Виды и способы защиты информации

Национальный стандарт Российской Федерации ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения» определяет следующие виды защиты информации:

§ правовая защита информации: Защита информации правовыми методами, включающая в себя разработку законодательных и нормативных правовых документов (актов), регулирующих отношения субъектов по защите информации, применение этих документов (актов), а также надзор и контроль за их исполнением.

§ техническая защита информации, ТЗИ: Защита информации, заключающаяся в обеспечении некриптографическими методами безопасности информации (данных), подлежащей (подлежащих) защите в соответствии с действующим законодательством, с применением технических, программных и программно-технических средств.

§ криптографическая защита информации: Защита информации с помощью ее криптографического преобразования.

§ физическая защита информации: Защита информации путем применения организационных мероприятий и совокупности средств, создающих препятствия для проникновения или доступа неуполномоченных физических лиц к объекту защиты.

Примечания

1. Организационные мероприятия по обеспечению физической защиты информации предусматривают установление режимных, временных, территориальных, пространственных ограничений на условия использования и распорядок работы объекта защиты.

2. К объектам ЗИ могут быть отнесены: охраняемая территория, здание (сооружение), выделенное помещение, информация и (или) информационные ресурсы объекта информатизации.

Порядок и правила применения определенных принципов и средств защиты информации определяет способы защиты информации:

§ защита информации от утечки: ЗИ, направленная на предотвращение неконтролируемого распространения защищаемой информации в результате ее разглашения и НСД к ней, а также на исключение (затруднение) получения защищаемой информации разведками и другими заинтересованными субъектами.

Примечание - Заинтересованными субъектами могут быть: государство, юридическое лицо, группа физических лиц, отдельное физическое лицо.

§ защита информации от несанкционированного воздействия (ЗИ от НСВ): ЗИ, направленная на предотвращение НСД и воздействия на защищаемую информацию с нарушением установленных прав и (или) правил на изменение информации, приводящих к разрушению, уничтожению, искажению, сбою в работе, незаконному перехвату и копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.

§ защита информации от непреднамеренного воздействия: ЗИ, направленная на предотвращение воздействия на защищаемую информацию ошибок ее пользователя, сбоя технических и программных средств информационных систем, природных явлений или иных нецеленаправленных на изменение информации событий, приводящих к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.

§ защита информации от разглашения: ЗИ, направленная на предотвращение несанкционированного доведения защищаемой информации до заинтересованных субъектов (потребителей), не имеющих права доступа к этой информации.

§ защита информации от несанкционированного доступа (ЗИ от НСД): ЗИ, направленная на предотвращение получения защищаемой информации заинтересованными субъектами с нарушением установленных нормативными и правовыми документами (актами) или обладателями информации прав или правил разграничения доступа к защищаемой информации.

Примечание - Заинтересованными субъектами, осуществляющими НСД к защищаемой информации, могут быть: государство, юридическое лицо, группа физических лиц, в том числе общественная организация, отдельное физическое лицо.

§ защита информации от преднамеренного воздействия; ЗИ от ПДВ: Защита информации, направленная на предотвращение преднамеренного воздействия, в том числе электромагнитного и (или) воздействия другой физической природы, осуществляемого в террористических или криминальных целях.

§ защита информации от [иностранной] разведки: ЗИ, направленная на предотвращение получения защищаемой информации [иностранной] разведкой.

Информацию можно разделить на два основных вида: общедоступная (открытая) информация и информация с ограниченным доступом (закрытая, конфиденциальная, секретная).

Прежде чем приступить к формированию перечня информации ограниченного доступа, надо учесть, что вся имеющаяся информация по степени конфиденциальности, утечка (утрата) которой вызывает различные по тяжести последствия, может быть распределена по группам:

1. Высшая степень конфиденциальности. Данная информация является ключевой в деятельности предприятия, основой его нормального функционирования. Разглашение, утечка или утрата этой информации нанесет непоправимый ущерб деятельности предприятия. Это – угроза высокой степени тяжести, последствия реализации которой может привести к ликвидации предприятия.

1. Строго конфиденциальная информация. Разглашение, утечка или утрата этой информации может вызвать значительные по тяжести последствия. Это информация о стратегических планах предприятия, о перспективных соглашениях и т.п.
2. Конфиденциальная информация – ее разглашение, утечка или утрата наносит предприятию ущерб, сопоставимый с текущими затратами предприятия. Данный ущерб может быть преодолен в сравнительно короткие сроки.
3. Информация ограниченного доступа – ее разглашение, утечка или утрата оказывает незначительное негативное воздействие на экономическое положение предприятия (должностные инструкции, структура управления).

5. Открытая информация. Ее распространение не представляет угроз экономической безопасности предприятия. Наоборот, отсутствие данной информации может оказать негативное воздействие на его экономическое положение.

Каким же образом можно осуществить разграничение на открытую информацию и ограниченного доступа – информацию, нуждающуюся в защите?

Для этого следует использовать следующие критерии:

1. вероятность угрозы экономической безопасности предприятия в случае получения этой информации конкурентами;

2. возможность защиты информации с помощью общих, либо специальных мер защиты;

3. экономическая целесообразность защиты информации. Следует организовывать ее защиту только в том случае, если разглашение, утечка или утрата информации может нанести существенный материальный ущерб, либо моральный вред предприятию.

При решении вопроса о том, к какой информации ограничить доступ и как соотнести два принципа: экономической целесообразности и безопасности организации, необходимо помнить, что неоправданное ограничение доступа к той или иной информации, циркулирующей в организации, может нанести значительный ущерб вашему бизнесу.

При излишнем засекречивании информации возможно возникновение следующих негативных последствий:

- во-первых, возможна ситуация когда из числа лиц, допущенных к ознакомлению с информацией ограниченного доступа, могут быть исключены люди, которым эта информация крайне необходима. Если это сотрудники вашего предприятия, то для исполнения своих служебных обязанностей, если, например, потребители - для получения дополнительных сведений о свойствах выпускаемой предприятием продукции. В результате данного ограничения получаемая сотрудником или потребителем информация теряет одно из своих базовых свойств – полнота, что может привести к непониманию сотрудником создавшейся ситуации и принятию неэффективного решения, а потребитель выберет аналогичную продукцию вашего конкурента.

- во-вторых, рост расходов на защиту этой информации не адекватен снижению вероятности утечки действительно ценных сведений.

Практика показывает, что при ЗИ возможные потери от утечки информации имеют конкретную стоимостную оценку. Поэтому и затраты на ЗИ должны быть экономически ограничены суммой возможных потерь (принцип экономической целесообразности).

Необходимо четко определить – какая информация должна быть отнесена к информации ограниченного доступа и требует защиты, каков срок ее «хранения» в качестве тайны, какие ее части наиболее важны (критичны) .