Информационная безопасность
..pdfВажно отметить, что согласно требованиям нормативноправовых документов средства защиты, используемые в информационных системах персональных данных (в том числе средства защиты от несанкционированного доступа, криптографические средства защиты, средства защиты от утечек по техническим каналам), должны в установленном порядке проходить оценку соответствия требованиям ФСБ и ФСТЭК.
Кроме того, согласно требованиям обмен персональными данными при их обработке должен осуществляется по тем каналам связи, защита которых реализована с помощью организационных или технических мер.
Таким образом, для всех информационных ресурсов организации, содержащих персональные данные, необходимо:
–определить их статус (на основании чего созданы: в соответствии с законодательством, для исполнения договора, по собственной инициативе и т.д.);
–уточнить и зафиксировать состав персональных данных и их источники получения (от гражданина, из публичных источников, от третьих лиц и т.д.);
–установить сроки хранения и сроки обработки данных в каждом информационном ресурсе;
–определить способы обработки;
–определить лиц, имеющих доступ к данным;
–сформулировать юридические последствия;
–определить порядок реагирования на обращения, возможные варианты ответов и действий, оценить реальность соблюдения установленных законом сроков реагирования.
Вопросы для самопроверки
1.Перечислите виды угроз экономической безопасности
фирмы.
2.Какие формы могут принимать угрозы безопасности, реализуемые через персонал?
41
elib.pstu.ru
3. Как можно организовать защиту безопасности со стороны персонала организации?
4. Каковы главные определения Федерального закона «О персональных данных»?
5.Перечислите возможные мероприятия по защите персональных данных.
6.Какие требования по защите предъявляются к каналам передачи персональных данных?
42
elib.pstu.ru
6. КОНФИДЕНЦИАЛЬНЫЙ ДОКУМЕНТООБОРОТ
Конфиденциальными называются документы, содержащие сведения, известные только определенному кругу лиц, не подлежащие огласке, доступ к которым ограничен.
Законодательством РФ предусмотрена ответственность за несанкционированный доступ, разглашение или продажу сведений, имеющих грифы секретности.
Конфиденциальные документы требуют защиты не только от утраты, но и от утечки информации. Согласно данным проведенного компанией InvisiViewmedia опроса6, 46 % респондентов обеспокоены возможностью кражи данных, а 98 % согласны с тем, что защита конфиденциальной информации является жизненно необходимой для ведения дел.
Тем не менее руководители и сотрудники многих компаний считают риск угрозы безопасности таких документов крайне низким. Так, по данным этого же опроса, 30 % сотрудников отправляют документы, содержащие секретные данные, просто прикрепляя их к сообщениям электронной почты, 45 % используют для этого незащищенные «бумажные» почтовые службы и 2 % просто отправляют их по факсу.
25 % опрошенных компаний отметили, что 13 % готовы пойти на такой риск, а 16 % никогда не задумывались об этом, полагая, что способы отправки, которые они использовали для рассылки корреспонденции, были защищенными и надежными.
Основная цель защиты конфиденциальной информации, в том числе коммерческой тайны, состоит в том, чтобы предотвратить ее утечку и овладение ею конкурентами. В ряде случаев требуется защита и «чужих» коммерческих секретов, которые могут быть доверены предприятию другими лицами, организа-
6 URL: http://www.cnews.ru/news/top/index.shtml?2010/01/12/375883.
43
elib.pstu.ru
циями. Отсутствие такой защиты может лишить предприятие выгодных партнеров, клиентов.
Утрата и утечка защищаемой документированной информации обусловлены ее уязвимостью. Под уязвимостью информации понимается ее неспособность самостоятельно противостоять воздействиям, которые нарушают ее установленный статус.
Уязвимость документированной информации проявляется в различных формах. К таким формам относятся хищение носителя информации или отображенной в нем информации; потеря носителя информации; несанкционированное уничтожение носителя информации или отображенной в нем информации и т.д.
Источниками воздействия на носитель документированной информации или саму информацию могут быть люди, программы ее обработки, стихийные бедствия и другие форс-мажорные обстоятельства. Если формы уязвимости документированной информации реализуются, это приводит или может привести к ее утрате, а ее разглашение приводит к утечке информации.
Для защиты конфиденциальной информации необходимо:
–ограничить доступ к носителям информации, содержащим коммерческую тайну (КТ);
–разработать инструкции по соблюдению режима конфиденциальности для лиц, допущенных к КТ;
–организовать ведение делопроизводства, обеспечивающего выделение, учет и сохранностьдокументов, содержащих КТ;
–использовать организационные, технические и иные средства защиты КТ;
–осуществлять контроль соблюдения установленного режима охраны КТ.
Допуск работника к конфиденциальной информации должен осуществляться с его согласия. Работодатель имеет право отказать в приеме на работу тому, кто не хочет брать на себя обязательства по сохранению коммерческой тайны.
44
elib.pstu.ru
Все сотрудники фирмы должны при поступлении на работу подписать обязательство или договор о неразглашении коммерческой тайны и об ответственности за ее сохранность.
6.1. Принципы организации документооборота
Важным отличием конфиденциального документооборота от открытого является необходимость защиты документов от несанкционированного доступа, поэтому организация конфиденциального документооборота должна строиться на основе следующих принципов:
–разрешительной системы доступа к конфиденциальным документам;
–обеспечения пользователей всеми необходимыми им в силу служебных обязанностей конфиденциальными документами, но только теми, которые действительно необходимы для выполнения конкретных работ;
–исключения несанкционированного доступа к конфиденциальным документам;
–целенаправленного регулирования процессов движения конфиденциальных документов;
–исключения инстанций прохождения конфиденциальных документов и действий с ними, не обусловленных характером и порядком исполнения документов;
–обеспечения своевременного и качественного исполнения конфиденциальных документов;
–персональной и обязательной ответственности за выдачу неправомерных разрешений на ознакомление с конфиденциальными документами и на их отправление.
Разрешительная система доступа к конфиденциальным документам представляет собой совокупность установленных руководством предприятия нормативных положений, обеспечивающих обоснованный и правомерный доступ пользователей к конфиденциальным документам.
45
elib.pstu.ru
При установлении разрешительной системы доступа к конфиденциальным документам необходимо учитывать следующие требования:
–соответствующий руководитель может давать разрешение на ознакомление с конфиденциальными документами, входящими в сферу его деятельности, только подчиненным лицам и только по служебной необходимости;
–разрешение на ознакомление оформляется письменно;
–при необходимости ознакомления пользователя только с частью конфиденциального документа в разрешении на ознакомление должны быть указаны разделы, пункты или страницы,
скоторыми можно знакомить пользователя.
Системой должно быть определено, кто из руководителей предприятия и структурных подразделений может давать разрешение на работу (ознакомление), кому из пользователей может даваться разрешение и с какими категориями конфиденциальных документов можно работать; порядок оформления разрешений в зависимости от категорий документов.
Разрешительная система доступа к конфиденциальным документам должна находить свое отражение в общем положении о разрешительной системе доступа к конфиденциальной информации. Положение разрабатывается постоянно действующей экспертной комиссией предприятия.
Примерное содержание положения «Разрешительная система доступа к конфиденциальным документам» приведено в прил. Б.
6.2. Особенности документооборота на цифровых носителях
В настоящее время все большую популярность начинают приобретать документы на цифровом (электронном) носителе.
Активное внедрение цифровых технологий, их постоянное совершенствование, удобство в использовании и иные преимущества приводят к тому, что многие предприятия полностью
46
elib.pstu.ru
или частично переходят на оборот электронных документов. А это, в свою очередь, ведет к дополнительным рискам утечки информации.
Согласно данным исследования 2008 г.7, наиболее распространенным каналом утечки данных является сеть (кроме электронной почты) – 21,1 % случаев. На втором месте – ноутбуки и мобильные компьютеры (19,4 %), на третьем и с большим отрывом – настольные ПК и серверы (7,5 %). При этом примерно в трети случаев (32,6 %) путь остался не установленным. В предыдущем периоде таких случаев было меньше в три раза – 12 %. В настоящее время появились и новые каналы утечки информации, связанные с современными мобильными устройствами.
Какие же меры защиты необходимо предпринимать в отношении цифровых документов? В большинстве случаев к ним применимы те же правила, которые используются в отношении бумажных документов. Вместе с тем они обладают определенной спецификой. Так, их оборот возможен как с помощью записи на материальный носитель (flash-drive, CD/DVD-диски и иные носители), так и помощью прямой передачи документа конечному адресату посредством сетей Интернет/Интранет.
В связи с этим система контроля и учета должна основываться на двух важных составляющих:
–программно-аппаратном контроле документов на цифровом (электронном) носителе;
–организационно-техническом контроле лиц, допущенных
ксредствам хранения и обработки информации.
Программно-аппартатный контроль
Этот контроль основан на программных продуктах, позволяющих применять к документам криптографию (шифрование) и установление паролей и режимов доступа. Кроме того, существуют специализированные программные комплексы, специ-
7 Круглый стол «Информационная безопасность в бизнесе и госструктурах» 28 мая 2008 г.
47
elib.pstu.ru
ально созданные для осуществления контроля документов, которым пользователь установил специальный доступ. Этот комплекс представляет собой программную среду, осуществляющую доступ пользователя по индивидуальному идентификатору (логину) и паролю. Уровень доступа конкретного пользователя устанавливается в соответствии с его статусом и аналогичен уровню доступа сотрудника к секретной документации.
Преимуществом такой системы является то, что она позволяет устанавливать общий доступ ко всем документам единой группы согласно занимаемой должности; выборочный доступ к отдельным документам отдельной категории сотрудников исходя из служебной необходимости; индивидуальный доступ для конкретного сотрудника.
Помимо ограничения доступа система также обладает контролирующими функциями. В частности, неавторизированная попытка пользователя получить доступ к документу, внести в него изменения или попытаться скопировать, переслать или вывести на печать документ, к которому он не имеет соответствующего права доступа, будет пресечена.
Программный комплекс также ведет специальный учет лиц, осуществляющих доступ к документам, и несанкционированных попыток действий. Данные этого учета своевременно предоставляются сотрудникам службы безопасности с целью контроля данного процесса и принятия дальнейших мер к нарушителям.
Организационно-технический контроль
Организационно-технический контроль служит для ограничения доступа посторонних лиц, а также лиц, не имеющих соответствующего права доступа к средствам хранения и обработки информации.
Например, операторы ЭВМ проходят предварительную проверку и обязательный инструктаж о правилах специального документооборота и мерах защиты коммерческой тайны. Посторонние лица (посетители, клиенты, работники, не имеющие со-
48
elib.pstu.ru
ответствующего доступа) не допускаются в помещения, где находятся компьютеры с конфиденциальными документами. С этой целью в таких помещениях устанавливаются системы контроля и управления доступом.
Если это возможно, на компьютерах, служащих для обработки и хранения электронной документации секретного характера, демонтируются записывающие устройства и блокируются все источники передачи информации. Кроме того, такие компьютеры изолируются от внешнего сетевого доступа (Интернет, внутренняя сеть).
Впомещениях, где находятся такие компьютеры, устанавливаются системы видеонаблюдения с целью контроля действия операторов, фиксации попыток доступа неавторизованных лиц.
Всвязи с активным распространением портативных, мобильных, носителей информации необходимо также ввести специальную процедуру контроля их использования. Применение личных носителей информации работников в компьютерах, содержащих документы для служебного пользования и конфиденциальную документацию, не рекомендуется. Запись конфиденциальных документов должна производиться только на служебные носители информации.
Немаловажным является также ограничение и контроль выноса мобильных компьютеров, содержащих конфиденциальные документы, за пределы предприятия. Нередко подобные действия приводят к существенным потерям. Согласно исследованию, проведенному Ponemon Institute, потери и кражи ноутбуков в аэропортах, такси и отелях во всем мире обходятся компаниям, которые ими владеют, в среднем в 49 246 долларов! Это стоимость не самих компьютеров, а хранящихся в них данных.
Таким образом, внедрение мер программно-аппаратного и организационно-технического контроля позволяет минимизировать риски утечки коммерческой тайны, содержащейся в электронных документах.
49
elib.pstu.ru
Вопросы для самопроверки
1.Что означают понятия «конфиденциальные документы»
и«конфиденциальный документооборот»?
2.Какова основная цель защиты конфиденциальной информации?
3.Перечислите формы проявления уязвимости конфиденциальных документов.
4.Какие меры следует принять для защиты конфиденциальной информации?
5.Перечислите принципы организации конфиденциального документооборота.
6.Что означает понятие «разрешительная система доступа к конфиденциальным документам»?
7.Каковы особенности конфиденциального документооборота на цифровых носителях?
8.Перечислите меры защиты конфиденциальных документов на цифровых носителях.
50
elib.pstu.ru