Анализ принципов защиты информации

Размещено на http://www.allbest.ru/

Башкирский государственный университет Уфа, Россия

Анализ принципов защиты информации

Савельева Т.С.

Успешная организация обеспечения на предприятии секретности и конфиденциальности определённого объема данных невозможна без тщательного изучения теоретических основ информационной безопасности и защиты этой информации от несанкционированного доступа и использования. конфиденциальность данные информация защита

.Одной из таких основ являются принципы, в которых выражаются ключевые идеи и основные советы по построению и применению системы защиты информации. Данные принципы так же являются одним из важнейших источников создания нормативно-правовой базы по данному вопросу, как в самой организации, так и на государственном уровне.

Основанием выработки и определения данных принципов послужила многолетняя практика осуществления мероприятий по защите информации как в нашей стране, так и на международной арене.

Нормативно-правовая база, в которой заложены рассматриваемые принципы, в основном касается защиты государственной тайны, но все же, использование данных принципов общеприменимо. Знание и умение применить данные принципы обуславливает построение квалифицированной системы защиты информации в любой организации, и отказ от них приведет к отрицательным последствиям для информационной безопасности на предприятии.

Принципы защиты информации подразделяются на:

- правовые;

- организационные;

- принципы, применяемые при защите от технических средств разведки.

Правовые принципы можно назвать базисом системы информационной безопасности, потому что использование остальных принципов необходимо непременно согласовывать с нормативно-правовыми нормами.

Ниже перечислим основные правовые принципы защиты информации.

Во-первых, это принцип законности. Он заключается в том, что деятельность всех государственных и частных организаций, должностных и частных лиц должна совершаться в рамках и в соответствии с действующим законодательством. Принцип законности следует из Конституции РФ.

Данный принцип для сферы защиты информации заключается в разработке и применении нормативно-правового регулирования. Необходимо законодательное определение и закрепление прав и обязанностей субъектов отношений в сфере защиты информации, в том числе на засекречивание и защиту конфиденциальной информации. Даны понятия государственной, коммерческой и другим видам тайн, установлены виды ответственности за нарушение режима их секретности.

Принцип законности предполагает необходимость наделить правами по защите и обязанностями по соблюдению установленного режима доверенной им секретной информации должностных лиц, которым в силу их профессиональной деятельности она становится доступна.

Во-вторых - принцип приоритета международного права над действующим в самом государстве. Начнем с того, что Российская Федерация на Венской встрече взяла на себя обязательство согласовать законодательство внутри страны с положениями международных соглашений, конвенций и т.д., участником которых она является. Так же наша страна является членом мирового экономического сообщества, членом МВФ и ряда других международных экономических организаций. В дальнейшем эта норма конкретизировалась, и были введены отдельные ограничения. Тем не менее, принцип приоритета международного права над действующим в государстве и сегодня означает, что засекречиванию не подлежит информация, которую Россия обнародует или передает в соответствии с действующими соглашениями и конвенциями, например, о состоянии национальной экономики. Тем не менее, наше государство, в силу своего суверенитета, может засекречивать сведения, защита которых обеспечивает национальную безопасность.

Третий правовой принцип защиты информации - это принцип собственности. В законодательной области, регулирующей отношения собственности и имущественную сферу, можно выделить группу законодательных актов, регламентирующих защиту интеллектуальной собственности с помощью авторского и патентных прав, коммерческой тайны и ряда других правовых механизмов. Согласно нормам данного законодательства, только у владельца информации есть право засекречивать информацию, определять степень этой секретности и состав самих засекречиваемых сведений, или же он может воспользоваться защитой, получив патент.

Так же правовым принципом является принцип экономической целесообразности. Определение степени секретности сведений, закрепленное в нормативно-правовых актах, должно сопоставляться с величиной ущерба, который может составить разглашение этих сведений. Так же, при определении мер защиты, нужно оценивать целесообразность этих мер. Стоимость обеспечения секретности информации не должна превышать величины ущерба от ее потери [1].

Далее перейдем к рассмотрению организационных принципов. Они отражают основные правила и подходы к защите информации. Организационная защита информации состоит из:

- организации работы с персоналом;

- организации внутриобъектового, пропускного режимов и охраны;

- разграничения доступа, как физического, так и программного;

- организации работ непосредственно с носителями засекреченных сведений; - комплексного планирования мероприятий по защите информации; - организации аналитической работы и контроля [3].

Для эффективного осуществления организационной защиты информации необходимо соблюдать следующие принципы.

1. Принцип комплексного подхода. Он состоит в том, чтобы рационально использовать средства, методы и способы защиты для решения поставленных задач по предупреждению и предотвращению утечки, учитывая сложившуюся ситуацию при присутствии тех или иных факторов. Комплексный принцип защиты информации предусматривает как поиск и анализ возможных каналов утечки информации, принимая во внимание количество и значимость этой информации и содержащие ее носители, так и изучение и анализ возможностей злоумышленников в целом или относительно конкретного случая.

2. Принцип оперативности принятия управленческих решений. Данный принцип оказывает значительное влияние на продуктивность функционирования и гибкость системы защиты информации. Так же в нем находит отражение устремленность руководства и сотрудников организации на решение задач обеспечения защиты информации [3].

3. Принцип персональной ответственности состоит в наиболее эффективном распределении задач по защите информации между работниками и назначении персональной ответственности за качество их выполнения. Каждый сотрудник должен осознавать, что обеспечение секретности доверенных ему конфиденциальных сведений входит в перечень, прежде всего, его интересов. Если сотрудник не будет этого ощущать, то у него сложится формальное отношение к данному вопросу, обеспеченное лишь страхом наказания. Так же важную роль в успешном применении этого принципа играет обучение персонала правилам обращения с конфиденциальной информацией и ее защиты.

4. Принцип единства в решении производственных, коммерческих, финансовых, режимных и д.р. вопросов. Данный принцип является одним из аспектов комплексного подхода, и заключается в том, что при принятии управленческих решений по обеспечению секретности информации, следует учитывать все сферы деятельности организации.

Определим наиболее важные условия, которые необходимо соблюдать при построении системы защиты информации:

- непрерывность всестороннего анализа функционирования системы защиты информации, что способствует принятию актуальных мер и повышению эффективности защиты. Защита конфиденциальной информации должна осуществляться с момента ее создания (получения) на всех этапах ее существования, вплоть до уничтожения или рассекречивания;

- безусловное соблюдение руководством и сотрудниками организации установленных норм и правил защиты информации.

Соблюдение вышеперечисленных условий определяет наиболее рациональное и эффективное решение задач по защите секретной информации.

Третьей группой принципов защиты секретной информации являются принципы, применяемые при защите от технических средств разведки (ТСР). Кроме вышеуказанных правовых и организационных принципов, которые также применяются при построении защиты от ТСР, существует ряд специфических принципов, вызванных особенностями предмета защиты. А именно, носителей, на которых содержится информация, защита которой осуществляется, применяемых при этом средствах и методах. Предусматривается так же совершение попыток добычи злоумышленником секретных сведений с использованием ТСР.

Перечислим основные принципы обеспечения защиты информации, при организации противодействия техническим средствам разведки:

- активность защиты информации - предусматривает в соответствии с планом защиты целенаправленное навязывание технической разведке злоумышленника ложных данных и сведений об объекте, на который направлена разведка;

- убедительность защиты информации - представляет собой оправданность замысла защиты условиям сложившейся обстановки, характеру и особенностям объекта, на который направлена защита, свойствам окружающей среды в применении технических средств защиты, которые соответствуют сложившимся условиям;

- непрерывность защиты информации - означает функционирование системы защиты на всех стадиях жизненного цикла существования объекта: предпроектной, проектной, в стадии разработки, изготовления, испытания, эксплуатации и уничтожения;

- разнообразие защиты информации -- предусматривает исключение шаблона, повторяемости в выборе объекта прикрытия и путей реализации смысла защиты, в том числе с применением типовых решений [1].

Так же актуальным принципом, по нашему мнению является принцип избыточности элементов системы. Под этим понимается введение дополнительных компонентов поверх того минимума, который необходим для выполнения заданных функций. Это позволяет системе устойчиво функционировать при дестабилизирующем воздействии внешних и внутренних факторов.

Довольно широко применяемым на практике является принцип резервирования элементов системы. Резервируются обычно не все элементы системы защиты информации, а особо важных компьютерных подсистем, чтобы в случае возникновения каких-то чрезвычайных обстоятельств, их можно было использовать для решения стоящих перед системой задач.

Не менее важно проводить защитные преобразования данных. Они заключаются в приведении к неявному виду составных частей информации с применением специальных алгоритмов и/или аппаратных средств.

И наконец, при функционировании системы защиты конфиденциальной информации, построенной с учетом всех приведенных принципов, следует на постоянной основе производить контроль над состоянием элементов системы, их работоспособности и правильности функционирования.

Соблюдая положения выработанных принципов защиты информации, на всех уровнях системы, можно построить наиболее эффективную и устойчивую систему защиты секретной и конфиденциальной информации в любой организации.

Список использованной литературы

1. AB-Solut [Электронный ресурс] : Режим доступа - http://absolut.net/ru/articles/principle/.

2. E-nigma [Электронный ресурс] : Режим доступа - http://www.e-nigma.ru/stat/dip_5/.

3. Безопасник [Электронный ресурс] : Режим доступа - http://bezopasnik.org/article/19.htm.

Размещено на Allbest.ru