И конфиденциальных документов

 

Система защиты информации (СЗИ) представляет собой ком­плекс организационных, технических и технологических средств, методов и мер, препятствующих несанкционированному (незакон­ному) доступу к информации.

Собственник или владелец информации лично определяет не толь­ко состав ценной информации, подлежащей защите, но и соответству­ющие способы и средства защиты. Одновременно им разрабатываются меры материального и морального стимулирования сотрудников, со­блюдающих порядок защиты ценной информации, и меры ответствен­ности персонала за разглашение тайны фирмы. Система защиты ин­формации должна быть многоуровневой с иерархическим доступом к информации, предельно конкретизированной и привязанной к специ­фике фирмы по структуре используемых методов и средств защиты, открытой для регулярного обновления, надежной как в обычных, так и в экстремальных ситуациях. Она не должна создавать сотрудникам фир­мы серьезные неудобства в работе.

Комплексность системы защиты достигается ее формированием из различных элементов - правовых, организационных, техничес­ких и программно-математических. Соотношение элементов и их со­держание обеспечивают индивидуальность системы защиты инфор­мации фирмы и гарантируют ее неповторимость и трудность преодо­ления. Конкретную систему защиты можно представить в виде кир­пичной стены, состоящей из множества разнообразных элементов (кирпичиков). Соотношение элементов системы, их состав и взаи­мосвязь отражают, определяют не только ее индивидуальность, но и конкретный заданный уровень защиты с учетом ценности информа­ции и стоимости подобной системы.

Элемент правовой защиты информации предполагает:

наличие в учредительных и организационных документах фир­мы, контрактах, заключаемых с сотрудниками, и в должностных инструкциях положений и обязательств по защите сведений, состав­ляющих тайну фирмы и ее партнеров;

формулирование и доведение до сведения всех сотрудников фирмы механизма правовой ответственности за разглашение конфи­денциальных сведений.

В правовой элемент системы защиты может также включаться страхование ценной информации от различных рисков.

Элемент организационной защиты информации содержит меры управленческого и ограничительного характера, побуждающие пер­сонал соблюдать правила защиты конфиденциальной информации, и включает в себя:

формирование и регламентацию деятельности службы безопас­ности фирмы, обеспечение этой службы нормативно-методически­ми документами по организации и технологии защиты информации;

регламентацию и регулярное обновление перечня (списка) цен­ной, конфиденциальной информации, подлежащей защите, состав­ление и ведение перечня конфиденциальных документов фирмы;

регламентацию системы (иерархической схемы) разграничения доступа персонала к конфиденциальной информации;

регламентацию технологии защиты и обработки конфиденциаль­ных документов фирмы;

построение защищенного традиционного или безбумажного документооборота;

построение технологии документирования ценной информации, составления, оформления, изготовления и издания конфиденциаль­ных документов;

построение технологической системы обработки и хранения конфиденциальных документов;

организацию архивного хранения конфиденциальных докумен­тов;

регламентацию защиты ценной информации фирмы от несанк­ционированных действий персонала;

порядок и правила работы персонала с конфиденциальными до­кументами и информацией, контроль за исполнением всеми сотруд­никами этого порядка и правил;

отбор персонала для работы с конфиденциальной информаци­ей, обучения и инструктирования сотрудников;

порядок защиты информации при ведении переговоров, прове­дении совещаний по конфиденциальным вопросам, приеме посети­телей, осуществлении рекламной, выставочной и другой деятельно­сти;

регламентацию аналитической работы по выявлению угроз цен­ной информации фирмы и каналов утечки информации;

оборудование и аттестацию помещений и рабочих зон, выде­ленных для осуществления конфиденциальной деятельности, ли­цензирование технических систем и средств защиты информации и охраны;

регламентацию пропускного режима на территории, в зданиях и помещениях фирмы, идентификацию персонала и грузов;

регламентацию системы охраны территории, здания, помеще­ний, оборудования, денежных средств, транспорта и персонала фирмы;

регламентацию организационных вопросов эксплуатации техни­ческих средств защиты информации и охраны;

регламентацию действий службы безопасности и персонала в экстремальных ситуациях;

регламентацию работы по управлению системой защиты инфор­мации фирмы.

Элемент организационной защиты является стержнем, который связывает в единую систему все другие элементы.

Центральной проблемой при разработке методов организацион­ной защиты информации является формирование разрешительной (разграничительной) системы доступа персонала к конфиденциаль­ным сведениям, документам и базам данных. Важно четко и одно­значно установить: кто, кого, к каким сведениям, когда, на какой период и как допускает.

Разрешительная система доступа решает следующие задачи:

обеспечение сотрудников всеми необходимыми для работы до­кументами и информацией;

ограничение круга лиц, допускаемых к конфиденциальным до­кументам;

исключение несанкционированного ознакомления с документами.

Иерархическая последовательность доступа реализуется по прин­ципу «чем выше ценность конфиденциальных сведений, тем меньшее число сотрудников могут их знать». В соответствии с этой последова­тельностью определяется необходимая степень ужесточения защитных мер, структура рубежей (эшелонов) защиты информации.

Доступ сотрудника к конфиденциальным сведениям, осуществ­ляемый в соответствии с разрешительной системой, называется санкционированным. Разрешение (санкция) на доступ к этим сведениям всегда является строго персонифицированным и дается руководите­лем в письменном виде: приказом, утверждающим схему должност­ного или именного доступа к информации, резолюцией на докумен­те, списком-разрешением в карточке выдачи дела или на обложке дела, списком ознакомления с документом.

Организационные меры защиты отражаются в нормативно-методических документах службы безопасности фирмы. В этой свя­зи часто используется единое название двух рассмотренных выше элементов системы защиты - элемент организационно-правовой за­щиты информации.

Элемент технической защиты включает:

средства защиты технических каналов утечки информации, воз­никающих при работе ЭВМ, средств связи, копировальных аппа­ратов, принтеров, факсов и других приборов и оборудования;

средства защиты помещений от визуальных и акустических спо­собов технической разведки;

средства охраны зданий и помещений от проникновения посто­ронних лиц (средства наблюдения, оповещения, сигнализации, ин­формирования и идентификации, инженерные сооружения);

средства противопожарной охраны;

средства обнаружения приборов и устройств технической раз­ведки (подслушивающих и передающих устройств, звукозаписываю­щей и телевизионной аппаратуры и т.п.).

Элемент программно-математической защиты информации включает:

регламентацию доступа к электронным документам персональ­ными паролями, идентифицирующими командами и другими про­стейшими методами защиты;

регламентацию специальных средств и продуктов программной защиты;

регламентацию криптографических методов защиты информа­ции в ЭВМ и сетях, криптографирования (шифрования) текста до­кументов при передаче их по каналам обычной и факсимильной связи, при пересылке почтой.

В каждом элементе защиты могут быть реализованы на практике только отдельные составные части. Например, в организационной защите можно регламентировать только приемы обработки конфи­денциальных документов и систему доступа к ним персонала. Мето­ды и средства защиты информации в рамках системы защиты Долж­ны регулярно изменяться с целью предотвращения их раскрытия злоумышленником.

Конкретная система защиты информации фирмы всегда являет­ся строго конфиденциальной. Разработчики этой системы никогда не должны быть ее пользователями.

Следовательно, используемая фирмой система защиты ценной, конфиденциальной информации является индивидуализированной совокупностью необходимых элементов защиты, каждый из которых в отдельности решает свои специфические для данной фирмы зада­чи и обладает конкретизированным относительно этих задач содер­жанием. В комплексе эти элементы формируют многорубежную за­щиту секретов фирмы и дают относительную гарантию безопасности предпринимательской деятельности фирмы.

 

⇐ Предыдущая32333435363738394041Следующая ⇒

Поделиться:

Воспользуйтесь поиском по сайту: