Информация
Открытая
С ограниченным
доступом
Конфиденциальная
Государственная
тайна
Защищаемые
государством
сведения
в области его
военной, внешнеполитической, экономической,
разведывательной, контрразведывательной
и оперативно-розыскной деятельности,
распространение которых может нанести
ущерб
безопасности
Российской
Федерации
Рис.36.Классификация информации по типу регламентации распространения и использования
Под открытой информацией понимается информация, собираемая, создаваемая и/или сохраняемая вузом и которая не составляет государственную или иного вида тайну, определенную законодательством, либо уставом вуза. К ней можно отнести учебные расписания, методическую литературу и др.
К информации ограниченного доступа относится информация, определенная законодательством и уставом вуза, как информация ограниченного доступа. К данному типу можно отнести:
Государственная тайна. Вузы, владеют значительным объемом информации, относящейся к передовым направлениям науки и техники, используемой как при подготовке специалистов, так и при выполнении научно-исследовательских работ, значительная часть которых финансировалась и финансируется по настоящее время государством. Среди этого потока информации существует значительное количество сведений, составляющих государственную тайну, разглашение которых может нанести ущерб государственным интересам. Обращение с этими сведениями требует особого режима, исключающего допуск сторонних лиц. Права и обязанности участников информационных процессов при работе со сведениями, составляющими государственную тайну, регламентируются законом «О государственной тайне» [6];
Служебная тайна - существует целый ряд сведений, не являющихся государственными секретами, связанных с производством, технологией, управлением, финансами, другой деятельностью хозяйствующего субъекта, разглашение которых (передача, утечка) может нанести ущерб его интересам. Такие сведения принято называть служебной и/или коммерческой тайной;
Профессиональная тайна – секреты, связанные с организацией учебных процессов и др.[6];
Персональные данные – под персональными данными понимается любая документированная и/или занесенная на машинные носители информация, которая относится к конкретному человеку и/или которая может быть отождествлена с конкретным человеком. Это информация о студентах, преподавателях, партнерах и др.[7].
К информации ограниченного доступа также относятся сведения о содержании проектов постановлений, распоряжений и других внутренних документов [2].
Доступ к общедоступной информации является открытым, и ее использование не может нанести вреда ИС. Что касается информации ограниченного доступа, то доступ к ней должен быть строго регламентирован, т.е. должно быть четко установлено, где, кем, в каком объеме и на каких условиях может быть использована данной информация. Такое разграничение должно обусловливаться тем, что пользователи ИС ВУЗА имеют различные профессиональные интересы и уровень подготовки при работе с информацией различного рода. Это преподаватели, занятые постановкой новых лекционных курсов, лабораторных и исследовательских практикумов; научные сотрудники, ведущие исследовательские и проектные разработки; сотрудники офисных служб вуза, учебного и научно-исследовательского отделов, деканатов, библиотеки и т.п., а также студенты.
Из этого следует, что информация ограниченного доступа должна подвергаться защите от воздействия различных событий, явлений как внутренних, так и внешних, способных в тои или иной мере нанести ущерб данной информации.
Таким образом, организация обеспечения информационной безопасности вуза должна носить комплексный характер и основываться на глубоком анализе негативных всевозможных последствий, который предполагает обязательную идентификацию возможных источников угроз, факторов, способствующих их проявлению (уязвимостей) и как следствие определение актуальных угроз информационной безопасности вуза. Территориально распределенная структура ИС ВУЗА, создает ряд предпосылок для реализации разнообразия потенциальных угроз ИБ, которые могут нанести ущерб ИС. Как и для любой другой ИС, для ИС ВУЗА характерны антропогенные, техногенные и стихийные источники угроз, которые воздействуют на систему через ее уязвимости, характерные для любой ИС (как бы она идеально ни была построена), реализуя тем самым угрозы ИБ.
Процесс построения комплексной системы защиты информации вуза представляет собой весьма затратное мероприятие с точки зрения трудоемкости и материальных затрат, требующее наличия квалифицированных специалистов. Для сокращения затрат на проектирование комплексной системы защиты информации вуза в условиях ограниченного финансирования, отсутствия, как правило, квалифицированных специалистов и значительного снижения трудоемкости целесообразно использовать специализированные объектно-ориентированные САПР. Рассмотрим возможность применения разработанной коллективом ученых Брянского государственного технического университета САПР КСЗИ для проектирования системы комплексной защиты информации объекта. Объектом защиты, для которого с целью исследования возможностей разработанной САПР КСЗИ проектируется комплексная система защиты информации, является технический университет, расположенный в областном центре (далее - Университет). Истинное наименование вуза не указывается, так как при создании комплексной системы защиты информации возможна утечка конфиденциальной информации, присущей конкретному вузу.
При анализе защищенности информационных ресурсов в ФГБОУ ВПО «Университет» были выявлены следующие виды информации: открытая информация, информация о ноу-хау и научно-исследовательских работах, а также информация о персональных данных сотрудников, преподавателей, студентов и аспирантов университета. Открытая информация, информация о ноу-хау и научно-исследовательских разработках защищена на достаточно высоком уровне, способном противостоять проявлению множества возможных угроз. Локально-вычислительная сеть ФГБОУ ВПО «Университет» также защищена наиболее передовыми технологиями и средствами в области защиты информации.
В ходе проведения аудита было выявлено, что информационные системы персональных данных являются незащищенными информационными ресурсами с точки зрения программных и технических средств, а также организационных мер по защите ИСПДн в соответствия с требованиями законодательства.
Ввиду этого было решено спроектировать систему защиты информационных систем персональных данных – комплексную систему защиты конфиденциальной информации, применив САПР КСЗИ, позволяющую в автоматизированном режиме провести аудит, оценку состояния защищенности и формирование рекомендаций по защите информационных систем персональных данных в ФГБОУ ВПО «Университет».