Безопасность
информации на любых носителях трактуется как состояние ее защищенности от
случайных и преднамеренных несанкционированных воздействий естественного и
искусственного свойства, направленных на уничтожение, разрушение, видоизменение
тех или иных данных, изменение степени доступности ценных сведений.
Необходимый
уровень безопасности информационных ресурсов определяется в процессе различных
аналитических исследований, которые предопределяют структуру и требуемую
эффективность системы защиты этих ресурсов с учетом финансовых возможностей
фирмы.
Политика
(концепция, программа) информационной безопасности фирмы практически
реализуется комплексом направлений и методов защиты информации, обеспечивающим
ее безопасность. Защита информации представляет собой жестко регламентированный
и динамичный технологический процесс, предупреждающий нарушение доступности,
целостности, достоверности и конфиденциальности ценных информационных ресурсов
и в конечном счете обеспечивающий достаточно надежную безопасность информации в
процессе управленческой и производственной деятельности фирмы. Если программа
информационной безопасности отражает предполагаемую идеальную защищенность
информации, то защита информации - это реальная динамичная модель решения
задач, поставленных в программе.
Предполагается,
что защита информации осуществляется прежде всего от несанкционированного
доступа к ней постороннего лица, который в результате этого доступа имеет
возможность похитить информацию, уничтожить носитель, фальсифицировать
сведения, произвести подмену документов или совершить иные злоумышленные
действия.
Следовательно,
информационная безопасность, безопасность информации и защита информации
связаны единой целью, решаемыми задачами и последовательной реализацией их в
условиях необходимости обеспечения экономической безопасности предприятия.
2.2.
Информационные ресурсы, продукты и услуги
В соответствии с
Федеральным законом «Об информации, информатизации и защите информации»
информационные ресурсы предприятия, организации, учреждения, банка, компании и
других государственных и негосударственных, в том числе предпринимательских,
структур (далее по тексту - фирмы) включают в себя отдельные документы и
отдельные массивы документов (дела), документы и комплексы документов в
информационных системах (библиотеках, архивах, фондах, банках данных
компьютеров и других информационных системах) на любых носителях, в том числе
обеспечивающих работу вычислительной и организационной техники.
Информационные ресурсы
формируются в процессе создания и распространения исходной и производной
информации. Этот процесс сопровождает любую производственную и управленческую
деятельность в государственной и негосударственной сферах, а также жизнь
гражданина. Для информационных ресурсов характерен ретроспективный аспект, что
определяется технологической завершенностью их возникновения.
Информационные
ресурсы (информация) являются объектами отношений физических и юридических лиц
между собой и с государством, составляют в совокупности информационные ресурсы
России и охраняются законом наряду с другими видами ресурсов.
Информация,
которая используется предпринимателем в бизнесе и управлении фирмой, является
его собственной или частной информацией. Такая информация составляет интеллектуальную
собственность предпринимателя. К интеллектуальной собственности
(интеллектуальному продукту) как результату творческого труда относят
коммерчески ценную идею, технические, технологические (ноу-хау) и научные
(ноу-ноу) новшества, оригинальные методы управления, организации бизнеса и
другие достижения. Информация как результат творчества может быть не только
предметом интеллектуальной собственности, но и отражать характеристики,
свойственные объекту интеллектуальной собственности.
Практическая реализация
концепции информационных ресурсов связана с распространением информации путем
подготовки информационных продуктов и предоставления информационных услуг.
Информационные продукты - документированная информация, подготовленная в
соответствии с потребностями пользователей и предназначенная или применяемая
для удовлетворения потребностей пользователей. Информационные услуги - действия
субъектов (собственников и владельцев ресурсов) по обеспечению пользователей
информационными продуктами.
Правовой режим
информационных ресурсов определяется нормами, устанавливающими:
-
порядок
документирования информации;
-
право
собственности на отдельные документы и отдельные массивы документов;
-
категорию
информации по уровню доступа к ней;
-
порядок
правовой охраны информации.
Документирование
информации (создание официального документа) является обязательным условием
включения информации в информационные ресурсы. Но следует оговориться, что при
формировании системы защиты информации нас интересует также информация,
представленная в недокументированном виде - в виде звуковой волны,
электромагнитного излучения и в другой форме.
Документированная
информация является комплексным понятием, основанным на ее двуединстве: с одной
стороны, это информация (факты, данные, сведения), а с другой - материальный
носитель. В процессе документирования информация (результат творческой работы
человека) овеществляется, становится документом. Подобный подход к
документированной информации представляется существенным при решении задач обеспечения
безопасности информации и сохранности ее носителя.
Следует
учитывать, что документ может быть не только и даже не столько управленческим
(деловым), имеющим в большинстве случаев текстовую, табличную или анкетную
форму. Значительно большие объемы наиболее ценных документов представлены в
изобразительной форме: конструкторские документы, картографические,
научно-технические, документы на фотографических, магнитных и иных носителях.
По принадлежности
к тому или иному виду собственности информационные ресурсы могут быть
государственными или негосударственными и как элемент состава имущества
находиться в собственности граждан, органов государственной власти,
исполнительных органов, органов местного самоуправления, государственных
учреждений, организаций и предприятий, общественных объединений,
предпринимательских структур. Защите, охране подлежит любая ценная
документированная информация, неправомерное обращение с которой может нанести
ущерб ее собственнику, владельцу, пользователю или иному лицу.
Ценность
информации может быть стоимостной категорией и характеризовать конкретный
размер прибыли при ее использовании или размер убытков при ее утрате.
Информация часто становится ценной ввиду ее правового значения для фирмы или
развития бизнеса, например учредительные документы, программы и планы, договоры
с партнерами и посредниками и т. д. Ценность может проявляться в ее
перспективном научном, техническом или технологическом значении.
Обычно выделяются
два вида информации, интеллектуально ценной для предпринимателя:
-
техническая,
технологическая: методы изготовления продукции, программное обеспечение,
производственные показатели, химические формулы, рецептуры, расчеты, результаты
испытаний опытных образцов, данные контроля качества и т. п.;
-
деловая:
стоимостные показатели, результаты исследования рынка, списки клиентов,
экономические прогнозы, стратегия действий на рынке и т. п.
Ценная информация
охраняется нормами права (патентного, авторского, смежных прав и др.), товарным
знаком или защищается включением ее в категорию информации, составляющей тайну
фирмы.
Процесс выявления
и регламентации реального состава ценной информации, в том числе составляющей
секреты фирмы, является основополагающей частью системы защиты информации.
Состав этих
сведений фиксируется в специальном перечне, закрепляющем факт отнесения их к
защищаемой информации и определяющем период (срок) конфиденциальности (т. е.
недоступности для всех) этих сведений, уровень (гриф) их конфиденциальности,
список сотрудников фирмы, которым дано право использовать эти сведения в
работе. В основе перечня лежит типовой состав защищаемых сведений фирм данного
профиля. Перечень является постоянным рабочим материалом руководства фирмы,
служб безопасности и конфиденциальной документации. Он представляет собой
классифицированный список типовой и конкретной ценной информации о проводимых
работах, производимой продукции, научных и деловых идеях, технологических
новшествах. В перечень включаются действительно ценные сведения («изюминки») о
каждой работе фирмы. Следует отметить, что нельзя ограничивать доступ к
информации, относящейся к новой продукции, но не имеющей интеллектуальной
ценности.
Дополнительно
может составляться перечень документов, в которых ценная информация отражается
(документируется). В перечень включаются документы, представляющие ценность для
фирмы и подлежащие охране. Часто обычный открытый правовой акт важно сохранить
в целостности и безопасности от похитителя или стихийного бедствия. Перечни
формируются индивидуально каждой фирмой в соответствии с рекомендациями
специальной комиссии и утверждаются первым руководителем фирмы. Эта комиссия
регулярно вносит текущие изменения в перечни в соответствии С динамикой
выполнения фирмой конкретных работ.
При заключении
любого договора (контракта) стороны должны брать на себя взаимные письменные
обязательства по защите конфиденциальной информации другой стороны и
документов, полученных при переговорах, исполнении условий договора.
Производственная
или коммерческая ценность информации, как правило, недолговечна и определяется
временем, необходимым конкуренту для выработки той же идеи или ее хищения и
воспроизводства, а также временем до патентования, опубликования и перехода в
число общеизвестных.
Следовательно,
информационные ресурсы, продукты и услуги, регламентирующие их правовые нормы
интеллектуальной и вещной собственности на информацию, находят конкретное
отражение в информационной модели каждой фирмы, построенной в соответствии с
уровнем ценности циркулирующих сведений, которые обеспечивают управленческие и
производственные функции.
2.3.
Конфиденциальность как главное условие защиты информации от
несанкционированного доступа
В соответствии с
интересами обеспечения национальной безопасности и степенью ценности для
государства, а также правовыми, экономическими и другими интересами
предпринимательских структур информационные ресурсы могут быть: а) открытыми,
т. е. общедоступными, используемыми в работе без специального разрешения,
публикуемыми в средствах массовой информации, оглашаемыми на конференциях, в
выступлениях и интервью; б) ограниченного доступа и использования, т. е.
содержащими сведения, составляющие тот или иной вид тайны (государственной,
служебной, коммерческой, профессиональной и др.) и подлежащие защите, охране,
наблюдению и контролю.
Запрещается
относить к информации ограниченного доступа:
-
законодательные
и другие нормативные акты, устанавливающие правовой статус органов
государственной власти, исполнительных органов, органов местного
самоуправления, организаций, общественных объединений, а также права, свободы и
обязанности граждан, порядок их реализации;
-
документы,
содержащие информацию о чрезвычайных ситуациях, экологическую,
метеорологическую, демографическую, санитарно-эпидемиологическую и другую
информацию, необходимую для обеспечения безопасного функционирования населенных
пунктов, производственных объектов, безопасности граждан и населения в целом;
-
документы,
содержащие информацию о деятельности органов государственной власти,
исполнительных органов и органов местного самоуправления, об использовании
бюджетных средств и других государственных и местных ресурсов, о состоянии
экономики и потребностях населения, за исключением сведений, относящихся к
государственной тайне;
-
документы,
накапливаемые в открытых фондах библиотек и архивов, информационных системах
органов государственной власти, исполнительных органов, органов местного
самоуправления, организаций, общественных объединений, представляющие
общественный интерес или необходимые для реализации прав, свобод и обязанностей
граждан.
Документированная
информация ограниченного доступа всегда принадлежит к одному из видов тайны -
государственной или негосударственной. В соответствии с этим документы делятся
на секретные и несекретные.
Обязательным
признаком (критерием принадлежности) секретного документа является наличие в
нем сведений, составляющих в соответствии с законодательством государственную
тайну. Несекретные документы, включающие сведения, относимые к
негосударственной тайне (служебной, коммерческой или предпринимательской,
банковской, профессиональной, производственной и др.) или содержащие
персональные данные граждан, именуются конфиденциальными.
Несмотря на то
что конфиденциальность является синонимом секретности, термин широко
используется исключительно для обозначения информационных ресурсов
ограниченного доступа, не отнесенных к государственной тайне.
Конфиденциальность отражает ограничение, которое накладывает собственник
информации на доступ к ней других лиц, т. е. собственник устанавливает правовой
режим этой информации в соответствии с законом. Вместе с тем в соответствии с
Федеральным законом Российской Федерации от 29 июля 2004 г. «О коммерческой
тайне» к конфиденциальным документам нельзя относить:
1) сведения,
содержащиеся в учредительных документах юридического лица, документах,
подтверждающих факт внесения записей о юридических лицах и об индивидуальных
предпринимателях в соответствующие государственные реестры;
2) сведения,
содержащиеся в документах, дающих право на осуществление предпринимательской
деятельности;
3) сведения
о составе имущества государственного или муниципального унитарного предприятия,
государственного учреждения и об использовании ими средств соответствующих
бюджетов;
4) сведения
о загрязнении окружающей среды, состоянии противопожарной безопасности,
санитарно-эпидемиологической и радиационной обстановке, безопасности пищевых
продуктов и других факторах, оказывающих негативное воздействие на обеспечение
безопасного функционирования производственных объектов, безопасности каждого
гражданина и безопасности населения в целом;
5) сведения
о численности, составе работников, системе оплаты труда, об условиях труда, в
том числе об охране труда, о показателях производственного травматизма и
профессиональной заболеваемости, и о наличии свободных рабочих мест;
6) сведения
о задолженности работодателей по выплате заработной платы и по иным социальным
выплатам;
7) сведения
о нарушениях законодательства Российской Федерации и фактах привлечения к
ответственности за совершение этих нарушений;
8) сведения об
условиях конкурсов или аукционов по приватизации объектов государственной или
муниципальной собственности;
9) сведения
о размерах и структуре доходов некоммерческих организаций, о размерах и составе
их имущества, об их расходах, о численности и об оплате труда их работников, об
использовании безвозмездного труда граждан в деятельности некоммерческой
организации;
10) сведения
о перечне лиц, имеющих право действовать без доверенности от имени юридического
лица;
11) сведения,
обязательность раскрытия которых или недопустимость ограничения доступа к
которым установлена иными федеральными законами.
Интеллектуально
ценная информация не может существовать вне определенных предметных
образований. Накопители ценных информационных ресурсов называются источниками
(носителями, обладателями) информации. Они представляют собой пассивные
концентраторы этой информации и включают в себя:
Страницы: 1, 2, 3, 4, 5, 6, 7, 8
|