1-й учебный вопрос - Основные понятия информационной безопасности.
Что такое «информация»? Ответить достаточно сложно. Чтобы зафиксировать термин для дальнейшего обращения с ним, воспользуемся Федеральным законом Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации». Итак, «информация – сведения (сообщения, данные) независимо от формы их представления». В общем, это согласуется с трактовкой информации в справочной философской литературе последнего времени как «одно из наиболее общих понятий науки, обозначающее некоторые сведения, совокупность каких-либо данных, знаний и т. п.».
Интересно отметить, что в отмененном Законе от 1995 г. «Об информации, информатизации и защите информации» указывалось, что «информация – сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления». Как видим, старое определение хуже, перечисление страдает существенной неполнотой. Приведем и некоторые другие понятия, связанные с термином «информация», из нового закона.
Информационные технологии – процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.
Информационная система – совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.
Информационно-телекоммуникационная сеть – технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники.
Обладатель информации – лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам.
Доступ к информации – возможность получения информации и ее использования.
Электронное сообщение – информация, переданная или полученная пользователем информационно-телекоммуникационной сети (иногда можно встретить термин «компьютерная информация» – информация, зафиксированная на машинном носителе или передаваемая по телекоммуникационным каналам в форме, доступной восприятию ЭВМ [Комментарии к УК РФ. Под ред. Скуратова Ю.И. и Лебедева В.М. – М.: НОРМА, 1996. – 832 с.]).
Документированная информация – зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или в установленных законодательством Российской Федерации случаях ее материальный носитель.
Особо можно выделить понятие конфиденциальность информации – обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.
Продолжая перечень понятий, выделим из [ГОСТ Р 50922-96] понятие: защищаемая информация – «информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации». Однако теперь по закону № 149-ФЗ к собственнику информации добавился еще и обладатель информации, защищающий ее ограничением доступа, как сказано в определении. К тому же в законе № 149-ФЗ понятие «защищаемая информация» отсутствует, хотя в старом законе оно было и говорилось, что «защищаемая информация – любая документированная информация, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю или иному лицу». По-видимому, решили убрать ограничение, связанное с документированностью информации.
2-й учебный вопрос: Категории доступа информации.
Согласно закону № 149-ФЗ, информация в зависимости от категории доступа к ней подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа).
К общедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не ограничен. «Общедоступная информация может использоваться любыми лицами по их усмотрению при соблюдении установленных федеральными законами ограничений в отношении распространения такой информации. Обладатель информации, ставшей общедоступной по его решению, вправе требовать от лиц, распространяющих такую информацию, указывать себя в качестве источника такой информации». Кроме того, по закону, информация в зависимости от порядка предоставления или распространения подразделяется на информацию:
1) свободно распространяемую;
2) предоставляемую по соглашению лиц, участвующих в соответствующих отношениях;
3) подлежащую предоставлению или распространению в соответствии с федеральными законами;
4) ограниченную или запрещенную для распространения в Российской Федерации.
Закон РФ «О средствах массовой информации», принятый в 1991 г., определяет понятие «массовая информация» как «предназначенные для неограниченного круга лиц печатные, аудиовизуальные и иные сообщения и материалы».
Перчень сведений конфиденциального характера опубликован в Указе Президента РФ от 6.03.97 г. № 188 «Об утверждении перечня сведений конфиденциального характера». К видам конфиденциальной информации можно отнести следующее:
Персональные данные - сведения о фактах, событиях и обстоятельствах частой жизни гражданина, позволяющие идентифицировать его личность, за исключением сведений, подлежащих распространению в средствах массовой информации в установленном федеральными законами случаях;
Тайна следствия исудопроизводства - сведения, составляющие тайну следствия и судопроизводства, а также сведения о защищаемых лицах и мерах государственной защиты, осуществляемой в соответствии с ФЗ от 20 августа 2004 г. № 119-ФЗ и другими нормативными правовыми актами Российской Федерации;
Служебная тайна - служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами;
Профессиональная тайна - сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных и иных сообщений и т.д.);
Коммерческая тайна - сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами;
Сведения о сущностиизобретения - сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.
3-й учебный вопрос: Основные цели и задачи защиты информации .
«Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:
1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
2) соблюдение конфиденциальности информации ограниченного доступа;
3) реализацию права на доступ к информации».
С учетом вышесказанного целесообразно ввести следующе определение защиты информации: защита информации - принятие правовых, организационных и технических мер, направленных на обеспечение целостности, доступности и конфиденциальности информации.
Отсюда вытекает основная цель защиты информации - обеспечение целостности, доступности и конфиденциальности информации.
С учетом рассмотренных ранее особенностей угроз безопасности информации можно сформулировать следующие основные задачи защиты информации в организациях (предприятиях, учреждениях):
1. Предотвращение разглашения сведений ограниченного доступа (обеспечение режима конфиденциальности (секретности) информации).
2. Предотвращение перехвата информации в процессе ее обработки техническими средствами (защита объектов информатизации от утечки информации по техническим каналам).
3. Предотвращение перехвата акустической (речевой) информации из выделенных (защитщаемых) помещений (защита выделенных помещений от утечки речевой информации по техническим каналам).
4. Предотвращение негласного визуального наблюдения и съемки (документирования) объектов информатизации, выделенных помещений, средств отображения информации и т.д.
5. Предотвращение перехвата информации, передаваемой по каналам связи (защита информации, передаваемой по каналам связи).
6. Предотвращение несанкционированного доступа нарушителей к информации, обрабатываемой средствами вычислительной техники (СВТ) и/или автоматизированными системами (АС), в результате которого возможно неправомерное ознакомление с информацией или ее копирование, или ее уничтожение, блокирование или модификация (защита информации от несанкционированного доступа).
7. Предотвращение несанкционированного снятия копий с носителей информации (защита носителей информации от несанкционированного копирования).
8. Предотвращение специальных программных воздействий на информацию или программное обеспечение технических средств обработки информации (ТСОИ), вызывающих или уничтожение, блокирование, модификацию, копирование компьютерной информации, или нейтрализацию средств защиты информации, или нарушение функционирования ТСОИ (защита информации от вредоносных программ и компьютерных вирусов).
9. Предотвращение программно-технических воздействий на информацию, программное обеспечение ТСОИ или непосредственно ТСОИ, вызывающих или уничтожение, блокирование, модификацию, копирование компьютерной информации, или нейтрализацию средств защиты информации, или нарушение функционирования ТСОИ (защита информации от программно-технических воздействий).
10. Предотвращение перехвата информации, обрабатываемой техническими средствами, электронными устройствами перехвата информации (закладочными устройствами), скрытно внедренными в технические средства обработки информации (выявление электронных устройств перехвата, внедренных в технические средства).
11. Предотвращение перехвата акустической (речевой) информации электронными устройствами перехвата информации (закладочными устройствами), скрытно внедренными в выделенные (защищаемые) помещения (выявление электронных устройств перехвата, внедренных в выделенные помещения).
12. Предотвращение преднамеренного силового электромагнитного воздействия на носители информации и ТСОИ, вызывающего разрушение носителей информации и ТСОИ или сбои в их работе (защита ТСОИ и носителей информации от силового электромагнитного воздействия).
13. Предотвращение несанкционированного доступа на объекты информатизации и в выделенные (защищаемые) помещения (физическая защита объектов информатизации и выделенных помещений).
14. Предотвращение хищения и утраты носителей информации (физическая защита носителей информации).
15. Оценка соответствия уровня защиты информации требованиям нормативно-правовых актов и нормативно-методических докуметов ФСТЭК и ФСБ России по защите информации.
С практической точки зрения ряд задач, близких по содержанию, целесообразно объеденить в группы (направления защиты информации):
1. защита информации от разглашения - защита информации, направленная на предотвращение неконтролируемого распространения (предоставления) защищаемой информации;
2. защита информации от утечки по техническим каналам - защита информации, направленная на предотвращение перехвата информации, обрабатываемой техническими средствами или обсуждаемой в выделенном помещении, техническими средствами разведки (ТСР) или специальными техническими средствами, предназначенными для негласного получения информации (СТС);
3. защита информации от несанкционированного доступа - защита информации, направленная на предотвращение доступа к информации, осуществляемого с нарушением установленных прав и (или) правил доступа к информации с применением штатных средств, предоставляемых СВТ или АС, или средств, аналогичных им по своим функциональному предназначению и техническим характеристикам;
4. защита информации от несанкционированных и непреднамереных воздействий - защита информации, направленная на предотвращение несанкционированных и непреднамеренных воздействий на защищаемую информацию, приводящих к: модифицированию (искажению, подмены), уничтожению, копированию информации, блокированию доступа к информации, нейтрализации средств защиты информации,сбою функционирования технических или программых средств, повреждению или выводу из строя носителя информации и т.д.
5. защита информации, передаваемой по каналам связи - защита информации, направленная на предотвращение перехвата информации, передаваемой по каналам связи;
6. физическая защита объектов информацизации (выделенных помещений) и носителей информации - защита объектов информатизации (выделенных помещений и т.д.), направленная на предотвращение проникновения на них посторонних лиц, а также носителей информации от их хищения и утраты;
7. контроль защищенности информации - комплекс мероприятий, направленных на оценку соответствие уровня защиты информации требованиям нормативно-правовых актов и нормативно-методических докуметов по защите информации. Можно выделить два основных вида контроля защищенности информации: аттестация объектов информатизации (выделенных помещений) по требованиям безопасности информации и аудит безопасности информации (аудит информационной безопасности).