Журнал "Системы Безопасности" № 5‘2020
S E C U R I T Y A N D I T M A N A G E M E N T 49 П о определению Федерального закона №149-ФЗ 1 , информация – это сведения (сообщения, данные), независимо от формы их представления. Подразумевается, что защите (охране) от информационных угроз подлежит информация, на которую распространяются требования действующих правовых и норма- тивно-распорядительных документов. Защита информации представляет собой при- нятие правовых, организационных и техниче- ских мер, направленных на: l обеспечение защиты информации, циркули- рующей на ПО, от неправомерного доступа, уничтожения, модифицирования, блокирова- ния, копирования, предоставления, распро- странения, а также от иных неправомерных действий в отношении такой информации; l соблюдение конфиденциальности информа- ции ограниченного доступа; l реализацию права на доступ к информации. Управление процессами обеспечения информационной безопасности ПО Информационная безопасность ПО рассматри- вается в статье как состояние защищенности ИСПО от внешних и внутренних угроз, обес- печивающее ее формирование, использование и развитие. Защищенность ИСПО определяется как присущая ей способность противостоять несанкционированному доступу к информации, ее искажению или разрушению. Подразумевается, что состояние защищенно- сти информации является отражением свой- ства ее безопасности, представляющей собой "сочетание конфиденциальности, достоверно- сти, аутентичности, целостности и доступно- сти" 2 , а уровень защиты информации созвучен ее значимости, выражаемой через установлен- ную категорию доступа к ней. Интерпретация свойств безопасности информации представ- лена в табл. 1. Управление процессами обеспечения информа- ционной безопасности ПО состоит из функций планирования, организации, мотивации и конт- роля, объединенных связующими процессами коммуникации и принятия решения 2 . Содержа- ние указанных функций представлено в табл. 2. Обобщенный перечень методов защиты инфор- мации 3 , находящих применение в известных информационных технологиях (информационно- вычислительных комплексах), приведен на схеме. По утверждению экспертов 4 , "комплексная защи- та информации в компьютерных технологиях по проблемам программно-аппаратной реализа- ции должна быть ориентирована на построение систем передачи данных, устойчивых как к воз- действию несанкционированного восприятия и распознавания, различного рода модификациям и фальсификациям, так и к разрушающему и искажающему воздействию помех". Защита конфиденциальной информации Конфиденциальная информация (КИ) – это документированная информация ограничен- ного доступа, отвечающая условиям отнесе- ния ее к служебной тайне (СТ), коммерче- ской тайне (КТ) и персональным данным (ПДн). Виды КИ как объекта права Законодательно установленное определение видов КИ приведено в табл. 3. Гражданский кодекс Российской Федера- ции рассматривает КИ как самостоятель- ный объект правоотношений, не относя- щийся к собственности. Информации нет и не может быть среди оборудования, мате- риалов, иных вещей, а также среди ценных бумаг, классификация которых содержится в ГК 5 . www.secuteck.ru октябрь – ноябрь 2020 Витольд Василец Руководитель бюро ООО "Московский электроламповый завод", доктор безопасности Таблица 1. Перечень свойств безопасности информации, циркулирующей на ПО Свойство безопасности Интерпретация свойств Конфиденциальность информации Избежание раскрытия информации без разрешения ее владельца Достоверность информации Общая точность и полнота информации Аутентичность информации Избежание недостатка полноты или точности при санкционированных изменениях информации Целостность информации Свойство, в соответствии с которым информация (данные) не бывает изменена или разрушена несанкционированным образом Доступность информации Избежание временного или постоянного сокрытия информации от пользователей, получивших право доступа Таблица 2. Функции процесса управления Наименование функций Содержание функций Планирование Адресное отображение согласованных по цели, месту и времени действия мероприятий, необходимых для защиты информации Организация Разработка программы реализации плановых мероприятий, а также мер по координации действий сил обеспечения СОИБ по предупреждению условий возникновения нарушений Мотивация Формирование доводов (аргументов) в пользу необходимости реализации плановых мероприятий Контроль Проверка соответствия выбранных мер защиты информации декларированным целям и требованиям действующих нормативно-технических документов Техническое регулирование промышленного предприятия в информационной среде Под информационной средой промышленного объекта понимается совокупность информации, информационных технологий, интеллектуальной собственности, а также должностных лиц, деятельность которых связана с формированием и обра- боткой информации, применением ее в информационных технологиях и обеспече- нием информационной безопасности ПО. Техническое регулирование в информа- ционной среде промышленного объекта (ИСПО) является отражением действующих норм и правил, установленных и охраняемых органами государственной власти. В данной статье рассмотрены практические аспекты технического регулирования ИСПО (в редакции № 65-ФЗ от 1 мая 2007 г.) 1 Федеральный закон от 27.07.2006 г. № 149-ФЗ (с изменениями) "Об информации, информационных технологиях и о защите информации". 2 Шепитько Г.Е. Обеспечение безопасности расчетов в системах электронной коммерции: учебное пособие. – М.: РГСУ, 2012. С. 171. 3 Шангин В.Ф. Комплексная защита информации в компьютерных системах. М.: ФОРУМ-ИНФРА, 2010. 4 Рыжков А.А., Макаров В.Ф. Вопросы комплексной защиты информации в компьютерных технологиях: сб. трудов XXV Всероссийской научн. конф. – М.: Академия управления МВД России, 2016. С. 300–302. 5 Отнюкова Г. Коммерческая тайна: комментарии и толкования // Тайна (приложение к газете "Известия"). 1998. № 2. С. 56–57.
Made with FlippingBook
RkJQdWJsaXNoZXIy Mzk4NzYw