2. Носители информации
Очень часто путают саму информацию и её носитель.
2.1. Виды носителей
Информация – вещь нематериальная. Это сведения, которые зафиксированы (записаны) тем или иным расположением (состоянием) материального носителя, например, порядком расположения букв на странице или величиной намагниченности ленты.
Материя и информация неотделимы друг от друга. Информация не может существовать сама по себе, в отрыве от материального носителя. Материя же не может не нести информации, поскольку всегда находится в том или ином определённом состоянии.
Традиционно используемым носителем информации является бумага с нанесёнными на ней тем или иным способом изображениями.
Поскольку в наше время основным средством обработки информации является компьютер, то и для хранения информации используются в основном машинно-читаемые носители. Ниже приводится полный список известных типов машинных носителей с их качественными характеристиками.
Жёсткий магнитный диск, ЖМД, НЖМД (hard disk, HD). Большая ёмкость, высокая скорость доступа.
Гибкий магнитный диск, ГМД (floppy disk, FD) или дискета (diskette). Небольшая ёмкость, низкая скорость доступа, но и стоимость тоже низкая
Перезаписываемый лазерный компакт-диск (CD-R, CD-RW). В одних случаях возможна только запись (без перезаписи), в других - также ограниченное число циклов перезаписи данных. Те же характеристики, что и для обычного компакт-диска.
DVD-диск. Аналогичен CD-ROM, но имеет более высокую плотность записи (в 5-20 раз). Имеются устройства как только для считывания, так и для записи (перезаписи) DVD.
Магнитные карты (полоски). Маленькая ёмкость, транспортабельность, возможность сочетания машинно-читаемой и обычной текстовой информации. Кредитные карточки, пропуска, удостоверения и т.п.
Существует большое количество специализированных носителей, применяемых в различных малораспространённых приборах. Например, магнитная проволока, голограмма.
2.2. Защита носителей и её отличие от защиты информации
Важно различать два вида ЗИ – защита носителей и защита непосредственно информации, безотносительно к тому, где она находится.
Первый вид включает несколько методов защиты носителей информации (здесь мы будем рассматривать только компьютерные носители), их можно подразделить на программные, аппаратные и комбинированные. Метод же защиты самой информации только один – использование криптографии, то есть, шифровка данных.
Если вы много работали с современными персональными компьютерами, то познакомились с некоторыми наиболее распространёнными методами защиты носителей. Вот их перечень.
Для всех сменных носителей – физическая их защита, например, запереть в сейф.
Для всех встроенных в ПК носителей – воспрепятствование включению питания компьютера. Конечно, этот метод действенен для ограниченного числа случаев.
Программное воспрепятствование доступу к конкретному носителю или к компьютеру целиков. Например, пароль на CMOS.
Программно-аппаратный метод с использованием электронных ключей, которые чаще всего вставляются в COM-порт ПК. Не получая нужный ответ от ключа, программа, для которой он предназначен, не будет работать или давать пользователю доступ к своим данным.
Комплексные меры по защите информации
Абсолютно надёжной защиты не существует. Это следует помнить всем, кто организует защиту информации ЗИ. Любую защиту можно преодолеть. Но лишь «в принципе». Это может потребовать таких затрат сил, средств или времени, что добытая информация их не окупит. Поэтому практически надёжной признаётся такая защита, преодоление которой потребует от противника затрат, значительно превышающих ценность информации.
Категоризация информации
Для исключения лишних расходов по защите вся информация делится на категории в соответствии с требуемой степенью защиты. Эта степень определяется, исходя из:
возможного ущерба для владельца при несанкционированном доступе к защищаемой информации;
экономической целесообразности преодоления защиты для противника.
Естественно, производить такую оценку для каждого документа было бы слишком трудоёмко. Поэтому сложилась практика определения категорий секретности документов, по которым документы распределяются по формальным признакам. Например, в наших государственных органах принято 4 категории секретности:
«для служебного пользования»,
«секретно» (кат.3),
«совершенно секретно», (кат.2)
«совершенно секретно особой важности» (кат.1).
Для упрощения решения вопросов защиты следует применять аналогичную схему. Издаётся инструкция, которая определяет, по каким признакам документ (информация) относится к той или иной категории, и какие сотрудники к какой категории имеют доступ.
Комплекс мер защиты
Постановка задач
Систематический подход к вопросам ЗИ требует прежде всего поставить задачи. Для этого мы должны ответить на следующие вопросы.
1.Что именно мы намереваемся защищать?
Эта группа вопросов относится к информационному процессу, нормальное течение которого мы намерены обеспечить:
кто является участником информационного процесса;
каковы задачи участников информационного процесса;
каким именно образом участники процесса выполняют стоящие перед ними задачи.
2.От чего мы собираемся защищать нашу систему?
Эта группа вопросов охватывает возможные отклонения от нормального течения процесса информационного взаимодействия:
каков критерий «нормального» прохождения процесса информационного взаимодействия;
какие возможны отклонения от "нормы".
3.От кого мы собираемся защищать нашу систему?
Эта группа вопросов относится к тем субъектам, которые предпринимают те или иные действия для того, чтобы отклонить процесс от нормы:
кто может выступать в качестве злоумышленника, то есть предпринимать усилия для отклонения процесса информационного взаимодействия от нормального течения;
каких целей добиваются злоумышленники;
какими ресурсами могут воспользоваться злоумышленники для достижения своих целей;
какие действия могут предпринять злоумышленники для достижения своих целей.
Физическая защита
Физический доступ к носителю информации, как правило, дает возможность получить доступ и к самой информации.
Прежде всего следует позаботиться о физической сохранности вашей компьютерной техники и носителей. Наиболее сложно осуществить физическую защиту линий связи. Если ваши провода проходят вне охраняемого объекта, то все передаваемые по ним данные должны априори считаться известными противнику.
Криптографическая защита
Криптография (иногда употребляют термин криптология) – область знаний, изучающая тайнопись (криптография) и методы ее раскрытия (криптоанализ). Криптография считается разделом математики.
Человеческий фактор
Как правило, человек является наименее надёжным звеном. Из всех известных удачных попыток преступлений в сфере компьютерной информации подавляющее большинство было совершено при помощи сообщников в учреждении, которое подвергалось атаке.
Активная защита
Этот вид защиты - самый эффективный в тех случаях, когда точно известен источник угрозы для вашей информации. Если это так, то предпринимаются активные мероприятия против попыток получить доступ к вашей информации. Например, следующие:
поиск и выведение из строя устройств для скрытого съёма вашей информации;
выявление и задержание лиц, устанавливающих такие устройства или совершающих иные незаконные действия по доступу к вашей информации;
выявление возможных каналов утечки или несанкционированного доступа к вашей информации и направление по таким каналам дезинформации;
создание ложных потоков информации с целью маскировки истинных потоков и отвлечения сил противника на их дешифровку;
демонстрации противнику возможностей вашей защиты (не обязательно истинных) для создания у него впечатления бесперспективности преодолеть вашу защиту;
контрразведывательные мероприятия с целью получить сведения о том, как именно противник получает доступ к вашей информации и соответствующего противодействия.
Прочие меры
Естественно, в комплекс мер защиты информации входит и размещение соответствующего оборудования и оргструктур в специально оборудованных (в идеале - специально построенных) для этого помещениях.
Сегодня же защита информации становится обязанностью каждого пользователя системы, что требует не только навыков обращения с системой безопасности, но и знаний о способах неправомерного доступа для предотвращения такового. Надежный контроль над информацией обеспечивает безопасность бизнеса, а так же позволяет качественно и своевременно устранять ошибки, возникающие в течение производственных процессов, облегчая работу персонала.
Основные уровни защиты информации на предприятии
Можно выделить три основных уровня защиты информации:• защита информации на уровне рабочего места пользователя; • защита информации на уровне подразделения предприятия; • защита информации на уровне предприятия.
Информация первоначально создается на конкретном рабочем месте рядового пользователя системы предприятия. Очень часто именно там информация хранится и первично обрабатывается.
Рабочие места чаще всего объединяются в локальную сеть для совместной работы и обмена информацией. В данном случае мы говорим о локальной сети подразделения, пользователи которой находятся друг от друга на достаточно небольших расстояниях.
Уровни защиты информации локальной сети подразделения отличаются более сложными механизмами, чем на рабочем месте пользователя. Защита данных на различных уровнях имеет как общие, так и специальные способы защиты.
Локальные сети подразделений часто объединены в общую сеть предприятия, которая кроме рабочих мест рядовых пользователей имеет в своем составе также серверное оборудование и специализированные устройства, которые отвечают за функционирование и защиту всей сети предприятия. Кроме того локальные сети предприятия могут быть географически удалены друг от друга.
Организация системы безопасности по уровням
В системе безопасности существуют следующие уровни защиты информации:
физическая защита информации;
контроль доступа и персональная идентификация;
применение ключей для шифрования данных;
защита излучения кабеля;
защита «обратный вызов».
Для правильного построения защитных механизмов системы безопасности следует изучить не только функционирование информационных потоков внутри предприятия, но и возможности неправомерного доступа к информации извне. В зависимости от типа угрозы, применяются определенные меры по защите информации. Поэтому каждому уровню соответствует тот или иной способ защиты информации.
Уровни защиты, в соответствии с механизмами реагирования на угрозы
В соответствии с механизмами реагирования на угрозу, определяют следующие уровни защиты информации:
предотвращение – внедрение служб контроля доступа к информации и технологии;
обнаружение - раннее обнаружение угрозы, даже в случае обхода механизмов защиты;
ограничение – уменьшение размера информационных потерь, в случае уже произошедшего преступления;
восстановление - обеспечение эффективного восстановления информации в случае её утраты или уничтожения.
Таким образом, существует несколько уровней защиты информации, характеризующиеся применение различных методов и механизмов реагирования.
Предметные направления защиты информации
Основные предметные направления ЗИ — охрана государственной, коммерческой, служебной, банковской тайн, персональных данных и интеллектуальной собственности.
Государственная тайна —
защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации.
Сведения могут считаться государственной тайной (могут быть засекречены), если они отвечают следующим требованиям:
соответствуют перечню сведений, составляющих государственную тайну, не входят в перечень сведений, не подлежащих засекречиванию, и отвечают законодательству РФ о государственной тайне (принцип законности);
целесообразность засекречивания конкретных сведений установлена путем экспертной оценки вероятных экономических и иных последствий, возможности нанесения ущерба безопасности РФ, исходя из баланса жизненно важных интересов государства, общества и личности (принцип обоснованности);
ограничения на распространение этих сведений и на доступ к ним установлены с момента их получения (разработки) или заблаговременно (принцип своевременности);
компетентные органы и их должностные лица приняли в отношении конкретных сведений решение об отнесении их к государственной тайне и засекречивании и установили в отношении их соответствующий режим правовой охраны и защиты (принцип обязательной защиты).
Профессиональная тайна —
защищаемая по закону информация, доверенная или ставшая известной лицу (держателю) исключительно в силу исполнения им своих профессиональных обязанностей, не связанных с государственной или муниципальной службой, распространение которой может нанести ущерб правам и законным интересам другого лица (доверителя), доверившего эти сведения, и не являющаяся государственной или коммерческой тайной.
Информация может считаться профессиональной тайной, если она отвечает следующим требованиям (критериям охраноспособности права):
доверена или стала известна лицу лишь в силу исполнения им своих профессиональных обязанностей;
лицо, которому доверена информация, не состоит на государственной или муниципальной службе (в противном случае информация считается служебной тайной);
запрет на распространение доверенной или ставшей известной информации, которое может нанести ущерб правам и законным интересам доверителя, установлен федеральным законом;
информация не относится к сведениям, составляющим государственную и коммерческую тайну.
В соответствии с этими критериями можно выделить следующие объекты профессиональной тайны:
Врачебная тайна — информация, содержащая:
результаты обследования лица, вступающего в брак;
сведения о факте обращения за медицинской помощью, о состоянии здоровья, диагнозе заболевания и иные сведения, полученные при обследовании и лечении гражданина;
сведения о проведенных искусственном оплодотворении и имплантации эмбриона, а также о личности донора;
сведения о доноре и реципиенте при трансплантации органов и (или) тканей человека;
сведения о наличии психического расстройства, фактах обращения за психиатрической помощью и лечении в учреждении, оказывающем такую помощь, а также иные сведения о состоянии психического здоровья гражданина;
иные сведения в медицинских документах гражданина.
Тайна связи —
тайна переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений.
Нотариальная тайна —
сведения, доверенные нотариусу в связи с совершением нотариальных действий.
Адвокатская тайна —
сведения, сообщенные адвокату гражданином в связи с оказанием ему юридической помощи.
Тайна усыновления —
сведения об усыновлении ребенка, доверенные на законном основании иным лицам, кроме судей, вынесших решение об усыновлении, и должностных лиц, осуществляющих государственную регистрацию этого усыновления.
Тайна страхования —
сведения о страхователе, застрахованном лице и выгодоприобретателе , состоянии их здоровья, а также об имущественном положении этих лиц, полученные страховщиком в результате своей профессиональной деятельности.
Тайна исповеди —
сведения, доверенные гражданином священнослужителю на исповеди.
Служебная тайна —
защищаемая по закону конфиденциальная информация, ставшая известной в государственных органах и органах местного самоуправления только на законных основаниях и в силу исполнения их представителями служебных обязанностей, а также служебная информация о деятельности государственных органов, доступ к которой ограничен федеральным законом или в силу служебной необходимости.
Информация может считаться служебной тайной, если она отвечает следующим требованиям (критериям охраноспособности права):
отнесена федеральным законом к служебной информации о деятельности государственных органов, доступ к которой ограничен по закону или в силу служебной необходимости (собственная служебная тайна);
является охраноспособной конфиденциальной информацией («чужой тайной») другого лица (коммерческая тайна, банковская тайна, тайна частной жизни, профессиональная тайна);
не является государственной тайной и не подпадает под перечень сведений, доступ к которым не может быть ограничен;
получена представителем государственного органа и органа местного самоуправления только в силу исполнения обязанностей по службе в случаях и порядке, установленных федеральным законом.
Информация, не отвечающая этим требованиям, не может считаться служебной тайной и не подлежит правовой охране. В действующем законодательстве приводится перечень сведений, которые не могут быть отнесены к служебной информации ограниченного распространения:
акты законодательства, устанавливающие правовой статус государственных органов, организаций, общественных объединений, а также права, свободы и обязанности граждан, порядок их реализации;
сведения о чрезвычайных ситуациях, опасных природных явлениях и процессах, экологическая, гидрометеорологическая, гидрогеологическая, демографическая, санитарно-эпидемиологическая и другая информация, необходимая для обеспечения безопасного существования населенных пунктов, граждан и населения в целом, а также производственных объектов;
описание структуры органа исполнительной власти, его функций, направлений и форм деятельности, а также его адрес;
порядок рассмотрения и разрешения заявлений, в том числе юридических лиц, рассмотренных в установленном порядке;
сведения об исполнении бюджета и использовании других государственных ресурсов, о состоянии экономики и потребностей населения;
документы, накапливаемые в открытых фондах библиотек и архивов, информационных системах организаций, необходимые для реализации прав, свобод и обязанностей граждан.
К основным объектам служебной тайны можно отнести такие виды информации, как:
служебная информация о деятельности федеральных государственных органов, доступ к которой ограничен федеральным законом в целях защиты государственных интересов: военная тайна; тайна следствия (данные предварительного расследования либо следствия); судебная тайна (тайна совещания судей, содержание дискуссий и результатов голосования закрытого совещания Конституционного суда Российской Федерации, материалы закрытого судебного заседания, тайна совещания присяжных заседателей или в силу служебной необходимости, порядок выработки и принятия решения, организация внутренней работы и т. д.);
охраноспособная конфиденциальная информация, ставшая известной в силу исполнения служебных обязанностей должностным лицам государственных органов и органов местного самоуправления: коммерческая тайна, банковская тайна, профессиональная тайна, а также конфиденциальная информация о частной жизни лица.
Особенность правоотношений в этой области состоит в том, что если во втором случае государственные органы и их должностные лица обязаны обеспечить (гарантировать) сохранность «чужой» тайны, ставшей известной им по службе, в объеме сведений, переданных ее владельцем, то в первом случае они самостоятельно в соответствии с законом определяют объем своей служебной тайны и режим ее защиты.
Охрана персональных данных
. В Европе для охраны и защиты права на неприкосновенность частной жизни в условиях автоматизированной обработки личных данных о гражданах более 25 лет назад был введен особый институт правовой охраны личности — институт защиты персональных данных. Более чем в 20 европейских государствах приняты национальные законы о персональных данных, в ряде стран введены независимые уполномоченные по защите персональных данных, во всех странах Европейского Союза с 1993 года создана единая унифицированная система защиты персональных данных, в том числе в секторе телекоммуникаций.
Федеральный закон «Об информации, информатизации и защите информации»вводит понятие «персональные данные» (статья 2); относит персональные данные к конфиденциальной информации и устанавливает, что перечни персональных данных должны быть закреплены федеральным законом (статья 11); требует, чтобы деятельность негосударственных организаций и частных лиц по обработке и предоставлению персональных данных, равно как и по проектированию, производству средств защиты информации и обработки персональных данных, обязательно лицензировалась в порядке, установленном Правительством Российской Федерации (статьи 11, 19); декларирует, что персональные данные должны защищаться, а режим защиты в отношении персональных данных устанавливается федеральным законом (статья 21). Кодекс РФ об административных правонарушениях в статье 13.11 устанавливает ответственность за нарушение порядка сбора, хранения и распространение информации о гражданах.
Объектом правоотношений здесь выступает право на персональные данные — информация (зафиксированная на любом материальном носителе) о конкретном человеке, которая отождествлена или может быть отождествлена с ним.
К персональным данным могут быть отнесены сведения, использование которых без согласия субъекта персональных данных может нанести вред его чести, достоинству, деловой репутации, доброму имени, иным нематериальным благам и имущественным интересам:
биографические и опознавательные данные (в том числе об обстоятельствах рождения, усыновления, развода);
личные характеристики (в том числе о личных привычках и наклонностях);
сведения О семейном положении (в том числе о семейных отношениях);
сведения об имущественном, финансовом положении (кроме случаев, прямо установленных в законе);
о состоянии здоровья. Субъектами права здесь выступают:субъекты персональных данных — лица, к которым относятся соответствующие данные, и их наследники;
держатели персональных данных — органы государственной власти и органы местного самоуправления, юридические и физические лица, осуществляющие на законных основаниях сбор, хранение, передачу, уточнение, блокирование, обезличивание, уничтожение персональных данных (баз персональных данных).
Персональные данные и работа с ними должны соответствовать следующим требованиям:
Персональные данные должны быть получены и обработаны законным образом на основании действующего законодательства.
Персональные данные включаются в базы персональных данных на основании свободного согласия субъекта, выраженного в письменной форме, за исключением случаев, прямо установленных в законе.
Персональные данные должны накапливаться для точно определенных и законных целей, не использоваться в противоречии с этими целями и не быть избыточными по отношению к ним. Не допускается объединение баз персональных данных, собранных держателями в разных целях, для автоматизированной обработки информации.
Персональные данные, предоставляемые держателем, должны быть точными и в случае необходимости обновляться.
Персональные данные должны храниться не дольше, чем этого требует цель, для которой они накапливаются, и подлежать уничтожению по достижении этой цели или по миновании надобности.
Персональные данные охраняются в режиме конфиденциальной информации, исключающем их случайное или несанкционированное разрушение или случайную их утрату, а равно несанкционированный доступ к данным, их изменение, блокирование или передачу.
Для лиц, занимающих высшие государственные должности, и кандидатов на эти должности может быть установлен специальный правовой режим для их персональных данных, обеспечивающий открытость только общественно значимых данных.
Интеллектуальная собственность.
К числу основных объектов интеллектуальной собственности отнесены:
произведения науки, литературы и искусства;
результаты исполнительской деятельности артистов, режиссеров, дирижеров;
сложные результаты творчества;
звукозаписи и записи изображения;
передача радио- и телевизионных сигналов;
изобретения;
полезные модели;
промышленные образцы;
профессиональные секреты (ноу-хау);
селекционные достижения;
фирменные наименования и коммерческие обозначения правообладателя;
товарные знаки и знаки обслуживания;
наименования мест происхождения товаров;
другие результаты интеллектуальной деятельности и средства индивидуализации, на которые в соответствии с законом могут признаваться или закрепляться исключительные права.
Право на доступ к информации:
Статья 29 Конституции РФ закрепляет право каждого на свободное получение информации. Это не просто декларативная норма Конституции, а одно из необходимых условий существования правового, демократического государства.
Право на получение информации занимает особое место среди других прав и свобод человека. И поскольку мы живем в обществе, в социуме, где существуют определенные институты власти, аккумулирующие в своих банках данных большой объем общественно-значимой информации, в том числе и касающейся нас лично, то особо важно для каждого члена общества иметь возможность ознакомиться с этой информацией. Причем в полном объеме и своевременно.
Органы государственной власти и местного самоуправления - это органы публичной власти, призванные упорядочивать общественную жизнь и управлять общественными процессами в интересах граждан. Соответственно их деятельность должна быть открытой и прозрачной для тех, в интересах кого они работают. Парадокс - но именно государственные органы, как правило, стремятся к закрытости. Почему?
Информация действительно может как навредить, так и спасти и защитить. Поистине силу слова (устного и письменного) переоценить трудно. В соответствии с Конституцией Российской Федерации каждому гарантируется право на информацию, то есть право свободно искать, получать и передавать информацию. Право на информацию является неотчуждаемым правом человека и гражданина.
Важность права на доступ к информации состоит и в том, что оно одновременно является механизмом защиты других прав, так как прозрачность и открытость деятельности органов власти снижает уровень нарушений прав и свобод человека. Кроме того, без реализации этого права гражданам невозможно активно участвовать в управлении делами государства, общественными делами, содействовать развитию местного самоуправления. Поэтому так важно, чтобы граждане имели реальную возможность получать информацию о деятельности государственных органов и по другим общественно важным вопросам.
В проекте Закона о праве на информацию, который все еще находится на доработке и неизвестно когда и в каком виде будет принят, в ст. 4 были отражены следующие основные принципы реализации права на информацию:
общедоступность и открытость информации;
обеспечение безопасности личности, общества и государства;
информированность граждан о деятельности органов и организаций;
законность поиска, получения и передачи информации;
предоставление достоверной информации;
защита права на информацию".
Они неплохо поясняют важные аспекты реализации данного права.
Еще в 1995 году был издан Указ Президента РФ “О дополнительных гарантиях прав граждан на информацию”, который установил принцип информационной открытости деятельности органов государства, их должностных лиц, что должно выражаться:
в доступности информации для граждан, представляющей общественный интерес или затрагивающей личные интересы граждан;
в систематическом информировании граждан о предполагаемым или принятых решениях;
в осуществлении гражданами контроля за деятельностью государственных органов, организаций и предприятий, должностных лиц и принимаемыми ими решениями, связанными с соблюдением, охраной и защитой прав и законных интересов граждан.
Для осуществления этого права недостаточно его декларативного провозглашения и закрепления принципов открытости в деятельности государственных органов в нормативно-правовых актах. Необходимо также возложение на соответствующих должностных лиц обязанности предоставить информацию, наличие санкции за незаконный отказ в предоставлении информации.
Вопрос о доступе к информации регулируется различными нормативно-правовыми актами: федеральными, региональными, местными. Общим правилом является то, что государственные информационные ресурсы РФ являются открытыми и общедоступными. И только в исключительных случаях возможно засекречивание информации. В соответствии с законодательством (ст. 10 Закона РФ “Об информатизации, информации и защите информации”) по категориям доступа информация подразделяется на:
открытую и
с ограниченным доступом:
государственная тайна и
конфиденциальная информация.
Ограничение права на получение информации возможно на общих основаниях, установленных ст. 55 Конституции РФ. Конституция требует, чтобы ограничение было установлено федеральным законом ради защиты ряда ценностей и было необходимым. Следовательно, если оно не соответствует этим требованиям, то является незаконным.
Неправомерное ограничение права на доступ к информации возможно на двух стадиях:
на стадии принятия закона,
и на этапе правоприменения.