ЗАЩИТА ДАННЫХ [data protection]

Защита данных - это, Что такое защита данных, Определение термина защита данных, Защита информации, Безопасность данных,  Конфиденциальность информации, ITSEC, Целостность информации, Доступность информации, Копирайт, Система защиты данных

Совокупность мер, обеспечивающих защиту прав собственности владельцев информационной продукции, в первую очередь —программ, баз и банков данных от несанкционированного доступа, использования, разрушения или нанесения ущерба в какой-либо иной форме.
Историческая справка
По данным Министерства обороны США за 1995 г. зафиксировано 250 тыс. попыток проникновения в компьютеры этого ведомства; 65% из них привели к различного рода негативным последствиям. Стоимость нанесенного ущерба и мер борьбы с ними оценивается в десятки миллионов долларов. С каждым годом количество таких попыток удваивается. По оценкам ФБР ежегодный ущерб от компьютерных преступлений составляет $7,5 млрд, причем 80% из них совершаются через Интернет. По данным организации InterGov, сотрудничающей со следственными органами в борьбе с виртуальными преступлениями, до 80% компьютерных и связанных с Интернет преступлений совершаются собственными сотрудниками фирм, а вызванные этими действиями убытки составляют в среднем $110 тыс. в расчете на одну жертву [759]. В 2004 г. из опрошенных Институтом компьютерной безопасности 538 компаний только 15% из них не обнаружили у себя утечки конфиденциальной информации. Согласно обзору организаций PWC и DTI только британский бизнес ежегодно теряет 18 млрд фунтов стерлингов из-за несоблюдения правил информационной безопасности.
В отчете одной из крупнейших мировых консалтинговых служб —IBM Business Secirity (http://www.ibm.com/services) приводится статистика и анализ состояния безопасности информационных систем за за первую половину 2005 г. За указанный период этой службой зафиксировано 237 млн разного рода нападений. Главными целями нападений в Интернете являются госструктуры (более 54 млн атак), предприятия производственного сектора (36 млн атак), финансовые компании (около 34 млн атак), организации здравоохранения (более 17 млн атак) и крупные транснациональные корпорации (особенно в аэрокосмической и нефтяной отраслях). Большая часть атак осуществлялась с территории США (12,1 млн) и Китая (около 1 млн). Растет число фишинга: в 35,7 млн писем содержались фишинговые атаки.
Защита данных обеспечивается законодательными актами на международном и государственном уровнях. В России такими законодательными актами являются закон "Об информации, информатизации и защите информации" (базовый), закон "О правовой охране программ для электронных вычислительных машин и баз данных", "О государственной и военной тайне" (с изменениями от 06.07.1997 г.), выпущенные соответственно в 1995» 1992 и 1993 гг. В 1981 г. Совет Европы одобрил Конвенцию по защите данных. В Великобритании аналогичный закон принят в 1984 г. Названные законы устанавливают нормы» регулирующие отношения в области формирования и потребления информационных ресурсов, создания и применения информационных систем, информационных технологий и средств их обеспечения, защиты информации и защиты прав граждан в условиях информатизации общества.
С развитием Web-технологии и коммерции в Интернете проблемы защиты конфиденциальной информации многократно возросли. Исследования показали, что, когда дело касается Web и коммерции в Интернете, потребителей в первую очередь интересует вопрос соблюдения конфиденциальности данных о личности потребителя. В то же время 85% Web-сайтов собирают такую информацию и лишь 14% из них сообщили Федеральной торговой комиссии США (ФТК), какая это информация и как они с нею поступают. В связи с актуальностью проблемы в 1998 г. рядом компаний (в том числе AOL, IBM, Microsoft] и др.) создан Союз защиты конфиденциальности в сети — ОРА (Online Privacy Alliance http://www.ptiva-cvalliance.org), сформулировавший свои задачи, политику защиты частной информации и политику наблюдения за соблюдением принятых норм. По данным аналитической организации ЮС в 2002 г. мировые затраты на ПО для обеспечения Интернет-безопасности составили $14 млрд, а в 2006 г. на долю средств защиты информации придется около 11 % от всех расходов индустрии ИТ.
Существуют следующие принципы защиты информации (ЗИ):
 - ЗИ должна быть комплексной и включать правовые, административные и программно-аппаратные средства;
 - ЗИ должна строиться адаптивно с учетом постоянно изменяющихся условий;
 - абсолютно надежной ЗИ не существует, поэтому она должна строиться исходя из характера потенциальной угрозы и ценности защищаемой информации, что определяет в комплексе характер выделяемых на нее сил и средств.
В зависимости от характера Зй различают:
 - защиту от несанкционированного доступа ресурсов автономно работающего ПК (реализуется преимущественно программными и программно-аппаратными средствами);
 - защиту серверов и отдельных пользователей сети Интернет от хакеров (для этого используются межсетевые экраны — брандмауэры);
 - защиту секретной, конфиденциальной и личной информации от чтения и использования посторонними лицами (применяются программные, в том числе криптографические и аппаратные средства);
 - ЗИ от утечки по побочным каналам, например, радио, электромагнитного излучения, цепям питания и т.п. (применяются разнородные средства — экранирование рабочих помещений, генераторы шума, специальные составы оборудования и комплектующих средств, имеющие минимальный уровень излучения и т. п.);
 - защиту программного обеспечения от копирования (использование электронных ключей);
 - ЗИ от шпионских устройств, устанавливаемых непосредственно в комплектующие изделия ПК (выполняется специальными средствами компетентных органов);
 - ЗИ от сетевых атак, а также атак методами социальной инженерии;
 - Борьбу с киберсквоттингом.
ITSEC (Information Technology Security Evaluation Criteria) — принятые в 1991 г. сообществом четырех европейских стран (Франция, Германия, Нидерланды и Великобритания) "Критерии оценки безопасности информационных технологий". Указанные в документе критерии рассматривают следующие составные части информационной безопасности:
 - конфиденциальность информации [information sensitivity]— защита от несанкционированного получения информации;
 - целостность информации [information integrity] —защита от несанкционированного изменения данных (информации);
 - доступность информации [information accessibility]— защита от несанкционированного удержания информации и ресурсов.
Обеспечение гарантированных функций безопасности в соответствии с указанными критериями достигается комплексом мер, распределенных по своему содержанию в следующих разделах выпущенного ITSEC нормативного акта: "Идентификация и аутентификация", "Управление доступом", "Подотчетность", "Аудит", "Повторное использование объектов", "Точность информации", "Надеж™ ность обслуживания" и "Обмен данными". Для облегчения задач оценки и сертификации информационных систем и продуктов "Критерии ..." содержат описания десяти типизированных классов функций безопасности для правительственных и коммерческих систем.
Конфиденциальная информация [sensitive information]
1. Сведения о личности, которые охраняются законодательством в соответствии с правом гражданина на защиту от тайного надзора или нанесения ему ущерба со стороны государства, каких-либо юридических, а также других частных лиц. Сохранение конфиденциальности находится в определенном противоречии с требованиями обеспечения государственной безопасности и поддержки других государственных интересов. Оно еще более усложняется в условиях действия современных информационных технологий, в том числе создания и развития правительственных и неправительственных банков данных, которые содержат или могут содержать конфиденциальную информацию, и средств теледоступа к ним.
2. Любая информация, требующая защиты от несанкционированного доступа.
Копирайт [copyright] —право автора или собственника какого-либо продукта интеллектуальной деятельности (например литературного произведения, про™ граммы, базы данных и т.п.) запретить его несанкционированное использование и тиражирование. Защищается государственным и международным законодательством. В России такими законодательными актами являются закон "Об информации, информатизации и защите информации" (базовый) и закон "О правовой охране программ для электронных вычислительных машин и баз данных", выпущенные соответственно в 1995 и 1992 гг. В 1981 г. Совет Европы одобрил Конвенцию по защите данных. В Великобритании аналогичный закон принят в 1984 г. Указанные законы устанавливают нормы, регулирующие отношения в области формирования и потребления информационных ресурсов, создания и применения информационных систем, информационных технологий и средств их обеспечения, защиты информации и защиты прав граждан в условиях информатизации общества (см. также "ITSEC").
Система защиты данных [security system] —комплекс программных, технических, криптографических и организационных средств, обеспечивающих защиту данных от несанкционированного доступа к ним, их использования, а также преднамеренного или случайного разрушения и искажения.