ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 06.12.2020
Просмотров: 4275
Скачиваний: 25
рующие по правилам, установленным соответствующими право
выми, организационно-распорядительными и нормативными до
кументами по защите информации.
Таким образом, к источникам защищаемой информации (объек
там защиты) относятся (рис. 5.1):
• персонал предприятия, а также подчиненных или взаимодей
ствующих предприятий (организаций), допущенный к информа
ции с ограниченным доступом в установленном порядке или мо
гущий ознакомиться с такой информацией, в том числе непред
намеренно (специфика персонала предприятия как объекта за
щиты рассмотрена в гл. 13);
• материальные средства, содержащие информацию ограничен
ного доступа (оборудование, материалы, здания, сооружения, хра
нилища, транспорт и т.д.);
• информационные ресурсы с ограниченным доступом (инфор
мация на бумажной, магнитной, оптической основе, информаци
онные массивы и базы данных, программное обеспечение, ин
формативные физические поля различного характера);
• средства и системы информатизации (автоматизированные
системы и вычислительные сети различного уровня и назначе
ния, линии, технические средства передачи информации, вспо
могательные средства и системы);
• технические средства и системы охраны и защиты материаль
ных и информационных ресурсов.
5.3. Особенности взаимоотношений
с контрагентами как объект защиты
информации ограниченного доступа
Особенности рыночных отношений в стране в настоящее время
характеризуются жесткой конкуренцией, в том числе недоб
росовестной, незащищенностью предпринимателей и собствен
ников, связанной с имеющимися недостатками в законодатель
стве.
В соответствии со ст. 128 Гражданского кодекса Российской
Федерации* (ГК РФ) информация является объектом граждан
ско-правовых отношений, входит в состав имущественного комп
лекса предприятия (ст. 132) и защищается собственником спосо
бами, предусмотренными ГК РФ и законодательством (ст. 139).
Таким образом, если речь идет не о государственной, а о коммер
ческой тайне, то основным органом ее защиты является собствен
ник.
* Собрание законодательства РФ от 05.12.1994 г. № 32. — Ст.3301.
Вместе с тем предпринимательство как процесс очень часто
требует использования информации, в том числе ограниченного
доступа, во взаимоотношениях с контрагентами. Конечно же основ
ным способом защиты передаваемой контрагентам информации
является нормативно-правовое закрепление обязанностей контр
агента по ее защите.
Такое закрепление предусмотрено Федеральным законом от
29 июля 2004 г. №. 98-ФЗ «О коммерческой тайне» [46]:
«1. Отношения между обладателем информации, составляю
щей коммерческую тайну, и его контрагентом в части, касающей
ся охраны конфиденциальности информации, регулируются за
коном и договором.
2. В договоре должны быть определены условия охраны кон
фиденциальности информации, в том числе в случае реорганиза
ции или ликвидации одной из сторон договора в соответствии с
гражданским законодательством, а также обязанность контраген
та по возмещению убытков при разглашении им этой информа
ции вопреки договору.
3. В случае, если иное не установлено договором между обла
дателем информации, составляющей коммерческую тайну, и контр
агентом, контрагент в соответствии с законодательством Россий
ской Федерации самостоятельно определяет способы защиты ин
формации, составляющей коммерческую тайну, переданной ему
по договору.
4. Контрагент обязан незамедлительно сообщить обладателю
информации, составляющей коммерческую тайну, о допущенном
контрагентом либо ставшем ему известном факте разглашения или
угрозы разглашения, незаконном получении или незаконном ис
пользовании информации, составляющей коммерческую тайну,
третьими лицами.
5. Обладатель информации, составляющей коммерческую тай
ну, переданной им контрагенту, до окончания срока действия
договора не может разглашать информацию, составляющую ком
мерческую тайну, а также в одностороннем порядке прекращать
охрану ее конфиденциальности, если иное не установлено дого
вором.
6. Сторона, не обеспечившая в соответствии с условиями до
говора охраны конфиденциальности информации, переданной
по договору, обязана возместить другой стороне убытки, если
иное не предусмотрено договором». (Статья 12. Охрана конфи
денциальности информации в рамках гражданско-правовых от
ношений).
Анализ приведенной правовой нормы показывает наличие в
ней слабых мест, касающихся добросовестного выполнения контр
агентом обязательств, предусмотренных частями 2, 3 и особенно
4 и 6 ст. 12 Закона.
Очевидно, что контрагент не заинтересован в том, чтобы в
договоре (контракте) присутствовали обязательства, вытекающие
из содержания части 2 ст. 12, а при их отсутствии в договоре —
самостоятельно принимаемые меры защиты (в соответствии с
частью 3) будут минимальными и, возможно, малоэффектив
ными.
Выполнение обязанностей по информированию собственника
при разглашении информации контрагентом, предусмотренных
частью 4 ст. 12, маловероятно, так как влечет необходимость воз
мещения убытков в соответствии с частью 6 ст. 12.
Эта особенность требует от собственника информации приня
тия ряда мер, направленных на защиту своих интересов.
До заключения контракта {договора)'.
• изучать контрагента с точки зрения его добросовестности; в
этих целях могут быть использованы возможности органов госу
дарственной власти, ведущих учет недобросовестных пред
принимателей (органов внутренних дел, налоговых органов, ар
битражных судов и т.п.), общественных предпринимательских
объединений, обществ защиты прав потребителей, аудиторских
фирм;
• использовать возможности службы безопасности предприя
тия для изучения контрагента и его руководителей в рамках Зако
на РФ от 11 марта 1992 г. № 2487-1 «О частной детективной и
охранной деятельности в Российской Федерации»;
• разрабатывать типовые контракты (договора), обеспечиваю
щие защиту интересов предприятия в информационной сфере,
использовать в этих целях специалистов службы безопасности, а
также опыт других предприятий.
При заключении контракта {договора):
• отстаивать при проведении переговоров о подписании контр
актов необходимость включения в них положений типовых контр
актов, обеспечивающих защиту интересов предприятия в инфор
мационной сфере;
• привлекать специалистов службы безопасности предприятия
к проведению переговоров;
• использовать специализированные фирмы для оценки про
ектов контрактов с учетом достаточности изложенных в них мер
защиты информации предприятия.
После заключения контракта.
• документировать факты передачи информации ограниченно
го доступа контрагенту;
• контролировать наличие на носителях передаваемой инфор
мации установленных законодательством атрибутов;
• осуществлять мониторинг рынка с целью выявления товаров
и услуг, произведенных с использованием незаконно полученной
информации предприятия.
5 .4 . Факторы, определяющие необходимость
защиты периметра и здания предприятия
Главной целью системы безопасности предприятия, в том чис
ле в информационной области, является обеспечение устойчиво
го функционирования предприятия и предотвращение угроз его
безопасности, защита законных интересов от противоправных
посягательств, охрана жизни и здоровья персонала, недопущение
хищения финансовых и материально-технических средств, унич
тожения имущества и ценностей, разглашения, утраты, утечки,
искажения и уничтожения информации, нарушения работы тех
нических средств, включая и средства информатизации.
На выполнение этой задачи влияют следующие
основные фак
торы
:
1. Злоумышленник* не ограничен в выборе объекта несанкцио
нированного доступа (воздействия). Разнообразие средств несанк
ционированного получения информации дает возможность исполь
зовать в этих целях выходящие за территорию предприятия ли
нии связи, коммуникации (водопровод, канализация и т.п.), сис
темы электропитания и заземления, установку в здании и непос
редственной близости от него различных устройств съема инфор
мации. Эффективное противодействие возможностям злоумыш
ленника, определяемым этим фактором, требует создания
непре
рывной
(по всему периметру),
эшелонированной
(в несколько ру
бежей),
комплексной
(построенной на различных физических
принципах) системы выявления, предотвращения, отражения и
локализации угроз.
2. Злоумышленник не ограничен в выборе момента и продол
жительности несанкционированного доступа (воздействия). Эф
фективное противодействие возможностям злоумышленника, опре
деляемым этим фактором, требует создания системы выявления
угроз, которая функционировала бы
непрерывно
во времени, и
системы предотвращения, отражения и локализации угроз, спо
собной к
реакции
в промежуток времени, достаточный для пред
отвращения ущерба.
3. Злоумышленник не ограничен в выборе средств, способов и
методов несанкционированных действий. Эффективное противо
действие возможностям злоумышленника, определяемым этим
фактором, требует создания системы выявления, предотвращения,
отражения и локализации угроз, которая при необходимости мог
ла бы использовать все законные средства, способы и методы.
*
В настоящей главе лица, имеющие целью получить противоправный доступ
к информационным ресурсам или материальным объектам, содержащим инфор
мацию ограниченного доступа, именуются «злоумышленник», «нарушитель».
Построение перечисленных систем должно осуществляться на
основе реальной оценки возможных угроз и с учетом критерия
«эффективность—стоимость».
Очевидно, что перечисленные факторы имеют выраженную
пространственно-временную составляющую, т.е. требуют реали
зации мер защиты непрерывно во времени и пространстве, а так
же на достаточном удалении от объектов защиты, чем и определя
ют необходимость защиты периметра и здания предприятия.
Выводы:
1. Защита периметра и здания предприятия заключается в по
строении системы охраны, которая должна обеспечивать:
• своевременное обнаружение несанкционированных действий;
• предупреждение несанкционированного доступа на охраняе
мый объект;
• задержку проникновения нарушителя (нарушителей) на
объект;
• пресечение несанкционированных действий (ответные дей
ствия).
2. Система защиты должна выполнить следующие задачи:
• как можно раньше обнаружить факт несанкционированных
действий;
• транслировать сообщения о них на пункт управления охраной;
• провести верификацию (подтверждение истинности) тревож
ной ситуации;
• выдать команду на принятие мер по предотвращению ущерба;
• зарегистрировать факт возникновения любой аномальной («не
штатной») ситуации, а также все действия оператора и персонала
охраны для последующего анализа;
• нейтрализовать нарушителя.
5.5. Особенности помещений как объектов
защиты для работы по защите информации
Помещения (здания) для работы с защищаемой информацией
являются одним из рубежей, препятствующих несанкционирован
ному доступу к объектам защиты. Они должны удовлетворять сле
дующим требованиям:
• обеспечивать защиту от проникновения злоумышленника (фи
зическую защиту) на время, необходимое для выявления и пресе
чения нарушения;
• исключать просмотр и прослушивание;
• обеспечивать сохранность носителей защищаемой информации
от хищений с использованием квалифицированных методов взлома;
• обеспечивать безопасность персонала объектов и посетителей
от вооруженных нападений;