Организация защиты конфиденциальной информации СВТ

Законодательные акты Российской Федерации не определяют однозначно порядок учета, использования и хранения документов, содержащих информацию, являющуюся коммерческой информацией.

Некоторые федеральные законы имеют в своем тексте ссылки, определяющие порядок и принципы работы с документами, содержащими конфиденциальную информацию, однако эта информация относиться только к определенным видам информации (например, информации, представляющей государственную тайну или тайну следствия).

Такая ситуация объясняется тем, что информация, представляющая коммерческую тайну, в зависимости от субъекта включает в себя самые разные категории информации, доступ к которым может быть ограничен. Соответственно нельзя назвать целесообразной проведение работы по приведению к единым нормам принципы учета, хранения и обработки конфиденциальной информации.

Обсуждаемые выше акты, могут быть оформлены как нормативные документы для конкретных субъектов или объектов и как правило являются обязательными для исполнения.

Документы, регламентирующие работу с носителями конфиденциальной информации, предназначены сугубо для внутреннего использования и имеют определенные ограничения в доступе, часто с ограничительным грифом «Для служебного пользования».

Каждая организация, независимо от размера и формы собственности, которая имеет цель сохранить в неприкосновенности тот или иной вид информации, формализует деятельность своих структурных подразделений и сотрудников, имеющих отношение к этой информации. Как правило, в компании утверждается регламент по созданию конфиденциальных документов (как на бумажной основе, так и на электронных носителях), их учета, хранения, доступа к ним, использования информации ограниченного доступа, снятия ограничения конфиденциальности и уничтожения носителей информации.

Главным правилом работы с документами, содержащими информацию, являющуюся конфиденциальной, является определение категорий информации, подлежащих защите в данной компании. В целях сохранения данной информации организация разрабатывает перечень сведений, которые могут представлять интерес для третьих лиц, и содержатся в документах, образующихся в процессе функционирования данной компании. В данный перечень должны быть включены не только сведения, которые находятся в исходящих документах организации, но и сведения, получаемые организацией из внешних источников, если необходимо обеспечить их конфиденциальность, примером таких сведений могут быть заказные маркетинговые исследования.

Самыми часто встречающимися способами при оформлении документов ограниченного доступа является присвоение им соответствующего «секретного» грифа, например, - «Для служебного пользования» или «Конфиденциально».

Также для внутреннего и внешнего обращения документов, содержащих информацию с ограниченными правами доступа, в компании и ее подразделениях создается особая система учета таких документов. Такая система обычно подразумевает отслеживание документов на всех стадиях их прохождения, начиная с создания и завершая их уничтожением. Система учета может быть традиционной – в виде комплексов журналов учета, либо автоматизированной (на базе вычислительных средств) с реализацией необходимых элементов защиты информации.

Также, необходимым условием является установления порядка проверок выполнения установленных требований в работе с документами ограниченного распространения, включая проверки сохранности документов.

В большинстве организаций негосударственной формы собственности по аналогии с государственными органами устанавливается порядок допуска работников к различным категориям сведений ограниченного распространения. В зависимости от специфики деятельности той или иной компании решение вопросов допуска возлагается на режимное подразделение, подразделение документационного обеспечения или кадровую службу. Однако в любом случае координирующая роль в решении этих вопросов должна быть у режимного подразделения компании, такого как служба безопасности.

Выбор той или иной системы защиты конфиденциальной информации в негосударственных структурах зависит от руководства этих структур, которые, с учетом ценности защищаемой информации, определяют средства и методы охраны указанных сведений, в том числе правила работы с документами. При этом гарантирующим в максимальной степени сохранность информации является порядок работы с документами, близкий или аналогичный тому, который установлен для документов, содержащих сведения, составляющие государственную тайну.

Для организации и осуществления мероприятий по защите информации в любом учреждении, независимо от формы собственности, требуются определенные условия, важнейшими из которых являются наличие регламентирующей базы, квалифицированного персонала подразделения по защите информации и необходимых материально-технических средств.

Таким образом, можно изложить основные законодательные, правовые основы и правила защиты конфиденциальной информации. Однако в современном мире огромное значение имеют схемы защиты конфиденциальной информации при помощи средств вычислительной техники. И при осуществлении такого вида работы необходимо обладать знаниями с области соответствующих стандартов и спецификаций.  Одна из причин состоит в том, что необходимость следования некоторым стандартам определена законодательно, а именно криптографическим и руководящим документам Гостехкомиссии России. Стандарты и спецификации это одна из форм накопленных знаний, прежде всего о процедурном и программно- техническом уровне системы информационной безопасности. В них зафиксированы апробированные, высококачественные решения и методологии, разработанные наиболее квалифицированными компаниями в области разработки программного обеспечения и систем безопасности. Также и те, и другие являются основным средством обеспечения взаимной совместимости аппаратно-программных систем и их компонентов.

Различаются две группы стандартов и спецификаций:

1. Оценочные стандарты, предназначенные  для оценки и классификации информационных систем и средств защиты по требованиям безопасности,

2. Спецификации, регламентирующие  различные аспекты реализации и использования средств и методов защиты.

Эти группы дополнят друг друга. Оценочные стандарты описывают важнейшие с точки зрения информационной безопасности понятия, а специализированные стандарты определяют, как именно строить и выполнять организационные требования.

Британский стандарт BS 7799 «Управление информационной безопасностью. Практические правила» практически не претерпев изменений был преобразован в международный стандарт ISO/IEC 17799-2000 «Практические правила управления информационной безопасностью».  В этом стандарте сделано обобщение правил по управлению информационной безопасностью. Также они могут быть использованы как критерии оценки механизмов безопасности организационного уровня, в том числе административные, процедурные и физические меры защиты.  Практические правила разбиты на 10 разделов:

1. Политика безопасности.

2.Организация защиты.

3. Классификация ресурсов и контроль.

4. Безопасность персонала.

5. Физическая безопасность.

6. Администрирование компьютерных  систем и сетей.

7. Управление доступом.

8. Разработка и сопровождение  информационных систем.

9. планирование и бесперебойная  работа организации.

10. Контроль выполнения политики  безопасности.

В этих разделах содержится описание механизмов организационного уровня, реализуемых в настоящее время в государственных и коммерческих организациях в различных странах.

На более низком уровне в разных странах разработаны сотни отраслевых стандартов, нормативных документов и спецификаций по обеспечению информационной безопасности, которые применяются национальными компаниями при разработке программных средств и обеспечения качества и безопасности их функционирования.

 

 

1.3 Организация работ по защите конфиденциальной информации средствами вычислительной техники

 

Организация работ по защите конфиденциальной информации средствами вычислительной техники начинается с определения целей, которые необходимо достичь в результате организационного процесса.

Весь процесс можно разделить на 4 этапа:

1. Аудит существующей  системы безопасности информации,

2. Проектирование системы  безопасности информации,

3. Внедрение и аттестация  системы,

4. Техническая поддержка  и сопровождение.

Рассмотрим все этапы более подробно.

Целью проведения аудита существующей системы безопасности является выявления сильных и слабых сторон существующей информационной системы. Все работу по аудиту существующей системы защиты информации средствами вычислительной техники можно разделить четыре этапа.

На первом этапе обычно проводятся так называемые тестовые взломы. Если тест оказывается успешным, то устраняются последствия взлома и тестирование начинается сначала. Если не удается взломать существующую систему, то данный результат может означать как защищенность системы. Так и недостаточность тестов.

Вторым этапом является экспресс обследование. На этой стадии оценивается состояние механизмов безопасности на основе стандартизированных механизмов.  Экспресс обследование обычно проводится в случае, когда необходимо определить приоритетные направления, позволяющие обеспечить минимальный уровень защиты информационных ресурсов.

Третья группа – аттестация систем на соответствие требованиям защищенности информационных ресурсов.  На данном этапе проходит формальная проверка набора требований как организационного, так и технического характера, рассматривается полнота и достаточность реализации механизмов безопасности.

По статистике, первые утечки информации фиксируются в организациях уже во время опытного внедрения системы на ограниченном количестве рабочих станций. При этом пока настройки системы не отточены, возможна высокая доля ложных срабатываний. А часто ли случаются утечки при обычной промышленной эксплуатации системы. Специалисты говорят о том, что инциденты достаточно высокой степени серьезности фиксируются раз в несколько недель. Этот показатель варьируется от отрасли к отрасли и особенно сильно зависит от числа сотрудников, которые имеют доступ к конфиденциальной информации.

Правда, масштаб подобных инцидентов сильно различается. Потенциальный ущерб в 500 тыс. руб. может быть незначительным для компании с оборотом в сотни миллионов долларов, но критичным для бизнеса небольшой организации. Формальный признак серьезного инцидента — тот, о котором докладывают руководству. При этом степень вовлеченности руководства компаний в дела информационной безопасности сильно различается. Отдельный опрос генеральных директоров показал, что менее 50% из них получают отчеты подразделения по защите информации.

На четвертом этапе проводится предпроектное обследование, на данном этапе проводится соответствие информационной защиты организационной структуре предприятия, проверяется правила доступа сотрудников, проводится анализ рисков, которым подвергаются информационные ресурсы, определяется частота и характер угроз и адекватность предпринимаемых мер и т.д.

В ходе аудита любой из этапов по усмотрению руководителя компании или специалиста, ответственного за разработку системы защиты информации может быть опущен.

Для реализации мер защиты информации, представляющей коммерческую тайну, должны применяться сертифицированные и/или лицензированные в установленном законом порядке технические и технологические средства защиты информации.

На сегодняшний день существует два возможных подхода к проектированию системы защиты информации: продуктовый и проектный.

Продуктовый подход подразумевает под собой выбор готового продукта, наиболее подходящего компании на основе требований, сформированных на этапе аудита с дальнейшей системой адаптации данного продукта к условиям работы данной компании.

Проектный подход подразумевает создание системы под конкретное предприятие. Этот подход позволяет более полно удовлетворить требования компании. Данный подход, несомненно, более дорогой и более эффективно его применение при создании больших гетерогенных распределительных систем.

На этапе внедрения и аттестации проводится комплекс последовательно проводимых мероприятий, а именно: установку и конфигурирование разработанных средств защиты, обучение персонала по работе со средствами защиты, проведение предварительных испытаний и сдачу в опытную эксплуатацию.

По результатам испытаний готовиться отчетная документация, проводится оценка результатов испытаний и выдается соответствующая документация.

Под технической поддержкой и администрированием понимается, сопровождение разработанной системы информационной безопасности с целью поддержания ее в работоспособном состоянии, работы экстренного характера, периодически проводимые профилактические работы.

Техническая поддержка и сопровождение системы информационной безопасности требует наличия у обслуживающего персонала определенных навыков и знаний и может осуществляться как сотрудником компании, так и силами специализированной организации.

 
 

 

 

 

 

 

 

 

 

2. ПРОБЛЕМЫ ОРГАНИЗАЦИИ ЗАЩИТЫ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ СРЕДСТВАМИ ВЫЧИСЛИТЕЛЬНОЙ ТЕХНИКИ И ПУТИ ИХ РЕШЕНИЯ

 

2.1 Оценка опыта организации защиты конфиденциальной информации средствами вычислительной техники в современных условиях

 

Рассмотрим опыт защиты конфиденциальной информации на примере ООО «Ресурс».

ООО «Ресурс» было создано 3 марта 2003 года, на основании решения собрания участников.

Основная деятельность ООО «Ресурс» заключается в организации торговли строительно-отделочными материалами для удовлетворения потребностей оптовых покупателей (профессиональных строителей). Ассортимент, включающий все основные товарные направления, необходимые для комплектации строящихся объектов и выполнения строительно-отделочных работ «под ключ» и представленность товаров всех ценовых групп, позволяют любому строителю сделать выбор и приобрести нужный товар.