Конспект лекций оглавление 1 информационное общество и его безопасность 6
 Скачать 4.94 Mb.
|
17.2. Организация внутриобъектового режимаВнутриобъектовый режим обеспечивает выполнение требований безопасности на территории и в служебных помещениях режимного объекта и направлен, как правило, на противодействие внутренним угрозам. К организационному обеспечению внутриобъектового режима традиционно относят мероприятия по обеспечению охраны выделенных помещений, категорированных по специальным требованиям безопасности. Так, посещение посетителями данных помещений ограничивается организационно-техническими мерами. После окончания работы в них все двери, окна и форточки должны быть надежно заперты, поставлены на охранную сигнализацию и опечатаны. Все ключи от дверей охранных зон должны быть сданы на охранный пост с отметкой в специальном журнале, с подписью лиц, сдавших и принявших ключи. Отключение охранной сигнализации и выдачу ключей для вскрытия помещений осуществляет дежурный охраны поста по требованию лиц, имеющих на это право, на основании списка и подписи сотрудников в специальном журнале. Все сотрудники, имеющие санкционированный доступ в охранные зоны, должны знать способы извещения оперативно-дежурных служб. В охранных зонах запрещается фото-, кино-, видеосъемка, а также пользование мобильными телефонами и портативными ЭВМ. Более опасным внутренним угрозам должен соответствовать и больший объем деятельности по организации внутриобъектового режима, к которой целесообразно отнести режим секретности и конфиденциального делопроизводства; режим противодействия утечки информации по техническим каналам. Иногда, учитывая важность и значительный объем мероприятий по организации указанных режимов, их выделяют в самостоятельные направления деятельности службы безопасности, хотя по существу это также отдельные составляющие внутриобъектового режима. Режим секретности и конфиденциального делопроизводства устанавливается в соответствии с нормами информационного права, согласно которым государственные информационные ресурсы, а по умолчанию и ресурсы коммерческих структур, могут иметь: различные правовые режимы открытые (общедоступные) и с ограниченным доступом, охраняемые в режиме некоторой тайны. В зависимости от вида тайны режим ограничения доступа к информационным ресурсам с организационно-правовой точки зрения имеет существенные различия. Так, для сведений, составляющих государственную тайну, законодательно устанавливается единый порядок их выделения, использования и обращения. В соответствии с законодательством в области защиты государственной тайны уполномоченными органами исполнительной власти вводятся очень жесткие обязательные нормы государственного регулирования практически всех организационных процедур. Их нарушение влечет за собой определенную юридическую ответственность. Для других видов сведений конфиденциального характера законодательные нормы, как правило, имеют декларативный характер. Незначительное количество прописанных в законах норм можно рассматривать лишь как рекомендации обладателю информации, который вправе сам принимать решения о ее защите. В связи с этим он сам принимает на себя весь риск, связанный с реализацией угроз информационной безопасности. Хотя в нынешнем уголовном кодексе существует статья, в соответствии с которой можно понести наказание за разглашение банковской или коммерческой тайны, судебная практика весьма ограничена. Поэтому ответственность, как правило, ограничивается мерами дисциплинарного воздействия и лишь в редких случаях — гражданской ответственностью. Практика защиты несекретных сведений служебного характера имеет несколько другой характер. После принятия в 1993 г. Закона Российской Федерации «О государственной тайне» Правительством Российской Федерации было принято постановление от 13 ноября 1994 г. № 1233, которое ввело в действие «Положение о порядке обращения служебной информации ограниченного распространения в федеральных органах исполнительной власти». Согласно этому нормативному правовому акту, «к служебной информации ограниченного распространения относится несекретная информация, касающаяся деятельности организаций, ограничение на распространение которой диктуется служебной необходимостью». Указанный нормативный акт заложил правовую основу для широкого распространения на практике простых и хорошо известных организационных процедур делопроизводства и обращения документов с грифом «Для служебного пользования». В частности, такой порядок принят в банковской системе Российской Федерации. Совет директоров Банка России утвердил аналогичное положение для подведомственных организаций, причем в отличие от правительственного акта к сведениям ограниченного распространения отнесены банковская, коммерческая и служебная тайны. Рассматривая различные правовые режимы информации, следует отметить, что отнесение тех или иных сведений к категории открытой (общедоступной) информации не означает наличия права их бесконтрольного использования. Речь идет, прежде всего, о так называемой интеллектуальной собственности, к которой, в частности, относятся программы для ЭВМ и базы данных, имеющих правовой статус объектов авторского права. Если такие объекты создаются в рамках выполнения служебного задания, то имущественные права на них принадлежат работодателю и, соответственно, эти объекты также должны быть включены в перечень защищаемых активов. Режим секретности устанавливает единый порядок обращения со сведениями, составляющими государственную тайну, и предназначен прежде всего для противодействия утечке секретной информации по агентурным каналам, т.е. угрозам от внутренних нарушителей. Организация режима секретности включает проведение следующих процедур: - засекречивание (рассекречивание) путем установления степени секретности сведений, содержащихся в документах, используемых или создаваемых на режимном объекте; - оформление допуска, т.е. особых видов документов, подтверждающих наличие у сотрудника санкции на работу с документами, содержащими государственную тайну; - контроль выполнения должностными лицами установленных правил работы с секретными документами; - ведение секретного делопроизводства. Засекречивание сведений инициируется исполнителем документа на основании действующего на предприятии и утвержденного его руководителем перечня сведений, составляющих государственную тайну. Разработку такого перечня осуществляют сотрудники режимно-секретных органов (РСО), структурно входящие в службу безопасности на основании отраслевых или ведомственных перечней, утвержденных уполномоченным руководителем органа государственной власти, применительно к специфике своего предприятия. Проект перечня рассматривается специально создаваемой из числа ведущих специалистов предприятия экспертной комиссией, после заключения которой перечень утверждается руководителем предприятия. Сведения, включенные в перечень, должны быть сгруппированы по степени их секретности. В соответствии с правилами, утвержденными Правительством Российской Федерации 4 сентября 1995 г., к сведениям особой важности относят сведения, распространение которых может нанести ущерб в одной или нескольких областях деятельности, указанных в законе о государственной тайне. К совершенно секретным относятся сведения, разглашение которых связано с ущербом на уровне федерального органа исполнительной власти или отрасли экономики, к секретным — на уровне предприятия, учреждения и организации. Перечень должен пересматриваться по мере изменения существенных условий деятельности предприятия, но не реже, чем через пять лет. Для рассекречивания или проверки обоснованности также используется механизм комиссионной экспертной оценки, проводимой с участием работников РСО, с обязательным утверждением результатов руководителем предприятия. Допуск работников к сведениям, составляющим государственную тайну, означает формальное санкционирование возможности работы с такими сведениями, в то время как доступ — это санкционированное полномочным должностным лицом ознакомление с конкретными сведениями. Организационные процедуры оформления допуска регламентируются соответствующей инструкцией, утвержденной Постановлением Правительства Российской Федерации от 28 октября 1995 г. № 1050. Начальным этапом этого процесса является разработка сроком на 5 лет номенклатуры должностей предприятия, подлежащих оформлению на допуск к сведениям, составляющим государственную тайну. Такая номенклатура является необходимым документом для последующего согласования и взаимодействия с уполномоченным органом государственной власти, осуществляющим проверочные мероприятия. Наименование должностей должно соответствовать конкретно выполняемой работе с использованием государственной тайны с учетом степени секретности используемых сведений. Каждой степени секретности соответствует своя форма допуска: первая — особой важности, вторая — совершенно секретно, третья — секретно. Это означает, что работник с первой формой допуска может быть допущен ко всем сведениям, составляющим государственную тайну; наличие второй формы дает возможность работы с совершенно секретными и секретными сведениями; наличие третьей — только с секретными. Очевидно, что каждой форме допуска соответствуют различные объем и уровень проверочных мероприятий. Если в случае допуска по первой и второй форме проверка осуществляется уполномоченным органом государственной власти, то для третьей формы допуск оформляется РСО самого предприятия, за исключением руководителей, работников специальных объектов и лиц, имеющих двойное гражданство. Участие самого работника в процедуре оформления допуска заключается в правильном и достоверном заполнении анкеты и подписании договора об оформлении допуска к государственной тайне. В договор, наряду с типовыми условиями, рекомендуется включать особые пункты, например конкретные сроки ограничения выезда за границу, порядок хранения заграничного паспорта и т.д. При снижении степени секретности используемых работником сведений форма допуска может быть понижена на основании решения руководителя предприятия с возможностью ее восстановления без дополнительных проверочных мероприятий. Основной контроль и учет деятельности сотрудника с использованием сведений, составляющих государственную тайну, проводится путем оформления доступа. Данные процедуры включают получение письменной санкции уполномоченного должностного лица на использование строго дозированного объема таких сведений, выдачу документов под расписку, занесение факта использования конкретных сведений в учетную карточку. Оформление доступа лицам, прибывшим в служебную командировку, производится лишь при наличии удостоверения личности, предписания на выполнение соответствующего задания и справки о наличии допуска. При обращении секретных документов РСО обеспечивают периодический контроль выполнения должностными лицами следующих правил: - любая передача секретных документов сопровождается собственноручной подписью участников процедуры с регистрацией в учетных формах РСО; - работа с секретными документами может осуществляться только в специально аттестованных по требованиям безопасности информации служебных помещениях; - при работе с секретными документами на рабочем месте должен находиться минимально требуемый объем сведений, составляющих государственную тайну; - хранение секретных документов производится в специально оборудованных хранилищах (библиотеках) РСО, в сейфах с обеспечением минимально возможного риска их утраты за счет пожаров, протечек и т.д. - выдача секретных документов на руки исполнителям производится на период не более одного рабочего дня, при временном выходе из рабочего помещения исполнитель обязан убрать секретный документ в свой личный сейф; - запрещается хранение секретных документов в рабочих столах вместе с несекретными материалами; - при приеме посетителей секретные документы должны находиться в положении, неудобном для обозрения; - категорически запрещается вынос секретных документов за пределы охраняемого периметра режимного объекта; - при окончании работы с секретными документами необходимо проверить их и сдать в библиотеку РСО. Секретное делопроизводство задает организационные механизмы, правила и процедуры работы с государственной тайной. Документы, содержащие секретные сведения, могут разрабатываться только в специальных блокнотах и рабочих тетрадях, подлежащих учету, регистрации и хранению в библиотеках РСО. Создается минимально возможное количество копий секретного документа, определяемое исключительно служебной необходимостью. Разрабатываемый документ должен содержать минимально возможный объем секретных сведений, необходимых для понимания сути его содержания. Для копирования секретных документов предусматривается специальная разрешительная процедура его осуществления исключительно через РСО. Документирование, т.е. оформление по нормативно установленным правилам, осуществляют сотрудники РСО с обязательным указанием грифа секретности, номера каждого экземпляра, места разработки, исполнителей, количества листов экземпляров и датой документирования. Передача секретных документов третьим лицам производится исключительно РСО предприятия. Полностью оформленный документ перед отправкой помещается в специальную упаковку (пакет), исключающую несанкционированный доступ. Пересылка секретных документов в другие города осуществляется службами специальной почтовой связи; в рамках одного города используют собственных курьеров, которых обеспечивают служебным транспортом и охраной. Учет передачи документов осуществляется путем регистрации в разносных книгах, по распискам, реестрам под собственноручную подпись ответственного сотрудника РСО принимающей стороны, которая скрепляется печатью с проставлением времени и числа. Как и каждый документ, секретные сведения имеют свой жизненный цикл, по окончании которого их материальные носители подлежат физическому уничтожению. Для проведения этой процедуры приказом руководителя предприятия назначается комиссия в составе не менее трех человек. Комиссия уточняет необходимость и обоснованность уничтожения, проводит сверку уничтожаемых носителей по журналам и карточкам учета, составляет соответствующий акт, который представляется на утверждение руководителю предприятия и передается на учет и хранение в РСО. В соответствии с законодательством режим защиты конфиденциальных сведений определяется собственником (владельцем, обладателем) информационного ресурса. Поэтому задача организации по созданию и обращению несекретных документов конфиденциального характера не имеет общепринятых типовых решений. В частности, широко распространены рекомендации по защите коммерческой тайны, которые предусматривают процедуры, аналогичные установленным для секретного делопроизводства. В то же время в практической деятельности наиболее часто используется режим делопроизводства и обращения документов с грифом «Для служебного пользования» (ДСП). Как правило, этот режим предусматривает: - отнесение сведений к категории ограниченного распространения, он определяется исполнителем и утверждается должностным лицом, подписывающим соответствующий документ (пометка «ДСП» и номер экземпляра проставляются в правом верхнем углу первой страницы документа, на обложке и титульном листе издания, а также на сопроводительном письме к такому документу); - прием и учет (регистрация) документов осуществляется канцеляриями, ведущими прием и учет несекретной документации; - при создании документа с грифом «ДСП» на обороте последнего листа указывается количество распечатанных экземпляров, - исполнители и дата оформления (оформленные документы вместе с черновиками и вариантами проекта передаются в службу регистрации для регистрации и уничтожения черновиков с отражением этого факта в учетных формах); - отдельный учет от несекретной документации; - осуществление передачи с разрешения руководителя исключительно под расписку, а пересылку — заказными или ценными почтовыми отправлениями; - размножение — только с разрешения уполномоченного должностного лица с поэкземплярным учетом; - хранение в надежно запираемых и опечатываемых шкафах; - группировку исполненных документов в дела, соответствующие номенклатуре дел несекретного делопроизводства, с проставлением на обложке дела грифа «ДСП»; - комиссионную проверку наличия документов, которая проводится не реже одного раза в год. Главной организационной составляющей для обеспечения внутриобъектового режима является создание такой структуры, как постоянно действующая техническая комиссия (ПДТК), в состав которой, кроме ответственных работников РСО, включаются также квалифицированные и компетентные технические специалисты предприятия. ПДТК является консультативным органом при руководителе предприятия по вопросам режима секретности и противодействия техническим разведкам. К основным ф ункциям и за да ч а м П Д Т К относятся: - выявление возможных технических каналов утечки информации, присущих данному предприятию; - планирование и координация всех внутренних мероприятий по обеспечению режима секретности и противодействию технической разведке; - экспертиза проектов по разработке и результатам реализации мероприятий по своевременному закрытию выявленных каналов утечки информации с ограниченным доступом; - организация и ведение общей профилактической работы по защите информации ограниченного доступа от технических разведок. Минимально возможный объем таких мероприятий сводится к выделению и оборудованию техническими средствами противодействия специальных помещений (охранных зон) и разработкисоответствующих правил их эксплуатации. Хорошей практикой, использование которой в государственной системе защиты информации является обязательной, служит аттестация объектов информатизации по требованиям безопасности информации. Организацию этой деятельности осуществляет Федеральная служба по техническому и экспертному контролю (ФСТЭК России) как правопреемник Государственной технической комиссии при Президенте Российской Федерации. Под аттестацией объектов информатизациипонимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа «Аттестат соответствия» подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных уполномоченными органами государственной власти. Наличие на объекте информатизации действующего «Аттестата соответствия» дает право обработки информации с установленным уровнем секретности (конфиденциальности) и на период времени, определенным в «Аттестате соответствия». Обязательной аттестации подлежатобъекты информатизации, предназначенные для обработки информации, составляющей государственную тайну, для управления экологически опасными объек тами, для ведения секретных переговоров. В остальных случаях аттестация носит добровольный характер (добровольная аттестация) и может осуществляться по инициативе заказчика или владельца объекта информатизации. Аттестация по требованиям безопасности информации предшествует началу обработки подлежащей защите информации и вызвана необходимостью официального подтверждения эффективности комплекса используемых на конкретном объекте информатизации мер и средств защиты информации. При аттестации объекта информатизации подтверждаетсяего соответствие требованиям по защите информации от несанкционированного доступа, в том числе от компьютерных вирусов, от утечки за счет побочных электромагнитных излучений и наводок при специальных воздействиях на объект (высокочастотное навязывание и облучение, электромагнитное и радиационное воздействие), от утечки или воздействия на нее за счет специальных устройств, встроенных в объекты информатизации. Аттестация предусматривает комплексную проверку (аттестационные испытания) защищаемого объекта информатизации в реальных условиях эксплуатации с целью оценки соответствия применяемого комплекса мер и средств защиты требуемому уровню безопасности информации. Аттестация проводитсяорганом по аттестации в соответствии со схемой, выбираемой на этапе подготовки к аттестации из следующего основного перечня работ: - анализ исходных данных по аттестуемому объекту информатизации; - предварительное ознакомление с аттестуемым объектом информатизации; - проведение экспертного обследования объекта информатизации и анализ разработанной документации по защите информации на этом объекте с точки зрения ее соответствия требованиям нормативной и методической документации; - проведение испытаний отдельных средств и систем защиты информации на аттестуемом объекте информатизации с помощью специальной контрольной аппаратуры и тестовых средств; - проведение испытаний отдельных средств и систем защиты информации в испытательных центрах по сертификации средств защиты информации по требованиям безопасности информации; - проведение комплексных аттестационных испытаний объекта информатизации в реальных условиях эксплуатации; - анализ результатов экспертного обследования и комплексных аестационных испытаний объекта информатизации и утверждение заключения по результатам аттестации. На этапе аттестационных испытаний объекта информатизации: - осуществляется анализ организационной структуры объекта информатизации, информационных потоков, состава и структуры комплекса технических средств и программного обеспечения, системы защиты информации на объекте, разработанной документации и ее соответствия требованиям нормативной документации по защите информации; - определяется правильность категорирования объектов электронно-вычислительной техники и классификации автоматизированных систем при их аттестации, выбора и применения сертифицированных и сертифицированных средств и систем защиты информации; - проводятся испытания ^сертифицированных средств и систем защиты информации на аттестуемом объекте или анализ результатов их испытаний в испытательных центрах (лабораториях) по сертификации; - проверяется уровень подготовки кадров и распределение ответственности персонала за обеспечение выполнения требований по безопасности информации; - проводятся комплексные аттестационные испытания объекта информатизации в реальных условиях эксплуатации путем проверки фактического выполнения установленных требований на различных этапах технологического процесса обработки защищаемой информации; - оформляются протоколы испытаний и заключение по результатам аттестации с конкретными рекомендациями по устранению допущенных нарушений, приведению системы защиты объекта информатизации в соответствии с установленными требованиями по совершенствованию этой системы, а также рекомендациями по контролю за функционированием объекта информатизации. |