Информационная безопасность Республики Башкортостан

Неправомерное овладение конфиденциальной информацией возможно за счет ее разглашения  источниками сведений, за счет утечки информации через технические средства и за счет несанкционированного доступа  к охраняемым сведениям.

Источниками конфиденциальной информации являются люди, документы, публикации, технические носители информации, технические  средства обеспечения производственной и трудовой деятельности, продукция  и отходы производства. Основными  направлениями защиты информации являются правовая, организационная и инженерно-техническая  защиты информации как выразители комплексного подхода к обеспечению информационной безопасности.

Средствами защиты информации являются физические средства, аппаратные средства, программные средства и криптографические  методы.

В качестве способов защиты выступают  всевозможные меры, пути, способы и  действия, обеспечивающие упреждение противоправных действий, их предотвращение, пресечение и противодействие несанкционированному доступу. В обобщенном виде рассмотренные компоненты в виде концептуальной модели безопасности информации приведены на следующей схеме.

Основные элементы концептуальной модели будут рассмотрены более  подробно в следующих разделах книги. Концепция безопасности является основным правовым документом, определяющим защищенность предприятия от внутренних и внешних  угроз.

Под угрозами конфиденциальной информации принято понимать потенциальные  или реально возможные действия по отношению к информационным ресурсам, приводящие к неправомерному овладению  охраняемыми сведениями. Такими действиями являются: ознакомление с конфиденциальной информацией различными путями и  способами без нарушения ее целостности; модификация информации в криминальных целях как частичное или значительное изменение состава и содержания сведений; разрушение (уничтожение) информации как акт вандализма с целью прямого нанесения материального ущерба.

В конечном итоге противоправные действия с информацией приводят к нарушению  ее конфиденциальности, полноты, достоверности  и доступности, что в свою очередь  приводит к нарушению как режима управления, так и его качества в условиях ложной или неполной информации. Каждая угроза влечет за собой определенный ущерб - моральный или материальный, а защита и противодействие угрозе призвано снизить его величину, в идеале - полностью, реально - значительно или хотя бы частично. Но и это удается далеко не всегда.

Источниками внешних угроз являются:

недобросовестные конкуренты;

преступные группировки и формирования;

отдельные лица и организации административно-управленческого  аппарата.

Источниками внутренних угроз могут  быть:

администрация предприятия;

персонал;

технические средства обеспечения  производственной и трудовой деятельности.

Соотношение внешних и внутренних угроз на усредненном уровне можно  охарактеризовать так:

82% угроз совершается собственными  сотрудниками фирмы либо при  их прямом или опосредованном  участии; 

17% угроз совершается извне - внешние угрозы;

1% угроз совершается случайными  лицами.

Угроза - это потенциальные или  реальные действия, приводящие к моральному или материальному ущербу.

Отношение объекта (фирма, организация) и субъекта (конкурент, злоумышленник) в информационном процессе с противоположными интересами можно рассматривать с позиции активности в действиях, приводящих к овладению конфиденциальными сведениями.

Факт получения охраняемых сведений злоумышленниками или конкурентами называют утечкой. Однако одновременно с этим в значительной части законодательных актов, законов, кодексов, официальных материалов используются и такие понятия, как разглашение сведений и несанкционированный доступ к конфиденциальной информации .

Разглашение - это умышленные или  неосторожные действия с конфиденциальными  сведениями, приведшие к ознакомлению с ними лиц, не допущенных к ним. Разглашение  выражается в сообщении, передаче, предоставлении, пересылке, опубликовании, утере и  в других формах обмена и действий с деловой и научной информацией. Реализуется разглашение по формальным и неформальным каналам распространения  информации. К формальным коммуникациям  относятся деловые встречи, совещания, переговоры и тому подобные формы  общения: обмен официальными деловыми и научными документами средствами передачи официальной информации (почта, телефон, телеграф и др.). Неформальные коммуникации включают личное общение (встречи, переписка и др.); выставки, семинары, конференции и другие массовые мероприятия, а также средства массовой информации (печать, газеты, интервью, радио, телевидение и др.). Как правило, причиной разглашения конфиденциальной информации является недостаточное знание сотрудниками правил защиты коммерческих секретов и непонимание (или недопонимание) необходимости их тщательного соблюдения. Тут важно отметить, что субъектом в этом процессе выступает источник (владелец) охраняемых секретов. Следует отметить информационные особенности этого действия. Информация содержательная, осмысленная, упорядоченная, аргументированная, объемная и доводится зачастую в реальном масштабе времени. Часто имеется возможность диалога. Информация ориентирована в определенной тематической области и документирована. Для получения интересующей злоумышленника информации последний затрачивает практически минимальные усилия и использует простые легальные технические средства (диктофоны, видео мониторинг).

Утечка - это бесконтрольный выход  конфиденциальной информации за пределы  организации или круга лиц, которым  она была доверена. Утечка информации осуществляется по различным техническим  каналам. Известно, что информация вообще переносится или передается либо энергией, либо веществом. Это либо акустическая волна (звук), либо электромагнитное излучение, либо лист бумаги (написанный текст) и др. С учетом этого можно  утверждать, что по физической природе  возможны следующие пути переноса информации: световые лучи, звуковые волны, электромагнитные волны, материалы и вещества. Соответственно этому классифицируются и каналы утечки информации на визуально-оптические, акустические, электромагнитные и материально-вещественные. Под каналом утечки информации принято понимать физический путь от источника конфиденциальной информации к злоумышленнику, посредством которого последний может получить доступ к охраняемым сведениям. Для образования канала утечки информации необходимы определенные пространственные, энергетические и временные условия, а также наличие на стороне злоумышленника соответствующей аппаратуры приема, обработки и фиксации информации.

Несанкционированный доступ - это  противоправное преднамеренное овладение  конфиденциальной информацией лицом, не имеющим права доступа к  охраняемым секретам. Несанкционированный  доступ к источникам конфиденциальной информации реализуется различными способами: от инициативного сотрудничества, выражающегося в активном стремлении "продать" секреты, до использования  различных средств проникновения к коммерческим секретам. Для реализации этих действий злоумышленнику приходится часто проникать на объект или создавать вблизи него специальные посты контроля и наблюдения - стационарных или в подвижном варианте, оборудованных самыми современными техническими средствами. Если исходить из комплексного подхода к обеспечению информационной безопасности, то такое деление ориентирует на защиту информации, как от разглашения, так и от утечки по техническим каналам и от несанкционированного доступа к ней со стороны конкурентов и злоумышленников. Такой подход к классификации действий, способствующих неправомерному овладению конфиденциальной информацией, показывает многогранность угроз и многоаспектность защитных мероприятий, необходимых для обеспечения комплексной информационной безопасности.

Организация защиты информации - содержание и порядок действий по обеспечению  защиты информации.

Система защиты информации - совокупность органов и/или исполнителей, используемая ими техника защиты информации, а  также объекты защиты, организованные и функционирующие по правилам, установленным  соответствующими правовыми, организационно-распорядительными  и нормативными документами по защите информации.

Мероприятие по защите информации - совокупность действий по разработке и/или практическому  применению способов и средств защиты информации.

Мероприятие по контролю эффективности  защиты информации - совокупность действий по разработке и/или практическому  применению методов [способов] и средств  контроля эффективности защиты информации.

Техника защиты информации - средства защиты информации, средства контроля эффективности защиты информации, средства и системы управления, предназначенные  для обеспечения защиты информации.

Объект защиты - информация или  носитель информации или информационный процесс, в отношении которых  необходимо обеспечивать защиту в соответствии с поставленной целью защиты информации.

Способ защиты информации - порядок  и правила применения определенных принципов и средств защиты информации.

Категорирование защищаемой информации [объекта защиты] - установление градаций важности защиты защищаемой информации [объекта защиты].

Метод [способ] контроля эффективности  защиты информации - порядок и правила  применения определенных принципов  и средств контроля эффективности  защиты информации.

Контроль состояния защиты информации - проверка соответствия организации  и эффективности защиты информации, установленным требованиям и/или  нормам в области защиты информации.

Средство защиты информации - техническое, программное средство, вещество и/или  материал, предназначенные или используемые для защиты информации.

Средство контроля эффективности  защиты информации - техническое, программное  средство, вещество и/или материал, предназначенные или используемые для контроля эффективности защиты информации.

Контроль организации защиты информации - проверка соответствия состояния  организации, наличия и содержания документов требованиям правовых, организационно-распорядительных и нормативных документов по защите информации.

Контроль эффективности защиты информации - проверка соответствия эффективности  мероприятий по защите информации установленным  требованиям или нормам эффективности  защиты информации.

Организационный контроль эффективности  зашиты информации- проверка полноты и обоснованности мероприятий по защите информации требованиям нормативных документов по защите информации.

Технический контроль эффективности  зашиты информации - контроль эффективности  защиты информации, проводимой с использованием средств контроля.

Информация - сведения о лицах, предметах, фактах, событиях, явлениях и процессах  независимо от формы их представления.

Доступ к информации - получение  субъектом возможности ознакомления с информацией, в том числе  при помощи технических средств.

Субъект доступа к информации - субъект доступа: участник правоотношений в информационных процессах.

Примечание: Информационные процессы - процессы создания, обработки, хранения, защиты от внутренних и внешних угроз, передачи, получения, использования  и уничтожения информации.

Носитель информации - физическое лицо, или материальный объект, в  том числе физическое поле, в которых  информация находит свое отображение  в виде символов, образов, сигналов, технических решений и процессов.

Собственник информации - субъект, в  полном объеме реализующий полномочия владения, пользования, распоряжения информацией  в соответствии с законодательными актами.

Владелец информации - субъект, осуществляющий владение и пользование информацией  и реализующий полномочия распоряжения в пределах прав, установленных законом  и/или собственником информации.

Пользователь [потребитель] информации - субъект, пользующийся информацией, полученной от ее собственника, владельца или  посредника в соответствии с установленными правами и правилами доступа  к информации либо с их нарушением.

Право доступа к информации - право  доступа: совокупность правил доступа  к информации, установленных правовыми  документами или собственником, владельцем информации.

Правило доступа к информации - правило доступа: совокупность правил, регламентирующих порядок и условия  доступа субъекта к информации и ее носителям.

Орган защиты информации - административный орган, осуществляющий организацию  защиты информации.

Обеспечение информационной безопасности достигается системой мер, направленных: на предупреждение угроз. Предупреждение угроз - это превентивные меры по обеспечению  информационной безопасности в интересах  упреждения возможности их возникновения; на выявление угроз. Выявление угроз  выражается в систематическом анализе  и контроле возможности появления  реальных или потенциальных угроз  и своевременных мерах по их предупреждению; на обнаружение угроз. Обнаружение  имеет целью определение реальных угроз и конкретных преступных действий; на локализацию преступных действий и принятие мер по ликвидации угрозы или конкретных преступных действий; на ликвидацию последствий угроз  и преступных действий и восстановление статус-кво.