ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 05.12.2019
Просмотров: 12612
Скачиваний: 26
66
непосредственного наблюдения и использования технических средств
получить о них информацию. Однако он может получить доступ и к
информации, отображающей сведения об интересующих его объектах
разведки. Порой бывает проще получить доступ к носителям информации об
объектах разведки, чем к самим объектам, и кроме того, носители могут
содержать более полную информацию об интересующих его вопросах, чем
он сможет получить путем непосредственного наблюдения.
Таким образом, объекты защиты информации на предприятии – это 1)
сами объекты разведки (новейшие виды вооружения, военной техники,
технологии, ноу-хау и др.), являющиеся носителями защищаемой
информации, 2) сведения о них, отнесенные к государственной или
коммерческой тайне, используемые и хранящиеся на данном предприятии,
и к которым проявляет или может проявить интерес соперник.
Предметом
защиты информации являются носители информации, на
которых зафиксированы, отображены защищаемые сведения: секретные
документы; специзделия; материалы; излучения, несущие и отображающие
защищаемую информацию.
Если объект защиты выглядит несколько абстрактно — госу-
дарственная или коммерческая тайна, то предмет защиты, как правило,
материализован в виде документа, изделия, материала, или отображается в
виде знания в памяти и сознании человека, осведомленного в сведениях,
составляющих охраняемую тайну. Именно на охрану предмета — носителей
засекреченной информации — и направлены главным образом усилия
работников режимных служб и служб безопасности.
Цели и задачи защиты информации на предприятии
. Построение
любой системы начинается с определения целей и задач
функционирования создаваемой системы защиты информации.
Наиболее общими ее
задачами
на предприятии будут следующие:
1.
Обеспечить научно-производственную, управленческую, финансовую,
хозяйственную, маркетинговую и иную деятельность предприятия
режимным информационным обслуживанием, то есть снабжением всех служб,
подразделений и должностных лиц необходимой информацией, как
засекреченной, так и несекретной. При этом деятельность по защите
информации по возможности не должна создавать больших помех и неудобств
в решении производственных и прочих задач, и в то же время
способствовать их эффективному решению, давать предприятию
преимущества перед конкурентами и оправдывать затраты средств на защиту
информации.
67
2.
Гарантировать безопасность информации, ее средств, предотвратить
утечку
защищаемой
информации
и
предупредить
любой
несанкционированный доступ к носителям засекреченной информации.
3.
Создать условия и возможности для коммерческого использования
секретной и конфиденциальной информации предприятия. Это прежде
всего технологической информации, содержащей ноу-хау, так как
излишнее ее перехранение может привести к ее старению и
обесцениванию.
4.
Документировать процесс защиты информации, особенно сведений,
составляющих коммерческую тайну с тем, чтобы в случае возникновения
необходимости обращения в правоохранительные органы, иметь
соответствующие доказательства, что предприятие принимало необходимые
меры к защите этих сведений.
Эта система должна решать вполне определенный круг задач:
обеспечивать бесперебойное снабжение деятельности предприятия
необходимой информацией, как засекреченной, так и несекретной,
обеспечивать защиту от соперника секретной и конфиденциальной
информации.
Одним из этапов построения КСЗИ
является подготовка методи-
ческих организационно-правовых документов.
Для достижения по-
ставленных перед КСЗИ целей и согласованных действий всех подразделений
и
должностных
лиц
предприятия
разрабатываются
методические
организационно-правовые документы, регламентирующие режимные меры,
обеспечивающие обращение защищаемой информации в заданной сфере, ее
безопасность и недоступность незаконному потребителю. В этих документах
должна находить воплощение идея комплексного подхода к защите
информации на предприятии. Основные из этих документов мы
рассматривали выше (см.: Защита коммерческой тайны), однако учитывая, что
на предприятии могут одновременно проводиться работы, связанные с
использованием сведений, составляющих как государственную тайну, так и
коммерческую тайну, следует дополнительно дать несколько пояснений.
Во-первых,
в Уставе должно быть указано, что данное предприятие
имеет право проводить работы с использованием сведений, составляющих
государственную тайну, наличие лицензии на право проведения работ со
сведениями соответствующей степени секретности. Предприятие имеет
право создавать у себя специальные службы, обеспечивающие защиту
информации
2
.
Во-вторых,
предприятие может иметь как минимум два перечня
сведений, подлежащих засекречиванию: отраслевой или уточненный для
данного предприятия Перечень сведений, составляющих государственную
68
тайну, и подготовленный специалистами предприятия Перечень сведений,
составляющих коммерческую тайну предприятия.
В-третьих,
иметь на предприятии две инструкции, регламенти-
рующие: одна — порядок и правила защиты сведений, составляющих
государственную тайну, другая — коммерческую тайну.
В-четвертых,
на предприятии может быть подготовлено несколько
положений, регламентирующих как деятельность отдельных подразделений,
выполняющих функции по защите информации (СБ, подразделение
противодействия ТСР и др.), так и устанавливающих порядок решения
определенных вопросов, например, о порядке подготовки материалов,
предназначенных к опубликованию в открытой печати.
В методических организационно-правовых документах, особенно в
инструкциях и положениях, следует указать использование в защите
информации методов и средств, которыми располагает предприятие.
Например, метод ранжирования, который следует указывать не вообще, а
как конкретно используется этот метод. Показать также, что информация
делится по степени секретности и конфиденциальности, кто имеет право
давать разрешение на допуск к той или иной степени секретности
информации.
Рассматривая в методологическом аспекте проблему создания КСЗИ
следует еще раз обратиться к факторам, при наличии которых происходит
или может происходить утечка информации. Она может произойти, если: 1)
на предприятии имеется информация, интересующая соперника; 2) имеется
соперник, который заинтересован в добывании этой информации и
прилагает для этого усилия и активность; и 3) канал утечки информации, то
есть возможность или способы несанкционированного доступа соперника к
защищаемым носителям информации, при этом со стороны защитников и
пользователей этой информацией допускаются отступления от правил
защиты
информации,
чему
способствуют
и
складывающиеся
неблагоприятные условия.
Обращение к этой схеме подсказывает логику рассуждений при
решении проблем построения систем защиты информации. Из схемы мы
можем определить, на какие элементы данной системы — канала утечки
информации — предприятие может воздействовать своими силами и
средствами, с помощью каких методов и средств, чтобы предупредить
утечку информации. Оказывается, что предприятие может воздействовать:
на носители защищаемой информации — возможные
потенциальные источники утечки информации;
69
на условия, которые не благоприятствуют защите информации;
на причины утечки информации, если они появляются по вине
предприятия и работающих на нем лиц.
На соперника, стремящегося добыть секретную и конфиден-
циальную информацию, и используемые им для несанкционированного
доступа к этой информации силы и средства, предприятие, как
правило, воздействовать не может.
Отсюда просматриваются
общеметодологические подходы к
построению КСЗИ:
а)
создать условия, обеспечивающие непрерывность защиты
носителей секретной или конфиденциальной информации, причем не
только в местах их хранения, но и, главным образом, когда информация
находится в движении, то есть когда она обрабатывается, передается,
пересылается и используется, когда информация «живет» и работает;
б)
постоянно работать с людьми в двух основных направлениях:
во-первых, чтобы сотрудники, осведомленные в секретных или
конфиденциальных сведениях, сами не явились источниками утечки этих
сведений путем их разглашения; во-вторых, чтобы они строго выполняли
правила защиты носителей засекреченной информации и не явились
причиной получения несанкционированного доступа к ним соперника, или
не создавали благоприятных для этого условий.
Разведка соперника, как правило, изучает все носители инте-
ресующей его информации и отыскивает среди них наиболее уязвимые
(«слабое звено»). Именно недостаточная надежность самого носителя
(человека) или его защиты (любого другого материального носителя
засекреченной информации) создают потенциальную возможность
несанкционированного доступа к этой информации и ее утечки. С учетом
этого возможные источники утечки защищаемой информации можно
разделить на три группы:
—люди, хранящие секретную или конфиденциальную информацию в своей
памяти;
—документы, изделия, материалы или другие носители, отображенная на
которых или в которых информация находится в относительно
статическом состоянии;
—излучения, колебания и другие физические процессы, передающие
(«переносящие») информацию. Информация находится в динамике, причем
иногда очень краткосрочно.
Исходя из рассмотрения групп носителей защищаемой информации —
возможных потенциальных источников утечки информации — следует
намечать меры защиты засекреченной информации на предприятии.
70
Первая группа носителей защищаемой информации
это люди
— основные меры и методы защиты секретной или конфиденциальной
информации в памяти этих носителей всегда носят интеллектуальный
характер:
подбор людей, допускаемых к секретным работам, их проверка и
изучение;
обучение лиц, допущенных к секретам, правилам их сохранения;
воспитание секретонсителей пониманию важности сохранения в
тайне доверенных им секретных или конфиденциальных сведений;
стимулирование
заинтересованности
работы
с
засекреченной
информацией и сохранения этих сведений в тайне; угроза
ответственности и серьезных последствий для них за несохранение в
тайне по их вине доверенных им секретов и т.д.;
иные меры: добровольное согласие на ограничение прав чело-
века, допускаемого к работе с засекреченной информацией, в частности,
нельзя работать по совместительству у конкурентов, вступать без
служебной необходимости в контакты с иностранцами, ограничения на
выезд и возможные служебные командировки за границу и др.;
дробление (расчленение) информации о технологических про-
цессах на операции, знание одной из которых не дает возможность
восстановить весь технологический процесс;
строгое ранжирование секретной или конфиденциальной ин-
формации по ее важности и доступа к ней пользователей.
Вторая группа носителей защищаемой информации
— матери-
альные носители, которые могут стать источником информации только в
том случае, если соперник, злоумышленник незаконно получит к ним
непосредственный доступ. Основные методы защиты секретной или
конфиденциальной информации, отраженной на подобных носителях:
учет всех носителей защищаемой информации;
персональная ответственность за сохранность каждого носителя
такой информации;
ранжирование секретной и конфиденциальной информации по
уровням секретности и в соответствии с этим — регламентация доступа к
ней;
контроль за использованием носителей защищаемой информа-
ции;
физическая охрана носителей защищаемой информации с ис-
пользованием технических средств, и др.
Третья группа носителей
секретной и конфиденциальной ин-
формации – средства хранения и передачи такой информации. «Снятие»,