И. К. Корнеев информационная безопасность и защита информации учебное пособие

Вид материала

Учебное пособие

Содержание Документ секретный Документ черновой Документальный фонд Документирование конфиденциальной информации Документооборот (документопоток) защищенный Допуск к конфиденциальной информации Доступ к информации несанкционированный Доступ к информации санкционированный Доступ к компьютеру Доступ к базам данным и файлам Доступ к машинным носителям, находящимся вне ЭВМ Дубликат документа 3 Защита информации Защита информации в публикаторской и выставочной деятельности Защита информации в службе персонала Защита информации при ведении переговоров и совещаний Защита информации при приеме посетителей Идентификация пользователя Изготовление конфиденциального документа

Подобный материал:

• Учебное пособие Томск 2009 Камышев Э. Н. Информационная безопасность и защита информации:, 2141.4kb.
• Программа обучения студентов (Syllabus) по дисциплине Информационная безопасность, 350.16kb.
• Сущность оп­ределяет в конечном ито­ге политику и деятель­ность в сфере защиты ин­формации., 362.11kb.
• Программа дисциплины «Информационная безопасность и защита информации» Направление, 280.62kb.
• Информационная безопасность специальных технических зданий при электромагнитных воздействиях, 489.59kb.
• Защита информации и информационная безопасность лекция 3 Основные направления и методы, 24.45kb.
• Методические указания к лабораторным занятиям Информационная безопасность и защита, 233.95kb.
• Информационная безопасность и защита информации, 23.76kb.
• Практикум по экологическому мониторингу окружающей среды Учебное пособие, 949.79kb.
• Учебно-методический комплекс по дисциплине Защита информации. Информационная безопасность, 244.66kb.

Документ подлинный — документ, сведения об авторе, времени и месте создания которого, содержащиеся в самом докуете или выявленные иным путем, подтверждают достоверность его происхождения. Обычно это оригинал документа, оформленный в установленном порядке и подписанный, т.е. имеющий юридическую силу.

Документ секретный — документ на любом носителе, отнесенный к информационным ресурсам ограниченного доступа и содержащий сведения, составляющие государственную тайну, которые включены в утвержденный специальный перечень таких сведений.

Документ черновой — рукописный, машинописный или электронный документ, отражающий работу автора или редактора над его текстом. Множество черновиков порождает обилие вариантов и редакций документа.

Документальный фонд — совокупность документов, образующихся в деятельности юридического или физического лица.

Документирование — запись информации на различных носителях по установленным правилам. Способы документирования: текстовое, изобразительное, в том числе техническое, фото-, кино (видео)-, фоно (аудио)- документирование, текстовое и техническое документирование с использованием печатающих устройств ЭВМ, документирование на языках общения человека с техническими средствами. Средства документирования: а) простейшие — ручки, карандаши; б) механические, электромеханические и электронные (пишущие машины, магнитофоны, диктофоны, фото-, кино-, видео- и аудиотехника, регистрирующие приборы и т.д.; в) средства автоматизированного документирования на базе компьютерной техники.

Документирование конфиденциальной информации — этап стадии исполнения конфиденциального документа. Представляет собой процесс составления документа — запечатления (фиксирования) на выбранном типе носителя его текста, содержащего конфиденциальные сведения. Конфиденциальный документ составляется при наличии серьезных объективных потребностей, а не в силу субъективного желания сотрудника фирмы. Необходимость документирования конфиденциальной информации санкционируется полномочным должностным лицом, которое берет на себя ответственность за распространение защищаемой информации (см. также Составление текста конфиденциального документа).

Документооборот — движение документов в организации с момента их создания или получения до завершения исполнения или отправки. По отношению к организационной структуре выделяется внутренний и внешний документооборот как составной элемент «жизненного цикла» документа.

Документооборот (документопоток) защищенный — контролируемое движение конфиденциальной документированной информации по регламентированным пунктам приема, обработки, рассмотрения, исполнения, использования и хранения в жестких условиях организационного и технологического обеспечения безопасности как носителя информации, так и самой информации. Принципы и направления движения конфиденциальных традиционных и электронных документов в аппарате фирмы едины при любой технологической системе обработки и хранения документов. Меняются методы работы с документами, но технологическая взаимосвязь документооборота с процессом управления сохраняется. Документооборот, как объект защиты, представляет собой упорядоченную совокупность (сеть) каналов объективного, санкционированного распространения конфиденциальной документированной информации (документов) в процессе управленческой и производственной деятельности пользователей (потребителей) этой информации. В результате увеличивается число источников, обладающих ценными сведениями и расширяются потенциальные возможности для утраты конфиденциальной информации. Защищенность документопотоков достигается за счет: формирования самостоятельных, изолированных потоков конфиденциальных документов и часто — дополнительного их разбиения на подпотоки в соответствии со степенью конфиденциальности перемещаемых документов; использования автономной технологической системы обработки и хранения конфиденциальных документов; регламентации избирательности в доставке информации разрешительной (разграничительной) системой доступа персонала к конфиденциальной информации, документам и базам данных; расчленения (дробления) информации между исполнителями в соответствии с их функциональными обязанностями (см. также Структура потоков (документопотоков) конфиденциальных документов).

Документопоток — движение документов в определенном направлении для облегчения решения управленческих задач. Могут быть: входящий (входной), исходящий (выходной) и внутренний документопотоки. Является обязательной частью любой информационной системы. Документопоток делится на технологические стадии обработки документов в процессе их движения.

Допуск к конфиденциальной информации — часть разрешительной (разграничительной) системы доступа персонала к конфиденциальной информации, представляет собой процедуру оформления права сотрудника фирмы или иного лица на доступ к информации ограниченного распространения и одновременно правовой акт согласия (разрешения) собственниками владельца информации на передачу ее для работы конкретному лицу. Наличие допуска предоставляет сотруднику формальное право работать со строго определенным кругом конфиденциальных документов, дел и баз данных. Оформление допуска всегда носит добровольный характер и отражается в приказе первого руководителя фирмы или соответствующим пунктом в контракте.

Доступ к информации несанкционированный — случайное или преднамеренное овладение конфиденциальными сведениями и возможное опасное воздействие на них лиц, не имеющих права доступа к конкретной защищаемой информации. Доступ, не санкционированный полномочным должностным лицом, считается незаконным. Случайный несанкционированный доступ к. конфиденциальной информации возникает в силу обстоятельств или в результате безответственности персонала, работающего с документами, информационными ресурсами ограниченного доступа. Лицо, случайно получившее знание конфиденциальных сведений, обычно не заинтересовано в их запоминании и использовании. Преднамеренный несанкционированный доступ к конфиденциальной информации осуществляет злоумышленник, который целенаправленно организует канал несанкционированного доступа к интересующей его информации. Злоумышленник, получивший информацию, имеет возможность совершить с ней противоправные действия, использовать в своих целях, нарушить целостность информации или ее сохранность, уничтожить носитель. Владелец информационных ресурсов обязан оповещать собственника этих ресурсов о всех фактах нарушения режима конфиденциальности информации.

Доступ к информации санкционированный — часть разрешительной (разграничительной) системы доступа персонала к конфиденциальной информации, представляет собой практическую реализацию права сотрудника на работу с подобной информацией, необходимой ему для выполнения возложенных на него функций. Доступ санкционируется полномочным должностным лицом (первым руководителем, его заместителем, руководителем подразделения, службы или направления деятельности) в отношении конкретной информации и конкретного сотрудника фирмы. Разрешение на доступ к конфиденциальным сведения (документам, делам, базам данных и т.п.) всегда является строго персонифицированным (индивидуальным) и дается полномочным руководителем только в письменном виде: резолюцией на документе, приказом, утверждающим схему именного доступа к конкретным группам информации, утвержденным руководителем списком-разрешением на обложке дела. Иерархическая последовательность доступа к информации реализуется по принципу «чем выше ценность конфиденциальных сведений, тем меньшее число сотрудников может их знать». Должностное лицо, разрешившее доступ сотрудника к конфиденциальным сведениям, несет персональную ответственность за правильность принятого решения. Аналогичным образом персональную ответственность за сохранность носителя и конфиденциальность информации несет сотрудник, получивший доступ к конкретной информации.

Доступ к компьютеру — санкционирование полномочным должностным лицом работы сотрудника с определенным составом вычислительной техники. Предусматривает: регламентацию состава сотрудников, имеющих право входа 'в помещение, в котором находится соответствующая вычислительная техника, средства связи; регламентацию временного режима нахождения этих лиц в указанных помещениях; персональное и временное протоколирование разрешения и периода работы этих лиц в иное время (вечернее, выходные дни); организацию охраны этих помещений в рабочее и нерабочее время, определение порядка снятия помещений с охраны и отключения охранных технических средств, определение порядка постановки помещений на охрану; организацию контролируемого, пропускного режима входа в указанные помещения; регламентацию действий охраны и персонала в экстремальных ситуациях; контроль вносимых и выносимых из помещения персоналом машинных и бумажных носителей информации, оборудования и личных вещей. По окончании рабочего дня конфиденциальная информация переносится на дискеты, которые сдаются в службу конфиденциальной документации. Информация на жестких дисках компьютеров стирается. Однако помещение подлежит охране, так как в неохраняемые компьютеры легко установить средства технической разведки (см. Средства несанкционированного доступа к информации) или специальными методами восстановить информацию на жестких дисках.

Доступ к базам данным и файлам — санкционирование полномочным должностным лицом работы сотрудника с определенным составом конфиденциальных сведений и файлов. Предусматривает: определение и регламентацию состава сотрудников, допускаемых к работе с определенными конфиденциальными базами данных и файлами; контроль доступа персонала администратором базы данных; фиксирование в машинной памяти имен пользователей и операторов, имеющих право доступа к базам данных и файлам; учет состава базы данных и файлов, регулярную проверку наличия, целостности и комплектности электронных документов; регистрацию (протоколирование) входа в базу данных или файл, автоматическую регистрацию имени пользователя и времени работы, сохранение первоначальной информации; регистрацию (протоколирование) попыток несанкционированного входа в базу данных или файл, регистрацию ошибочных действий пользователя, автоматическую передачу сигнала тревоги охране и автоматическое отключение компьютера; установление и бессистемное по сроку изменение имен пользователей, массивов и файлов (паролей, кодов, классификационных идентификаторов, ключевых слов); отключение ЭВМ при нарушениях в системе регулирования доступа или сбое системы защиты информации; блокирование отключенной, незагруженной ЭВМ при недлительных перерывах в работе пользователя.

Доступ к машинным носителям, находящимся вне ЭВМ — санкционирование полномочным должностным лицом работы сотрудника с определенным составом носителей информации. Предусматривает: организацию оформления, учета и выдачи сотрудникам чистых технических носителей информации; организацию ежедневной фиксируемой выдачи сотрудникам и приема от сотрудников носителей с записанной информацией (основных и резервных); регламентацию состава сотрудников, имеющих право работать с конфиденциальной информацией на компьютере и получать в службе конфиденциальной документации учтенные носители информации; организацию системы закрепления за сотрудниками технических носителей информации и контроля за сохранностью и целостностью информации, учета динамики изменения состава записанной информации; организацию порядка уничтожения информации на носителе (форматирования носителя и порядка его физического уничтожения); организацию хранения носителей в службе конфиденциальной документации в рабочее и нерабочее время, порядок эвакуации носителей в экстремальных ситуациях; определение и регламентацию состава сотрудников, не сдающих по объективным причинам машинные носители информации на хранение в службу конфиденциальной документации в конце рабочего дня, организацию особой охраны помещений и компьютеров этих сотрудников. Работа сотрудников службы конфиденциальной документации с техническими носителями информации должна быть организована по аналогии с бумажными конфиденциальными документами.

Дубликат документа - повторный экземпляр подлинника документа, имеющий юридическую силу.

Единица хранения архивных документов — учетная и классификационная единица, представляющая собой физически обособленный документ или совокупность документов, имеющих самостоятельное значение.

3

Защита информации — практическая реализация комплексной программы (концепции) информационной безопасности фирмы, жестко регламентированный и динамический технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности ценных информационных ресурсов и в конечном счете обеспечивающий достаточно надежную безопасность информации в процессе управленческой и производственной деятельности фирмы. В данном случае безопасность расценивается в качестве реального результата, достигнутого за счет функционирования выбранной системы защиты информации. Предполагается, что защита конфиденциальной информации (или защита секретов) осуществляется от различного вида угроз безопасности информации, прежде всего — несанкционированного доступа к нем злоумышленника. Защите подлежит любая документированная информация, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю или иному лицу. Защиты требует не только конфиденциальный документ. Часто обычный открытый правовой акт важно сохранить в целостности и безопасности от похитителя или стихийного бедствия.

Защита информации в публикаторской и выставочной деятельности — направление обеспечения безопасности информации, предусматривающее заблаговременный анализ и экспертизу предназначенной для широкого оглашения любой информации о деятельности фирмы и ее продукции в целях обнаружения в содержании или элементах отображения этой информации (таблицах, формулах, рисунках, фотографиях, схемах) конфиденциальных сведений или намека на наличие таких сведений. Подобная информация должна, как правило, анализироваться от противного — с точки зрения того интереса, который будет проявлен к ней конкурентами, и объема полезных сведений, извлекаемых конкурентом из ее содержания. При рекламировании потребительских достоинств и возможностей новой продукции не должна раскрываться сущность технологических новшеств, технологических секретов, за счет которых достигнуты эти достоинства. Материалы, не прошедшие экспертизу, опубликованию не подлежат. Экспертиза включает также последующий контроль всех опубликованных о фирме материалов, сообщений средств массовой информации, рекламных изданий и выставочных проспектов. Помимо этого анализируются подобные материалы других фирм для определения возможной утраты данной фирмой ценных сведений.

Защита информации в службе персонала — направление обеспечения безопасности информации фирмы в части сохранения конфиденциальности персональных данных, которые формируются в процессе документирования трудовых правоотношений сотрудников с фирмой. В состав документации, содержащей персональные данные, входят: приказы поличному составу, комплексы документов кандидатов на должность, комплексы материалов по анкетированию, тестированию кандидатов на должность, проведению собеседований (строго конфиденциальны), личные дела сотрудников, их трудовые книжки; дела, содержащие основания к приказам по личному составу, учетно-справочный аппарат (картотеки, журналы учета, базы данных), отчетные, аналитические и справочные материалы. Кроме того, конфиденциальной является организационная, распорядительная и инструктивная документация службы персонала, документы по планированию, контролю и анализу эффективности работы службы. Эта документация раскрывает технологию работы службы, распределение обязанностей среди сотрудников и другие ценные для злоумышленника сведения. Система защиты информации в службе персонала должна предусматривать: четкое распределение функций между сотрудниками, закрепление за каждым сотрудником необходимых ему для выполнения функциональных обязанностей массивов документов и информации, установление персональной ответственности этих сотрудников за сохранность носителей и конфиденциальность информации, проведение регулярных проверок наличия документов и материалов, регламентацию порядка ведения работы с посетителями и справочной работы и т.п. Не менее важно правильно организовать рабочие места сотрудников службы, перекрыть технические каналы утечки информации, организовать охрану помещения с использованием современных технических средств.

Защита информации при ведении переговоров и совещаний — направление обеспечения безопасности информации, которое распространяется в процессе этих мероприятий. К требованиям защиты относятся: заблаговременная регламентация состава участников по каждому обсуждаемому вопросу, проведение переговоров, совещаний в специально подготовленном, выделенном помещении, контроль доступа участии ков переговоров и совещаний отдельно по каждому вопросу, регламентация порядка документирования хода переговоров и совещаний, их результатов и порядка рассылки принятых документов. Первый руководитель фирмы должен установить максимально возможный состав конфиденциальных сведений, который может быть сообщен сотрудниками фирмы участникам переговоров или совещаний. Информация оглашается при условии предупреждения участников указанных мероприятий о ее конфиденциальности, а иногда — после подписания ими обязательств о сохранении ее в тайне. Участники переговоров от фирмы должны заранее выработать тактику ведения переговоров и соответствующую динамику (очередность) оглашения конфиденциальной информации, а также определить условия возникновения в этом рабочей необходимости. Целесообразно строить переговоры таким образом, чтобы сообщаемые конфиденциальные сведения всегда были минимальными по составу и объему.

Защита информации при приеме посетителей — направление обеспечения безопасности информации, предусматривающее классификацию посетителей фирмы по степени их деловых отношений с фирмой (клиенты, партнеры, представители других организационных структур, частные лица), по степени разрешенного им доступа в помещения фирмы (во все помещения, только в определенные помещения, только к определенному сотруднику, только в операционный зал), по степени разрешенного им ознакомления с информацией фирмы (только с рекламными изданиями, только с материалами, касающимися заинтересованной структуры или лица, только с материалами по определенному вопросу, только с открытыми материалами фирмы, только с конкретными конфиденциальными сведениями). Любые разрешительные действия в отношении посетителей совершаются первым руководителем фирмы, обеспечиваются и контролируются службой безопасности. При входе в служебные помещения фирмы (кроме операционного зала общего доступа) посетитель обязан предъявить документ, удостоверяющий его личность (но не визитную карточку). Ему выдается соответствующий визуальный идентификатор (пропуск), регламентирующий его права в помещениях фирмы. При выходе идентификатор должен быть сдан. Перемещение посетителя в здании фирмы осуществляется только в сопровождении полномочного сотрудника фирмы — секретаря руководителя, сотрудника, с которым посетитель обговорил заблаговременно свой визит, сотрудника службы безопасности. Факт ознакомления посетителя с любым документом фирмы фиксируется сотрудниками служб конфиденциальной или открытой документации фирмы в учетной форме этого документа; на самом документе посетитель ставит роспись ознакомления, расшифровку росписи, наименование представляемой организации и дату. При приеме частных (иногда случайных) лиц руководители и сотрудники ведут беседу не в рабочих комнатах, а в специально предназначенном для этого помещении, в присутствии секретаря или сотрудника службы безопасности.

Злоумышленник — лицо (группа лиц), предполагающее совершить или умышленно совершающее противоправные действия с целью овладения информацией, составляющей тот или иной вид тайны. К злоумышленникам относят недобросовестных конкурентов и партнеров, лиц, действующих в их интересах, профессиональных агентов, занимающихся промышленным или экомическим шпионажем, агентов, информаторов, представителей криминальных структур, отдельных преступных элементов, психически больных лиц, работника данной фирмы, сотрудничающего со злоумышленником, иных лиц, пытающихся нанести ущерб фирме, ее руководству или персоналу. Понятие злоумышленник» тесно связано, с понятием «постороннее лицо».

Идентификатор— персональное обозначение (код, шифр, имя, пропуск, персональная карточка определенного цвета с фотографией, магнитная или иная карта и т.п.), позволяющее однозначно выделить идентифицируемый объект среди других в полном множестве объектов. Используется в системах доступа.

Идентификация пользователя — отождествление лиц по их характеристикам или путем опознавания по приметам или документам в целях определение полномочий, связанных с доступом к конфиденциальной информации. Присвоение имени пользователю информационной системы, потребителю информации.

Изготовление конфиденциального документа — этап стадии исполнения конфиденциального документа. Осуществляется централизованно в службе конфиденциальной документации с санкции полномочного должностного лица, а не по инициативе исполнителя. Перед изготовлением беловика документа производится учет — присвоение единого учетного номера черновику и проекту будущего документа. Одновременно на еще не изготовленный документ заполняется комплект учетных форм. Полученный черновиком учетный номер (номер по учету подготовленных документов) будет сопровождать документ в течение его последующего «жизненного цикла». В учетной карточке отражается последовательно ход работы над проектом документа в процессе его изготовления, издания, последующего исполнения или отправки (см. Конвертование конфиденциальных документов), хранения или уничтожения. Обязательно учитываются проекты конфиденциальных электронных документов, факсов, телеграмм. Этим обеспечивается контроль службы конфиденциальной документации за сохранностью черновика, проекта, самого документа и всех материалов к нему. Изготовление документа включает в себя следующие процедуры: прием работником службы конфиденциальной документации от исполнителя черновика документа; традиционный или автоматизированный учет черновика и проекта будущего документа; печатание и выдача черновика и проекта документа исполнителю; перепечатывание отдельных листов и документа в целом; снятие копий с документа, производство выписки и изготовление дополнительных экземпляров документа; ежедневная проверка наличия у работника службы конфиденциальной документации черновиков и документов, находящихся на этапе изготовления. На последнем листе всех экземпляров отпечатанного документа на лицевой или оборотной стороне проставляются номер документа, фамилия исполнителя и номер его телефона, количество экземпляров и адресность каждого из них. Может указываться номер магнитного носителя, с которого печатался документ.