Защита информации

Разрешение на доступ к конфиденциальным сведениям представителя другой фирмы или предприятия оформляется резолюцией полномочного должностного лица на предписании (или письме, обязательстве), представленном заинтересованным лицом. В резолюции должны быть указаны конкретные документы или сведения, к которым разрешен доступ. Одновременно указывается фамилия сотрудника фирмы, который знакомит представителя другого предприятия с этими сведениями и несет ответственность за его работу в помещении фирмы (57, с.13).

Следует соблюдать правило, по которому регистрируются все лица, имеющие доступ к определенным документам, коммерческим секретам. Это позволяет на высоком уровне осуществлять информационное обеспечение аналитической работы по выявлению возможных каналов утраты информации.

При организации доступа сотрудников фирмы к конфиденциальным массивам электронных документов, базам данных необходимо помнить о его многоступенчатом характере. Можно выделить следующие главные составные части:

              доступ к ПК, серверу или рабочей станции;

              доступ к машинным носителям информации, хранящимся вне ЭВМ.

Доступ к персональному компьютеру, серверу или рабочей станции, которые используются для обработки конфиденциальной информации, предусматривает:

              определение и регламентацию первым руководителем фирмы состава сотрудников, имеющих право доступа (входа) в помещение, в котором находится соответствующая вычислительная техника, средства связи,

              регламентацию первым руководителем временного режима нахождения этих лиц в указанных помещениях; персональное и временное протоколирование (фиксирование) руководителем подразделения или направления деятельности фирмы наличия разрешения и периода работы этих лиц в иное время (например, в вечерние часы, выходные дни и др.),

              организацию охраны этих помещений в рабочее и нерабочее время, определение правил вскрытия помещений и отключения охранных технических средств информации и сигнализирования; определение правил постановки помещений на охрану; регламентацию работы, указанных технических средств в рабочее время,

              организацию контролируемого (в необходимых случаях пропускного) режима входа в указанные помещения и выхода из них,

              организацию действий охраны и персонала в экстремальных ситуациях или при авариях техники и оборудования помещений,

              организацию выноса из указанных помещений материальных ценностей, машинных и бумажных носителей информации; контроль вносимых в помещение и выносимых персоналом личных вещей (56, с.302).

Любое несанкционированное или санкционированное обращение к информации должно регистрироваться. Рекомендуется систематически проверять используемое пользователями программное обеспечение с целью обнаружения неутвержденных или необычных программ. Применение персоналом собственных защитных мер при работе с компьютером не допускается. При несанкционированном входе в конфиденциальный файл информация должна немедленно автоматический стираться

Несмотря на то, что по окончании рабочего дня конфиденциальные сведения должны быть перенесены на гибкие носители и стерты с жесткого диска компьютера, помещения, в которых находится вычислительная техника, подлежат охране. Объясняется это тем, что, во-первых, в неохраняемый компьютер легко установить какое-либо средство промышленного шпионажа, во-вторых, злоумышленник может с помощью специальных методов восстановить стертую конфиденциальную информацию на жестком диске (произвести "уборку мусора").

Доступ к машинным носителям конфиденциальной информации, хранящимся вне ЭВМ, предполагает:

              организацию учета и выдачи сотрудникам чистых машинных носителей информации,

              организацию ежедневной фиксируемой выдачи сотрудникам и приема от сотрудников носителей с записанной информацией (основных и резервных),

              определение и регламентацию первым руководителем состава сотрудников, имеющих право оперировать конфиденциальной информацией с помощью компьютеров, установленных на их рабочих местах, и получать в службе конфиденциального делопроизводства учтенные машинные носители информации;

              организацию системы закрепления за сотрудниками машинных носителей информации и контроля за сохранностью и целостностью информации, учета динамики изменения состава записанной информации;

              организацию порядка уничтожения информации на носителе, порядка и условий физического уничтожения носителя,

              организацию хранения машинных носителей в службе конфиденциального делопроизводства в рабочее и нерабочее время, регламентацию порядка эвакуации носителей в экстремальных ситуациях,

                  определение и регламентацию первым руководителем состава сотрудников не сдающих по объективным причинам технические носители информации на хранение в службу конфиденциального делопроизводства в конце рабочего дня, организацию особой охраны помещений и компьютеров этих сотрудников.

Работа сотрудников службы конфиденциального делопроизводства и фирмы в целом с машинными носителями информации вне ЭВМ должна быть организована по аналогии с бумажными конфиденциальным документооборотом.

Доступ к конфиденциальным базам данных и файлам является завершающим этапом доступа сотрудника фирмы к компьютеру. И если этот сотрудник - злоумышленник, то можно считать, что самые серьезные рубежи защиты охраняемой электронной информации он успешно прошел. В конечном счете, он может просто унести компьютер или вынуть из него и унести жесткий диск, не "взламывая" базу данных (53; 50).

Обычно доступ к базам данных и файлам подразумевает:

1. определение и регламентацию первым руководителем состава сотрудников, допускаемых к работе с определенными базами данных и файлами; контроль системы доступа администратором базы данных;
2. наименование баз данных и файлов, фиксирование в машинной памяти имен пользователей и операторов, имеющих право доступа к ним;
3. учет состава базы данных и файлов, регулярную проверку наличия, целостности и комплектности электронных документов;
4. регистрацию входа в базу данных, автоматическую регистрацию имени пользователя и времени работы; сохранение первоначальной информации;
5. регистрацию попытки несанкционированного входа в базу данных, регистрацию ошибочных действий пользователя, автоматическую передачу сигнала тревоги охране и автоматическое отключение компьютера;
6. установление и нерегулярное по сроку изменение имен пользователей, массивов и файлов (паролей, кодов, классификаторов, ключевых слов и т.п.), особенно при частой смене персонала;
7. отключение ЭВМ при нарушениях в системе регулирования доступа или сбое системы защиты информации, механическое (ключом или иным приспособлением) блокирование отключенной, но загруженной ЭВМ при недлительных перерывах в работе пользователя. Коды, пароли, ключевые слова, ключи, шифры, специальные программные продукты, аппаратные средства и т.п. атрибуты системы защиты информации в ЭВМ разрабатываются, меняются специализированной организацией и индивидуально доводятся до сведения каждого пользователя работником этой организации или системным администратором Применение пользователем собственных кодов не допускается (65. c.64).

Таким образом, процедуры допуска и доступа сотрудников к конфиденциальной информации завершают процесс включения данного сотрудника в состав лиц, реально владеющих тайной фирмы. С этого времени большое значение приобретает текущая работа с персоналом, в распоряжении которого находятся ценные и конфиденциальные сведения.

Разрешение (санкция) на доступ к конкретной информации может быть дано при соблюдении следующих условий:

              наличие подписанного приказа первого руководителя о приеме на работу (переводе, временном замещении, изменении должностных обязанностей и т.п.) или назначении на должность, в функциональную структуру которой входит работа с данной, конкретной информацией;

              наличие подписанного сторонами трудового договора (контракта), имеющего пункт о сохранении тайны фирмы и подписанного обязательства о неразглашении ставших известными конфиденциальных сведений и соблюдении правил их зашиты,

              соответствие функциональных обязанностей сотрудника передаваемым ему документам и информации;

              знание сотрудником требований нормативно-методических документов по защите информации и сохранении тайны фирмы,

              наличие необходимых условий в офисе для работы с конфиденциальными документами и базами данных;

              наличие систем контроля за работой сотрудника.

Разрешение на доступ к конфиденциальным сведениям строго персонифицировано, те руководители несут персональную ответственность за правильность выдаваемых ими разрешений на доступ исполнителей к конфиденциальным сведениям, а лица, работающие с конфиденциальными документами, несут персональную ответственность за сохранение в тайне их содержания, сохранность носителя и соблюдение установленных правил работы с документами.

2.3 Технологические основы обработки конфиденциальных документов

Совокупность технологических стадий (функциональных элементов), сопровождающих потоки конфиденциальных документов, несколько отличается от аналогичной совокупности, свойственной потокам открытых документов. Так, входной документопоток включает в себя следующие стадии обработки конфиденциальных сведений:

1. Прием, учет и первичная обработка поступивших пакетов, конвертов, незаконвертованных документов;
2. Учет поступивших документов и формирование справочно-информационного банка данных по документам;
3. Предварительное рассмотрение и распределение поступивших документов;
4. Рассмотрение документов руководителям! и передача документов на исполнение;
5. Ознакомление с документами исполните лей, использование или исполнение документов. (47, с.120).

Выходной и внутренний документопотоки включают в себя следующие стадии обработки конфиденциальных документов:

1. Исполнение документов (этапы: определение уровня грифа конфиденциальности предполагаемого документа, учет носителя будущего документа, составление текста, учет подготовленного документа, его изготовление и издание);
2. Контроль исполнения документов;
3. Обработка изданных документов (экспедиционная обработка документов и отправка их адресатам; передача изданных внутренних документов на исполнение);
4. Систематизация исполненных документов в соответствии с номенклатурой дел, оформление, формирование и закрытие дел;
5. Подготовка и передача дел в ведомственный архив (архив фирмы).

В состав всех документопотоков включается также ряд дополнительных стадий обработки конфиденциальных документов:

1. Инвентарный учет документов, дел и носителей информации, не включаемых в номенклатуру дел;
2. Проверка наличия документов, дел и носителей информации;
3. Копирование и тиражирование документов;
4. Уничтожение документов, дел и носителей информации. (47, с.120).

Стадии, составляющие тот или иной документопоток, реализуются специализированной технологической системой обработки и хранения конфиденциальных документов.

Под технологической системой обработки и хранения конфиденциальных документов понимается упорядоченный комплекс организационных и технологических процедур и операций, предназначенных для практической реализации задач, стоящих перед функциональными элементами (стадиями) документопотока (53, с.42). Технология обработки и хранения конфиденциальных и открытых документов базируется на единой научной и методической основе, призванной решать задачи обеспечения документированной информацией управленческие и производственные процессы. Одновременно технологическая система обработки и хранения конфиденциальных документов решает и другую не менее важную задачу - обеспечение защиты носителей информации и самой информации от потенциальных и реальных угроз их безопасности.

В отличие от открытых документов к обработке конфиденциальных документов предъявляются следующие серьезные требования, которые в определенной степени гарантируют решение указанных задач: