Что относится к защищаемой информации

Что относится к защищаемой информации

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

ОСНОВНЫЕ ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

Protection of information. Basic terms and definitions

Дата введения 2008-02-01

Сведения о стандарте

1 РАЗРАБОТАН Федеральным государственным учреждением «Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю» (ФГУ «ГНИИИ ПТЗИ ФСТЭК России»)

2 ВНЕСЕН Управлением технического регулирования и стандартизации Федерального агентства по техническому регулированию и метрологии

Введение

Установленные настоящим стандартом термины расположены в систематизированном порядке, отражающем систему понятий в данной области знания.

Для каждого понятия установлен один стандартизованный термин.

Наличие квадратных скобок в терминологической статье означает, что в нее входят два термина, имеющих общие терминоэлементы. В алфавитном указателе данные термины приведены отдельно. Цифра, заключенная в квадратные скобки, означает ссылку на документ, приведенный в структурном элементе «Библиография».

Заключенная в круглые скобки часть термина может быть опущена при использовании термина в документах по стандартизации, при этом не входящая в круглые скобки часть термина образует его краткую форму. За стандартизованными терминами приведены отделенные точкой с запятой их краткие формы, представленные аббревиатурой.

Приведенные определения можно при необходимости изменять, вводя в них производные признаки, раскрывая значения используемых в них терминов, указывая объекты, входящие в объем определяемого понятия.

Изменения не должны нарушать объем и содержание понятий, определенных в настоящем стандарте.

Термины и определения общетехнических понятий, которые необходимы для понимания текста основной части настоящего стандарта, приведены в приложении А.

1 Область применения

Настоящий стандарт устанавливает основные термины с соответствующими определениями, применяемые при проведении работ по стандартизации в области защиты информации.

Термины, установленные настоящим стандартом, рекомендуется использовать в правовой, нормативной, технической и организационно-распорядительной документации, научной, учебной и справочной литературе.

2 Термины и определения

2.1.1 защита информации; ЗИ: Деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.

2.2 Термины, относящиеся к видам защиты информации

2.2.1 правовая защита информации: Защита информации правовыми методами, включающая в себя разработку законодательных и нормативных правовых документов (актов), регулирующих отношения субъектов по защите информации, применение этих документов (актов), а также надзор и контроль за их исполнением.

2.2.2 техническая защита информации; ТЗИ: Защита информации, заключающаяся в обеспечении некриптографическими методами безопасности информации (данных), подлежащей (подлежащих) защите в соответствии с действующим законодательством, с применением технических, программных и программно-технических средств.

2.2.3 криптографическая защита информации: Защита информации с помощью ее криптографического преобразования.

2.2.4 физическая защита информации: Защита информации путем применения организационных мероприятий и совокупности средств, создающих препятствия для проникновения или доступа неуполномоченных физических лиц к объекту защиты.

1 Организационные мероприятия по обеспечению физической защиты информации предусматривают установление режимных, временных, территориальных, пространственных ограничений на условия использования и распорядок работы объекта защиты.

2 К объектам защиты информации могут быть отнесены: охраняемая территория, здание (сооружение), выделенное помещение, информация и (или) информационные ресурсы объекта информатизации.

2.3 Термины, относящиеся к способам защиты информации

2.3.1 способ защиты информации: Порядок и правила применения определенных принципов и средств защиты информации.

2.3.2 защита информации от утечки: Защита информации, направленная на предотвращение неконтролируемого распространения защищаемой информации в результате ее разглашения и несанкционированного доступа к ней, а также на исключение (затруднение) получения защищаемой информации [иностранными] разведками и другими заинтересованными субъектами.

2.3.3 защита информации от несанкционированного воздействия; ЗИ от НСВ: Защита информации, направленная на предотвращение несанкционированного доступа и воздействия на защищаемую информацию с нарушением установленных прав и (или) правил на изменение информации, приводящих к разрушению, уничтожению, искажению, сбою в работе, незаконному перехвату и копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.

2.3.4 защита информации от непреднамеренного воздействия: Защита информации, направленная на предотвращение воздействия на защищаемую информацию ошибок ее пользователя, сбоя технических и программных средств информационных систем, природных явлений или иных нецеленаправленных на изменение информации событий, приводящих к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.

2.3.5 защита информации от разглашения: Защита информации, направленная на предотвращение несанкционированного доведения защищаемой информации до заинтересованных субъектов (потребителей), не имеющих права доступа к этой информации.

2.3.6 защита информации от несанкционированного доступа; ЗИ от НСД: Защита информации, направленная на предотвращение получения защищаемой информации заинтересованными субъектами с нарушением установленных нормативными и правовыми документами (актами) или обладателями информации прав или правил разграничения доступа к защищаемой информации.

2.3.7 защита информации от преднамеренного воздействия; ЗИ от ПДВ: Защита информации, направленная на предотвращение преднамеренного воздействия, в том числе электромагнитного и (или) воздействия другой физической природы, осуществляемого в террористических или криминальных целях.

2.3.8 защита информации от [иностранной] разведки: Защита информации, направленная на предотвращение получения защищаемой информации [иностранной] разведкой.

2.4 Термины, относящиеся к замыслу защиты информации

2.4.1 замысел защиты информации: Основная идея, раскрывающая состав, содержание, взаимосвязь и последовательность осуществления технических и организационных мероприятий, необходимых для достижения цели защиты информации.

2.4.2 цель защиты информации: Заранее намеченный результат защиты информации.

2.4.3 система защиты информации: Совокупность органов и (или) исполнителей, используемой ими техники защиты информации, а также объектов защиты информации, организованная и функционирующая по правилам и нормам, установленным соответствующими документами в области защиты информации.

2.4.4 политика безопасности (информации в организации): Совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.

2.4.5 безопасность информации [данных]: Состояние защищенности информации [данных], при котором обеспечены ее [их] конфиденциальность, доступность и целостность.

2.5 Термины, относящиеся к объекту защиты информации

2.5.1 объект защиты информации: Информация или носитель информации, или информационный процесс, которые необходимо защищать в соответствии с целью защиты информации.

2.5.2 защищаемая информация: Информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.

2.5.3 носитель защищаемой информации: Физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.

2.5.4 защищаемый объект информатизации: Объект информатизации, предназначенный для обработки защищаемой информации с требуемым уровнем ее защищенности.

2.5.5 защищаемая информационная система: Информационная система, предназначенная для обработки защищаемой информации с требуемым уровнем ее защищенности.

2.6 Термины, относящиеся к угрозам безопасности информации

2.6.1 угроза (безопасности информации): Совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации.

2.6.2 фактор, воздействующий на защищаемую информацию: Явление, действие или процесс, результатом которого могут быть утечка, искажение, уничтожение защищаемой информации, блокирование доступа к ней.

2.6.3 источник угрозы безопасности информации: Субъект (физическое лицо, материальный объект или физическое явление), являющийся непосредственной причиной возникновения угрозы безопасности информации.

2.6.4 уязвимость (информационной системы); брешь: Свойство информационной системы, обусловливающее возможность реализации угроз безопасности обрабатываемой в ней информации.

1 Условием реализации угрозы безопасности обрабатываемой в системе информации может быть недостаток или слабое место в информационной системе.

2 Если уязвимость соответствует угрозе, то существует риск.

2.6.5 вредоносная программа: Программа, предназначенная для осуществления несанкционированного доступа к информации и (или) воздействия на информацию или ресурсы информационной системы.

2.6.6 несанкционированное воздействие на информацию: Воздействие на защищаемую информацию с нарушением установленных прав и (или) правил доступа, приводящее к утечке, искажению, подделке, уничтожению, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.

2.6.7 преднамеренное силовое электромагнитное воздействие на информацию: Несанкционированное воздействие на информацию, осуществляемое путем применения источника электромагнитного поля для наведения (генерирования) в автоматизированных информационных системах электромагнитной энергии с уровнем, вызывающим нарушение нормального функционирования (сбой в работе) технических и программных средств этих систем.

2.6.8 модель угроз (безопасности информации): Физическое, математическое, описательное представление свойств или характеристик угроз безопасности информации.

2.7 Термины, относящиеся к технике защиты информации

2.7.1 техника защиты информации: Средства защиты информации, в том числе средства физической защиты информации, криптографические средства защиты информации, средства контроля эффективности защиты информации, средства и системы управления, предназначенные для обеспечения защиты информации.

2.7.2 средство защиты информации: Техническое, программное, программно-техническое средство, вещество и (или) материал, предназначенные или используемые для защиты информации.

2.7.3 средство контроля эффективности защиты информации: Средство защиты информации, предназначенное или используемое для контроля эффективности защиты информации.

2.7.4 средство физической защиты информации: Средство защиты информации, предназначенное или используемое для обеспечения физической защиты объекта защиты информации.

Источник

Виды защищаемой информации

Государственная тайна – установленный законодательством круг сведений, разглашение которых может привести к снижению обороноспособности страны или причинить существенный вред национальной безопасности, экономическим или политическим интересам. Защите от несанкционированного распространения подлежит информация, относящаяся к следующим сферам:

Говоря о частных лицах, под “персональными данными” понимается вся возможная информация, которая либо прямо, либо косвенно относится к определенному физическому лицу (согласно терминологии закона – субъекту персональных данных). Согласие на получение и последующую обработку персональных данных частное лицо может предоставить только самостоятельно, выразив это в письменной форме. При этом разрешение на любое использование личных данных может быть оформлено и как отдельным документом, так и быть пунктом договора (например, кредитного или депозитного). Обратите внимание – любая онлайн-заявка на кредит будет недействительна при отсутствии вашего согласия (обычно требуется поставить галочку возле соответствующего пункта). Получение либо использование любой персональной информации о частном лице без наличия на то письменного или иного согласия является незаконным. Также неправомерными считаются и случаи обработки персональных сведений после получения от частного лица заявления на отзыв согласия на такую обработку. Тем не менее существуют исключения. Например, персональные данные могут быть получены без согласия человека для работы государственных органов, а для соблюдения обязательств по действующим договорам обработка персональной информации может быть продолжена и после отзыва согласия на ее использование.

Общий регламент по защите данных (General Data Protection Regulation). Документ предоставляет резидентам Евросоюза (ЕС) возможность управлять персональными данными: спрашивать про цели обработки, место их хранения, а в случае необходимости удалить. Он вступает в силу с 25 мая 2018 года. Какие данные защищает GDPR? Персональные данные — любая информация о человеке, по которой он идентифицируется: пол, возраст, место жительства, умственная, культурная, экономическая, социальная идентичность.

Прозрачность и законность. Компании должны понятно объяснить, для чего они собирают данные и как планируют использовать их в дальнейшем.

Ограничение цели. Если цели сбора данных изменились, но они и дальше продолжают использоваться — это нарушение.

Минимум информации. Данные нужны только в объеме, необходимом для достижения конкретных целей, нельзя запрашивать лишнее.

Управление данными. Пользователь может запросить копию всей личной информации, которая у вас есть по нему — будьте готовы предоставить ее в течение 30 дней. Также пользователь может потребовать удалить данные о нем без права восстановления.

Ограничение хранения. Срок хранения данных должен пересекаться со сроком достижения целей. Как только цель достигнута — данные удаляются.

Безопасность хранения. Нельзя передавать данные третьим лицам. В случае утечки сообщать об этом в течение трех дней.

GDPR имеет экстерриториальное действие. Новые правила распространятся на всех, кто работает с данными резидентов ЕС. Неважно, есть ли у вас филиалы в Европе, где зарегистрирована компания и где она обрабатывает данные. Главное условие — работа с данными европейцев, полученными на территории Евросоюза (в том числе через интернет). География покрытия документа — 28 стран. Игнорировать GDPR будет сложно всем. Даже самая маленькая российская компания не может быть на 100% уверена в том, что у одного из подписчиков не может быть 2 гражданства. И одно из них может оказаться европейским. Поэтому будет разумно еще раз проверить свои клиентские базы. За несоблюдение принципов накладывается штраф в размере от 10 до 20 миллионов евро или от 2 до 4% от годового оборота компании. Практика исполнения решений ЕС в РФ развита не очень хорошо, поэтому даже если Комиссия ЕС наложит штраф на российскую компанию, существует очень маленькая вероятность реального исполнения такого решения. Но на территории ЕС работа будет затруднена. Подобное решение может стать основанием для проведения в отношении компании проверки уже российскими органами.

Коммерческая тайна — режим конфиденциальности информации, позволяющий её обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду. Под режимом конфиденциальности информации понимается введение и поддержание особых мер по защите информации.

Также под коммерческой тайной могут подразумевать саму информацию, которая составляет коммерческую тайну, то есть, научно-техническую, технологическую, производственную, финансово-экономическую или иную информацию, в том числе составляющую секреты производства (ноу-хау), которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности её третьим лицам, к которой нет свободного доступа на законном основании и в отношении которой обладателем такой информации введён режим коммерческой тайны. Обладатель информации имеет право отнести её к коммерческой тайне, если эта информация отвечает вышеуказанным критериям и не входит в перечень информации, которая не может составлять коммерческую тайну (ст.5 закона «О коммерческой тайне»). Чтобы информация получила статус коммерческой тайны, её обладатель должен исполнить установленные процедуры (составление перечня, нанесение грифа и некоторые другие). После получения статуса коммерческой тайны информация начинает охраняться законом. Разглашение информации, составляющей коммерческую тайну – действие или бездействие, в результате которых информация, составляющая коммерческую тайну, в любой возможной форме (устной, письменной, иной форме, в том числе с использованием технических средств) становится известной третьим лицам без согласия обладателя такой информации либо вопреки трудовому или гражданско-правовому договору. За разглашение (умышленное или неосторожное), а также за незаконное использование информации, составляющей коммерческую тайну, предусмотрена ответственность — дисциплинарная, гражданско-правовая, административная, уголовная и материальная. Материальная ответственность наступает независимо от других форм ответственности.

Автоматизированные системы управления технологическими процессами (АСУ ТП)

Автоматизированная система управления технологическим процессом (АСУ ТП) — группа решений технических и программных средств, предназначенных для автоматизации управления технологическим оборудованием на промышленных предприятиях. Может иметь связь с более общей автоматизированной системой управления предприятием (АСУП). Под АСУ ТП обычно понимается целостное решение, обеспечивающее автоматизацию основных операций технологического процесса на производстве в целом или каком-то его участке, выпускающем относительно завершённое изделие.

Понятие «автоматизированный», в отличие от понятия «автоматический», подчёркивает необходимость участия человека в отдельных операциях, как в целях сохранения контроля над процессом, так и в связи со сложностью или нецелесообразностью автоматизации отдельных операций. Составными частями АСУ ТП могут быть отдельные системы автоматического управления (САУ) и автоматизированные устройства, связанные в единый комплекс. Такие как системы диспетчерского управления и сбора данных (SCADA), распределенные системы управления (DCS), и другие более мелкие системы управления (например, системы на программируемых логических контроллерах (PLC)). Как правило, АСУ ТП имеет единую систему операторского управления технологическим процессом в виде одного или нескольких пультов управления, средства обработки и архивирования информации о ходе процесса, типовые элементы автоматики: датчики, устройства управления, исполнительные устройства. Для информационной связи всех подсистем используются промышленные сети.

Государственные и муниципальные информационные системы

Информация для служебного пользования

Открытые информационные ресурсы

Современная информационная система представляет собой совокупность неоднородных элементов и реализует широкий диапазон сетевых функций и услуг. Наиболее полной моделью ИС является модель сетевого взаимодействия открытых систем. Такая ИС представляет универсальную распределенную среду с широкими вычислительными возможностями, ориентированную на большой круг пользователей. Однако при этом она становится мишенью для возможных угроз, попыток несанкционированного доступа, что делает актуальной проблему защиты таких ИС. Потребность обеспечения надежности вычислительных услуг, целостности, конфиденциальности и доступности информации приводит к целесообразности включения функции защиты в число обязательных функций ИС.

Характеристики безопасной ИС

1. Целостность ресурсов ИС предполагает выполнение следующих условий:

а) все ресурсы ИС всегда доступны пользователям независимо от надежности технического или качества программного видов обеспечения, а также несанкционированных действий (защита от потери данных);

б) наиболее важные ресурсы всегда доступны независимо от попыток их разрушения (защита от разрушения данных).

2. Защита (безопасность) ресурсов ИС означает, что все операции с этими ресурсами выполняются по строго определенным правилам и инструкциям.

3. Право владения ресурсами ИС есть право отдельных субъектов ИС распоряжаться принадлежащей им информацией (имеется в виду ее сбор, хранение, использование и распространение).

Эти три основные характеристики функционирования сети (целостность, безопасность и право владения ресурсами) составляют основу надежности среды, поддерживаемой ИС.

Источник

Понятие и виды защищаемой информации

В соответствии с Национальным стандартом РФ «Защита информации. Основные термины и определения» (ГОСТ Р 50922-2006) защищаемая информация – это информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.

Защищаемая информация имеет следующие отличительные признаки:

— засекречивать информацию, то есть ограничивать к ней доступ, может только ее обладатель;

— чем важнее для обладателя информация, тем тщательнее он ее защищает в соответствии с присвоенной ей степенью секретности;

— защищаемая информация должна иметь определенную ценность и приносить пользу ее обладателю, оправдывая затрачиваемые на ее защиту силы и средства.

Появление новой защищаемой информации есть результат деятельности субъекта – обладателя информацию. После создания она как бы отчуждается от субъекта-автора, самостоятельно диктуя всем, кто с нею сталкивается, правила ее использования. Уровень защиты информации определяется установленным ее автором или обладателем грифом секретности или конфиденциальности.

Созданная один раз защищаемая информация (как и несекретная) может быть использована многократно в течение неограниченного времени сколь угодно большим количеством потребителей. Она обладает способностью не уничтожаться, не убывать со временем и даже возрастать по мере использования, то есть порождать новую информацию. Свойство возрастания информации создает объективные предпосылки для ее уязвимости.

Существует и такая особенность, как распространение информации. Для открытой информации оно имеет случайный характер, тогда как распространение защищаемой информации происходит детерминированно: заранее определяется возможное количество потребителей засекреченной информации, в соответствии с которым размножается определенное количество экземпляров соответствующего документа, которые и рассылаются заранее определенным адресатам.

Классификация защищаемой информации может осуществляться по различным основаниям. Рассмотрим наиболее распространенные: по принадлежности, степени секретности и по содержанию.

По принадлежности защищаемая информация может быть классифицирована в соответствии с тем, кто является ее обладателем:

— предприятия, товарищества, акционерные общества и др. – принадлежащая им защищаемая информация обычно составляет коммерческую тайну, но в некоторых случаях они могут использовать и сведения, составляющие государственную или служебную тайну;

— общественные организации – используемая ими защищаемая информация является партийной тайной, однако в некоторых случаях они могут также располагать сведениями, составляющими государственную или коммерческую тайну;

— граждане – их права на тайну переписки, телефонных и иных переговоров, врачебную тайну и другие конституционные права гарантируются государством.

По содержанию защищаемая информация может быть разделена на политическую, экономическую, военную, разведывательную и контрразведывательную, оперативно-розыскную, научно-техническую, технологическую, деловую и коммерческую.

По категории доступа информация делится на общедоступную информацию и информацию с ограниченным доступом (информация ограниченного доступа) (п.3 ст.5 Закона «Об информации»).

В п. 4 ст. 8. Закона «Об информации» имеется перечень сведений, к которым не может быть ограничен доступ. К такой информации относятся:

-нормативные правовые акты, затрагивающие права, свободы и обязанности человека и гражданина, а также устанавливающие правовое положение организаций и полномочия государственных органов, органов местного самоуправления;

— сведения о состоянии окружающей среды;

— сведения о деятельности государственных органов и органов местного самоуправления, а также об использовании бюджетных средств (за исключением сведений, составляющих государственную или служебную тайну);

— информация, накапливаемая в открытых фондах библиотек, музеев и архивов, а также в государственных, муниципальных и иных информационных системах, созданных или предназначенных для обеспечения граждан (физических лиц) и организаций такой информацией;

— иная информация, недопустимость ограничения доступа к которой установлена федеральными законами.

Информация с ограниченным доступом, в свою очередь, под­разделяется на сведения, составляющие государственную тайну, и конфиденциальную информацию.

В ст. 2 Закона «Об информации» установлено, что такое свойство информации, как «конфиденциальность», обусловлено обязательным выполнением лицом, получившим к такой информации доступ, требования не передавать эту информацию третьим лицам без согласия ее обладателя.

Виды конфиденциальной информации установлены Указом Президента РФ № 188 от 6 марта 1997 г. «Об утверждении перечня сведений конфиденциального характера», в соответствии с которым к конфиденциальной информации относятся:

— сведения, составляющие тайну следствия и судопроизводства;

— сведения, связанные с профессиональной деятельностью (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее);

— сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них и некоторые другие.

В настоящее время единой и четкой классификации конфиденциальной информации в литературе не существует, тем не менее, в соответствии с действующими нормативными актами названо свыше 20 разновидностей конфиденциальной информации.

Контрольные вопросы:

1. Что понимается под информационной сферой как сферой правового регулирования?

2. Приведите известные Вам понятия «информация».

3. Каковы особенности правовой информации?

4. Приведите известные Вам критерии классификации правовой информации.

5. Что означает термин «целостность информации»?

6. Что означает термин «доступность информации»?

7. Что означает термин «конфиденциальность информации»?

8. Что такое защищаемая информация и каковы ее отличительные признаки?

9. Перечислите известные Вам критерии классификации защищаемой информации.

10. К какой информации не может быть ограничен доступ?

11. Какие сведения относятся к информации с ограниченным доступом?

Источник

• визитки установка дверей шаблоны →