеет право проверять объекты критически важной инфраструктуры, в том числе внепланово, например, после компьютерных инцидентов вроде взлома или потери информации.

Главные законы об информации и информационной безопасности

  1. 149-ФЗ об информационной безопасности — устанавливает основные права и обязанности, касающиеся информации и информационной безопасности.
  2. 152-ФЗ — описывает правила работы с персональными данными.
  3. 98-ФЗ — определяет, что относится к коммерческой тайне компаний.
  4. 68-ФЗ — дает определение электронной подписи и описывает, как и когда ее можно применять, какой юридической силой она обладает.
  5. 187-ФЗ — описывает правила защиты IT-инфраструктуры на предприятиях, работающих в сферах, критически важных для государства. К таким сферам относится здравоохранение, наука, оборона, связь, транспорт, энергетика, банки и некоторая промышленность.

Источник