· несанкционированный доступ к информации, находящейся в банках и базах данных;
· нарушение законных ограничений на распространение информации.
Все известные на настоящий момент меры защиты информации можно разделить на следующие виды:
- правовые;
- организационные;
- технические.
В большинстве работ правовые меры защиты информации принято рассматривать в рамках организационно-правового обеспечения защиты информации. Объединение организационных и правовых мер вызвано отчасти объективно сложившимися обстоятельствами:
· проблемы законодательного регулирования защиты информации регламентировались ограниченным и явно недостаточным количеством нормативно-правовых актов;
· в отсутствии законодательства по вопросам защиты информации разрабатывалось большое количество ведомственных нормативных документов, основное назначение которых заключалось в определении организационных требований по обеспечению защиты информации;
· внедрение автоматизированных информационных систем требует соответствующего правового обеспечения их защиты, однако, на практике в развитии правовой базы не произошло существенных изменений и приоритет остается за организационными мерами.
Организационно-правовое обеспечение защиты информации представляет совокупность законов и других нормативно-правовых актов, а также организационных решений, которые регламентируют как общие вопросы обеспечения защиты информации, так и организацию, и функционирование защиты конкретных объектов и систем. Правовые аспекты организационно-правового обеспечения защиты информации направлены на достижение следующих целей:
1. формирование правосознания граждан по обязательному соблюдению правил защиты конфиденциальной информации;
2. определение мер ответственности за нарушение правил защиты информации;
3. придание юридической силы технико-математическим решениям вопросов организационно-правового обеспечения защиты информации;
4. придание юридической силы процессуальным процедурам разрешения ситуаций, складывающихся в процессе функционирования системы защиты.
В современной юриспруденции организационный и правовой подходы не объединяют. Однако, вопреки сложившимся традициям, не следует ограничиваться рассмотрением вопросов правовой защиты информации в рамках правовых аспектов комплексной защиты информации.
К правовым мерам следует отнести нормы законодательства, касающиеся вопросов обеспечения безопасности информации. Информационные отношения достигли такой ступени развития, на которой оказалось возможным сформировать самостоятельную отрасль законодательства, регулирующую информационные отношения. В эту отрасль, которая целиком посвящена вопросам информационного законодательства, включаются:
· законодательство об интеллектуальной собственности;
· законодательство о средствах массовой информации;
· законодательство о формировании информационных ресурсов и предоставлении информации из них;
· законодательство о реализации права на поиск, получение и использование информации;
· законодательство о создании и применении информационных технологий и средств их обеспечения.
В отрасли права, акты которых включают информационно-правовые нормы, входят конституционное право, административное право, гражданское право, уголовное право, предпринимательское право.
В соответствии с действующим законодательством информационные правоотношения – это отношения, возникающие при:
· формировании и использовании информационных ресурсов на основе создания, сбора, обработки, накопления, хранения, поиска, распространения и предоставления потребителю документированной информации;
· создании и использовании информационных технологий и средств их обеспечения;
· защите информации, прав субъектов, участвующих в информационных процессах и информатизации.
В соответствии с определением, изложенным в Законе Российской Федерации «О государственной тайне», к средствам защиты информации относятся «технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты, информации».
Все средства защиты можно разделить на две группы – формальные и неформальные. К формальным относятся такие средства, которые выполняют свои функции по защите информации формально, то есть преимущественно без участия человека. К неформальным относятся средства, основу которых составляет целенаправленная деятельность людей. Формальные средства делятся на технические (физические, аппаратные) и программные.
Технические средства защиты – это средства, в которых основная защитная функция реализуется некоторым техническим устройством (комплексом, системой).
К несомненным достоинствам технических средств относятся широкий круг задач, достаточно высокая надежность, возможность создания развитых комплексных систем защиты, гибкое реагирование на попытки несанкционированных действий, традиционность используемых методов осуществления защитных функций.
Основными недостатками являются высокая стоимость многих средств, необходимость регулярного проведения регламентированных работ и контроля, возможность подачи ложных тревог.
Системную классификацию технических средств защиты удобно провести по следующей совокупности показателей:
1) функциональное назначение, то есть основные задачи защиты объекта, которые могут быть решены с их применением;
2) сопряженность средств защиты с другими средствами объекта обработки информации (ООИ);
3) сложность средства защиты и практического его использования;
4) тип средства защиты, указывающий на принципы работы их элементов;
5) стоимость приобретения, установки и эксплуатации.
В зависимости от цели и места применения, выполняемых функций и физической реализуемости технические средства можно условно разделить на физические и аппаратные:
Физические средства – механические, электрические, электромеханические, электронные, электронно-механические и тому подобные устройства и системы, которые функционируют автономно, создавая различного рода препятствия на пути дестабилизирующих факторов.
· внешняя защита – защита от воздействия дестабилизирующих факторов, проявляющихся за пределами основных средств объекта (физическая изоляция сооружений, в которых устанавливается аппаратура автоматизированной системы, от других сооружений);
· внутренняя защита – защита от воздействия дестабилизирующих факторов, проявляющихся непосредственно в средствах обработки информации (ограждение территории вычислительных центров заборами на таких расстояниях, которые достаточны для исключения эффективной регистрации электромагнитных излучений, и организации систематического контроля этих территорий);
· опознавание – специфическая группа средств, предназначенная для опознавания людей и идентификации технических средств по различным индивидуальным характеристикам (организация контрольно-пропускных пунктов у входов в помещения вычислительных центров или оборудованных входных дверей специальными замками, позволяющими регулировать доступ в помещения).
Аппаратные средства – различные электронные, электронно-механические и тому подобные устройства, схемно встраиваемые в аппаратуру системы обработки данных или сопрягаемые с ней специально для решения задач по защите информации. Например, для защиты от утечки по техническим каналам используются генераторы шума.
· нейтрализация технических каналов утечки информации (ТКУИ) выполняет функцию защиты информации от ее утечки по техническим каналам;
· поиск закладных устройств – защита от использования злоумышленником закладных устройств съема информации;
· маскировка сигнала, содержащего конфиденциальную информацию, – защита информации от обнаружения ее носителей (стенографические методы) и защита содержания информации от раскрытия (криптографические методы).
Особую и получающую наибольшее распространение группу аппаратных средств защиты составляют устройства для шифрования информации (криптографические методы).
Программные средства – специальные пакеты программ или отдельные программы, включаемые в состав программного обеспечения автоматизированных систем с целью решения задач по защите информации. Это могут быть различные программы по криптографическому преобразованию данных, контролю доступа, защите от вирусов и др. Программная защита является наиболее распространенным видом защиты, чему способствуют такие положительные свойства данного средства, как универсальность, гибкость, простота реализации, практически неограниченные возможности изменения и развития и т.п. По функциональному назначению их можно разделить на следующие группы:
· идентификация технических средств (терминалов, устройств группового управления вводом-выводом, ЭВМ, носителей информации), задач и пользователей,
· определение прав технических средств (дни и время работы, разрешенные к использованию задачи) и пользователей,
· контроль работы технических средств и пользователей,
· регистрация работы технических средств и пользователей при обработке информации ограниченного использования,
· уничтожения информации в ЗУ после использования,
· сигнализации при несанкционированных действиях,
· вспомогательные программы различного назначения: контроля работы механизма защиты, проставления грифа секретности на выдаваемых документах.
Неформальные средства делятся на организационные, законодательные и морально-этические.