Цели и задачи защиты информации
Классификация информации по уровню необходимой защиты
Любая компания представляет собой хозяйствующий субъект, имеющий краткосрочные и долгосрочные цели ведения своей деятельности, определенные миссией на рынке и стратегией развития, внешние и внутренние ресурсы, необходимые для достижения поставленных целей, а также сложившиеся правила ведения бизнеса.
В процессе деятельности сотрудники принимают, обрабатывают и передают информацию, организуя информационный обмен. Именно эти процессы и вызывают необходимость защиты информации в зависимости от того, какова эта информация, т.е. какие сведения она содержит, к какой категории ее можно отнести.
Любая организация вне зависимости от размеров и формы собственности имеет достаточные объемы информации, которую необходимо защищать. К такой информации обычно относятся:
• вся информация, имеющая коммерческую значимость, а именно сведения о клиентах, поставщиках, новых разработках и ноу-хау, факты и содержание заключенных договоров с партнерами;
•данные о себестоимости продукции и услуг предприятия;
•результаты аналитических и маркетинговых исследований и вытекающие из них практические выводы;
•планы организации, тактика и стратегия действий на рынке;
•данные о финансовом состоянии организации, размерах окладов, премий, денежном наличном обороте.
Применительно к уровню защиты информацию можно разделить на три категории:
• информация, составляющая государственную тайну;
• сведения, содержащие коммерческую тайну;
• персональные данные.
Информация, составляющая государственную тайну. Владельцем этой категории информации является государство. Оно само выдвигает требования по ее защите и контролирует их исполнение Законом РФ "О государственной тайне" от 21 июля 1993 г. №5485-1. Нарушение этих требований влечет за собой применение санкций, предусмотренных Уголовным кодексом РФ.
К государственной тайне относятся защищаемые государством сведения в области военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации.
В связи с чрезвычайно высокой важностью данного вида информации доступ к сведениям, составляющим государственную тайну, обеспечивается для работников только после проведения процедуры оформления соответствующего права (допуска). Предприятия, учреждения и организации получают право на проведение работ с использованием сведений, содержащих государственную тайну, также после получения соответствующих полномочий.
Сведения, содержащие коммерческую тайну. Информацией этой категории владеют предприятия, и поэтому они вправе ею распоряжаться и самостоятельно определять степень защиты. Несмотря на то, что широкомасштабное развитие коммерческой деятельности в нашем государстве началось совсем недавно, российское законодательство на самом деле достаточно давно уделяло внимание этой категории сведений. Правовые нормы, предусматривавшие ответственность за разглашение ценной конфиденциальной информации, содержались еще в "Уложении о наказаниях" 1845 г., где предусматривалась ответственность за разглашение секретной информации, фабричного секрета, тайны торговой, а также за разглашение тайны кредитных установлений. В дореволюционной России защита конфиденциальной информации регламентировалась в основном положениями уголовного права. Так, в "Уложении о наказаниях" за разглашение фабричного секрета предусматривалась ответственность в виде тюремного заключения сроком от 4 до 8 месяцев. При этом под фабричным секретом понималось "содержимое в тайне и вверенное в виде тайны средство, употребляемое при изготовлении или отделке произведений тех фабрик, заводов или мануфактур, когда не было на сие положительного согласия тех, коим сия тайна принадлежит по праву".
В 1990 г. был принят закон "О предприятиях в СССР", в котором коммерческая тайна вновь обрела положенное ей место. Рассматриваемая категория определялась в законе как "не являющиеся государственными секретами сведения, связанные с производством, технологической информацией, управлением, финансами и другой деятельностью предприятий, разглашение (передача, утечка) которых может нанести ущерб его интересам". Вопросы законодательной защиты коммерческой тайны рассматривались и в более поздних законах, приятых впоследствии в России.
22 января 1999 г. Государственной Думой был принят проект закона "О коммерческой тайне", в котором коммерческая тайна определена следующим образом: "Коммерческая тайна - научно-техническая, коммерческая, организационная или иная используемая в предпринимательской деятельности информация, которая: обладает реальной или потенциальной экономической ценностью в силу того, что она не является общеизвестной и не может быть легко получена законным образом другими лицами, которые могли бы получить экономическую выгоду от ее разглашения или использования, и является предметом адекватных обстоятельств правовых, организационных, технических и иных мер по охране информации (режим коммерческой тайны)".
Законом устанавливаются три критерия, которые определяют охраноспособность сведений, составляющих коммерческую тайну:
• информация должна иметь действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам;
• к информации не должно быть свободного доступа на законном основании;
• требуется, чтобы обладатель информации принимал меры к охране ее конфиденциальности.
Для того чтобы сведения, которые должны быть отнесены к категории коммерческой тайны, приобрели законную силу, их необходимо оформить в виде специального перечня, утвержденного руководителем предприятия. При этом возможно установление грифов "Коммерческая тайна" или "Конфиденциально". Гриф "Служебная тайна" и грифы государственной секретности не допускаются.
Не все сведения могут быть отнесены к категории имеющих статус коммерческой тайны. Поскольку государство берет на себя функции контроля за осуществлением деятельности коммерческих организаций, правовыми документами определен перечень сведений, которые не могут составлять коммерческую тайну предприятия:
· его учредительные документы;
· разрешительные документы на право осуществления предпринимательской деятельности;
· сведения по установленным формам отчетности о финансово хозяйственной деятельности предприятия и иные сведения о нем, необходимые для проверки правильности исчисления и уплаты налогов и других обязательных платежей;
· сведения о загрязнении окружающей среды, нарушении антимонопольного законодательства, несоблюдении безопасных условий труда, реализации продукции, причиняющей вред здоровью населения;
· документы о платежеспособности;
· сведения о численности, составе работающих, их заработной плате и условиях труда.
Персональные данные. Собственниками информации данной категории являемся мы сами. Осознавая степень важности этой информации и ее роль в обеспечении безопасности каждой отдельно взятой личности, государство рассматривает ее защиту как одну из своих важных задач.
Информацию нужно защищать, потому-что, в конечном счете, она в дальнейшем материализуется в продукцию или услуги, приносящие компаниям прибыль.
При недостаточном уровне защиты информации резко возрастает вероятность снижения прибыли и появления убытков вследствие вторжения злоумышленников в информационное пространство компании (рис. 1.4.1).
|
Рис. 1.4.1 Частота осуществления атак на информационные системы
Основными целями защиты информации являются:
• предотвращение утечки, хищения, искажения, подделки;
• обеспечение безопасности личности, общества, государства;
•предотвращение несанкционированного ознакомления, уничтожения, искажения, копирования, блокирования информации в информационных системах;
•защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных;
•сохранение государственной тайны, конфиденциальности документированной информации;
•соблюдение правового режима использования массивов, программ обработки информации, обеспечение полноты, целостности, достоверности информации в системах обработки;
•сохранение возможности управления процессом обработки и пользования информацией.
Основными задачами защиты информации традиционно считаются обеспечение:
•доступности (возможность за приемлемое время получить требуемую информационную услугу);
•конфиденциальности (защищенность информации от несанкционированного ознакомления);
•целостности (актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения);
•юридической значимости.
Наиболее подробно эти задачи рассматриваются при проведении мероприятий по сохранению государственной тайны. Формирование и развитие отечественного рынка, стремящегося к полноценной интеграции с мировой торговой системой, стимулируют интенсивное развитие индустрии информационной защиты.
Юридическая значимость актуальна при необходимости обеспечения строгого учета платежных документов и любых информационных услуг. Это экономическая основа работы информационных систем, она служит для соблюдения жесткой регламентации и регистрации доступа к информации при пользовании информационными ресурсами.