Какие свойства информации необходимо защищать
Когда отец кибернетики Норберт Винер выделил информацию в качестве самостоятельного явления, отделив ее от материи и энергии, начался новый век. Сейчас она представляет собой не просто ценность, подлежащую охране, но среду, в которой существует современный человек. Как любой объект, имеющий интерес для его владельца, информация становится и целью для противоправных действий третьих лиц. От субъекта, владеющего данными (человек, корпорация, государство), будет зависеть и используемая система защиты информации.
Информационная безопасность
В любой организации с информацией происходят различные процессы – сбор, хранение, обработка и передача. На каждом из этих этапов возникают различные категории угроз информационной безопасности, борьба с ними должна быть системной, основанной на новейших технологических разработках. Лица, заинтересованные в хищении или уничтожении ценных сведений, постоянно развивают технический инструментарий, и противостоять им можно только путем опережения.
Под системой информационной безопасности специалисты понимают такое состояние массивов данных, в котором сведения и объекты инфраструктуры, обеспечивающей проведение различных процессов с информацией, полностью защищены от естественных и искусственных угроз. Обеспечение информационной безопасности на уровне государства расширяет это понятие, понимая под ним обеспечение национальных интересов в информационной сфере. Под национальными в данном случае понимается комплекс интересов гражданина, общества и государства.
Угрозы и риски
Безопасность информации не может быть обеспечена без разработанной модели угроз. В зависимости от субъекта-носителя, угрозы могут варьироваться, риски для государства будут отличаться от тех, которым подвергаются сведения, принадлежащие бизнесу или гражданину. На уровне России модель угроз предложена в Доктрине информационной безопасности, на уровне бизнеса, личности или общества риски будут зависеть от категории информации.
Модель угроз для бизнеса
Обеспечение информационной безопасности для бизнеса связано с пониманием ее ценности для гипотетических похитителей. В 2018 году на первый план вышли угрозы, связанные с понятием «преступление как услуга» (Crime-as-a-Service) и Интернетом вещей. Под «преступлением как услугой» понимается система предложений услуг по обеспечению неправомерного доступа к информации сложившимися преступными группами. Такие преступления совершаются по заказу экстремистских группировок или конкурентов компании-цели. Профессионалы взлома сетей и защиты продают услуги в Даркнете, а пользуются ими деструктивные организации, которые заинтересованы в раскрутке своего имени в качестве специалистов по взлому компьютерных сетей или пропаганде запрещенной идеологии в целях дальнейшей продажи своих услуг на теневом рынке. Также они могут быть нацелены на похищение информации, имеющей определенную ценность для конкретного заказчика, например, в процессе промышленного шпионажа.
Если ранее профессиональные хакерские атаки из-за сложности и высокой стоимости были редкостью, в последний год они стали массовым явлением. В этой же категории рисков находится хищение банковской информации или средств со счетов. По данным ЦБ РФ, в 2018 году количество хакерских атак на банки удвоилось, но в связи с увеличением степени защиты, количество похищенных средств существенно сократилось.
Ускоренное развитие Интернета вещей и использование его в деятельности корпораций приводит к возникновению ряда рисков, среди них:
- проектирование устройств без соблюдения необходимых критериев безопасности, такие устройства легкодоступны для внешних атак;
- низкая прозрачность Интернета вещей, отсутствие понятного правового регулирования, что приводит к использованию и обработке персональных данных граждан без соблюдения нормативных требований;
- передача некоторыми устройствами информации вне периметра корпорации, что достаточно сложно отследить.
Но помимо злонамеренных действий третьих лиц, в модели угроз должны учитываться и естественные риски техногенного или природного характера, например:
- стихийные бедствия, в результате которых будут разрушены материальные носители информации;
- перебои в питании, затрудняющие доступ к сведениям;
- неисправность оборудования.
В целях обеспечения сохранности информации от естественных рисков решением является ее своевременное резервное копирование. Так, в любом коммерческом банке все сведения, содержащиеся в информационной системе, в обязательном порядке копируются несколько раз в день.
Интересно, что бизнес склонен относить к угрозам и ужесточение требований регуляторов. Так, для операторов персональных данных ужесточение требований к программному обеспечению, используемому для защиты конфиденциальной информации, влечет за собой существенные затраты, которые могут повлиять на результаты операционной деятельности.
Иногда в качестве отдельного риска называется наличие цепи поставок или передача имеющей ценность информации поставщикам, подрядчикам, покупателям. Даже включение в договоры норм о сохранении коммерческой тайны не гарантирует, что ценные сведения не попадут в распоряжение третьих лиц. Для гарантированного обеспечения информационной безопасности необходимо учитывать риски всех категорий.
Угрозы в Доктрине информационной безопасности
Россия, принявшая в 2016 году Доктрину информационной безопасности Российской Федерации, рассматривает комплексную модель угроз. Информация в ней рассматривается не только как объект, который может быть утрачен или изменен, но и как оружие, направленное на подрыв суверенитета и внутренней стабильности. Выделяются следующие типы информационных угроз:
- подрыв обороноспособности страны;
- подрыв внутренней безопасности посредством информационно-психологического воздействия на граждан;
- использование иностранных СМИ для ухудшения образа России. Этот риск влияет и на корпорации, так как негативный имидж страны может привести к снижению их капитализации на международной арене.
В качестве отдельного риска называется научное и технологическое отставание на уровне использования цифровых технологий, что не всегда позволяет отражать атаки, связанные со взломом сайтов государственных организаций, размещением экстремистских воззваний и хищением защищаемой информации. Основные свойства информационной безопасности в рамках Доктрины отличаются от общепринятых, к которым относятся:
- конфиденциальность;
- целостность;
- доступность;
- невозможность отказа.
Возникает дополнительный признак безопасности информации как объекта, который может быть использован в качестве оружия, направленного на идеологическую и психологическую безопасность для граждан и общества.
Угрозы для граждан
Обеспечение информационной безопасности для граждан неотделимо от их информирования о возможных рисках, на сегодня эта задача решена не в полной мере. Если рассматривать информацию в качестве объекта, который может быть уничтожен, изменен или похищен, то граждане чаще всего страдают от следующих видов атак:
- вирусы, трояны, иные вредоносные программы, наносящие урон целостности компьютерных систем;
- программы-вымогатели, занимающие весь экран устройства и не исчезающие до выплаты мошенникам определенной суммы;
- фишинг, или хищение информации о банковских картах и счетах путем социальной инженерии, когда физическое лицо добровольно выдает мошеннику, представившемуся сотрудником банка, требуемую информацию, или путем подмены сайта магазина или кредитного учреждения на его подобие;
- кража личности. В этом случае похищенные персональные данные используются для получения каких-либо преференций от имени пострадавшего.
Но подвергаются граждане и тем информационным угрозам, которые были названы в государственной доктрине. Среди основных – вовлечение в экстремистскую деятельность, побуждение к совершению преступлений на почве национализма или религиозной нетерпимости, вовлечение детей в деструктивные секты.
Свойства безопасности информации
С началом информационной эры началось научное изучение теории защиты данных и основных свойств безопасности информации. В 1975 году Джерри Зальцер и Майкл Шрёдер в работе, посвященной защите данных в информационных системах, предложили классификацию способов нарушения безопасности. Они выявили три класса существенных нарушений защиты:
- неавторизованное (несанкционированное) раскрытие или разглашение. Из этого нарушения было выведено такое свойство информации, как конфиденциальность;
- неавторизованное изменение информации (например, замена сведений на главной странице сайта на воззвание экстремистской организации). Это нарушение посягает на такое основное свойство безопасности информации, как целостность;
- неавторизованный отказ в допуске. Из него ученые вывели такое свойство, как доступность или способность информации всегда быть открытой для использования авторизованным пользователем.
В зарубежных исследованиях эти основные свойства часто называют триадой CIA. Помимо них Организация экономического сотрудничества и развития опубликовала собственное понимание свойств безопасности информации, состоящее уже из девяти принципов:
- осведомленность или информирование о рисках, что особенно важно для граждан;
- ответственность или понимание последствий нарушения принципов безопасности информации;
- противодействие рискам;
- этика при обработке данных;
- демократия;
- адекватная оценка риска;
- разработка и внедрение систем безопасности;
- квалифицированное управление безопасностью информации;
- своевременный пересмотр политик безопасности.
Теоретическая работа со свойствами безопасности информации продолжилась дополнением триады CIA тремя новыми принципами, к ним были отнесены контроль, аутентичность и полезность. Паркеровская гексада, так назвали шесть принципов сформулированные Донном Паркером, не нашла понимания среди профессионалов из-за спорности новых положений. Одновременно американским Национальным институтом стандартов и технологий были разработаны 33 принципа инженерного проектирования систем информационной безопасности, до сих пор они, а также созданные на их базе правила и практические руководства используются разработчиками программного обеспечения и систем безопасности.
Несмотря на многообразие концепций, именно триада CIA стала базовым постулатом и вошла в большинство учебных программ и пособий по информационной безопасности, существующих в мире. Многие утвержденные стандарты разработки ПО, введенные в практику в России, некоторые ГОСТы основываются на этих трех основных свойствах – конфиденциальность, целостность и доступность. Дискуссии в профессиональном сообществе продолжаются, в частности, подвергается сомнению такой принцип, как конфиденциальность, в той части, в которой политика безопасности может нарушить права личности.
Конфиденциальность
Под конфиденциальностью понимается более широкий спектр значений, чем правовая защита определенных массивов информации или режим коммерческой тайны. Общей концепцией становится предоставление уровня доступа исходя из принципа минимальной информированности по вопросам, не входящим в сферу их непосредственной компетенции. Никто не должен иметь возможность изучать данные, которые не были ему необходимы в силу служебных обязанностей. Исходя из этого принципа, устанавливаются основные правила аутентификации, определяются уровни доступа, разрабатываются положения о сведениях, имеющих характер защищенных. Это свойство информации проявляется в политиках безопасности программных продуктов, во внутренних документах компаний и в нормативных документах государственных регуляторов.
Для защиты конфиденциальности стандартно используются такие методы, как:
- классификация данных по степени защищенности;
- шифрование при помощи средств криптографической защиты;
- обезличивание, при котором в массиве данных невозможно выделить сведения, касающиеся определенного лица.
Целостность
Сведения, принадлежащие организации или государству, имеют ценность и могут использоваться при принятии достоверных и обоснованных решений только при сохранении такого основного свойства информации, как целостность.
Информация должна быть защищена:
- от намеренного или случайного искажения или удаления;
- от случайного искажения, которое может произойти во время обработки или передачи данных.
Целостность информации может пострадать от намеренного ручного вмешательства, а также от:
- вирусов и других вредоносных программ, например, логических бомб;
- ошибок в программном коде, которые приводят к утрате или искажению данных;
- ошибок, связанных с недостаточной подготовкой персонала или иными причинами;
- технических сбоев.
Для обеспечения целостности необходимо разработать и применять систему мер, среди которых:
- ограничение доступа к базам данных и файлам, содержащим конфиденциальную информацию;
- разграничение полномочий системных администраторов;
- согласование и предварительное тестирование любых изменений, связанных с программным кодом;
- соблюдение правил безопасности при обновлении ПО;
- протоколирование любых действий, производимых с файлами, содержащими конфиденциальную информацию.
Доступность
Ценность информации не только в ее сохранности, но и в доступности. Все данные должны находиться в распоряжении авторизованных лиц именно тогда, когда это необходимо для реализации управленческих или бизнес-процессов, или когда к ним обращается пользователь, для которого информация предназначена.
Нарушают доступность:
- DDoS-атаки (распределенные сетевые атаки), одномоментное обращение к ресурсу десятков тысяч роботов-ботов;
- работа программ-вымогателей;
- намеренный саботаж со стороны инсайдеров.
На доступность информации влияют и преднамеренные или случайные технические ошибки, сбои, недостаточная мощность ресурсов, конфликты программного обеспечения. Гарантировать доступность можно только усилением технических средств защиты, своевременным архивированием и резервным копированием информации.
Невозможность отказа
Частным случаем доступности становится невозможность отказа. Этот термин был введен в практику в 1998 году в одном из американских стандартов разработки систем компьютерной безопасности. Под ним подразумевается такая система идентификации принадлежности информации, при которой отсутствует правовая или техническая возможность отказаться от авторства или принадлежности данных. Любое заинтересованное лицо в любой момент должно иметь возможность проверить подлинность информации. Это свойство безопасности информации становится инструментом в борьбе с психологическим информационным воздействием, фейковыми новостями или финансовыми махинациями.
Способы защиты информации
При разработке способов обеспечения информационной безопасности на уровне компании рекомендуется соотносить результат с затратами. Разработаны даже математические модели, которые выводят оптимальную формулу баланса (модель Гордона-Лоба). При выстраивании собственной концепции защиты, опуская требования регуляторов к защите информации с особым правовым режимом (банковская и государственная тайна, персональные данные), необходимо исходить из следующих принципов:
- снижение уровня рисков. Для этого внедряются меры безопасности и средства защиты информации, которые помогут снизить уязвимость систем и предотвратить угрозы несанкционированного доступа;
- передача рисков. Финансовые риски, связанные с утратой информации, могут быть перенесены на страховые компании, а затраты, связанные с обеспечением безопасности, – на аутсорсинговые, например, на облачные системы хранения данных, оборудованные надлежащими средствами защиты и программным обеспечением;
- принятие рисков. Некоторые системные угрозы невозможно отразить средствами, имеющимися в распоряжении корпорации, например, при расположении предприятия в сейсмоопасной зоне. В этом случае возникает необходимость формирования финансовых резервов, за счет которых будет компенсироваться ущерб;
- отказ. Если деятельность предполагает повышенный риск утраты информации или киберугроз, например, связана с использованием ресурсов Даркнета или находится в законодательно неурегулированной зоне блокчейна, от нее лучше отказаться.
В деятельности государственных органов, обеспечивающих информационную безопасность, эти принципы также могут присутствовать, но, так как первичной ценностью для России и фактически целью защиты информации является охрана суверенитета, а не максимизация прибыли, они могут восприниматься частично.
Для обеспечения информационной безопасности и государство, и корпорации используют схожие технические средства, но если для компании будет достаточно установить и настроить современную DLP-систему, государству потребуется усилить регулирование национального сектора Интернета. Только это сможет обеспечить сохранение основных свойств безопасности информации.
Введение 3
2. Информация как объект защиты 6
2.1 Характеристики информации 6
2.2 Свойства защиты информации 7
3. Методы защиты информации техническими средствами 12
3.1 Способы дезинформации 17
Принципы инженерно-технической защиты информации 20
5. Заключение 25
Список используемых источников 26
7. Практическая часть 27
Введение
Прогресс подарил человечеству великое множество достижений, но тот же прогресс породил и массу проблем. Человеческий разум, разрешая одни проблемы, непременно сталкивается при этом с другими, новыми, и этот процесс обречен на бесконечность в своей последовательности. Хотя, если уж быть точным, новые проблемы — это всего лишь обновленная форма старых.
Вечная проблема — защита информации. На различных этапах своего развития человечество решало эту проблему с присущей для данной эпохи характерностью. Изобретение компьютера и дальнейшее бурное развитие информационных технологий во второй половине 20 века сделали проблему защиты информации настолько актуальной и острой, насколько актуальна сегодня информатизация для всего общества.
Главная тенденция, характеризующая развитие современных информационных технологий — рост числа компьютерных преступлений и связанных с ними хищений конфиденциальной и иной информации, а также материальных потерь. По результатам одного исследования, посвященного вопросам компьютерных преступлений, около 58% опрошенных пострадали от компьютерных взломов за последние 12 месяцев. Примерно 18 % опрошенных из этого числа заявляют, что потеряли более миллиона долларов в ходе нападений, более 66 процентов потерпели убытки в размере 50 тыс. долларов. Свыше 22% атак были нацелены на промышленные секреты или документы, представляющие интерес прежде всего для конкурентов. Сегодня, наверное, никто не сможет с уверенностью назвать точную цифру суммарных потерь от компьютерных преступлений, связанных с несанкционированных доступом к информации. Это объясняется, прежде всего, нежеланием пострадавших компаний обнародовать информацию о своих потерях, а также тем, что не всегда потери от хищения информации можно точно оценить в денежном эквиваленте. Однако по данным, опубликованным в сети Internet, общие потери от несанкционированного доступа к информации в компьютерных системах в 1997 году оценивались в 20 миллионов долларов, а уже в 1998 года в 53,6 миллионов долларов.
Причин активизации компьютерных преступлений и связанных с ними финансовых потерь достаточно много, существенными из них являются:
— переход от традиционной «бумажной» технологии хранения и передачи сведений на электронную и недостаточное при этом развитие технологии защиты информации в таких технологиях;
— объединение вычислительных систем, создание глобальных сетей и расширение доступа к информационным ресурсам;
— увеличение сложности программных средств и связанное с этим уменьшение их надежности и увеличением числа уязвимостей.
Любое современное предприятие независимо от вида деятельности и формы собственности не в состоянии успешно развиваться и вести хозяйственную деятельность без создания на нем условий для надежного функционирования системы защиты собственной информации.
Отсутствие у многих руководителей предприятий и компаний четкого представления по вопросам защиты информации приводит к тому, что им сложно в полной мере оценить необходимость создания надежной системы защиты информации на своем предприятии и тем более сложно бывает определить конкретные действия, необходимые для защиты тех или иных конфиденциальных сведений. В общем случае руководители предприятий идут по пути создания охранных служб, полностью игнорируя при этом вопросы информационной безопасности. Отрицательную роль при этом играют и некоторые средства массовой информации, публикуя «панические» статьи о состоянии дел по защите информации, формирующие у читателей представление о невозможности в современных условиях обеспечить требуемый уровень защиты информации.
Можно с уверенностью утверждать, что создание эффективной системы защиты информации сегодня вполне реально. Надежность защиты информации, прежде всего, будет определяться полнотой решения целого комплекса задач, речь о которых будет продолжена дальше.
Информация как объект защиты
Согласно законодательству РФ, информация — это сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления. Защите подлежит внутренняя, конфиденциальная и секретная информация. Внутренняя информация — информация о компании, которая еще не была опубликована (использование внутренней информации при заключении биржевых сделок считается незаконным). Информация конфиденциальная — служебная, профессиональная, промышленная, коммерческая или иная информация, правовой режим которой устанавливается ее собственником на основе законов о коммерческой, профессиональной тайне, государственной службе и др. законодательных актов. Под коммерческой тайной предприятия понимаются не являющиеся государственным секретом сведения, связанные с производством, технологической информацией, управлением, финансами и другой деятельностью предприятия, разглашение (передача, утечка информации) которых может нанести вред его интересам. К секретной информации относится информация, содержащая государственную тайну. Государственной тайной является информация, несанкционированное распространение которой может нанести ущерб интересам государственных органов, организациям, субъектам и стране в целом.
Характеристики информации
Информация как объект познания имеет следующие характеристики:
— нематериальность в смысле неизмеримости таких параметров как масса, размеры, энергия известными физическими методами и приборами
— записанная на материальный носитель, информация может храниться, обрабатываться, передаваться по различным каналам связи
— любой материальный объект содержит информацию о себе или о другом объекте
Без информации не может существовать жизнь в любой форме и не могут функционировать созданные человеком любые искусственные системы, без неё сама жизнь и всё созданное человеком представляет собой груду химических/физических элементов. Опыты по изоляции органов чувств человека, затрудняющей его информационный обмен с окружающей средой, показали, что информационный голод (дефицит информации) по своим последствиям не менее разрушителен, чем голод физический.
Свойства защиты информации
Защита информации определяется рядом свойств информации, основные из которых следующие:
1. Информация доступна человеку, если она содержится на материальном носителе. С помощью материальных средств можно защищать только материальный объект, таким образом, объектом защиты информации являются материальные носители информации. Носители информации бывают:
— носители — источники информации (чертёж — это источник, а бумага, на которой он нарисован, — носитель, однако, бумага, без нанесённого на ней текста или рисунка является источником информации о её физических и химических характеристиках);
— носители — переносчики информации;
— носители — получатели информации;
Передача информации путём перемещения её носителей в пространстве связана с затратами энергии, причём величина затрат зависит от длины пути, параметров среды и типа носителя.
2. Ценность информации оценивается степенью полезности её для пользователя (собственника, владельца, получателя). Полезность информации всегда конкретна — нет ценной информации вообще — информация полезна или вредна для конкретного её пользователя, поэтому при защите информации прежде всего определяют круг субъектов (государств, фирм, групп лиц, людей), заинтересованных в защищаемой информации, так как вероятно, что среди них окажутся злоумышленники. В интересах защиты информации её владелец наносит на носитель информации условный знак полезности содержащейся на нём информации — гриф секретности или конфиденциальности. В качестве критерия для определения грифа конфиденциальности информации могут служить результаты прогноза последствий попадания информации к конкуренту или злоумышленнику:
— величина экономического и морального ущерба, наносимого организации;
— реальность создания предпосылок для катастрофических последствий в деятельности организации (банкротства и тому подобное).
3. Так как информация для получателя может быть полезной или вредной, то информацию можно рассматривать как товар. Цена информации, как любого товара, складывается из себестоимости и прибавочной стоимости (прибыли). Себестоимость определяется расходами владельца информации на её получение путём:
— исследований в лабораториях, аналитических центрах, группах;
— покупке информации;
— добыча информации противоправными действиями.
Прибыль от информации может быть получена в результате следующих действий:
— продажи информации на рынке;
— материализации информации в продукции с новыми свойствами или в технологиях, приносящими прибыль;
— использование информации для принятия эффективных решений (экономия средств, ресурсов и тому подобное).
4. Ценность информации изменяется во времени. Распространение информации и её использование приводят к изменению её ценности и цены. Характер изменения ценности от времени зависит от вида информации.
5. Невозможно объективно (без учёта полезности её для потребителя, владельца, собственника) оценить количество информации. Иногда полезность информации связывают с её качеством, но понятие «качество» применительно к информации не имеет самостоятельного значения, т.к. оно поглощается понятием «количество». Количество информации зависит от её качества: чем более качественная фотография, тем больше оттенков и полутонов она содержит, тем менее на ней помех. Под качеством информации подразумевают качество отображения её на носителе или её достоверность (соответствие оригиналу).
6. При копировании, не изменяющем информационные параметры носителя, количество информации не меняется, а цена снижается.
Все перечисленные свойства информации являются важными составляющими для формирования политики информационной безопасности организации, государства, группы лиц — деятельности любых субъектов информационного пространства и информационных систем.
Построение надежной защиты включает оценку циркулирующей в компьютерной системе информации с целью уточнения степени ее конфиденциальности, анализа потенциальных угроз ее безопасности и установление необходимого режима ее защиты.
Федеральным законом «Об информации, информатизации и защите информации» определено, что информационные ресурсы, т.е. отдельные документы или массивы документов, в том числе и в информационных системах, являясь объектом отношений физических, юридических лиц и государства, подлежат обязательному учету и защите, как всякое материальное имущество собственника. При этом собственнику предоставляется право самостоятельно в пределах своей компетенции устанавливать режим защиты информационных ресурсов и доступа к ним.
Закон также устанавливает, что «конфиденциальной информацией считается такая документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации». При этом федеральный закон может содержать прямую норму, согласно которой какие-либо сведения относятся к категории конфиденциальных или доступ к ним ограничивается. Так, Федеральный закон «Об информации, информатизации и защите информации» напрямую относит к категории конфиденциальной информации персональные данные (информацию о гражданах). Закон РФ «О банках и банковской деятельности в РФ» ограничивает доступ к сведениям по операциям, счетам и вкладам клиентов и корреспондентов банков (статья 25).
Однако не ко всем сведениям, составляющим конфиденциальную информацию, применима прямая норма. Иногда законодательно определяются только признаки, которым должны удовлетворять эти сведения. Это в частности относится к служебной и коммерческой тайне, признаки которых определяются Гражданским кодексом РФ (статья 139):
— соответствующая информация неизвестна третьим лицам;
— к ней свободного доступа на законном основании;
— меры по обеспечению ее конфиденциальности принимает собственник информации.
В настоящее время отсутствует какая-либо универсальная методика, позволяющая четко соотносить ту или иную информацию к категории коммерческой тайны. Можно только посоветовать исходить из принципа экономической выгоды и безопасности предприятия — чрезмерная «засекреченность» приводит к необоснованному подорожанию необходимых мер по защите информации и не способствует развитию бизнеса, когда как широкая открытость может привести к большим финансовым потерям или разглашению тайны. Законопроектом «О коммерческой тайне» права по отнесению информации к категории коммерческой тайны представлены руководителю юридического лица.
Федеральный закон «Об информации, информатизации и защите информации», определяя нормы, согласно которых сведения относятся к категории конфиденциальных, устанавливает и цели защиты информации:
-предотвращение утечки, хищения, искажения, подделки информации;
-предотвращение несанкционированных действий по уничтожению, искажению, блокированию информации;
-сохранение государственной тайны, конфиденциальности документированной информации.
Определившись в необходимости защиты информации, непосредственно приступают к проектированию системы защиты информации.
Отдельный раздел законопроекта «О коммерческой тайне», посвященный организации защиты коммерческой информации, определяет необходимый комплекс мероприятий по ее защите:
— установление особого режима конфиденциальности;
— ограничение доступа к конфиденциальной информации;
— использование организационных мер и технических средств защиты информации;
— осуществление контроля за соблюдением установленного режима конфиденциальности.
Установление особого режима конфиденциальности направлено на создание условий для обеспечения физической защиты носителей конфиденциальной информации. Как правило, особый режим конфиденциальности подразумевает:
— организацию охраны помещений, в которых содержатся носители конфиденциальной информации;
— установление порядка пользования носителями конфиденциальной информации (учет, хранение, передача другим должностным лицам, уничтожение, отчетность);
— организацию ремонта технических средств обработки конфиденциальной информации.
Традиционно для организации доступа к конфиденциальной информации использовались организационные меры, основанные на строгом соблюдении сотрудниками процедур допуска к информации, определяемых соответствующими инструкциями, приказами и другими нормативными документами. Однако с развитием компьютерных систем эти меры перестали обеспечивать необходимую безопасность информации. Появились и в настоящее время широко применяются специализированные программные и программно-аппаратные средства защиты информации, которые позволяют максимально автоматизировать процедуры доступа к информации и обеспечить при этом требуемую степень ее защиты.
Дата добавления: 2016-10-22; просмотров: 2184 | Нарушение авторских прав | Изречения для студентов
Читайте также:
Рекомендуемый контект:
Поиск на сайте:
© 2015-2020 lektsii.org — Контакты — Последнее добавление