- •Оглавление
- •Тема 1 Законодательство рф в области информационной безопасности
- •Тема 2 Виды защищаемой информации
- •Тема 3 Государственная система защиты государственной тайны в Российской Федерации
- •Перечень сведений, составляющих государственную тайну
- •Реквизиты носителей сведений, составляющих государственную тайну
- •Статья 4. Полномочия органов государственной власти и должностных лиц в области отнесения сведений к государственной тайне и их защиты
- •Органы защиты государственной тайны
- •Тема 4 Правовой режим защиты государственной тайны
- •2. Порядок засекречивания сведений и их носителей
- •3. Порядок рассекречивания сведений
- •5. Основаниями для отказа должностному лицу или гражданину в допуске к государственной тайне
- •6. Организация доступа должностного лица или гражданина к сведениям, составляющим государственную тайну.
- •Тема 5 Лицензирование и сертификация в области защиты информации
- •Понятия лицензирования
- •3. Допуск предприятий, учреждений и организаций к проведению работ, связанных с использованием сведений, составляющих государственную тайну
- •4.Положениео лицензировании деятельности по разработке и производствусредств защиты конфиденциальной информации
- •5. Понятие сертификации
- •Тема 6 Правовые основы защиты информации с использованием технических средств
- •Правовые основы применения технических средств
- •Тема 7 Защита интеллектуальной собственности
- •Тема 8 Международное законодательство в области защиты информации.
- •Тема 9. Анализ и оценка угроз информационной безопасности объекта.
- •2. Модель нарушителя информационной безопасности
- •Тема 10 Оценка рисков.
- •Тема 11 Служба безопасности объекта
- •Тема 12 Организация и обеспечение режима секретности
- •2 Служебное расследование по фактам нарушенияорганизация и проведение служебного расследования по фактам нарушений
- •Тема 13 Организация пропускного и внутриобъектового режима Работа по организации внутриобъектового режима. Основные подходы и принципы
- •Тема 13 Организация защиты информации на предприятии в условиях чрезвычайных ситуаций
Тема 2 Виды защищаемой информации
Определение и нормативное закрепление состава защищаемой информации
Создавая систему информационной безопасности, необходимо четко понимать, что без правового обеспечения защиты информации любые последующие претензии с стороны организации к недобросовестному сотруднику, клиенту, конкуренту и должностному лицу окажутся беспочвенными. Если перечень сведений конфиденциального характера не доведен своевременно до каждого сотрудника (при условии, что он допущен по должностным обязанностям) в письменном виде, то сотрудника, укравшего важную информацию, невозможно будет привлечь к ответственности.
Таким образом, состав защищаемой информации в каждой организации должен быть четко определен и задокументирован.
Для определения состава защищаемой информации необходимо ответить на вопросы:
1) Какие сведения следует охранять? 2) Кого они интересуют?
3) Почему они нуждаются в получении этих сведений?
4) Какие виды информации имеются в данной организации?
5) Какова ценность каждого из видов информации
6) Какая защита необходима для каждого вида информации?
Кроме того, государственные законодательные акты оговаривают следующие виды защищаемой информации:
1) Информация, относящаяся к государственной тайне – ФЗ "О ГТ ", Указ Президента РФ «О перечне сведений, составляющих ГТ»
2) Информация, составляющая коммерческую тайну. Постановление правительства РФ «О перечне сведений, которые не могут составлять коммерческую тайну», Гражданский кодекс РФ, Закон «О коммерческой тайне».
3) Информация, составляющая банковскую тайну. Закон «О банках и банковской деятельности».
4) Информация, составляющая профессиональную тайну. Указ Президента РФ «Об утверждении перечня сведений конфиденциального характера».
Правовые нормы обеспечения безопасности и защиты информации на конкретном предприятии (фирме, организации) отражаются в совокупности учредительных, организационных и функциональных документов.
Требования обеспечения безопасности и защиты информации отражаются в Уставе (учредительном договоре) в виде следующих положений:
– предприятие имеет право определять состав, объем и порядок защиты сведений конфиденциального характера, требовать от своих сотрудников обеспечения их сохранности и защиты от внутренних и внешних угроз;
– предприятие обязано обеспечить сохранность конфиденциальной информации.
Опираясь на государственные правовые акты и учитывая ведомственные интересы на уровне конкретного предприятия (фирмы, организации), разрабатываются собственные нормативно-правовые документы, ориентированные на обеспечение информационной безопасности. К таким документам относятся:
– Положение о сохранении конфиденциальной информации;
– Перечень сведений, составляющих конфиденциальную информацию;
–Инструкция о порядке допуска сотрудников к сведениям, составляющим конфиденциальную информацию;
– Положение о специальном делопроизводстве и документообороте;
– Перечень сведений, разрешенных к опубликованию в открытой печати;
– Положение о работе с иностранными фирмами и их представителями;
– Обязательство сотрудника о сохранении конфиденциальной информации;
– Памятка сотруднику о сохранении коммерческой тайны.
Обязательства конкретного сотрудника, рабочего или служащего в части защиты информации обязательно должны быть оговорены в трудовом договоре (контракте). Трудовой договор – это правовая основа к тому, чтобы пресечь неверные или противоправные действия работника.
Виды защищаемой информации
По содержанию любая информация относится к семантической (в переводе с латинского - содержащей смысл) и к информации о признаках объекта (признаковой). Сущность семантической информации не зависит от характеристик носителя. Содержание текста, например, не зависит от качества бумаги, на которой он написан, или физических параметров другого носителя. Семантическая информация - продукт абстрактного мышления человека и отображает объекты, явления как материального мира, так и создаваемые им образы и модели с помощью символов на языках общения людей.
Языки общения включают как естественные языки национального общения, так и искусственные профессиональные языки. Языки национального общения формируются в течение длительного времени развития нации. В нем устаревшие слова постепенно отмирают, но появляются новые, вызванные развитием человечества, в том числе техническим прогрессом.
Семантическая информация на языке национального общения представляется в виде упорядоченной последовательности знаков (букв, цифр) алфавита этого языка и записывается на любом материальном носителе. В области средств регистрации и консервации семантической информации изыскиваются носители, обеспечивающие все более высокую плотность записи и меньшее энергопотребление.
Профессиональные языки создается специалистами для экономного и компактного отображения информации. Существует множество профессиональных языков: математики, музыки, радиоэлектроники, автодорожного движения, химии и т. д. Любая предметная область содержит характерные для нее понятия и условные обозначения, часто непонятные необученному этому языку человеку. Для однозначного понимания этого языка всеми специалистами областей науки, техники, искусства и др., термины и условные обозначения стандартизируются. В принципе все то, что описано на профессиональном языке, можно представить на языке общечеловеческого общения, но такая форма записи громоздка и неудобна для восприятия информации человеком. Кроме того, использование носителей различной физической природы позволяет подключать для ввода информации в мозг человека все многообразие его рецепторов (датчиков). При просмотре кинофильмов, например, основной объем информации зритель получает через органы зрения. Музыкальное сопровождение фильма через слуховой канал ввода информации оказывает дополнительное воздействие на эмоциональную сферу зрителя. Делаются попытки дополнить эти каналы воздействием на органы обоняния человека путем создания соответствующих запахов. В ситуациях, когда нельзя использовать для информирования человека зрительные или акустические сигналы или эти каналы перегружены, воздействуют на его тактильные рецепторы. Например, нательное средство для обнаружения записывающего устройства в кармане собеседника информирует о работе диктофона с помощью индикатора, создающего вибрацию.
Информация признаковая описывает конкретный материальный объект на языке его признаков. Описание объекта содержит признаки его внешнего вида, излучаемых им полей и элементарных частиц, состава и структуры веществ, из которых состоит объект. Источниками признаковой информации являются сами объекты. К ним в первую очередь относятся интересующие зарубежную разведку или отечественного конкурента люди, новая продукция и материалы, помещения и даже здания, в которых может находится конфиденциальная информация. В зависимости от вида описания объекта признаковая информация делится на информацию о его внешнем виде (видовых признаках), о его полях (сигнальных признаках), о структуре и составе его веществ (вещественных признаках).
Защищаемая информация неоднородна по содержанию, объему и ценности. Следовательно, защита будет рациональной в том случае, когда уровень защиты, а, следовательно, затраты, соответствуют количеству и качеству информации. Если затраты на защиту информации выше ее цены, то уровень защиты неоправданно велик, если существенно меньше, то возможно уничтожение, хищение или модернизация информации, приводящие к значительному ущербу. Для обеспечения рациональной защиты возникает необходимость структурирования конфиденциальной информации, т. е. разделения ее на так называемые информационные элементы.
Информационный элемент представляет собой информацию на носителе с достаточно четкими границами, удовлетворяющий следующим требованиям:
- имеет конкретный источник информации (документ, человек, образец продукции и т. д.);
- содержится на отдельном носителе;
- имеет определенную ценность.
Структурирование информации проводится путем последовательной детализации защищаемой информации, начиная с перечней сведений, содержащих тайну. Детализация предусматривает иерархическое разбиение информации в соответствии со структурой тематических вопросов, охватывающих все аспекты организации и деятельности частной фирмы или государственной структуры.