Понятие «информация» сегодня употребляется весьма широко и разносторонне. Трудно найти такую область знаний, где бы оно не использовалось. Огромные информационные потоки буквально захлестывают людей. Объем научных знаний, например, по оценке специалистов, удваивается каждые пять лет.
Правомерно задать вопрос: что же такое информация? В литературе дается такое определение: информация — сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления[1]. Известно, что информация может иметь различную форму, включая данные, заложенные в компьютерах, письма или памятные записки, досье, формулы, чертежи, диаграммы, модели продукции и прототипы, диссертации, судебные документы и другое.
В настоящее время информация – играет огромную роль в как в частной, так и в жизни государства. Всем известно, что информация персонального характера: паспортные данные, номер, паспорт и код доступа к банковской карте, личная подпись – могут стать доступны определенным личностям и мы можем лишиться не только своих накоплений, но и стать должником по кредитам, которые мы не получали или даже потерять жилье. Закодированная информация используется широко в современной жизни, особенно в экономике, но в то же время любая звукозаписанная, знакозаписанная и цифровая информация может быть расшифрована, которая стала достоянием нечестных личностей – следовательно существует в современном обществе опасность информационного характера. С одной стороны – с ростом численности человечества увеличиваются информационные контакты, растут запросы на потребление материальной продукции, соответственно предложения удовлетворяющие эти запросы и все эти экономические взаимодействия осуществляются посредством оплаты денежными средствами. В современном обществе нет смысла посылать деньги по почте, чтобы заплатить за товар или услугу – для этого существуют виртуальные денежные переводы, осуществляемые посредством информационного интернет пространства, компьютеризированных банковских терминалов, специальных устройств считывающих банковские карты. С другой стороны – все больше появляется людей, особенно молодежи, которые не могут получить работу в системах удовлетворения спроса населения(хотя получили профильное образование), опять же из-за компьютеризации множества функций в этих сферах – множество профессий становится не востребованными, и, следовательно, рабочих мест становится все меньше – однако, они имеют высокий профессиональный уровень в области компьютерных технологий, имеют свободное время для отработки навыков и они создают программы взламывающие банкоматы, банковские и даже секретные государственные серверы. Все это создает информационную по своему источнику опасность как для конкретных людей, так и для страны в целом.
Примечательная особенность нынешнего периода — переход от индустриального общества к информационному, в котором информация становится важным ресурсом, наравне с другими необходимыми для обеспечения жизнедеятельности населения и функционирования государства ресурсами. Собственная информация для производителя представляет значительную ценность, так как нередко создание такой информации — весьма трудоемкий и дорогостоящий процесс. Очевидно, что ценность определяется в первую очередь приносимыми доходами.
Информационная безопасность включает меры по защите процессов создания данных, их ввода, обработки и вывода. Главная цель состоит в том, чтобы защитить и гарантировать точность и целостность информации. Информационная безопасность требует учета всех событий, когда информация создается, модифицируется, когда к ней обеспечивается доступ и когда она распространяется. Сегодня практически все согласны с тем, что успех в области информационной безопасности может принести только комплексный подход, сочетающий меры четырех уровней: законодательного, административного, процедурного и программно-технического. Для компаний – разработчиков и поставщиков программных средств информационной безопасности наиболее актуальным является, разумеется, программно-технический уровень.
Особое место отводится информационным ресурсам в условиях рыночной экономики. Важнейшим фактором рыночной экономики выступает конкуренция. Побеждает тот, кто лучше, качественнее, дешевле и оперативнее (время — деньги!) производит и продает. В сущности, это универсальное правило рынка. И в этих условиях основным выступает правило: кто владеет информацией, тот владеет миром. В конкурентной борьбе широко распространены разнообразные действия, направленные на получение конфиденциальной информации самыми различными способами, вплоть до прямого промышленного шпионажа с использованием современных технических средств разведки. Почти половина сведений добывается с помощью технических средств промышленного шпионажа. В этих условиях защите информации от неправомерного доступа к ней отводится весьма значительное место. При этом «целями защиты информации являются:
· предотвращение разглашения, утечки и несанкционированного доступа к охраняемым сведениям;
· предотвращение противоправных действий по уничтожению, модификации, искажению, копированию, блокированию информации;
· предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы;
· обеспечение правового режима документированной информации как объекта собственности;
· защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;
· сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством;
· обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологий и средств их обеспечения».
Как видно из этого определения целей защиты, информационная безопасность — довольно емкая и многогранная проблема, охватывающая не только определение необходимости защиты информации, но и то, как ее защищать, от чего защищать, когда защищать, чем защищать и какой должна быть эта защита. Основное внимание было уделено защите конфиденциальной информации, с которой большей частью и встречаются предприниматели негосударственного сектора экономики.
Как и всякий продукт, информация имеет потребителей, нуждающихся в ней, и потому обладает определенными потребительскими качествами, а также имеет и своих обладателей или производителей.
С позиций системного подхода к защите информации предъявляются определенные требования. Защита информации должна быть:
· непрерывной. Это требование проистекает из того, что злоумышленники только и ищут возможность, как бы обойти защиту интересующей их информации;
· плановой. Планирование осуществляется путем разработки каждой службой детальных планов защиты информации в сфере ее компетенции с учетом общей цели предприятия (организации);
· целенаправленной. Защищается то, что должно защищаться в интересах конкретной цели, а не все подряд;
· конкретной. Защите подлежат конкретные данные, объективно подлежащие охране, утрата которых может причинить организации определенный ущерб;
· активной. Защищать информацию необходимо с достаточной степенью настойчивости;
· надежной. Методы и формы защиты должны надежно перекрывать возможные пути неправомерного доступа к охраняемым секретам, независимо от формы их представления, языка выражения и вида физического носителя, на котором они закреплены;
· универсальной. Считается, что в зависимости от вида канала утечки или способа несанкционированного доступа его необходимо перекрывать, где бы он ни проявился, разумными и достаточными средствами, независимо от характера, формы и вида информации;
· комплексной. Для защиты информации во всем многообразии структурных элементов должны применяться все виды и формы защиты в полном объеме.
Недопустимо применять лишь отдельные формы или технические средства. Комплексный характер защиты проистекает из того, что защита — это специфическое явление, представляющее собой сложную систему неразрывно взаимосвязанных и взаимозависимых процессов, каждый из которых в свою очередь имеет множество различных взаимообусловливающих друг друга сторон, свойств, тенденций.
Система защиты информации, как любая система, должна иметь определенные виды собственного обеспечения, опираясь на которые она будет выполнять свою целевую функцию. С учетом этого система защиты может иметь:
· правовое обеспечение. Сюда входят нормативные документы, положения, инструкции, руководства, требования которых являются обязательными в рамках сферы их действия;
· организационное обеспечение. Имеется в виду, что реализация защиты информации осуществляется определенными структурными единицами, такими как: служба защиты документов; служба режима, допуска, охраны; служба защиты информации техническими средствами; информационно-аналитическая деятельность и другими;
· аппаратное обеспечение. Предполагается широкое использование технических средств, как для защиты информации, так и для обеспечения деятельности собственно СЗИ;
· информационное обеспечение. Оно включает в себя сведения, данные, показатели, параметры, лежащие в основе решения задач, обеспечивающих функционирование системы. Сюда могут входить как показатели доступа, учета, хранения, так и системы информационного обеспечения расчетных задач различного характера, связанных с деятельностью службы обеспечения безопасности;
· программное обеспечение. К нему относятся различные информационные, учетные, статистические и расчетные программы, обеспечивающие оценку наличия и опасности различных каналов утечки и путей несанкционированного проникновения к источникам конфиденциальной информации;
· математическое обеспечение. Предполагает использование математических методов для различных расчетов, связанных с оценкой опасности технических средств злоумышленников, зон и норм необходимой защиты;
· лингвистическое обеспечение. Совокупность специальных языковых средств общения специалистов и пользователей в сфере защиты информации;
· нормативно-методическое обеспечение. Сюда входят нормы и регламенты деятельности органов, служб, средств, реализующих функции защиты информации, различного рода методики, обеспечивающие деятельность пользователей при выполнении своей работы в условиях жестких требований защиты информации.
Одновременно с этим в значительной части законодательных актов, законов, кодексов, официальных материалов используются и такие понятия, как разглашение сведений и несанкционированный доступ к конфиденциальной информации
Разглашение — это умышленные или неосторожные действия с конфиденциальными сведениями, приведшие к ознакомлению с ними лиц, не допущенных к ним.
Разглашение выражается в сообщении, передаче, предоставлении, пересылке, опубликовании, утере и в других формах обмена и действий с деловой и научной информацией. Реализуется разглашение по формальным и неформальным каналам распространения информации. К формальным коммуникациям относятся деловые встречи, совещания, переговоры и тому подобные формы общения: обмен официальными деловыми и научными документами средствами передачи официальной информации (почта, телефон, телеграф и т. д.). Неформальные коммуникации включают личное общение (встречи, переписка), выставки, семинары, конференции и другие массовые мероприятия, а также средства массовой информации (печать, газе ты, интервью, радио, телевидение). Как правило, причиной разглашения конфиденциальной информации является недостаточное знание сотрудниками правил защиты коммерческих секретов и непонимание (или недопонимание) необходимости их тщательного соблюдения. Тут важно отметить, что субъектом в этом процессе выступает источник (владелец) охраняемых секретов.
Следует отметить информационные особенности этого действия. Информация содержательная, осмысленная, упорядоченная, аргументированная, объемная и доводится зачастую в реальном масштабе времени. Часто имеется возможность диалога. Информация ориентирована в определенной тематической области и документирована. Для получения интересующей злоумышленника информации последний затрачивает практически минимальные усилия и использует простые легальные технические средства (диктофоны, видеомониторинг).
Утечка — это бесконтрольный выход конфиденциальной информации за пределы организации или круга лиц, которым она была доверена. Утечка информации осуществляется по различным техническим каналам. Известно, что информация вообще переносится или передается либо энергией, либо веществом. Это либо акустическая волна (звук), либо электромагнитное излучение, либо лист бумаги и др. С учетом этого можно утверждать, что по физической природе возможны следующие пути переноса информации: световые лучи, звуковые волны, электромагнитные волны, материалы и вещества. Соответственно этому классифицируются и каналы утечки информации на визуально-оптические, акустические, электромагнитные и материально-вещественные. Под каналом утечки информации принято понимать физический путь от источника конфиденциальной информации к злоумышленнику, посредством которого последний может получить доступ к охраняемым сведениям. Для образования канала утечки информации необходимы определенные пространственные, энергетические и временные условия, а также наличие на стороне злоумышленника соответствующей аппаратуры приема, обработки и фиксации информации.
Несанкционированный доступ — это противоправное преднамеренное овладение конфиденциальной информацией лицом, не имеющим права доступа к охраняемым секретам.
Несанкционированный доступ к источникам конфиденциальной информации реализуется различными способами: от инициативного сотрудничества, выражающегося в активном стремлении «продать» секреты, до использования различных средств проникновения к коммерческим секретам. Для реализации этих действий злоумышленнику приходится часто проникать на объект или создавать вблизи него специальные посты контроля и наблюдения — стационарных или в подвижном варианте, оборудованных самыми современными техническими средствами.
Если исходить из комплексного подхода к обеспечению информационной безопасности, то такое деление ориентирует на защиту информации, как от разглашения, так и от утечки по техническим каналам и от несанкционированного доступа к ней со стороны конкурентов и злоумышленников.
Такой подход к классификации действий, способствующих неправомерному овладению конфиденциальной информацией, показывает многогранность угроз и многоаспектность защитных мероприятий, необходимых для обеспечения комплексной информационной безопасности.
Основными угрозами информации являются ее разглашение, утечка и несанкционированный доступ к ее источникам.
В Российской Федерации к нормативно-правовым актам в области информационной безопасности относятся:
• Акты федерального законодательства: Международные договоры РФ; Конституция РФ; Законы федерального уровня (включая федеральные конституционные законы, кодексы); Указы Президента РФ; Постановления правительства РФ; Нормативные правовые акты федеральных министерств и ведомств; Нормативные правовые акты субъектов РФ, органов местного самоуправления и т. д.
[1] Федеральный закон "Об информации, информатизации и защите информации" от 20 февраля 1995 года № 24-фз;. ГОСТ Р 51141 - 98. "Делопроизводство и архивное дело. Термины и определения" Госстандарт России