Защита информации

8.                  Порядка защиты ценной информации предприятия от случайных или умышленных несанкционированных действий работников банка;

9.                  Порядка защиты информации при проведении совещаний, заседаний, переговоров, приеме посетителей, работе с представителями контрольных органов, средств СМИ, рекламных агентств и т.д.;

10.             Оборудования и аттестации зданий и помещений, рабочих зон, выделенных для работы с документированной информацией (62, с.23).

Инженерно-технический элемент предназначен для пассивного и активного противодействия средствами технической разведки и формирования рубежей охраны территории, здания, помещений и оборудования с помощью комплексов технических средств. При защите информационных систем этот элемент имеет весьма важное значение, хотя стоимость средств технической защиты и охраны велика.

Элемент включает в себя:

1. Сооружения физической (инженерной) защиты от проникновения посторонних лиц на территорию, в здание и помещение (заборы, решетки, стальные двери, кодовые замки, идентификаторы, сейфы);
2. Средства защиты технических каналов утечки информации, возникающих при работе ЭВМ, средств связи, копировальных аппаратов, принтеров, факсов и других приборов и офисного оборудования, проведении совещаний, заседаний, беседах с посетителями и сотрудниками, диктовке документов;
3. Средства защиты помещений от визуальных способов технической разведки;
4. Средства обеспечения охраны территории, здания и помещений (средств наблюдения, оповещения, сигнализация);
5. Средства противопожарной охраны;
6. Средства обнаружения приборов и устройств технической разведки (подслушивающих и передающих устройств, тайно установленной миниатюрной звукозаписывающей и телевизионной аппаратуры);
7. Технические средства контроля, предотвращающие вынос персоналом из помещения специально маркированных предметов, документов, дискет, книг (72, с.36).

Программно-математический элемент предназначен для защиты ценной информации, обрабатываемой и хранящейся в компьютерах, серверах и рабочих станциях локальных сетей и различных информационных системах. Элемент включает в себя:

1. Регламентацию доступа к базам данных, файлам, электронным документам персональными паролями, идентифицирующими командами и другими методами;
2. Регламентацию специальных средств и продуктов программной защиты;
3. Регламентацию криптографических методов защиты информации в ЭВМ и сетях, криптографирования (шифрования) текста документов при передаче их по каналам телеграфной и факсимильной связи, при пересылке почтой;
4. Регламентацию доступа персонала в режимные (охраняемые) помещения с помощью идентифицирующих кодов, магнитных карт, биологических идентификаторов (72, с.37).

Криптографическое обеспечение включает в регламентацию:

1. Использования различных криптографических методов в компьютерах и серверах, корпоративных и локальных сетях, различных информационных системах;
2. Определение условий и методов криптографирования текста документа при передаче его по незащищенным каналам почтовой, телеграфной, телетайпной, факсимильной и электронной связи; регламентацию использования средств криптографирования переговоров по незащищенным каналам телефонной, спутниковой и радиосвязи;
3. Регламентацию доступа к базам данных, файлам, электронным документам персональными паролями, идентифицирующими командами и другими методами; регламентацию доступа персонала в выделенные помещения с помощью идентифицирующих кодов, шифров (например, на сегодняшний день вошло в практику использования, как идентифицирующий кодов системы паролей, отпечатков пальцев и сетчатки глаза человека) (72, с.39).

Составные части криптографической защиты, пароли и другие ее атрибуты разрабатываются и меняются специализированными организациями, входящими в структуру Федеральной службы по техническому и экспертному контролю России. Применение пользователями иных систем шифровки не допускается (49, с. 19).

Таким образом, наиболее часто встречающимися угрозами (опасностями) конфиденциальных документов являются:

1.                  Несанкционированный доступ постороннего лица к документам, делам и базам данных за счет его любопытства или обманных, провоцирующих действий, а также случайных или умышленных ошибок персонала фирмы;

2.                  Утрата документа или его отдельных частей (листов, приложений, схем, копий, экземпляров, фотографий и др.), носителя чернового варианта документа или рабочих записей за счет кражи, утери, уничтожения;

3.                  Утрата информацией конфиденциальности за счет ее разглашения персоналом или утечки по техническим каналам, считывания данных в чужих массивах, использования остаточной информации на копировальной ленте, бумаге, дисках и дискетах, ошибочных действий персонала;

4.                  Подмена документов, носителей и их отдельных частей с целью фальсификации, а также сокрытия факта утери, хищения;

5.                  Случайное или умышленное уничтожение ценных документов и баз данных, несанкционированная модификация и искажение текста, реквизитов, фальсификация документов;

6.                  Гибель документов в условиях экстремальных ситуаций (52, с.24).

В отношении конфиденциальной информации, обрабатываемой и хранящейся в компьютерах, условия возникновения угроз, классифицируются по степени риска следующим образом:

1.                  Непреднамеренные ошибки пользователей, референтов, операторов, референтов, управляющих делами, системных администраторов и других лиц, обслуживающих информационные системы;

2.                  Кражи и подлоги информации;

3.                  Стихийные ситуации внешней среды;

4.                  Заражение вирусами.

Рис.1. Самые опасные ИТ-угрозы (исследование Infowatch, 2004).

Cистема защиты информационных ресурсов включает в себя следующие элементы:

                  правовой;

                  организационный;

                  инженерно-технический;

                  программно-аппаратный;

                  криптографический (51, с.26)

В каждой вышеупомянутой части обеспечение системы защиты информации организации могут быть реализованы на практике только отдельно составные элементы, в зависимости от: поставленных задач защиты организации; величины фирмы.

Структура системы, состав и содержание комплекса частей обеспечения системы защиты информации фирмы, их взаимосвязь зависят от ценности защищаемой и охраняемой информации, характера возникающих угроз информационной безопасности предприятия, требуемой защиты и стоимости системы.

Одним из основных признаков защищаемой информации являются ограничения, вводимые собственником информации на ее распространение и использование.

В общем виде цели защиты информации сводятся к режимно-секретному информационному обеспечению деятельности государства, отрасли, предприятия, фирмы. Защита информации разбивается на решение двух основных групп задач:

1. Своевременное и полное удовлетворение информационных потребностей, возникающих в процессе управленческой, инженерно-технической, маркетинговой и иной деятельности, то есть обеспечение специалистов организаций, предприятий и фирм секретной или конфиденциальной информации.
2. Ограждение засекреченной информации от несанкционированного доступа к ней соперника, других субъектов в злонамеренных целях (103, с.52).

Риск угрозы утечки любых информационных ресурсов (открытых и с ограниченным доступом) создают стихийные бедствия, экстремальные ситуации, аварии технических средств и линий электроснабжения, связи, другие объективные обстоятельства, а также заинтересованные и не заинтересованные в возникновении угрозы лица. Пример тому - сбой электроснабжения в Москве в 2005 году, последствия которого до сих пор испытывают некоторые организации (60, с.145).

Главная задача защиты информации, по мнению большинства специалистов, - защитить доступ (физический или программный) к месту пребывания электронной конфиденциальной информации таким образом, чтобы максимально удорожить процесс несанкционированного доступа к защищаемым данным (101, с.220).

Глава 2. Организация работы с документами, содержащими конфиденциальные сведения

2.1 Нормативно-методическая база конфиденциального делопроизводства

Отношения, возникающие при создании, накоплении, обработке, хранении и использовании документов, содержащих конфиденциальную информацию регулируются соответствующими законодательными и подзаконными актами.

К числу базовых относится, в первую очередь, Конституция РФ. В ст.23 (1) установлено право неприкосновенность личной жизни, личной и семейной тайны, тайны телефонных переговоров, почтовых, и иных сообщений. При этом ограничение этого права допускается только на основании судебного решения. Конституцией РФ не допускается (ст.24) сбор, хранение, использование и распространение информации о частной жизни лица без его согласия (1).

27 июля 2006 года Президент РФ В.В. Путин подписал два важнейших для сферы документационного обеспечения управления (делопроизводства) федеральных закона: № 149 - ФЗ "Об информации, информационных технологиях и о защите информации" (8) и № 152-ФЗ "О персональных данных" (9).

10 января 2002 года Президентом был подписан закон "Об электронной цифровой подписи" (5), развивающий и конкретизирующий положения приведенного выше закона "Об информации…".

Основными также являются законы РФ: "О государственной тайне" от 22 июля 2004 г. (4); "О коммерческой тайне" от 29 июля 2004 (он содержит в себе информацию, составляющую коммерческую тайну, режим коммерческой тайны, разглашение информации, составляющую коммерческую тайну) (6); "Об утверждении Перечня сведений конфиденциального характера" (11); "Об утверждении Перечня сведений, отнесенных к государственной тайне" (12); "Об утверждении Перечня сведении, которые не могут составлять коммерческую тайну" (13). Ряд подзаконных правовых нормативных актов, регламентируют организацию защиты государственной тайны, ведение секретного делопроизводства, порядок допуска к государственной тайне должностных лиц и граждан РФ: "Об утверждении положения о лицензировании деятельности по технической защите конфиденциальной информации (15), "Об утверждении правил оказания услуг телеграфной связи"" (17) и др.

Ряд вопросов, связанных с защитой конфиденциальной информации, регулируется Уголовно-процессуальным кодексом РФ, в нем имеются положения, касающиеся тайны переписки, телефонных и иных переговоров, почтовых отправлений, телефонных и иных сообщений.

Нормы регулирования отношений, возникающих при обращении конфиденциальной информации, содержатся также в Гражданском кодексе РФ. При этом конфиденциальная информация относится в Гражданском кодексе РФ к нематериальным благам (ст.150) (2).

Критерии, по которым сведения относятся к служебной и коммерческой тайне, содержатся в ст.139 Гражданского кодекса РФ. Она гласит, что информация составляет служебную или коммерческую тайну в случае, когда:

1. Эта информация имеет действительную или потенциальную ценность в силу неизвестности ее третьим лицам;

2. К этой информации нет свободного доступа на законном основании и обладатель информации принимает меры к охране ее конфиденциальности (2).

Кроме того, определение конфиденциальности коммерческой информации содержится в ст.727 Гражданского кодекса РФ (2).

Весьма продвинутым в плане информационной безопасности является Уголовный кодекс РФ. Он содержит ряд положений, относящихся к защите информации ограниченного доступа и ответственности за ее неправомерное использование (ст.137, 138, c.310).

Особым видом ответственности за нарушение коммерческой тайны является лишение соответствующей аттестации, лицензии уполномоченным органом (см., например, ст.165 Таможенного кодекса РФ). Но привлечение к данному виду ответственности в целом не получило к настоящему времени широкое распространение.

Правовые нормы, регулирующие использование конфиденциальной информации в судебных разбирательствах - эти нормы, в частности, установлены в Гражданско-процессуальном кодексе РФ.

Основные требования, предъявляемые к порядку обращения с конфиденциальной информацией в государственных и коммерческих структурах, содержатся также в ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма" (26).

Можно сказать, что законодательные акты РФ не регламентируют в полной мере порядок учета, хранения и использования документов, содержащих конфиденциальную информацию.

Вместе с тем, в некоторых законах содержатся отдельные положения, определяющие общие принципы учета, хранения и использования документов, содержащих конфиденциальные сведения.

В целом же, в нашей стране не имеется нормативного правового акта, который устанавливал бы единый порядок учета, хранения и использования документов, содержащих конфиденциальную информацию. Это объясняется тем, что понятие "конфиденциальная информация" включает в себя самые разные категории информации ограниченного доступа. По этой же причине крайне сложной и вряд ли целесообразной представляется разработка какого-либо единого нормативного документа, регламентирующего работу с документами, содержащими все виды конфиденциальной информации.