Техническая защита информации. Организация защиты информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну
:Техническая защита информации. Организация защиты информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну
Защищаемая информация и информационные ресурсы
2.1. Защищаемая информация и информационные ресурсы
В соответствии с Федеральным законом №149 "Об информации, информатизации и защите информации" от 27.07.2006 информация делится на две категории:
- Общедоступная информация - общеизвестные сведения, доступ к которым не ограничен;
- Информация ограниченного доступа - информация, доступ к которой ограничен в соответствии с федеральными законами в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.
Установлены категории информации, доступ к которым нельзя ограничить в соответствии с федеральным законодательством (ст.8 ФЗ №149):
- нормативным правовым актам, затрагивающим права, свободы и обязанности человека и гражданина, а также устанавливающим правовое положение организаций и полномочия государственных органов, органов местного самоуправления;
- информации о состоянии окружающей среды;
- информации о деятельности государственных органов и органов местного самоуправления, а также об использовании бюджетных средств (за исключением сведений, составляющих государственную или служебную тайну);
- информации, накапливаемой в открытых фондах библиотек, музеев и архивов, а также в государственных, муниципальных и иных информационных системах, созданных или предназначенных для обеспечения граждан (физических лиц) и организаций такой информацией;
- иной информации, недопустимость ограничения доступа к которой установлена федеральными законами.
Информация ограниченного доступа в свою очередь подразделяется на два типа - государственная тайна и конфиденциальная информация.
Государственная тайна - защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации [9].
В статье 5 Федерального закона "О государственной тайне" определен перечень сведений, составляющих государственную тайну. Они разбиты на следующие категории:
- сведения в военной области:
- сведения в области экономики, науки и техники:
- сведения в области внешней политики и экономики:
- сведения в области разведывательной, контрразведывательной, оперативно-розыскной деятельности, а также в области противодействия терроризму и в области обеспечения безопасности лиц, в отношении которых принято решение о применении мер государственной защиты.
Предметом данного курса является защита информации ограниченного доступа, не относящаяся к государственной тайне. В рамках курса такая информация называется конфиденциальной.
Перечень сведений, относящихся к конфиденциальной информации, определен в Указе Президента РФ от 6 марта 1997 г. N 188 "Об утверждении перечня сведений конфиденциального характера":
- Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.
- Сведения, составляющие тайну следствия и судопроизводства, а также сведения о защищаемых лицах и мерах государственной защиты, осуществляемой в соответствии с Федеральным законом от 20 августа 2004 г. N 119-ФЗ "О государственной защите потерпевших, свидетелей и иных участников уголовного судопроизводства" и другими нормативными правовыми актами Российской Федерации.
- Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна).
- Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее).
- Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна).
- Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них [10].
Как видно из текста Указ Президента РФ определяет некоторые виды тайн. На самом деле их гораздо больше. Рассмотрим более подробно основные виды тайн в законодательстве РФ:
Коммерческая тайна - режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду. Информация, составляющая коммерческую тайну, - сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введен режим коммерческой тайны[11].
В определении коммерческой тайны виден упор на то, что это информация, позволяющая получить выгоду ее обладателю. На практике в крупных организациях на уровне руководства и службы безопасности определяется перечень информации, относящейся к коммерческой тайне и положение по работе с коммерческой тайной. Чтобы ввести режим "коммерческая тайна" обладатель информации должен сделать следующее:
- определить перечень информации, относящейся к коммерческой тайне;
- реализовать ограничение доступа к коммерческой тайне;
- вести учет лиц, допущенных до работы с коммерческой тайной;
- уведомить под расписку сотрудников о вводе данной категории информации и о наказании за ее разглашение;
- регулировать отношения по использованию информации, составляющей коммерческую тайну. Это достигается путем внесения соответствующих пунктов о неразглашении в трудовые договора и гражданско-правовые договора с контрагентами. Также на практике в настоящее время широко применяется так называемое соглашение о неразглашении (англ. non-disclosure agreement, NDA), в котором прописывается перечень сведений, которые сторона или стороны обязуются не разглашать, и обязанности по компенсации убытков в случае разглашения.
- использовать гриф "коммерческая тайна" на носителях с информацией.
Нарушение режима коммерческой тайны влечет за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством Российской Федерации. Следует отметить, что несоблюдение даже одного из вышеперечисленных пунктов работодателем может стать причиной ненаказуемости сотрудника, разгласившего коммерческую тайну. В соответствии с п.4 ст.14 Федерального Закона [11] лицо, которое не имело достаточных оснований считать информацию коммерческой тайной, не может быть привлечено в ответственности за ее использование.
Банковская тайна - сведения об операциях, счетах и вкладах клиентов и корреспондентов кредитной организации, а также об иных сведениях, устанавливаемых кредитной организацией, если это не противоречит федеральному закону [12].
Служебная тайна - служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами [13].
Тайна кредитной истории - информация, которая характеризует исполнение заемщиком принятых на себя обязательств по договорам займа (кредита) и хранится в бюро кредитных историй[14].
Профессиональная тайна - сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна и т.п.).
Известный эксперт в области защиты информации Алексей Лукацкий нашел 65 видов различных тайн в законодательстве РФ. Ознакомиться с полным перечнем можно по ссылке на его статью: http://www.securitylab.ru/blog/personal/Business_without_danger/13824.php
Отдельно следует отметить такой вид конфиденциальной информации как персональные данные.
Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)[16].
Классификация информации по категориям доступа представлена на рисунке 2.1.
Информационные ресурсы - отдельные документы и отдельные массивы документов, документы и массивы документов, содержащиеся в информационных системах (библиотеках, архивах, фондах, банках данных, информационных системах других видов) [17].
Следует отметить, что определение из ГОСТ 1999 года, приведенное выше, не затрагивает такой немаловажный аспект как индивидуальные знания отдельных людей или коллективные знания, то есть недокументированную информацию. Приведем альтернативное определение информационного ресурса.
Информационный ресурс - это индивидуальные и коллективные экспертные знания, отдельные документы, отдельные массивы документов, а также документы и их массивы, составляющие базы и банки данных, базы знаний, библиотеки, архивы, фонды, информационные системы и другие системы в определенной предметной тематической области, которые удовлетворяют функциональным потребностям и запросам потребителей информации.
Информационные ресурсы можно классифицировать по разным признакам: по целевому назначению, по виду носителя, по способу представления, по содержанию, по географическому признаку и т.д.
Наиболее часто рассматривается классификация информационных ресурсов по форме представления или фиксации информации - рис. 2.2.
2.2. Государственные информационные ресурсы, негосударственные информационные ресурсы, находящиеся в ведении органов государственной власти и организаций
Информационные ресурсы могут быть государственными и негосударственными и как элемент состава имущества находятся в собственности граждан, органов государственной власти, органов местного самоуправления, организаций и общественных объединений. Отношения по поводу права собственности на информационные ресурсы регулируются гражданским законодательством Российской Федерации.
Физические и юридические лица являются собственниками тех информационных ресурсов, которые созданы за счет их средств, приобретены ими на законных основаниях, получены в порядке дарения или наследования.
Российская Федерация и ее субъекты являются собственниками информационных ресурсов, создаваемых, приобретаемых, накапливаемых за счет средств федерального бюджета, бюджетов субъектов Российской Федерации, а также полученных путем иных установленных законом способов. Российская Федерация имеет право выкупа информации, относящейся к государственной тайне. Собственник информационных ресурсов, которые можно отнести к государственной тайне, может распоряжаться этой собственностью только с разрешения соответствующих органов государственной власти.
Субъекты, представляющие в обязательном порядке документированную информацию (информационные ресурсы) в органы государственной власти и организации, не утрачивают своих прав на эти документы и на использование информации, содержащейся в них. Такие информационные ресурсы находятся в совместном владении государства и субъектов, предоставивших информацию.