Понятие и цели защиты информации.
Под объектом защиты надо понимать не абстрактное понятие, а комплекс физических, аппаратных, программных и документальных средств, предназначенных для сбора, передачи, обработки и хранения информации.
Безопасность информации — это свойство (состояние) передаваемой, накапливаемой, обрабатываемой и хранимой информации, характеризующее ее степень защищенности от дестабилизирующего воздействия внешней среды
Под защитой информации, в более широком смысле, понимают комплекс организационных, правовых и технических мер по предотвращению угроз информационной безопасности и устранению их последствий.
Сущность защиты информации состоит в выявлении, устранении или нейтрализации негативных источников, причин и условий воздействия на информацию. Эти источники составляют угрозу безопасности информации.
достигается системой мер, направленных:
• на предупреждение угроз. Предупреждение угроз — это превентивные меры по обеспечению информационной безопасности в интересах упреждения возможности их возникновения;
• на выявление угроз. Выявление угроз выражается в систематическом анализе и контроле возможности появления реальных или потенциальных угроз и своевременных мерах по их предупреждению;
• на обнаружение угроз. Обнаружение имеет целью определение реальных угроз и конкретных преступных действий;
• на локализацию преступных действий и принятие мер по ликвидации угрозы или конкретных преступных действий;
• на ликвидацию последствий угроз и преступных действий и восстановление статус-кво.
В предупреждении угроз весьма существенную роль играет информационно-аналитическая деятельность службы безопасности на основе глубокого анализа криминогенной обстановки и деятельности конкурентов и злоумышленников.
Обнаружение угроз — это действия по определению конкретных угроз и их источников, приносящих тот или иной вид ущерба.
Пресечение или локализация угроз — это действия, направленные на устранение действующей угрозы и конкретных преступных действий.
Ликвидация последствий имеет целью восстановление состояния, предшествовавшего наступлению угрозы. Например, возврат долгов со стороны заемщиков. Это может быть и задержание преступника с украденным имуществом, и восстановление разрушенного здания от подрыва и др.
Все эти способы имеют целью защитить информационные ресурсы от противоправных посягательств и обеспечить:
• предотвращение разглашения и утечки конфиденциальной информации;
• воспрещение несанкционированного доступа к источникам конфиденциальной информации;
• сохранение целостности, полноты и доступности информации;
• соблюдение конфиденциальности информации;
• обеспечение авторских прав.
Правовая защита информации.
Как известно, право — это совокупность общеобязательных правил и норм поведения, установленных государством в отношении определенных сфер жизни и деятельности.
На государственном уровне правовая защита регулируется государственными и ведомственными актами. В нашей стране такими нормами являются Конституция, законы Российской Федерации, гражданское, административное, уголовное право, изложенные в соответствующих кодексах.Наиболее полный перечень законов и кодексов представлен в разделе«Законы».
Правовой элемент системы организации защиты информации на предприятии основывается на нормах информационного права и предполагает юридическое закрепление взаимоотношений фирмы и государства по поводу правомерности использования системы защиты информации, фирмы и персонала по поводу обязанности персонала соблюдать установленные меры защитного характера, ответственности персонала за нарушение порядка защиты информации. Этот элемент включает:
— наличие в организационных документах фирмы, правилах внутреннего трудового распорядка, трудовых договорах, в должностных инструкциях положений и обязательств по защите конфиденциальной информации;
— формулирование и доведение до сведения всех сотрудников положения о правовой ответственности за разглашение конфиденциальной информации, несанкционированное уничтожение или фальсификацию документов;
— разъяснение лицам, принимаемым на работу, положения о добровольности принимаемых ими на себя ограничений, связанных с выполнением обязанностей по защите информации.
В числе основных подсистем защиты информации в правовом плане можно считать:
— установление на объекте режима конфиденциальности;
— разграничение доступа к информации;
— правовое обеспечение процесса защиты информации;
— четкое выделение конфиденциальной информации как основного объекта защиты.
Опираясь на государственные правовые акты на уровне конкретного предприятия (фирмы, организации), разрабатываются собственные нормативно- правовые документы, ориентированные на обеспечение информационной безопасности.
К таким документам относятся:
Политика Информационной безопасности;
Положение о коммерческой тайне;
Положение о защите персональных данных;
Перечень сведений, составляющих конфиденциальную информацию;
Инструкция о порядке допуска сотрудников к сведениям, составляющим конфиденциальную информацию;
Положение о специальном делопроизводстве и документообороте;
Обязательство сотрудника о сохранении конфиденциальной информации;
Памятка сотруднику о сохранении коммерческой тайны.
Указанные нормативные акты направлены на предупреждение случаев неправомерного оглашения (разглашения) секретов на правовой основе, и в случае их нарушения должны приниматься соответствующие меры воздействия.
мер организационно-технического характера