Защита информации ограниченного доступа в ОАО "ЧЗПСН - Профнастил"

Доступ к машинным носителям конфиденциальной информации, хранящимся вне ЭВМ, предполагает:

 организацию учета  и выдачи сотрудникам чистых  машинных носителей информации,

организацию ежедневной фиксируемой выдачи сотрудникам и приема от сотрудников носителей с записанной информацией (основных и резервных),

 определение и регламентацию  первым руководителем состава  сотрудников, имеющих право оперировать  конфиденциальной информацией с  помощью компьютеров, установленных  на их рабочих местах, и получать  в службе конфиденциального делопроизводства  учтенные машинные носители информации;

организацию системы закрепления за сотрудниками машинных носителей информации и контроля за сохранностью и целостностью информации, учета динамики изменения состава записанной информации;

организацию порядка уничтожения информации на носителе, порядка и условий физического уничтожения носителя,

 организацию хранения  машинных носителей в службе  конфиденциального делопроизводства  в рабочее и нерабочее время, регламентацию порядка эвакуации  носителей в экстремальных ситуациях,

 определение и регламентацию  первым руководителем состава  сотрудников не сдающих по  объективным причинам технические  носители информации на хранение  в службу конфиденциального делопроизводства  в конце рабочего дня, организацию  особой охраны помещений и  компьютеров этих сотрудников.

Работа сотрудников службы конфиденциального делопроизводства и фирмы в целом с машинными носителями информации вне ЭВМ должна быть организована по аналогии с бумажными конфиденциальным документооборотом.

Доступ к конфиденциальным базам данных и файлам является завершающим этапом доступа сотрудника фирмы к компьютеру. И если этот сотрудник - злоумышленник, то можно считать, что самые серьезные рубежи защиты охраняемой электронной информации он успешно прошел. В конечном счете, он может просто унести компьютер или вынуть из него и унести жесткий диск, не "взламывая" базу данных .

Обычно доступ к базам данных и файлам подразумевает:

1. определение и регламентацию  первым руководителем состава  сотрудников, допускаемых к работе  с определенными базами данных  и файлами; контроль системы доступа  администратором базы данных;

2. наименование баз данных  и файлов, фиксирование в машинной  памяти имен пользователей и  операторов, имеющих право доступа  к ним;

3. учет состава базы  данных и файлов, регулярную проверку  наличия, целостности и комплектности  электронных документов;

4. регистрацию входа в  базу данных, автоматическую регистрацию  имени пользователя и времени  работы; сохранение первоначальной  информации;

5. регистрацию попытки  несанкционированного входа в  базу данных, регистрацию ошибочных  действий пользователя, автоматическую  передачу сигнала тревоги охране  и автоматическое отключение  компьютера;

6. установление и нерегулярное  по сроку изменение имен пользователей, массивов и файлов (паролей, кодов, классификаторов, ключевых слов  и т.п.), особенно при частой  смене персонала;

7. отключение ЭВМ при  нарушениях в системе регулирования  доступа или сбое системы защиты  информации, механическое (ключом или  иным приспособлением) блокирование  отключенной, но загруженной ЭВМ  при недлительных перерывах в  работе пользователя. Коды, пароли, ключевые слова, ключи, шифры, специальные  программные продукты, аппаратные  средства и т.п. атрибуты системы  защиты информации в ЭВМ разрабатываются, меняются специализированной организацией  и индивидуально доводятся до  сведения каждого пользователя  работником этой организации  или системным администратором  Применение пользователем собственных  кодов не допускается .

Таким образом, процедуры допуска и доступа сотрудников к конфиденциальной информации завершают процесс включения данного сотрудника в состав лиц, реально владеющих тайной фирмы. С этого времени большое значение приобретает текущая работа с персоналом, в распоряжении которого находятся ценные и конфиденциальные сведения.

Разрешение (санкция) на доступ к конкретной информации может быть дано при соблюдении следующих условий:

 наличие подписанного  приказа первого руководителя  о приеме на работу (переводе, временном замещении, изменении  должностных обязанностей и т.п.) или назначении на должность, в функциональную структуру которой  входит работа с данной, конкретной  информацией;

 наличие подписанного  сторонами трудового договора (контракта), имеющего пункт о сохранении  тайны фирмы и подписанного  обязательства о неразглашении  ставших известными конфиденциальных  сведений и соблюдении правил  их зашиты,

 соответствие функциональных  обязанностей сотрудника передаваемым  ему документам и информации;

 знание сотрудником  требований нормативно-методических  документов по защите информации  и сохранении тайны фирмы,

 наличие необходимых  условий в офисе для работы  с конфиденциальными документами  и базами данных;

наличие систем контроля за работой сотрудника.

Разрешение на доступ к конфиденциальным сведениям строго персонифицировано, те руководители несут персональную ответственность за правильность выдаваемых ими разрешений на доступ исполнителей к конфиденциальным сведениям, а лица, работающие с конфиденциальными документами, несут персональную ответственность за сохранение в тайне их содержания, сохранность носителя и соблюдение установленных правил работы с документами.

2.3 Технологические  основы обработки конфиденциальных  документов

Совокупность технологических стадий (функциональных элементов), сопровождающих потоки конфиденциальных документов, несколько отличается от аналогичной совокупности, свойственной потокам открытых документов. Так, входной документопоток включает в себя следующие стадии обработки конфиденциальных сведений:

1. Прием, учет и первичная  обработка поступивших пакетов, конвертов, незаконвертованных документов;

2. Учет поступивших документов  и формирование справочно-информационного  банка данных по документам;

3. Предварительное рассмотрение  и распределение поступивших  документов;

4. Рассмотрение документов  руководителям! и передача документов  на исполнение;

5. Ознакомление с документами  исполните лей, использование или  исполнение документов.

Выходной и внутренний документопотоки включают в себя следующие стадии обработки конфиденциальных документов:

1. Исполнение документов (этапы: определение уровня грифа  конфиденциальности предполагаемого  документа, учет носителя будущего  документа, составление текста, учет  подготовленного документа, его  изготовление и издание);

2. Контроль исполнения  документов;

3. Обработка изданных  документов (экспедиционная обработка  документов и отправка их адресатам; передача изданных внутренних  документов на исполнение);

4. Систематизация исполненных  документов в соответствии с  номенклатурой дел, оформление, формирование  и закрытие дел;

5. Подготовка и передача  дел в ведомственный архив (архив  фирмы).

В состав всех документопотоков включается также ряд дополнительных стадий обработки конфиденциальных документов:

1. Инвентарный учет документов, дел и носителей информации, не  включаемых в номенклатуру дел;

2. Проверка наличия документов, дел и носителей информации;

3. Копирование и тиражирование  документов;

4. Уничтожение документов, дел и носителей информации.

Стадии, составляющие тот или иной документопоток, реализуются специализированной технологической системой обработки и хранения конфиденциальных документов.

Под технологической системой обработки и хранения конфиденциальных документов понимается упорядоченный комплекс организационных и технологических процедур и операций, предназначенных для практической реализации задач, стоящих перед функциональными элементами (стадиями) документопотока .Технология обработки и хранения конфиденциальных и открытых документов базируется на единой научной и методической основе, призванной решать задачи обеспечения документированной информацией управленческие и производственные процессы. Одновременно технологическая система обработки и хранения конфиденциальных документов решает и другую не менее важную задачу - обеспечение защиты носителей информации и самой информации от потенциальных и реальных угроз их безопасности.

В отличие от открытых документов к обработке конфиденциальных документов предъявляются следующие серьезные требования, которые в определенной степени гарантируют решение указанных задач:

1. Централизации всех  стадий, этапов, процедур и операций  по обработке и хранению конфиденциальных  документов;

2. Учета всей без исключения  конфиденциальной информации;

3. Операционного учета  технологических действий, производимых  с традиционным (бумажным) или электронным  носителем (в том числе чистым) и документом, учет каждого факта "жизненного цикла" документа;

4. Обязательного контроля  правильности выполнения учетных  операций;

5. Учета и обеспечения  сохранности не только документов, но и учетных форм;

6. Ознакомления или работы  с документом только на основании  письменной санкции (разрешения) полномочного  руководителя, письменного фиксирования  всех обращений персонала к  документу;

7. Обязательной росписи  руководителей, исполнителей и технического  персонала при выполнении любых  действий с документом в целях  обеспечения персональной ответственности  сотрудников фирмы за сохранность  носителя и конфиденциальность  информации;

8. Выполнения персоналом  введенных в фирме правил работы  с конфиденциальными документами, делами и базами данных, обязательными  для всех категорий персонала;

9. Систематических (периодических  и разовых) проверок наличия документов  у исполнителей, в делах, базах  данных, на машинных носителях  и т.д., ежедневного контроля сохранности, комплектности, целостности и местонахождения  каждого конфиденциального документа;

10. Коллегиальности процедуры  уничтожения документов, дел и  баз данных;

11. Письменного санкционирования  полномочным руководителем процедур  копирования и тиражирования  бумажных и электронных конфиденциальных  документов, контроль технологии  выполнения этих процедур. Технологическая  система обработки и хранения  конфиденциальных документов распространяется не только на управленческую (деловую) документацию, но и конструкторские, технологические, научно-технические и другие аналогичные документы, публикации, нормативные материалы и др., хранящиеся в специальных библиотеках, информационных центрах, ведомственных архивах, документированную информацию, записанную на любом типе носителя информации.

Технологические системы обработки и хранения конфиденциальных документов могут быть традиционными, автоматизированными и смешанными . Традиционная (делопроизводственная) система основывается на ручных методах работы человека с документами и является наиболее универсальной. Она надежно, долговременно обеспечивает защиту документированной информации, как в обычных, так и экстремальных ситуациях. В связи с этим стадии защищенного документооборота в большинстве случаев технологически реализуются методами и средствами именно традиционной системы обработки и хранения конфиденциальных документов, а не автоматизированной. Система одинаково эффективно оперирует как традиционными (бумажными), так и документами машиночитаемыми, факсимильными и электронными.

Традиционная технологическая система обработки и хранения конфиденциальных документов лежит в основе широко известного понятия "делопроизводство" или "документационное обеспечение управления" (в его узком, но часто встречающемся в научной литературе понимании как синонима делопроизводства). С другой стороны, делопроизводство часто рассматривается в качестве организационно-правового и технологического инструмента построения ДОУ. Автоматизированная технология (как и традиционная, делопроизводственная) является обеспечивающей и обслуживает конкретные потребности персонала в конфиденциальной информации. Автоматизированная система, обслуживающая работу с конфиденциальными документами, должна в принципе обеспечивать:

1. Сокращение значительного  объема рутинной работы с документами  и числа технических операций, выполняемых ручными методами;

2. Реализацию возможности  для персонала организации (фирмы) работать с электронными документами  в режиме безбумажного документооборота;

3. Достаточную гарантию  сохранности и целостности информации, регулярного контроля и противодействия  попыткам несанкционированного  входа в банк данных;

4. Аналитическую работу  по определению степени защищенности  информации и поиску возможных  каналов ее утраты;

5. Единство технологического  процесса с режимными требованиями  к защите информации (допуск, доступ, регламентация коллегиальности  выполнения некоторых процедур, операций и т.п.);

6. Персональную ответственность  за сохранность конфиденциальных  сведений в машинных массивах  и на магнитных носителях вне  ЭВМ;

7. Возможность постоянного  учета местонахождения традиционного  или электронного документа и  проверки его наличия и целостности  в любое время;

8. Предотвращение перехвата  информации из ЭВМ по техническим  каналам, наличие надежной охраны  помещений, в которых находится  вычислительная техника, охрана  компьютеров и линий компьютерной  связи;

9. Исключение технологической  связи единичного компьютера  или локальной сети, предназначенных  для обработки конфиденциальных  документов с сетями, обеспечивающими  работу с открытой информацией, исключение использования их  линий связи, выходящих за пределы  охраняемой зоны (здания, территории) .

В соответствии с этим автоматизированная технологическая система обработки и хранения по сравнению с аналогичными системами, оперирующими общедоступной информацией имеет ряд серьезных принципиальных особенностей:

1. Архитектурно локальная  сеть базируется на главном  компьютере (сервере) находящемся у  ответственного за КИ; автоматизированные  рабочие места, рабочие станции  сотрудников могу быть увязаны  в локальную сеть только по  вертикали;