Виды и особенности угроз информационной безопасности

Research article
Issue: № 6 (6), 2012
Published:
2012/11/30
PDF

ВИДЫ И ОСОБЕННОСТИ УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Научная статья

Бостанова Л.К.

К.п.н., доцент кафедры экономики,менеджмента и финансового права КЧф РГСУ в г.Черкесске

Аннотация

В работе рассматривается проблема обеспечения информационной безопасности. Её решение предполагает изучение форм, способов и методов выявления и предупреждения опасности в информационной сфере.

Ключевые слова: Информация, информационные технологии, информационная безопасность.

Key words: Information, information technologies, information security.

Быстрое развитие и повсеместное проникновение информационных технологий в самые различные сферы деловой деятельности привело к тому, что компьютерная информация в настоящее время может иметь вполне определенный стоимостный вес, показателями которого может являться как прибыль, получаемая при ее использовании, так и размеры ущерба, наносимого владельцу информационных ресурсов или пользователям при нарушении установленных правил работы с информацией. Поэтому одной из важнейших проблем развития информационных технологий является надежное обеспечение информационной безопасности.

Обеспечение информационной безопасности, под которой понимается состояние защищенности жизненно важных интересов личности, общества и государства в информационной сфере от внутренних и внешних угроз, представляется весьма важной задачей. Ее решение предполагает изучение форм, способов и методов выявления и предупреждения опасности в информационной сфере.

Деятельность субъектов по защите охраняемой обладателем информации связана главным образом с предупреждением утечки охраняемых секретов, т.е. правовая охрана и защита информации, включающей, государственную тайну и конфиденциальную информацию с ограниченным доступом. в «Перечне сведений конфиденциального характера», утвержденном Указом Президента РФ от 6 марта 1997 года № 188, приведены следующие виды конфиденциальной информации: служебная тайна, персональные данные, тайна следствия и судопроизводства, коммерческая тайна, тайна сущности изобретения до момента опубликования, профессиональная тайна. В то же время целый ряд действующих нормативно-правовых документов определяет еще несколько типов тайн, как видов конфиденциальной информации.

Поскольку этот вопрос имеет немалое практическое значение для обеспечения информационной безопасности предприятия, а неподготовленному человеку совсем непросто разобраться в множестве специфических документов, ниже приводится перечень некоторых видов конфиденциальной информации, определенных в гражданском законодательстве РФ и в законах, имеющих отношение к сфере информационной безопасности.

Информация о гражданах (персональные данные). Сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность (ст. 2 закона «Об информации, информатизации и защите информацию»).

Служебная тайна. Информация составляет служебную или коммерческую тайну в случае, когда информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании и обладатель информации принимает меры к охране ее конфиденциальности. Сведения, которые не могут составлять служебную или коммерческую тайну, определяются законом или иными правовыми актами (ст. 139 ГК РФ).

Тайна усыновления ребенка. Тайна усыновления ребенка охраняется законом (ст. 139 Семейного кодекса РФ).

Геологическая информация о недрах. Информация о геологическом строении недр, находящихся в них полезных ископаемых, условиях их разработки, а также иных качествах и особенностях недр, содержащаяся в геологических отчетах, картах и иных материалах, является собственностью заказчика, финансировавшего работы, в результате которых получена данная информация, если иное не предусмотрено лицензией на пользование недрами (ст. 27 закона «О недрах»).

Налоговая тайна. Налоговую тайну составляют любые полученные налоговым органом сведения о налогоплательщике, за исключением сведений, определенных в ст. 102 Налогового кодекса РФ.

Служебная информация о рынке ценных бумаг. Служебной информацией... признается любая не являющаяся общедоступной информация об эмитенте и выпущенных им эмиссионных ценных бумагах, которая ставит лиц, обладающих в силу своего служебного положения, трудовых обязанностей или договора, заключенного с эмитентом, такой информацией, в преимущественное положение по сравнению с другими субъектами рынка ценных бумаг (ст. 31 закона «О рынке ценных бумаг»).

Врачебная тайна. Информация о факте обращения за медицинской помощью, состоянии здоровья гражданина, диагнозе его заболевания и иные сведения, полученные при его обследовании и лечении, составляют врачебную тайну. Гражданину должна быть подтверждена гарантия конфиденциальности передаваемых им сведений (ст. 61 Основ законодательства Российской Федерации «Об охране здоровья граждан»).

Тайна связи. Тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных и иных сообщений, передаваемых по сетям электрической и почтовой связи, охраняется Конституцией Российской Федерации (ст. 32 закона «О связи»).

Нотариальная тайна. Нотариус обязан хранить в тайне сведения, которые стали ему известны в связи с осуществлением его профессиональной деятельности (ст. 16 Основ законодательства Российской Федерации «О нотариате»).

Адвокатская тайна. Адвокат не вправе разглашать сведения, сообщенные ему доверителем в связи с оказанием юридической помощи (ст. 15, ст. 16 «Положения об адвокатуре СССР»).

Журналистская тайна. Редакция не вправе разглашать в распространяемых сообщениях и материалах сведения, предоставленные гражданином с условием сохранения их в тайне. Редакция обязана сохранять в тайне источник информации и не вправе называть лицо, предоставившее гражданином с условием неразглашения его имени, за исключением случая, когда соответствующее требование поступило от суда в связи с находящимся в его производстве делом (ст. 41 закона «О средствах массовой информацию).

Коммерческая тайна. Информация составляет служебную или коммерческую тайну в случае, когда информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании и обладатель информации принимает меры к охране ее конфиденциальности. Сведения, которые не могут составлять служебную или коммерческую тайну, определяются законом или иными правовыми актами (ст. 139 ГК РФ).

Банковская тайна. Банк гарантирует тайну банковского счета и банковского вклада, операций по счету и сведений о клиенте (ст. 857 ГК РФ).

Тайна страхования. Страховщик не вправе разглашать полученные им в результате своей профессиональной деятельности сведения о страхователе, застрахованном лице и выгодоприобретателе, состоянии их здоровья, а также об имущественном положении этих лиц (ст. 946 ГК РФ).

Как видно из выше перечисленного, самым проработанным и обширно представленным во всех измерениях является аспект конфиденциальности информации. На ее страже стоят законы, нормативные акты, технические средства и многолетний опыт различных государственных структур. Однако обеспечение конфиденциальности информации — один из самых сложных в практической реализации аспект информационной безопасности.

Государственная тайна – согласно определению, принятому в российском законодательстве, защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной, оперативно-розыскной и иной деятельности, распространение которых может нанести ущерб безопасности государства.

Опасность утечки информации обусловлена тем, что она приводит к осведомленности иностранных государств, либо конкурентов в какой-либо отрасли с коммерческими секретами друг от друга, вследствие чего стране, отдельному предприятию или личности причиняется или может быть причинен ущерб. Это происходит в тех случаях, когда лицо совершает действие, либо бездействие, нарушающее правовые запреты, предусмотренные законами, подзаконными и корпоративными нормативными актами. Особую опасность в этом плане представляют деяния, связанные с разглашением информации и утратой документов, а также изделий, сведения о которых составляют государственную, служебную и коммерческую тайну. При совершении этих деяний, предусмотренных соответствующими статьями Уголовного кодекса РФ, наступает уголовная ответственность.

Утечка охраняемой информации становится возможной вследствие совершения нарушений режима секретности (конфиденциальности) работ, при выполнении которых используются документы и изделия с грифом «государственная тайна», «служебная тайна» и «коммерческая тайна».

Каналы утечки информации можно разбить на четыре группы.

1-я группа — каналы, связанные с доступом к элементам системы обработки данных, но не требующие изменения компонентов системы. К этой группе относятся каналы образующиеся за счет:

• дистанционного скрытого видео наблюдения или фотографирования;

• применения подслушивающих устройств;

• перехвата электромагнитных излучений и наводок и т.д.

2-я группа — каналы, связанные с доступом к элементам системы и изменением структуры ее компонентов. К ней относятся:

• наблюдение за информацией в процессе обработки с целью ее запоминания;

• хищение носителей информации;

• сбор производственных отходов, содержащих обрабатываемую информацию;

• преднамеренное считывание данных из файлов других пользователей;

• чтение остаточной информации, т.е. данных, остающихся на магнитных носителях после выполнения заданий;

• копирование носителей информации;

• преднамеренное использование для доступа к информации терминалов зарегистрированных пользователей;

• маскировка под зарегистрированного пользователя путем похищения паролей и других реквизитов разграничения доступа к информации, используемой в системах обработки;

• использование для доступа к информации так называемых «люков», «дыр» и «лазеек», т.е. возможностей обхода механизма разграничения доступа, возникающих вследствие несовершенства общесистемных компонентов программного обеспечения.

3-я группа, которая включает:

• незаконное подключение специальной регистрирующей аппаратуры к устройствам системы или линиям связи (перехват модемной и факсимильной связи);

• злоумышленное изменение программ таким образом, чтобы эти программы наряду с основными функциями обработки информации осуществляли также несанкционированный сбор и регистрацию защищаемой информации;

• злоумышленный вывод из строя механизмов защиты.

4-я группа, к которой относятся:

• несанкционированное получение информации путем подкупа или шантажа должностных лиц соответствующих служб;

• получение информации путем подкупа и шантажа сотрудников, знакомых, обслуживающего персона или родственников, знающих о роде деятельности.

Поэтому необходимы такие мероприятия, которые обеспечат работников службы безопасности, главных конструкторов, руководителей и других необходимыми научными знаниями по обнаружению возможных каналов утечки охраняемой информации, причин и обстоятельств, способствующих этому явлению и разработке мер по их предупреждению.

Необходимо также учитывать критерии информации (полнота-сумма ретроспективной и текущей информации, избыточность, полезность, ценность), учет которых необходим для разработки эффективных дополнительных мер защиты охраняемых секретов.

В обеспечении информационной безопасности нуждаются четыре существенно разные категории субъектов:

• государство в целом;

• государственные организации;

• коммерческие структуры;

• отдельные граждане.

Рассмотрим особенности мер по обеспечению информационной безопасности на различных уровнях ее обеспечения.

На концептуально-политическом уровне принимаются документы, в которых определяются направления государственной политики информационной безопасности, формулируются цели и задачи обеспечения информационной безопасности всех перечисленных выше субъектов и намечаются пути и средства достижения поставленных целей и решения задач.

На законодательном уровне создается и поддерживается комплекс мер, направленных на правовое регулирование обеспечения информационной безопасности, отражаемых в законах и других правовых актах (указы Президента, постановления Правительства и др.).

На нормативно-техническом уровне разрабатываются стандарты, руководящие материалы, методические материалы и другие документы, регламентирующие процессы разработки, внедрения и эксплуатации средств обеспечения информационной безопасности.

На уровне предприятия осуществляются конкретные меры по обеспечению информационной безопасности деловой деятельности. Их конкретный состав и содержание во многом определяется особенностями конкретного предприятия или организации.

Информационная безопасность — многогранная, можно сказать, многомерная область деятельности, в которой успех может принести только систематический, комплексный подход. Без надежных мер информационной безопасности любое современное предприятие становится беззащитным перед неправомерными действиями не только внешних злоумышленников, но и собственных сотрудников.

Список литературы / References

1 Северин В.А. Правовое обеспечение информационной безопасности предприятия: Учебно-практическое пособие. М.: Городец, 2000.

2 Михеева Е.В. Информационные технологии в профессиональной деятельности: учеб.пособие. – М.: Проспект, 2010.

References