Тема 7.5 Защита конфиденциальной информации

Практической реализацией политики (концепции) информационной безопасности фирмы является технологическая система защиты информации. Защита информации представляет собой жестко регламентированный и динамический технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности ценных информационных ресурсов и, в конечном счете, обеспечивающий достаточно надеж­ную безопасность информации в процессе управленческой и производственной деятельности фирмы.

Система защиты информации — рациональная совокупность направлений, методов, средств и мероприятий, снижающих уязвимость информации и препятствующих несанкционированному дос­тупу к информации, ее разглашению или утечке. Главными требова­ниями к организации эффективного функционирования системы являются персональная ответственность руководителей и сотрудников за сохранность носителя и конфиденциальность информации, рег­ламентация состава конфиденциальных сведений и документов, подлежащих защите, регламентация порядка доступа персонала к конфиденциальным сведениям и документам, наличие специали­зированной службы безопасности, обеспечивающей практическую реализацию системы защиты и нормативно-методического обеспечения деятельности этой службы.

Собственники информационных ресурсов, в том числе государственные учреждения, организации и предприятия, самостоятельно определяют (за исключением информации, отнесенной к государственной тайне) необходимую степень защищенности ресурсов и тип системы, способы и средства защиты, исходя из ценности информации. Ценность информации и требуемая надежность ее защиты находятся в прямой зависимости. Важно, чтобы структура системы защиты охватывала не только электронные информационные системы, а весь управленческий комплекс фирмы в единстве его реальных функциональных и производственных подразделений, традиционных документационных процессов. Отказаться от бумаж­ных документов и часто рутинной, исторически сложившейся управленческой технологии не всегда представляется возможным, особенно если вопрос стоит о безопасности ценной, конфиденциальной информации.

Основной характеристикой системы является ее комплексность, т.е. наличие в ней обязательных элементов, охватывающих все на­правления защиты информации. Соотношение элементов и их со­держания обеспечивают индивидуальность построения системы защиты информации конкретной фирмы и гарантируют неповтори­мость системы, трудность ее преодоления. Конкретную систему защиты можно представить в виде кирпичной стены, состоящей из множества разнообразных элементов (кирпичиков). Элементами си­стемы являются:

* правовой;

* организационный;

* инженерно-технический;

* программно-аппаратный;

* криптографический.

 

Правовой элемент системы зашиты информации основывается на нормах информационного права. Правовой элемент предполагает юридическое закрепление взаимоотношений фирмы и государства по поводу правомерности использования системы защиты информации, фирмы и персонала. Правовой элемент  определяет обязанности персонала по соблюдению установ­ленных собственником информации ограничительных и техноло­гических мер защитного характера, а также ответственность пер­сонала за нарушение порядка защиты информации. Этот элемент включает:

* наличие в организационных документах фирмы, правилах внутреннего трудового распорядка, контрактах, заключаемых с сотрудниками, в должностных и рабочих инструкциях положений и обязательств по защите конфиденциальной информации;

• формулирование и доведение до сведения всех сотрудни­ков фирмы (в том числе не связанных с конфиденциаль­ной информацией) положения о правовой ответственнос­ти за разглашение конфиденциальной информации, не­санкционированное уничтожение или фальсификацию до­кументов;

• разъяснение лицам, принимаемым на работу, положения о добровольности принимаемых ими на себя ограничений, связанных с выполнением обязанностей по защите информации.

 

Организационный элемент системы защиты информации содер­жит меры управленческого, ограничительного (режимного) и тех­нологического характера, определяющие основы и содержание системы защиты, побуждающие персонал соблюдать правила защиты конфиденциальной информации фирмы. Эти меры связаны с установлением режима конфиденциальности в фирме. Элемент вклю­чает в себя регламентацию:

 

• формирования и организации деятельности службы безопасности и службы конфиденциальной документации (или ме­неджера по безопасности, или референта первого руководителя), обеспечения деятельности этих служб (сотрудника) нормативно-методическими документами по организации и технологии защиты информации;

* составления и регулярного обновления состава (перечня, списка, матрицы) защищаемой информации фирмы, со­ставления и ведения перечня (описи) защищаемых бумаж­ных, машиночитаемых и электронных документов фирмы;

* разрешительной системы (иерархической схемы) разграничения доступа персонала к защищаемой информации;

* методов отбора персонала для работы с защищаемой информацией,

* методики обучения и инструктирования сотрудников;

* направлений и методов воспитательной работы с персоналом, контроля соблюдения сотрудниками порядка защиты информации;

• технологии защиты, обработки и хранения бумажных, машиночитаемых и электронных документов фирмы (делопроизводственной, автоматизированной и смешанной технологий);

* внемашинной технологии защиты электронных  документов;

• порядка защиты ценной информации фирмы от случайных или умышленных несанкционированных действий персонала;

• ведения всех видов аналитической работы;

* порядка защиты информации при проведении совещаний, заседаний, переговоров, приеме посетителей, работе с предста­вителями рекламных агентств, средств массовой информации; оборудования и аттестации помещений и рабочих зон, выделенных для работы с конфиденциальной информацией, лицензирования технических систем и средств защиты информации и охраны, сертификации информационных систем, предназначенных для обработки защищаемой инфор­мации;

* пропускного режима на территории, в здании и помещениях фирмы, идентификации персонала и посетителей; системы охраны территории, здания, помещений, оборудования, транспорта и персонала фирмы;

• действий персонала в экстремальных ситуациях;

* организационных вопросов приобретения, установки и эксп­луатации технических средств зашиты информации и охраны; организационных вопросов защиты персональных компью­теров, информационных систем, локальных сетей; работы по управлению системой защиты информации;

* критериев и порядка проведения оценочных мероприятий по установлению степени эффективности системы защиты информации.

Элемент организационной защиты является стержнем, основной частью рассматриваемой комплексной системы. По мнению большинства специалистов, меры организационной защиты инфор­мации составляют 50—60% в структуре большинства систем защи­ты информации. Это связано с рядом факторов и также с тем, что важной составной частью организационной зашиты информации является подбор, расстановка и обучение персонала, который будет реализовывать на практике систему защиты информации. Сознательность, обученность и ответственность персонала можно с полным правом назвать краеугольным камнем любой технически совершенной системы зашиты информации. Организационные меры защиты отражаются в нормативно-методических документах, документах службы безопасности, службы конфиден­циальной документации учреждения или фирмы. В этой связи часто используется единое название двух рассмотренных выше элементов системы защиты — «элемент организационно-право­вой защиты информации».

 

Инженерно-технический элемент системы зашиты информации предназначен для пассивного и активного противодействия средствам технической разведки и формирования рубежей охра­ны территории, здания, помещений и оборудования с помощью комплексов технических средств. При защите информационных систем этот элемент имеет весьма важное значение. Инженерно-техническому элементу системы зашиты информации необходимо уделять должное внимание. Приобретение, установка и эксплуатация средств технической зашиты и охраны велика требует значительных финансовых средств, так как  стоимость средств технической зашиты и охраны велика. Элемент включает в себя:

 * сооружения физической (инженерной) зашиты от проник­новения посторонних лиц на территорию, в здание и поме­щения (заборы, решетки, стальные двери, кодовые замки, идентификаторы, сейфы и др.);

 • средства защиты технических каналов утечки информации, возникающих при работе ЭВМ, средств связи, копироваль­ных аппаратов, принтеров, факсов и других приборов и офис­ного оборудования, при проведении совещаний, заседаний, беседах с посетителями и сотрудниками, диктовке докумен­тов и т.п.;

 • средства защиты помещений от визуальных способов техни­ческой разведки;

 • средства обеспечения охраны территории, здания и помеще­ний (средства наблюдения, оповещения, сигнализирования, информирования и идентификации): 

 * средства противопожарной охраны;

 * средства обнаружения приборов и устройств технической раз­ведки (подслушивающих и передающих устройств, тайно установленной миниатюрной звукозаписывающей и телевизионной аппаратуры и т.п.):

 • технические средства контроля, предотвращающие вынос пер­соналом из помещения специально маркированных предме­тов, документов, дискет, книг и т.п.

 

Программно-аппаратный элемент системы защиты направлен на защиту информации, обрабатываемой и хранящейся в компьютерах, серверах и рабочих станциях ло­кальных сетей и различных информационных системах. Однако фрагменты этой защиты могут применяться как сопутствующие средства в инженерно-технической и организационной защите. Элемент включает в себя:

* автономные программы, обеспечивающие защиту информа­ции и контроль степени ее защищенности;

• программы защиты информации, работающие в комплексе с программами обработки информации;

• программы защиты информации, работающие в комплексе с техническими (аппаратными) устройствами защиты информации (прерывающими работу ЭВМ при нарушении системы доступа, стирающие данные при несанкционированном входе в базу данных и др.);

 

Криптографический элемент системы защиты информации пред­назначен для защиты конфиденциальной информации методами криптографии. Элемент включает:

• регламентацию использования различных криптографичес­ких методов в ЭВМ и локальных сетях;

• определение условий и методов криптографирования текста документа при передаче по незащищенным каналам почтовой, телеграфной, телетайпной, факсимильной и электронной связи;

* регламентацию использования средств криптографирования переговоров по незащищенным каналам телефонной и радио­связи;

• регламентацию доступа к базам данных, файлам, электрон­ным документам персональными паролями, идентифициру­ющими командами и другими методами;

• регламентацию доступа персонала в выделенные помещения с помощью идентифицирующих кодов, шифров.                                                                            

Составные части криптографической защиты, коды, пароли и другие ее атрибуты разрабатываются и меняются специализи­рованной организацией. Применение пользователями собственных систем шифровки не допускается

Следовательно, безопасность информации в современных условиях компьютеризации информационных процессов имеет принципиальное значение для предотвращения незаконного и часто преступного использования ценных сведений. Задачи обеспечения безопасности информации реализуются комплексной системой защиты информации, которая по своему назначению способна решить множество проблем, возникающих в процессе работы с конфи­денциальной информацией и документами. Основным условием безопасности информационных ресурсов ограниченного доступа от различных видов угроз является, прежде всего, организация в фирме аналитических исследований, построенных на современном научном уровне и позволяющих иметь постоянные сведения об эффективности системы зашиты и направлениях ее совершенствования в соответствии с возникающими ситуационными проблемами.