Информационная безопасность РФ – одна из основных задач государства. Несмотря на специфику объектов, пользующихся информационными ресурсами или имеющих прочие правовые отношения, связанные с информационными сведениями, в большинстве организаций применяются общие методы обеспечения информационной безопасности. Поговорим об основных способах информационной защиты.

Что входит в понятие информационной безопасности 

Работа в информационной сфере РФ регламентирована несколькими правовыми актами. Вне зависимости от того, содержатся данные в электронной форме или это бумажный вариант секретных документов, целью информационной безопасности является защита конфиденциальности, целостности и доступности данных.

Выявляя основные источники угроз, уязвимости, потенциальную степень воздействия на информационные сведения и возможности управления рисками, разрабатывают базовую методику индустриальных стандартов обеспечения защиты, принимая технические меры, на правовом уровне закрепив юридическую ответственность за допущенные нарушения.

Комплекс принимаемых мер, призванных не допустить посторонних к носителям конфиденциальных сведений, позволяет гарантировать обеспечение безопасности утечки секретных данных.

Основой обеспечения информационной безопасности является деятельность по защите информации в критических ситуациях, независимо от того носят они природный, техногенный характер или происходят в результате компьютерных сбоев, физического похищения сведений.

Методы, применяемые в России для обеспечения информационной безопасности

Защитить базы данных на всех стадиях – от создания до использования по назначению, в процессе хранения или передачи, – позволяет совокупность правовых, экономических, организационных методов обеспечения информационной безопасности.

Установленный порядок предоставления информации предполагает: 

• общедоступность сведений, которые можно свободно распространять;
• возможность их передачи лишь по соглашению заинтересованных лиц;
• ограниченный доступ или запрет для распространения в РФ определенной информации сведений (например, призывающей к насилию).

Выделяют несколько видов данных:

• сведения для информирования населения через массовые информационные ресурсы – средства печати, теле- и радиовещание, интернет-каналы;
• используемые в рамках узкого круга специалистов профессиональные специфические данные;
• предоставляемые определенному числу должностных лиц или служащих, подписавших договор о нераспространении секретной информации;
• данные, касающиеся конкретных физических лиц, определяющие человека как личность, его социальное положение.

Говоря об обеспечении информационной безопасности, следует понимать, что средства защиты предназначены для сведений, доступ к которым ограничен, секретным и конфиденциальным данным.

Применяемые в РФ методы и политика информационной безопасности для соответствующих субъектов информационных отношений направлены на обеспечение защищенности сведений от:

• нежелательного разглашения;
• искажения;
• снижения рисков несанкционированного доступа к секретным сведениям, их незаконного тиражирования.

Обеспечение законности защиты данных

Для достижения поставленных целей необходима правовая база, регламентирующая нормы отношений в информационной сфере. Для практической реализации обеспечения защищенности данных разрабатывается методическая документация.

Основные направления:

• внесение изменений в уже действующие законы и принятие новых, регулирующих вопросы правовых отношений в области обеспечения информационной безопасности для устранения противоречий;
• конкретизация оснований привлечения к ответственности, мер наказания за правонарушения в области сохранения секретности или ограниченного доступа к данным;
• разграничение полномочий федеральных и действующих в субъектах страны органов исполнительной власти относительно обеспечения информационной безопасности, вовлечение в эту деятельность общественности;
• уточнение статуса зарубежных журналистов и информационных агентств, законности привлечения иностранных инвесторов в развитие информационной инфраструктуры страны;
• закрепление приоритета отечественных производителей информационных ресурсов и сетей связи;
• создание правовой базы, позволяющей на региональном уровне формировать структуры, отвечающие за информационную безопасность.

Так, например, нормами принятого ФЗ № 149 «Об информации, информационных технологиях и о защите информации» установлены права на производство, распространение, получение данных; регулируются вопросы применения технологий и обеспечения защиты конфиденциальных, секретных сведений; дано определение информации – как любых сведений, независимо от формы их предоставления.

На основании требований, установленных федеральным законодательством, информацию относят к сведениям, имеющим конфиденциальный характер или содержащих секретные данные, распространение которых может навредить государственной политике или конкретной сфере деятельности.

В рамках уголовного, административного законодательства с учетом тяжести содеянного, последствий определены меры наказания виновных – от штрафных санкций до запрета заниматься определенными видами деятельности, лишения свободы. Также предусмотрена ответственность за преднамеренное или допущенное по халатности несоблюдение мер обеспечения безопасности. 

Особенность экономических методов обеспечения информационной безопасности

Уже на стадии создания конфиденциальных иди секретных данных, не предназначенных для массового распространения, должны применяться меры обеспечения их защиты.

Приобретение специальных средств и оборудования для информационной безопасности требует определенных материальных вложений.

Эффективного обеспечения защиты информации можно добиться, если:

• позаботиться об ограничении доступа к носителям информации, разместив соответствующие приборы и оборудование в охраняемых помещениях, используя запирающие механизмы, функционирующие независимо от формы и вида секретных данных; 
• контролировать действия сотрудников с помощью устройств, встроенных в информационные и телекоммуникационные системы; 
• установить специальные программы, позволяющие предотвратить внесение изменений в документы, а также их несанкционированное копирование и передачу;
• использовать передовые математические (криптографические) средства, которые обеспечивают информационную безопасность данных за счет создания программно-аппаратного комплекса, позволяющего охранять саму информацию, а не доступ к ней.

Экономическую часть в решении задач обеспечения информационной безопасности составляют:

• установление порядка финансирования мероприятий, предназначенных для защиты данных;
• создание страховой системы физических и юридических лиц, позволяющей покрыть расходы от нанесенного материального вреда из-за утраты или порчи сведений, например, в результате чрезвычайных ситуаций природного иди техногенного характера, сбоя компьютерных сетей.

В совокупности с установленными законом нормами эти методы направлены на совершенствование системы безопасности РФ.

Для достижения поставленных целей:

• анализируют источники возможных угроз и рисков, способствующих нанести вред конфиденциальности данных;
• проводят сертификацию программного обеспечения;
• уделяют максимальное внимание степени защищенности систем связи и их развитию.

Организация информационной защиты

Принятие правил обмена данными, установление режима охраны секретных сведений на бумажных и электронных носителях относят к организационным методам защиты.

Основой организации обеспечения информационной безопасности при работе с документацией и другими ресурсами служат:

• утверждение правил разграничения доступа в положениях внутреннего пользования, не противоречащих требованиям федеральных законов;
• анализ потенциальных информационных угроз, регулярный мониторинг показателей защищенности конфиденциальных сведений;
• подбор кадров для работы с документацией и носителями данных, ознакомление их с обязанностями и мерами ответственности за разглашение сведений, ставших известными в процессе выполнения профессиональных (должностных) функций;
• контроль и обучение персонала, имеющего доступ к защищенным информационным системам.

Информационную безопасность на практике обеспечивают государственные структуры или ответственные должностные лица, специально созданные на предприятиях службы.

Эффективность мер, принимаемых для защиты данных, зависит от комплексного подхода к решению поставленных задач.

Правильное определение потенциальных угроз и верный выбор технических средств обеспечит конфиденциальность секретных сведений на стадии создания информации и в процессе ее использования.

Основой политики государства в обеспечении информационной безопасности служит:

• защита конституционных прав и свобод граждан;
• соблюдение законодательных норм и общепризнанных принципов международного права, подписанных Россией соглашений.

Система безопасности любого уровня должна предусматривать потенциальные риски:

• естественные угрозы информационным носителям – например, повреждение в результате стихийных бедствий или выход из строя техники, отсутствие электроснабжения;
• преступные деяния – похищение, перехват, использование информационных данных в корыстных целях;
• непреднамеренные ошибки, которые приводят к сбою в работе информационной системы или нарушению ее целостности.

Главным правилом финансирования информационной безопасности, причем не только в России, но и в других странах, считают создание такой системы защиты ценных документов и других важных сведений, затраты на которую не превышают стоимость защищаемых данных. При этом обязательно учитывать возможный ущерб в случае их похищения, уничтожения, незаконного распространения.

15.05.2020