11.3. система защиты ценной информации и конфиденциальных документов

11.3. система защиты ценной информации и конфиденциальных документов

Система защиты информации (СЗИ) представляет собой комплекс организационных, технических и технологических средств, методов и мер, препятствующих несанкционированному (незаконному) доступу к информации.

Собственник или владелец информации лично определяет не только состав ценной информации, подлежащей защите, но и соответствующие способы и средства защиты. Одновременно им разрабатываются меры материального и морального стимулирования сотрудников, соблюдающих порядок защиты ценной информации, и меры ответственности персонала за разглашение тайны фирмы. Система защиты информации должна быть многоуровневой с иерархическим доступом к информации, предельно конкретизированной и привязанной к специфике фирмы по структуре используемых методов и средств защиты, открытой для регулярного обновления, надежной как в обычных, так и в экстремальных ситуациях. Она не должна создавать сотрудникам фирмы серьезные неудобства в работе.

Комплексность системы защиты достигается ее формированием из различных элементов правовых, организационных, технических и программно-математических. Соотношение элементов и их содержание обеспечивают индивидуальность системы защиты информации фирмы и гарантируют ее неповторимость и трудность преодоления. Конкретную систему защиты можно представить в виде кирпичной стены, состоящей из множества разнообразных элементов (кирпичиков). Соотношение элементов системы, их состав и взаимосвязь отражают, определяют не только ее индивидуальность, но и конкретный заданный уровень защиты с учетом ценности информации и стоимости подобной системы.

Элемент правовой защиты информации предполагает:

наличие в учредительных и организационных документах фирмы, контрактах, заключаемых с сотрудниками, и в должностных инструкциях положений и обязательств по защите сведений, составляющих тайну фирмы и ее партнеров;

формулирование и доведение до сведения всех сотрудников фирмы механизма правовой ответственности за разглашение конфиденциальных сведений.

В правовой элемент системы защиты может также включаться страхование ценной информации от различных рисков.

Элемент организационной защиты информации содержит меры управленческого и ограничительного характера, побуждающие персонал соблюдать правила защиты конфиденциальной информации, и включает в себя:

формирование и регламентацию деятельности службы безопасности фирмы, обеспечение этой службы нормативно-методическими документами по организации и технологии защиты информации;

регламентацию и регулярное обновление перечня (списка) ценной, конфиденциальной информации, подлежащей защите, составление и ведение перечня конфиденциальных документов фирмы;

регламентацию системы (иерархической схемы) разграничения доступа персонала к конфиденциальной информации;

регламентацию технологии защиты и обработки конфиденциальных документов фирмы;

построение защищенного традиционного или безбумажного документооборота;

построение технологии документирования ценной информации, составления, оформления, изготовления и издания конфиденциальных документов;

построение технологической системы обработки и хранения конфиденциальных документов;

организацию архивного хранения конфиденциальных документов;

регламентацию защиты ценной информации фирмы от несанкционированных действий персонала;

порядок и правила работы персонала с конфиденциальными документами и информацией, контроль за исполнением всеми сотрудниками этого порядка и правил;

отбор персонала для работы с конфиденциальной информацией, обучения и инструктирования сотрудников;

порядок защиты информации при ведении переговоров, проведении совещаний по конфиденциальным вопросам, приеме посетителей, осуществлении рекламной, выставочной и другой деятельности;

регламентацию аналитической работы по выявлению угроз ценной информации фирмы и каналов утечки информации;

оборудование и аттестацию помещений и рабочих зон, выделенных для осуществления конфиденциальной деятельности, лицензирование технических систем и средств защиты информации и охраны;

регламентацию пропускного режима на территории, в зданиях и помещениях фирмы, идентификацию персонала и грузов;

регламентацию системы охраны территории, здания, помещений, оборудования, денежных средств, транспорта и персонала фирмы;

регламентацию организационных вопросов эксплуатации технических средств защиты информации и охраны;

регламентацию действий службы безопасности и персонала в экстремальных ситуациях;

регламентацию работы по управлению системой защиты информации фирмы.

Элемент организационной защиты является стержнем, который связывает в единую систему все другие элементы.

Центральной проблемой при разработке методов организационной защиты информации является формирование разрешительной (разграничительной) системы доступа персонала к конфиденциальным сведениям, документам и базам данных. Важно четко и однозначно установить: кто, кого, к каким сведениям, когда, на какой период и как допускает.

Разрешительная система доступа решает следующие задачи:

обеспечение сотрудников всеми необходимыми для работы документами и информацией;

ограничение круга лиц, допускаемых к конфиденциальным документам;

исключение несанкционированного ознакомления с документами.

Иерархическая последовательность доступа реализуется по принципу «чем выше ценность конфиденциальных сведений, тем меньшее число сотрудников могут их знать». В соответствии с этой последовательностью определяется необходимая степень ужесточения защитных мер, структура рубежей (эшелонов) защиты информации.

Доступ сотрудника к конфиденциальным сведениям, осуществляемый в соответствии с разрешительной системой, называется санкционированным. Разрешение (санкция) на доступ к этим сведениям всегда является строго персонифицированным и дается руководителем в письменном виде: приказом, утверждающим схему должностного или именного доступа к информации, резолюцией на документе, списком-разрешением в карточке выдачи дела или на обложке дела, списком ознакомления с документом.

Организационные меры защиты отражаются в нормативно-методических документах службы безопасности фирмы. В этой связи часто используется единое название двух рассмотренных выше элементов системы защиты элемент организационно-правовой защиты информации.

Элемент технической защиты включает:

средства защиты технических каналов утечки информации, возникающих при работе ЭВМ, средств связи, копировальных аппаратов, принтеров, факсов и других приборов и оборудования;

средства защиты помещений от визуальных и акустических способов технической разведки;

средства охраны зданий и помещений от проникновения посторонних лиц (средства наблюдения, оповещения, сигнализации, информирования и идентификации, инженерные сооружения);

средства противопожарной охраны;

средства обнаружения приборов и устройств технической разведки (подслушивающих и передающих устройств, звукозаписывающей и телевизионной аппаратуры и т.п.).

Элемент программно-математической защиты информации включает:

регламентацию доступа к электронным документам персональными паролями, идентифицирующими командами и другими простейшими методами защиты;

регламентацию специальных средств и продуктов программной защиты;

регламентацию криптографических методов защиты информации в ЭВМ и сетях, криптографирования (шифрования) текста документов при передаче их по каналам обычной и факсимильной связи, при пересылке почтой.

В каждом элементе защиты могут быть реализованы на практике только отдельные составные части. Например, в организационной защите можно регламентировать только приемы обработки конфиденциальных документов и систему доступа к ним персонала. Методы и средства защиты информации в рамках системы защиты Должны регулярно изменяться с целью предотвращения их раскрытия злоумышленником.

Конкретная система защиты информации фирмы всегда является строго конфиденциальной. Разработчики этой системы никогда не должны быть ее пользователями.

Следовательно, используемая фирмой система защиты ценной, конфиденциальной информации является индивидуализированной совокупностью необходимых элементов защиты, каждый из которых в отдельности решает свои специфические для данной фирмы задачи и обладает конкретизированным относительно этих задач содержанием. В комплексе эти элементы формируют многорубежную защиту секретов фирмы и дают относительную гарантию безопасности предпринимательской деятельности фирмы.