Грибунин В.Г. Комплексная система защиты информации на предприятии

Подождите немного. Документ загружается.

нальных

обязанностей, установить их полномочия по доступу к

информации. Это означает, что необходимо определить и офор-

мить порядок установления уровня полномочий пользователей, а

также круга лиц, которым это право предоставлено, установить

правила разграничения доступа, регламентирующие права досту-

па субъектов к объектам,

т. е.

не только кто из пользователей АС и

их программ допускается к тем или иным программам, файлам,

записям, но и какие действия при этом они могут осуществлять.

Все это оформляется службой защиты информации или адми-

нистратором АС в виде матрицы доступа или иных правил разгра-

ничения доступа.

Среди организационных мероприятий по обеспечению без-

опасности информации — охрана объекта, на котором располо-

жена защищаемая АС (территория, здания, помещения, хранили-

ща информационных носителей), путем установления соответству-

ющих постов технических средств охраны или любыми другими

способами, предотвращающими или существенно затрудняющи-

ми хищение СВТ, информационных носителей, а также НДС к

СВТ и линиям связи.

Следует отметить, что в последнее время в направлении физи-

ческой защиты помещений, самих СВТ, информационных носи-

телей наблюдается смещение в сторону использования в этих це-

лях средств защиты, основанных на новых принципах. Например,

доступ в помещение разрешается и контролируется с помощью

АС, оконечными устройствами которой являются различного рода

терминалы, использующие средства аутентификации на различ-

ных физических принципах, с чьей помощью осуществляются

разграничение доступа в помещение, вход в систему и т.д.

На стадии ввода в действие АС и СЗИ в ее составе осуществля-

ются:

• опытная эксплуатация разработанных или адаптированных

средств защиты информации в комплексе с прикладными про-

граммами в целях проверки их работоспособности и отработки

технологического процесса обработки информации;

• приемочные испытания СЗИ по результатам опытной экс-

плуатации с оформлением приемо-сдаточного акта, подписывае-

мого разработчиком (поставщиком) и заказчиком;

• аттестация АС по требованиям безопасности информации,

которая производится аккредитованным в установленном поряд-

ке органом по аттестации в соответствии с «Положением по атте-

стации объектов информатики по требованиям безопасности ин-

формации», действующим в системе сертификации продукции и

аттестации объектов информатики, работающей под управлением

ФСТЭК России.

При положительных результатах аттестации владельцу АС вы-

дается «Аттестат соответствия АС требованиям безопасности ин-

280

формации». Эксплуатация

АС

осуществляется в соответствии с

утвержденной организационно-распорядительной и эксплуатаци-

онной документацией, предписаниями на эксплуатацию техни-

ческих средств.

Технология обработки информации в АС различна и зависит

от используемых СВТ, программных средств, режимов работы.

Не вдаваясь в особенности технологического процесса, обуслов-

ленные различиями в технике, программном обеспечении и дру-

гими причинами, можно констатировать, что основной характер-

ной особенностью, связанной с обработкой секретной или иной

подлежащей защите информации, является функционирование

системы защиты информации от НСД как комплекса програм-

мно-технических средств и организационных решений, предус-

матривающей учет, хранение и выдачу пользователям информа-

ционных носителей, паролей, ключей, ведение служебной инфор-

мации СЗИ НСД (генерацию паролей, ключей, сопровождение

правил разграничения доступа), оперативный контроль за функ-

ционированием СЗИ, контроль соответствия общесистемной про-

граммной среды эталону и приемку включаемых в АС новых про-

граммных средств, контроль за ходом технологического процесса

обработки информации путем регистрации анализа действий

пользователей, сигнализации опасных событий.

Перечисленные составляющие являются функциональной на-

правленностью службы безопасности информации, администра-

тора АС и фиксируются, с одной стороны, в положениях об этих

службах и общей организационной документации по обеспече-

нию безопасности информации («Положение о порядке органи-

зации и проведения на предприятии работ по защите информа-

ции в АС», «Инструкция по защите информации, обрабатывае-

мой в АС предприятия», разделе «Положения о системе допуска

исполнителей к документам и сведениям на предприятии», опре-

деляющим особенности системы допуска в процесс разработки и

функционирования АС), а с другой стороны, в проектной доку-

ментации СЗИ НСД (инструкциях администратору АС, службе

безопасности информации, пользователю АС).

Следует отметить, что без надлежащей организационной под-

держки программно-технических средств защиты информации от

НСД и точного выполнения предусмотренных проектной доку-

ментацией процедур в должной мере не решить проблему обеспе-

чения безопасности информации в АС.

Контроль состояния эффективности защиты информации осу-

ществляется подразделениями по защите информации службы

безопасности предприятия-заказчика и заключается в проверке

выполнения требования нормативных документов по защите ин-

формации, а также в оценке обоснованности и эффективности

мер.

Гл а в

Кадровое обеспечение

функционирования комплексной

системы защиты информации

13.1.

Специфика персонала предприятия

как объекта защиты

Персонал предприятия считается одним из наиболее важных

объектов защиты, так как является не только носителем инфор-

мации с ограниченным доступом, но и источником создания та-

кой информации. Сложность персонала как объекта защиты за-

ключается не только в отсутствии возможности постоянного кон-

троля за его действиями, особенно в неслужебное (нерабочее) вре-

мя, но и в его уязвимости, обусловленной, например, возможно-

стью подкупа, преследования им корыстных целей, воздействия

на сотрудников и членов их семей с целью шантажа, возможно-

стью похищения и т.

п.

Сложность реализации мер защиты в от-

ношении персонала предприятия обусловливает необходимость

постоянного внимания этой задаче.

Рассмотрим основные направления работы с персоналом в

плане защиты информации с ограниченным доступом.

Подбор и расстановка кадров осуществляются из двух источ-

ников — внутренних перестановок и за счет найма на рынке труда.

Основные методы изучения и отбора персонала:

• тестирование;

• изучение личных документов, документов об образовании,

трудовой деятельности на предыдущих местах работы, рекомен-

даций, характеристик; проверка подлинности личных документов

и документов об образовании; изучение и подтверждение полно-

ты и точности сведений, изложенных в анкетных материалах и

автобиографии;

• проведение конкурсов на замещение вакансий;

• аттестование сотрудников предприятия в целях подтвержде-

ния профессиональной квалификации, возможного выдвижения

на более высокие должности, для создания резерва кандидатов на

продвижение по службе;

•

проверка с использованием баз учета органов внутренних дел

(наличие судимости, нахождение под следствием, в розыске и т.п.);

• проверка финансового состояния и кредитной истории.

282

К основным группам качеств

для

сравнения кандидатов отно-

сятся: профессиональные, образовательные, организационные

личные. Основным требованием

при

отборе является тщательное

изучение деловых, моральных

этических данных каждого кан-

дидата путем глубокого изучения

его

трудового прошлого.

Юридическое обеспечение

—

заключение контракта

получе-

ние

сотрудника добровольного согласия

на

соблюдение требо-

ваний, регламентирующих режим безопасности

сохранения ком-

мерческой

других тайн,

в том

числе:

• обязанности сохранять

тайне информацию ограниченного

доступа, полученную

ходе трудовой деятельности

после пре-

кращения трудовых отношений;

• права собственности предприятия

на

результаты интеллекту-

альной деятельности работника, созданные

рамках выполнения

трудового договора;

• обязанности работника возвратить полученные

ходе трудо-

вой деятельности носители информации ограниченного доступа;

• обязанность

не

использовать сведения, составляющие ком-

мерческую тайну предприятия, после смены места работы

ходе

трудовой деятельности

на

других предприятиях;

• обязанности выполнять требования

по

защите информации

ограниченного доступа, установленные

как

законодательством,

так

внутренними правилами

инструкциями предприятия;

• обязанности использовать технические средства обработки

информации

средства связи (телекоммуникации), принадлежа-

щие предприятию, только

служебных целях.

Договорные (контрактные) обязательства

по

вопросам защи-

ты государственной тайны определяются

соответствии

«Ин-

струкцией

порядке допуска должностных

лиц и

граждан Рос-

сийской Федерации

государственной тайне», утвержденной

по-

становлением Правительства Российской Федерации

1995 г.

№

1050.

Изучение персонала службой безопасности осуществляется

рамках Закона Российской Федерации

от 11

марта

1992 г.

№

2487-1 «О

частной детективной

охранной деятельности

Рос-

сийской Федерации»*,

также

учетом конституционных прав

свобод граждан.

Обучение осуществляется

по

двум направлениям

—

обучение

персонала, обеспечивающего защиту информации

ограничен-

ным доступом,

обучение персонала, использующего

своей

ра-

боте такую информацию. Основные формы обучения персонала

первой группы

—

вечерняя

заочная,

учебных заведениях выс-

шего

среднего профессионального образования,

на

курсах под-

готовки, переподготовки

повышения квалификации,

на

рабо-

* Ведомости

СНД РФ и ВС РФ от 23.04.1992 г. № 17. Ст. 888.

283

чем месте под руководством более опытного работника, при ста-

жировке в однопрофильных организациях, инструктажи, конфе-

ренции и т.

п.

Основная форма обучения персонала второй груп-

пы — проведение занятий и инструктажи — вводный, на рабочем

месте, по отдельным вопросам, при выявлении нарушений.

Стимулирование труда применяется для поощрения добро-

совестности и бдительности персонала при выполнении обязан-

ностей по защите информации ограниченного доступа. Основные

формы поощрения: материальное, финансовое, моральное, про-

движение по службе.

Применение мер дисциплинарной, административной и ма-

териальной ответственности в виде дисциплинарных взыска-

ний, административных штрафов, возмещения материального

ущерба, увольнения.

Контроль действий персонала по подчиненности; периоди-

ческий и внезапный контроль подразделением защиты информа-

ции, в том числе через доверенных лиц, контроль переговоров по

служебным средствам связи, с использованием средств контроля

доступа, администрирования, видеонаблюдения. Проводится так-

же контроль

обученное™

персонала вопросам защиты информа-

ции.

Оценка деятельности тесно связана с контролем, стимулиро-

ванием труда и применением дисциплинарных, административ-

ных и других мер воздействия.

Организационно-правовое обеспечение — разработка внутрен-

них нормативных актов по защите информации ограниченного

доступа и изучение ее с персоналом; анализ и оценка эффектив-

ности и достаточности принимаемых мер защиты информации.

Обмен информацией о кадрах с близкими по профилю орга-

низациями и контрагентами осуществляется службой безопас-

ности предприятия с санкции его руководителя и с учетом зако-

нодательства о персональных данных. Сотрудники должны быть

убеждены, что при наличии нарушений информация о них может

быть направлена по новому месту работы.

Материально-техническое обеспечение персонала по вопро-

сам защиты информации заключается в обеспеченности персо-

нала техническими средствами обработки и хранения информа-

ции, соответствующими установленным требованиям, наличии не-

обходимого оборудования, расходных материалов, защищенных

средств связи и т. п.

Ротация кадров является необходимым условием уменьше-

ния рисков, связанных со сговорами и круговой порукой, могу-

щими привести к хищению информации ограниченного доступа

или сокрытию фактов ее утраты.

Безопасность персонала включает принятие мер по защите

наиболее привлекательных с точки зрения противоправных ак-

284

ций сотрудников предприятия (руководителей и их заместителей,

лиц с широкими правами доступа на объекты защиты и к инфор-

мации, осуществляющих хранение информации и т.п.). Может

осуществляться как службой безопасности предприятия (в рамках

Закона Российской Федерации от 11 марта 1992 г. №

2487-1

«О частной детективной и охранной деятельности в Российской

Федерации»), так и специализированными охранными фирмами.

13.2.

Распределение функций по защите

информации

13.2.1.

Функции руководства предприятия

Функции руководства предприятия по защите информации

зависят от ряда факторов, основными из которых являются:

• виды тайн, используемых на предприятии (государственная,

коммерческая, служебная, персональные данные и т.д.);

•

форма собственности и организационно-правовая форма пред-

приятия;

•

подчиненность (подведомственность) предприятия (для пред-

приятий государственной формы собственности);

• сфера деятельности.

Эти функции в самом общем виде определяются в уставных и

внутренних распорядительных документах организации. Вместе с

тем они могут быть возложены на руководителей непосредствен-

но нормативными правовыми актами. Так, на руководителей пред-

приятий, использующих в своей деятельности сведения, состав-

ляющие государственную тайну, законодательство возлагает опре-

деленные функции, права и обязанности.

Законом РФ «О государственной тайне» [20] на руководите-

ля возлагаются:

•

обоснование необходимости отнесения к государственной тай-

не сведений, полученных (разработанных) на предприятии (ст. 9);

• передача в собственность государства сведений, составляю-

щих государственную тайну, полученных (разработанных) на пред-

приятии (ст. 10);

• получение разрешения на передачу сведений, составляющих

государственную тайну, в другие организации, с санкции органа

государственной власти, в распоряжении которого находятся све-

дения (ст. 16);

• создание условий по защите сведений, составляющих госу-

дарственную тайну, полученных от других организаций (ст. 16);

• контроль наличия лицензий на проведение работ, связанных

с использованием сведений, составляющих государственную тай-

285

ну, у организации, по отношению к которым предприятие явля-

ется заказчиком работ (ст. 17);

• обеспечение защиты государственной тайны при изменении

функций, формы собственности, ликвидации предприятия или

прекращении работ, связанных с использованием сведений, со-

ставляющих государственную тайну (ст. 19);

•

ответственность за организацию защиты государственной тай-

ны (ст. 20);

• создание структурных подразделений защиты государствен-

ной тайны (ст. 20);

• принятие решения о допуске подчиненных лиц к государ-

ственной тайне (ст. 21);

• принятие решения об отказе в допуске к государственной

тайне подчиненным лицам (ст. 22);

•

обязанность и право прекращения допуска к государственной

тайне подчиненных лиц в установленных законодательством слу-

чаях (ст. 23);

• организация доступа должностных лиц и сотрудников пред-

приятия к государственной тайне и персональная ответственность

за создание таких условий, при которых они могут ознакомиться

только со сведениями, необходимыми для выполнения должно-

стных обязанностей (ст. 25);

• получение

лицензии

на допуск к проведению работ, связан-

ных с использованием сведений, составляющих государственную

тайну, и прохождение государственной аттестации.

2. Согласно «Инструкции о порядке допуска должностных лиц

и граждан Российской Федерации к государственной тайне», ут-

вержденной постановлением Правительства РФ 1995 г. № 1050,

на руководителя возлагается:

• персональная ответственность за подбор лиц, допускаемых к

государственной тайне (п. 3);

• контроль за соответствием формы допуска фактической сте-

пени секретности сведений, с которыми ознакамливаются работ-

ники (п. 6);

• определение перечня должностей сотрудников, подлежащих

оформлению на допуск к государственной тайне (п.

13);

• прекращение допуска к государственной тайне в установлен-

ных случаях (п. 15);

• допуск к секретным сведениям без проведения проверочных

мероприятий, в том числе руководителей организаций, в отноше-

нии которых предприятие является заказчиком (п. 23);

• персональная ответственность за обеспечение режима сек-

ретности допущенными к секретным сведениям лицами, не до-

стигшими 16-летнего возраста (п. 28);

• обеспечение разграничения доступа к государственной тайне

при приеме командированных лиц (п. 39).

286

Приведенные примеры только из двух правовых актов показы-

вают, что реализация всего комплекса функций по защите ин-

формации ограниченного доступа на предприятии (с учетом ее

объемов) требует наличия специального подразделения (или под-

разделений, например, по видам информации ограниченного до-

ступа). Задача руководителя предприятия в этом процессе должна

заключаться в принятии управленческих решений, контролю их

выполнения и, при наличии необходимости, применению управ-

ленческих воздействий, направленных на достижение поставлен-

ных в решениях задач.

13.2.2.

Функции службы защиты информации

Учитывая разнообразие видов тайн, специфику нормативных

требований по защите каждой из них, под службой ЗИ в общем

виде будем понимать структурные подразделения предприятия,

специально созданные для выполнения задач защиты информа-

ции (независимо от ее вида).

Функции

службы ЗИ (изложены в общем виде, без привязки к

виду защищаемой информации):

• организация планирования, разработки и проведения меро-

приятий по защите информации ограниченного доступа при про-

ведении работ с ее носителями;

• координация деятельности структурных подразделений пред-

приятия по вопросам защиты информации ограниченного досту-

па, контроль выполнения ими нормативных документов по защи-

те такой информации;

•

анализ деятельности предприятия по защите информации огра-

ниченного доступа, выявление возможных каналов ее утечки и

подготовка предложений по их закрытию;

• учет и анализ нарушений режима обеспечения сохранности

информации ограниченного доступа;

•

участие в работе по отнесению сведений к различным катего-

риям информации ограниченного доступа, разработке перечней

такой информации, нормативно-методических документов по

обеспечению ее защиты;

•

участие в проведении служебных расследований в случае утра-

ты либо хищения носителей информации ограниченного доступа,

других нарушений режима обеспечения сохранности такой ин-

формации, а также по фактам ее разглашения;

• организация проведения профилактической работы с работ-

никами предприятия по соблюдению режима обеспечения сохран-

ности информации ограниченного доступа;

• разработка перечней должностей работников, подлежащих

допуску к информации ограниченного доступа;

287

•

контроль разработки и осуществление мероприятий по защи-

те информации ограниченного доступа;

• осуществление мероприятий, обеспечивающих доступ к ин-

формации ограниченного доступа только тех работников, кото-

рым она необходима для выполнения должностных обязанно-

стей;

• проведение инструктажа работников, допущенных к инфор-

мации ограниченного доступа, контроль знания ими требований

нормативных документов по режиму обеспечения ее сохранно-

сти;

• ведение учета осведомленности работников в информации

ограниченного доступа;

• участие в обеспечении пропускного режима, охраны пред-

приятия и режимных территорий, контроле несения службы

охраной;

• участие в определении эффективности инженерно-техниче-

ских средств охраны и разработке предложений по их совершен-

ствованию;

•

организация и ведение учета носителей информации ограни-

ченного доступа;

• контроль соблюдения установленного порядка работы с но-

сителями информации ограниченного доступа.

13.2.3.

Функции специальных комиссий

Использование различных видов информации ограниченного

доступа в управленческой и производственной деятельности пред-

приятия является сложным процессом, тонкости которого не мо-

гут быть в полном объеме известны специалистам службы защиты

информации ввиду необходимости узко-специальных знаний, тех-

нической сложности и разнообразия производственных процес-

сов. Вместе с тем знание таких «тонкостей» является важнейшим

условием принятия эффективных решений по защите информа-

ции ограниченного доступа, начиная со стадии отнесения инфор-

мации к таковой и заканчивая внедрением сложных технических

средств защиты информации.

Учитывая изложенное, рядом нормативных документов, а так-

же исходя из практики деятельности по защите информации, на

предприятиях предусматривается создание целого ряда комиссий,

являющихся нештатными рабочими органами руководителя пред-

приятия, призванными обеспечить принятие эффективных реше-

ний по защите информации.

К таким специальным комиссиям относятся:

а) в области защиты государственной тайны — экспертные

комиссии, предусмотренные ст. 14 Закона РФ «О государствен-

288

ной тайне» и постановлением Правительства Российской Феде-

рации от

04.09.1995

г. № 870 «Об утверждении правил отнесения

сведений, составляющих государственную тайну, к различным

степеням секретности»*, а также постоянно действующие техни-

ческие комиссии предприятий по защите государственной тай-

ны, создаваемые в соответствии с Положением, утвержденным

совместным приказом Гостехкомиссии России и ФСБ России

2001 г. №

309/405;

б) экспертные комиссии, создаваемые в соответствии с Основ-

ными правилами работы архивов организаций (одобр. Коллегией

Росархива от

06.02.2002

г.), «Перечнем типовых управленческих

документов, образующихся в деятельности организаций, с указа-

нием сроков хранения» (утв. Росархивом

06.10.2000

г.), Типовой

инструкцией по делопроизводству в федеральных органах испол-

нительной власти (приказ Минкультуры РФ от

08.11.2005

г.

№ 536, зарегистрирован в Минюсте РФ

27.01.2006

г. №

7418);

в) внутренние проверочные комиссии, назначаемые руководи-

телем предприятия для проверки наличия носителей информа-

ции ограниченного доступа, соблюдения порядка обращения с

ними; аналогичные комиссии, назначаемые для проверок в под-

чиненных организациях (дочерних, филиалах и т.п.), ликвидаци-

онные

комиссии.

В последнее время в практике работы предприятий использу-

ются так называемые Советы по безопасности, в числе прочих

задач выполняющие функции консультативных органов по защи-

те информации ограниченного доступа при руководителе пред-

приятия. В состав советов, как правило, включаются:

• специалисты подразделений предприятия, использующих в

своей работе информацию ограниченного доступа;

•

специалисты службы безопасности (по вопросам охраны, фи-

зической защиты объектов и т.п.);

• специалисты подразделений по защите информации;

• представители организаций-заказчиков.

Основной задачей советов по безопасности в области защиты

информации является выработка рекомендаций руководству пред-

приятия по защите информации ограниченного доступа при ре-

шении следующих вопросов:

• отнесении сведений к различным видам информации огра-

ниченного доступа, определении степени ее конфиденциально-

сти;

• организации методического обеспечения и проведения ана-

литической работы по предупреждению несанкционированного

распространения информации ограниченного доступа;

•

Собрание законодательства РФ от

11.09.1995

г. № 37. — Ст. 3619.

Югривушш

289