Файл: Российской федерации фгбоу во национальный исследовательский университет мэи.docx

В соответствии с иерархической последовательностью доступа определяется структура рубежей защиты информации, которая предусматривает постепенное ужесточение защитных мер по иерархической вертикали возрастания уровня конфиденциальности сведений. Этим обеспечивается недоступность этих сведений для случайных людей, злоумышленника и определяется необходимый уровень защищённости информации.

Руководитель фирмы имеет право давать разрешение на ознакомление со всеми видами конфиденциальных документов фирмы и всем категориям исполнителей, и другим лицам. Однако целесообразно, чтобы первый руководитель оставлял за собой право распоряжаться только наиболее ценной информацией, делегируя право выдачи разрешений на доступ к другой информации нижестоящим руководителям. Следует иметь в виду, что чрезмерная централизация в выдаче разрешений на доступ к конфиденциальной информации неизбежно ведёт к снижению оперативности в решении производственных вопросов. Излишняя децентрализация и либерализация создаёт условия для утраты ценных сведений.

Заместители первого руководителя по функциональным сферам (по науке, производственным вопросам, сбыту и др.) имеют право давать разрешение на ознакомление с конфиденциальными сведениями всем нижестоящим руководителям и исполнителям, но в пределах своей компетенции.

Руководителям структурных подразделений даётся право разрешать доступ к конфиденциальным сведения всем работникам своих подразделений по тематике их работы. Руководитель подразделения может давать разрешение только непосредственно подчинённым ему сотрудникам. Для осуществления доступа к документам данного подразделения работника другого подразделения необходимо разрешение соответствующего заместителя руководителя фирмы. Ответственные исполнители работ (направлений деятельности) имеют право давать разрешение на доступ к конфиденциальной информации подчинённым им исполнителям и в пределах их компетенции. В небольших фирмах разрешение на доступ даёт только первый руководитель.

Представителям государственных органов разрешение на доступ к конфиденциальным сведениям даёт только первый руководитель фирмы при необходимости доступа к конфиденциальным сведения представителей других фирм и предприятий руководствуются теми обязательствами, которые были закреплены в соответствующем договоре (контракте) на выполнение работ или услуг. Это касается как документированной информации, так и информации устной, визуальной и любой другой. В этом случае разрешение на доступ даёт должностное лицо фирмы, включённое в специальный перечень, прилагаемый к договору и утверждённый первым руководителем.

---

Руководитель фирмы, вне зависимости от формы её собственности, может устанавливать иные специальные или дополнительные правила доступа к конфиденциальным сведениям, документам, базам данных и носителям информации, конфиденциальным изделиям и продукции фирмы Он несёт за это единоличную ответственность. Разрешение на доступ к конфиденциальной информации всегда даётся полномочным руководителем только в письменном виде, резолюцией на документе, приказом, утверждающим схему именного или должностного доступа к конкретным группам информации, утверждённым руководителем списком-разрешением на обложке дела, списком ознакомления с документом и т.п. Без дополнительного разрешения допускаются к документам их исполнители (если они продолжают работать по той же тематике) и лица, визировавшие, подписавшие, утвердившие документ. Без специального разрешения могут допускаться также лица, указанные в тексте распорядительных документов. Если сотрудник допускается только к части документа, то в разрешении (резолюции) чётко указываются конкретные пункты, разделы, страницы, приложения, с которыми он может ознакомиться. Сотрудник службы конфиденциального делопроизводства обязан принять необходимые меры по исключению возможности ознакомления исполнителя с другими частями документа.

Разрешение на доступ к конфиденциальным сведениям представителя другой фирмы или предприятия оформляется резолюцией полномочного должностного лица на предписании (или письме, обязательстве), представленном заинтересованным лицом. В резолюции должны быть указаны конкретные документы или сведения, к которым разрешён доступ. Одновременно указывается фамилия сотрудника фирмы, который знакомит представителя другого предприятия с этими сведениями и несёт ответственность за его работу в помещении фирмы.

Следует соблюдать правило, по которому регистрируются все лица, имеющие доступ к определенным документам, коммерческим секретам. Это позволяет на высоком уровне осуществлять информационное обеспечение аналитической работы по выявлению возможных каналов утраты информации.

При организации доступа сотрудников фирмы к конфиденциальным массивам электронных документов, базам данных необходимо помнить о его многоступенчатом характере. Можно выделить следующие главные составные части:

- доступ к ПК, серверу или рабочей станции;

- доступ к машинным носителям информации, хранящимся вне ЭВМ.

---

Доступ к персональному компьютеру, серверу или рабочей станции, которые используются для обработки конфиденциальной информации, предусматривает:

- определение и регламентацию первым руководителем фирмы состава сотрудников, имеющих право доступа (входа) в помещение, в котором находится соответствующая вычислительная техника, средства связи,

- регламентацию первым руководителем временного режима нахождения этих лиц в указанных помещениях; персональное и временное протоколирование (фиксирование) руководителем подразделения или направления деятельности фирмы наличия разрешения и периода работы этих лиц в иное время (например, в вечерние часы, выходные дни и др.),

-организацию охраны этих помещений в рабочее и нерабочее время, определение правил вскрытия помещений и отключения охранных технических средств информации и сигнализирования; определение правил постановки помещений на охрану; регламентацию работы, указанных технических средств в рабочее время,

- организацию контролируемого (в необходимых случаях пропускного) режима входа в указанные помещения и выхода из них,

- организацию действий охраны и персонала в экстремальных ситуациях или при авариях техники и оборудования помещений,

- организацию выноса из указанных помещений материальных ценностей, машинных и бумажных носителей информации; контроль вносимых в помещение и выносимых персоналом личных вещей.

Любое несанкционированное или санкционированное обращение к информации должно регистрироваться. Рекомендуется систематически проверять используемое пользователями программное обеспечение с целью обнаружения неутверждённых или необычных программ. Применение персоналом собственных защитных мер при работе с компьютером не допускается. При несанкционированном входе в конфиденциальный файл информация должна немедленно автоматический стираться.

Несмотря на то, что по окончании рабочего дня конфиденциальные сведения должны быть перенесены на гибкие носители и стёрты с жёсткого диска компьютера, помещения, в которых находится вычислительная техника, подлежат охране. Объясняется это тем, что, во-первых, в неохраняемый компьютер легко установить какое-либо средство промышленного шпионажа, во-вторых, злоумышленник может с помощью специальных методов восстановить стёртую конфиденциальную информацию на жёстком диске (произвести "уборку мусора").

Доступ к машинным носителям конфиденциальной информации, хранящимся вне ЭВМ, предполагает:

---

- организацию учёта и выдачи сотрудникам чистых машинных носителей информации,

-организацию ежедневной фиксируемой выдачи сотрудникам и приёма от сотрудников носителей с записанной информацией (основных и резервных),

-определение и регламентацию первым руководителем состава сотрудников, имеющих право оперировать конфиденциальной информацией с помощью компьютеров, установленных на их рабочих местах, и получать в службе конфиденциального делопроизводства учтённые машинные носители информации;

-организацию системы закрепления за сотрудниками машинных носителей информации и контроля за сохранностью и целостностью информации, учёта динамики изменения состава записанной информации;

-организацию порядка уничтожения информации на носителе, порядка и условий физического уничтожения носителя,

-организацию хранения машинных носителей в службе конфиденциального делопроизводства в рабочее и нерабочее время, регламентацию порядка эвакуации носителей в экстремальных ситуациях,

-определение и регламентацию первым руководителем состава сотрудников, не сдающих по объективным причинам технические носители информации на хранение в службу конфиденциального делопроизводства в конце рабочего дня, организацию особой охраны помещений и компьютеров этих сотрудников.

Работа сотрудников службы конфиденциального делопроизводства и фирмы в целом с машинными носителями информации вне ЭВМ должна быть организована по аналогии с бумажным конфиденциальным документооборотом. Доступ к конфиденциальным базам данных и файлам является завершающим этапом доступа сотрудника фирмы к компьютеру. И если этот сотрудник - злоумышленник, то можно считать, что самые серьёзные рубежи защиты охраняемой электронной информации он успешно прошёл. В конечном счёте, он может просто унести компьютер или вынуть из него и унести жёсткий диск, не "взламывая" базу данных.

Обычно доступ к базам данных и файлам подразумевает:

1. Определение и регламентацию первым руководителем состава сотрудников, допускаемых к работе с определенными базами данных и файлами; контроль системы доступа администратором базы данных;

2. Наименование баз данных и файлов, фиксирование в машинной памяти имён пользователей и операторов, имеющих право доступа к ним;

3. Учёт состава базы данных и файлов, регулярную проверку наличия, целостности и комплектности электронных документов;

---

4. Регистрацию входа в базу данных, автоматическую регистрацию имени пользователя и времени работы; сохранение первоначальной информации;

5. Регистрацию попытки несанкционированного входа в базу данных, регистрацию ошибочных действий пользователя, автоматическую передачу сигнала тревоги охране и автоматическое отключение компьютера;

6. Установление и нерегулярное по сроку изменение имён пользователей, массивов и файлов (паролей, кодов, классификаторов, ключевых слов и т.п.), особенно при частой смене персонала;

7. Отключение ЭВМ при нарушениях в системе регулирования доступа или сбое системы защиты информации, механическое (ключом или иным приспособлением) блокирование отключённой, но загруженной ЭВМ при недлительных перерывах в работе пользователя. Коды, пароли, ключевые слова, ключи, шифры, специальные программные продукты, аппаратные средства и т.п. атрибуты системы защиты информации в ЭВМ разрабатываются, меняются специализированной организацией и индивидуально доводятся до сведения каждого пользователя работником этой организации или системным администратором Применение пользователем собственных кодов не допускается.

Таким образом, процедуры допуска и доступа сотрудников к конфиденциальной информации завершают процесс включения данного сотрудника в состав лиц, реально владеющих тайной фирмы. С этого времени большое значение приобретает текущая работа с персоналом, в распоряжении которого находятся ценные и конфиденциальные сведения.

Разрешение (санкция) на доступ к конкретной информации может быть дано при соблюдении следующих условий:

- наличие подписанного приказа первого руководителя о приёме на работу (переводе, временном замещении, изменении должностных обязанностей и т.п.) или назначении на должность, в функциональную структуру которой входит работа с данной, конкретной информацией;

- наличие подписанного сторонами трудового договора (контракта), имеющего пункт о сохранении тайны фирмы и подписанного обязательства о неразглашении ставших известными конфиденциальных сведений и соблюдении правил их зашиты,

- соответствие функциональных обязанностей сотрудника передаваемым ему документам и информации;

- знание сотрудником требований нормативно-методических документов по защите информации и сохранении тайны фирмы,

---