Информационная безопасность и защита информации.

Информационная безопасность, как и защита информации, задача комплексная, направленная на обеспечение безопасности, реализуемая внедрением системы безопасности. Проблема защиты информации является многоплановой и комплексной и охватывает ряд важных задач. Проблемы информационной безопасности постоянно усугубляются процессами проникновения во все сферы общества технических средств обработки и передачи данных и, прежде всего, вычислительных систем.

На сегодняшний день сформулировано три базовых принципа, которые должна обеспечивать информационная безопасность:

• целостность данных — защита от сбоев, ведущих к потере информации, а также зашита от неавторизованного создания или уничтожения данных;
• конфиденциальность информации;
• доступность информации для всех авторизованных пользователей.

Проблема обеспечения информационной безопасности - комплексная, поэтому ее решение должно рассматриваться на разных уровнях: законодательном, административном, процедурном и программно-техническом. В настоящее время особенно остро в России стоит проблема разработки законодательной базы, обеспечивающей безопасное использование информационных систем. Система защиты информации. В соответствии со ст. 20 ФЗ “Об информации, информатизации и защите информации” целями защиты информации являются в том числе: предотвращение утечки, хищения, утраты, искажения, подделки информации; предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации; предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы. Главная цель любой СИБ заключается в обеспечении устойчивого функционирования объекта: предотвращении угроз его безопасности, защите законных интересов владельца информации от противоправных посягательств, в том числе уголовно наказуемых деяний в рассматриваемой сфере отношений, предусмотренных Уголовным кодексом РФ, обеспечении нормальной производственной деятельности всех подразделений объекта. Другая задача сводится к повышению качества предоставляемых услуг и гарантий безопасности имущественных прав и интересов клиентов. Для этого необходимо: - отнести информацию к категории ограниченного доступа (служебной тайне); - прогнозировать и своевременно выявлять угрозы безопасности информационным ресурсам, причины и условия, способствующие нанесению финансового, материального и морального ущерба, нарушению его нормального функционирования и развития; - создать условия функционирования с наименьшей вероятностью реализации угроз безопасности информационным ресурсам и нанесения различных видов ущерба; создать механизм и условия оперативного реагирования на угрозы информационной безопасности и проявления негативных тенденций в функционировании, эффективное пресечение посягательств на ресурсы на основе правовых, организационных и технических мер и средств обеспечения безопасности; - создать условия для максимально возможного возмещения и локализации ущерба, наносимого неправомерными действиями физических и юридических лиц, и тем самым ослабить возможное негативное влияние последствий нарушения информационной безопасности.

Регламентация доступа: Доступ — это получение разрешения руководителя на выдачу тому или иному сотруднику конкретных сведений с учетом его служебных обязанностей. Регламентация доступа — установление правил, определяющих порядок доступа. Контроль доступа — процесс обеспечения достижения оптимального уровня обеспечения доступа. Если ценная информация фирмы похищена или стала известной, ей будет трудно удержать свои позиции на рынке. Однако само по себе обладание ценной информацией не принесет никакой выгоды, если работникам не разрешается ее использовать. При распределении информации, с одной стороны, необходимо обеспечить предоставление каждому конкретному сотруднику полного объема данных для качественного выполнения порученных ему функций, а с другой стороны — исключить ознакомление с излишними ненужными ему для работы сведениями. В целях обеспечения правомерного доступа сотрудников фирмы к конфиденциальным сведениям, содержащимся в грифованных документах, необходимо внедрить соответствующую систему доступа. Для этого вначале составляется перечень сведений, содержащих коммерческую тайну, определяется ценность того или иного документа и присваивается соответствующий гриф. Затем составляется список сотрудников, допущенных к тем или иным документам. и является правовой основой для практической реализации доступа. Система доступа должна отвечать следующим требованиям: - распространяться на все виды классифицированных документов; - определять порядок доступа всех категорий сотрудников, получивших право на ознакомление и использование документов, содержащих конфиденциальную информацию; - определять порядок доступа к коммерческой информации представителей различных государственных служб; - устанавливать надлежащий порядок оформления разрешений на доступ к конфиденциальным документам; - регламентировать права определенных должностных лиц на оформление доступа сотрудников; - исключать возможность бесконтрольной и несанкционированной выдачи грифованных документов. Правовой основой для возникновения ответственности за предание огласке, утере, утечке сведений, составляющих коммерческую тайну, является их занесение в перечень сведений, составляющих коммерческую тайну. Туда же должны быть занесены сроки пересмотра грифов. Перечень доводится до сведения всех сотрудников под расписку об ознакомлении. Со всеми сотрудниками, получившими доступ, проводятся соответствующие занятия, преследующие конкретные цели: - четкое знание сотрудником объемов охраняемой информации, за безопасность которой они несут личную ответственность; - понимание работником характера и ценности данных, с которыми он работает, возможных способов и методов проникновения к этим данным, которыми может воспользоваться потенциальный нарушитель; - обучение установленным правилам и процедурам хранения и защиты коммерческих сведений.