Курсовая работа Право цифровой безопасности. Защита общедоступных персональных данных по российскому законодательству
Скачать 79.78 Kb.
|
1.3. Защита и контроль информацииУтечка конфиденциальной информации от персональных ЭВМ может происходить по следующим каналам: Организационному каналу через персонал, злоумышленника, его сообщника, силовым криминальным путем; Побочных электромагнитных излучений от ЭВМ и линий связи; Наводок злоумышленником опасного сигнала на линии связи, цепи заземления и электропитания; Акустических сигналов; Через вмонтированные радио закладки, съема информации с плохо стертых дискет, ленты принтера. Основным источником высокочастотного электромагнитного излучения являются экраны. Отображаемое изображение может быть захвачено и воспроизведено на другом проекционном экране на расстоянии 200 - 300 м. В сети печатающие устройства передают информацию через соединительные кабели. Однако главной причиной потери электронной информации всегда были люди. Защита данных должна быть обеспечена на всех технических этапах обработки информации и во всех режимах работы, включая ремонтные и профилактические работы. Программно-аппаратные средства защиты не должны существенно влиять на основные функциональные характеристики компьютера (надежность, быстродействие). Организация системы защиты информации включает: Защиту границ охраняемой территории; Защиту линий связи между ЭВМ в одном помещении; Защиту линий связи в различных помещениях, защиту линий связи выходящих за пределы охраняемой зоны (территории). Защита информации включает ряд определенных групп мер: Меры организационно-правового характера: режим и охрана помещений, эффективное делопроизводство по электронным документам – вне машинная защита информации, подбор персонала; Меры инженерно-технического характера: место расположения ЭВМ; Экранирование помещений, линий связи, создание помех и др., Меры, решаемые путем программирования: регламентация права на доступ, ограждение от вирусов, стирание информации при несанкционированном доступе, кодирование информации, вводимой в ЭВМ; Меры аппаратной защиты: отключение ЭВМ при ошибочных действиях пользователя или попытке несанкционированного доступа. Помещения, в которых происходит обработка информации на ЭВМ, должны иметь аппаратуру противодействия техническим средствам промышленного шпионажа. Иметь сейфы для хранения носителей информации, иметь бесперебойное электропитание и кондиционеры, оборудованные средствами технической защиты. Комплекс программно-технических средств и организационных (процедурных) решений по защите информации от несанкционированного доступа состоит из четырех элементов: Управления доступом; Регистрации и учета; Криптографической; Обеспечения целостности. Надлежащая организация доступа. Контроль доступа к конфиденциальной информации является важной частью любой электронной системы защиты информации. Реализация системы доступа как к традиционным, так и к электронным документам основана на контент-анализе. Это кто руководитель, кто исполнитель (сотрудник), как, когда и какие категории документов можно узнать или составить. Доступ к секретным, конфиденциальным документам любого рода (в том числе преднамеренный или несанкционированный) должен быть зафиксирован в картотеках документов и на самих документах в соответствующей форме и подписан лицом, получившим доступ к документу. Этот факт также записан в карточках секретной информации сотрудников компании. Организация ряда конфиденциальных электронных документов и баз данных для доступа сотрудников вашей компании требует, чтобы вы учитывали их многоэтапный характер. Можно выделить следующие основные элементы этого типа доступа: Доступ к персональному компьютеру, серверу или рабочей станции; Доступ к машинным носителя информации, хранящимся вне ЭВМ; Непосредственный доступ к базам данных и файлам. Доступ к персональному компьютеру, серверу или рабочей станции, которые используются для обработки конфиденциальной информации, предусматривает: Определение и регламентацию первым руководителем фирмы состава сотрудников, имеющих право доступа (входа) в помещение, в котором находится соответствующая вычислительная техника, средства связи; Регламентацию первым руководителем временного режима нахождения этих лиц в указанных помещениях; персональное и временное протоколирование (фиксирование) руководителем подразделения или направления деятельности фирмы наличия разрешения и периода работы этих лиц в иное время (например, в вечерние часы, выходные дни и др.); Организацию охраны этих помещений в рабочее и нерабочее время, определение правил вскрытия помещений и отключения охранных технических средств информирования и сигнализирования; определение правил постановки помещений на охрану; регламентацию работы указанных технических средств в рабочее время; Организацию контролируемого (в необходимых случаях пропускного) режима входа в указанные помещения и выхода из них; Организацию действий охраны и персонала в экстремальных ситуациях или при авариях техники и оборудования помещений; Организацию выноса из указанных помещений материальных ценностей, машинных и бумажных носителей информации; контроль вносимых в помещение и выносимых персоналом личных вещей. Информационная безопасность внутри компьютеров и локальных сетей требует эффективного соединения между машинами и защиты конфиденциальной информации за пределами машины. В связи с этим в настоящее время большое значение приобретает защита технических носителей секретной информации (машиночитаемых документов) на не механических этапах учета, обработки и хранения. На этом этапе вероятность потери машиночитаемых документов очень высока. Подобные темы не важны в СМИ, содержащих общественную информацию. В основе безопасного вне машинного хранения конфиденциальных электронных документов теперь эффективно используются принципы и методы, проверенные для обеспечения безопасности документов в традиционных технических системах.[8] Перед началом обработки информации на ЭВМ сотрудник обязан убедиться в отсутствии в помещении посторонних лиц. При подходе такого лица к сотруднику экран дисплея должен быть немедленно погашен. В конце рабочего дня исполнители обязаны перенести всю конфиденциальную информацию из компьютера на гибкие носители информации, стереть информацию с жестких дисков, проверить наличие всех конфиденциальных документов (на бумажных, магнитных и иных носителях), убедиться в их комплектности и сдать в службу КД. Оставлять конфиденциальные документы на рабочем месте не разрешается. Не допускается также хранение на рабочем месте исполнителя копий конфиденциальных документов. Лицам, имеющим доступ к работе на ЭВМ, запрещается: Разглашать сведения о характере автоматизированной обработки конфиденциальной информации и содержании используемой для этого документации; Знакомиться с изображениями дисплея рядом работающих сотрудников или пользоваться их магнитными носителями без разрешения руководителя подразделения; Разглашать сведения о личных паролях, используемых при идентификации и защите массивов информации; Оставлять магнитные носители конфиденциальной информации без контроля, принимать или передавать их без росписи в учетной форме, Оставлять ЭВМ с загруженной памятью бесконтрольно; Пользоваться неучтенными магнитными носителями, создавать неучтенные копии документов. [9] После создания бумажной версии документа электронная копия будет удалена, если она не приложена к документу или не сохранена для справочных целей. Отметка об уничтожении электронной копии проставляется на документе и учетной карточке перевозчика и подтверждается двумя подписями. Хранение магнитных носителей и электронных документов должно осуществляться в условиях, исключающих возможность хищения, недоступности или уничтожения содержащейся на них информации и в соответствии с техническими условиями производителя. Носители хранятся вертикально в специальных ячейках в металлических шкафах или сейфах. Номер ячейки должен совпадать с номером медиа-аккаунта. Недопустимо воздействие горящих средств, ультрафиолетового, магнитного излучения. Магнитные носители, содержащие конфиденциальную информацию, утратившую практическую ценность, уничтожаются в установленном законом порядке и отмечаются в учетных документах. [10] С целью контроля и поддержания режима при обработке информации на ЭВМ необходимо: Периодически проводить проверки наличия электронных документов и состава баз данных; Проверять порядок ведения учета, хранения и обращения с магнитными носителями и электронными документами; Систематически проводить воспитательную работу с персоналом, осуществляющим обработку конфиденциальной информации на ЭВМ; Реально поддерживать персональную ответственность руководителей и сотрудников за соблюдение требований работы с конфиденциальной информацией на ЭВМ; Осуществлять действия по максимальному ограничению круга сотрудников, допускаемых к обрабатываемой на ЭВМ конфиденциальной информации и праву входа в помещения, в которых располагаются компьютеры, для обработки этой информации. [12] Взаимопонимание между руководством фирмы и работниками не означает полной свободы в организации рабочих процессов и желании выполнять или не выполнять требования по защите конфиденциальной информации. С этой целью руководителям всех рангов и службе безопасности следует организовать регулярное наблюдение за работой персонала в части соблюдения ими требований по защите информации. Основными формами контроля могут быть: Аттестация работников; Отчеты руководителей подразделений о работе подразделений и состоянии системы защиты информации; Регулярные проверки руководством фирмы и службой безопасности соблюдения работниками требований по защите информации; Самоконтроль. Аккредитация сотрудника касается областей знаний (трудолюбие, ответственность, качество и эффективность выполняемой работы, профессиональный кругозор, организаторские способности, преданность делу и т. д.) и соблюдения компанией требований информационной безопасности. Соблюдение требований информационной безопасности, знание работником соответствующих нормативных и учебных документов, умение применять требования этих документов на практике, отсутствие нарушений при обращении с конфиденциальными документами, умение общаться с посторонними лицами. Проверка на наличие утечек коммерческой тайны и т.д. По результатам аттестации издается Приказ, в котором отражается решение Органа по аттестации о повышении, переаттестации, повышении или увольнении работников. Совет по сертификации также может принять решение об использовании сведений и документов, составляющих коммерческую тайну, для увольнения работников. [11] Другой формой контроля является заслушивание руководителей структурных подразделений и руководителя службы безопасности на совещании у первого руководителя фирмы о состоянии системы защиты информации и выполнении ее требований работниками подразделений. Одновременно на совещании принимаются решения по фактам нарушения работниками установленных правил защиты секретов фирмы. Формой контроля являются также регулярные проверки выполнения сотрудниками (в том числе хорошо работающими) правил работы с конфиденциальной информацией, документами и базами данных. Контроль осуществляют начальник структурного отдела, заместители первого руководителя и сотрудники службы безопасности. Проверки могут быть плановыми и внеплановыми (внезапными). При наличии даже малейших подозрений на утечку информации проверка будет проведена без предварительного уведомления. Самоуправление означает, что руководители и сотрудники правоохранительных органов сами проверяют полноту и правильность выполнения текущих инструкций и незамедлительно сообщают о случаях утраты документов, утраты ценной информации службе безопасности и непосредственному начальству, уведомлять по любой причине о раскрытии Компанией другими лицами или сотрудниками информации, которая представляет собой конфиденциальную информацию, или о нарушениях процедур информационной безопасности сотрудниками. Следует проявлять осторожность при работе с персоналом компании, а не только с сотрудниками, работающими с конфиденциальной информацией. Люди, не имеющие доступа к коммерческой тайне, также должны находиться под контролем. Следует отметить, что сотрудник может выступать посредником в действиях злоумышленников. Таких, как ведение электронного шпионажа, создание условий для кражи документов и изготовление копий документов. [11] Кроме того, сотрудники, располагающие конфиденциальной информацией, должны помнить, что они обязаны действовать в соответствии с требованиями, изложенными в Директиве о конфиденциальности. Ограничение свободы использования информации может привести к беспокойству и нервным срывам. Хранение чего-либо в секрете идет в разрез с потребностью человека в общении путем обмена информацией. В связи с этим очень важно, чтобы психологическая атмосфера коллектива и отдельных сотрудников всегда находилась в центре внимания руководства компании и службы безопасности. [12] Если будет установлено, что руководители или сотрудники не соблюдают требования по защите данных, они будут привлечены к ответственности и наказаны в соответствии с правилами внутреннего трудового распорядка. Вне зависимости от должностного уровня или отношения работника к руководству компании важно, чтобы наказание было неотвратимым и своевременным. Вместе с виновным ответственность за разглашение сведений, составляющих корпоративную тайну, несет руководство компании и ее структурных подразделений, операций и филиалов. Они несут полную ответственность за разработку и реализацию мер по обеспечению информационной безопасности всей деятельности компании. Информационная инфраструктура контроля работы сотрудников с конфиденциальной информацией создана на основе анализа осведомленности сотрудников о коммерческой тайне. Данная работа является частью комплексного аналитического исследования по выявлению каналов утери секретной информации персоналом. Объектами комплексного аналитического исследования являются: выявление, классификация и постоянное изучение источников и объективных каналов распространения конфиденциальной информации, а также обнаружение и анализ степени опасности источников угрозы информации. Важен превентивный контроль безопасности ценной информации. При этом особому (чрезвычайному) учету подлежат любые мошеннические или некорректные действия сотрудников с документами и информацией, нарушения систем доступа к информации и нарушения правил работы с конфиденциальными документами и электронными базами данных. События должны подвергаться оперативному и тщательному сравнительному анализу, а результаты анализа докладываться непосредственно топ-менеджеру компании. В целях превентивного контроля рекомендуются следующие учетно-аналитические меры в отношении персонала, который владеет или может обладать конфиденциальной информацией: Анализ реального состава известной персоналу конфиденциальной информации и динамики ее распределения по структурным подразделениям фирмы; Анализ степени владения конфиденциальной информацией руководством фирмы, руководителями структурных подразделений, направлений деятельности и каждым работником, т.е. учет уровня и динамики их реальной осведомленности в секретах фирмы; Анализ выявленных потенциальных и реальных источников угрозы персоналу в целом и каждому отдельному работнику с целью завладеть ценной информацией фирмы (конкурентов, соперников, криминальных структур и отдельных преступных элементов); Анализ эффективности защитных мер, предпринятых по отношению к персоналу, их действенности в обычных условиях и при активных действиях злоумышленника. Своевременное описание организации секретной информации, известной каждому сотруднику компании, является наиболее ценной частью всей аналитической работы. Соприкосновение работников Общества с конфиденциальной информацией считается законным и случайным. Также должно учитываться раскрытие информации о несанкционированном доступе к информации, к которой сотрудники не имеют права доступа, в том числе о несанкционированном доступе к информации со стороны сотрудников, не имеющих права доступа к работе с конфиденциальной информацией. [9] Ведутся специальные учетные формы для учета и дальнейшего анализа уровня осведомленности сотрудников о служебной тайне. Традиционные (карточные) или электронные формы учета должны содержать ряд областей исследования, позволяющих проводить сопоставление трудовых обязанностей работника и синтез конфиденциальной информации, получаемой работником, а выполняемая работа должна соответствовать типу. Целесообразно включить в учетную форму следующие зоны: Зона штатных функциональных обязанностей работника, при реализации которых используется конфиденциальная информация (по утвержденной должностной инструкции); Зона изменений и дополнений, внесенных в функциональные обязанности работника, с указанием документа-основания, его даты и фамилии руководителя, подписавшего документ; Зона стандартного состава конфиденциальные сведений или их индексов, по перечню конфиденциальной информации фирмы, к которым допущен работник в соответствии с должностной инструкцией (с указанием наименования документа о допуске, его даты, номера и фамилии руководителя, подписавшего документ); Зона изменений и дополнений в составе конфиденциальных сведений, к которым допускается работник в связи с пересмотром его должностных Обязанностей (с указанием наименований и дат документов о допуске, фамилий руководителей, подписавших документы); Зона документированной информации (документов), с которой знакомится или работает сотрудник, с указанием наименований документов, их дат и номеров, краткого содержания, целевого использования содержащихся в документах конфиденциальных сведений или их индексов по перечню, фамилий руководителей, разрешивших работу с документами; Зона недокументированной конфиденциальной информации, которая стала известна работнику, с указанием даты и цели ознакомления, фамилии руководителя, разрешившего ознакомление, состава конфиденциальных сведений или их индексов по перечню; Зона обнаруженного несанкционированного ознакомления работника с конфиденциальной информацией с указанием даты ознакомления, условий или причин ознакомления, фамилии виновного работника, места ознакомления, состава конфиденциальных сведений или их индексов по перечню. Анализ осуществляется сравнением содержания записей в зонах и индексов известной сотруднику конфиденциальной информации, т.е. ведется поиск несоответствия. [9] По фактам разглашения или утечки конфиденциальной информации, утраты документов и изделий, другим грубым нарушениям правил защиты информации организуется служебное расследование. Служебное расследование проводит специальная комиссия, формируемая приказом первого руководителя фирмы. Расследование предназначено для выяснения причин, всех обстоятельств и их последствий, связанных с конкретным фактом, установления круга виновных лиц, размера причиненного фирме ущерба. По результатам расследования даются рекомендации по устранению причин случившегося. План проведения служебного расследования: Определение возможных версий случившегося (утрата, хищение, уничтожение по неосторожности, умышленная передача сведений, неосторожное разглашение и т.д.); Определение (планирование) конкретных мероприятий по проверке версий (осмотр помещений, полистная проверка документации, опрос сотрудников, взятие письменного объяснения у подозреваемого лица и т. д.); Назначение ответственных лиц за проведение каждого мероприятия; Указание сроков проведения каждого мероприятия; Определение порядка документирования; Обобщение и анализ выполненных действий по всем мероприятиям; Установление причин утраты информации, виновных лиц, вида и объема ущерба; Передача материалов служебного расследования с заключительными выводами первому руководителю фирмы для принятия решения. При проведении служебного расследования все мероприятия обязательно документируются в целях последующего комплексного анализа выявленного факта. [11] Обычно анализируются следующие виды документов: Письменные объяснения опрашиваемых лиц, составляемые в произвольной форме; Акты проверки документации и помещений, где указываются фамилии проводивших проверку, их должности, объем и виды проведенного осмотра, результаты, указываются подписи этих лиц и дата; Другие документы, относящиеся к расследованию (справки, заявления, планы, анонимные письма и т. д.). Служебное расследование проводится в кратчайшие сроки. По результатам анализа составляется заключение о результатах проведенного служебного расследования, в котором подробно описывается проведенная работа, указываются причины и условия случившегося и полный анализ происшедшего. |