Виды защиты конфиденциальной информации

В соответствии с ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения» выделяется следующие виды защиты информации: правовая, техническая, криптографическая и физическая (рис. 5).

Рис. 5. Виды защиты конфиденциальной информации

Рассмотрим более подробно каждый из перечисленных видов защиты информации.

Правовая защита информации

Правовая защита информации – это специальные правовые акты, правила, процедуры и мероприятия, обеспечивающие защиту информации на правовой основе.

Правовая защита информации включает в себя разработку законодательных и нормативных правовых документов (актов), регулирующих отношения субъектов по защите информации, применение этих документов (актов), а также надзор и контроль за их исполнением.

К правовым мерам защиты относятся законы РФ, указы и другие нормативно-правовые акты (рис. 6).

На законодательном уровне происходит регламентация правил обращения с информацией, определяются участники информационных отношений, их права и обязанности, а также ответственность в случае нарушения требований законодательства.

Рис. 6. Правовая защита информации

В некотором роде законодательную группу мер можно отнести к профилактическим. Их основной функцией является упреждение потенциальных злоумышленников, ведь в большинстве случаев именно страх наказания останавливает от совершения преступления.

В нашей стране такими правилами (актами, нормами) являются:

· Конституция;

· Законы российской федерации;

· Гражданское право;

· Административное право;

· Уголовное право.

Что касается ведомственных нормативных актов, то они определяются приказами, руководствами, положениями и инструкциями, издаваемыми ведомствами, организациями и предприятиями, действующими в рамках определенных структур.

Современные условия требуют и определяют необходимость комплексного подхода к формированию законодательства по защите информации, его состава и содержания, соотнесения его со всей системой законов и правовых актов Российской Федерации.

Требования информационной безопасности должны органически включаться во все уровни законодательства, в том числе и в конституционное законодательство, основные общие законы, законы по организации государственной системы управления, специальные законы, ведомственные правовые акты. В литературе приводится такая структура правовых актов, ориентированных на правовую защиту информации.

Достоинствами правовых мер защиты является их универсальность в плане применения ко всем способам незаконной добычи информации. Более того, в некоторых случаях они являются единственно применимыми, как, например, при защите авторского права в случае незаконного тиражирования.

Специальное законодательство в области безопасности информационной деятельности может быть представлено совокупностью законов. В их составе особое место принадлежит базовому Закону «Об информации, информатизации и защите информации», который закладывает основы правового определения всех важнейших компонентов информационной деятельности:

· Информации и информационных систем;

· Субъектов –  участников информационных процессов;

· Правоотношений производителей –  потребителей информационной продукции;

· Владельцев информации –  обработчиков и потребителей на основе отношений собственности при обеспечении гарантий интересов граждан и государства.

Этот Закон определяет основы защиты информации в системах обработки и при ее использовании с учетом категорий доступа к открытой информации и к информации с ограниченным доступом. Содержит, кроме того, общие нормы по организации и ведению информационных систем, включая банки данных государственного назначения, порядка государственной регистрации, лицензирования, сертификации, экспертизы, а также общие принципы защиты и гарантий прав участников информационного процесса.

В дополнение к базовому Закону в мае 1992 г. были приняты законы «О правовой охране программ для электронно-вычислительных машин и баз данных» и «О правовой охране топологии интегральных микросхем». Оба закона устанавливают охрану соответствующих объектов с помощью норм авторского права, включая в перечень объектов авторского права, наряду с традиционными базами данных топологии, интегральных микросхем и программы для ЭВМ.

Вопросы правового режима информации с ограниченным доступом реализуются в двух самостоятельных законах о государственной и коммерческой тайнах. Кроме того, этот аспект раскрывается и в Гражданском кодексе РФ статьей 139 «Служебная и коммерческая тайна».

Информация составляет служебную или коммерческую тайну в случае, когда информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании, и обладатель информации принимает меры к охране ее конфиденциальности. Сведения, которые не могут составлять служебную или коммерческую тайну, определяются законом и иными правовыми актами.

Информация, составляющая служебную или коммерческую тайну, защищается способами, предусмотренными настоящим Кодексом и другими законами.

Вторая часть статьи 139 определяет правовые основы ответственности за несанкционированное получение информации или причинение ущерба. Звучит это так:

«Лица, незаконными методами получившие информацию, которая составляет служебную или коммерческую тайну, обязаны возместить причиненные убытки. Такая же обязанность возлагается на работников, разгласивших служебную или коммерческую тайну вопреки трудовому договору, в том числе контракту; и на контрагентов, сделавших это вопреки гражданско-правовому договору».

Указ Президента РФ от 6 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера» (в ред. от 23.09.2005 N 1111, от 13.07.2015 N 357) определяет понятие и содержание конфиденциальной информации.

Конфиденциальная информация классифицируется по видам:

· Личная информация – сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленном порядке;

· Судебно-следственная информация – сведения, составляющие тайну следствия и судопроизводства;

· Служебная информация – служебные сведения, доступ к которым ограничен органами государственной власти (служебная тайна);

· Профессиональная информация – сведения, связанные с профессиональной деятельностью, доступ к которым ограничен законами (врачебная, материальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных и иных сообщений и др.);

· Коммерческая информация – сведения, связанные с коммерческой деятельностью, доступ к которым ограничен законами (коммерческая тайна);

· Производственная информация – сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации о них.

Таким образом, правовая защита информации обеспечивается нормативно-законодательными актами, представляющими собой по уровню иерархическую систему от Конституции РФ до функциональных обязанностей и контракта отдельного конкретного исполнителя, определяющих перечень сведений, подлежащих охране и меры ответственности за их разглашение.

Действия по защите информации от утечки по техническим каналам регламентируются следующими правовыми документами:

· ГОСТ 29339-92 «Информационная технология. Защита информации от утечки за счет ПЭМИН при ее обработке СВТ»;

· ГОСТ Р 50752 «Информационная технология. Защита информации от утечки за счет ПЭМИН при ее обработке средствами вычислительной техники. Методы испытаний»;

· Нормы эффективности и защиты АСУ и ЭВМ от утечки информации за счет ПЭМИН;

· Специальные требования и рекомендации по защите объектов ЭВТ II и III категории от утечки информации за счет ПЭМИН;

Действия по защите информации от несанкционированного доступа (НСД) регламентируют:

· Постановление Правительства РФ от 15.09.93 № 912-51 «Положение о государственной системе защиты информации от иностранной технической разведки и от утечки по техническим каналам»;

· Указы Президента РФ «О создании государственной технической комиссии при Президенте РФ» (от 05.01.92 № 9); «О защите информационно-телекоммуникационных систем и баз данных от утечки конфиденциальной информации по техническим каналам связи» (от 08.05.93 № 644); «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации» (от 03.04.95 № 334);

· «Положение о государственной системе защиты информации в Российской Федерации».

Правовыми документами являются и государственные стандарты на информационную деятельность с учетом обеспечения ее безопасности, в частности:

· ГОСТ Р 50739-95 «СВТ. Защита от НСД к информации»;

· ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования»;

· ГОСТ Р.34.10-94 «Процедуры выработки и проверки электронной подписи на базе асимметрического криптографического алгоритма»;

· ГОСТ Р.34.11-94 «Функция хэширования»;

· ГОСТ Р.В.50170-92 «Противодействие ИТР. Термины и определения».

Опираясь на государственные правовые акты и учитывая ведомственные интересы на уровне конкретного предприятия (фирмы, организации), разрабатываются собственные нормативно-правовые документы, ориентированные на обеспечение информационной безопасности. К таким документам относятся:

· Положение о сохранении конфиденциальной информации;

· Перечень сведений, составляющих конфиденциальную информацию;

· Инструкция о порядке допуска сотрудников к сведениям, составляющим конфиденциальную информацию;

· Положение о специальном делопроизводстве и документообороте;

· Перечень сведений, разрешенных к опубликованию в открытой печати;

· Положение о работе с иностранными фирмами и их представителями;

· Обязательство сотрудника о сохранении конфиденциальной информации;

· Памятка сотруднику о сохранении коммерческой тайны.

Указанные нормативные акты направлены на предупреждение случаев неправомерного разглашении секретов на правовой основе и в случае их нарушения должны приниматься соответствующие меры воздействия.

Таким образом, правовая защита информации обеспечивается нормативно-законодательными актами, представляющими собой по уровню иерархическую систему от Конституции РФ до функциональных обязанностей и контракта отдельного конкретного исполнителя, определяющих перечень сведений, подлежащих охране и меры ответственности за их разглашение.