Классификация защищаемой информации

Термин «информация» широко используется в современной научной литературе и повседневной жизни и деятельности. Как научная категория «информация» составляет предмет изучения для самых различных дисциплин: информатики, кибернетики, философии, физики, биологии, теории связи и т. д.

Несмотря на это, строгого научного определения, что же такое «информация», до настоящего времени не существует. Таким образом, правильнее будет говорить о «понятии об информации».

Понятия отличаются от определений тем, что разные дисциплины в разных областях науки и техники вкладывают в него разный смысл с тем, чтобы оно в наибольшей степени соответствовало предмету и задачам конкретной дисциплины.

В действующем в Российской Федерации законодательстве дано определение термину «информация». С прагматической точки зрения в Федеральном законе [28] от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации» дан ряд определений:

Информация — сведения (сообщения, данные) независимо от формы их представления;

Документированная информация — зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или в установленных законодательством Российской Федерации случаях ее материальный носитель;

Обладатель информации — лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам.

При этом особое внимание уделено свойствам информации с точки зрения безопасности.

Принято выделять такие свойства информации с точки зрения её защищенности или информационной безопасности как конфиденциальность, целостность и доступность.

Конфиденциальность — гарантия того, что конкретная информация доступна только тому кругу лиц, для кого она предназначена; нарушение этой категории называется хищением утечкой или разглашением информации.

Целостность — гарантия того, что информация сейчас существует в ее исходном виде, то есть при ее хранении или передаче не было произведено несанкционированных изменений; нарушение этой категории называется модификацией информации.

Доступность информации — гарантия возможности использования массивов информации по требованию объектов системы, имеющих соответствующие полномочия (мандаты). Т.е. возможность обратиться к определенному информационному массиву (данным) в определенное время из определенного места.

В настоящее время, специалисты в области информационной безопасности отмечают следующую парадоксальную ситуацию: ускоренное развитие информационных технологий и телекоммуникационных систем, ставших неотъемлемым компонентом структуры управления государством, экономикой, финансами и обороной, разнообразных баз данных и электронных библиотек, а также средств массовой информации, не только в значительной мере способствовало повышению эффективности их функционирования, но и открыло дополнительные возможности для преднамеренного деструктивного воздействия на них нарушителей (злоумышленников).

В целом, актуальность проблемы обеспечения безопасности информационных ресурсов может быть определена и обоснована:

  • — обострением противоречий между потребностями общества в расширении свободного обмена информацией и необходимостью сохранения отдельных регламентированных ограничений на ее распространение;
  • — значительным увеличением числа правонарушений, связанных с утечками информации из организаций различных форм собственности;
  • — появлением новых угроз и уязвимостей;
  • — стремлением Государства более целенаправленно регламентировать деятельность по защите информации ограниченного доступа;
  • — увеличением тяжести последствий утечки информации;
  • — появлением технологий, позволяющих правонарушителям воспользоваться полученной информацией;
  • — информация, стала объектом торга.

Таким образом, информационная безопасность становится с каждым днём всё более актуальной и насущной проблемой организаций различных форм собственности.

Все многообразие окружающей нас информации можно сгруппировать по различным признакам, т. е. классифицировать по видам.

Например, можно выделить четыре вида поставляемой на рынок информации:

  • 1. Деловая (коммерческая) информация;
  • 2. Потребительская информация, среди которой потребители получают новости и разнообразные справочники.
  • 3. Информация образовательная.
  • 4. Информация для специалистов в отдельных конкретных областях.

Мы также понимаем, что информация не существует сама по себе, а имеет вполне конкретный материальный носитель, например бумагу. Информация может быть текстовой, графической, в виде фотографий, чертежей, рисунков и т. п.

Информация - наиболее ценный ресурс современного общества. Несмотря на все более широкое использование понятия «информационный ресурс», в настоящее время отсутствует его общепринятое определение.

В различных источниках [1,2,4] упоминается также понятие информационного ресурса. Указывается, что в состав информационных ресурсов включается либо вся (любая) информация, либо ее подмножества, для выделения которых разные авторы используют различные, несовместимые друг с другом критерии, например: классы информации, и/или виды документов, и/или виды носителей (способы фиксации), и/или организационные структуры, и/или возможность обработки на различных технических средствах и др.

Предлагается [1] под информационными ресурсами понимать всю накопленную информацию об окружающей нас действительности, зафиксированную на материальных носителях и в любой другой форме, обеспечивающей ее передачу во времени и пространстве между различными потребителями для решения научных, производственных, управленческих и других задач.

С точки зрения защиты ценной информации в зависимости от носителей информация информационные ресурсы предлагается разделить на 5 основных классов [1]:

  • - документы всех видов, на любых видах носителей (в том числе все виды машиночитаемых носителей, используемых в вычислительной технике и технике средств связи);
  • -персонал (память людей), обладающий знаниями и квалификацией в различных областях науки и техники;
  • -организационные единицы — научные, производственные, управленческие и другие организации, располагающие кадровыми, техническими, производственными, финансовыми и прочими возможностями для решения определенного круга проблем и задач;
  • -промышленные образцы (любые материальные объекты, созданные в процессе производства), рецептуры и технологии, программные продукты, которые являются овеществленным результатом научной и производственной деятельности людей;
  • -научный инструментарий (в том числе автоматизированные системы научных исследований, автоматизированные рабочие места научных работников и проектировщиков, экспертные системы и базы знаний).

Информация в зависимости от порядка ее предоставления или распространения подразделяется на:

  • 1) информацию, свободно распространяемую;
  • 2) информацию, предоставляемую по соглашению лиц, участвующих в соответствующих отношениях;
  • 3) информацию, которая в соответствии с федеральными законами подлежит предоставлению или распространению;
  • 4) информацию, распространение которой в Российской Федерации ограничивается или запрещается.

Исходя из законодательства Российской Федерации (федеральный закон «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 года № 149-ФЗ), можно представить следующее разделение информации в зависимости от категории доступа и порядка её предоставления или распространения (рис. 1.1).

Другой порядок классификации информации показан на рис. 1.2.

Очевидно, что, разделение информации первоначально проводится по уровню её доступности (информация общедоступная или ограниченного доступа), а затем распределение по видам тайны и, если необходимо по степеням конфиденциальности. Такой подход диктуется необходимостью обеспечить безопасность информации, прежде всего с точки зрения её конфиденциальности.

Пример классификации информации в зависимости от категории доступа и порядка её предоставления или распространения

Рис. 1.1. Пример классификации информации в зависимости от категории доступа и порядка её предоставления или распространения

Грифы секретности и метки конфиденциальности, присваиваемые материальным носителям информации и определённые Российским законодательством приведены на рис. 1.3.

В соответствии с законом «О государственной тайне» от 21 июня 1993 года № 5485-1 под грифом секретности (конфиденциальности) понимаются реквизиты, свидетельствующие о степени секретности (конфиденциальности) сведений, содержащихся в их носителе, проставляемый на самом носителе и/или в сопроводительной документации на него.

Исходя из функционального предназначения документов, их можно классифицировать по приведённым ниже категориям. При этом внутри каждой из категорий возможно выделение групп информации как открытой, так и той, доступ к которой ограничен.

Пример классификации информации по принципу доступности

Рис. 1.2. Пример классификации информации по принципу доступности

Возможная классификация документов, содержащих сведения конфиденциального характера

Рис. 1.3. Возможная классификация документов, содержащих сведения конфиденциального характера

В качестве рекомендаций по классификации можно предложить следующее. Уровень конфиденциальности информационного ресурса и связанные с ним защитные меры должны учитывать «производственную необходимость» — выполнение основного предназначения организации — в коллективном использовании информации или ограничении доступа к ней, а также ущерб для организации, связанный с несанкционированным доступом или повреждением информации. В частности следует рассмотреть необходимость обеспечения следующих мер:

  • а) конфиденциальности: производственная необходимость коллективного использования или ограничения доступа к информации по отношению к конфиденциальности и средствам контроля, требуемым для ограничения доступа к информации;
  • б) целостности: производственная необходимость осуществления контроля за внесением изменений в информацию и средства контроля, требуемые для обеспечения точности и полноты информации;
  • в) доступности: производственная необходимость обеспечения доступа к информации, когда это требуется, и необходимые для этого средства контроля.

Ответственность за присвоение степени конфиденциальности конкретному виду информации, например, документу, файлу данных или дискете, а также за периодическую проверку этой категории, следует возложить на лицо, создавшее эти данные, или на обладателя информации.

В качестве примера можно привести существующую систему классификации информации составляющей государственную тайну по уровню её секретности. Нормативно-правовая база достаточно точно определяет порядок отнесения создаваемых в организации различных категорий информационных ресурсов к той или иной степени секретности, а также порядок снятия присвоенного грифа.

К сожалению, в настоящее время не разработано нормативного документа по классификации информационных ресурсов в организациях и учреждениях и, соответственно, их классификатора. Отсутствие единого подхода к классификации затрудняет взаимодействие по вопросам защиты информации между ведомствами и организациями и усложняет процедуры информационного обмена.

 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ   След >