Файл: лекции по ксзи.pdf

•  постановление  Правительства  РФ  от  22  мая  2006  г.  №  302 

«О  создании  и  деятельности  на  территории  закрытого  админист­
ративно-территориального образования организаций  с  иностран­

ными  инвестициями»*;

•  постановление  Правительства  РФ  от  5  июля  2001  г.  №  508 

«Об утверждении перечня закрытых административно-территори­
альных  образований  и  расположенных  на  их  территориях  насе­
ленных  пунктов».**

3.6.  Режим  функционирования  предприятия

Режим  функционирования  предприятия  подразделяют:

•  по  степени  вероятности  возникновения  угроз  безопасности 

(в том  числе,  информационной)  —  повседневный,  в  условиях уг­

розы,  в  чрезвычайных  условиях;

• по регламенту работы  — в одну смену,  в две смены,  круглосу­

точный;

• по технологическому процессу — дискретный,  непрерывный.

3.7.  Конструктивные  особенности  предприятия

Конструкция  (от лат.  constructio  — составление,  построение)  — 

устройство,  взаимное  расположение  частей,  состав  какого-либо 
строения,  механизма.

•  Под  конструкцией  предприятия  можно  понимать:  структур­

ные подразделения, форму и степень взаимодействия между ними; 
производственные  (технологические)  здания  и  коммуникации 
между  ними;  структуру  управления,  подчиненность  и  т.п.

•  По  размещению  предприятия  можно  разделить  на: 

компак­

тные

  (размещены  на  одной  территории); 

территориально рас­

пределенные', размещенные  совместно  с другими  предприятия­

ми

  (особенности  будут  рассмотрены  в  следующем  подразделе).

3.8.  Количественные  и  качественные

показатели  ресурсообеспечения

Ресурсообеспеченность предприятия (т.е. наличие и использо­

вание  финансовых,  материальных,  информационных,  людских  и 
прочих ресурсов)  может оказывать значительное влияние на фор­

*  Собрание  законодательства  РФ  от  29.05.2006  г.  №  22.  —  Ст.  2334.
**  Собрание  законодательства  РФ  от  16.07.2001  г.  №  29.  —  Ст.  3019.

мирование  и функционирование  КСЗИ  предприятия.  Рассматри­
вают два основных показателя ресурсообеспеченности  —  количе­

ственный (характеризующий величину, число, объем) и качествен­
ный  (характеризующий  совокупность  свойств,  меру  полезности, 
отношение  количества ресурсов  к количеству объектов).

Количественный  показатель  используемых  ресурсов  характе­

ризует в  первую очередь  масштабы  производственной деятельно­
сти  предприятия  и  соответственно  определяет  объем  работ,  свя­
занных с  безопасностью  предприятия  в  целом  и  ЗИ  в  частности.

Качественный показатель ресурсообеспеченности предприятия 

влияет на формирование и функционирование КСЗИ с точки зре­
ния  возможностей  по  привлечению  сил  и  выбору средств  ЗИ.

3 .9 .  Степень  автоматизации  основных

процедур  обработки  защищаемой  информации

Степень  автоматизации  процедур  обработки  защищаемой  ин­

формации  как фактор,  влияющий  на организацию  КСЗИ,  может 
быть  охарактеризована  следующими  уровнями:

1)  автоматизация  процесса  документационного  обеспечения 

управления  (подготовка  документов,  учет,  контроль движения  и 

исполнения,  использование  баз данных и  электронных архивов и 

т.п.)  —  нижний уровень автоматизации, тем не менее требующий 

выполнения  как организационных,  так и технических  мероприя­

тий  защиты  информации;

2)  автоматизация документооборота  (электронный документо­

оборот)  —  этот  уровень  может  быть  реализован  внутри  охраняе­
мой  территории  предприятия  (между  подразделениями  и  испол­
нителями)  и  с  удаленными  абонентами;  характеризуется  необхо­

димостью  повышенного  внимания  защищенности  линий  (кана­
лов)  связи,  применения  средств  криптографической  защиты  ин­

формации  (СКЗИ),  использования  электронной  цифровой  под­
писи;

3)  использование АСУ производственными процессами — тре­

бует повышенного внимания к специальному программному обес­

печению,  защите  от ошибок персонала.

Степень  интеграции  вычислительных  средств  также  является 

фактором,  влияющим  на  сложность  организации  КСЗИ.  Уровни 
сложности  (по  возрастающей)  следующие:

•  использование  автономных  ПЭВМ  (минимальный);
•  наличие локальной  сети  (средний);
•  наличие  территориально  распределенных  локальных  сетей, 

объединенных  средствами  связи;  наличие  подключений  к  сетям 
общего  пользования  (высокий).

Гл а в а  4

Определение  и  нормативное

закрепление  состава  защищаемой

информации

4 .1 .  Классификация  информации

по  видам  тайны  и  степеням

конфиденциальности

Безусловно,  весь объем  информации,  используемой  предприя­

тием в его деятельности,  необходимо защищать.  Вместе с тем оче­

видно, что применение одинаковых мер защиты информации (не­
зависимо от ее  вида)  не  может являться эффективной стратегией. 

В  настоящей  главе  рассмотрим  только  деятельность  по  защите 

информации,  связанную  с  ограничением  доступа  к  ней  (обеспе­

чением  конфиденциальности  информации).

Создание  и  обеспечение  функционирования  КСЗИ  предприя­

тия  предполагает  (как  минимум)  наличие  ответов  на  следующие 

вопросы:  «Что  защищать?»;  «От  кого  (чего)  защищать?»;  «Какие 

силы,  средства,  методы  (и  т.п.)  необходимо  применять?».

Ответ  на  вопрос  «Что  защищать?»  не  только является  осново­

полагающим,  но  и  требует  первоочередного  решения.  В  связи  с 
этим  важным  направлением деятельности  в  ходе  создания  (обес­
печения функционирования) КСЗИ на предприятии является опре­

деление  состава  защищаемой  информации.

Защищаемая  информация

  — информация,  являющаяся  пред­

метом  собственности  и  подлежащая  защите  в соответствии с тре­
бованиями  правовых  документов  или  требованиями,  устанавли­
ваемыми  собственником  информации.

Классификация информации по видам тайны — составная часть 

деятельности  по  защите  информации.

В соответствии со ст.  5 Федерального закона от 27 июля 2006 г. 

№  149-ФЗ  «Об  информации,  информационных  технологиях 

и  защите  информации»  [45]  в  зависимости  от  порядка  предо­

ставления  или  распространения  информация  подразделяется 

(рис.  4.1):

1)  на  информацию,  свободно  распространяемую;

2)  информацию,  предоставляемую  по  соглашению  лиц,  уча­

ствующих  в  соответствующих  отношениях;

3) информацию,  которая  в соответствии с федеральными зако­

нами  подлежит  предоставлению  или  распространению;

4) 

информацию,  распространение  которой  в  Российской  Фе­

дерации  ограничивается  или  запрещается.

Кроме  того,  законодательством  Российской  Федерации  могут 

быть  установлены  виды  информации  в  зависимости  от  ее  содер­

жания  или  обладателя.

Из числа видов информации, доступ к которой  ограничен фе­

деральными  законами  (информация  ограниченного  доступа),  в 

настоящей  главе  будут рассмотрены  вопросы  определения и  нор­
мативного закрепления сведений, составляющих государственную 

тайну,  коммерческую тайну, служебную информацию ограничен­
ного  распространения,  а также  персональных данных.

Государственная  тайна  —

  защищаемые  государством  сведе­

ния в области его военной, внешнеполитической, экономической, 

разведывательной,  контрразведывательной и оперативно-розыск­

ной деятельности, распространение которых может нанести ущерб 

безопасности  Российской Федерации (ст.  2 Закона РФ от 21  июля 

1993  г.  №  5485-1  «О  государственной тайне»  —  [20]).

Коммерческая тайна

 —  конфиденциальная  информация,  по­

зволяющая ее обладателю при  существующих или возможных об­
стоятельствах увеличить доходы,  избежать  неоправданных расхо­

дов,  сохранить  положение  на  рынке  товаров,  работ,  услуг  или 

получить  иную  коммерческую  выгоду.  Информация,  составляю­
щая  коммерческую  тайну,  —  научно-техническая,  технологиче­
ская, производственная, финансово-экономическая или иная ин­
формация  (в  том  числе  составляющая  секреты  производства  — 
ноу-хау), которая имеет действительную или потенциальную ком­

мерческую  ценность  в  силу  неизвестности  ее  третьим  лицам,  к 
которой нет свободного доступа на законном основании и в отно­
шении  которой  обладателем  такой  информации  введен  режим 
коммерческой тайны (ст.  3 Федерального закона от 29 июля 2004 г. 
№  98-ФЗ  «О  коммерческой  тайне»  [46]).

Служебная информация ограниченного распространения

 (

слу­

жебная  тайна)  —

  служебные  сведения,  доступ  к  которым  огра­

ничен  органами  государственной  власти  в  соответствии  с  Граж-

Рис.  4.1.  Классификация  информации  в  зависимости  от  порядка 

предоставления  или  распространения

Рис.  4.2.  Классификация  информационных  ресурсов 

по  категориям  доступа

данским  кодексом  Российской  Федерации  и  федеральными  зако­

нами  (п.  3  Указа  Президента  Российской  Федерации  от  6  марта 

1997  г.  №  188).

Персональные  данные  —

  любая  информация,  относящаяся  к 

определенному  или  определяемому  на  основании  такой  инфор­

мации  физическому лицу  (субъекту персональных данных),  в том 
числе  его  фамилия,  имя,  отчество,  год,  месяц,  дата  и  место  рож­

дения,  адрес,  семейное,  социальное,  имущественное  положение, 

образование,  профессия, доходы, другая информация  (ст.  3  Феде­
рального  закона  от  27  июля  2006  г.  №  152-ФЗ  «О  персональных 

данных»  [47]).

Структурная схема классификации  информационных ресурсов 

по  категориям  доступа  представлена  на  рис.  4.2.

4.2.  Нормативно-правовые  аспекты

определения  состава  защищаемой

информации

Определение  состава  защищаемой  информации  требует,  по 

крайней  мере,  решения  трех  задач.

Задана  1.

  Определение  состава информации,  ограничение до­

ступа  к  которой  запрещено  законодательством,  и  соответственно 

вычленение  ее  из  состава  защищаемой  информации.