Предмет защиты информации.
Информация как объект права собственности. Объект защиты информации. Жизненные циклы конфиденциальной информации в процессе ее создания, обработки, передачи.
Предметом защиты является информация, т.е. сведения о лицах, предметах, фактах, событиях, явлениях и процессах, независимо от формы их представления.
Информация имеет ряд особенностей:
она нематериальна;
информация хранится и передается с помощью материальных носителей;
любой материальный объект может содержать информацию о самом себе или других объектах.
Информацию разделяют на открытую и ограниченного доступа. К информации ограниченного доступа относятся государственная тайна и конфиденциальная информация.
Государственную тайнумогут содержать сведения, принадлежащие государству (государственному учреждению). В соответствии с законом «О государственной тайне» сведениям, представляющим ценность для государства, может быть присвоена одна из трех возможных уровнейсекретности:
«секретно»;
«совершенно секретно»;
«особой важности».
В соответствии с российским законодательством к конфиденциальной информацииотносится следующая информация:
служебная тайна (врачебная, адвокатская, тайна суда и следствия и т.д.);
персональные данные гражданина (сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность);
сведения о сущности изобретения до момента официальной публикации о них;
коммерческая тайна.
Информация как объект права собственности.
Информация является одним из объектов гражданских прав, в том числе и прав собственности, владения и пользования.
Собственник информационных ресурсов, систем и технологий – это субъект с полномочиями владения, пользования и распоряжения указанными объектами.
Владельцем информационных ресурсов, систем и технологий является субъект с полномочиями владения и пользования указанными объектами. Под пользователем информации будем понимать субъекта, обращающегося к информационной системе за получением необходимой ему информации и пользующегося ею.
Защищаемой информацией называют информацию, являющуюся предметом собственности и подлежащую защите в соответствии с требованиями правовых документов или требованиями, установленными собственником информации.
Однако защите подлежит не всякая информация, а только та, которая имеет цену. Ценность информации определяется степенью ее полезности для владельца.
Ценной становится та информация, обладание которой позволит ее существующему и потенциальному владельцу получить какой-либо выигрыш: моральный, материальный, политический и т.д.
Ценность информации является критерием при принятии любого решения о ее защите и для выбора метода защиты. В денежном выражении затраты на защиту информации не должны превышать возможные потери.
Принято следующее разделение информации по уровню важности:
1) жизненно важная незаменимая информация, наличие которой необходимо для функционирования организации;
2) важная информация - информация, которая может быть заменена или восстановлена, но процесс восстановления очень труден и связан с большими затратами;
3) полезная информация - информация, которую трудно восстановить, однако организация может эффективно функционировать и без нее;
4) несущественная информация - информация, которая больше не нужна организации.
Категория важности, как и ценность информации, обычно изменяется со временем и зависит от степени отношения к ней различных групп потребителей и потенциальных нарушителей.
Приведенное деление информации по уровню важности согласуется с принципом деления информации по уровням секретности.
Уровень секретности - это административная или законодательная мера, соответствующая мере ответственности лица за утечку или потерю конкретной секретной информации, регламентируемой специальным документом, с учетом государственных, военно-стратегических, коммерческих, служебных или частных интересов. Такой информацией может быть государственная, военная, коммерческая, служебная или личная тайна.
Защитой информации называют деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.
Под утечкой понимают неконтролируемое распространение защищаемой информации путем ее разглашения и несанкционированного доступа к ней.
Разглашение – это доведение защищаемой информации до неконтролируемого количества получателей информации (например, публикация информации на открытом сайте в сети Интернет или в открытой печати).
Несанкционированный доступ – получение защищаемой информации заинтересованным субъектом с нарушением правил доступа к ней.
Несанкционированное воздействие на защищаемую информацию – воздействие с нарушением правил ее изменения (например, намеренное внедрение в защищаемые информационные ресурсы вредоносного программного кода или умышленная подмена электронного документа).
Непреднамеренное воздействиена защищаемую информацию – это воздействие на неё из-за ошибок пользователя, сбоя технических и программных средств, природных явлений иных нецеленаправленных воздействий (например, уничтожение документов в результате отказа накопителя на жестком магнитном диске компьютера).
Цель защиты информации – предотвращение ущерба собственнику, владельцу или пользователю информации.
Под эффективностью защиты информации понимают степень соответствия результатов защиты информации поставленной цели.
Объект защиты информации
Объектом защиты может быть информация, ее носитель или информационный процесс, в отношении которых необходимо обеспечивать защиту в соответствии с поставленной целью.
Безопасность информации – состояние информации, технических средств и технологии ее обработки, характеризующееся свойствами конфиденциальности, целостности и доступности информации при ее обработке техническими средствами. Таким образом, основными характеристиками защищаемой информации являются целостность, конфиденциальность и доступность.
Целостность информации – свойство информации, технических средств и технологии ее обработки, характеризующееся способностью противостоять несанкционированному или непреднамеренному уничтожению и искажению информации. Целостность является частью более широкой характеристики информации – ее достоверности, включающей помимо целостности еще полноту и точность отображения предметной области.
Конфиденциальность информации – свойство информации, технических средств и технологии ее обработки, характеризующееся способностью информации сохраняться в тайне от субъектов, у которых нет полномочий на право ознакомления с ней.
Конфиденциальность является субъективной характеристикой информации, связанной с объективной необходимостью защиты законных интересов одних субъектов от других.
Доступность информации – свойство информации, технических средств и технологии ее обработки, характеризующееся способностью обеспечивать беспрепятственный доступ к информации субъектов, имеющих на это надлежащие полномочия. Отказом в обслуживании называют состояние информационной системы, при котором блокируется доступ к некоторому ее ресурсу.
Нарушение безопасности информации – утрата свойств, характеризующих безопасность информации при ее обработке техническими средствами.
Угроза безопасности информации – случайная или преднамеренная деятельность людей или физической явление, которые могут привести к нарушению безопасности информации.
Источник угрозы безопасности информации – любое физическое лицо, материальный объект или явление, создающие угрозу безопасности информации при ее обработке техническими средствами.
Утечка информации – утрата свойств конфиденциальности информации.
Несанкционированный доступ к информации (НСД) – доступ к информации при ее обработке техническими средствами без разрешения, используя возможности этих технических средств.
Искажение информации – любое преднамеренное или случайное изменение информации при ее обработке техническими средствами, изменяющее содержание этой информации.
Уничтожение информации – действие, в результате которого информация перестает физически существовать в технических средствах ее обработки.
Аппаратная закладка – электронное устройство, встраиваемое или подключаемое к элементам технических средств обработки информации в целях нарушения безопасности информации при ее обработке техническими средствами.
Политика безопасности – это набор документированных норм, правил и практических приемов, регулирующих управление, защиту и распределение информации ограниченного доступа.
Жизненные циклы конфиденциальной информации
Жизненный цикл документов, содержащих конфиденциальную информацию, в делопроизводстве начинается с момента поступления документа в организацию или с момента его создания и завершается уничтожением документа (проекта документа) или передачей документа на архивное хранение. Движение документов, содержащих конфиденциальную информацию (далее – КД), в организации на протяжении их жизненного цикла называется конфиденциальным документооборотом.
Целью «открытого» документооборота является обеспечение своевременного исполнения документов или их использования. В отличие от «открытого» документооборотаконфиденциальный документооборот имеет еще одну цель - защита документов от несанкционированного доступа и предотвращение утечки конфиденциальной информации. По этой причине конфиденциальный документооборот называют еще защищенным документооборотом.
Защищенный документооборот - контролируемое движение конфиденциальных документов по регламентированным пунктам обработки в жестких условиях организационного и технологического обеспечения безопасности носителя информации и самой информации.
