Информация как объект защиты

      Комментарии к записи Информация как объект защиты отключены

Главная тенденция, характеризующая развитие современных информационных технологий — рост числа компьютерных преступлений и связанных с ними хищений информации, а также материальных потерь. По результатам одного исследования, посвященного вопросам компьютерных преступлений, около 58% опрошенных пострадали от компьютерных взломов за последний год. Примерно 18% опрошенных из этого числа заявляют, что потеряли более миллиона долларов в ходе нападений, более 66% потерпели убытки в размере 50 тыс. долларов. Свыше 22% атак были нацелены на промышленные секреты или документы, представляющие интерес, прежде всего для конкурентов.

Федеральным законом Об информации, информатизации и защите информации определено, что информационные ресурсы, т.е. отдельные документы или массивы документов, в том числе и в информационных системах, являясь объектом отношений физических, юридических лиц и государства, подлежат обязательному учету и защите, как всякое материальное имущество собственника. При этом собственнику предоставляется право самостоятельно в пределах своей компетенции устанавливать режим защиты информационных ресурсов и доступа к ним.

Закон также устанавливает, что конфиденциальной информацией считается такая документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации. При этом федеральный закон может содержать прямую норму, согласно которой какие-либо сведения относятся к категории конфиденциальных или доступ к ним ограничивается. Так, Федеральный закон Об информации, информатизации и защите информации напрямую относит к категории конфиденциальной информации персональные данные (информацию о гражданах). Закон О банках и банковской деятельности в РСФСР ограничивает доступ к сведениям по операциям, счетам и вкладам клиентов и корреспондентов банков.

Однако не ко всем сведениям, составляющим конфиденциальную информацию, применима прямая норма. Иногда законодательно определяются только признаки, которым должны удовлетворять эти сведения. Это в частности относится к служебной и коммерческой тайне, признаки которых определяются Гражданским кодексом РФ (статья 139):

  • соответствующая информация неизвестна третьим лицам;
  • к ней нет свободного доступа на законном основании;
  • меры по обеспечению ее конфиденциальности принимает собственник информации.

В настоящее время отсутствует какая-либо универсальная методика, позволяющая четко соотносить ту или иную информацию к категории коммерческой тайны. Исходить можно только из принципа экономической выгоды и безопасности предприятия — чрезмерная засекреченность приводит к необоснованному подорожанию необходимых мер по защите информации и не способствует развитию бизнеса, когда как широкая открытость может привести к большим финансовым потерям или разглашению тайны. Законопроектом О коммерческой тайне права по отнесению информации к категории коммерческой тайны представлены руководителю юридического лица.

Федеральный закон Об информации, информатизации и защите информации, определяя нормы, согласно которых сведения относятся к категории конфиденциальных, устанавливает и цели защиты информации:

  • предотвращение утечки, хищения, искажения, подделки информации;
  • предотвращение несанкционированного уничтожения и блокирования информации;
  • сохранение государственной тайны, конфиденциальности документированной информации.

Стандарты и рекомендации, рассмотренные выше, образуют понятийный базис, на котором строятся все работы по обеспечению информационной безопасности. В то же время эти документы ориентированы в первую очередь на производителей и оценщиков систем и в гораздо меньшей степени — на пользователей.

Стандарты и рекомендации статичны, причем статичны, по крайней мере, в двух аспектах. Во-первых, они не учитывают постоянной перестройки защищаемых систем и их окружения. Во-вторых, они не содержат практических рекомендаций по формированию режима безопасности. Информационную безопасность нельзя купить, ее приходится каждодневно поддерживать, взаимодействуя при этом не только и не столько с компьютерами, сколько с людьми.

Таким образом, стандарты и рекомендации не дают ответов на два главных, с практической точки зрения, вопроса:

  1. Как приобретать (комплектовать) информационную систему масштаба предприятия, чтобы ее можно было сделать безопасной?
  2. Как практически сформировать режим безопасности и поддерживать его в условиях постоянно меняющегося окружения и структуры самой системы?

Иными словами, стандарты и рекомендации являются лишь отправной точкой на длинном и сложном пути защиты информационных систем организаций.

Для поддержания режима информационной безопасности особенно важны аппаратно-программные меры, поскольку основная угроза компьютерным системам исходит от самих этих систем (сбои оборудования, ошибки программного обеспечения, промахи пользователей и администраторов и т.п.).

Статьи к прочтению:

Лекция 13: Нормативно-правовые документы и стандарты в области защиты информации


Похожие статьи:

  • Информация как объект защиты в компьютерных системах

    1.1 Информация — это: а) секретные сведения, содержащие государственную тайну б) сведения, представленные на материальных носителях в) сведения об…

  • Защита информации и прав субъектов в области информационных процессов и информатизации

    Статья 20. Цели защиты Целями защиты являются: предотвращение утечки, хищения, утраты, искажения, подделки информации предотвращение угроз безопасности…