Тема 1.7.  Система защиты ценной информации и конфиденциальных документов

     Безопасность информации в современных условиях компьютеризации информационных процессов имеет принципиальное значение для предотвращения незаконного и часто преступного использования ценных сведений. Задачи обеспечения безопасности информации реализуются комплексной системой защиты информации, которая по своему назначению способна решить множество проблем, возникающих в процессе работы с конфиденциальной информацией и документами. Основным условием безопасности информационных ресурсов ограниченного доступа от различных видов угроз является прежде всего организация в фирме аналитических исследований, построенных на современном научном уровне и позволяющих иметь постоянные сведения об эффективности системы защиты информации и направлениях ее совершенствования в соответствии с возникающими ситуационными проблемами.

Система защиты информации (СЗИ) представляет собой комплекс правовых, организационных, технических и технологических средств, методов и мер, препятствующих несанкционированному (незаконному) доступу к информации.

   Владелец информации лично (за исключением случаев, когда информация отнесена к государственной тайне) определяет не только состав ценной информации, принадлежащей защиты, но и соответствующие способы и средства защиты. Одновременно им разрабатываются меры материального и морального стимулирования сотрудников, которые придерживаются порядка защиты ценной информации, и меры ответственности персонала за разглашение тайны фирмы.

    Система защиты информации должна быть многоуровневой с иерархическим доступом к информации, предельно конкретной и привязанной к специфике фирмы по структуре методов и средств защиты, которые используются, открытой для регулярного обновления, надежной как в обычных, так и в экстремальных ситуациях. Она не должна создавать сотрудникам фирмы серьезные неудобства в работе.

Комплексность системы защиты достигается ее формированием из различных элементов:

  • правовых;

  • организационных;

  • технических;

  • программно-математических.

    Соотношение элементов и их содержание обеспечивают индивидуальность системы защиты информации фирмы и гарантируют ее неповторимость и трудность преодоления.

Конкретную систему защиты можно представить в виде кирпичной стены, которая состоит из множества разнообразных элементов (кирпича). Соотношение элементов системы, их состав и взаимосвязь отражают, определяют не только ее индивидуальность, но и конкретный заданный уровень защиты с учетом ценности информации и стоимости подобной системы.

Элемент правовой защиты информации предполагает:

  • наличие в учредительной и организационных документах фирмы, контрактах, заключаемых с сотрудниками, и в должностных инструкциях положений и обязательств по защите сведений, составляющих тайну фирмы и ее партнеров;

  • формулирование и доведение до сведения всех сотрудников фирмы механизма правовой ответственности за разглашение конфиденциальных сведений.

      В правовой элемент системы защиты может также включаться страхование ценной информации от различных рисков.

 Элемент организационной защиты информации содержит меры управленческого и ограничительного характера, которые побуждают персонал соблюдать правила защиты конфиденциальной информации и включает в себя:

  • формирование и регламентацию деятельности службы безопасности фирмы, обеспечение этой службы нормативно-методическими документами по организации и технологии защиты информации;

  • регламентацию и регулярное обновление перечня (списка) ценной, конфиденциальной информации, подлежащей защите, составление и ведение перечня конфиденциальных документов фирмы;

  • регламентацию системы (иерархической схемы) ограничения доступа персонала к конфиденциальной информации;

  • регламентацию технологии защиты и обработки конфиденциальных документов фирмы;

  • построение защищенного традиционного или безбумажного документооборота;

  • построение технологии документирования ценной информации, составления, оформление, изготовление и издательства конфиденциальных документов;

  • построение технологической системы обработки и хранения конфиденциальных документов;

  • организацию архивного хранения конфиденциальных документов;

  • регламентацию защиты ценной информации фирмы от несанкционированных действий персонала;

  • порядок и правила работы персонала с конфиденциальными документами и информацией, контроль за выполнением всеми сотрудниками настоящего порядка и правил;

  • отбор персонала для работы с конфиденциальной информацией, обучение и инструктирования сотрудников;

  • порядок защиты информации при ведении переговоров, проведении совещаний по конфиденциальным вопросам, приеме посетителей, осуществлении рекламной, выставочной и иной деятельности;

  • регламентацию аналитической работы по выявлению угроз ценной информации фирмы и каналов утечки информации;

  • оборудование и аттестацию помещений и рабочих зон, выделенных для осуществления конфиденциальной деятельности, лицензирование технических систем и средств защиты информации и охраны;

  • регламентацию пропускного режима на территории, в зданиях и помещениях фирмы, идентификации персонала и груза;

  • регламентацию системы охраны территории, здания, помещений, оборудования, денежных средств, транспорта и персонала фирмы;

  • регламентацию организационных вопросов эксплуатации технических средств защиты информации и охраны;

  • регламентацию действий службы безопасности и персонала в экстремальных ситуациях;

  • регламентацию работы по управлению системой защиты информации фирмы.

 

     Элемент организационной защиты является стержнем, который связывает в одну систему все другие элементы. 

   

    Центральной проблемой при разработке методов организационной защиты информации является формирование разрешительной (ограничительной) систем и доступа персонала к конфиденциальным сведениям, документам и базам данных.

      Важно четко и однозначно установить: кто, кого, до которых, сведений, когда, на какой период и как допускает.

Разрешительная система доступа решает следующие задачи:

  • обеспечение сотрудников всеми необходимыми для работы документами и информацией;

  • ограничение круга лиц, допускаемых к конфиденциальным документам;

  • исключение несанкционированного ознакомления с документами.

    Иерархическая последовательность доступа реализуется по принципу «чем выше ценность конфиденциальных сведений, тем меньшее число сотрудников могут их знать».  В соответствии с этой последовательностью определяется необходимая степень усиления защитных мер, структура рубежей защиты информации.

   Доступ сотрудника к конфиденциальным сведениям, осуществляется в соответствии с разрешительной системой, называется санкционированным.

   Разрешение (санкция) на доступ к этим сведениям всегда является строго персонифицированным и выдается руководителем в письменном виде: приказом, утверждающим схему должностного или именного доступа к информации, резолюцией на документе, списком-разрешением в карточке выдачи дела или на обложке дела ознакомления с документом.

     Организационные меры защиты отражаются в нормативно-методических документах службы безопасности фирмы.    В связи с этим часто используется единственное название двух рассмотренных выше элементов системы защиты — элемент организационно-правовой защиты информации.

Элемент технической защиты включает:

  • средства защиты технических каналов утечки информации, возникающих при работе ЭВМ, средств связи, копировальных аппаратов, принтеров, факсов и других приборов и оборудования;

  • средства защиты помещений от визуальных и акустических способов технической разведки;

  • средства охраны зданий и помещений от проникновения посторонних лиц (средства наблюдения, оповещения, сигнализации, информирования и идентификации, инженерные сооружения);

  • средства противопожарной охраны;

  • средства обнаружения приборов и устройств технической разведки
    (подслушивающих и передающих устройств, звукозаписывающей и телевизионной аппаратуры и т.д.).

Элемент программно-математической защиты информации включает:

  • регламентацию доступа к электронным документам персональными паролями, которые идентифицируются командами и другими простейшими методами защиты;

  • регламентацию специальных средств и продуктов программной защиты;

  • регламентацию криптографических методов средств защиты информации в ЭВМ и сетях, шифрования текста при передаче их по каналам обычной и факсимильной связи, при пересылке почтой.

     В каждом элементе защиты могут быть реализованы на практике только отдельные составные части. Например, в организационном защите можно регламентировать только приемы обработки конфиденциальных документов и систему доступа к ним персонала. Методы и средства защиты информации в рамках системы защиты должны регулярно изменяться с целью предотвращения их раскрытия злоумышленником.

   Конкретная система защиты информации фирме всегда является строго конфиденциальной. Специалисты, которые разрабатывали систему, никогда не должны быть ее пользователями. Следовательно, система защиты конфиденциальной информации, которая используется фирмой, является индивидуализированной совокупностью необходимых элементов защиты, каждый из которых в отдельности решает свои специфические для данной фирмы задачи и обладает конкретизированным относительно этих задач содержанием. В комплексе эти элементы формируют систему защиты информации организации и дают относительную гарантию безопасности ее деятельности.

Список источников:

  1. Артемов А. Информационная безопасность. Курс лекций.

  2. Делопроизводство: Защита конфиденциальных документов от несанкционированного доступа [Электронный ресурс]. - Режим доступа : http://libraryno.ru/deloproizvodstvostepnova/ 

НАПИШИТЕ МНЕ

© 2016 Панфилова Т.Б.