Источники информации и оценка их надежности

 

СлЗИ проводит контрольные и аналитические функции. Контроль за соблюдением работниками предприятия, связанными по службе с тайной, правил ее защиты. Анализ поступающей информации с целью выявления попыток конкурентов получить несанкционированный доступ к защищаемой предприятием информации и т.д. Она должна находиться на высоком уровне в организационной структуре предприятия с тем, чтобы располагать необходимыми административными полномочиями, с извещением об этом всех сотрудников предприятия. СлЗИ должна принимать срочные меры по устранению выявленных недостатков в области защиты конфиденциальной информации. Сотрудники фирмы должны знать политику фирмы по защите этой информации и меры наказания за нарушение этих правил.

 

Периодический пересмотр Перечня  сведений, составляющих конфиденциальную информацию предприятия, осуществляется специально созданной комиссией, возглавляемой  одним из руководителей предприятия. Однако в этой работе активное участие  принимает и СлЗИ. Цель пересмотра Перечня исключение из него сведений, утративших свою актуальность, и включение новых, изменение при необходимости степени секретности и т.д. О результатах этой работы информируются все исполнители в той части, которая нужна каждому для его работы.

 

Система доступа к сведениям, составляющим какую-либо тайну, должна обеспечить безусловное  ознакомление с такими материалами  только тех лиц, которым они нужны  по службе. Система доступа к конфиденциальной информации есть комплекс административно-правовых норм, обеспечивающих получение необходимой  для работы информации каждым исполнителем и руководителем секретных работ. Цель системы обеспечить только санкционированное  получение необходимого объема конфиденциальной информации. В структуру этой системы  входят:

разрешительная система доступа  к документальной конфиденциальной информации;

система пропусков и шифров, обеспечивающая только санкционированный доступ в  помещения, где ведутся секретные  работы.

 

Для обеспечения физической сохранности  носителей засекреченной информации и предотвращения доступа посторонних  лиц нужна система охраны, которая  включает в себя комплекс мероприятий, сил и средств, задействованных  для преграждения доступа посторонних  лиц к носителям защищаемой информации. Обеспечение физической целостности и сохранности конфиденциальных документов, различных зданий, помещений, где производятся работы с носителями защищаемой информации, достигается использованием сейфов и металлических шкафов для хранения конфиденциальных документов, постановкой металлических решеток на окна хранилищ таких документов, введением специальных пропусков или магнитных карточек для доступа в помещения, где ведутся работы с носителями конфиденциальной информации. Помещения, в которых ведутся такие работы с документами, хранилища защищаемой информации должны иметь круглосуточную охрану с помощью технических средств.

 

Осуществление мер это деятельность администрации и СлЗИ по защите конфиденциальной информации, направленная на реализацию заложенных в системе возможностей по защите конфиденциальной информации. Эти меры включают:

 

- во-первых, повседневный контроль  со стороны руководства предприятия  и СлЗИ за соблюдением всеми сотрудниками, связанными по работе с конфиденциальной информацией, правил ее защиты. Особое внимание при этом обращается на работников предприятия, имеющих постоянное общение с населением;

 

- во-вторых, обеспечение соблюдения  всеми сотрудниками предприятия  требований, предусмотренных правилами  внутреннего распорядка, нормами  правил пожарной безопасности, инструкцией  по защите сведений, составляющих  различные виды тайн, и другими  нормативными документами, регламентирующими  поведение работников на предприятии.

 

Все посещения предприятия посторонними лицами должны быть строго регламентированы. Вход только через одну проходную по разовым пропускам или отметкам в журнале: данные о пришедшем, откуда, к кому, время входа и выхода. Продвижение по фирме только в сопровождении принимающего его сотрудника.

 

Не допускается ведение по открытым каналам связи (телефон, радиотелефон и т.п.) переговоров, содержащих конфиденциальные сведения;

 

- в-третьих, выявление каналов  и источников утечки защищаемой  информации и принятие мер  по их перекрытию. Утечка защищаемой  информации происходит чаще всего  по вине сотрудников предприятия,  связанных по работе с конфиденциальной  информацией, и принятия недостаточных  мер по защите информации в технических средствах (СВТ, средствах связи и т.д.).

 

Все сигналы о возможной утечке информации должны тщательно проверяться  и в случае выявления виновных в этом лиц должны быть приняты  меры, как к виновникам (перевод  на работу, не связанную с тайной, возмещение ущерба, увольнение и др.), так и принятие мер по предотвращению подобных явлений в будущем;

 

- в-четвертых, защита конфиденциальной  информации предполагает также  принятие мер по предотвращению  разглашения защищаемой информации  в открытых публикациях сотрудниками  предприятия, особенно при подготовке  и публикации научных работ  (статей, брошюр и др.). Все эти  документы и публикации должны  предварительно согласовываться  со специалистами и руководящими  работниками предприятия;

 

- в-пятых, важным звеном защиты  конфиденциальной информации предприятия  является работа с клиентами,  партнерами и др. При ведении  таких переговоров важно убедиться,  что другая сторона преследует  в переговорах те же цели, что  и вы, то есть заключить взаимовыгодное  соглашение, а не получение конфиденциальной информации о вашей фирме.

 

Приступая к разработке системы  мер по обеспечению защиты информации на предприятии, его руководитель (или  начальник СлЗИ) должен получить ответы на следующие вопросы:

что конкретно необходимо защищать (охранять), от кого и когда?

кто организует и обеспечивает защиту (охрану)?

как оценивать эффективность и  достаточность защиты (охраны)?

 

Для грамотного построения и эксплуатации системы защиты необходимо соблюсти следующие принципы ее применения [15]:

простота защиты;

приемлемость защиты для пользователей;

подконтрольность системы защиты;

постоянный контроль за наиболее важной информацией;

дробление конфиденциальной информации на составляющие элементы, доступ к  которым имеют разные пользователи;

минимизация привилегий по доступу  к информации;

установка ловушек для провоцирования несанкционированных действий;

независимость системы управления для пользователей;

устойчивость защиты во времени  и при неблагоприятных обстоятельствах;

глубина защиты, дублирование и перекрытие защиты;

особая личная ответственность  лиц, обеспечивающих безопасность информации;

минимизация общих механизмов защиты.

 

Алгоритм создания системы защиты конфиденциальной информации таков [23]:

Определяется предмет защиты. Разрабатывается  Перечень сведений, составляющих различные  виды тайн, в котором выделяется наиболее ценная информация, нуждающаяся в особой охране, учитываются требования по защите других предприятий (фирм), участвующих в совместных работах.

Устанавливаются периоды существования  конкретных сведений в качестве различных  видов тайн.

Выделяются категории носителей  ценной информации: персонал, документы, изделия и материалы; технические  средства хранения, обработки и передачи информации; физические излучения. Для  обеспечения восприятия разрабатываемой  системы защиты можно составить  схему, в которой указываются  конкретные сотрудники, осведомленные  о различных видах тайн, названия (категории) классифицированных документов и т.п.

Перечисляются стадии (этапы) работ, время  материализации различных видов  тайн в носителях информации применительно  к пространственным зонам (местам работы с ними внутри и за пределами предприятия). Например, договоры, подписываемые  за пределами предприятия; выступления  участников отчетных совещаний в  конкретных кабинетах; размножение  классифицированных документов на множительном участке и т.п.

Составляется схема работ с  конкретными сведениями, материализованными в носителях, в пределах предприятия (фирмы) и вне его и предполагаемого  их перемещения. Рассматриваются возможные  для предприятия несанкционированные  перемещения, которые могут быть использованы конкурентами для овладения  различными видами тайн.

Разрабатываются (или корректируются) в процессе анализа разрешительные подсистемы допуска и доступа  к конкретным сведениям, составляющим различные виды тайн.

Определяется, кто реализует мероприятия и кто несет ответственность за защиту конкретной информации, процессов работ с классифицированными данными. Намечаются меры по координации, назначаются конкретные исполнители.

Планируются действия по активизации  и стимулированию лиц, задействованных  в защите.

Проверяется надежность принятых к  реализации мер обеспечения защиты.

 

Аналитические исследования, моделирование  вероятных угроз позволяют наметить при необходимости дополнительные меры защиты. При этом следует оценить  вероятность их выполнения, наличие  методического материала, материального  обеспечения, готовность СлЗИ и персонала их выполнить. При планировании учитываются имевшие место на предприятии недостатки в обеспечении сохранности конфиденциальной информации [25].

 

Планируемые мероприятия должны [15]:

способствовать достижению определенных задач, соответствовать общему замыслу;

являться оптимальными.

 

Не должны [15]:

противоречить законам, требованиям  руководителя фирмы (интересам кооперирующихся  фирм);

дублировать другие действия.

 

Таким образом, система организации  защиты конфиденциальной информации включает в себя комплекс заранее разработанных  на определенный срок мер, охватывающих совокупность всех видов деятельности, направленных на совершенствование  обеспечения сохранности информации с учетом изменений внешних и  внутренних условий и предписывающих конкретным лицам или подразделений  определенный порядок действий.

 

5. Источники информации и оценка  их надежности

 

 

 

5.1. Список выявленной литературы

 

 

 

5.1.1. КонсультантПлюс

Российская Федерация. Законы. Гражданский  кодекс Российской Федерации (часть  первая): федер. закон: [от 30.11.1994 № 51-ФЗ; принят Гос.Думой 21.10.1994; в ред. от 03.06.2006].- КонсультантПлюс.- (

Российская Федерация. Законы. Гражданский  кодекс Российской Федерации (часть  вторая): федер. закон: [от 26.01.1996 № 14-ФЗ; принят Гос.Думой 22.12.1995; в ред. от 02.02.2006].- КонсультантПлюс.- (

Российская Федерация. Законы. Кодекс профессиональной этики адвоката: [принят Всероссийским съездом адвокатов 31.01.2003; в ред. от 08.04.2005].- КонсультантПлюс.- (

Российская Федерация. Законы. Об адвокатской  деятельности и адвокатуре в Российской Федерации: федер. закон: [от 31.05.2002 № 63-ФЗ; в ред. от 20.12.2004].- КонсультантПлюс.- (

Российская Федерация. Законы. Об утверждении  перечня сведений конфиденциального  характера: указ Президента РФ: [от 06.03.1997 N 1300; в ред. от 10.01.2000].- КонсультантПлюс.- (

Российская Федерация. Законы. О  коммерческой тайне: федер. закон: [от 29.07.2004 № 98-ФЗ; принят Гос.Думой 09.07.2004; в ред. от 02.02.2006].- КонсультантПлюс.- (

Российская Федерация. Законы. О  персональных данных: федер. закон: [от 27.07.2006 № 152-ФЗ; принят Гос.Думой 08.07.2006].- КонсультантПлюс.- (

Российская Федерация. Законы. О  противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма: федер. закон: [от 07.08.2001 № 115-ФЗ; принят Гос.Думой 13.07.2001; в ред. от 16.11.2005].- КонсультантПлюс.- (

Российская Федерация. Законы. О федеральной службе безопасности: федер. закон: [принят Гос. Думой 22.02.1995; в ред. от 15.04.2006].- КонсультантПлюс.- (

Российская Федерация. Законы. Трудовой кодекс Российской Федерации: федер. закон: [от 30.12.2001 № 197-ФЗ; принят Гос.Думой 21.12.2001; в ред. от 09.05.2005].- КонсультантПлюс.- (

 

5.1.2. Текущие библиографические  указатели и реферативные журналы

Беляев, Е.А. Исторические аспекты  защиты информации в России/ Е.А.Беляев// Информационная безопасность = Inform.security.- М., 2004.- № 3.-С.5859.

Домов, С. Информационная безопасность/ С.Домов// Вестн. Волжского унта.- Сер.Информат, 2005.- № 8.- С.5355

Кальченко, Д. Безопасность в цифровую эпоху/ Д.Кальченко// Компьютер Пресс, 2005.- №4.- С.34, 36,3841.

Колесников, К.А. Социальные факторы  информационного управления и информационная безопасность в России/ К.А.Колесников// Интеллектуальная собственность: правовые, экономические и социальные проблемы: Сб. тр. аспирантов РГИИС: В 2 ч.- М., 2005.-Ч.2.-С.140143.

Минакова, Н.Н. Особенности подготовки специалистов по информационной безопасности автоматизированных систем/ Н.Н.Минакова, В.В.Поляков// Вестн. Алтайск. науч. центра САН ВШ, 2005.- № 8.- С.125128.

Мешкова, Т.А. Безопасность в условиях глобальной информатизации: новые вызовы и новые возможности: автореф. дис….канд. наук/ Мешкова Т.А.; МГУ им.М.В.Ломоносова. М., 2003.-26 с.

 

5.1.3. Электронный каталог

Астахова, Л.В. Теория информационной безопасности и методология защиты информации: Конспект лекций/ Л.В.Астахова.- Челябинск: Издво ЗАО Челябинская межрайонная типография, 2006.- 361 с.

Буробин, В.Н. Адвокатская тайна/ В.Н.Буробин, В.Ю.Плетнев, Д.А.Шубин.- М.: Статут, 2006.- 253 с.

Иванов, А.В. Экономическая безопасность предприятий/ А.В.Иванов.- М.: Вираж-центр, 1995.- 39 с.

Курело, А.П. Обеспечение информационной безопасности бизнеса/ А.П.Курело, С.Г.Антимонов, В.В.Андрианов и др.- М.: БДЦпресс, 2005.- (tSolutions).- 511 с.

Петрухин, И.Л. Личные тайны: человек  и власть/ И.Л.Петрухин.- М.: ЦГПАН, 1998.- 230 с.

Поздняков, Е.Н. Защита объектов: Рекомендации для руководителей и сотрудников  служб безопасности/ Е.Н.Поздняков. М.: Концерн Банковский деловой центр, 1997.- (Советы профи).- 222 с.

Соловьев, Э. Коммерческая тайна и  её защита/ Э.Соловьев.- М.: Главбух, 1995.- 48 с.