инф без. История развития средств и методов защиты информации
Скачать 1.69 Mb.
|
Теоретические основы и методологический базис защиты информации Теория защиты информации - система основных идей, относящихся к защите информации в современных системах ее обработки и на объектах информатизации, дающая целостное представление о сущности проблем защиты, закономерностях ее развития и существенных связях с другими отраслями знания, формирующаяся и развивающаяся на основе опыта практического решения задач защиты и определяющая основные ориентиры в направлении совершенствования практики защиты информации. Выделяют следующие задачи теории защиты информации: Предоставлять полные и адекватные сведения о происхождении, сущности и развития проблем защиты информации; Полно и адекватно отображать структуру и содержание взаимосвязей с родственными и смежными областями знаний; Аккумулировать опыт предшествующего развития исследований, разработок и практического решения задач защиты информации; Ориентировать в направлении наиболее эффектного решения основных задач защиты и предоставлять необходимые для этого научно-методологические и инструментальные средства; Формировать научно обоснованные перспективные направления развития теории и практики защиты информации. В качестве составных частей теории защиты информации служат: Полные и систематизированные сведения о происхождении, сущности и содержании проблемы защиты информации; Систематизированные результаты ретроспективного анализа развития теоретических исследований и разработок, а также опыта практического решения задач защиты, полно и адекватно отображающие наиболее устойчивые тенденции в этом развитии; Научно обоснованная постановка задача защиты информации в современных системах ее обработки, полно и адекватно учитывающая текущие и перспективные концепции построения систем и технологии обработки, потребности в защите информации и объективные предпосылки их удовлетворения; Общие стратегические установки на организацию защиты информации, учитывающие все многообразие потенциально возможных условий защиты; Методы, необходимые для адекватного и наиболее эффективного решения всех задач защиты и содержащие как общеметодологические подходы к решению, так и конкретные прикладные методы решения; Методологическая и инструментальная база, содержащая необходимые методы и инструментальные средства решения любой совокупности задач в рамках любой выбранной стратегической установки; Научно обоснованные предложения по организации и обеспечению работ по защите информации; Научно обоснованный прогноз перспективных направлений развития теории и практики защиты информации. Защита информации сегодня рассматривается как прикладная наука информационной сферы жизнедеятельности и как составляющая безопасности государства. Она достаточно глубоко включается в систему общественных отношений, поскольку является предметом и объектом собственности, что определяет в качестве первооснов теории защиты правовой базис информационных отношений. С другой стороны, конкретные системы защиты информации на различных объектах ее использования имеют техническую основу. Все это обуславливает ряд особенностей теории защиты информации, ее отличие от фундаментальных и некоторых прикладных наук. Такими особенностями являются: Объективная необходимость и общественная потребность в защите информации; Включенность ее в систему общественных отношений; Зависимость защиты информации от политико-правовых, социально-экономических, военно-политических реальностей; Тесная взаимосвязь с процессами информатизации общества; Необходимость обеспечения баланса интересов личности, общества и государства при защите информации через правовое регулирование и взаимный контроль субъектов информационных отношений в сфере защиты информации. В качестве общеметодологических принципов формирования теории защиты информации выделяют две группы: Общетеоретическая; Теорико-прикладная. Общетеоретическая группа характеризуется: Четкой целенаправленностью исследований и разработок; Неукоснительным следованием главной задаче науки, которая заключается в том, чтобы видимое, лишь выступающее в явлении движение свести к действительному внутреннему движению, которое, как правило, скрыто; Утверждающей разработкой общих концепций, на базе которых могут решаться все частные вопросы; Формированием концепций на основе реальных фактов, в не абстрактных исключений; Учетом всех существенно значимых связей, относящихся к изучаемой проблеме; Своевременным видоизменением постановки изучаемой или разрабатываемой задачи. Теорико-прикладная группа состоит из следующих действий: Построения адекватных моделей изучаемых систем и процессов; Унификации разрабатываемых решений; Максимальной структуризацией изучаемых систем и разрабатываемых решений; Радикальной эволюцией в реализации разработанных концепций. Из общеметодологических принципов формирования теории защиты информации вытекает методологический базис теории защиты информации (Таблица 1). Методологический базис составляют совокупность методов и моделей, необходимых и достаточных для исследований проблемы защиты и решения практических задач соответствующего назначения. Таблица 1. Методологический базис теории защиты информации
Классификация информации ограниченного доступа по видам тайны и степеням конфиденциальности Тайна – информация ограниченного доступа. Правовой институт тайны имеет три составляющие: Относимые к определенному виду тайны сведения, а также научно обоснованные принципы и критерии отнесения сведений к данному виду; Механизм ограничения доступа к указанным сведениям (механизм защиты); Правовые санкции за неправомерное получения и (или) разглашение указанных сведений. Классификация информации ограниченного доступа по видам тайн представлена в Таблице 2. Таблица 2. Классификация информации ограниченного доступа по видам тайн
Государственная тайна - защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации(Закон РФ от 21.07.1993 N 5485-1 (ред. от 29.07.2018) "О государственной тайне"). Перечень сведений, составляющих гос. тайну, представляет собой совокупность категорий сведений, в соответствии с которыми сведения относятся к гос. тайне и засекречиваются. К них относятся: cведения в военной области; сведения в области экономики, науки и техники; сведения в области внешней политики и экономики; сведения в области разведывательной, контрразведывательной и оперативно-розыскной деятельности, а также в области противодействия терроризму и в области обеспечения безопасности лиц, в отношении которых принято решение о применении мер государственной защиты; В законодательстве также перечислены сведения, которые не подлежат отнесению к государственной тайне и засекречиванию. Сведения подлежат отнесению к категории гос. тайн, если они соответствуют принципам законности, обоснованности, своевременности. Законность заключается соответствии засекречиваемых сведений перечню сведений, составляющих гос. тайну (ст. 5 закона «О государственной тайне») и законодательству РФ о гос. тайне, за исключением сведений, не подлежащих отнесению к гос. тайне и засекречиванию (ст. 7 закона «О государственной тайне»). Обоснованность заключается в установлении путем экспертной оценки целесообразности засекречивания конкретных сведений, вероятных экономических и иных последствий этого акта исходя из баланса жизненно важных интересов государства, общества и граждан. Своевременность отнесения сведений к государственной тайне и их засекречивание заключается в установлении ограничений на распространение этих сведений с момента их получения (разработки) или заблаговременно. Для сведений, относящихся к гос. тайне, определяются степени секретности, которая должна соответствовать степени тяжести ущерба, который может быть нанесен безопасности Российской Федерации вследствие распространения указанных сведений. Устанавливаются три степени секретности сведений, составляющих государственную тайну, и соответствующие этим степеням грифы секретности для носителей указанных сведений: "особой важности", "совершенно секретно" и "секретно". К сведениям особой важности следует относить сведения в области военной, внешнеполитической, экономической, научно-технической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб интересам Российской Федерации в одной или нескольких из перечисленных областей. К совершенно секретным сведениям следует относить сведения в области военной, внешнеполитической, экономической, научно-технической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб интересам министерства (ведомства) или отрасли экономики Российской Федерации в одной или нескольких из перечисленных областей. К секретным сведениям следует относить все иные сведения из числа сведений, составляющих государственную тайну. Ущербом безопасности Российской Федерации в этом случае считается ущерб, нанесенный интересам предприятия, учреждения или организации в военной, внешнеполитической, экономической, научно-технической, разведывательной, контрразведывательной или оперативно-розыскной области деятельности. "Коммерческая" тайна - режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду (Статья 3. Основные понятия, используемые в настоящем Федеральном законе). Информация, составляющая коммерческую тайну, - сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введен режим коммерческой тайны. Перечень сведений, составляющей коммерческую тайну, утверждается руководителей организации. Право на отнесение информации к информации, составляющей коммерческую тайну, и на определение перечня и состава такой информации принадлежит обладателю такой информации с учетом положений настоящего Федерального закона. Информация, составляющая коммерческую тайну, полученная от ее обладателя на основании договора или другом законном основании, считается полученной законным способом. Перечень сведений, которые не могут составлять коммерческую тайну, приводятся в статье 5 закона «О коммерческой тайне». Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). (Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 31.12.2017) "О персональных данных"). Операторами персональных данных являются государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных. Обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных. ФЗ "О персональных данных" выделяет следующие категории персональных данных: Общедоступные ПД - данные, доступ к которым предоставлен неограниченному кругу лиц с согласия субъекта ПД или на которые в соответствии с федеральными законами не распространяются требования соблюдения конфиденциальности. Общедоступные источники персональных данных создаются в целях информационного обеспечения (например, справочники и адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные субъектом персональных данных. Сведения о субъекте ПД могут быть в любое время исключены из общедоступных источников по требованию субъекта либо по решению суда или уполномоченных государственных органов. Специальные категории ПД - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни. Их обработка допускается только в следующих случаях: субъект ПД дал согласие в письменной форме на обработку своих персональных данных; персональные данные являются общедоступными; персональные данные относятся к состоянию здоровья субъекта ПД и получение его согласия невозможно, либо обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну; обработка персональных данных членов (участников) общественного объединения или религиозной организации при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов ПД; обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о безопасности, об оперативно-розыскной деятельности, а также в соответствии с уголовно-исполнительным законодательством Российской Федерации или необходима в связи с осуществлением правосудия. Биометрические персональные данные - сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи 11 ФЗ "О персональных данных". Служебная тайна - служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (Указ Президента Российской Федерации № 188 от 06.03.1997 «Об утверждении перечня сведений конфиденциального характера»). Информация составляет служебную или коммерческую тайну в случае, когда информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании и обладатель информации принимает меры к охране ее конфиденциальности. Сведения, которые не могут составлять служебную или коммерческую тайну, определяются законом и иными правовыми актами (ГРАЖДАНСКИЙ КОДЕКС РФ, Статья 139. Служебная и коммерческая тайна). Общий порядок обращения с документами и другими материальными носителями информации, содержащими служебную информацию ограниченного распространения, в федеральных органах исполнительной власти, а также на подведомственных им предприятиях, в учреждениях и организациях определяется постановлением правительства РФ от 3.11.1994 г. №1233 «Положение о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти». Профессиональная тайна – защищаемая по закону информация, доверенная или ставшая известной лицу (держателю) исключительно в силу исполнения им своих профессиональных обязанностей, не связанных с государственной или муниципальной службой, распространение которой может нанести ущерб правам и законным интересам другого лица доверителя), доверившего эти сведения, и не являющаяся государственной или коммерческой тайной. К профессиональной тайне отнесены: Врачебная тайна; Тайна связи; Нотариальная тайна; Адвокатская тайна; Аудиторская тайна; Тайна усыновления; Тайна страхования; Тайна исповеди. К профессиональной тайне относится также банковская тайна – она имеет собственный институт банковской тайны. |