Информационная безопасность. Курс лекций
Шрифт:
• лиц, не включенных в штат сотрудников, но входящих в качестве членов в коллективный орган управления деятельностью фирмы (акционеры, члены различных советов и др.);
• представителей государственных учреждений и организаций, с которыми фирма сотрудничает в соответствии с законом (работники различных инспекций, муниципальных органов управления, правоохранительных органов и др.);
• сотрудничающих с фирмой физических лиц и представителей предприятий и организаций, банков, рекламных агентств, торговых представительств, средств массовой информации (клиенты, партнеры, коммерсанты, инвесторы, спонсоры, журналисты и др.);
• представителей иных государственных и негосударственных структур, с которыми фирма не имеет деловых отношений;
• частных лиц.
Постороннее лицо – любое лицо, не имеющее непосредственного отношения к деятельности фирмы (работники коммунальных службы, экстремальной помощи, прохожие и др.), посетители фирмы, работники
Право информационное – совокупность законодательных информационно-правовых норм, регулирующих общественные отношения в информационной сфере и являющихся гарантированным инструментом охраны интеллектуальной информационной собственности (информационного продукта) юридических и физических лиц.
Правовой элемент системы защиты информации – юридическое закрепление взаимоотношений фирмы и государства по поводу правомерности использования системы защиты информации, фирмы и персонала по поводу обязанности персонала соблюдать установленные собственником информации ограничительные и технологические меры защитного характера, а также ответственности персонала за нарушение порядка защиты информации. Правовой элемент включает: наличие в организационных документах фирмы, правилах внутреннего трудового распорядка, контрактах, заключаемых с сотрудниками, в должностных и рабочих инструкциях положений и обязательств по защите конфиденциальной информации; формулирование и доведение до сведения всех сотрудников фирмы положения о правовой ответственности за разглашение конфиденциальной информации, несанкционированное уничтожение или фальсификацию документов; разъяснение лицам, принимаемым на работу, положения о добровольности принимаемых ими на себя ограничений, связанных с выполнением обязанностей по защите информации.
Предписание – документ, предъявляемый командированным в фирму лицом. В документе указываются цель командирования и подлежащие выполнению задания, требующие ознакомления с определенным составом конфиденциальной информации и документов. Предписание составляется на бланке организации, командирующей данное лицо, подписывается первым руководителем и заверяется печатью этой организации. Разрешение на доступ командированного лица к конкретным конфиденциальным документам, делам и базам данных санкционирует первый руководитель фирмы в резолюции на предписании. Ознакомление командированного лица с конфиденциальными сведениями должно происходить в присутствии сотрудника фирмы, назначенного в резолюции ответственным за работу командированного лица. Возможность командирования, его цели и фамилия командируемого лица, как правило, заранее согласовываются первыми руководителями фирм, организаций.
Проверка наличия документов, дел и носителей информации — установление реального соответствия имеющихся в наличии конфиденциальных документов, дел и носителей записям в учетных формах, их сохранности, целостности и комплектности, а также своевременное выявление фактов утраты конфиденциальных материалов и определение правильности выполнения процедур и операций по учету, хранению, исполнению и использованию этих материалов. Входе проверки рассматриваются вопросы снятия с документов грифа конфиденциальности. Проверки могут быть регламентированными (периодическими) и нерёгламентированными. Регламентированные проверки проводятся ежедневно (самопроверки исполнителей, проверки вторым сотрудником службы конфиденциальной документации), ежеквартально и по окончании календарного года. Квартальные и годовые проверки наличия проводятся специально назначаемой комиссией. Нерегламентированные проверки осуществляются при смене руководителей подразделений и направлений деятельности, увольнении сотрудников, по завершении экстремальной ситуации, выявлении факта возможной утраты носителя или разглашения информации.
Программно-аппаратный элемент системы защиты информации – комплекс специальных методов и средств защиты информации в автоматизированных системах и сетях. Элемент включает: автономные программы, обеспечивающие защиту информации и контроль защищенности информации; программы защиты информации, работающие в комплексе с программами обработки информации; программы защиты информации, работающие в комплексе с техническими (аппаратными) устройствами защиты информации (прерывающими работу ЭВМ при нарушении системы доступа, стирающими данные при несанкционированном
Противодействие злоумышленнику – целенаправленное создание неблагоприятных условий и трудно преодолимых препятствий (рубежей) для лица, пытающегося совершить несанкционированный доступ и овладение конфиденциальной информацией фирмы. Может быть пассивным и активным. При пассивном противодействии система защиты информации функционирует в обычном режиме, ведется плановая аналитическая и контрольная работа с источниками и каналами распространения информации, организационными и техническими каналами возможного несанкционированного доступа к конфиденциальной информации. Активное противодействие предполагает подключение дополнительных организационных и технических методов защиты информации (например, закрытие доступа к определенным категориям информации, организацию усиленной охраны здания и помещений, ограничение деловых связей фирмы и др.).
Р
Работа персонала с конфиденциальным документом – комплекс требований по соблюдению руководителями всех рангов и сотрудниками фирмы специальных ограничительных и технологических норм, предупреждающих утрату документа, носителя, дела или утрату конфиденциальности информации и в определенной степени гарантирующих информационную безопасность фирмы. Требования предусматривают: наличие у сотрудника оборудованного необходимым образом рабочего места, строгое соблюдение им разрешительной системы доступа к конфиденциальным документам, носителям и делам, учет во внутренней описи всех конфиденциальных материалов, находящихся у руководителя или исполнителя, правильное хранение документов на рабочем месте, своевременную, ежедневную сдачу документов в службу конфиденциальной документации, строгое исполнение запретительных пунктов соответствующей инструкции, немедленное информирование руководства фирмы об утрате документа или разглашении информации. На рабочем столе любого сотрудника фирмы всегда должен быть только тот документ и материалы к нему, с которыми он работает. Другие документы должны находиться в запертом сейфе (металлическом шкафу).
Работа с персоналом, обладающим конфиденциальной информацией – комплекс мер предупредительного, профилактического, текущего характера, предназначенных для приобретения персоналом устойчивых знаний и навыков выполнения действующих правил защиты информации, а также для контроля за соблюдение персоналом требований обеспечения информационной безопасности фирмы. Включает в себя: обучение и систематическое инструктирование сотрудников, проведение регулярной индивидуальной воспитательной работы с персоналом, работающим с конфиденциальными сведениями и документами, постоянный контроль за работой этих сотрудников, аналитическую работу по изучению и учету степени осведомленности персонала в области конфиденциальных работ фирмы, проведение служебных расследований по фактам утраты конфиденциальных документов, нарушения персоналом требований по защите информации, совершенствование методики текущей работы с персоналом.
Работа службы конфиденциальной документации с исполнителями – ежедневная выдача и прием от исполнителя конфиденциального документа (комплекта документов или опечатанного кейса с документами), контроль за работой исполнителя с конфиденциальными документами. При выдаче документа проверяется в присутствии исполнителя: наличие разрешения на доступ данного сотрудника к конкретному документу (в резолюции, схеме доступа и др.), комплектность документа и физическая сохранность всех его частей. После проверки исполнитель расписывается в учетной карточке или карточке учета выдачи документа и вносит сведения о документе во внутреннюю опись документов, находящихся у исполнителя. Работник, службы конфиденциальной документации вносит отметку в контрольный журнал о местонахождении документа (см. Учет местонахождения документа). При приеме документа от исполнителя проверяется: соответствие реквизитов документа данным, указанным в его учетной форме, комплектность документа, количество листов (перелистыванием), отсутствие подмены или порчи листов и других частей документа. Роспись сотрудника службы конфиденциальной документации в приеме документа ставится только после проведения указанной проверки.