− Здравствуйте, Андрей! В прошлый раз мы говорили о таком жизненно важном ресурсе, как информация. Давайте сегодня подробнее остановимся на понятии «информационная безопасность».
− Информационная безопасность – это всегда показатель определённого уровня. Процесс его достижения и каким он должен быть могут определять владелец информации, лицо, её обрабатывающее, гарант прав информационных субъектов – государство либо стороны информационного взаимодействия.
К примеру, в отношении информации о гражданах необходимый уровень информационной безопасности посредством законодательства определяет государство.
− Приведите, пожалуйста, примеры информации, в отношении которой требования устанавливает государство?
− Во-первых, персональные данные граждан. В зависимости от объёма, категорий обрабатываемых персональных данных, типов угроз государство устанавливает степень обеспечения информационной безопасности, так называемый уровень защищённости.
Во-вторых, информация, которая обрабатывается в государственных информационных системах. В отношении неё государство устанавливает три класса защищённости, что является показателем уровня информационной безопасности. В свою очередь, к государственным информационным системам относятся не только системы, в которых обрабатывается конфиденциальная информация. К ним могут относиться, к примеру, такие общедоступные информационные системы, как сайты государственных органов.
В-третьих, необходимо упомянуть критическую информационную инфраструктуру Российской Федерации. Показателем уровня информационной безопасности объектов КИИ являются категории значимости.
− Хорошо, если информационная безопасность – это определённый уровень, к которому необходимо стремиться и на котором следует находиться, чтобы информация была защищена, то что же тогда означает понятие «защита информации»?
− Не раз я наблюдал за тем, как специалисты ошибочно смешивают эти два понятия. В отличие от информационной безопасности, защита информации – это мероприятия, нацеленные на достижение нужного уровня информационной безопасности. Точнее, даже комплекс мер – правовых, организационных и технических, направленных на сохранение основных свойств информации: конфиденциальности, целостности и доступности.
Остановимся на них подробнее. Конфиденциальность – обязательное для выполнения лицом, получившим доступ к информации, требование не передавать такую информацию третьим лицам без согласия её обладателя. Это свойство необходимо для того, чтобы информацией распоряжались только те, для кого она предназначена.
Целостность предполагает, что информация должна быть доступна в полном объёме. Если она теряет свою часть, то становится менее ценной или непригодной для дальнейшего использования.
Доступность заключается в способности субъекта информационного обмена распоряжаться информацией, к которой он имеет право доступа. Права могут определяться как государством через нормативно-правовые акты, так и внутренними требованиями организации. Например, директор организации имеет доступ к любой информации, которая существует в компании, бухгалтер – к финансовой, бухгалтерской информации, кадровый специалист – к кадровой информации. Если информация несанкционированно блокируется, шифруется и так далее, это говорит о том, что необходимый уровень информационной безопасности не обеспечен.
− Какие же меры направлены на сохранение основных свойств информации?
− Невозможно достичь уровня информационной безопасности, реализуя только одну из трёх мер: либо правовую, либо организационную, либо техническую. Необходим комплекс мер.
К правовым мерам в первую очередь относятся те нормативно-правовые акты, которые разрабатываются государством в виде федеральных законов, указов Президента, постановлений Правительства, распоряжений Правительства, далее – приказов государственных регуляторов в области защиты информации (ФСБ России, ФСТЭК России, в части соблюдения прав граждан по защите персональных данных – Роскомнадзор). Но хотелось бы особо отметить, что в каждой сфере государственного управления есть свой отраслевой государственный регулятор, который определяет политику в соответствующей сфере и разрабатывает дополнительные требования по защите информации. Например, в сфере здравоохранения – Минздрав, для организаций, оказывающих финансовые услуги, − Центробанк России и т. п.
Организационные меры – это те меры, которые организация устанавливает и конкретизирует внутри себя. Основываются они на требованиях федерального законодательства, а реализуются в виде организационно-распорядительной документации конкретного учреждения. К этой документации, например, относятся приказы руководителя организации, политики, положения, инструкции и иные документы, которые регламентируют вопросы обработки и защиты информации в данной конкретной организации.
Уже после того как обработка и защита информации регламентированы, прописаны, приведены в соответствие с требованиями законодательства и отраслевых ведомств, организация понимает, какие технические меры по защите информации необходимо применить.
− Получается, защита информации – многоступенчатый процесс, который представляет собой чёткую последовательность шагов?
− Конечно. Если эта последовательность нарушается либо выполняется не полностью, процесс защиты информации становится неэффективным. Соответственно, уровень информационной безопасности не достигается.
Но, обратите внимание, после реализации технических мер мероприятия по защите информации не заканчиваются. Изменения снаружи и внутри организации оказывают влияние на уровень информационной безопасности. Поэтому для его поддержания организация в лице специалиста по информационной безопасности должна осуществлять постоянный мониторинг изменений, учитывать их, контролировать и проводить мероприятия по внесению изменений в свою систему защиты.
Плюс к этому важны мероприятия по планированию деятельности в этой сфере. Взять хотя бы продление срока действия лицензии средства антивирусной защиты – если не запланировать приобретение лицензии на продление, то в определенный момент можно остаться без защиты.
− О чём ещё важно знать в процессе обеспечения безопасности информации?
− Здесь хорошо бы остановиться на таком понятии, как экономическая целесообразность защиты информации. Дело в том, что её стоимость не должна превышать стоимости самой информации. Что вполне логично: зачем тратить огромные деньги на то, что не представляет особой ценности?
Но есть одно НО… Существуют такие виды информации, стоимость которых невозможно оценить. К примеру, как уже говорил выше, персональные данные граждан. В этом случае требования по защите информации устанавливаются не владельцем информации, не той организацией, которая обрабатывает персональные данные, а государством.
− Благодарю за интервью, Андрей! До новых встреч!
Подробнее о проблемах, с которыми сталкивается организация при защите информации, читайте в следующем выпуске.
Беседовала Людмила Егорова
