Информационная безопасность (ИБ) – это состояние информационной системы, при котором она наименее восприимчива к вмешательству и нанесению ущерба со стороны третьих лиц. Безопасность данных также подразумевает управление рисками, которые связаны с разглашением информации или влиянием на аппаратные и программные модули защиты.
Информационная угроза – потенциальная возможность неправомерного или случайного воздействия на объект защиты, приводящая к потере или разглашению информации.
Таким образом, концепция информационной безопасности, в общем случае, должна отвечать на три вопроса:
- Что защищать?
- От чего (кого) защищать?
- Как защищать?
Неотъемлемой частью любой информационной системы является информация. По характеру ограничений (реализации) конституционных прав и свобод в информационной сфере выделяют четыре основных вида правовой (регламентированной законами) информации:
- информация с ограниченным доступом;
- информация без права ограничения;
- иная общедоступная информация (например, за деньги);
- «вредная» информация (информация, не подлежащая распространению как недостоверная, ложная и т.п.). од персональными данными понимается любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных). Несмотря на то, что это информация ограниченного доступа, она является полностью открытой для субъекта персональных данных. Только сам субъект решает вопрос о передаче, обработке и использовании своих персональных данных, а также определяет круг субъектов, которым эти данные могут быть сообщены. Некоторая часть персональных данных может не иметь режима защиты, являясь общеизвестными (например, фамилия, имя и отчество). В Законе РФ «О персональных данных» [6] выделены следующие права субъектов персональных данных (кроме некоторых категорий граждан: владеющих государственной тайной, осужденных и т.д.):
- информационное самоопределение;
- доступ к своим персональным данным;
- внесение изменений в свои персональные данные;
- блокирование персональных данных;
- обжалование неправомерных действий в отношении персональных данных;
- возмещение ущерба.
Объекты защиты в концепциях ИБ
Различие в субъектах порождает различия в объектах защиты. Основные группы объектов защиты:
информационные ресурсы всех видов (под ресурсом понимается материальный объект: жесткий диск, иной носитель, документ с данными и реквизитами, которые помогают его идентифицировать и отнести к определенной группе субъектов);
права граждан, организаций и государства на доступ к информации, возможность получить ее в рамках закона; доступ может быть ограничен только нормативно-правовыми актами, недопустима организация любых барьеров, нарушающих права человека;
система создания, использования и распространения данных (системы и технологии, архивы, библиотеки, нормативные документы);
система формирования общественного сознания (СМИ, интернет-ресурсы, социальные институты, образовательные учреждения).
Конфиденциальная информация – более многоплановый объект регулирования. Перечень сведений, которые могут составлять конфиденциальную информацию, содержится в указе президента №188 «Об утверждении перечня сведений конфиденциального характера». Это персональные данные; тайна следствия и судопроизводства; служебная тайна; профессиональная тайна (врачебная, нотариальная, адвокатская); коммерческая тайна; сведения об изобретениях и о полезных моделях; сведения, содержащиеся в личных делах осужденных, а также сведения о принудительном исполнении судебных актов.
Персональные данные существует в открытом и в конфиденциальном режиме. Открытая и доступная всем пользователям часть персональных данных включает имя, фамилию, отчество. Согласно ФЗ-152 «О персональных данных», субъекты персональных данных имеют право:
на информационное самоопределение;
на доступ к личным персональным данным и внесение в них изменений;
на блокирование персональных данных и доступа к ним;
на обжалование неправомерных действий третьих лиц, совершенных в отношении персональных данных;
на возмещение причиненного ущерба.
Право на обработку персональных данных закреплено в положениях о государственных органах, федеральными законами, лицензиями на работу с персональными данными, которые выдает Роскомнадзор или ФСТЭК. Компании, которые профессионально работают с персональными данными широкого круга лиц, например, операторы связи, должны войти в реестр, его ведет Роскомнадзор.
Отдельным объектом в теории и практике ИБ выступают носители информации, доступ к которым бывает открытым и закрытым. При разработке концепции ИБ способы защиты выбираются в зависимости от типа носителя. Основные носители информации:
печатные и электронные средства массовой информации, социальные сети, другие ресурсы в интернете;
сотрудники организации, у которых есть доступ к информации на основании своих дружеских, семейных, профессиональных связей;
средства связи, которые передают или сохраняют информацию: телефоны, АТС, другое телекоммуникационное оборудование;
документы всех типов: личные, служебные, государственные;
программное обеспечение как самостоятельный информационный объект, особенно если его версия дорабатывалась специально для конкретной компании;
электронные носители информации, которые обрабатывают данные в автоматическом порядке.
