Информационная безопасность и защита информации

— права и обязанности государственных  органов, предприятий и должностных  лиц в области защиты информации.

2. Систему засекречивания информации, включающую:

— законодательное определение  категории сведений, которые могут  быть отнесены к государственной  тайне;

— законодательное и иное правовое определение категорий сведений, которые не могут быть отнесены к  государственной, коммерческой или  иной охраняемой законом тайне;

— наделение полномочиями органов  государственной власти и должностных  лиц в области отнесения сведений к охраняемой законом тайне;

— составление перечней сведений, отнесенных к государственной, коммерческой или иной охраняемой законом тайне.

3. Систему режимных служб и  служб безопасности с их собственной  структурой, штатным расписанием,  обеспечивающих функционирование  всей системы защиты информации.

Структурная часть системы защиты информации является устойчивой частью данной системы, ее консервативной частью. Как видно из перечисления основных элементов структурной части  системы, ее элементы могут изменяться только «скачкообразно», они не могут  приспосабливаться быстро и непрерывно в связи с изменениями внешней  среды, а также изменениями обстановки, поскольку внешняя среда может оказывать влияние на структурную часть системы защиты информации лишь через ее функциональную часть, то есть опосредованно.

Положительная сторона устойчивости и консерватизма этой части системы  заключается в том, что она  оказывается своеобразным фильтром, отбраковывающим те реакции системы  на изменение внешней среды, которые  являются недостаточно обоснованными  и мотивированными со стороны  потребностей общества. Система защиты информации может даже пережить ту политическую систему, детищем которой  она явилась, как в случае с  нашим государством. В 1988—1991 гг. в  печати было много резко критических  статей в адрес действующей системы  защиты информации, особенно в адрес  Главлита СССР, «ведомственных» тайн, необоснованного засекречивания информации и др., с требованием немедленно отменить целый ряд действующих  правил по защите государственных секретов, как явно устаревших. В связи с  этим трудно не согласиться с мнением  специалистов, которые в то время  говорили, что пока не разработан новый  порядок охраны государственной  тайны, нельзя просто так отбросить  существующий порядок. Это могло  бы нанести серьезный ущерб интересам  обеспечения национальной безопасности и обороноспособности страны. Что  и было подтверждено изданием Указа  Президента РФ от 15 января 1992 г., сохранившим  впредь, до принятия новых нормативных  документов, действующую систему  защиты государственных секретов.

Недостатками консерватизма системы  защиты информации является то, что  эта часть системы может часто  иметь рассогласования и противоречия с ее функциональной частью. Это, естественно, сказывается на эффективности и  оптимальности функционирования системы  защиты информации.

Функциональная часть системы  защиты информации решает задачи обеспечения  засекреченной информацией деятельности вышестоящей системы, в которую  данная система защиты информации «встроена» (предприятие, фирма и т.д.). В эту  деятельность вовлекается широкий  круг работников объекта: сотрудники службы безопасности, связанные с обработкой, хранением, выдачей и учетом засекреченной  информации; руководители объекта и  структурных подразделений; исполнители, то есть все работники объекта, которые  являются потребителями защищаемой информации.

Эта часть системы защиты информации более адаптивна, подвижна и пластична. Она, исполняя свое предназначение, максимально  стремится учесть потребности внешней  среды в решении вопросов обращения  и циркулирования защищаемой информации, обеспечение ею потребителей и в  то же время исключить выход ее за пределы охраняемой сферы, ее разглашение  или раскрытие.

Основными элементами функциональной части системы будут:

— порядок и правила определения  степени секретности сведений и  проставление грифа секретности  на работах, документах, изделиях, а  также рассекречивания информации или снижения степени ее секретности;

— установленные на объекте режим  секретности, внутриобъектовый режим  и режим охраны, соответствующие  важности накапливаемой и используемой на объекте информации;

— система обработки, хранения, учета  и выдачи носителей защищаемой информации с использованием принятой системы  накопления и обработки информации: автоматизированная, ручная, смешанная, иная, в том числе делопроизводство с секретными и конфиденциальными  документами;

— разрешительная система, регламентирующая порядок доступа потребителей к  носителям защищаемой информации, а  также на предприятие и в его  отдельные помещения;

— система выявления возможных  каналов утечки защищаемой информации и поиск решений по их перекрытию, включая воспитательно-профилактическую работу на объекте и в его структурных  подразделениях;

— система контроля наличия носителей  защищаемой информации и состояния  на объекте установленных режимов: секретности, внутриобъектового, охраны объекта и его важнейших подразделений.

Таким образом, можно сказать, что  и структурная и функциональная части системы защиты информации существуют и работают в неразрывном  единстве.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Глава 5. «МЕТОДЫ ЗАЩИТЫ ИНФОРМАЦИИ»

Метод — в самом общем значении это способ достижения цели, определенным образом упорядоченная деятельность.

Основными методами, используемыми  в защите информации, по нашему мнению, являются следующие: скрытие, ранжирование, дезинформация, дробление, страхование, морально-нравственные, учет, кодирование, шифрование.

Скрытие — как метод защиты информации является в основе своей реализацией на практике одного из основных организационных принципов защиты информации — максимального ограничения числа лиц, допускаемых к секретам. Реализация этого метода достигается обычно путем:

засекречивания информации, то есть отнесение ее к секретной или  конфиденциальной информации различной  степени секретности и ограничение  в связи с этим доступа к  этой информации в зависимости от ее важности для собственник, что  проявляется в проставляемом  на носителе этой информации грифе  секретности; устранения или ослабления технических демаскирующих признаков  объектов защиты и технических каналов  утечки сведений о них.

Скрытие — один из наиболее общих  и широко применяемых методов  защиты информации.

Ранжирование как метод защиты информации включает, во-первых, деление засекречиваемой информации по степени секретности, и, во-вторых, регламентацию допуска и разграничение доступа к защищаемой информации: предоставление индивидуальных прав отдельным пользователям на доступ к необходимой им конкретной информации и на выполнение отдельных операций. Разграничение доступа к информации может осуществляться по тематическому признаку или по признаку секретности информации и определяется матрицей доступа.

Ранжирование как метод защиты информации является частным случаем  метода скрытия: пользователь не допускается  к информации, которая ему не нужна  для выполнения его служебных  функций, и тем самым эта информация скрывается от него и всех остальных (посторонних) лиц.

Дезинформация — один из методов защиты информации, заключающийся в распространении заведомо ложных сведений относительно истинного назначения каких-то объектов и изделий, действительного состояния какой-то области государственной деятельности, положении дел на предприятии и т.д.

Дезинформация обычно проводится путем  распространения ложной информации по различным каналам, имитацией  или искажением признаков и свойств  отдельных элементов объектов защиты, создания ложных объектов, по внешнему виду или проявлениям похожих  на интересующие соперника объекты, и др.

Хорошо о роли дезинформации  сказал А.Ф.Вивиани, специалист в области  контршпионажа: «На нас обрушивается, валится, извергается огромное количество информации. Она бывает фальшивой, но выглядит правдоподобно; бывает правдивой, а на самом деле хитроумно перекроена, дабы производить впечатление фальшивой; бывает отчасти фальшивой и отчасти  правдивой. Все зависит от выбранного способа так называемой дезинформации, цель которой — заставить вас  верить, желать, думать, принимать решения  в направлении, выгодном для тех, кому зачем-то нужно на нас воздействовать...».

Дробление (расчленение) информации на части с таким условием, что знание какой-то одной части информации (например, знание одной операции технологии производства какого-то продукта) не позволяет восстановить всю картину, всю технологию в целом.

Применяется достаточно широко при  производстве средств вооружения и  военной техники, а также при  производстве товаров народного  потребления. Широко известен пример, как фирма, производящая напиток  «Кока-кола», хранит секрет концентрата  «7х»: во всем мире только три человека знают секрет получения концентрата  напитка, и то

лишь по частям. Они не имеют  права одновременно выехать из своего офиса, ездить в одной машине, летать одним самолетом.

Менее известен пример по членению технологии при изготовлении денег, например, на фабрике Гознака. Говорит директор фабрики: «Ну, похитят фальшивомонетчики  художника или печатника —  что дальше? Ведь наше производство организованно так хитро, что  нет человека, который бы знал все. Тот же гравер делает, скажем, только герб или сетку, или текст, а что  делает сосед, он не знает. Над одним  банкнотом работают десятки специалистов, а все воедино сводит машина. Я  уже не говорю о красках, водяных  знаках и многом другом...».

Страхование — как метод защиты информации пока еще только получает признание. Сущность его сводится к тому, чтобы защитить права и интересы собственника информации или средства информации как от традиционных угроз (кражи, стихийные бедствия), так и от угроз безопасности информации, а именно: защита информации от утечки, хищения, модификации (подделки), разрушения и др.

Страховые методы защиты информации будут применяться, видимо, прежде всего, для защиты коммерческих секретов от промышленного шпионажа. Особенно, надо полагать, страховые методы будут  эффективны в независимом секторе  экономики, где административные методы и формы управления, а особенно контроля, плохо применимы.

При страховании информации должно быть проведено аудиторское обследование и дано заключение о сведениях, которые  предприятие будет защищать как  коммерческую тайну, надежность средств  защиты.

 

В качестве объектов страхования могут  выступать:

1. Электронное оборудование:

- разветвленных вычислительных, информационных  систем;

- телекоммуникационных систем, систем  связи и телефонии;

- систем хранения информации;

- систем бесперебойного питания; 

- систем управления доступом и  систем технической безопасности;

- другого подобного оборудования;

2. Информационные ресурсы

- информация в любом виде (базы данных, библиотеки, архивы в электронной форме и т.д.)

- программные средства и комплексы, находящиеся в разработке или эксплуатации.

3. Финансовые активы

- денежные средства в электронной форме в виде записей на счетах (системы клиент-банк);

- ценные бумаги в электронном виде.

При этом возможно страхование  косвенных убытков и непредвиденных расходов, связанных с наступлением страхового случая, таких, как: недополученная прибыль за период вынужденного простоя, текущие расходы по иод- держанию бизнеса в период вынужденного простоя. Дополнительных расходы по экстренному восстановлению бизнеса включают в себя затраты на временную аренду оборудования у сторонних организаций, затраты на срочную замену оборудования и программного обеспечения, затраты по расследованию обстоятельств страхового случая и защиту репутации предприятия.

Страховой полис может  распространятся как на всю информационную структуру предприятия, так и  на отдельные технологические участки.

 

Морально-нравственные методы защиты информации можно отнести к группе тех методов, которые, исходя из расхожего выражения, что «тайну хранят не замки, а люди», играют очень важную роль в защите информации. Именно человек, сотрудник предприятия или учреждения, допущенный к секретам и накапливающий в своей памяти колоссальные объемы информации, в том числе секретной, нередко становится источником утечки этой информации или по его вине соперник получает возможность несанкционированного доступа к носителям защищаемой информации.

Морально-нравственные методы защиты информации предполагают, прежде всего, воспитание сотрудника, допущенного  к секретам, то есть проведение специальной работы, направленной на формирование у него системы определенных качеств, взглядов и убеждений (патриотизма, понимания важности и полезности защиты информации и для него лично), и обучение сотрудника, осведомленного в сведениях, составляющих охраняемую тайну, правилам и методам защиты информации, привитие ему навыков работы с носителями секретной и конфиденциальной информации.

Учет также один из важнейших  методов защиты информации, обеспечивающий возможность получения в любое  время данных о любом носителе защищаемой информации, о количестве и местонахождении всех носителей  засекреченной информации, а также  данные о всех пользователях этой информации. Без учета решать проблемы было бы невозможно, особенно когда  количество носителей превысит какой-то минимальный объем. Принципы учета  засекреченной информации:

1. Обязательность регистрации всех  носителей защищаемой информации;

2. Однократность регистрации конкретного  носителя такой информации;