Информационная безопасность и защита конфиденциальной информации

Федеральные законы от 06 апреля 2011 г. № 63-ФЗ (ред. от 01.07.2011 г.) "Об электронной подписи" и от 10 января 2002 г. № 1-ФЗ (ред. от 08.11.2007 г.) "Об электронной цифровой подписи" - данные законы призваны обеспечить конфиденциальность информации в электронном виде - подписи, которая рассматривается как личная подпись субъекта.

Федеральный закон от 27 декабря 2002 г. № 184-ФЗ (ред. от 06.12.2011 г.) "О техническом регулировании" - закон призван обеспечить защиту сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, продукции (работ, услуг), сведения о которой составляют государственную тайну, продукции (работ, услуг) и объектов, для которых устанавливаются требования, связанные с обеспечением ядерной и радиационной безопасности в области использования атомной энергии, процессов проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации, захоронения указанной продукции и указанных объектов (ст. 5 ФЗ № 184-ФЗ).

Федеральный закон от 8 августа 2001 г. № 128-ФЗ (ред. от 29.12.2010 г.) "О лицензировании отдельных видов деятельности" - закон регулирует отношения, возникающие между федеральными органами исполнительной власти, органами исполнительной власти субъектов Российской Федерации, юридическими лицами и индивидуальными предпринимателями в свете обеспечения защиты конфиденциальной информации при осуществлении лицензирования отдельных видов деятельности.

Иные федеральные законы в том или ином аспекте также могут регулировать деятельность, касающуюся информации, информационных технологий и защиты информации. Так, глава 13 Кодекса РФ об административных правонарушениях № 195-ФЗ от 30 декабря 2001 г. устанавливает ответственность за административные правонарушения в области связи и информации.

В соответствии с Законом РФ "О средствах массовой информации", поиск, получение, производство и распространение массовой информации, учреждение ее средств, владение, пользование и распоряжение ими, изготовление, приобретение, хранение и эксплуатация технических устройств и оборудования, сырья и материалов, предназначенных для производства и распространения продукции средств массовой информации, не подлежат ограничениям, за исключением предусмотренных соответствующим законодательством РФ.

В числе нормативных правовых актов, частично регулирующих рассматриваемые отношения, следует назвать также Закон "Об архивном деле в Российской Федерации". Пользователь архивных документов имеет право использовать, передавать, распространять информацию, содержащуюся в них, а также копии архивных документов для любых законных целей и любым законным способом. Кроме того, приняты и иные нормативные правовые акты в данной области.

Указ Президента РФ от 12 мая 2004 г. № 611 (ред. от 03.03.2006 г.) "О мерах по обеспечению информационной безопасности Российской Федерации в сфере международного информационного обмена" - указ регламентирует меры обеспечения информационной безопасности Российской Федерации при осуществлении международного информационного обмена посредством информационных систем, сетей и сетей связи, включая международную ассоциацию сетей "Интернет". Особое внимание уделяется обеспечению безопасности "закрытой" информации.

Указ Президента Российской Федерации от 16 августа 2004 г. № 1085 (ред. от 08.02.2012 г.) "Вопросы Федеральной службы по техническому и экспортному контролю" - указ призван обеспечить защиту информации путем создания Федеральной службой по техническому и экспортному контролю своих территориальных органов, Государственного научно-исследовательского испытательного института проблем технической защиты информации.

Указ Президента РФ от 20 января 1994 г. № 170 "Об основах государственной политики в сфере информатизации" (в ред. от 9 июля 1997 г.) установил, что основными направлениями государственной политики в сфере информатизации являются: обеспечение единства государственных стандартов в сфере информатизации, их соответствие международным рекомендациям и требованиям. Указ Президента Российской Федерации № 188 от 6 марта 1997 г. (в редакции Указа Президента РФ № 1111 от 23. сентября 2005 г.) установил перечень сведений конфиденциального характера.

Постановление Правительства Российской Федерации от 3 ноября 1994 г. № 1233 "Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти" - данное постановление регламентирует порядок обращения и работы с конфиденциальной информацией федеральными органами исполнительной власти с целью предотвращения угрозы утечки информации и обеспечения защиты информации.

Постановление Правительства Российской Федерации от 17 ноября 2007 г. № 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" - данное Постановление утвердило Положение об обеспечении безопасности персональных данных в соответствии со ст. 19 ФЗ № 152-ФЗ. Положение содержит требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации (далее - информационные системы).

Постановление Правительства Российской Федерации от 26 июня 1995 г. № 608 (ред. от 21.04.2010 г.) "О сертификации средств защиты информации" - данное Постановление утвердило Положение об обязательной сертификации средств защиты информации, где отражен порядок сертификации средств защиты информации в Российской Федерации.

Постановления: Постановление Правительства Российской Федерации от 15 августа 2006 г. № 504 "О лицензировании деятельности по технической защите конфиденциальной информации" и Постановление Правительства Российской Федерации от 31 августа 2006 г. № 532 "О лицензировании деятельности но разработке и (или) производству средств защиты конфиденциальной информации" призваны обеспечить защиту конфиденциальной информации путем обязательного лицензирования технических средств защиты.

Доктрина информационной безопасности Российской Федерации № ПР-1895 от 9 сентября 2000 г. развивает Концепцию национальной безопасности Российской Федерации применительно к информационной сфере и представляет собой совокупность официальных взглядов на цели, задачи, принципы и основные направления ее обеспечения и служит основой для формирования государственной политики и подготовки предложений по совершенствованию правового, методического, научно-технического и организационного обеспечения информационной безопасности Российской Федерации, а также для разработки ее целевых программ.

К числу основных объектов обеспечения информационной безопасности Российской Федерации в сфере духовной жизни относятся: достоинство личности, свобода совести, включая право свободно выбирать, иметь и распространять религиозные и иные убеждения и действовать в соответствии с ними, свобода мысли и слова (за исключением пропаганды или агитации, возбуждающих социальную, расовую, национальную или религиозную ненависть и вражду), а также свобода литературного, художественного, научного, технического и других видов творчества, преподавания; свобода массовой информации; неприкосновенность частной жизни, личная и семейная тайна; русский язык как фактор духовного единения народов многонациональной России, язык межгосударственного общения народов государств - участников Содружества Независимых Государств; языки, нравственные ценности и культурное наследие народностей Российской Федерации; объекты интеллектуальной собственности.

Российская Федерация является участником международных договоров, касающихся информации, информационных технологий и защиты информации. Общее число тайн превысило 40, а термин "конфиденциальность" встречается в 84 федеральных законах и 706 международных актах, в том числе в межправительственных соглашениях. В качестве примеров можно привести следующие документы: Европейская Конвенция об информации относительно иностранного законодательства (ETS № 62) (заключена в Лондоне 7 июня 1968 г.); Соглашение о межгосударственном обмене научно-технической информацией и Соглашение об обмене экономической информацией (заключены в Минске 26 июня 1992 г.); Соглашение о сотрудничестве в области информации (заключено в Бишкеке 9 октября 1992 г.); Соглашение об обмене информацией в области внешнеэкономической деятельности (заключено в Москве 24 сентября 1993 г.); Конвенция о сотрудничестве в области культуры, образования, науки и информации в Черноморском регионе (заключена в Стамбуле, 6 марта 1993 г.); Соглашение о сотрудничестве в формировании информационных ресурсов и систем, реализации межгосударственных программ государств – участников Содружества Независимых Государств в сфере информатизации (заключено в Москве, 24 декабря 1999 г.); Конвенция о преступности в сфере компьютерной информации (ETS N 185) (заключена в Будапеште 23 ноября 2001 г.); Соглашение между Министерством информационных технологий и связи Российской Федерации и Министерством экономики и труда Федеративной Республики Германия о сотрудничестве в области информационных технологий и связи (заключено в Ганновере 11 апреля 2005 г.); Соглашение между Правительством Российской Федерации и Правительством Союза Мьянма о взаимной защите секретной информации (заключено в Москве 3 апреля 2006 г.) и др.

Подводя итог вышеизложенному материалу можно сделать вывод, что конфиденциальная информация - информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации и представляет собой коммерческую, служебную, профессиональную или личную тайны, охраняющиеся её владельцем.

Отношения по поводу информации в целом и конфиденциальной информации в частности, регулируются правом. При этом информация как таковая и конфиденциальная информация являются предметом регулирования различных отраслей права и нормативных правовых актов РФ, важнейшее место среди которых занимает Конституция РФ. Россия также – субъект международных правоотношений по поводу информации.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

2.1 Угрозы и меры по  предупреждению утечки конфиденциальной  информации

Деятельность современных организаций требует хранения и использования все больших объемов информации, чему способствует снижение стоимости вычислительной мощности, пропускной способности сетей и систем хранения.

Вместе с этим растут риски (угрозы) утечки информации, давление со стороны регулирующих органов и ожидания заинтересованных лиц в отношении защищенности информации.

Под угрозой или опасностью утечки информации понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление неблагоприятных возможностей внешних или внутренних источников угрозы создавать критические ситуации, события, оказывать дестабилизирующее воздействие на защищаемые и охраняемые информационные ресурсы, в том числе и финансовые, включая документы и базы данных.

Разглашение конфиденциальной информации может привести к убыткам, повлечь за собой предусмотренную законодательством ответственность, а также повредить репутации за счет публикаций в СМИ и широкой общественной огласки. Угроза - совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения конфиденциальности, доступности и (или) целостности информации.

Согласно статистике применительно к этим угрозам, можно привести следующие данные (по результатам исследований, проведённых в России компанией InfoWath), представленные на рис. 1.

Рисунок 1 - Угрозы информационной безопасности в России

Как видно, из приведенных данных, наиболее распространены кража информации и вредоносное ПО.

Среди внутренних угроз безопасности информации выделяют нарушение конфиденциальности информации, искажение, утрата информации, сбои в работе оборудования и информационных систем, кража оборудования. И опять же, опираясь на статистику, наибольшее распространение имеют нарушения конфиденциальности и искажение.

Риск утечки информации складывается из ценности этой информации для организации и вероятности утечки.

Термин "утечка конфиденциальной информации", вероятно, не самый благозвучный, однако он более емко, чем другие термины, отражает суть явления. Он давно уже закрепился в научной литературе, нормативных документах.

Ценность информации, при угрозе её утечки, определяется на основании таких критериев, как:

- последствия  для бизнеса, включая существенный  ущерб для репутации и потерю  конкурентных преимуществ;

- стоимость  необходимых ресурсов и требуемого  времени для воссоздания информации;

- юридические  последствия, ответственность и  иски, штрафы и санкции, отзыв  лицензий;

- ликвидность  информации - количество лиц, заинтересованных  в получении информации, и внешние  ограничения для ее распространения  и использования;

- актуальность  информации, влияние времени на  ее ценность.

Основными источниками конфиденциальной информации являются:

- персонал  предприятия, допущенный к конфиденциальной  информации;

- носители  конфиденциальной информации (документы, изделия);

- технические  средства, предназначенные для хранения  и обработки информации;

- средства  коммуникации, используемые в целях  передачи информации;

- передаваемые  по каналам связи сообщения, содержащие  конфиденциальную информацию.

Способы обмена конфиденциальной информацией (например, между сотрудниками предприятия) могут носить как непосредственный (личный) характер, так и характер передачи формируемых на основе информации сообщений посредством технических средств и средств коммуникаций (различных средств и систем связи).

Из существующих способов обмена конфиденциальной информацией необходимо выделить организационные каналы передачи и обмена информацией:

- конфиденциальное  делопроизводство (защищенный документооборот);

- совместные  работы, выполняемые предприятием  по направлениям его производственной  и иной деятельности;

- совещания (конференции), в ходе которых  обсуждаются вопросы конфиденциального  характера;

- рекламная  и издательская (публикаторская) деятельность;

- различные  мероприятия в области сотрудничества  с иностранными государствами (их  представителями и организациями), связанные с обменом информацией;

- научные  исследования, деятельность диссертационных  и иных советов учреждений  и организаций;

- передача  сведений о деятельности предприятия  и данных о его сотрудниках  в территориальные инспекторские  и надзорные органы.

Организационные каналы передачи и обмена конфиденциальной информацией в ходе их функционирования могут быть подвергнуты негативному воздействию со стороны злоумышленников, направленному на получение этой информации.