Информационная безопасность информационной сферы

ИНФОРМАЦИОННОЕ ПРАВО

И

И ПРОЦЕССЫ КАК ОБЪЕКТ ПРАВОВОГО РЕГУЛИРОВАНИЯ ИНФОРМАЦИОННОЙ СФЕРЫ

И ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

 

Вопросы:

1. Основные понятия, виды и источники информации, подлежащей защите

2. Информация как объект правоотношений

 

Основные понятия, виды и источники информации,

Подлежащей защите

 

Одним из основных предметов информационной науки, в том числе и развивающегося информационного права, его составляющей – правовых аспектов информационной безопасности (ИБ), и в целом информационной сферы является его понятийный аппарат. Центральным понятием этой предметной области, важным объектом науки и практики, является "информация", которая может быть отнесена к абстрактным категориям и первичным понятиям. С учетом существующих в отечественной и зарубежной литературе определений понятия "информации", можно говорить о многообразии, разнообразии, неоднозначности содержания этого понятия, имеющего широкий смысловой диапазон. Он изменяется от понимания в общесистемном, философском смысле (информация есть отражение материального мира), до наиболее узкого, технократического и прагматического смысла (информация есть сведения, являющиеся объектом хранения, передачи и преобразования).

Примеры таких определений.

1. Информация – определенные свойства материи, воспринимаемые управляющей системой, как из окружающего внешнего материального мира, так и из процессов, происходящих в самой системе.

2. Существует взгляд на отождествление понятий "информация" и "сообщение", в котором "информация" определяется как существенная для получателя часть сообщения, а "сообщение", как материальный носитель информации, один из конкретных элементов конечного или бесконечного множества, передаваемых по каналу связи и воспринимаемых на приемном конце системы связи некоторым получателем.

3. По Р. Шеннону, информацией, в смысле формального представления ее определенными материальными знаками, называют количество непредсказуемого, содержащегося в сообщении. Количество информации – есть мера того нового, которое данное сообщение вносит в сферу, окружающую получателя.

4. В действующем федеральном законе «Об информации, информатизации и защите информации» от 25.4.1995 г. приводятся достаточно обобщенная дефиниция понятия информации, а также ее составляющие и производные понятия. Содержание этого определения имеет достаточно высокую степень общности, и позволяет описать практически любой вид информации (экономической, научной, социальной, политической, экологической и др.). C учетом этого приведем родовое понятие информации, которое используется для формирования его производных дефиниций, нашедших отражение в этом и других нормативных правовых актах.

Информация – сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления

Для более глубокого понимания содержания понятия информации, как одного из основных объектов информационного права и информационной безопасности, рассмотрим его дополняющие и производные понятия, приведенные в действующих нормативных правовых актах. [9, 18].

Документированная информация (документы) – зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать.

Документ – письменный акт установленной формы, имеющий соответствующие реквизиты, особый порядок его хранения, выдачи, подготовленный компетентными учреждениями, а также гражданами для изложения сведений о фактах или удостоверения прав и обязанностей (Арбитражный процессуальный кодекс).

Документированная информация (документ) – зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать

Конфиденциальная информация – документированная информация, доступ к которой ограничивается в соответствии с законодательством.

Оперативно – служебная информация – любые не секретные сведения о деятельности различных служб и подразделений, разглашение (утрата, передача, утечка) которых может нанести ущерб интересам органов и войск, а также отдельным гражданам и организациям.

Коммерческая тайна (ст. 139 ГК РФ) – информация, имеющая действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам; к ней нет свободного доступа на законном основании, и ее обладатель принимает меры к охране ее конфиденциальности.

Банковская тайна (ст. 857 ГК) - это тайна банковского счета и банковского вклада, операций по счету и сведений о клиенте.

Массовая информация – предназначенные для неограниченного круга лиц печатные, аудио сообщения, аудиовизуальные и иные сообщения и материалы [18].

Информационные ресурсы – отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других видах информационных систем).

Информационная система, – организационно упорядоченная совокупность документов (массивов документов) и информационных технологий, в том числе с использованием вычислительной техники и связи, реализующих информационные процессы.

Информационные процессы – процессы сбора, сбора, обработки, накопления, хранения, поиска и распространения информации

По мнению автора, в понятии «информационные процессы» отсутствует одно из свойств информации – ее способность к переработке с целью формирования (создания) новых знаний.

Информационные продукты (продукция) – документированная информация, подготовленная в соответствии с потребностями пользователей и предназначенная или применяемая для удовлетворения потребностей пользователей [18].

Государственная тайна – защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно–розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации [3].

Компьютерная информация – информация на машинном носителе, в ЭВМ, системе ЭВМ или их сети [82].

Рассмотренные понятия, а также имеющиеся в указанных выше источниках, позволяют сделать следующие выводы:

- о наличии значительного разнообразия и многообразия содержания понятий информации, ее производных и составляющих;

- существующие понятия информации по содержанию в основном адекватны приведенному родовому понятию информации;

- в качестве относительно широкого понимания информация представляет – сведения о предметах, объектах, явлениях, процессах, независимо от формы их представления, отображаемые в сознании человека, или на каком–либо носителе, для последующего восприятия их человеком или в информационной системе;

- независимо от содержания используемых понятий информации, все они, как правило, отражают компоненты, форму представления информации, наличие материально–энергетического носителя (сигнала), воспринимаемого сенсорно или с помощью прибора (в широком смысле).

В рамках развивающихся теории и практики (законодательства и отрасли права) информационного права, содержание информации будет рассматриваться с учетом современных задач и проблем информатизации всех сфер и видов деятельности личности, общества и государства.

Ин форматизация [9] – организационный социально–экономический и научно–технический процесс создания оптимальных условий для удовлетворения информационных потребностей и реализации прав граждан, органов государственной власти и местного самоуправления, организаций, общественных объединений на основе формирования и использования информационных ресурсов и возникающих при этом общественных и, прежде всего, правовых отношений.

С учетом этого понимания информатизации, а также рассмотренного понятийного аппарата информации, ее содержание носит двойственный характер. С одной стороны, информация является информационным ресурсом общества, который обладает определенными свойствами необходимыми для информационного обеспечения общественной деятельности и повседневной жизни людей. С другой стороны, информация – это специфическое сырье, подлежащее обработке специальными технологиями с целью получения определенного информационного продукта, обладающего заданным свойством (качеством). При этом требования к свойствам информации определяются собственником, владельцем или пользователем (потребителем).

Наряду с такими важными свойствами информации как своевременность, достоверность, и др., существенное место принадлежит ее безопасности [115, 117, 122].

Безопасность информации (БИ) – состояние информации, информационных ресурсов информационных систем, при котором с требуемой вероятностью обеспечивается защита информации (данных) от утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), копирования, блокирования и т.п.

Обеспечение этого свойства носит двойственный и противоречивый характер. Так, повышение БИ предполагает ужесточение мер защиты информации, что приводит к неоправданным затратам ресурсов, а недооценка важности обеспечения БИ приводит к нарушению заданных свойств информации, в том числе ее утечки и другим последствиям снижению качества информации и соответствующему ущербу в различных сферах.

Независимо от сфер деятельности личности, общества и государства, обеспечение БИ тесно взаимосвязано с получением, накоплением, обработкой и использованием разнообразной информации, поступающей от различных источников. При этом источник информации является:

– неотъемлемой частью объекта правового регулирования отношений в сфере обеспечения информационной безопасности;

– представляет объект, обладающий определенной информацией, которую можно получить (получать) одноразово или многократно для поставленных целей определенным ее приемником;

– связан с получателем (субъектом), имеющим ту или иную возможность доступа к информации;

– паре в паре с субъектом как бы пассивной стороной, где, а получатель (субъект) – активная сторона.

С учетом понятия конфиденциальной информации под ее источником (источником конфиденциальной информации) будем понимать объект, обладающий определенными охраняемыми сведениями, представляющими интерес для злоумышленников. Совокупность источников информации, в том числе и конфиденциальной можно представить рис.1.1.

Источник информации (ИИ) "люди" – все категории должностных лиц, независимо от места в системе обработки информации, вида деятельности, в том числе обслуживающий персонал, пользователей информации и информационных ресурсов и др. Эта ИКИ занимают особое место в силу своей активности. Они выступают не только как источник, но и как субъект, участвующий в информационных процессах, информатизации и обеспечении ИБ, а также совершающие противоправные действия в информационной сфере. Здесь информационные отношения возникают в ходе соответствующих видов деятельности по решению определенных задач:

– формирования и использования информационных ресурсов на основе создания, сбора, обработки, накопления, хранения, поиска информации;

– создания и использования информационных технологий, способов, средств их обеспечения;

– защиты информации и прав субъектов.

Особенностью рассматриваемой группы ИИ, как объекта информационных отношений являются:

1) двойственный характер деятельности людей, обусловленный тем, что они могут являться как обладателями, так и распространителями информации в рамках своих функциональных обязанностей;

2) способность человека анализировать, обобщать информацию и делать соответствующие выводы;

3) способность людей при определенных условиях скрывать, совершать противоправные действия и др.

Рис.1.1. Источники конфиденциальной информации

 

ИИ «документы» – одна из самых распространенных форм представления, обмена, накопления и хранения информации. Документы отличаются большим разнообразием функционального назначения. Система документов имеет разветвленную структуру, определяемую рядом показателей, характеризующих разнообразие содержания документа, его физических форм (материальных носителей) и др. При этом, разнообразие форм, содержания документов, назначения, направленности, характера разработки и использования является важным объектом внимания и противоправных действий, направленных на незаконное получение информации, особенно, имеющей конфиденциальный характер.

ИИ «публикации» представляют информационные носители в виде разнообразных не конфиденциальных изданий: книги, статьи, обзоры, сообщения, доклады, рекламные проспекты, СМИ и другие.

Особенность публикаций – отражают содержание различных съездов специалистов, конгрессов, конференций, симпозиумов, научных семинаров и других подобных публичных форумов, где опытные специалисты собирают новую, и самую ценную информацию. Значительное количество конфиденциальной информации (КИ), можно получить из названной группы открытых источников. Конфиденциальная информация, составляющая промышленную, коммерческую, банковскую и другие виды тайн, может быть также получена из открытых ИИ, носители которых имею, подчас низкую номинальную стоимость. При этом стоимость содержания информации в этих источниках исчисляется значительными суммами, не соизмеримыми со стоимостью носителей. Так современную научную, промышленную, экономическую, военную и другую информацию можно легко и легально получить из специализированных открытых периодических изданий, журналов, научных трудов, отчетов организаций, внутренних изданий предприятий, брошюр и проспектов.

ИИ «технические носители информации» представляют бумажные носители любой формы, кино–, фотоматериалы, магнитные носители, видеодиски, распечатки данных и программ на принтерах и другие. Отличительными особенностями этих носителей:

– высокий темп роста технических средств обработки информации (ТСОИ), в том числе ПЭВМ широко применяемых в различных сферах и видах человеческой деятельности;

– высокая степень концентрации информации и масштабность участия людей в использовании этих носителей в практической деятельности.

ИИ «ТСОИ»,– средства обработки конфиденциальной информации, а также находящиеся на рабочих местах и объектах ее обработки, обеспечивающие деятельность должностных и других лиц.

К ТСОИ относятся: телефонные аппараты, телевизионные и радиоприемники, системы громкоговорящей связи, усилительные системы, охранные и пожарные системы, ЭВТ и другие. Эти средства по своим функциональным и параметрическим характеристикам могут быть источником преобразования различных физических полей, в том числе акустических, электрических, электромагнитных, образующих различные технические каналы утечки конфиденциальной информации (КУИ).

ИИ «продукция» – как правило, новая, находящаяся в подготовке к серийному производству и другая продукция, характеристики которой, представляют интерес для нарушителей, противников, конкурентов. К таким характеристикам можно отнести определенные этапы "жизненного цикла", в том числе замысел, макет, опытный образец, испытания, серийное производство, эксплуатация, модернизация, снятие с производства. Эти этапы сопровождаются различными физическими процессами, представляющими демаскирующие признаки, которые отражают и раскрывают охраняемые КИ, сведения.

ИИ «промышленные и производственные отходы» несут сведения об используемых материалах, их составе, особенностях производства, технологии. Особенностью этих сведений является то, что добываются они почти безопасным путем – на свалках, из корзин для мусора, с мест сбора металлолома и др.

Рассмотренные характеристики ИИ позволяют уточнить содержание и особенности объекта правового регулирования общественных отношений в сфере обеспечения информационно безопасности (ИБ) – информации, а также оценить полноту ее отражения в действующей нормативной правовой базе.

Рассмотренные характеристики ИИ позволяют уточнить содержание и особенности объекта правового регулирования общественных отношений в информационной и сфере ИБ, а также оценить и уточнить полноту их отражения в действующей нормативной правовой базе, определить направления ее развития.

 

Конфиденциальной информации

 

Представляют интерес такие угрозы, как утрата охраняемых сведений в ходе информационного процесса. Признаки таких угроз: активные, осознанные, целенаправленные действия сторон, в том числе: 1) разглашение конфиденциальной информации ее обладателем; 2) утечка информации по различным, в том числе и зачастую по техническим каналам; 3) НСД к конфиденциальной информации различными способами.

Разглашение информации ее обладателем – это умышленные или неосторожные действия должностных лиц и граждан, которым в установленном порядке были доверены соответствующие сведения по работе, приведшие к оглашению охраняемых сведений, а также передача таких сведений по открытым техническим каналам.

Разглашение выражается в сообщении, передаче, предоставлении, пересылке, опубликовании, при обсуждении, утере и оглашении любыми иными способами конфиденциальной информации лицам и организациям, не имеющим права доступа к охраняемым секретам.

Каналы разглашения информации: почтовые отправления, радио, телевидение, печать и т.п.; деловые встречи, беседы при обсуждении совместных работ; договоры; письма и документы и др.

Причины разглашения конфиденциальной информации: слабое знание (или незнание) требований по защите конфиденциальной информации; ошибочность действий персонала из–за низкой производственной квалификации; отсутствие системы контроля оформления документов, подготовки выступлений, рекламы и публикаций; злостное, преднамеренное невыполнение требований по защите коммерческой тайны.

Разглашение конфиденциальной информации неизбежно приводит к материальному и моральному ущербу.

Утечка информации – это бесконтрольный и неправомерный выход конфиденциальной информации за пределы организации или круга лиц, которым эта информация была доверена.

С позиции права утечка информации предполагает противоправное (тайное или явное, осознанное или случайное) овладение конфиденциальной информацией, независимо от того, каким путем это достигается.

Характеристики противоправных действий, связанных с утечкой охраняемой информации: обстоятельства происхождения утечки; причины утечки; условиями утечки.

Существует ряд причин, условий, создающих предпосылки и возможность неправомерного овладения конфиденциальной информации.

Обстоятельства происхождения утечки конфиденциальной информации:

1) низкая эффективность управления персоналом, недостатки должностных лиц, проявляющаяся в том числе и в следующем: излишней болтливости; стремлении зарабатывать деньги любыми способами и ценой; отсутствии в организации службы безопасности; привычке делится друг с другом служебной информацией; бесконтрольном использовании информационных систем; наличии предпосылок возникновения конфликтных ситуаций из-за низкой психологической совместимости и сплоченности сотрудников коллектива;

2) наличие конкурента, злоумышленника, затрачивающегося определенные силы и средства для получения информации;

3) наличие условий минимальных затрат конкурента на овладение интересующей его информацией и др.

Причины утечки информации: несовершенство и нарушение норм по ЗИ; нарушение правил обращения с документами, ТСОИ, образцами продукции и другими материалами, содержащими конфиденциальную информацию и др.

Условия утечки конфиденциальной информации, определяются факторами и обстоятельствами, складывающимися в процессе различных видов деятельности и создающие предпосылки возникновения утечки. К таким факторам и обстоятельствам относятся:

1) низкие знания персонала правил защиты тайны, непонимание необходимости их соблюдения, в том числе:

– утрата удостоверений, пропусков, ключей от помещений, хранилищ, сейфов (металлических шкафов), личных печатей;

– несанкционированный, неконтролируемый пронос на территорию оргтехники, ТСОИ личного пользования;

– недонесение о фактах возможной утечки конфиденциальных сведений руководству организации и службы безопасности (СБ);

– несанкционированный вынос за пределы организации конфиденциальных документов, изделий;

– неправильное определение грифа секретности документа (изделия);

– нарушений правил работы с конфиденциальными, материалами и документами, в том числе хранения, исполнения, ознакомления, допуска, размножения, копирования, передачи, получения, доставки, получения, возвращения, отчетности и др.;

– несоблюдение правил физической защиты рабочих помещений (спецхранилищ);

– нарушение правил ведения конфиденциальных переговоров, в том числе и с использованием ТСОИ;

2) использование не аттестованных ТСОИ;

3) недостаточный контроль эффективности ЗИ, в том числе с использованием правовых, организационных, инженерно–техническими мер, способов, средств, мероприятий;

4) текучесть персонала, владеющего конфиденциальными сведениями;

5) латентные нарушения правил обеспечения ИБ:

• ознакомление с конфиденциальными документами, изделиями, работами посторонних лиц;

• неправильная адресация конфиденциальных документов;

• использование неучтенных носителей для подготовка конфиденциальных документов;

• публикации научных и других работ, содержащих конфиденциальную информацию без соответствующей экспертизы и др.

Утечке информации способствуют и стихийные бедствия, катастрофы, неисправности, отказы, аварии технических средств и оборудования.

Каналами несанкционированного доступа к конфиденциальной информации являются: физические и юридические лица, их имущественная собственность, личная деятельность, связанные с обработкой информационных ресурсов; состав, состояние и деятельность объекта конфиденциальной информации;

Известны наиболее характерные источники, традиционные приемы и методы получения конфиденциальной информации, которые описывают действия субъектов правовых отношений в информационной и сфере обеспечения ИБ: сбор информации, со средств массовой информации, включая официальные документы; использование служебных сведений конкурирующих и противоборствующих организаций; документы, отчеты консультантов, финансовые документы, выставочные экспонаты и проспекты и др.; продукция конкурирующих и других организаций, представляющая интерес для видовых разведок, использование данных, полученных во время бесед с обслуживающим персоналом; скрытые опросы служащих организации на научно–технических конгрессах; скрытые наблюдения; беседы о найме на работу (без намерений приема их на работу); наем на работу служащего конкурирующей организации для получения требуемой информации; подкуп служащего; подслушивание переговоров, ведущихся в служебных, иных помещениях и с использованием ТСОИ; кража эксплуатационно-технической документации и др.; шантаж и вымогательство и другие.

Рассмотренные источники и методы получения конфиденциальной информации, а также ее уничтожения, искажения, блокирования не является исчерпывающим, однако они позволяют сгруппировать все вероятные источники утечки информации на три основные группы: 1) персонал, имеющий доступ к конфиденциальной информации; 2) документы, содержащие эту информацию; 3) ТСОИ.

Вероятные каналы утечки информации (КУИ), определяются наличием соответствующих источников конфиденциальной информации. Среди разнообразных каналов утечки информации, используемых ТСР, человек является одной из главных причин и источников утечки конфиденциальной информации, таблица 2.1.

Таблица 2.1.

Группы КУИ

 

№ п/п	Каналы утечки информации	%
	Подкуп, шантаж, переманивание служащих, внедрение агентов.
	Подслушивание телефонных переговоров.
	Кража документов.
	Проникновение в ПЭВМ.
	Съем информации с каналов "втемную".

 

Персонал, имеющий доступ к конфиденциальной информации – людские потоки, создающие возможные КУИ.

Распространенность этих КУИ определяется: приемом и увольнением работников организации – 32%; посещением организации командированными лицами – 28%; проведением совещаний по секретным вопросам – 15%; ведением конфиденциальных работ в рабочих помещениях – 15%; допуском и обращением к конфиденциальной информации – 14%; выездом специалистов за границу – 10%; организацией пропускного и внутриобъектового режима – 8%; прохождением практики обучаемыми – 7%; посещением международных выставок – 7%; обучением на курсах повышения квалификации – 5%; подготовкой постановлений и решений, приказов и других документов – 4%.

Типовые нарушения, относящиеся к персоналу.

1) при приеме и увольнении: прием без оформления допуска, доступ к конфиденциальной информации с нарушением установленных требований, несвоевременное и неполное ознакомление персонала с требованиями нормативных правовых актов по обеспечению ИБ, неудовлетворительные знания нормативных правовых актов, увольнение персонала, являющегося носителями конфиденциальной информации и др.;

2) при посещении предприятий командированными лицами: нарушения правил допуска, ведомственных нормативных актов, отсутствие в предписаниях отметок о действительно выданной информации, прием командированных лиц с предписаниями, в которых отсутствуют основания командирования и не определение степени конфиденциальности материалов, к которым допускается командированное лицо;

3) при проведением служебных совещаний: использование не аттестованных помещениях, нарушение правил допуска на совещание, несоблюдение требований по использованию ТСОИ и оргтехники, использование неучтенном носителей конфиденциальной информации, ошибочная рассылка адресатам конфиденциальной информации;

4) при ведении конфиденциальных работ, документов, изделий в рабочих помещениях: отсутствие специальных средств ЗИ, ТСОИ, оргтехники, средств жизнеобеспечения, пожарной и охранной сигнализации, систем электрочасофикации, электрооборудования и других дополнительных технических средств защиты, исключающих КУИ;

5) при допуске, доступе и обращении с конфиденциальной информацией образуются за счет расширения круга лиц к документам, изделиям, техническим заданиям (ТЗ);

6) при нарушении пропускного и внутриобъектового режима;

7) при неправильной организации прохождения технологической и преддипломной практики обучаемых;

Таким образом, проведенный анализ характеристик информации, правонарушений ИБ, угроз и каналов утечки конфиденциальной информации позволяет уточнить свойства информации, подлежащие правовой защите.

 

Рис. 7.2 Структура и систематизация нормативных правовых актов

ИНФОРМАЦИОННОЕ ПРАВО

И

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ИНФОРМАЦИОННОЙ СФЕРЫ

 

ОГЛАВЛЕНИЕ