Основные методы, силы и средства, используемые для организации защиты информации

Один из важнейших факторов, влияющих на эффективность системы защиты конфиденциальной информации, — совокупность сил и средств предприятия, используемых для организации за­щиты информации.

Силы и средства различных предприятий отличаются по струк­туре, характеру и порядку использования. Предприятия, работа­ющие с конфиденциальной информацией и решающие задачи по ее защите в рамках повседневной деятельности на постоянной основе, вынуждены с этой целью создавать самостоятельные струк­турные подразделения и использовать высокоэффективные сред­ства защиты информации. Если предприятия лишь эпизодически работают с конфиденциальной информацией в силу ее неболь­ших объемов, вместо создания подразделений они могут вклю­чать в свои штаты отдельные должности специалистов по защите информации. Данные подразделения и должности являются орга­нами защиты информации.

Предприятия, работающие с незначительными объемами кон­фиденциальной информации, могут на договорной основе исполь­зовать потенциал более крупных предприятий, имеющих необхо­димое количество квалифицированных сотрудников, высокоэффективные средства защиты информации, а также большой опыт практической работы в данной области.

Ведущую роль в организации защиты информации на пред­приятии играют руководитель предприятия, а также его замести­тель, непосредственно возглавляющий эту работу.

Руководитель предприятия несет персональную ответственность за организацию и проведение необходимых мероприятий, направ­ленных на исключение утечки сведений, отнесенных к конфи­денциальной информации, и утрат носителей информации. Он обязан:

- знать фактическое состояние дел в области защиты информа­ции, организовывать постоянную работу по выявлению и закрытию возможных каналов утечки конфиденциальной информации;

- определять обязанности и задачи должностным лицам и структурным подразделениям предприятия в этой области;

- проявлять высокую требовательность к персоналу предприя­тия в вопросах сохранности конфиденциальной информации;

- оценивать деятельность должностных лиц и эффективность
мероприятий по защите информации.

Заместитель руководителя предприятия обязан постоянно изу­чать все стороны и направления деятельности предприятия для принятия своевременных мер по защите информации; руково­дить работой службы безопасности (иных структурных подразде­лений, решающих задачи по защите информации); выполнять другие функции по организации защиты информации в ходе проведения предприятием всех видов работ. Более подробно обя­занности руководителя предприятия и его заместителя, отвеча­ющего за защиту информации, рассмотрены в последующих главах учебника.

На предприятиях для организации работ по защите информа­ции могут создаваться следующие основные виды структурных подразделений: режимно-секретные; подразделения по технической защите информации и противодействию иностранным техничес­ким разведкам; подразделения криптографической защиты инфор­мации; мобилизационные; подразделения охраны и пропускного режима.

Функции, возлагаемые на перечисленные подразделения, опре­деляются решением (приказом) руководителя предприятия иот­ражаются в соответствующих положениях.

По решению руководителя предприятия данные подразделе­ния организационно могут объединяться в службу безопасности, руководитель которой в некоторых случаях может быть наделен статусом заместителя руководителя предприятия и полномочия­ми должностного лица, осуществляющего руководство работой структурных подразделений предприятия, деятельность которых связана с использованием и защитой информации.

Режимно-секретное подразделение, мобилизационное подраз­деление и подразделение по технической защите информации и противодействию иностранным техническим разведкам создают­ся на предприятиях, выполняющих работы с использованием све­дений, составляющих государственную тайну (вне зависимости от наличия на предприятии иной информации с ограниченным доступом).

Режимно-секретное подразделение является основным структур­ным подразделением предприятия и решает задачи организации, координации и контроля деятельности других структурных под­разделений (персонала предприятия) по обеспечению защиты сведений, составляющих государственную тайну. На предприяти­ях, не выполняющих работы со сведениями, составляющими го­сударственную тайну, для решения аналогичных задач в отноше­нии других видов информации с ограниченным доступом созда­ется и функционирует служба безопасности (служба защиты ин­формации).

Подразделение по технической защите информации и противо­действию иностранным техническим разведкам решает задачи орга­низации и проведения комплекса технических мероприятий, на­правленных на исключение или существенное затруднение добы­вания иностранными разведками с помощью технических средств сведений, отнесенных к конфиденциальной информации и под­лежащих защите.

Подразделение криптографической защиты информации создает­ся в целях предотвращения утечки конфиденциальной информа­ции при ее передаче по открытым каналам (линиям) связи с по­мощью технических средств, а также при использовании локаль­ных вычислительных сетей, имеющих выход за пределы террито­рии предприятия.

Подразделение охраны и пропускного режима создается в целях предотвращения несанкционированного (бесконтрольного) пре­бывания на территории и объектах предприятия посторонних лиц и транспорта, нанесения ущерба предприятию путем краж (хи­щений) с территории предприятия материальных средств и ино­го имущества. В некоторых случаях для решения задач охраны и пропускного режима на предприятиях могут создаваться отдель­ные самостоятельные подразделения.

Мобилизационное подразделение решает задачи всесторонней подготовки предприятия к работе в условиях военного времени, призыва и поступления мобилизационных людских и материаль­ных ресурсов.

Кроме перечисленных подразделений предприятия к работе по организации защиты информации могут привлекаться и иные структурные подразделения, для которых выполнение мероприя­тий по защите информации не является основной функцией.

К таким подразделениям относятся кадровый орган, орган юри­дической службы (юрисконсульт), орган психологической и вос­питательной работы, пресс-служба предприятия и др. Особо не­обходимо отметить важность участия в организации защиты ин­формации производственных, так называемых «тематических» структурных подразделений (отдельных должностных лиц), кото­рые создают продукцию и товары (оказывают услуги), и в связи сэтим самым непосредственным образом взаимодействуют с дру­гими предприятиями и органами государственной власти.

Для проведения работ по организации защиты информации используются также возможности различных нештатных подраз­делений предприятия, в том числе коллегиальных органов (ко­миссий), создаваемых для решения специфических задач в этой области. В их числе — постоянно действующая техническая ко­миссия, экспертная комиссия, комиссия по 'рассекречиванию носителей конфиденциальной информации, комиссия по кате-горированию объектов информатизации и др. Функции, возлага­емые на данные комиссии, рассмотрены в последующих главах учебника.

Чтобы добиться максимальной эффективности при решении задач защиты информации, наряду с возможностями упомянутых штатных и нештатных подразделений (должностных лиц) необ­ходимо использовать имеющиеся на предприятии средства защи­ты информации.

Под средствами защиты информации понимают технические, криптографические, программные и другие средства и системы, разработанные и предназначенные для защиты конфиденциаль­ной информации, а также средства, устройства и системы конт­роля эффективности защиты информации.

Технические средства защиты информации — устройства (при­боры), предназначенные для обеспечения защиты информации, исключения ее утечки, создания помех (препятствий) техниче­ским средствам доступа к информации, подлежащей защите.

Криптографические средства защиты информации — средства (устройства), обеспечивающие защиту конфиденциальной инфор­мации путем ее криптографического преобразования (шифрова­ния).

Программные средства защиты информации — системы защи­ты средств автоматизации (персональных электронно-вычислитель­ных машин и их комплексов) от внешнего (постороннего) воз­действия или вторжения.

Эффективное решение задач организации защиты информа­ции невозможно без применения комплекса имеющихся в распо­ряжении руководителя предприятия соответствующих сил и средств. Вместе с тем определяющую роль в вопросах организации защиты информации, применения в этих целях сил и средств предприятия играют методы защиты информации, определяющие поря­док, алгоритм и особенности использования данных сил и средств в конкретной ситуации.

Методы защиты информации — применяемые в целях исключе­ния утечки информации универсальные и специфические спосо­бы использования имеющихся сил и средств (приемы, меры, ме­роприятия), учитывающие специфику деятельности по защите информации.

Общие методы защиты информации подразделяются на право­вые, организационные, технические и экономические.

Методы защиты информации с точки зрения их теоретической основы и практического использования взаимосвязаны. Правовые методы регламентируют и всесторонне нормативно регулируют де­ятельность по защите информации, выделяя, прежде всего, ее орга­низационные направления. Тесную связь организационных и пра­вовых методов защиты информации можно показать на примере решения задач по исключению утечки конфиденциальной инфор­мации, в частности относящейся к коммерческой тайне предприя­тия, при его взаимодействии с различными государственными и территориальными инспекторскими и надзорными органами. Эти органы в соответствии с предоставленными им законом полномо­чиями осуществляют деятельность по получению (истребованию), обработке и хранению информации о предприятиях и гражданах (являющихся их сотрудниками). Передача информации, в установ­ленном порядке отнесенной к коммерческой тайне или содержа­щей персональные данные работника предприятия, должна осу­ществляться на основе договора, предусматривающего взаимные обязательства сторон по нераспространению (неразглашению) этой информации, а также необходимые меры по ее защите.

Организационные механизмы защиты информации определя­ют порядок и условия комплексного использования имеющихся сил и средств, эффективность которого зависит от применяемых методов технического и экономического характера.

Технические методы защиты информации, используемые в ком­плексе с организационными методами, играют большую роль в обеспечении зашиты информации при ее хранении, накоплении и обработке с использованием средств автоматизации. Техниче­ские методы необходимы для эффективного применения имею­щихся в распоряжении предприятия средств защиты информа­ции, основанных на новых информационных технологиях.

Среди перечисленных методов защиты информации особо вы­деляются организационные методы, направленные на решение сле­дующих задач:

- реализация на предприятии эффективного механизма управ­ления, обеспечивающего защиту конфиденциальной информации и недопущение ее утечки;

- осуществление принципа персональной ответственности руководителей подразделений и персонала предприятия за защиту
конфиденциальной информации;

- определение перечней сведений, относимых на предприятии
к различным категориям (видам) конфиденциальной информа­ции;

- ограничение круга лиц, имеющих право доступа к различным видам информации в зависимости от степени ее конфиден­циальности;

- подбор и изучение лиц, назначаемых на должности, связанные с конфиденциальной информацией, обучение и воспитание
персонала предприятия, допущенного к конфиденциальной ин­
формации;

- организация и ведение конфиденциального делопроизвод­ства;

- осуществление систематического контроля за соблюдением
установленных требований по защите информации.

Приведенный перечень организационных методов не является исчерпывающим и, в зависимости от специфики деятельности предприятия, степени конфиденциальности используемой инфор­мации, объема выполняемых работ, а также опыта работы в обла­сти защиты информации, может быть дополнен иными методами.

ГЛАВА 5

ОТНЕСЕНИЕ СВЕДЕНИЙ К КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ. ЗАСЕКРЕЧИВАНИЕ И РАССЕКРЕЧИВАНИЕ СВЕДЕНИЙ

5.1. Отнесение сведений к различным видам конфиденциальной информации

Одним из наиболее важных вопросов, определяющих основы правового регулирования отношений в информационной сфере, яв­ляется порядок отнесения информации к различным видам конфи­денциальной информации и установления ограничений на доступ к ней. Вопросы отнесения информации к категории конфиденциальной находят особое место в нормативных правовых актах, регулирующих отношения, связанные с теми или иными видами информации с ограниченным доступом. Основополагающие подходы и принципы нормативного регулирования проблем «открытости» и «закрытости» информации определены в Федеральном законе «Об информации, информационных технологиях и защите информации»¹.

Под информацией в настоящей главе подразумеваются сведе­ния (сообщения, данные) независимо от формы их представле­ния. При регулировании отношений, возникающих в связи с реа­лизацией права на поиск, получение, передачу, производство и распространение информации, а также при обеспечении ее за­щиты используются следующие основные понятия:

обладатель информации — лицо, самостоятельно создавшее информацию либо получившее на основании закона или догово­ра право разрешать или ограничивать доступ к информации, опре­деляемой по каким-либо признакам;

доступ к информации — возможность получения информации и ее использования;

конфиденциальность информации — обязательное для выполне­ния лицом, получившим доступ к определенной информации, требование не передавать эту информацию третьим лицам без со­гласия ее обладателя;

предоставление информации — действия, направленные на по­лучение информации определенным кругом лиц или передачу информации определенному кругу лиц;

распространение информации — действия, направленные на получение информации неопределенным кругом лиц или переда­чу информации неопределенному кругу лиц.

Под документированной информацией понимается зафиксиро­ванная на материальном носителе путем документирования ин­формация с реквизитами, позволяющими определить данную информацию или в установленных законодательством РФ случаях ее материальный носитель.

Основные принципы правового регулирования отношений, возникающих в сфере информации, информационных техноло­гий и защиты информации в Российской Федерации:

- свобода поиска, получения, передачи, производства и распространения информации любым законным способом;

- установление ограничений на доступ к информации только федеральными законами;

- открытость информации о деятельности государственных ор­ганов и органов местного самоуправления и свободный доступ к
такой информации, кроме случаев, установленных федеральны­ми законами.

По категориям доступа различают общедоступную информа­цию и информацию, доступ к которой ограничен федеральными законами¹ (информацию с ограниченным доступом).

К общедоступной информации относятся общеизвестные све­дения и иная информация, доступ к которой не ограничен. Обще­доступная информация может использоваться любыми лицами по их усмотрению при соблюдении установленных федеральными законами ограничений в отношении распространения такой ин­формации. В ст. 29 Конституции Российской Федерации деклари­руется право каждого гражданина свободно искать, получать, пе­редавать, производить и распространять информацию любым за­конным способом. На основании Федерального закона «Об ин­формации, информационных технологиях и защите информации» информация может свободно использоваться любым лицом и пе­редаваться одним лицом другому лицу, если федеральными зако­нами не установлены ограничения на доступ к информации либо иные требования к порядку ее предоставления или распростране­ния. Граждане (физические лица) и организации (юридические лица) вправе искать и получать любую информацию в любых фор­мах и из любых источников при условии соблюдения требований, установленных законодательством РФ.

Ограничение доступа к информации в соответствии со ст. 55 Кон­ституции РФ и ст. 9 Федерального закона «Об информации, ин формационных технологиях и защите информации» устанавлива­ется федеральными законами в целях защиты основ конституцион­ного строя, нравственности, здоровья, прав и законных интере­сов других лиц, обеспечения обороны страны и безопасности го­сударства. При этом обязательным является соблюдение конфи­денциальности информации, доступ к которой ограничен.

В настоящее время федеральные законы определяют лишь ус­ловия и порядок отнесения информации к государственной тай­не' и коммерческой тайне². Ограничения на доступ к иной кон­фиденциальной информации (иным видам тайн) федеральными законами не установлены. Федеральным законом «О персональ­ных данных»³ определен лишь исчерпывающий перечень инфор­мации, относящейся к персональным данным физического лица. Вопросы отнесения информации к категории служебной инфор­мации ограниченного распространения определены Положени­ем о порядке обращения со служебной информацией ограни­ченного распространения в федеральных органах исполнитель­ной власти⁴.

С учетом изложенного на основании упомянутых положений ст. 55 Конституции РФ, право на доступ граждан к информации может быть ограничено только в отношении информации, отне­сенной к государственной или коммерческой тайне. Статья 7 За­кона РФ «О государственной тайне» и ст. 5 Федерального закона «О коммерческой тайне» содержат исчерпывающие перечни све­дений, которые не могут быть отнесены к государственной и ком­мерческой тайне соответственно. Доступ граждан к этим сведени­ям должен осуществляться без каких-либо ограничений. В п. 1.3 Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполни­тельной власти перечислены сведения, которые руководителями органов государственной власти, предприятий и организаций не могут быть отнесены к данному виду информации, т.е. к этим сведениям граждане также допускаются без ограничений.