Защита конфиденциальной информации на предприятии

Каждое из указанных  лиц может быть злоумышленником  или его сообщником, агентом конкурента и т.п., но может и не быть им. (65, с.64)

Наиболее часто  встречающимися угрозами (опасностями) конфиденциальных сведении в документопотоках могут быть:

1.  Несанкционированный  доступ постороннего лица к  документам, делам и базам данных  за счет его любопытства или  обманных, провоцирующих действий, а также случайных или умышленных  ошибок персонала фирмы;

2.  Утрата документа  или его отдельных частей (листов, приложений, схем, копий, экземпляров,  фотографий и др.), носителя чернового  варианта документа или рабочих  записей за счет кражи, утери,  уничтожения;

3.  Утрата информацией  конфиденциальности за счет ее  разглашения персоналом или утечки  по техническим каналам, считывания  данных в чужих массивах, использования  остаточной информации на копировальной  ленте, бумаге, дисках и дискетах, ошибочных действий персонала;

4.  Подмена документов, носителей и их отдельных частей  с целью фальсификации, а также  сокрытия факта утери, хищения;

5.  Случайное или  умышленное уничтожение ценных  документов и баз данных, несанкционированная  модификация и искажение текста, реквизитов, фальсификация документов;

6.  Гибель документов  в условиях экстремальных ситуаций (52, с.24).

Для электронных  документов угрозы особенно реальны, т.к. факт кражи информации практически  трудно обнаружить. В отношении конфиденциальной информации, обрабатываемой и хранящейся в компьютерах, условия возникновения  угроз, по мнению ряда специалистов, классифицируются по степени риска следующим образом:

1.  Непреднамеренные  ошибки пользователей, референтов, операторов, референтов, управляющих  делами, системных администраторов  и других лиц, обслуживающих  информационные системы;

2.  Кражи и подлоги  информации;

3.  Стихийные ситуации  внешней среды;

4.  Заражение вирусами.

В соответствии с  характером указанных выше угроз  формируются задачи обеспечения  защиты информации в документопотоках, направленные на предотвращение или  ослабление этих угроз.

Следует внимательнее относиться к вопросам отнесения  информации к различным грифам секретности  и, соответственно, к обеспечению  уровня ее защиты.

Защита информации представляет собой регламентированный технологический процесс, предупреждающий  нарушение доступности, целостности, достоверности и секретности (конфиденциальности) информационных ресурсов предприятия. Данный технологический процесс  в конечном счете должен обеспечить надежную информационную безопасность организации в его управленческой и финансово-производственной деятельности.

Комплексная система  защиты информации - рациональная совокупность направлений, методов, средств и  мероприятий, снижающих уязвимость информации и препятствующих несанкционированному доступу к информации, ее утечке и разглашению (62, с.9).

Правовой элемент  системы защиты информации основывается на нормах информационного права  и предполагает юридическое закрепление  взаимоотношений предприятия и  государства по поводу правомерности  использования системы защиты информации (системы лицензирования в области  защиты информации и сертификации средств  защиты информации); на обязанности  персонала: соблюдать установленные  собственником информации ограничительные  и технологические меры режимного  характера защиты информационных ресурсов организации.

Правовое обеспечение  системы защиты информации включает:

1.  Наличие в  организационных документах, правилах  внутреннего трудового распорядка, трудовых договорах, контрактах, заключаемых с персоналом, в должностных  инструкциях (регламентах) положений  и обязательств по защите информации;

2.  Формулирование  и доведение до сведения всего  персонала банка (в том числе  не связанного с защищаемой  и охраняемой информацией) положения  о правовой ответственности за  разглашение информации, несанкционированное  уничтожение или фальсификацию  документов;

3.  Разъяснение  лицам, принимаемым на работу, положения о добровольности принимаемых  ими на себя ограничений, связанных  с выполнением обязанностей по  защите документированной информации (83, с.58).

Организационный элемент, как одна из основных частей системы  защиты информации содержит меры управленческого, режимного (ограничительного) и технологического характера, определяющие основы и содержание системы защиты, побуждающие персонал соблюдать правила защиты информации фирмы. Эти меры связаны с установлением  режима секретности (конфиденциальности) информации в организации.

Организационно-документационное обеспечение включает в себя документирование и регламентацию:

  1. Формирования  и организации деятельности службы  безопасности организации, службы  кадров и службы закрытого  (конфиденциального) документационного  обеспечения управления (ДОУ) (или  менеджера по безопасности, или  помощника (референта) руководителя  предприятия), обеспечения деятельности  этих служб нормативно-методическими  документами по организации и  технологии защиты информации;

  2. Составления  и регулярного обновления состава  перечня защищаемой информации  организации, составления и ведения  перечня защищаемых бумажных  и электронных документов организации;

  3. Разрешительной  системы (иерархической схемы)  разграничения доступа персонала  к защищаемой и охраняемой  информации предприятия;

  4. Методов отбора  персонала для работы с защищаемой  информацией, методики обучения  и инструктирования работников;

  5. Направлений  и методов воспитательной работы  с персоналом, контроля соблюдения  работниками порядка защиты информации;

  6. Технологии  защиты, обработки и хранения  бумажных и электронных документов, баз данных предприятия (делопроизводственной, электронной и смешанной технологий);

  7. Внемашинной  технологии защиты электронных  документов - защиты носителей информации;

  8. Порядка защиты  ценной информации предприятия  от случайных или умышленных  несанкционированных действий работников  банка;

  9. Порядка защиты  информации при проведении совещаний,  заседаний, переговоров, приеме  посетителей, работе с представителями  контрольных органов, средств  СМИ, рекламных агентств и т.д.;

  10. Оборудования  и аттестации зданий и помещений,  рабочих зон, выделенных для  работы с документированной информацией  (62, с.23).

Инженерно-технический  элемент предназначен для пассивного и активного противодействия  средствами технической разведки и  формирования рубежей охраны территории, здания, помещений и оборудования с помощью комплексов технических  средств. При защите информационных систем этот элемент имеет весьма важное значение, хотя стоимость средств  технической защиты и охраны велика.

Элемент включает в  себя:

1.  Сооружения  физической (инженерной) защиты от  проникновения посторонних лиц  на территорию, в здание и помещение  (заборы, решетки, стальные двери,  кодовые замки, идентификаторы, сейфы);

2.  Средства защиты  технических каналов утечки информации, возникающих при работе ЭВМ,  средств связи, копировальных  аппаратов, принтеров, факсов  и других приборов и офисного  оборудования, проведении совещаний,  заседаний, беседах с посетителями  и сотрудниками, диктовке документов;

3.  Средства защиты  помещений от визуальных способов  технической разведки;

4.  Средства обеспечения  охраны территории, здания и помещений  (средств наблюдения, оповещения, сигнализация);

5.  Средства противопожарной  охраны;

6.  Средства обнаружения  приборов и устройств технической  разведки (подслушивающих и передающих  устройств, тайно установленной  миниатюрной звукозаписывающей  и телевизионной аппаратуры);

7.  Технические  средства контроля, предотвращающие  вынос персоналом из помещения  специально маркированных предметов,  документов, дискет, книг (72, с.36).

Программно-математический элемент предназначен для защиты ценной информации, обрабатываемой и  хранящейся в компьютерах, серверах и рабочих станциях локальных  сетей и различных информационных системах. Элемент включает в себя:

1.  Регламентацию  доступа к базам данных, файлам, электронным документам персональными  паролями, идентифицирующими командами  и другими методами;

2.  Регламентацию  специальных средств и продуктов  программной защиты;

3.  Регламентацию  криптографических методов защиты  информации в ЭВМ и сетях,  криптографирования (шифрования) текста  документов при передаче их  по каналам телеграфной и факсимильной  связи, при пересылке почтой;

4.  Регламентацию  доступа персонала в режимные (охраняемые) помещения с помощью  идентифицирующих кодов, магнитных  карт, биологических идентификаторов  (72, с.37).

Криптографическое обеспечение включает в регламентацию:

1.  Использования  различных криптографических методов  в компьютерах и серверах, корпоративных  и локальных сетях, различных  информационных системах;

2.  Определение  условий и методов криптографирования  текста документа при передаче  его по незащищенным каналам  почтовой, телеграфной, телетайпной,  факсимильной и электронной связи;  регламентацию использования средств  криптографирования переговоров  по незащищенным каналам телефонной, спутниковой и радиосвязи;

3.  Регламентацию  доступа к базам данных, файлам, электронным документам персональными  паролями, идентифицирующими командами  и другими методами; регламентацию  доступа персонала в выделенные  помещения с помощью идентифицирующих  кодов, шифров (например, на сегодняшний  день вошло в практику использования,  как идентифицирующий кодов системы  паролей, отпечатков пальцев и  сетчатки глаза человека) (72, с.39).

Составные части  криптографической защиты, пароли и  другие ее атрибуты разрабатываются  и меняются специализированными  организациями, входящими в структуру  Федеральной службы по техническому и экспертному контролю России. Применение пользователями иных систем шифровки не допускается (49, с. 19).

Таким образом, наиболее часто встречающимися угрозами (опасностями) конфиденциальных документов являются:

1.  Несанкционированный  доступ постороннего лица к  документам, делам и базам данных  за счет его любопытства или  обманных, провоцирующих действий, а также случайных или умышленных  ошибок персонала фирмы;

2.  Утрата документа  или его отдельных частей (листов, приложений, схем, копий, экземпляров,  фотографий и др.), носителя чернового  варианта документа или рабочих  записей за счет кражи, утери,  уничтожения;

3.  Утрата информацией  конфиденциальности за счет ее  разглашения персоналом или утечки  по техническим каналам, считывания  данных в чужих массивах, использования  остаточной информации на копировальной  ленте, бумаге, дисках и дискетах, ошибочных действий персонала;

4.  Подмена документов, носителей и их отдельных частей  с целью фальсификации, а также  сокрытия факта утери, хищения;

5.  Случайное или  умышленное уничтожение ценных  документов и баз данных, несанкционированная  модификация и искажение текста, реквизитов, фальсификация документов;

6.  Гибель документов  в условиях экстремальных ситуаций (52, с.24).

В отношении конфиденциальной информации, обрабатываемой и хранящейся в компьютерах, условия возникновения  угроз, классифицируются по степени  риска следующим образом:

1.  Непреднамеренные  ошибки пользователей, референтов, операторов, референтов, управляющих  делами, системных администраторов  и других лиц, обслуживающих  информационные системы;

2.  Кражи и подлоги  информации;