Направления защиты информации рассматриваются в качестве нормативно-правовых категорий, которые определяют комплексные мероприятия по защите информации на уровне отдельной личности, на уровне предприятия, а также на уровне государства в целом.
Учитывая сложившуюся практику обеспечения информационной безопасности, можно выделить следующие направления защиты информации:
- Правовая защита. Она содержит специальные законы, нормативно-правовые акты, мероприятия, процедуры и правила, которые обеспечивают защиту информацию на правовом уровне.
- Организационная защита. Данное направление защиты информации подразумевает регламентацию производственной деятельности и взаимных отношений исполнителей на нормативно-правовой основе, которая ослабляет или полностью исключает нанесение возможного ущерба исполнителям.
- Инженерно-техническая защита. Это направление информационной защиты включает использование различных технических средств, которые препятствуют нанесению ущерба деятельности.
Рисунок 1. Направления обеспечения защиты информации. Автор24 — интернет-биржа студенческих работ
Те защитные действия и мероприятия, которые ориентированы на обеспечение защиты информации, характеризуются множеством параметров, которые кроме направлений отражают ориентацию на объекты защиты, способы действий, характер угроз, их распространенность, масштабность и охват.
Рисунок 2. Характеристика защитных действий. Автор24 — интернет-биржа студенческих работ
Защитные действия по характеру угроз ориентированы на защиту информации от разглашения, несанкционированного доступа и утечки. По способам действий их можно классифицировать на выявление, обнаружение, предупреждение, пресечение, а также восстановления убытков. Защитные действия по охвату ориентируются на здание, территорию, аппаратуру, конкретное помещение. Масштабность мероприятий по защите информации может быть, как объектовая, групповая, индивидуальная.
Рассмотрим главные направления защиты информации.
Правовое направление защиты информации
Правовая защита информации включает в себя совокупность общеобязательных норм и правил поведения, которые санкционированы или установлены государством по отношению к определенным сферам жизни и деятельности населения, предприятий и государственных органов.
Правовое направление защиты информации как ресурса признано на государственном и международном уровне и определено межгосударственными конвенциями, договорами и декларациями. Реализуется правовая защита авторским правом, патентами, а также лицензиями на защиту информации. Правовая защита на государственном уровне регулируется ведомственными и государственными актами.
Рисунок 3. Правовая защита информации. Автор24 — интернет-биржа студенческих работ
В Российской Федерации такими актами являются законы, Конституция, уголовное, административное и гражданское право, что изложены в соответствующих кодексах. Ведомственные нормативные акты определяются руководствами, приказами, положениями и инструкциями, которые издаются конкретным предприятием и действуют в рамках определенных структур.
Существует такая структура правовых актов, которые ориентированы на правовую защиту информации:
- Первым блоком является конституционное законодательство. Сюда относятся нормы, что касаются защиты информации и информатизации, и входят в него как составные элементы.
- Ко второму блоку относятся общие закона и кодексы, которые включают нормы по вопросам информационной безопасности (о недрах, земле, собственности, гражданстве, правах граждан).
- К третьему блоку можно отнести законы по организации управления, которые касаются отдельных структур экономики, хозяйства и системы государственных органов. Эти законы содержат отдельные нормы по правовой защите информации и должны устанавливать обязанности конкретного органа по актуализации, формированию и безопасности той информации, которая представляет общегосударственный интерес.
- Четвертый блок – это специальные законы, которые полностью относятся к конкретным отраслям, сферам отношений, процессам.
- Пятый блок – это законодательство субъектов РФ, которое касается защиты информации.
- Шестой блок содержит подзаконные нормативно-правовые акты по защите информации.
- К седьмому блоку относятся правоохранительное законодательство РФ, которое содержит нормы ответственности за нарушения в сфере информатизации.
Законодательство в сфере безопасной информационной деятельности представлено комплексом законов. Особое месте в их составе принадлежит Закону «Об информации, ее защите и об информационных технологиях» - он закладывает основы правового определения всех важных компонентов информационной деятельности. К ним можно отнести:
- информацию и информационные системы;
- субъектов, которые являются участниками информационных процессов;
- правоотношения потребителей и производителей информационной продукции;
- владельцев информации.
Правовые меры обеспечения защиты информации и ее безопасности являются основой порядка деятельности и поведения работников организации, а также определяют меры их ответственности за нарушение установленных норм.
Организационное направление защиты информации
Организационная защита информации – это регламентация деятельности и отношений исполнителей на нормативно-правовой основе, которая существенно затрудняет или полностью исключает неправомерное получение информации, а также проявление внешних и внутренних угроз.
Благодаря организационной защите можно обеспечить:
- организацию режима, охраны, а также работу с кадрами и документацией;
- применение технических средств безопасности, а также информационно-аналитической деятельности по выявлению внешних и внутренних угроз предпринимательства.
Организационные мероприятия играют ключевую роль в формировании надежного механизма защиты информации, поскольку несанкционированное использование сведений обусловлено не техническими аспектами, а злоумышленными действиями, небрежностью и халатностью персонала защиты. При помощи технических средств избежать влияния этих аспектов практически невозможно.
Для этого необходимо применить совокупность организационно-технических и организационно-правовых мероприятий, которые бы исключили возможность возникновения опасности защищаемой информации.
К основным организационным мероприятиям относятся:
- должная организация охраны и режима;
- организация работы с работниками компании, которая предусматривает расстановку и подбор кадров, включая ознакомление с ними, а также обучение правилам работы с конфиденциальной информацией и уведомление о мерах ответственности за нарушение правил по защите информации;
- организация работы с документацией, включая организацию разработки и использование носителей конфиденциальной информации, а также их учет, хранение и уничтожение;
- организация работы по применению технических средств сбора, обработки и хранения конфиденциальной информации;
- организация работы по проведению анализа внешних и внутренних угроз информации, а также разработка мероприятий по обеспечению ее защиты;
- организация надлежащего контроля за работой персонала с конфиденциальной информацией.
Рисунок 4. Организационная защита информации. Автор24 — интернет-биржа студенческих работ
Инженерно-техническое направление защиты информации
Инженерно-техническая защита – это совокупность технических средств, мероприятий и специальных органов, а также их использование с целью защиты информации.
Многообразие задач, целей, проводимых мероприятий и объектов защиты предполагает рассмотрение системы классификации средств по ориентации, виду и другим характеристикам. Например, средства инженерно-технической защиты информации можно изучать по объектам их воздействия. В этом плане они могут использоваться для защиты людей, финансов, материальных средств, а также информации.
Рисунок 5. Классификационная структура инженерно-технической защиты. Автор24 — интернет-биржа студенческих работ
Благодаря многообразию классификационных характеристик, можно рассматривать инженерно-техническое направление защиты информации по характеру мероприятий, объектам воздействия, масштабу охвата, способам реализации, а также классу средств мошенников, которым оказывается противодействие со стороны службы безопасности.
