Защита информации

Зиннуров Ф.К.:

B общем смысле защита информации — комплекс мероприятий, проводимых собственником информации, по ограждению своих прав на владение и распоряжение информацией, созданию условий, ограничивающих ее распространение и исключающих или сущест­венно затрудняющих несанкционированный, незаконный доступ к засекреченной информации и ее носителям.

Защита информации разбивается на решение двух основных групп задач:

  1. своевременное и полное удовлетворение информационных потребностей, возникающих в процессе управленческой, инженер­но-технической, маркетинговой и иной деятельности, т.е. обеспе­чение специалистов организаций, предприятий и фирм секретной или конфиденциальной информацией;
  2. ограждение засекреченной информации от несанкциониро­ванного доступа к ней соперника, других субъектов в злонамерен­ных целях.

При решении первой группы задач (обеспечение специалистов информацией) учитывается, что специалисты могут использовать как открытую, так и засекреченную информацию. Снабжение спе­циалистов открытой информацией ничем не ограничивается, кроме ее фактического наличия. При снабжении же их засекреченной ин­формацией действуют ограничения: наличие соответствующего до­пуска (к какой степени секретности информации он допущен) и разрешение на доступ к конкретной информации.

B решении проблемы доступа специалиста к соответствующей засекреченной информации всегда существуют противоречия: с од­ной стороны, надо максимально ограничить его доступ к засекре­ченной информации и тем самым уменьшить вероятность утечки, а с другой — наиболее полно удовлетворить потребности специалиста в информации, в том числе и засекреченной, для обоснованного решения им служебных задач.

B обычных, т.е. не режимных, условиях, специалист имеет воз­можность использовать в целях решения стоящей перед ним про­блемы разнообразную информацию: ретроспективную, узко- и ши­рокотематическую, отраслевую и межотраслевую, фактографиче­скую и концептуальную. При обеспечении специалиста засекречен­ной информацией возможности доступа к ней ограничиваются дву­мя факторами: его служебным положением и решаемой специали­стом в настоящее время проблемой.

Вторая группа задач (ограждение защищаемой информации от несанкционированного доступа к ней соперника) включает опреде­ленные условия:

  • защита информационного суверенитета страны и расшире­ние возможности государства по укреплению своего могу­щества за счет формирования и управления развитием сво­его информационного потенциала;
  • создание условий эффективного использования информаци­онных ресурсов общества;
  • обеспечение безопасности защищаемой информации: предот­вращение хищения, утраты, несанкционированного уничтоже­ния, модификации, блокирования информации и т.п., вмеша­тельства в информацию и информационные системы;
  • сохранение секретности или конфиденциальности засекре­ченной информации в соответствии с установленными пра­вилами ее защиты, в том числе предупреждения ее утечки и несанкционированного доступа к ее носителям;
  • сохранение полноты, достоверности, целостности информа­ции и массивов и программ обработки;
  • недопущение безнаказанного растаскивания и незаконного использования интеллектуальной собственности, принадле­жащей государству.

При рассмотрении проблем защиты информации часто затраги­вается вопрос о режиме секретности, т.е. конфиденциальности (в дальнейшем — режим секретности), который тесно примыкает к понятию защита информации, переплетается с ним, а иногда и отождествляется.

Режим секретности является частью системы защиты засекре­ченной информации, а точнее, это реализация системы защиты информации для конкретного объекта или одного из его структур­ных подразделений или конкретной работы.

Основное назначение режима секретности — обеспечить соот­ветствующий уровень защиты информации, так как чем выше сте­пень ее секретности, тем устанавливается и более высокий уровень ее защиты и соответствующий режим секретности. Режим секрет­ности — это не регламентация правовых норм и правил защиты сведений, а реализация на конкретном объекте действующих норм и правил защиты сведений, составляющих государственную тайну; установленных и регламентированных соответствующими законода­тельными и подзаконными нормативными актами.

Режим секретности включает следующие основные группы мер:

1) разрешительную систему, определяющую порядок доступа в служебных целях конкретных сотрудников к определенной защи­щаемой информации и в конкретные помещения, где ведутся кон­фиденциальные или секретные работы;

2) порядок и правила делопроизводства с секретными или кон­фиденциальными документами и иными носителями защищаемой информации, при этом возможно разделение потоков документаль­ной информации по степени секретности сведений, содержащихся в документах, а также разделение потоков информации, докумен­тов, содержащих государственную и коммерческую тайну;

3) установление пропускного и внутри объектового режима, со­ответствующего степени секретности информации, имеющейся на объекте;

4) воспитательно-профилактическую работу, уровень и содер­жание которой должны соответствовать уровню требуемой защиты информации с целью предотвратить или значительно уменьшить риск утечки засекреченной информации через сотрудников объекта, работающих с такой информацией.

B рамках установленного на объекте режима секретности про­водятся все остальные мероприятия по защите сведений, состав­ляющих государственную тайну.

По объему защищаемой информации, принадлежащей одному собственнику, сведения, составляющие государственную тайну, значительно превосходят другие виды охраняемых тайн и в частно­сти, коммерческую тайну. Однако суммарный объем защищаемой коммерческой информации, составляющей определенную тайну, может быть не меньше, чем объем сведений, составляющих госу­дарственную тайну.

*

Для того чтобы лучше понять необходимость применения сис­темного подхода к организации деятельности по защите информа­ции, следует представить, что общая теория защиты секретов явля­ется составной и неразрывной частью теории обеспечения нацио­нальной безопасности государства, укрепления его обороноспособ­ности и экономической мощи. Защита информации охватывает и вовлекает в свою орбиту различные структуры государственного аппарата, органы и предприятия. Bсе эти структуры государства связаны друг с другом, причем не какими-то случайными связями, а устойчивыми, влияющими друг на друга и зависящими друг от друга. Разобраться во всем многообразии этих связей можно только тогда, когда мы применим для рассмотрения проблем защиты ин­формации системный подход.

Прежде всего следует осознать, что защита информации имеет самостоятельное значение лишь относительно. Она призвана обес­печить нормальное и эффективное функционирование вышестоя­щей системы, в которую она «встроена» и которой она создана: на­пример, обеспечивать деятельность отрасли, предприятия и т.д. Цель режимной деятельности на любом предприятии состоит в том, чтобы обеспечить научно-производственную, управленческую и другую деятельность секретной и другой защищаемой информаци­ей. Поэтому система защиты информации является системой ре­жимного информационного обслуживания другой системы, являю­щейся по отношению к ней вышестоящей.

Для большинства таких систем характерно наличие в них про­цессов передачи информации и управления. Информационные процессы обеспечивают целостное и целенаправленное функциони­рование системы. Системы защиты информации относятся к целе­направленно функционирующим системам, так как их создание обу­словлено именно тем обстоятельством, что они должны быть при­годны для решения определенного класса задач, достигать опреде­ленных целей. Это, как правило, частично закрытые системы, так как с окружающей средой («не своей») обмен информацией они проводят весьма ограниченно и осмотрительно.

Для систем защиты информации характерны как бы два ин­формационных контура: один информационный поток связан с процессами управления системой защиты информации, другой ин­формационный поток — собственно защищаемая информация как предмет труда — перемещается по каналам системы защиты ин­формации для «питания» информацией той системы, в которую она «встроена» и которой она оказывает информационные услуги ре­жимного характера при осуществлении этой системой научно­производственной, управленческой и иной деятельности.

Любая система защиты информации имеет свои особенности и в то же время должна отвечать общим требованиям.

1. Система защиты информации должна быть представлена как нечто целое. Целостность ее будет выражаться в наличии: единой цели функционирования, информационных связей между отдель­ными элементами, иерархичности построения подсистемы управле­ния системой защиты информации.

2. Система защиты информации должна обеспечивать безопас­ность информации, средств информации и защиту интересов участ­ников информационных отношений.

3. Необходимо, чтобы система защиты информации в целом, методы и средства защиты были по возможности «прозрачными» для законного пользователя, не создавали ему больших дополни­тельных неудобств, связанных с процедурами доступа к информа­ции, и в то же время были непреодолимыми для несанкциониро­ванного доступа злоумышленника к защищаемой информации.

4. Система защиты информации должна обеспечивать инфор­мационные связи внутри системы между ее элементами, обеспечи­вающие их согласованное функционирование, и связи с внешней средой, перед которой система должна выступать как единое целое.

Система защиты информации включает в себя совокупность об­разующих ее элементов со всеми их свойствами.

Bнутренние связи системы и их свойства составляют архитекту­ру системы, ее структуру и внутреннюю организацию. Это есть структурная часть системы защиты информации, оставляющая ее внутреннюю организацию. Она позволяет системе функциониро­вать нормально, создает условия для обеспечения безопасности за­секреченной информации, ее обращения только по каналам, кон­тролируемым данной системой.

Однако элементы системы имеют внешние связи, которые це­ленаправленно воздействуют на внешнюю среду и решают постав­ленные перед системой задачи. Это есть функциональная часть сис­темы.

Вполне естественно, что две названные части не отделены друг от друга, а являются как бы двумя сторонами одних и тех же эле­ментов, составляющих систему защиты информации.

Структурная часть системы защиты информации включает в себя следующие элементы.

1. Систему законов и других нормативных актов, устанавливаю­щих:

  • порядок и правила защиты информации, а также ответст­венность за покушение на защищаемую информацию или на установленный порядок ее защиты;
  • защиту прав граждан, связанных по службе со сведениями, отнесенными к охраняемой тайне;
  • права и обязанности государственных органов, предприятий и должностных лиц в области защиты информации.

2. Систему засекречивания информации, включающую:

  • законодательное определение категории сведений, которые могут быть отнесены к государственной тайне;
  • законодательное и иное правовое определение категорий сведений, которые не могут быть отнесены к государствен­ной тайне;
  • наделение полномочиями органов государственной власти и должностных лиц в области отнесения сведений к охраняе­мой законом тайне;
  • составление перечней сведений, отнесенных к государствен­ной тайне.

3. Систему режимных служб и служб безопасности с их собствен­ной структурой, штатным расписанием, обеспечивающих функциони­рование всей системы защиты информации.

Структурная часть системы защиты информации является устойчи­вой частью данной системы, ее консервативной частью. Ее элементы могут изменяться только «скачкообразно», они не могут приспосабли­ваться быстро и непрерывно в связи с изменениями внешней среды, а также изменениями обстановки, поскольку внешняя среда может ока­зывать влияние на структурную часть системы защиты информации лишь через ее функциональную часть, т.е. опосредованно.

Положительная сторона устойчивости и консерватизма струк­турной части системы заключается в том, что она оказывается свое­образным фильтром, отбраковывающим те реакции системы на из­менение внешней среды, которые являются недостаточно обосно­ванными и мотивированными со стороны потребностей общества.

Недостатками консерватизма системы защиты информации яв­ляется то, что эта часть системы может часто иметь рассогласова­ния и противоречия с ее функциональной частью, что отрицательно сказывается на эффективности и оптимальности функционирова­ния системы защиты информации.

Функциональная часть системы защиты информации решает задачи обеспечения засекреченной информацией деятельности вы­шестоящей системы, в которую данная система защиты информа­ции «встроена». B эту деятельность вовлекается широкий круг ра­ботников объекта: сотрудники службы безопасности, связанные с обработкой, хранением, выдачей и учетом засекреченной информа­ции; руководители объекта и структурных подразделений; исполни­тели, то есть все работники объекта, которые являются потребите­лями защищаемой информации.

Эта часть системы защиты информации более адаптивна, под­вижна и пластична. Она, исполняя свое предназначение, макси­мально стремится учесть потребности внешней среды в решении вопросов обращения и циркулирования защищаемой информации, обеспечение ею потребителей и в то же время исключить выход ее за пределы охраняемой сферы, ее разглашение или раскрытие.

Функциональную часть системы образует следующие основные элементы:

  • порядок и правила определения степени секретности сведе­ний и проставление грифа секретности на работах, докумен­тах, изделиях, а также рассекречивания информации или снижения степени ее секретности;
  • установленные на объекте режим секретности, внутриобъек- товый режим и режим охраны, соответствующие важности накапливаемой и используемой на объекте информации;
  • система обработки, хранения, учета и выдачи носителей за­щищаемой информации с использованием принятой систе­мы накопления и обработки информации: автоматизирован­ная, ручная, смешанная, иная, в том числе делопроизводст­во с секретными и конфиденциальными документами;
  • разрешительная система, регламентирующая порядок досту­па потребителей к носителям защищаемой информации, а также на предприятие и в его отдельные помещения;
  • система выявления возможных каналов утечки защищаемой информации и поиск решений по их перекрытию, включая воспитательно-профилактическую работу на объекте и в его структурных подразделениях;
  • система контроля наличия носителей защищаемой инфор­мации и состояния на объекте установленных режимов: сек­ретности, внутриобъектового, охраны объекта и его важ­нейших подразделений.

Таким образом, можно сказать, что структурная и функцио­нальная части системы защиты информации существуют и работа­ют в неразрывном единстве.

Правоведение // Зиннуров Ф.К. - 2012

Обухова О.В.:

Понятие «информационная безопасность» это состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства. Защите подлежит любая документированная информация, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу. При этом объектами защиты информации могут быть как информационные процессы, так и носители информации (физическое лицо или материальный объект), в том числе физическое поле, в котором информация находит свое отображение в виде символов, образов, сигналов, технических решений и процессов.

Цели защиты информации – 1) предотвращение утечки, хищения, утраты, искажения, подделки информации; 2) предупреждение угроз безопасности личности, общества, государства; 3) предотвращение несанкционированных действий по уничтожению, копированию, блокированию информации и других форм незаконного вмешательства в информационные системы; 4) обеспечение правового режима документированной информации как объекта собственности; 5) защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах; 6) сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством; 7) охрана прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологий и средств их обеспечения.

Ответственность за распространение недоброкачественной информации, за нарушение порядка распространения информации предусмотрена нормами Уголовного кодекса РФ.

Правоведение // Обухова О.В. - 2009