Служебная тайна и конфиденциальность информации

     И объяснить это можно только узостью  традиционного подхода к защите информации, отсутствием опыта в  плане обеспечения доступности, целостности и наблюдаемости  информации, которая не является секретной (конфиденциальной).

     Схема классификации информации по значимости:

1. Особой важности (ОВ)
2. Совершенно секретно (СС)
3. секретно (с)
4. для служебного пользования
5. (ДСП)
6. И открытого характера (О)

           С точки зрения защиты у  «Информации» можно выделить  ряд существенных свойств: 

1. Конфиденциальность – свойство информации, значение которого устанавливается владельцем информации, отражающее ограничение доступа к ней, согласно существующему законодательству.
2. Доступность – свойство информации, определяющее степень возможности получения информации.
3. Достоверность – свойство информации, определяющее степень доверия к ней.
4. Целостность – свойство информации, определяющее структурную пригодность информации к использованию.

Категории конфиденциальности защищаемой информации:

 
       

• совершенно  конфиденциально — информация, признанная конфиденциальной в соответствии с требованиями закона, или информация, ограничение на распространение которой введено решением руководства вследствие того, что ее разглашение может привести к тяжелым финансово-экономическим последствиям для организации вплоть до банкротства;
• конфиденциально — в данную категорию входит информация, не отнесенная к категории «совершенно конфиденциально», ограничения на распространение которой введены решением руководства в соответствии с предоставленными ему как собственнику информации действующим законодательством правами вследствие того, что ее разглашение может привести к значительным убыткам и утрате конкурентоспособности организации (нанесению существенного ущерба интересам его клиентов, партнеров или сотрудников);
• открытая — к данной категории относится информация, обеспечение конфиденциальности которой не требуется.

3. Информационная  безопасность

 

     В то время как информационная безопасность — это состояние защищённости информационной среды, защита информации представляет собой деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию, то есть процесс, направленный на достижение этого состояния.

     Информационная  безопасность организации — состояние защищённости информационной среды организации, обеспечивающее её формирование, использование и развитие.

     В современном социуме информационная сфера имеет две составляющие: информационно-техническую (искусственно созданный человеком мир техники, технологий и т. п.) и информационно-психологическую (естественный мир живой природы, включающий и самого человека). Соответственно, в общем случае информационную безопасность общества (государства) можно представить двумя составными частями: информационно-технической безопасностью и информационно-психологической (психофизической) безопасностью.

     Безопасность  информации (данных) — состояние  защищенности информации (данных), при  котором обеспечены её (их) конфиденциальность, доступность и целостность.

     Информационная безопасность— защита конфиденциальности, целостности и доступности информации.

     Информационная  безопасность (англ. information security) — все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информации или средств её обработки.

3.1. Угрозы информации

           Под угрозами информации, будем  понимать потенциальные или реально  возможные действия по отношению к информационной сфере, приводящие к несанкционированным изменениям свойств информации (конфиденциальность, доступность, достоверность, целостность).

           По конечному проявлению можно  выделить следующие угрозы информации:

           1. Ознакомление.

           2. Модификация.

           3. Уничтожение.

           4. Блокирование.

           Конкретные реализации угроз  информации называются – сценариями  угроз информации.

     Угрозы  информации:

     Ознакомление с конфиденциальной информацией может проходить различными путями и способами, при этом существенным, является отсутствие изменений самой информации.

     Нарушение конфиденциальности или секретности информации связано с ознакомлением с ней тех лиц, для которых она не предназначалась. Какая информация является конфиденциальной или секретной решает собственник или владелец этой информации. Они же определяют круг лиц, имеющих доступ к ней. Нарушение конфиденциальности информации может произойти путем ознакомления с ней лицами, не имеющими на то права и несанкционированной модификации грифа секретности (значимости).

     Модификация информации направлена на изменение таких свойств как конфиденциальность, достоверность, целостность, при этом подразумевается изменение состава и содержания сведений. Модификация информации не подразумевает ее полное уничтожение.

     Уничтожение информации направлено, как правило, на целостность информации и приводит к ее полному разрушению. Нарушение целостности информации заключается в утере информации. При утере информации она пропадает безвозвратно и не может быть восстановлена никакими средствами. Утеря может произойти из-за разрушения или уничтожения носителя информации или его пропажи, из-за стирания информации на носителях с многократной записью, из-за пропадания питания в устройствах с энергозависимой памятью. При уничтожении информации нарушается также свойство доступности информации.

     Блокирование информации приводит к потере доступа к ней, т.е. к недоступности информации. Доступность информации заключается в том, что субъект, имеющей право на ее использование, должен иметь возможность на своевременное ее получение в удобном для него виде. При потере доступа к информации она по-прежнему существует, но воспользоваться ею нельзя. Т.е. субъект не может с ней ознакомиться, скопировать, передать другому субъекту или представить в виде удобном для использования. Потеря доступа может быть связана с отсутствием или неисправностью некоторого оборудования автоматизированных систем (АС), отсутствием какого-либо специалиста или недостаточной его квалификацией, отсутствием или неработоспособностью какого-то программного средства, использованием ресурсов АС для обработки посторонней информации, выходом из строя систем обеспечения АС и др. Так как информация не утеряна, то доступ к ней может быть получен после устранения причин потери доступа.

           Перечисленные угрозы информации могут проявляться в виде комплекса последовательных и параллельных реализаций. Реализация угроз информации, связанная с нарушением свойств информации приводит к нарушению режима управления и в конечном итоге к моральным и (или) материальным потерям.

           Перечисленные выше угрозы информации  могут быть классифицированы  по следующим направлениям:

     по  объектам:

• Персонал,
• материальные и финансовые ценности,
• информация;

     по  ущербу:

• Предельный,
• Значительный,
• Несущественный;

 

     по  причинам   появления 

• Стихийные,
• Преднамеренные;

     по  отношению к объекту:               

• Внутренние,
• Внешние;

     по  характеру действия:

• Активные,
• Пассивные.

           Источники информационных угроз  могут быть как внутренними,  так и внешними. Чаще всего  такое деление происходит по территориальному признаку и по признаку принадлежности к объекту информационной защиты.

     Источники информационных угроз

     Соотношение внешних и внутренних угроз на усредненном уровне можно охарактеризовать так:

• 82% угроз совершается собственными сотрудниками фирмы либо при их прямом или опосредованном участии;
• 17% угроз совершается извне — внешние угрозы;
• 1% угроз совершается случайными лицами.

     Информационные  угрозы имеют векторный характер, т.е. всегда преследуют определенные цели и направлены на конкретные объекты.

            Источниками конфиденциальной информации  являются люди, документы, публикации, технические носители информации, технические средства обеспечения производственной и трудовой деятельности, продукция и отходы производства.

            К наиболее важным объектам обеспечения информационной безопасности в правоохранительной и судебной сферах относятся:

• информационные ресурсы федеральных органов исполнительной власти, реализующих правоохранительные функции, судебных органов, их информационно-вычислительных центров, научно-исследовательских учреждений и учебных заведений, содержащие специальные сведения и оперативные данные служебного характера;
• информационно-вычислительные центры, их информационное, техническое, программное и нормативное обеспечение;
• информационная      инфраструктура       (информационно-вычислительные   сети, пункты управления, узлы и линии связи).

3.2. Угрозы конфиденциальной информации.

           Для систем информационного общения  существует одно общее положение,  очень важное для понимания  информационной безопасности в целом. Информация всегда адресна и всегда имеет владельца. Более того, адресность не произвольна, а определяется собственником информации. Если это право подчеркивается в сообщении (указывается гриф секретности), то информация становится конфиденциальной. Получая данную информацию, пользователь не может произвольно ею распоряжаться, она ему не принадлежит (если не было передачи права собственности).

           Право собственности определяется  действующим в стране законодательством.  В зависимости от вида собственности, конфиденциальная информация может быть отнесена к информации государственной, коммерческой, личной. Такое соотнесение делается соподчинено, с нисходящей иерархией.