Информация как объект защиты

Построение надежной защиты включает оценку циркулирующей в компьютерной системе информации с целью уточнения степени ее конфиденциальности, анализа потенциальных угроз ее безопасности и установление необходимого режима ее защиты.

Федеральным законом "Об информации, информатизации и защите информации" определено, что информационные ресурсы, т.е. отдельные документы или массивы документов, в том числе и в информационных системах, являясь объектом отношений физических, юридических лиц и государства, подлежат обязательному учету и защите, как всякое материальное имущество собственника. При этом собственнику предоставляется право самостоятельно в пределах своей компетенции устанавливать режим защиты информационных ресурсов и доступа к ним.

Закон также устанавливает, что "конфиденциальной информацией считается такая документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации". При этом федеральный закон может содержать прямую норму, согласно которой какие-либо сведения относятся к категории конфиденциальных или доступ к ним ограничивается. Так, Федеральный закон "Об информации, информатизации и защите информации" напрямую относит к категории конфиденциальной информации персональные данные (информацию о гражданах). Закон РСФСР "О банках и банковской деятельности в РСФСР" ограничивает доступ к сведениям по операциям, счетам и вкладам клиентов и корреспондентов банков (статья 25).

Однако не ко всем сведениям, составляющим конфиденциальную информацию, применима прямая норма. Иногда законодательно определяются только признаки, которым должны удовлетворять эти сведения. Это в частности относится к служебной и коммерческой тайне, признаки которых определяются Гражданским кодексом РФ (статья 139):

  • соответствующая информация неизвестна третьим лицам;
  • к ней свободного доступа на законном основании;
  • меры по обеспечению ее конфиденциальности принимает собственник информации.

    В настоящее время отсутствует какая-либо универсальная методика, позволяющая четко соотносить ту или иную информацию к категории коммерческой тайны. Можно только посоветовать исходить из принципа экономической выгоды и безопасности предприятия - чрезмерная "засекреченность" приводит к необоснованному подорожанию необходимых мер по защите информации и не способствует развитию бизнеса, когда как широкая открытость может привести к большим финансовым потерям или разглашению тайны. Законопроектом "О коммерческой тайне" права по отнесению информации к категории коммерческой тайны представлены руководителю юридического лица.

    Федеральный закон "Об информации, информатизации и защите информации", определяя нормы, согласно которых сведения относятся к категории конфиденциальных, устанавливает и цели защиты информации:

  • предотвращение утечки, хищения, искажения, подделки информации;
  • предотвращение несанкционированных действий по уничтожению, искажению, блокированию информации;
  • сохранение государственной тайны, конфиденциальности документированной информации.

    Определившись в необходимости защиты информации, непосредственно приступают к проектированию системы защиты информации.

    Отдельный раздел законопроекта "О коммерческой тайне", посвященный организации защиты коммерческой информации, определяет необходимый комплекс мероприятий по ее защите:

  • установление особого режима конфиденциальности;
  • ограничение доступа к конфиденциальной информации;
  • использование организационных мер и технических средств защиты информации;
  • осуществление контроля за соблюдением установленного режима конфиденциальности.

    Установление особого режима конфиденциальности направлено на создание условий для обеспечения физической защиты носителей конфиденциальной информации. Как правило, особый режим конфиденциальности подразумевает:

  • организацию охраны помещений, в которых содержатся носители конфиденциальной информации;
  • установление порядка пользования носителями конфиденциальной информации (учет, хранение, передача другим должностным лицам, уничтожение, отчетность);
  • организацию ремонта технических средств обработки конфиденциальной информации.

    Традиционно для организации доступа к конфиденциальной информации использовались организационные меры, основанные на строгом соблюдении сотрудниками процедур допуска к информации, определяемых соответствующими инструкциями, приказами и другими нормативными документами. Однако с развитием компьютерных систем эти меры перестали обеспечивать необходимую безопасность информации. Появились и в настоящее время широко применяются специализированные программные и программно-аппаратные средства защиты информации, которые позволяют максимально автоматизировать процедуры доступа к информации и обеспечить при этом требуемую степень ее защиты. Подробнее о существующих средствах защиты информации мы остановимся ниже.

    Контрольные вопросы.

    1. Что означает "конфиденциальная" информация?
    2. Какие у нас существуют законы по защите информации?
    3. Какие цели ставит федеральный закон "Об информации, информатизации и защите информации"?
    4. Как, на ваш взгляд, можно защитить информацию?