ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 06.12.2020
Просмотров: 4217
Скачиваний: 25
формации». Эксплуатация АС осуществляется в соответствии с
утвержденной организационно-распорядительной и эксплуатаци
онной документацией, предписаниями на эксплуатацию техни
ческих средств.
Технология обработки информации в АС различна и зависит
от используемых СВТ, программных средств, режимов работы.
Не вдаваясь в особенности технологического процесса, обуслов
ленные различиями в технике, программном обеспечении и дру
гими причинами, можно констатировать, что основной характер
ной особенностью, связанной с обработкой секретной или иной
подлежащей защите информации, является функционирование
системы зашиты информации от НСД как комплекса програм
мно-технических средств и организационных решений, предус
матривающей учет, хранение и выдачу пользователям информа
ционных носителей, паролей, ключей, ведение служебной инфор
мации СЗИ НСД (генерацию паролей, ключей, сопровождение
правил разграничения доступа), оперативный контроль за функ
ционированием СЗИ, контроль соответствия общесистемной про
граммной среды эталону и приемку включаемых в АС новых про
граммных средств, контроль за ходом технологического процесса
обработки информации путем регистрации анализа действий
пользователей, сигнализации опасных событий.
Перечисленные составляющие являются функциональной на
правленностью службы безопасности информации, администра
тора АС и фиксируются, с одной стороны, в положениях об этих
службах и общей организационной документации по обеспече
нию безопасности информации («Положение о порядке органи
зации и проведения на предприятии работ по защите информа
ции в АС», «Инструкция по защите информации, обрабатывае
мой в АС предприятия», разделе «Положения о системе допуска
исполнителей к документам и сведениям на предприятии», опре
деляющим особенности системы допуска в процесс разработки и
функционирования АС), а с другой стороны, в проектной доку
ментации СЗИ НСД (инструкциях администратору АС, службе
безопасности информации, пользователю АС).
Следует отметить, что без надлежащей организационной под
держки программно-технических средств защиты информации от
НСД и точного выполнения предусмотренных проектной доку
ментацией процедур в должной мере не решить проблему обеспе
чения безопасности информации в АС.
Контроль состояния эффективности зашиты информации осу
ществляется подразделениями по защите информации службы
безопасности предприятия-заказчика и заключается в проверке
выполнения требования нормативных документов по защите ин
формации, а также в оценке обоснованности и эффективности
мер.
Г л а в а 13
Кадровое обеспечение
функционирования комплексной
системы защиты информации
13.1. Специфика персонала предприятия
как объекта защиты
Персонал предприятия считается одним из наиболее важных
объектов защиты, так как является не только носителем инфор
мации с ограниченным доступом, но и источником создания та
кой информации. Сложность персонала как объекта защиты за
ключается не только в отсутствии возможности постоянного кон
троля за его действиями, особенно в неслужебное (нерабочее) вре
мя, но и в его уязвимости, обусловленной, например, возможно
стью подкупа, преследования им корыстных целей, воздействия
на сотрудников и членов их семей с целью шантажа, возможно
стью похищения и т.п. Сложность реализации мер защиты в от
ношении персонала предприятия обусловливает необходимость
постоянного внимания этой задаче.
Рассмотрим
основные направления работы с персоналом
в
плане защиты информации с ограниченным доступом.
Подбор и расстановка кадров
осуществляются из двух источ
ников — внутренних перестановок и за счет найма на рынке труда.
Основные методы изучения и отбора персонала:
• тестирование;
• изучение личных документов, документов об образовании,
трудовой деятельности на предыдущих местах работы, рекомен
даций, характеристик; проверка подлинности личных документов
и документов об образовании; изучение и подтверждение полно
ты и точности сведений, изложенных в анкетных материалах и
автобиографии;
• проведение конкурсов на замещение вакансий;
• аттестование сотрудников предприятия в целях подтвержде
ния профессиональной квалификации, возможного выдвижения
на более высокие должности, для создания резерва кандидатов на
продвижение по службе;
• проверка с использованием баз учета органов внутренних дел
(наличие судимости, нахождение под следствием, в розыске и т.п.);
• проверка финансового состояния и кредитной истории.
К основным группам качеств для сравнения кандидатов отно
сятся: профессиональные, образовательные, организационные и
личные. Основным требованием при отборе является тщательное
изучение деловых, моральных и этических данных каждого кан
дидата путем глубокого изучения его трудового прошлого.
Юридическое обеспечение —
заключение контракта и получе
ние у сотрудника добровольного согласия на соблюдение требо
ваний, регламентирующих режим безопасности и сохранения ком
мерческой и других тайн, в том числе:
• обязанности сохранять в тайне информацию ограниченного
доступа, полученную в ходе трудовой деятельности и после пре
кращения трудовых отношений;
• права собственности предприятия на результаты интеллекту
альной деятельности работника, созданные в рамках выполнения
трудового договора;
• обязанности работника возвратить полученные в ходе трудо
вой деятельности носители информации ограниченного доступа;
• обязанность не использовать сведения, составляющие ком
мерческую тайну предприятия, после смены места работы в ходе
трудовой деятельности на других предприятиях;
• обязанности выполнять требования по защите информации
ограниченного доступа, установленные как законодательством, так
внутренними правилами и инструкциями предприятия;
• обязанности использовать технические средства обработки
информации и средства связи (телекоммуникации), принадлежа
щие предприятию, только в служебных целях.
Договорные (контрактные) обязательства по вопросам
защи
ты государственной тайны
определяются в соответствии с «Ин
струкцией о порядке допуска должностных лиц и граждан Рос
сийской Федерации к государственной тайне», утвержденной по
становлением Правительства Российской Федерации 1995 г.
№ 1050.
Изучение персонала службой безопасности
осуществляется в
рамках Закона Российской Федерации от 11 марта 1992 г.
№ 2487-1 «О частной детективной и охранной деятельности в Рос
сийской Федерации»*, а также с учетом конституционных прав и
свобод граждан.
Обучение
осуществляется по двум направлениям — обучение
персонала, обеспечивающего защиту информации с ограничен
ным доступом, и обучение персонала, использующего в своей ра
боте такую информацию. Основные формы обучения персонала
первой группы — вечерняя и заочная, в учебных заведениях выс
шего и среднего профессионального образования, на курсах под
готовки, переподготовки и повышения квалификации, на рабо
* Ведомости СНД РФ и ВС РФ от 23.04.1992 г. № 17. Ст. 888.
чем месте под руководством более опытного работника, при ста
жировке в однопрофильных организациях, инструктажи, конфе
ренции и т. п. Основная форма обучения персонала второй груп
пы — проведение занятий и инструктажи — вводный, на рабочем
месте, по отдельным вопросам, при выявлении нарушений.
Стимулирование труда
применяется для поощрения добро
совестности и бдительности персонала при выполнении обязан
ностей по защите информации ограниченного доступа. Основные
формы поощрения: материальное, финансовое, моральное, про
движение по службе.
Применение мер дисциплинарной, административной и ма
териальной ответственности
в виде дисциплинарных взыска
ний, административных штрафов, возмещения материального
ущерба, увольнения.
Контроль
действий персонала по подчиненности; периоди
ческий и внезапный контроль подразделением защиты информа
ции, в том числе через доверенных лиц, контроль переговоров по
служебным средствам связи, с использованием средств контроля
доступа, администрирования, видеонаблюдения. Проводится так
же контроль обученности персонала вопросам защиты информа
ции.
Оценка деятельности
тесно связана с контролем, стимулиро
ванием труда и применением дисциплинарных, административ
ных и других мер воздействия.
Организационно-правовое обеспечение —
разработка внутрен
них нормативных актов по защите информации ограниченного
доступа и изучение ее с персоналом; анализ и оценка эффектив
ности и достаточности принимаемых мер защиты информации.
Обмен информацией о кадрах с близкими по профилю орга
низациями и контрагентами
осуществляется службой безопас
ности предприятия с санкции его руководителя и с учетом зако
нодательства о персональных данных. Сотрудники должны быть
убеждены, что при наличии нарушений информация о них может
быть направлена по новому месту работы.
Материально-техническое обеспечение персонала по вопро
сам защиты информации
заключается в обеспеченности персо
нала техническими средствами обработки и хранения информа
ции, соответствующими установленным требованиям, наличии не
обходимого оборудования, расходных материалов, защищенных
средств связи и т. п.
Ротация кадров
является необходимым условием уменьше
ния рисков, связанных со сговорами и круговой порукой, могу
щими привести к хищению информации ограниченного доступа
или сокрытию фактов ее утраты.
Безопасность персонала
включает принятие мер по защите
наиболее привлекательных с точки зрения противоправных ак
ций сотрудников предприятия (руководителей и их заместителей,
лиц с широкими правами доступа на объекты зашиты и к инфор
мации, осуществляющих хранение информации и т.п.). Может
осуществляться как службой безопасности предприятия (в рамках
Закона Российской Федерации от 11 марта 1992 г. № 2487-1
«О частной детективной и охранной деятельности в Российской
Федерации»), так и специализированными охранными фирмами.
13.2. Распределение функций по защите
информации
13.2.1. Функции руководства предприятия
Функции руководства предприятия по защите информации
зависят от ряда факторов, основными из которых являются:
• виды тайн, используемых на предприятии (государственная,
коммерческая, служебная, персональные данные и т.д.);
• форма собственности и организационно-правовая форма пред
приятия;
• подчиненность (подведомственность) предприятия (для пред
приятий государственной формы собственности);
• сфера деятельности.
Эти функции в самом общем виде определяются в уставных и
внутренних распорядительных документах организации. Вместе с
тем они могут быть возложены на руководителей непосредствен
но нормативными правовыми актами. Так, на руководителей пред
приятий, использующих в своей деятельности сведения, состав
ляющие государственную тайну, законодательство возлагает опре
деленные функции, права и обязанности.
1.
Законом РФ «О государственной тайне» [20] на руководите
ля возлагаются:
• обоснование необходимости отнесения к государственной тай
не сведений, полученных (разработанных) на предприятии (ст. 9);
• передача в собственность государства сведений, составляю
щих государственную тайну, полученных (разработанных) на пред
приятии (ст. 10);
• получение разрешения на передачу сведений, составляющих
государственную тайну, в другие организации, с санкции органа
государственной власти, в распоряжении которого находятся све
дения (ст. 16);
• создание условий по защите сведений, составляющих госу
дарственную тайну, полученных от других организаций (ст. 16);
• контроль наличия лицензий на проведение работ, связанных
с использованием сведений, составляющих государственную тай