Характеристика организационных и технических мер инженерно-технической защиты информации в государственных структурах
Ценная информация охраняется нормами права (патентного, авторского, смежных прав и др.), товарным знаком или защищается включением ее в категорию информации, составляющей тайну фирмы.
Документированная информация ограниченного доступа всегда принадлежит к одному из видов тайны - государственной или негосударственной. В соответствии с этим документы делятся на секретные и несекретные.
Об
язательным признаком (критерием принадлежности) секретного документа является наличие в нем сведений, составляющих в соответствии с законодательством государственную тайну. Несекретные документы, включающие сведения, относимые к негосударственной тайне (служебной, коммерческой или предпринимательской, банковской, профессиональной, производственной и др.) или содержащие персональные данные граждан, именуются конфиденциальными.
Конфиденциальный (закрытый, защищаемый) документ- необходимым образом оформленный носитель документированной информации, содержащий сведения ограниченного доступа или использования, которые составляют интеллектуальную собственность юридического или физического лица.
Конфиденциальность документов всегда имеет значительный разброс по срокам ограничения свободного доступа к ним персонала фирмы (от нескольких часов до значительного числа лет).
Угроза утраты информации - единичное или комплексное, реальное или потенциальное, активное или пассивное проявление неблагоприятных возможностей внешних или внутренних источников угрозы создавать критические ситуации, события, оказывать дестабилизирующее воздействие на защищаемую информацию, документы и базы данных.
Каждая конкретная фирма обладает своим набором каналов несанкционированного доступа к информации, что зависит от множества моментов - профиля деятельности, объемов защищаемой информации, профессионального уровня персонала, местоположения здания и т. п.
Утрата информации характеризуется двумя условиями, а именно информация переходит: а) непосредственно к заинтересованному лицу - конкуренту, злоумышленнику или б) к случайному, третьему лицу.
3 ОРГАНИЗАЦИЯ ИНЖЕНЕРНО-ТЕХНИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ
3.1. Общие положения по инженерно-технической защите информации в организациях
Рассмотренные ранее вопросы создают теоретическую базу для построения, модификации и эксплуатации системы защиты информации.
Любая система создается под заданные требования с учетом существующих ограничений. Факторы, влияющие на структуру и функционирование системы, называются системообразующими. К ним относятся:
- перечни защищаемых сведений, составляющих государственную (по тематике государственного заказа, если он выполняется организацией) и коммерческую тайну;
- требуемые уровни безопасности информации, обеспечение которых не приведет к превышению ущерба над затратами на защиту информации;
- угрозы безопасности информации:
- ограничения, которые надо учитывать при создании или модернизации системы защиты информации;
- показатели, по которым будет оцениваться эффективность системы защиты.
Структура и алгоритм функционирования системы защиты организации определяются в руководящих, нормативных и методических документах. К руководящим документам относятся:
- руководство (инструкция) по защите информации в организации;
- положение о подразделении организации, на которое возлагаются задачи по обеспечению безопасности информации;
- инструкции по работе с грифованными документами;
- инструкции по защите информации о конкретных изделиях: В различных организациях эти документы могут иметь разные наименования, отличающиеся от указанных. Но сущность этих документов остается неизменной, так как необходимость в них объективна.
Порядок защиты информации в организации определяется соответствующим руководством (инструкцией). Оно может содержать следующие разделы:
- общие положения;
- перечень охраняемых сведений;
- демаскирующие признаки объектов организации;
- демаскирующие вещества, создаваемые в организации;
- оценки возможностей органов и средств добывания информации,
организационные и технические мероприятия по защите информации;
- порядок планирования работ службы безопасности;
- порядок взаимодействия с государственными органами, решающими задачи по защите материальной и интеллектуальной собственности, государственной и коммерческой тайны.
Но в данном руководстве нельзя учесть всех особенностей защиты информации в конкретных условиях. В любой организации постоянно меняется ситуация с источниками и носителями конфиденциальной информации угрозами ее безопасности. Например, появлению нового товара на рынке предшествует большая работа, включающая различные этапы и стадии: проведение исследований, разработка лабораторных и действующих макетов, создание опытного образца и его доработка по результатам испытаний, подготовка производства (документации, установка дополнительного оборудования, изготовление оснастки - специфических средств производства, необходимых для реализации технологических процессов), изготовление опытной серии для выявления спроса на товар, массовый выпуск продукции.
На каждом этапе и стадии к работе подключаются новые люди, разрабатываются новые документы, создаются узлы и блоки с информативными для них демаскирующими признаками. Созданию каждого изделия или самостоятельного документа сопутствует свой набор информационных элементов, их источников и носителей, угроз и каналов утечки информации, проявляющиеся в различные моменты времени.
Для защиты информации об изделии на каждом этапе его создания разрабатывается соответствующая инструкция. Инструкция должна содержать необходимые для обеспечения безопасности информации сведения, в том числе: общие сведения о наименовании образца, защищаемые сведения и демаскирующие признаки, потенциальные угрозы безопасности информации, замысел и меры по защите, порядок контроля (задачи, органы контроля, имеющие право на проверку, средства контроля, допустимые значения контролируемых параметров, условия и методики, периодичность и виды контроля), фамилии лиц. ответственных за безопасность информации.
Основным нормативным документом является перечень сведений, составляющих государственную, военную, коммерческую или любую другую тайну. Перечень сведений, содержащих государственную тайну, основывается на положениях закона «О государственной тайне» [31]. Перечни подлежащих защите сведений этого закона конкретизируются ведомствами применительно к тематике конкретных организаций. В коммерческих структурах, выполняющих государственные заказы, перечни распространяются на информацию, относящуюся к этому заказу. Перечни сведений, составляющих комическую тайну, составляются руководством фирмы при участии сотрудников службы безопасности.
Другие нормативные документы определяют максимально допустимые значения уровней полей с информацией и концентрации демаскирующих веществ на границах контролируемой зоны, которые обеспечивают требуемый уровень безопасности информации. Эти нормы разрабатываются