Заглавная страница Избранные статьи Случайная статья Познавательные статьи Новые добавления Обратная связь КАТЕГОРИИ: АрхеологияБиология Генетика География Информатика История Логика Маркетинг Математика Менеджмент Механика Педагогика Религия Социология Технологии Физика Философия Финансы Химия Экология ТОП 10 на сайте Приготовление дезинфицирующих растворов различной концентрацииТехника нижней прямой подачи мяча. Франко-прусская война (причины и последствия) Организация работы процедурного кабинета Смысловое и механическое запоминание, их место и роль в усвоении знаний Коммуникативные барьеры и пути их преодоления Обработка изделий медицинского назначения многократного применения Образцы текста публицистического стиля Четыре типа изменения баланса Задачи с ответами для Всероссийской олимпиады по праву Мы поможем в написании ваших работ! ЗНАЕТЕ ЛИ ВЫ?
Влияние общества на человека
Приготовление дезинфицирующих растворов различной концентрации Практические работы по географии для 6 класса Организация работы процедурного кабинета Изменения в неживой природе осенью Уборка процедурного кабинета Сольфеджио. Все правила по сольфеджио Балочные системы. Определение реакций опор и моментов защемления |
Информационная безопасность информационной сферыСтр 1 из 15Следующая ⇒
ИНФОРМАЦИОННОЕ ПРАВО И И ПРОЦЕССЫ КАК ОБЪЕКТ ПРАВОВОГО РЕГУЛИРОВАНИЯ ИНФОРМАЦИОННОЙ СФЕРЫ И ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Вопросы:
Основные понятия, виды и источники информации, Подлежащей защите
Одним из основных предметов информационной науки, в том числе и развивающегося информационного права, его составляющей – правовых аспектов информационной безопасности (ИБ), и в целом информационной сферы является его понятийный аппарат. Центральным понятием этой предметной области, важным объектом науки и практики, является "информация", которая может быть отнесена к абстрактным категориям и первичным понятиям. С учетом существующих в отечественной и зарубежной литературе определений понятия "информации", можно говорить о многообразии, разнообразии, неоднозначности содержания этого понятия, имеющего широкий смысловой диапазон. Он изменяется от понимания в общесистемном, философском смысле (информация есть отражение материального мира), до наиболее узкого, технократического и прагматического смысла (информация есть сведения, являющиеся объектом хранения, передачи и преобразования). Примеры таких определений. 1. Информация – определенные свойства материи, воспринимаемые управляющей системой, как из окружающего внешнего материального мира, так и из процессов, происходящих в самой системе. 2. Существует взгляд на отождествление понятий "информация" и "сообщение", в котором "информация" определяется как существенная для получателя часть сообщения, а "сообщение", как материальный носитель информации, один из конкретных элементов конечного или бесконечного множества, передаваемых по каналу связи и воспринимаемых на приемном конце системы связи некоторым получателем. 3. По Р. Шеннону, информацией, в смысле формального представления ее определенными материальными знаками, называют количество непредсказуемого, содержащегося в сообщении. Количество информации – есть мера того нового, которое данное сообщение вносит в сферу, окружающую получателя. 4. В действующем федеральном законе «Об информации, информатизации и защите информации» от 25.4.1995 г. приводятся достаточно обобщенная дефиниция понятия информации, а также ее составляющие и производные понятия. Содержание этого определения имеет достаточно высокую степень общности, и позволяет описать практически любой вид информации (экономической, научной, социальной, политической, экологической и др.). C учетом этого приведем родовое понятие информации, которое используется для формирования его производных дефиниций, нашедших отражение в этом и других нормативных правовых актах.
Информация – сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления Для более глубокого понимания содержания понятия информации, как одного из основных объектов информационного права и информационной безопасности, рассмотрим его дополняющие и производные понятия, приведенные в действующих нормативных правовых актах. [9, 18]. Документированная информация (документы) – зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать. Документ – письменный акт установленной формы, имеющий соответствующие реквизиты, особый порядок его хранения, выдачи, подготовленный компетентными учреждениями, а также гражданами для изложения сведений о фактах или удостоверения прав и обязанностей (Арбитражный процессуальный кодекс). Документированная информация (документ) – зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать Конфиденциальная информация – документированная информация, доступ к которой ограничивается в соответствии с законодательством. Оперативно – служебная информация – любые не секретные сведения о деятельности различных служб и подразделений, разглашение (утрата, передача, утечка) которых может нанести ущерб интересам органов и войск, а также отдельным гражданам и организациям. Коммерческая тайна (ст. 139 ГК РФ) – информация, имеющая действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам; к ней нет свободного доступа на законном основании, и ее обладатель принимает меры к охране ее конфиденциальности.
Банковская тайна (ст. 857 ГК) - это тайна банковского счета и банковского вклада, операций по счету и сведений о клиенте. Массовая информация – предназначенные для неограниченного круга лиц печатные, аудио сообщения, аудиовизуальные и иные сообщения и материалы [18]. Информационные ресурсы – отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других видах информационных систем). Информационная система, – организационно упорядоченная совокупность документов (массивов документов) и информационных технологий, в том числе с использованием вычислительной техники и связи, реализующих информационные процессы. Информационные процессы – процессы сбора, сбора, обработки, накопления, хранения, поиска и распространения информации По мнению автора, в понятии «информационные процессы» отсутствует одно из свойств информации – ее способность к переработке с целью формирования (создания) новых знаний. Информационные продукты (продукция) – документированная информация, подготовленная в соответствии с потребностями пользователей и предназначенная или применяемая для удовлетворения потребностей пользователей [18]. Государственная тайна – защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно–розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации [3]. Компьютерная информация – информация на машинном носителе, в ЭВМ, системе ЭВМ или их сети [82]. Рассмотренные понятия, а также имеющиеся в указанных выше источниках, позволяют сделать следующие выводы: - о наличии значительного разнообразия и многообразия содержания понятий информации, ее производных и составляющих; - существующие понятия информации по содержанию в основном адекватны приведенному родовому понятию информации; - в качестве относительно широкого понимания информация представляет – сведения о предметах, объектах, явлениях, процессах, независимо от формы их представления, отображаемые в сознании человека, или на каком–либо носителе, для последующего восприятия их человеком или в информационной системе; - независимо от содержания используемых понятий информации, все они, как правило, отражают компоненты, форму представления информации, наличие материально–энергетического носителя (сигнала), воспринимаемого сенсорно или с помощью прибора (в широком смысле). В рамках развивающихся теории и практики (законодательства и отрасли права) информационного права, содержание информации будет рассматриваться с учетом современных задач и проблем информатизации всех сфер и видов деятельности личности, общества и государства. Ин форматизация [9] – организационный социально–экономический и научно–технический процесс создания оптимальных условий для удовлетворения информационных потребностей и реализации прав граждан, органов государственной власти и местного самоуправления, организаций, общественных объединений на основе формирования и использования информационных ресурсов и возникающих при этом общественных и, прежде всего, правовых отношений.
С учетом этого понимания информатизации, а также рассмотренного понятийного аппарата информации, ее содержание носит двойственный характер. С одной стороны, информация является информационным ресурсом общества, который обладает определенными свойствами необходимыми для информационного обеспечения общественной деятельности и повседневной жизни людей. С другой стороны, информация – это специфическое сырье, подлежащее обработке специальными технологиями с целью получения определенного информационного продукта, обладающего заданным свойством (качеством). При этом требования к свойствам информации определяются собственником, владельцем или пользователем (потребителем). Наряду с такими важными свойствами информации как своевременность, достоверность, и др., существенное место принадлежит ее безопасности [115, 117, 122]. Безопасность информации (БИ) – состояние информации, информационных ресурсов информационных систем, при котором с требуемой вероятностью обеспечивается защита информации (данных) от утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), копирования, блокирования и т.п. Обеспечение этого свойства носит двойственный и противоречивый характер. Так, повышение БИ предполагает ужесточение мер защиты информации, что приводит к неоправданным затратам ресурсов, а недооценка важности обеспечения БИ приводит к нарушению заданных свойств информации, в том числе ее утечки и другим последствиям снижению качества информации и соответствующему ущербу в различных сферах. Независимо от сфер деятельности личности, общества и государства, обеспечение БИ тесно взаимосвязано с получением, накоплением, обработкой и использованием разнообразной информации, поступающей от различных источников. При этом источник информации является: – неотъемлемой частью объекта правового регулирования отношений в сфере обеспечения информационной безопасности; – представляет объект, обладающий определенной информацией, которую можно получить (получать) одноразово или многократно для поставленных целей определенным ее приемником; – связан с получателем (субъектом), имеющим ту или иную возможность доступа к информации; – паре в паре с субъектом как бы пассивной стороной, где, а получатель (субъект) – активная сторона.
С учетом понятия конфиденциальной информации под ее источником (источником конфиденциальной информации) будем понимать объект, обладающий определенными охраняемыми сведениями, представляющими интерес для злоумышленников. Совокупность источников информации, в том числе и конфиденциальной можно представить рис.1.1. Источник информации (ИИ) "люди" – все категории должностных лиц, независимо от места в системе обработки информации, вида деятельности, в том числе обслуживающий персонал, пользователей информации и информационных ресурсов и др. Эта ИКИ занимают особое место в силу своей активности. Они выступают не только как источник, но и как субъект, участвующий в информационных процессах, информатизации и обеспечении ИБ, а также совершающие противоправные действия в информационной сфере. Здесь информационные отношения возникают в ходе соответствующих видов деятельности по решению определенных задач: – формирования и использования информационных ресурсов на основе создания, сбора, обработки, накопления, хранения, поиска информации; – создания и использования информационных технологий, способов, средств их обеспечения; – защиты информации и прав субъектов. Особенностью рассматриваемой группы ИИ, как объекта информационных отношений являются: 1) двойственный характер деятельности людей, обусловленный тем, что они могут являться как обладателями, так и распространителями информации в рамках своих функциональных обязанностей; 2) способность человека анализировать, обобщать информацию и делать соответствующие выводы; 3) способность людей при определенных условиях скрывать, совершать противоправные действия и др. Рис.1.1. Источники конфиденциальной информации
ИИ «документы» – одна из самых распространенных форм представления, обмена, накопления и хранения информации. Документы отличаются большим разнообразием функционального назначения. Система документов имеет разветвленную структуру, определяемую рядом показателей, характеризующих разнообразие содержания документа, его физических форм (материальных носителей) и др. При этом, разнообразие форм, содержания документов, назначения, направленности, характера разработки и использования является важным объектом внимания и противоправных действий, направленных на незаконное получение информации, особенно, имеющей конфиденциальный характер. ИИ «публикации» представляют информационные носители в виде разнообразных не конфиденциальных изданий: книги, статьи, обзоры, сообщения, доклады, рекламные проспекты, СМИ и другие. Особенность публикаций – отражают содержание различных съездов специалистов, конгрессов, конференций, симпозиумов, научных семинаров и других подобных публичных форумов, где опытные специалисты собирают новую, и самую ценную информацию. Значительное количество конфиденциальной информации (КИ), можно получить из названной группы открытых источников. Конфиденциальная информация, составляющая промышленную, коммерческую, банковскую и другие виды тайн, может быть также получена из открытых ИИ, носители которых имею, подчас низкую номинальную стоимость. При этом стоимость содержания информации в этих источниках исчисляется значительными суммами, не соизмеримыми со стоимостью носителей. Так современную научную, промышленную, экономическую, военную и другую информацию можно легко и легально получить из специализированных открытых периодических изданий, журналов, научных трудов, отчетов организаций, внутренних изданий предприятий, брошюр и проспектов.
ИИ «технические носители информации» представляют бумажные носители любой формы, кино–, фотоматериалы, магнитные носители, видеодиски, распечатки данных и программ на принтерах и другие. Отличительными особенностями этих носителей: – высокий темп роста технических средств обработки информации (ТСОИ), в том числе ПЭВМ широко применяемых в различных сферах и видах человеческой деятельности; – высокая степень концентрации информации и масштабность участия людей в использовании этих носителей в практической деятельности. ИИ «ТСОИ»,– средства обработки конфиденциальной информации, а также находящиеся на рабочих местах и объектах ее обработки, обеспечивающие деятельность должностных и других лиц. К ТСОИ относятся: телефонные аппараты, телевизионные и радиоприемники, системы громкоговорящей связи, усилительные системы, охранные и пожарные системы, ЭВТ и другие. Эти средства по своим функциональным и параметрическим характеристикам могут быть источником преобразования различных физических полей, в том числе акустических, электрических, электромагнитных, образующих различные технические каналы утечки конфиденциальной информации (КУИ). ИИ «продукция» – как правило, новая, находящаяся в подготовке к серийному производству и другая продукция, характеристики которой, представляют интерес для нарушителей, противников, конкурентов. К таким характеристикам можно отнести определенные этапы "жизненного цикла", в том числе замысел, макет, опытный образец, испытания, серийное производство, эксплуатация, модернизация, снятие с производства. Эти этапы сопровождаются различными физическими процессами, представляющими демаскирующие признаки, которые отражают и раскрывают охраняемые КИ, сведения. ИИ «промышленные и производственные отходы» несут сведения об используемых материалах, их составе, особенностях производства, технологии. Особенностью этих сведений является то, что добываются они почти безопасным путем – на свалках, из корзин для мусора, с мест сбора металлолома и др. Рассмотренные характеристики ИИ позволяют уточнить содержание и особенности объекта правового регулирования общественных отношений в сфере обеспечения информационно безопасности (ИБ) – информации, а также оценить полноту ее отражения в действующей нормативной правовой базе. Рассмотренные характеристики ИИ позволяют уточнить содержание и особенности объекта правового регулирования общественных отношений в информационной и сфере ИБ, а также оценить и уточнить полноту их отражения в действующей нормативной правовой базе, определить направления ее развития.
Конфиденциальной информации
Представляют интерес такие угрозы, как утрата охраняемых сведений в ходе информационного процесса. Признаки таких угроз: активные, осознанные, целенаправленные действия сторон, в том числе: 1) разглашение конфиденциальной информации ее обладателем; 2) утечка информации по различным, в том числе и зачастую по техническим каналам; 3) НСД к конфиденциальной информации различными способами. Разглашение информации ее обладателем – это умышленные или неосторожные действия должностных лиц и граждан, которым в установленном порядке были доверены соответствующие сведения по работе, приведшие к оглашению охраняемых сведений, а также передача таких сведений по открытым техническим каналам. Разглашение выражается в сообщении, передаче, предоставлении, пересылке, опубликовании, при обсуждении, утере и оглашении любыми иными способами конфиденциальной информации лицам и организациям, не имеющим права доступа к охраняемым секретам. Каналы разглашения информации: почтовые отправления, радио, телевидение, печать и т.п.; деловые встречи, беседы при обсуждении совместных работ; договоры; письма и документы и др. Причины разглашения конфиденциальной информации: слабое знание (или незнание) требований по защите конфиденциальной информации; ошибочность действий персонала из–за низкой производственной квалификации; отсутствие системы контроля оформления документов, подготовки выступлений, рекламы и публикаций; злостное, преднамеренное невыполнение требований по защите коммерческой тайны. Разглашение конфиденциальной информации неизбежно приводит к материальному и моральному ущербу. Утечка информации – это бесконтрольный и неправомерный выход конфиденциальной информации за пределы организации или круга лиц, которым эта информация была доверена. С позиции права утечка информации предполагает противоправное (тайное или явное, осознанное или случайное) овладение конфиденциальной информацией, независимо от того, каким путем это достигается. Характеристики противоправных действий, связанных с утечкой охраняемой информации: обстоятельства происхождения утечки; причины утечки; условиями утечки. Существует ряд причин, условий, создающих предпосылки и возможность неправомерного овладения конфиденциальной информации. Обстоятельства происхождения утечки конфиденциальной информации: 1) низкая эффективность управления персоналом, недостатки должностных лиц, проявляющаяся в том числе и в следующем: излишней болтливости; стремлении зарабатывать деньги любыми способами и ценой; отсутствии в организации службы безопасности; привычке делится друг с другом служебной информацией; бесконтрольном использовании информационных систем; наличии предпосылок возникновения конфликтных ситуаций из-за низкой психологической совместимости и сплоченности сотрудников коллектива; 2) наличие конкурента, злоумышленника, затрачивающегося определенные силы и средства для получения информации; 3) наличие условий минимальных затрат конкурента на овладение интересующей его информацией и др. Причины утечки информации: несовершенство и нарушение норм по ЗИ; нарушение правил обращения с документами, ТСОИ, образцами продукции и другими материалами, содержащими конфиденциальную информацию и др. Условия утечки конфиденциальной информации, определяются факторами и обстоятельствами, складывающимися в процессе различных видов деятельности и создающие предпосылки возникновения утечки. К таким факторам и обстоятельствам относятся: 1) низкие знания персонала правил защиты тайны, непонимание необходимости их соблюдения, в том числе: – утрата удостоверений, пропусков, ключей от помещений, хранилищ, сейфов (металлических шкафов), личных печатей; – несанкционированный, неконтролируемый пронос на территорию оргтехники, ТСОИ личного пользования; – недонесение о фактах возможной утечки конфиденциальных сведений руководству организации и службы безопасности (СБ); – несанкционированный вынос за пределы организации конфиденциальных документов, изделий; – неправильное определение грифа секретности документа (изделия); – нарушений правил работы с конфиденциальными, материалами и документами, в том числе хранения, исполнения, ознакомления, допуска, размножения, копирования, передачи, получения, доставки, получения, возвращения, отчетности и др.; – несоблюдение правил физической защиты рабочих помещений (спецхранилищ); – нарушение правил ведения конфиденциальных переговоров, в том числе и с использованием ТСОИ; 2) использование не аттестованных ТСОИ; 3) недостаточный контроль эффективности ЗИ, в том числе с использованием правовых, организационных, инженерно–техническими мер, способов, средств, мероприятий; 4) текучесть персонала, владеющего конфиденциальными сведениями; 5) латентные нарушения правил обеспечения ИБ: • ознакомление с конфиденциальными документами, изделиями, работами посторонних лиц; • неправильная адресация конфиденциальных документов; • использование неучтенных носителей для подготовка конфиденциальных документов; • публикации научных и других работ, содержащих конфиденциальную информацию без соответствующей экспертизы и др. Утечке информации способствуют и стихийные бедствия, катастрофы, неисправности, отказы, аварии технических средств и оборудования. Каналами несанкционированного доступа к конфиденциальной информации являются: физические и юридические лица, их имущественная собственность, личная деятельность, связанные с обработкой информационных ресурсов; состав, состояние и деятельность объекта конфиденциальной информации; Известны наиболее характерные источники, традиционные приемы и методы получения конфиденциальной информации, которые описывают действия субъектов правовых отношений в информационной и сфере обеспечения ИБ: сбор информации, со средств массовой информации, включая официальные документы; использование служебных сведений конкурирующих и противоборствующих организаций; документы, отчеты консультантов, финансовые документы, выставочные экспонаты и проспекты и др.; продукция конкурирующих и других организаций, представляющая интерес для видовых разведок, использование данных, полученных во время бесед с обслуживающим персоналом; скрытые опросы служащих организации на научно–технических конгрессах; скрытые наблюдения; беседы о найме на работу (без намерений приема их на работу); наем на работу служащего конкурирующей организации для получения требуемой информации; подкуп служащего; подслушивание переговоров, ведущихся в служебных, иных помещениях и с использованием ТСОИ; кража эксплуатационно-технической документации и др.; шантаж и вымогательство и другие. Рассмотренные источники и методы получения конфиденциальной информации, а также ее уничтожения, искажения, блокирования не является исчерпывающим, однако они позволяют сгруппировать все вероятные источники утечки информации на три основные группы: 1) персонал, имеющий доступ к конфиденциальной информации; 2) документы, содержащие эту информацию; 3) ТСОИ. Вероятные каналы утечки информации (КУИ), определяются наличием соответствующих источников конфиденциальной информации. Среди разнообразных каналов утечки информации, используемых ТСР, человек является одной из главных причин и источников утечки конфиденциальной информации, таблица 2.1. Таблица 2.1. Группы КУИ
Персонал, имеющий доступ к конфиденциальной информации – людские потоки, создающие возможные КУИ. Распространенность этих КУИ определяется: приемом и увольнением работников организации – 32%; посещением организации командированными лицами – 28%; проведением совещаний по секретным вопросам – 15%; ведением конфиденциальных работ в рабочих помещениях – 15%; допуском и обращением к конфиденциальной информации – 14%; выездом специалистов за границу – 10%; организацией пропускного и внутриобъектового режима – 8%; прохождением практики обучаемыми – 7%; посещением международных выставок – 7%; обучением на курсах повышения квалификации – 5%; подготовкой постановлений и решений, приказов и других документов – 4%. Типовые нарушения, относящиеся к персоналу. 1) при приеме и увольнении: прием без оформления допуска, доступ к конфиденциальной информации с нарушением установленных требований, несвоевременное и неполное ознакомление персонала с требованиями нормативных правовых актов по обеспечению ИБ, неудовлетворительные знания нормативных правовых актов, увольнение персонала, являющегося носителями конфиденциальной информации и др.; 2) при посещении предприятий командированными лицами: нарушения правил допуска, ведомственных нормативных актов, отсутствие в предписаниях отметок о действительно выданной информации, прием командированных лиц с предписаниями, в которых отсутствуют основания командирования и не определение степени конфиденциальности материалов, к которым допускается командированное лицо; 3) при проведением служебных совещаний: использование не аттестованных помещениях, нарушение правил допуска на совещание, несоблюдение требований по использованию ТСОИ и оргтехники, использование неучтенном носителей конфиденциальной информации, ошибочная рассылка адресатам конфиденциальной информации; 4) при ведении конфиденциальных работ, документов, изделий в рабочих помещениях: отсутствие специальных средств ЗИ, ТСОИ, оргтехники, средств жизнеобеспечения, пожарной и охранной сигнализации, систем электрочасофикации, электрооборудования и других дополнительных технических средств защиты, исключающих КУИ; 5) при допуске, доступе и обращении с конфиденциальной информацией образуются за счет расширения круга лиц к документам, изделиям, техническим заданиям (ТЗ); 6) при нарушении пропускного и внутриобъектового режима; 7) при неправильной организации прохождения технологической и преддипломной практики обучаемых; Таким образом, проведенный анализ характеристик информации, правонарушений ИБ, угроз и каналов утечки конфиденциальной информации позволяет уточнить свойства информации, подлежащие правовой защите.
Рис. 7.2 Структура и систематизация нормативных правовых актов ИНФОРМАЦИОННОЕ ПРАВО И ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ИНФОРМАЦИОННОЙ СФЕРЫ
ОГЛАВЛЕНИЕ
|
||||||||||||||||||||||||||||||||
Последнее изменение этой страницы: 2017-01-20; просмотров: 789; Нарушение авторского права страницы; Мы поможем в написании вашей работы! infopedia.su Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Обратная связь - 3.135.200.233 (0.061 с.) |