Главная: Рефераты

Рефераты. Характеристика организационных и технических мер инженерно-технической защиты информации в государст...






Запрещается относить к информации ограниченного доступа:

-                   законодательные и другие нормативные акты, устанавливающие правовой статус органов государственной власти, исполнительных органов, органов местного самоуправления, организаций, общественных объединений, а также права, свободы и обязанности граждан, порядок их реализации;

-                    документы, содержащие информацию о чрезвычайных ситуациях, экологическую, метеорологическую, демографическую, санитарно-эпидемиологическую и другую информацию, необходимую для обеспечения безопасного функционирования населенных пунктов, производственных объектов, безопасности граждан и населения в целом;

-                   документы, содержащие информацию о деятельности органов государственной власти, исполнительных органов и органов местного самоуправления, об использовании бюджетных средств и других государственных и местных ресурсов, о состоянии экономики и потребностях населения, за исключением сведений, относящихся к государственной тайне;

-                   документы, накапливаемые в открытых фондах библиотек и архивов, информационных системах органов государственной власти, исполнительных органов, органов местного самоуправления, организаций, общественных объединений, представляющие общественный интерес или необходимые для реализации прав, свобод и обязанностей граждан.

Документированная информация ограниченного доступа всегда принадлежит к одному из видов тайны - государственной или негосударственной. В соответствии с этим документы делятся на секретные и несекретные.

Обязательным признаком (критерием принадлежности) секретного документа является наличие в нем сведений, составляющих в соответствии с законодательством государственную тайну. Несекретные документы, включающие сведения, относимые к негосударственной тайне (служебной, коммерческой или предпринимательской, банковской, профессиональной, производственной и др.) или содержащие персональные данные граждан, именуются конфиденциальными.

Несмотря на то что конфиденциальность является синонимом секретности, термин широко используется исключительно для обозначения информационных ресурсов ограниченного доступа, не отнесенных к государственной тайне. Конфиденциальность отражает ограничение, которое накладывает собственник информации на доступ к ней других лиц, т. е. собственник устанавливает правовой режим этой информации в соответствии с законом. Вместе с тем в соответствии с Федеральным законом Российской Федерации от 29 июля 2004 г. «О коммерческой тайне» к конфиденциальным документам нельзя относить:

1) сведения, содержащиеся в учредительных документах юридического лица, документах, подтверждающих факт внесения записей о юридических лицах и об индивидуальных предпринимателях в соответствующие государственные реестры;

2)      сведения, содержащиеся в документах, дающих право на осуществление предпринимательской деятельности;

3)      сведения о составе имущества государственного или муниципального унитарного предприятия, государственного учреждения и об использовании ими средств соответствующих бюджетов;

4)      сведения о загрязнении окружающей среды, состоянии противопожарной безопасности, санитарно-эпидемиологической и радиационной обстановке, безопасности пищевых продуктов и других факторах, оказывающих негативное воздействие на обеспечение безопасного функционирования производственных объектов, безопасности каждого гражданина и безопасности населения в целом;

5)      сведения о численности, составе работников, системе оплаты труда, об условиях труда, в том числе об охране труда, о показателях производственного травматизма и профессиональной заболеваемости, и о наличии свободных рабочих мест;

6)      сведения о задолженности работодателей по выплате заработной платы и по иным социальным выплатам;

7)      сведения о нарушениях законодательства Российской Федерации и фактах привлечения к ответственности за совершение этих нарушений;

8)      сведения об условиях конкурсов или аукционов по приватизации объектов государственной или муниципальной собственности;

9)      сведения о размерах и структуре доходов некоммерческих организаций, о размерах и составе их имущества, об их расходах, о численности и об оплате труда их работников, об использовании безвозмездного труда граждан в деятельности некоммерческой организации;

10)     сведения о перечне лиц, имеющих право действовать без доверенности от имени юридического лица;

11)     сведения, обязательность раскрытия которых или недопустимость ограничения доступа к которым установлена иными федеральными законами.

Интеллектуально ценная информация не может существовать вне определенных предметных образований. Накопители ценных информационных ресурсов называются источниками (носителями, обладателями) информации. Они представляют собой пассивные концентраторы этой информации и включают в себя:

-                   публикации о фирме и ее разработках;

-                   рекламные издания, выставочные материалы;

-                   документацию;

-                   персонал фирмы и окружающих фирму людей;

-                   физические поля, волны, излучения, сопровождающие работу вычислительной и другой офисной техники, различных приборов и средств связи.

Источники содержат информацию как открытого, так и ограниченного доступа. Причем информация того и другого рода находится в едином информационном пространстве и разделить ее без тщательного содержательного анализа часто не представляется возможным. Например, систематизированная совокупность открытой информации в комплексе всегда содержит сведения ограниченного доступа.

Документация как источник информации ограниченного доступа включает:

-                   документацию, содержащую интеллектуально ценные, как правило, конфиденциальные сведения;

-                   комплексы обычной деловой и научно-технической документации, содержащей общеизвестные сведения, организационно-правовые и распорядительные документы;

-                   рабочие записи сотрудников, их служебные дневники, личные рабочие планы, переписку по производственным вопросам;

-                   личные архивы сотрудников фирмы.     

В каждой из указанных групп могут быть:

-                   документы на традиционных бумажных носителях (листах бумаги, ватмане, фотобумаге и т. п.);

-                   документы на технических носителях (магнитных, фотопленочных и т. п.);

-                   электронные документы, банки электронных документов, изображения документов на экране дисплея (видеограммы).

При выполнении управленческих и производственных действий любая информация источника (в том числе информация ограниченного доступа) всегда распространяется во внешней среде. Тем самым увеличивается число опасных источников разглашения или утечки информации ограниченного доступа, источников, подлежащих учету и контролю.

Каналы распространения информации носят объективный характер, отличаются активностью и включают в себя:

-                   деловые, управленческие, торговые, научные и другие коммуникативные регламентированные связи;

-                    документопотоки;

-                   информационные сети;

-                   естественные технические каналы излучения, создания фона.

Канал распространения информации представляет собой путь перемещения сведений из одного источника в другой в санкционированном (разрешенном, законном) режиме или в силу объективных закономерностей. Например: передача документа исполнителю, обсуждение важного вопроса на закрытом совещании, запись на бумаге содержания изобретения, переговоры с потенциальным партнером, работа на ЭВМ и т. д.

Следовательно, информационные ресурсы фирмы представляют собой динамичную категорию, что проявляется прежде всего в процессе документирования информации, объективном возникновении и расширении состава источников и каналов ее распространения.


2.4. Конфиденциальные документы

Под конфиденциальным (закрытым, защищаемым) документом понимается необходимым образом оформленный носитель документированной информации, содержащий сведения ограниченного доступа или использования, которые составляют интеллектуальную собственность юридического или физического лица. Конфиденциальные документы не следует называть секретными или ставить на них гриф секретности, так как конфиденциальные и секретные документы отражают различные виды тайны.

Конфиденциальные документы включают в себя:

-                   в государственных структурах: служебную информацию ограниченного распространения, именуемую в чиновничьем обиходе информацией для служебного пользования, т. е. информацией, отнесенной к служебной тайне, а также документы, имеющие рабочий характер и не подлежащие публикации в открытой печати (проекты документов, сопутствующие материалы и др.);

-                   в предпринимательских структурах и направлениях подобной деятельности: сведения, которые их собственник или владелец в соответствии с законодательством имеет право отнести к коммерческой (предпринимательской) тайне, тайне фирмы, тайне мастерства, другим видам негосударственной тайны;

-                   независимо от принадлежности: любые персональные (личные) данные о гражданах, а также сведения, содержащие профессиональную тайну, технические и технологические новшества (до их патентования), тайну предприятий связи, сферы обслуживания и т. п.

Особенностью конфиденциального документа является то, что он представляет собой одновременно:

-                   массовый носитель ценной, защищаемой информации;

-                   основной источник накопления и объективного распространения этой информации, а также ее неправомерного разглашения или утечки;

-                   обязательный объект защиты.

Конфиденциальность документов всегда имеет значительный разброс по срокам ограничения свободного доступа к ним персонала фирмы (от нескольких часов до значительного числа лет). Следует учитывать, что основная масса конфиденциальных документов после окончания их исполнения или работы с ними теряет свою ценность и конфиденциальность. Например, переписка до заключения контракта может иметь гриф конфиденциальности, но после его подписания этот гриф с письменного разрешения первого руководителя фирмы снимается.

Исполненные документы, сохранившие конфиденциальный характер и ценность для деятельности фирмы, формируются в дела в соответствии с номенклатурой дел. Период нахождения конфиденциальных документов в делах может быть кратковременным или долговременным в зависимости от ценности информации, содержащейся в документах дела. Период конфиденциальности документов определяется по указанному выше перечню конфиденциальных сведений и зависит от специфики деятельности фирмы. Например, производственные, научно-исследовательские фирмы обладают более ценными документами, чем торговые, посреднические и др.

Документы долговременного периода конфиденциальности (программы и планы развития бизнеса, технологическая документация ноу-хау, ноу-ноу, изобретения и др.) имеют усложненный вариант обработки и хранения, обеспечивающий безопасность информации и ее носителя. Документы кратковременного периода конфиденциальности, имеющие оперативное значение для деятельности фирмы,- обрабатываются и хранятся по упрощенной схеме и могут не выделяться из технологической системы обработки открытых документов при наличии в этой системе минимальных защитных, контрольных и аналитических элементов.

Следовательно, конфиденциальные документы характеризуются специфическими особенностями, которые отражают их сущность как носителей информации ограниченного доступа и определяют построение системы защиты этой информации.


2.5. Угрозы конфиденциальной информации

Все информационные ресурсы фирмы постоянно подвергаются объективным и субъективным угрозам утраты носителя или ценности информации.

Под угрозой, или опасностью, утраты информации понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление неблагоприятных возможностей внешних или внутренних источников угрозы создавать критические ситуации, события, оказывать дестабилизирующее воздействие на защищаемую информацию, документы и базы данных.

Риск угрозы дестабилизирующего воздействия любым (открытым и ограниченного доступа) информационным ресурсам создают стихийные бедствия, экстремальные ситуации, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и незаинтересованные в возникновении угрозы лица. К угрозам, создаваемым этими лицами, относятся: несанкционированное уничтожение документов, ускорение угасания (старения) текста или изображения, подмена или изъятие документов, фальсификация текста или его части и др.

Для информационных ресурсов ограниченного доступа диапазон угроз, предполагающих утрату информации (разглашение, утечку) или утерю носителя, значительно шире в результате того, что к этим документам проявляется повышенный интерес со стороны различного рода злоумышленников.

Под злоумышленником понимается лицо, действующее в интересах конкурента, противника или в личных корыстных интересах (агентов иностранных спецслужб, промышленного и экономического шпионажа, криминальных структур, отдельных преступных элементов, лиц, сотрудничающих со злоумышленником, психически больных лиц и т. п.).

В отличие от объективного распространения утрата информации влечет за собой незаконный переход конфиденциальных сведений, документов к субъекту, не имеющему права владения ими и использования в своих целях.

Основной угрозой безопасности информационных ресурсов ограниченного распространения является несанкционированный (незаконный, неразрешенный) доступ злоумышленника или постороннего лица к документированной информации и как результат - овладение информацией и противоправное ее использование или совершение иных дестабилизирующих действий.

Под посторонним лицом понимается любое лицо, не имеющее непосредственного отношения к деятельности фирмы (работники других организационных структур, работники коммунальных служб, экстремальной помощи, прохожие, посетители фирмы), а также сотрудники данной фирмы, не обладающие правом доступа в определенные помещения, к конкретному документу, информации, базе данных. Каждое из указанных лиц может быть злоумышленником или его сообщником, агентом, но может и не быть им.

Целями и результатами несанкционированного доступа может быть не только овладение ценными сведениями и их использование, но и их видоизменение, модификация, уничтожение, фальсификация, подмена и т. п.

Обязательным условием успешного осуществления попытки несанкционированного доступа к информационным ресурсам ограничейного доступа является интерес к ним со стороны конкурентов, определенных лиц, служб и организаций. При отсутствии такого интереса угроза информации не возникает даже в том случае, если создались предпосылки для ознакомления с ней постороннего лица. Основным виновником несанкционированного доступа к информационным ресурсам является, как правило, персонал, работающий с документами, информацией и базами данных. При этом надо иметь в виду, что утрата информации происходит в большинстве случаев не в результате преднамеренных действий злоумышленника, а из-за невнимательности и безответственности персонала. Следовательно, утрата информационных ресурсов ограниченного доступа может наступить при:

-                   наличии интереса конкурента, учреждений, фирм или лиц к конкретной информации;

-                    возникновении риска угрозы, организованной злоумышленником, или при случайно сложившихся обстоятельствах;

-                   наличии условий, позволяющих злоумышленнику осуществить необходимые действия и овладеть информацией.

Эти условия могут включать:

-                   отсутствие системной аналитической и контрольной работы по выявлению и изучению угроз, каналов и степени риска нарушений безопасности информационных ресурсов;

-                   неэффективную систему защиты информации или отсутствие этой системы, что образует высокую степень уязвимости информации;

-                   непрофессионально организованную технологию обработки и хранения конфиденциальных документов;

-                   неупорядоченный подбор персонала и текучесть кадров, сложный психологический климат в коллективе;

-                   отсутствие системы обучения сотрудников правилам защиты информации ограниченного доступа;

Страницы: 1, 2, 3, 4, 5, 6, 7
2012 © Все права защищены
При использовании материалов активная ссылка на источник обязательна.