Владельцами собственниками защищаемой информации могут быть. Информация как объект юридической защиты

Современные методы обработки, передачи и накопления информации способствовали появлению угроз, связанных с возможностью потери, искажения и раскрытия данных, адресованных или принадлежащих конечным пользователям. Поэтому обеспечение информационной безопасности компьютерных систем и сетей является одним из ведущих направлений развития ИТ.

Рассмотрим основные понятия защиты информации и информационной безопасности компьютерных систем и сетей с учетом определений ГОСТ Р 50922-96 .

Защита информации - это деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.

Объект защиты - информация, носитель информации или информационный процесс, в отношении которых необходимо обеспечивать защиту в соответствии с поставленной целью защиты информации.

Цель защиты информации - это желаемый результат защиты информации. Целью защиты информации может быть предотвращение ущерба собственнику, владельцу, пользователю информации в результате возможной утечки информации и/или несанкционированного и непреднамеренного воздействия на информацию.

Эффективность защиты информации - степень соответствия результатов защиты информации поставленной цели.

Защита информации от утечки - деятельность по предотвращению неконтролируемого распространения защищаемой информации от ее разглашения, несанкционированного доступа (НСД) к защищаемой информации и получения защищаемой информации злоумышленниками.

Защита информации от разглашения - деятельность по предотвращению несанкционированного доведения защищаемой информации до неконтролируемого количества получателей информации.

Защита информации от НСД - деятельность по предотвращению получения защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или собственником либо владельцем информации прав или правил доступа к защищаемой информации. Заинтересованным субъектом, осуществляющим НСД к защищаемой информации, может выступать государство, юридическое лицо, группа физических лиц, в т. ч. общественная организация, отдельное физическое лицо.

Система защиты информации - совокупность органов и/или исполнителей, используемая ими техника защиты информации, а также объекты защиты, организованные и функционирующие по правилам, установленным соответствующими правовыми, организационно-распорядительными и нормативными документами по защите информации.

Под информационной безопасностью понимают защищенность информации от незаконного ознакомления, преобразования и уничтожения, а также защищенность информационных ресурсов от воздействий, направленных на нарушение их работоспособности. Природа этих воздействий может быть самой разнообразной.

Это и попытки проникновения злоумышленников, и ошибки персонала, и выход из строя аппаратных и программных средств, и стихийные бедствия (землетрясение, ураган, пожар) и т. п.

Современная автоматизированная система (АС) обработки информации представляет собой сложную систему, состоящую из большого числа компонентов различной степени автономности, которые связаны между собой и обмениваются данными. Практически каждый компонент может подвергнуться внешнему воздействию или выйти из строя. Компоненты АС можно разбить на следующие группы:

• аппаратные средства - компьютеры и их составные части (процессоры, мониторы, терминалы, периферийные устройства - дисководы, принтеры, контроллеры, кабели, линии связи и т. д.);
• программное обеспечение - приобретенные программы, исходные, объектные, загрузочные модули; ОС и системные программы (компиляторы, компоновщики и др.), утилиты, диагностические программы и т. д.;
• данные - хранимые временно и постоянно, на магнитных носителях, печатные, архивы, системные журналы и т. д.;
• персонал - обслуживающий персонал и пользователи.

Одной из особенностей обеспечения информационной безопасности в АС является то, что таким абстрактным понятиям, как информация, объекты и субъекты системы, соответствуют физические представления в компьютерной среде:

• для представления информации - машинные носители информации в виде внешних устройств компьютерных систем (терминалов, печатающих устройств, различных накопителей, линий и каналов связи), оперативной памяти, файлов, записей и т. д.;
• объектам системы - пассивные компоненты системы, хранящие, принимающие или передающие информацию. Доступ к объекту означает доступ к содержащейся в нем информации;
• субъектам системы - активные компоненты системы, которые могут стать причиной потока информации от объекта к субъекту или изменения состояния системы. В качестве субъектов могут выступать пользователи, активные программы и процессы.

Информационная безопасность компьютерных систем достигается обеспечением конфиденциальности, целостности И ДОСтоверности обрабатываемых данных, а также доступности и целостности информационных компонентов и ресурсов системы. Перечисленные выше базовые свойства информации нуждаются в более полном толковании.

Конфиденциальность данных - это статус, предоставленный данным и определяющий требуемую степень их защиты. К конфиденциальным данным можно отнести, например, следующие: личную информацию пользователей; учетные записи (имена и пароли); данные о кредитных картах; данные о разработках и различные внутренние документы; бухгалтерские сведения. Конфиденциальная информация должна быть известна только допущенным и прошедшим проверку (авторизованным) субъектам системы (пользователям, процессам, программам). Для остальных субъектов системы эта информация должна быть неизвестной.

Установление градаций важности защиты защищаемой информации (объекта защиты) называют категорированием защищаемой информации.

Под целостностью информации понимается свойство информации сохранять свою структуру и/или содержание в процессе передачи и хранения. Целостность информации обеспечивается в том случае, если данные в системе не отличаются в семантическом отношении от данных в исходных документах, т. е. если не произошло их случайного или преднамеренного искажения или разрушения. Обеспечение целостности данных является одной из сложных задач защиты информации.

Достоверность информации - свойство информации, выражающееся в строгой принадлежности субъекту, который является ее источником, либо тому субъекту, от которого эта информация принята.

Юридическая значимость информации означает, что документ, являющийся носителем информации, обладает юридической силой.

Доступность данных. Работа пользователя с данными возможна только в том случае, если он имеет к ним доступ.

Доступ к информации - получение субъектом возможности ознакомления с информацией, в том числе при помощи технических средств. Субъект доступа к информации - участник правоотношений в информационных процессах.

Оперативность доступа к информации - это способность информации или некоторого информационного ресурса быть доступными для конечного пользователя в соответствии с его оперативными потребностями.

Собственник информации - субъект, в полном объеме реализующий полномочия владения, пользования, распоряжения информацией в соответствии с законодательными актами.

Владелец информации - субъект, осуществляющий владение и пользование информацией и реализующий полномочия распоряжения в пределах прав, установленных законом и/или собственником информации.

Пользователь (потребитель) информации - субъект, пользующийся информацией, полученной от ее собственника, владельца или посредника в соответствии с установленными правами и правилами доступа к информации либо с их нарушением.

Право доступа к информации - совокупность правил доступа к информации, установленных правовыми документами или собственником либо владельцем информации.

Правило доступа к информации - совокупность правил, регламентирующих порядок и условия доступа субъекта к информации и ее носителям.

Различают санкционированный и несанкционированный доступ к информации.

Санкционированный доступ к информации - это доступ к информации, не нарушающий установленные правила разграничения доступа. Правила разграничения доступа служат для регламентации права доступа к компонентам системы.

Несанкционированный доступ к информации - нарушение установленных правил разграничения доступа. Лицо или процесс, осуществляющие НСД к информации, являются нарушителями правил разграничения доступа. НСД является наиболее распространенным видом компьютерных нарушений.

Ответственным за защиту компьютерной системы от НСД к информации является администратор защиты.

Доступность информации подразумевает также доступность компонента или ресурса компьютерной системы, т. е. свойство компонента или ресурса быть доступным для законных субъектов системы. Примерный перечень ресурсов, которые могут быть доступны, включает: принтеры, серверы, рабочие станции, данные пользователей, любые критические данные, необходимые для работы.

Целостность ресурса или компонента системы - это свойство ресурса или компонента быть неизменным в семантическом смысле при функционировании системы в условиях случайных или преднамеренных искажений или разрушающих воздействий.

С допуском к информации и ресурсам системы связана группа таких важных понятий, как идентификация, аутентификация, авторизация. С каждым субъектом системы (сети) связывают некоторую информацию (число, строку символов), идентифицирующую субъект. Эта информация является идентификатором субъекта системы (сети). Субъект, имеющий зарегистрированный идентификатор, является законным (легальным) субъектом. Идентификация субъекта - это процедура распознавания субъекта по его идентификатору. Идентификация выполняется при попытке субъекта войти в систему (сеть). Следующим шагом взаимодействия системы с субъектом является аутентификация субъекта. Аутентификация субъекта - это проверка подлинности субъекта с данным идентификатором. Процедура аутентификации устанавливает, является ли субъект именно тем, кем он себя объявил. После идентификации и аутентификации субъекта выполняют процедуру авторизации. Авторизация субъекта - это процедура предоставления законному субъекту, успешно прошедшему идентификацию и аутентификацию, соответствующих полномочий и доступных ресурсов системы (сети).

Под угрозой безопасности АС понимаются возможные действия, способные прямо или косвенно нанести ущерб ее безопасности. Ущерб безопасности подразумевает нарушение состояния защищенности информации, содержащейся и обрабатывающейся в системе (сети). С понятием угрозы безопасности тесно связано понятие уязвимости компьютерной системы (сети). Уязвимость компьютерной системы - это присущее системе неудачное свойство, которое может привести к реализации угрозы. Атака на компьютерную систему - это поиск и/или использование злоумышленником той или иной уязвимости системы. Иными словами, атака - это реализация угрозы безопасности.

Противодействие угрозам безопасности является целью средств защиты компьютерных систем и сетей.

Защищенная система - это система со средствами защиты, которые успешно и эффективно противостоят угрозам безопасности.

Способ защиты информации - порядок и правила применения определенных принципов и средств защиты информации.

Средство защиты информации - техническое, программное средство, вещество и/или материал, предназначенные или используемые для защиты информации

Комплекс средств защиты (КСЗ) - совокупность программных и технических средств, создаваемых и поддерживаемых для обеспечения информационной безопасности системы (сети). КСЗ создается и поддерживается в соответствии с принятой в данной организации политикой безопасности.

Техника защиты информации - средства защиты информации, средства контроля эффективности защиты информации, средства и системы управления, предназначенные для обеспечения защиты информации.

Корпоративные сети относятся к распределенным автоматизированным системам (АС), осуществляющим обработку информации. Обеспечение безопасности АС предполагает организацию противодействия любому несанкционированному вторжению в процесс функционирования АС, а также попыткам модификации, хищения, выведения из строя или разрушения ее компонентов, т. е. защиту всех компонентов АС - аппаратных средств, программного обеспечения (ПО), данных и персонала. Конкретный подход к проблеме обеспечения безопасности основан на разработанной для АС политике безопасности .

Политика безопасности - это совокупность норм, правил и практических рекомендаций, регламентирующих работу средств защиты компьютерной системы от заданного множества угроз. Более подробные сведения о видах политики безопасности и процессе ее разработки приводятся в гл. 3.

Федеральный закон РФ "О государственной тайне" трактует это понятие так:

"Государственная тайна - защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации".

Модель определения государственных секретов обычно включает в себя следующие существенные признаки:

1) предметы, явления, события, области деятельности, составляющие государственную тайну;

2) противник (данный или потенциальный), от которого в основном осуществляется защита государственной тайны;

3) указание в законе, перечне, инструкции сведений, составляющих государственную тайну;

4) наносимый ущерб обороне, внешней политике, экономике, научно-техническому прогрессу страны и т.п. в случае разглашения (утечки) сведений, составляющих государственную тайну.

Перечень сведений, которые могут быть отнесены к государственной тайне, определен в Указе Президента РФ от 24 января 1998 года N 61. К государственной тайне отнесены:

Сведения по вопросам внешней политики, внешней торговли, научно-технических связей, раскрывающие стратегию и тактику внешней политики РФ, преждевременное распространение которых может нанести ущерб интересам государства;

Сведения по политическим, научно-техническим и экономическим вопросам в отношении иностранных государств, если их распространение может привести к выявлению источника сведений;

Сведения, раскрывающие содержание мероприятий по взаимным поставкам сырья, материалов, топлива, оборудования, медикаментов между РФ и странами СНГ или мероприятий по оказанию им технического содействия в строительстве предприятий и объектов;

Сведения, раскрывающие объемы перевозок экспортно-импортных грузов между РФ и странами СНГ на расчетный год;

Сводные сведения о госзапасах драгметаллов (кроме золота), природных алмазов в целом по РФ и по федеральным органам власти;

Сведения, раскрывающие данные о производстве золота и природных алмазов (прогнозные), металлов платиновой группы, серебра (прогнозные и фактические) на год и более;

Сводные сведения о поступлении драгметаллов и драгкамней в Госфонд РФ и их отпуске за период от года и более;

Сведения о расходах федерального бюджета, связанных с обеспечением безопасности РФ (кроме обобщенных показателей);

Сведения по неурегулированным расчетам РФ с иностранными государствами (кроме обобщенных показателей по внешней задолженности);

Сведения о финансовой и кредитно-денежной деятельности, могущие нанести ущерб безопасности государства;

Сводные данные о российском экспорте-импорте немонетарного золота, драгметаллов и камней, изделий из них;

Сведения о лицах, сотрудничающих или сотрудничавших на конфиденциальной основе с органами контрразведки и оперативно-розыскной деятельности;

Сведения о средствах, силах, методах, планах и результатах оперативно-розыскной деятельности, а также данные о финансировании ее, открывающие эти сведения;

Сведения, раскрывающие силы, средства и методы ведения следствия по уголовным делам о государственных преступлениях;

Сведения о средствах, силах, методах, планах, состоянии и результатах деятельности органов радиоэлектронной разведки средств связи, а также данные о финансировании ее, открывающие эти сведения.

В этом указе определяется также круг ведомств, которые имеют право засекречивать информацию (несмотря на то, что Закон Рф "О государственной тайне" предписывает такие полномочия только Госдуме или Президенту).

Традиционно нельзя засекречивать информацию в качестве государственной тайны:

Если ее утечка (разглашение и т.п.) не наносит ущерба национальной безопасности страны;

В нарушение действующих законов;

Если сокрытие информации будет нарушать конституционные и законодательные права граждан;

Для сокрытия деятельности, наносящей ущерб окружающей природной среде, угрожающей жизни и здоровью граждан.

Согласно статье 29 Конституции РФ перечень сведений, составляющих государственную тайну, определяется федеральным законом. Однако Федеральное Собрание России, принимая Закон "О государственной тайне", установило лишь примерный перечень сведений, которые ее составлять не могут. К гостайне не могут быть отнесены сведения:

О чрезвычайных происшествиях и катастрофах, угрожающих безопасности и здоровью граждан, и их последствиях, о стихийных бедствиях, их прогнозах и последствиях;

О состоянии экологии, здравоохранения, санитарии, демографии, образования, культуры, сельского хозяйства, преступности;

О привилегиях, компенсациях и льготах;

О фактах нарушения прав и свобод человека; о размерах золотого запаса и государственных валютных резервах;

О состоянии здоровья высших должностных лиц;

О нарушениях законности органами государственной власти и должностными лицами.

Важным признаком государственной тайны является степень секретности сведений, отнесенных к ней. В нашей стране принята следующая система обозначения сведений, составляющих государственную тайну: "особой важности", "совершенно секретно", "секретно".

Эти грифы проставляются на документах или изделиях (их упаковках или сопроводительных документах). Содержащиеся под этими грифами сведения, являются государственной тайной. Разница между тремя степенями секретности зависит от величины ущерба, который обозначается как "исключительно серьезный", "серьезный" или просто "ущерб". Критерии степени секретности сведений, содержащих государственную тайну, всегда оставляют место для вольного или невольного привнесения субъективного фактора в процесс засекречивания информации.

В зависимости от вида, содержания и размеров ущерба выделяются следующие группы видов ущерба при утечке (или возможной утечке) сведений, составляющих государственную тайну.

1. Политический ущерб может наступить при утечке сведений политического и внешнеполитического характера, о разведывательной деятельности спецслужб государства и др. Политический ущерб может выражаться в том, что в результате утечки информации могут произойти серьезные изменения в международной обстановке не в пользу Российской Федерации, утрата страной политических приоритетов в каких-то областях, ухудшение отношений с какой-либо страной или группой стран и т.д.

2. Экономический ущерб может наступить при утечке сведений любого содержания: политического, экономического, военного, научно-технического и т.д. Экономический ущерб может быть выражен прежде всего в денежном исчислении. Экономические потери от утечки информации могут быть прямые и косвенные. Прямые потери могут наступить в результате утечки секретной информации о системах вооружения, обороны страны, которые в результате этого практически потеряли или утратили свою эффективность и требуют крупных затрат на их замену или переналадку. Косвенные потери чаще всего выражаются в виде размера упущенной выгоды: срыв переговоров с иностранными фирмами, о выгодных сделках с которыми ранее была достигнута договоренность; утрата приоритета в научном исследовании, в результате соперник быстрее довел свои исследования до завершения и запатентовал их и т.д.

3. Моральный ущерб наступает от утечки информации, в результате противоправной антигосударственной пропагандической кампании, подрывающей репутацию страны.

ОСНОВНЫЕ ПОНЯТИЯ И ОСОБЕННОСТИ ЗАЩИЩАЕМОЙ ИНФОРМАЦИИ.

Информация является одним из основных продуктов современных информационных обществ и одним из важнейших видов товара на внутреннем и международном рынках.

Собственник защищаемой информации - юридическое или физическое лицо, которое по своему усмотрению владеет, пользуется и распоряжается принадлежащей ему информацией.

Владелец защищаемой информации - юридическое или физическое ли­цо, которое имеет полномочия владеть, пользоваться и распоряжаться данной информацией по договору с собственником, в силу закона или решения адми­нистративных органов.

Каждое государство имеет и защищает свои информационные ресурсы. Эти ресурсы можно разделить на следующие три группы:

Информация открытая, на распространение и использование кото­рой не имеется никаких ограничений.

Информация запатентованная - охраняется внутригосударственным законодательством или международными соглашениями как объект интеллек­туальной собственности.

Информация, «закрываемая» ее собственником, владельцем и защи­щаемая им с помощью отработанных механизмов защиты государственной, коммерческой или другой охраняемой тайны.

К третьей группе обычно относят информацию, неизвестную другим ли­цам, которая не может быть запатентована или умышленно не патентуется ее собственником с целью избежания или уменьшения риска завладения этой информацией соперниками, конкурентами.

Защищают и охраняют, как правило, не всю или не всякую информацию, а наиболее важную, ценную для ее собственника. Ограничение распростране­ния на такую информацию приносит ему какую-то пользу или прибыль, воз­можность эффективно решать стоящие перед ним задачи.

К защищаемой информации относят:

секретную информацию (сведения, содержащие государственную тайну);

конфиденциальную информацию (сведения, содержащие коммерческую, личную, судебно-следственную, служебную, производственную и профессио­нальную тайну (рис. 6)).

Таким образом, под защищаемой информацией понимают сведения, на использование и распространение которых введены ограничения их собст­венником.

Тайну можно рассматривать как объективную (тайна Вселенной, напри­мер) и субъективную категории. Во втором случае под тайной понимается то, что нужно скрыть от других.

Тайна в области защиты информации - это субъективная категория, когда сведения о каких-то событиях, явлениях, предметах скрываются по тем или иным соображениям собственником, владельцем информации от по­сторонних лиц.

Защищаемая информация должна приносить определенную пользу ее собственнику и оправдывать затрачиваемые на ее защиту силы и средства.

Одним из основных признаков защищаемой информации являются огра­ничения, вводимые собственником информации на ее распространение и ис­пользование.

Защищаемая информация, в отличие от открытой, имеет свои особенно­сти. Защищаемой информации присуща непрерывно повторяющаяся совокуп­ность информационных процессов, которая приводит к росту количества такой информации. Происходит создание новой информации, содержащей сведения, подлежащие засекречиванию. Поэтому такая информация сразу же при ее создании включается в массивы защищаемой информации. Производство но­вой информации сопровождается обычно и потреблением имеющейся защи­щенной информации.

Кругооборот защищаемой информации происходит в определенной, ог­раниченной режимными мерами сфере - научно-производственной, управлен­ческой, коммерческой и др.

Секретная информация обладает определенным генетическим свойст­вом: если эта информация является основанием для создания новой инфор­мации (документов, изделий и т.п.), то созданная на этой основе информация является, как правило, секретной.

В отношении конфиденциальной информации, содержащей в частности коммерческую тайну, этого однозначно сказать нельзя.

Появление новой защищаемой информации есть результат деятельности субъекта - собственника информации или уполномоченных им лиц, засекре­тивших информацию. Она после этого как бы отчуждается от субъекта - авто­ра. Особенность такого отчуждения состоит в том, что эта секретная или кон­фиденциальная информация диктует всем, кто с нею сталкивается правила обращения с нею, уровень защитных мер к себе и т.д.

Уровень защиты информации определяется грифом секретности или конфиденциальности.

Уязвимость защищаемой информации заключается в возможности ее «заимствования» без нарушения физической целостности носителя.

В таком случае происходит утечка информации. Собственник об этом мо­жет и не знать.

Распространение открытой информации происходит случайным образом. Распространение защищаемой информации производится детерменированно (заранее определяется возможное количество потребителей).

КОНЦЕПТУАЛЬНАЯ МОДЕЛЬ БЕЗОПАСНОСТИ ИНФОРМАЦИИ

ПОНЯТИЯ «ИНФОРМАЦИЯ», ЕЕ «ИСТОЧНИКИ И НОСИТЕЛИ».

Составной частью любой области науки, в том числе развивающихся теоретических основ комплексной защиты информации, являются определенные понятия. Естественно, что одним из основных понятий в этой предметной области является «информация», которая может быть отнесена к абстрактным категориям и первичным понятиям, а по форме проявления является материально-энергетической категорией.

Существует множество определений понятия «информация»: от наиболее общего, философского (информация есть отражение материального мира), до наиболее узкого, практического (информация есть все сведения, являющиеся объектом хранения, передачи и преобразования).

До середины 20-х гг. XX в. под информацией действительно понимались «сообщения и сведения», передаваемые людьми устным, письменным или иным способом. С середины XX в. информация превращается в общенаучное понятие, включающее обмен сведениями между людьми, человеком и автоматом, автоматом и автоматом; обмен сигналами в животном и расти тельном мире; передачу признаков от клетки к клетке, от организма к организму (генетическая информация). Это одно из основных понятий кибернетики.

В связи с развитием средств связи и телекоммуникаций, вы числительной техники и их использованием для обработки и передачи информации возникла необходимость измерять ее количественные характеристики. К. Шенноном и У. Уивером были предложены вероятностные методы для определения количества передаваемой информации. Появилось понятие «энтропия информации» как мера ее неопределенности.

Н. Винер предложил «информационное видение» кибернетики считать наукой об управлении в живых организмах и технических системах. Под информацией стали понимать уже не просто сведения, а только те из них, которые являются новыми и полезными для принятия решения, обеспечивающего достижение цели управления.

Уже много лет развивается семантическая теория информации, которая изучает смысл, содержащийся в сведениях, их полезность и ценность для потребителя.

С точки зрения процесса защиты информации нам важно представлять это понятие в более материалистической плоскости, позволяющей направлять действия по обеспечению безопасности на конкретный объект. Поэтому остановимся на следующем определении.

Информация - это сведения о предметах, объектах, явлениях, процессах (независимо от формы их представления), отображаемые в сознании человека или на каком-либо носителе для последующего восприятия их человеком.

Использование этого термина обычно предполагает возникновение материально-энергетического сигнала, воспринимаемого сенсорно или на приборном уровне. Существование такого сигнала предполагает наличие носителя информации. При организации защиты засекреченной информации постоянно обращается внимание на необходимость защиты носителей секретной и конфиденциальной информации, а так как такая информация неотрывна от них, она не может существовать по мимо носителя. И только получая доступ к носителю, злоумышленник может добыть интересующую (и защищаемую собственником) информацию. При этом носитель информации становится источником ее для этого злоумышленника.

Очевидно, что под понятием «источник» понимается какой-то объект, обладающий определенной информацией, к ко торой получили доступ одноразово или многократно интересующиеся ею лица. Источник связан с каким-то получателем (субъектом), имеющим ту или иную возможность доступа к информации. Источник в этой паре выступает как бы пассив ной стороной, а получатель-субъект - активной.

Простейшая на первый взгляд операция превращения носи теля информации в ее источник, которую мы сами проделываем ежедневно сотни и тысячи раз, при добывании защищаемой информации приобретает особый смысл. Носитель секретной и конфиденциальной информации находится под постоянной защитой, доступ к нему строго регламентируется. Поэтому и доступ к такой информации соперником может быть получен только вопреки воле ее собственника. Такой незаконный, не санкционированный доступ всегда связан с риском провала операции. Если вдуматься, то основная цель защиты информации в конечном счете сводится к тому, чтобы не позволить сопернику получить доступ к охраняемому носителю информации.

Однако в деятельности по защите информации постоянно возникают ситуации, когда на носители информации не «повесишь замок», не закроешь их в сейф, особенно в процессе их использования, а также когда ими являются люди, различного рода излучения, служащие «продуктом» деятельности технических систем, каналов связи, излучением слаботочных приборов и т. д. Поэтому все эти носители являются потенциальными источниками информации. К ним-то и стремится получить доступ соперник, прокладывающий пути к интересую щей его информации.

Таким образом, с точки зрения обеспечения информационной безопасности под понятием «носитель» необходимо понимать какой-то объект, обладающий определенной информацией, которую можно получить (получать) одноразово или многократно интересующимися ею лицами. Носитель связан с каким-то получателем (субъектом), имеющим ту или иную возможность доступа к информации. Тогда под носителем конфиденциальной информации будем понимать объект, обладающий определенными охраняемыми сведениями, представляющими интерес для злоумышленников. Рассматривая информацию с точки зрения отображения ее на каких-то или в каких-то материальных (физических) объектах, которые дли тельное время могут сохранять ее в относительно неизменном виде или переносить из одного места в другое, носителей защищаемой информации можно классифицировать следующим об разом:

Материально-вещественные носители (документы, книги, изделия, вещества и материалы);

Излучения и поля (электромагнитные, тепловые, радиационные и другие излучения, гидроакустические, сейсмические и другие поля);

Человек.

ПОКАЗАТЕЛИ ДЛЯ ОЦЕНКИ ИНФОРМАЦИИ

Нами информация должна рассматриваться под углом зрения задач и проблем информатизации, то есть, с одной стороны, как информационный ресурс общества, необходимый для информационного обеспечения общественной деятельности и повседневной жизни людей, а с другой - как специфическое сырье, подлежащее добыванию и переработке по специфическим технологиям.

Для того чтобы в процессе деятельности информация эффективно выполняла свою роль, необходимо уметь оценивать значимость ее для эффективности соответствующей деятельности, имея в виду при этом, что в условиях информационного общества она является объектом и продуктом труда.

Таким образом, для оценки информации необходимы показатели двух видов:

1) характеризующие информацию как объект труда в процессе информационного обеспечения решаемых задач;

2) характеризующие информацию как обеспечивающий ресурс в процессе решения различных задач.

Показатели первого вида должны характеризовать информацию как объект труда, над которым осуществляются некоторые процедуры в процессе переработки ее с целью информационного обеспечения решаемых задач. Для ОИ эти показатели имеют большое значение по двум причинам, определяющим основные виды характеристик данного вида показателей.

1. В рассматриваемых системах информационные сообщения проходят множество этапов обработки: представление информации в символьном виде (различными формами электрических сигналов), преобразование сигналов (аналоговых в дискретную форму), шифрование данных и все обратные пре образования. Следовательно, в качестве основной характеристики информации может выступать способ ее преобразования.

2. На всех участках технологических маршрутов обработки имеются потенциальные возможности для проявления большого количества дестабилизирующих факторов, которые могут оказать негативное воздействие на информацию. Поэтому важной характеристикой должна быть степень защищенности ин формации от воздействия дестабилизирующих факторов.

Показатели второго вида носят прагматический характер, их содержание определяется ролью, значимостью, важностью информации в процессе решения задач, а также количеством и содержанием информации, имеющейся в момент решения со ответствующей задачи. Причем здесь важно не просто количество сведений в абсолютном выражении, а достаточность (пол нота) их для информационного обеспечения решаемых задач и адекватность, то есть соответствие текущему состоянию тех объектов или процессов, к которым относится оцениваемая ин формация. Кроме того, важное значение имеет чистота информации, то есть отсутствие среди необходимых сведений ненужных данных или шумов. Наконец, для эффективности решения задач немаловажное значение имеет форма представления ин формации с точки зрения удобства восприятия и использования ее в процессе решения задач. Таким образом, ко второму виду показателей можно отнести следующие.

1. Важность информации. Это обобщенный показатель, характеризующий значимость информации с точки зрения тех задач, для решения которых она используется.

При этом необходимо определять как важность самих задач для обеспечиваемой деятельности, так и степень важности ин формации для эффективного решения соответствующей задачи.

Такой подход использует, например, академик И. А. Лазарев , определяющий, что одной из составляющих понятия «ин формационная безопасность» является достижение требуемого качества информации для решения важнейших задач обеспечения безопасности государства, личности, общества.

Для количественной оценки важности информации используют два критерия: уровень потерь в случае нежелательных изменений информации в процессе обработки под воздействием дестабилизирующих факторов и уровень затрат на восстановление нарушенной информации.

Тогда коэффициент важности информации Кви можно представить как функциональную зависимость от Рпи - величина потерь при нарушении качества информации и Рсв - величина стоимости восстановления ее качества.

Для информации, обрабатываемой и передаваемой в системе правительственной связи, существуют следующие категории важности: особой важности, совершенно секретно, секретно, конфиденциально, - характеризуемые размером ущерба для страны.

2. Полнота информации. Это показатель, характеризующий меру достаточности информации для решения соответствующих задач. Полнота информации оценивается относительно вполне определенной задачи или группы задач. Поэтому, чтобы иметь возможность определять показатель полноты информации, не обходимо для каждой задачи или группы задач заблаговременно составить перечень сведений, которые необходимы для их решения. Для представления таких сведений удобно воспользоваться так называемыми объектно-характеристическими таблицами (ОХТ), каждая из которых есть двухмерная матрица с приведенным в строках перечнем наименований объектов, процессов или явлений, входящих в круг интересов соответствующей задачи, а в столбцах - наименование их характеристик (параметров), значения которых необходимы для решения задачи. Совокупность всех таблиц, необходимых для обеспечения решения всех задач, может быть названа информационным кадастром объекта.

Коэффициент полноты информации в некоторой ОХТ может быть выражен в следующем виде:

где d - элемент, находящийся в z"-й строке иу"-м столбце; т - число строк ОХТ; п - число столбцов.

3. Адекватность информации. Под адекватностью информации понимается степень соответствия действительному состоянию тех реалий, которые отображает оцениваемая информация. В общем случае адекватность определяется двумя параметрами: объективностью генерирования информации о предмете, процессе или явлении и продолжительностью интервала времени между моментом генерирования информации и текущим моментом, то есть до момента оценивания ее адекватности.

Для оценки адекватности по второму параметру вполне под ходящим является известный в теории информации так называемый закон старения информации (рис. 2.3).

Рассматриваемый показатель широко применяется в криптографии при оценке стойкости шифрования передаваемой ин формации. Например, аппаратура шифрования является аппаратурой гарантированной стойкости, если период времени до расшифрования противником перехваченного сообщения составляет такую величину, что к этому моменту значимость ин формации в результате ее старения близка к нулю, то есть близок к нулю и коэффициент адекватности.

4. Релевантность информации. Релевантность есть такой показатель информации, который характеризует соответствие ее потребностям решаемой задачи. Для количественного выражения данного показателя обычно используют так называемый коэффициент релевантности (Кр), определяющий отношение объема релевантной информации к общему объему анализируемой информации. Трудности практического использования данного коэффициента сопряжены с количественным выражением объема информации.

Существует множество подходов в определении понятия «количество информации». Например, в сфере документооборота под этим понимается количество обрабатываемых документов. В сфере информационной обработки сигналов это понятие связано с понятием «энтропия».

5. Толерантность информации. Это показатель, характеризующий удобство восприятия и использования информации в процессе решения задачи. Данное понятие является очень широким, в значительной мере неопределенным и субъективным. Так, для системы телефонной связи оно может характеризовать разборчивость речевых сообщений, передаваемых по каналам связи.

Показатели первого и второго видов находятся в неразрывной связи. Так, с точки зрения обеспечения информационной безопасности объекта уровень важности информации определяет и требуемую степень ее защиты.

Проведение оценки качества информации по рассмотренным показателям позволяет проанализировать ее потенциальную ценность и исходя из этого определить необходимые меры защиты, то есть сделать информацию защищаемой.

КЛАССИФИКАЦИЯ ЗАЩИЩАЕМОЙ ИНФОРМАЦИИ.

Информацию можно классифицировать по трем основным признакам:

по принадлежности (праву собственности);

по видам тайны и степени секретности (конфиденциальности);

Классификация защищаемой информации по праву собственности:

сведения, являющиеся государственной, служебной тайной, иные виды защищаемой информации, в том числе и сведения являющиеся коммерческой тайной. Собственник защищаемой информации - государство и его структуры;

сведения, составляющие коммерческую тайну. Собственник защищае­мой информации - предприятие, товарищество, акционерное общество и др.;

партийная тайна. Не исключена государственная и коммерческая тай­на. Собственник - общественные организации;

сведения о гражданах государства: тайна переписки, телефонных и те­леграфных разговоров, врачебная тайна и др. Сохранение гарантируется госу­дарством. Личные тайны их личное дело. Государство не несет ответственно­сти за сохранность личных тайн.

Классификация защищаемой информации по степени секретности (конфиденциальности):

особой важности (особо важная) - ОВ;

совершенно секретная (строго конфиденциальная) - СС;

секретная (конфиденциальная) - С;

для служебного пользования (не для печати, рассылается по списку) - ДСП;

несекретная (открытая).

Следует отметить, что чем выше степень секретности информации, опре­деленная ее собственником, тем выше уровень ее защиты, тем более дорого­стоящей она становится, тем уже круг лиц, знакомящихся с этой информацией.

Классификация защищаемой информации по содержанию:

политическая;

экономическая;

разведывательная и контрразведывательная;

научно-техническая;

технологическая;

деловая и коммерческая.

КЛАССИФИКАЦИЯ НОСИТЕЛЕЙ ЗАЩИЩАЕМОЙ ИНФОРМАЦИИ.

Носителями информации называются материальные объекты, в том чис­ле физические поля, в которых информация находит свое отображение в виде символов, образов, сигналов, технических решений и процессов, создавая тем самым возможность для ее накопления, хранения, передачи и использования.

Для записи как секретной, так и несекретной информации используются одни и те же носители. Как правило, носители секретной и конфиденциальной информации охраняются собственником этой информации.

Носители защищаемой информации можно классифицировать следую­щим образом:

документы;

изделия (предметы);

вещества и материалы;

электромагнитные, тепловые, радиационные и другие излучения;

гидроакустические, сейсмические и другие поля;

геометрические формы строений, их размеры и т.п.

В качестве носителя защищаемой информации выступает человек. Чело­век как хранитель секретной и конфиденциальной информации обладает воз­можностью (кроме получения информации извне) генерировать новую ин­формацию, в том числе и секретную, давать оценку важности имеющейся у него в памяти информации, ранжировать потребителей защищаемой инфор­мации.

В то же время человек может вставать на путь сознательного несохране­ния доверенной ему секретной информации: совершить государственную из­мену или разболтать секреты своим знакомым, родственникам.

Рассмотрим кратко каждый из приведенных выше носителей информации.

Документ - зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать.

Форма документа как носителя информации: бумага, кино- и фотопленка, магнитные ленты, диски и т.п. Информация на носителе может быть в виде текста, чертежей, формул, графиков, карт и т.п.

На документе - носителе защищаемой информации указывается степень закрытости информации (гриф секретности). Поэтому потребитель может знать, кому и как с этой информацией обращаться. Уровень защиты определя­ется важностью содержащихся в документах охраняемых сведений.

Слабыми свойствами документа, как носителя защищаемой информации, являются следующие:

Недобросовестный потребитель может воспользоваться информацией в своих целях (если она не зашифрована);

Документ может быть утрачен (похищен, уничтожен, испорчен).

Изделия (предметы) как носители защищаемой информации: засекре­ченные образцы и комплексы военной и другой техники; оборудование; функ­циональные системы, агрегаты, приборы, входящие в состав комплексов или образцов; комплектующие элементы - сборочные единицы и детали, не имеющие самостоятельного и эксплуатационного значения и предназначен­ные для выполнения соответствующих функций в составе оборудования, об­разцов вооружения.

Материалы и вещества: конструкционные и эксплуатационные мате­риалы, полуфабрикаты, сырье, топливо и т.д., применяемые при изготовлении и эксплуатации техники и ее элементов. Например, термостойкие покрытия космического корабля. Д.И. Менделеевым был разгадан секрет изготовления бездымного пороха по видам сырья, используемым изготовителем.

К веществам, которые могут нести информацию о режимном объекте, от­носятся отходы режимных предприятий (вода, воздух, осадки на земле вокруг объекта и т.п.).

Электромагнитные излучения различной частоты переносят информа­цию от источника информации (радиопередатчика, излучателя) к приемнику и являются «продуктом» работы радиотехнических и других систем и, следова­тельно, несут информацию об этих системах. Рассматриваемые излучения мо­гут переносить конфиденциальную и секретную информацию, которая может быть перехвачена и декодирована соперником, конкурентом.

ГОСУДАРСТВЕННАЯ ТАЙНА

Государственная тайна - это защищаемые государством сведения в об­ласти его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распростра­нение которых может нанести ущерб безопасности РФ (Закон РФ «О государ­ственной тайне»).

В этом определении указываются категории сведений, которые защища­ются государством, и что распространение этих сведений может нанести ущерб интересам государственной безопасности.

Модель определения государственных секретов включает обычно в себя следующие существенные признаки:

Предметы, явления, события, области деятельности, составляющие го­сударственную тайну.

Противник (настоящий или потенциальный), от которого в основном осуществляется защита государственной тайны.

Указания в законе, перечне, инструкции сведений, составляющих госу­дарственную тайну.

Наносимый ущерб обороне, внешней политике, экономике, научно-техническому прогрессу страны и т.п. в случае разглашения утечки сведений, составляющих государственную тайну.

Какие сведения могут быть отнесены к государственной тайне, определе­но в Указе Президента РФ от 30 ноября 1995 г. № 1203. К ним отнесены сведе­ния (укажем лишь разделы): в военной области; во внешнеполитической и внешнеэкономической деятельности; в области экономики, науки и техники; в области разведывательной, контрразведывательной и оперативно-розыскной деятельности.

Нельзя засекречивать информацию в качестве гостайны:

если ее утечка (разглашение и т.п.) не влечет ущерба национальной безопасности страны;

в нарушение действующих законов;

если сокрытие информации будет нарушать конституционные и законо­дательные права граждан;

для сокрытия деятельности, наносящей ущерб окружающей среде, уг­рожающей жизни и здоровью граждан (ст. 7 Закона РФ «О государственной тайне»).

Признаком государственной тайны является степень секретности сведе­ний, отнесенных к ней: особой важности; совершенно секретно; секретно. Эти грифы проставляются на документах или изделиях (их упаковках или сопроводительных документах). Содержащиеся под этими грифами сведения являются государственной тайной.

Какие же используются критерии для отнесения сведений, во-первых, к государственной тайне, во-вторых, к той или иной степени секретности? Ответ на этот вопрос дают «Правила отнесения сведений, составляющих государст­венную тайну, к различным степеням секретности», указанные в постановле­нии Правительства РФ № 870 от 4.09.1995 г.

К сведениям особой важности следует относить сведения, распростра­нение которых может нанести ущерб интересам РФ в одной или нескольких областях деятельности.

К совершенно секретным сведениям следует относить сведения, рас­пространение которых может нанести ущерб интересам Министерства (ведом­ства) или отраслям экономики РФ в одной или нескольких областях деятель­ности.

К секретным сведениям следует относить все иные из числа сведений, составляющих государственную тайну. Ущерб может быть нанесен интересам предприятия, учреждения или организации.

Из этих определений можно видеть сравнительно высокую степень неоп­ределенности признаков, характеризующих ту или иную степень секретности сведений, составляющих государственную тайну. Поэтому всегда остается ме­сто для вольного или невольного привнесения субъективного фактора в про­цесс засекречивания информации.

В зависимости от вида, содержания, размеров ущерба можно выделить группы некоторых видов ущерба при утечке (или возможной утечке) сведений, составляющих государственную тайну.

Политический ущерб может наступить при утечке сведений политиче­ского и внешнеполитического характера, о разведывательной деятельности спецслужб государств и др.

Экономический ущерб может наступить при утечке сведений любого содержания: политического, военного, научно-технического и т.д. Экономиче­ские потери от утечки информации могут быть прямые и косвенные. Прямые потери могут наступить из-за утечки информации о систе­мах вооружения, обороны страны, которые в результате этого практически потеряли или утратили свою эффективность и требуют крупных затрат на их замену или переналадку. Косвенные потери чаще выражаются в виде размера упущенной вы­годы: срыв переговоров с инофирмами о выгодных сделках; утрата приоритета в научном исследовании.

Моральный ущерб, как правило, неимущественного характера наступает от утечки информации, вызвавшей или инициировавшей противоправную
государству пропагандистскую кампанию, подрывающую репутацию страны,
приведшую, например, к выдворению из каких-либо государств наших дипло-
матов и т.п.

КОММЕРЧЕСКАЯ ТАЙНА.

Коммерческая тайна - это защищаемые предприятием (фирмой, банком и т.п.) сведения в области производства, новых технологий, организационной, коммерческой и иной деятельности, имеющие для предприятия действитель­ную или потенциальную коммерческую ценность в силу неизвестности ее дру­гим лицам, раскрытие (утечка, разглашение) которых может нанести ущерб интересам предприятия.

Признаки коммерческой тайны предприятия - это информация, которая:

является собственностью предприятия, не содержит сведений, являю­щихся собственностью государства (сведений, составляющих государственную тайну) и не принадлежит другим предприятиям и организациям;

отражает технологическую, торговую, финансовую и другие стороны деятельности предприятия;

имеет действительную или потенциальную экономическую ценность, по­требительскую стоимость в силу неизвестности ее другим лицам, что дает воз­можность предприятию производить продукцию и товары, пользующиеся спросом на рынке, заключать равноправные, взаимовыгодные сделки с други­ми предприятиями, фирмами, находить новых клиентов, покупателей своей продукции;

является предметом посягательств других лиц (юридических или физи­ческих), так как к этой информации нет свободного доступа на законных осно­ваниях;

охраняется предприятием.

Постановлением Правительства РФ от 5.12.1991 г. № 35 объявлен пере­чень сведений, которые не могут составить коммерческую тайну:

учредительные документы;

документы, дающие право заниматься предпринимательской деятель­ностью;

сведения по установленным формам отчетности;

документы о платежеспособности;

сведения о численности и составе работников;

сведения о загрязнении окружающей среды и т.п.

Действие постановления не распространяется на сведения, относящие­ся в соответствии с международными договорами к коммерческой тайне, а также на те сведения о деятельности предприятия, которые составляют государственную тайну.

Коммерческая информация может быть ранжирована по степени ее важ­ности для предприятия с тем, чтобы регулировать ее распространение среди работающих на предприятии, указать пользователей этой информации, уро­вень ее защиты и т.д.

Можно предложить следующую систему обозначения степени важности:

коммерческая тайна - строго конфиденциально (КТ - СК);

коммерческая тайна - конфиденциально (КТ - К);

коммерческая тайна (КТ).

Дата публикации: 31.01.2013

Все больше информации сегодня хранится на компьютерах, подключенных к Интернету. А это значит, что информация становится доступной не только вам, а любому человеку в мире, если… правильно! - если вы ее не защитите! Несколько простых советов по защите вашей информации.

И самый первый совет, ка ни странно, очень прост - без фанатизма! Безусловно, информацию защищать нужно, но не так, чтобы самому иметь проблемы с доступом к ней. Ведь чем сложнее защита, тем больше проблем она приносит защищающемуся, а вовсе не тому, кто попытается у вас ее похитить. В мире достаточно ротозеев, у которых можно похитить информацию легко и просто, чтобы тратить время на взлом сложных паролей и систем безопасности.

Исходя из этого, первое, что вы должны сделать, определить, насколько ценна информация, которую вы собираетесь защищать. Чем она более ценна, тем больше желающих ее похитить, тем сложнее должна быть защита. И наоборот - ваши личные фотографии, сделанные на мыльницу во время отпуска в Египте, видеозаписи с первыми шагами ребенка, письма с обсуждением видов на урожай или даже действий правительства не нужны никому, даже даром и защищать их какими-то изощренными способами нет ни малейшего смысла. Достаточно самых, простых, элементарных мер предосторожности, к которым относятся:

1. Лицензионный антивирус на вашем компьютере с ежедневно обновляемыми антивирусными базами
2. НЕ сохранение паролей в браузере
3. Удаление приходящего спама, без открытия писем
4. НЕ посещение порнографических сайтов

Нужно ли сегодня кому-то рассказывать, что похищение информации из вашего компьютера - это не кропотливая ручная работа злобного хакера, а действие компьютерных вирусов? Вышеперечисленные действия оградят вас от троянов, ворующих информацию, на 90%. И этих мер по защите информации достаточно для 90% пользователей компьютера и интернета.

Другое дело - защита информации на предприятии или личной информации, связанной с ведением банковских счетов, созданием сугубо конфиденциальных документов, ведением деятельности, серьезно ущемляющей чьи-то интересы или участием в политике. Здесь требуется комплексный подход, который, в свою очередь, потребует от вас серьезных вложений и определенной дисциплины. Но кому есть что терять, прекрасно понимают это и без моих советов…

Поэтому вернусь к тем, кому посвящена статья - начинающим пользователям, плохо ориентирующимся в информационной среде и бросающимся из крайности в крайность. Некоторые, например, придумывают сложнейшие пароли, которые ставят на все, что можно и нельзя - почту, файлы, вход в систему, а также не хранят на компьютере «ничего лишнего», устанавливают файерволы с жесткой политикой безопасности, ограничивая себя во многих полезных возможностях, которые дает нам Интернет. Другие, и таких подавляющее большинство (!), ограничиваются паролями типа «1234» или своей датой рождения в качестве пароля, не ставят пароль даже на то, что нужно (например, на доступ к своей домашней точке Wi-Fi) и, что особенно печально, не считают нужным тратиться на антивирус!

Так вот - все это крайности, идущие от неосведомленности, страхов или, наоборот, беспечности. Во всем должна быть мера и разумный смысл. Если вам лень запоминать пароль, отличный от «1234» или своего дня рождения, добавьте к нему еще пару произвольных цифр или букв и этого уже будет достаточно, чтобы сильно усложнить работу тех, кто будет подбирать ваш пароль методом простого перебора цифр и заставить их поискать себе более легкую жертву. Скажем, если ваш день рождения 01.06.1980, сделайте пароль не 01061980, а G01061980r, где буквы G и r - произвольные, не связанные с вашим именем и фамилией и никакой ваш знакомый или незнакомый недруг, знающий ваш день рождения, не сможет подобрать пароль и вскрыть вашу почту или аккаунт в социальной сети.

Ну и, конечно, еще и еще раз повторюсь - лицензионный антивирус с ежедневно обновляемыми антивирусными базами! Он не способен защитить вас на 100%, лишь на 90%, но это реальная защита от большинства угроз. Мне всегда казалось, что антивирус на современном компьютере - это само собой разумеющаяся вещь, однако, чуть ли не каждый день я сталкиваюсь с тем, что люди его не имеют. Потом еще письма пишут: «Компьютер виснет и глючит, помогите, подскажите, в чем проблема?» В подавляющем большинстве случаев проблема в вирусах, не просто проникнувших на компьютер, а буквально кишащих в нем и день ото дня уничтожающих систему побочными продуктами своей деятельности.

В общем, все просто - разумная защита необходима и она стоит потраченных на нее денег и времени. Но и фанатично относиться к этому вопросу не стоит.

Будьте в безопасности!

Последние советы раздела «Компьютеры & Интернет»:

Программа для восстановления удаленных файлов
Скачать игры на Андроид бесплатно