3.1. Методика определения состава защищаемой информации
Определение состава защищаемой информации — это первый шаг на пути построения системы защиты. От Того, насколько он будет точно выполнен, зависит результат функционирования разрабатываемой системы. Общий подход состоит в том5, что защите подлежит вся конфиденциальная информация, т. е. информация, составляющая государственную тайну (секретная информация), информация, составляющая коммерческую тайну и определяемая собственником (владельцем) часть открытой информации. При этом конфиденциальная информация должна защищаться от утечки и утраты, а открытая только от утраты.
Часто высказывается мнение, что любая открытая информация не может быть предметом защиты. Не все согласны с включением информации, отнесенной к государственной тайне, в состав конфиденциальной.
Поэтому рассмотрим эти вопросы подробнее.
Защита открытой информации существовала всегда и производилась путем регистрации ее носителей, учета их движения и местонахождения, т. е. создавались безопасные условия хранения. Открытость информации не умаляет ее ценности, а ценная информация нуждается в защите от утраты. Эта защита не должна быть направлена на ограничение общедоступности информации, т. е. не может быть отказа в доступе к информации, но доступ должен осуществляться с соблюдением требований по ее сохранности в соответствии с требованиями обработки и использования (например, библиотека).
Теперь что касается разделения информации с ограниченным доступом на конфиденциальную и составляющую государственную тайну. Термин «конфиденциальный» переводится с латинского как «секретный», «доверительный». Но информацию, отнесенную к государственной тайне, принято называть секретной. Возможно, что разделение информации на секретную и конфиденциальную было вызвано стремлением вписаться в ранее принятые нормативные акты.
В «Конвенции о запрещении разработки, производства, накопления и применения химического оружия и его уничтожении», к которой присоединилась и Россия, речь идет об информации, составляющей государственную тайну, но она называется конфиденциальной.
В Законе «О международном информационном обмене» информация, отнесенная к государственной тайне, поставлена в один ряд с «иной конфиденциальной информацией» (ст. 8).
Таким образом, к конфиденциальной информации должна быть отнесена вся информация с ограниченным доступом, составляющая любой вид тайны.
Но изложенный общий подход устанавливает лишь границы защищаемой информации, в пределах которых Должен определяться ее состав. При решении вопроса об отнесении конкретной информации к защищаемой нужно Руководствоваться определенными критериями, т. е. признаками, при наличии которых информация может быть отнесена к защищаемой.
Очевидно, что общей основой для отнесения информации к защищаемой является ценность информации, поскольку именно ценность информации диктует необходимость ее защиты. Поэтому критерии отнесения информации к защищаемой являются по существу критериями определения ее ценности.
Применительно к открытой информации такими критериями могут быть:
— необходимость информации для правового обеспечения деятельности предприятия. Это относится к документированной информации, регламентирующей статус предприятия, права, обязанности и ответственность его работников;
— необходимость информации для производственной деятельности (это касается информации, относящейся к научно-исследовательской, проектной, конструкторской, технологической, торговой и другим сферам производственной деятельности);
— необходимость информации для управленческой деятельности, сюда относится информация, требующаяся для принятия управленческих решений, а также для организации производственной деятельности и обеспечения ей функционирования;
— необходимость информации для финансовой деятельности;
— необходимость информации для обеспечения функционирования социальной сферы;
— необходимость информации как доказательного источника на случай возникновения конфликтных ситуаций;
— важность информации как исторического источника, раскрывающего направления и особенности деятельности предприятия.
Эти критерии обусловливают необходимость защиты открытой информации от утраты. Они же вызывают потребность в защите от утраты и конфиденциальной информации. Однако основным, определяющим критерием отнесения информации к конфиденциальной и защиты ее от утечки является возможность получения преимуществ от использования информации за счет неизвестности ее третьим лицам. Этот критерий имеет как бы две составляющие: неизвестность информации третьим лицам и получение преимуществ в силу этой неизвестности. Данные составляющие взаимосвязаны и взаимообусловлены, поскольку, с одной стороны, неизвестность информации третьим лицам сама по себе ничего не значит, если не обеспечивает получение преимуществ, с другой — преимущества можно получить только за счет такой неизвестности. Конфиденциальность является правовой формой и одновременно инструментом обеспечения неизвестности информации.
Преимущества от использования информации, не известной третьим лицам, могут состоять в получении выгоды или предотвращении ущерба, иметь, в зависимости от областей и видов деятельности, политические, военные, экономические, моральные и другие характеристики, выражаться количественными и качественными показателями.
- Н. В. Гришина организация комплексной системы защиты информации введение
- 1. Сущность и задачи комплексной системы защиты информации
- 1.1. Подходы к проектированию систем защиты информации
- 1.2. Понятие комплексной системы защиты информации
- 1.3. Назначение комплексной системы защиты информации
- 1.4. Принципы построения комплексной системы защиты информации
- 1.5. Стратегии защиты информации
- 1.6. Выработка политики безопасности
- 1.7. Основные требования, предъявляемые к комплексной системе защиты информации
- 2. Методологические основы комплексной системы защиты информации
- 2.1. Методология защиты информации как теоретический базис комплексной системы защиты информации
- 2.2. Основные положения теории систем
- 2.3. Общие законы кибернетики
- 2.4. Основы методологии принятия управленческого решения
- 3. Определение состава защищаемой информации
- 3.1. Методика определения состава защищаемой информации
- 3.2. Классификация информации по видам тайны и степеням конфиденциальности
- 3.3. Определение объектов защиты
- 4. Источники, способы и результаты дестабилизирующего воздействия на информацию
- 4.1. Определение источников дестабилизирующего воздействия на информацию
- 4.2. Методика выявления способов воздействия на информацию
- 4.3. Определение причин и условий дестабилизирующего воздействия на информацию
- 5. Каналы и методы несанкционированного доступа к информации
- 5.1. Выявление каналов доступа к информации
- 5.2. Соотношение между каналами и источниками воздействия на информацию
- 5.3. Деловая разведка как канал получения информации
- 5.4. Модель потенциального нарушителя
- 6. Моделирование процессов комплексной системы защиты информации
- 6.1. Понятие модели объекта
- 6.2. Значение моделирования процессов ксзи
- 6.3. Архитектурное построение комплексной системы защиты информации
- 7. Технологическое построение комплексной системы защиты информации
- 7.1. Общее содержание работ
- 7.2. Этапы разработки
- 7.3. Факторы, влияющие на выбор состава ксзи
- 7.4. Модель системы автоматизированного проектирования защиты информации
- 8. Кадровое обеспечение комплексной системы защиты информации
- 8.1. Подбор персонала
- 8.2. Подготовка персонала для работы в новых условиях
- 8.3. Мотивация
- 8.4. Разработка кодекса корпоративного поведения
- 9. Нормативно-методическое обеспечение ксзи
- 9.1. Значение нормативно-методического обеспечения
- 9.2. Состав нормативно-методического обеспечения
- 9.3. Порядок разработки и внедрения документов
- 10. Управление комплексной системой защиты информации
- 10.1. Понятие и цели управления
- 10.2. Планирование деятельности
- 10.3. Контроль деятельности
- 11. Управление комплексной системой защиты информации в условиях чрезвычайных ситуаций
- 11.1. Понятие и виды чрезвычайных ситуаций
- 11.2. Технология принятия решения в условиях чрезвычайной ситуации
- 11.3. Факторы, влияющие на принятие решения
- 11.4. Подготовка мероприятий на случай возникновения чрезвычайной ситуации
- Заключение
- Библиография