Информационная безопасность. Курс лекций
Шрифт:
Документ подлинный – документ, сведения об авторе, времени и месте создания которого, содержащиеся в самом докуете или выявленные иным путем, подтверждают достоверность его происхождения. Обычно это оригинал документа, оформленный в установленном порядке и подписанный, т. е. имеющий юридическую силу.
Документ секретный – документ на любом носителе, отнесенный к информационным ресурсам ограниченного доступа и содержащий сведения, составляющие государственную тайну, которые включены в утвержденный специальный перечень таких сведений.
Документ черновой – рукописный, машинописный или электронный документ, отражающий работу автора или редактора над его текстом. Множество черновиков порождает обилие вариантов и редакций документа.
Документальный фонд – совокупность документов, образующихся в деятельности юридического или физического лица.
Документирование – запись информации на различных носителях по установленным правилам. Способы документирования: текстовое, изобразительное, в том числе техническое, фото-, кино (видео)-, фоно (аудио) –
б) механические, электромеханические и электронные (пишущие машины, магнитофоны, диктофоны, фото-, кино-, видео– и
аудиотехника, регистрирующие приборы и т. д.; в) средства автоматизированного документирования на базе компьютерной техники.
Документирование конфиденциальной информации – этап стадии исполнения конфиденциального документа. Представляет собой процесс составления документа – запечатления (фиксирования) на выбранном типе носителя его текста, содержащего конфиденциальные сведения. Конфиденциальный документ составляется при наличии серьезных объективных потребностей, а не в силу субъективного желания сотрудника фирмы. Необходимость документирования конфиденциальной информации санкционируется полномочным должностным лицом, которое берет на себя ответственность за распространение защищаемой информации (см. также Составление текста конфиденциального документа).
Документооборот – движение документов в организации с момента их создания или получения до завершения исполнения или отправки. По отношению к организационной структуре выделяется внутренний и внешний документооборот как составной элемент «жизненного цикла» документа.
Документооборот (документопоток) защищенный – контролируемое движение конфиденциальной документированной информации по регламентированным пунктам приема, обработки, рассмотрения, исполнения, использования и хранения в жестких условиях организационного и технологического обеспечения безопасности как носителя информации, так и самой информации. Принципы и направления движения конфиденциальных традиционных и электронных документов в аппарате фирмы едины при любой технологической системе обработки и хранения документов. Меняются методы работы с документами, но технологическая взаимосвязь документооборота с процессом управления сохраняется. Документооборот, как объект защиты, представляет собой упорядоченную совокупность (сеть) каналов объективного, санкционированного распространения конфиденциальной документированной информации (документов)» процессе управленческой и производственной деятельности пользователей (потребителей) этой информации. В результате увеличивается число источников, обладающих ценными сведениями и расширяются потенциальные возможности для утраты конфиденциальной информации. Защищенность документопотоков достигается за счет: формирования самостоятельных, изолированных потоков конфиденциальных документов и часто – дополнительного их разбиения на подпотоки в соответствии со степенью конфиденциальности перемещаемых документов; использования автономной технологической системы обработки и хранения конфиденциальных документов; регламентации избирательности в доставке информации разрешительной (разграничительной) системой доступа персонала к конфиденциальной информации, документам и базам данных; расчленения (дробления) информации между исполнителями в соответствии с их функциональными обязанностями (см. также Структура потоков (документопотоков) конфиденциальных документов).
Документопоток – движение документов в определенном направлении для облегчения решения управленческих задач. Могут быть: входящий (входной), исходящий (выходной) и внутренний документопотоки. Является обязательной частью любой информационной системы. Документопоток делится на технологические стадии обработки документов в процессе их движения.
Допуск к конфиденциальной информации – чисть разрешительной (разграничительной) системы доступа персонала к конфиденциальной информации, представляет собой процедуру оформления права сотрудника фирмы или иного лица на доступ к информации ограниченного распространения и одновременно правовой акт согласия (разрешения) собственника или владельца информации на передачу ее для работы конкретному лицу. Наличие допуска предоставляет сотруднику формальное право работать со строго определенным кругом конфиденциальных документов, цел и баз данных. Оформление допуска всегда носит добровольный характер и отражается в приказе первого руководителя фирмы или соответствующим пунктом в контракте.
Доступ к информации несанкционированный – случайное или преднамеренное овладение конфиденциальными сведениями и возможное опасное воздействие на них лиц, не имеющих права доступа к конкретной защищаемой информации. Доступ, не санкционированный полномочным должностным лицом, считается незаконным. Случайный несанкционированный доступ к конфиденциальной информации возникает в силу обстоятельств или в результате безответственности персонала, работающего с документами, информационными ресурсами ограниченного доступа. Лицо, случайно получившее знание конфиденциальных сведений, обычно не заинтересовано в их запоминании и использовании. Преднамеренный несанкционированный доступ к конфиденциальной информации осуществляет злоумышленник, который целенаправленно организует канал несанкционированного доступа к интересующей его информации. Злоумышленник, получивший информацию, имеет возможность совершить с.
Доступ к информации санкционированный – часть разрешительной (разграничительной) системы доступа персонала к конфиденциальной информации, представляет собой практическую реализацию права сотрудника на работу с подобной информацией, необходимой ему для выполнения возложенных на него функций. Доступ санкционируется полномочным должностным лицом (первым руководителем, его заместителем, руководителем подразделения, службы или направления деятельности) в отношении конкретной информации и конкретного сотрудника фирмы. Разрешение на доступ к конфиденциальным сведения (документам, делам, базам данных и т. п.) всегда является строго персонифицированным (индивидуальным) и дается полномочным руководителем только в письменном виде: резолюцией на документе, приказом, утверждающим схему именного доступа к конкретным группам информации, утвержденным руководителем списком-разрешением на обложке дела. Иерархическая последовательность доступа к информации реализуется по принципу «чем выше ценность конфиденциальных сведений, тем меньшее число сотрудников может их знать». Должностное лицо, разрешившее доступ сотрудника к конфиденциальным сведениям, несет персональную ответственность за правильность принятого решения. Аналогичным образом персональную ответственность за сохранность носителя и конфиденциальность информации несет сотрудник, получивший доступ к конкретной информации.
Доступ к компьютеру — санкционирование полномочным должностным лицом работы сотрудника с определенным составом вычислительной техники. Предусматривает: регламентацию состава сотрудников, имеющих право входа в помещение, в котором находится соответствующая вычислительная техника, средства связи; регламентацию временного режима нахождения этих. лиц в указанных помещениях; персональное и временное протоколирование разрешения и периода работы этих лиц в иное время (вечернее, выходные дни); организацию охраны этих помещений в рабочее и нерабочее время, определение порядка снятия помещений с охраны и отключения охранных технических средств, определение порядка постановки помещений на охрану; организацию контролируемого, пропускного режима входа в указанные помещения; регламентацию действий охраны и персонала и экстремальных ситуациях; контроль вносимых и выносимых из помещения персоналом машинных и бумажных носителей информации, оборудования и личных вещей. По окончании рабочего дня конфиденциальная информация переносится на дискеты, которые сдаются в службу конфиденциальной документации. Информация на жестких дисках компьютеров стирается. Однако помещение подлежит охране, так как в неохраняемые компьютеры легко установить средства технической разведки (см. Средства несанкционированного доступа к информации) или специальными методами восстановить информацию на жестких дисках.
Доступ к базам данным и файлам – санкционирование полномочным должностным лицом работы сотрудника с определенным составом конфиденциальных сведений и файлов. Предусматривает: определение и регламентацию состава сотрудников, допускаемых к работе с определенными конфиденциальными базами данных и файлами; контроль доступа персонала администратором базы данных; фиксирование в машинной памяти имен пользователей и операторов, имеющих право доступа к базам данных и файлам; учет состава базы данных и файлов, регулярную проверку наличия, целостности и комплектности электронных документов; регистрацию (протоколирование) входа в базу данных или файл, автоматическую регистрацию имени пользователя и времени работы, сохранение первоначальной информации; регистрацию (протоколирование) попыток несанкционированного входа в базу данных или файл, регистрацию ошибочных действий пользователя, автоматическую передачу сигнала тревоги охране и автоматическое отключение компьютера; установление и бессистемное по сроку изменение имен пользователей, массивов и файлов (паролей, кодов, классификационных идентификаторов, ключевых слов); отключение ЭВМ при нарушениях в системе регулирования доступа или сбое системы защиты информации; блокирование отключенной, но загруженной ЭВМ при недлительных перерывах в работе пользователя.
Доступ к машинным носителям, находящимся вне ЭВМ – санкционирование полномочным должностным лицом работы сотрудника с определенным составом носителей информации. Предусматривает: организацию оформления, учета и выдачи сотрудникам чистых технических носителей информации; организацию ежедневной фиксируемой выдачи сотрудникам и приема от сотрудников носителей с записанной информацией (основных и резервных); регламентацию состава сотрудников, имеющих право работать с конфиденциальной информацией на компьютере и получать в службе конфиденциальной документации учтенные носители информации; организацию системы закрепления за сотрудниками технических носителей информации и контроля за сохранностью и целостностью информации, учета динамики изменения состава записанной информации; организацию порядка уничтожения информации на носителе (форматирования носителя и порядка его физического уничтожения); организацию хранения носителей в службе конфиденциальной документации в рабочее и нерабочее время, порядок эвакуации носителей в экстремальных ситуациях; определение и регламентацию состава сотрудников, не сдающих по объективным причинам машинные носители информации на хранение в службу конфиденциальной документации в конце рабочего дня, организацию особой охраны помещений» компьютеров этих сотрудников. Работа сотрудников службы конфиденциальной документации с техническими носителями информации должна быть организована по аналогии с бумажными конфиденциальными документами.