И. К. Корнеев информационная безопасность и защита информации учебное пособие

Вид материала

Учебное пособие

Содержание Л Лицензирование в области защиты информации М Машинограмма—документ Методы защиты информации Методы легального получения информации Методы нелегального получения информации Н Номенклатура конфиденциальных дел Нормативно-методическое обеспечение системы защиты информации Носитель конфиденциальной документированной информации (документа) — О Обработка изданных документов Обработка поступивших документов — Обязательство о неразглашении конфиденциальных сведений Ознакомление с конфиденциальным документом Опись конфиденциальных документов дела Опись конфиденциальных документов, находящихся у исполнителя Опись конфиденциальных документов фирмы Организационный элемент системы защиты информации Ответственность персональная Оформление дел с конфиденциальными документами Оформление документа — Охрана информационных ресурсов открытого доступа — ... Полное содержание

Подобный материал:

• Учебное пособие Томск 2009 Камышев Э. Н. Информационная безопасность и защита информации:, 2141.4kb.
• Программа обучения студентов (Syllabus) по дисциплине Информационная безопасность, 350.16kb.
• Сущность оп­ределяет в конечном ито­ге политику и деятель­ность в сфере защиты ин­формации., 362.11kb.
• Программа дисциплины «Информационная безопасность и защита информации» Направление, 280.62kb.
• Информационная безопасность специальных технических зданий при электромагнитных воздействиях, 489.59kb.
• Защита информации и информационная безопасность лекция 3 Основные направления и методы, 24.45kb.
• Методические указания к лабораторным занятиям Информационная безопасность и защита, 233.95kb.
• Информационная безопасность и защита информации, 23.76kb.
• Практикум по экологическому мониторингу окружающей среды Учебное пособие, 949.79kb.
• Учебно-методический комплекс по дисциплине Защита информации. Информационная безопасность, 244.66kb.

Криптографический элемент системы защиты информации — комплекс способов и средств защиты конфиденциальной информации методами криптографии. Элемент включает: регламентацию использования различных криптографических методов в ЭВМ и локальных сетях; определение условий и методов криптографирования текста документа при передаче его по незащищенным каналам почтовой, телеграфной, телетайпной, факсимильной и электронной связи; регламентацию использования средств криптографирования переговоров по незащищенным каналам телефонной и радиосвязи; регламентацию доступа персонала в выделенные помещения с помощью идентифицирующих кодов, шифров.

Криптография — тайнопись, система разнообразных способов изменения формы отображения информации (текста, речи), позволяющих сделать содержание информации непонятным для лиц, не владеющих знанием использованного шифра. Криптографические методы представляют собой шифрование, кодирование, сжатие, расчленение (разнесение) информации. Криптография входит составной частью в понятие криптологии, в которое включается также криптоанализ — дешифрование текста или речи известным ключом или без него.

Л

Лицензирование в области защиты информации — установленное законодательством право заниматься работами по защите информации для стороннего заказчика. Предоставляется организациям, имеющим на этот вид деятельности соответствующее разрешение (лицензию). Необходимость этого лицензирования определяется тем, то собственникам конфиденциальной информации нужна доброкачественная продукция, действительно обеспечивающая защиту информации. В то же время проведение работ по защите информации в собственных нуждах приобретения лицензии не требует.

М

Машинограмма—документ, изготовленный автоматически средствами вычислительной техники (например, с помощью принтера) на бумажном носителе в человекочитаемой форме и предназначенный для оформления в установленном порядке.

Методы защиты информации — выборочно применяемые универсальные и специфические способы (приемы, меры, мероприятия) реализации элементов системы защиты информации и входящих в них содержательных частей для формирования комплексной и индивидуальной структуры данной системы. К универсальным способам можно отнести: регламентацию процесса, выделение процесса, скрытие процесса или информации, ограничение доступа к процессу или информации, дезинформацию конкурента или злоумышленника, расчленение (дробление) информации, тайны, создание физических и иных препятствий на пути злоумышленника (рубежей защиты). Специфические способы обеспечивают индивидуализацию системы в зависимости от поставленных задач защиты информации в конкретной фирме.

Методы легального получения информации — вид «невинного шпионажа», отличающийся правовой безопасностью, но предопределяющий возникновение интереса к конкурирующей фирме, необходимости обнаружения или формирования и использования каналов несанкционированного доступа к ее ценной, конфиденциальной информации. В основе реализации методов лежит кропотливая аналитическая работа специалистов-экспертов над опубликованными и общедоступными материалами конкурирующей фирмы. Одновременно исследуется продукция фирмы, рекламные издания, сведения, полученные в процессе официальных или неофициальных бесед и переговоров с сотрудниками фирмы, материалы пресс-конференций, презентаций, научных симпозиумов, сведения, получаемые из информационных сетей. Легальные методы дают злоумышленнику основную массу необходимой, интересующей его информации и формулируют задачу по добыванию нелегальными методами отсутствующих сведений.

Методы нелегального получения информации — всегда носят незаконный характер и используются в целях несанкционированного доступа к защищаемой информации, которую невозможно получить легальными методами. В основе нелегального получения информации лежит поиск злоумышленником существующих в фирме и наиболее эффективных в конкретных условиях незащищенных организационных и технических каналов несанкционированного доступа к информации, формирование таких каналов при их отсутствии и реализация плана практического комплексного использования этих каналов. Нелегальные методы предполагают: воровство, копирование, продуманный обман, подслушивание разговоров, использование болтливости, безответственности и низкого профессионализма персонала, подделку идентифицирующих документов, взяточничество, склонение к сотрудничеству, подкуп, шантаж, использование болезненного состояния сотрудника, провоцирование персонала на ошибочные действия, инсценирование или организацию экстремальных ситуаций, применение различных криминальных приемов. При использовании нелегальных методов часто образуется агентурный канал добывания ценной, конфиденциальной информации. К нелегальным методам относятся: перехват информации объективно распространяемой по техническим каналам, визуальное наблюдение за помещениями фирмы и персоналом, анализ продуктов и объектов, содержащих следы защищаемой информации, анализ архитектурных особенностей объектов защиты, анализ отходов производства, мусора, выносимого из офиса, и др.

Н

Номенклатура конфиденциальных дел — документ, предназначенный для систематизации заводимых в фирме конфиденциальных дел. Решает задачи учета формируемых дел (номенклатурного учета дел), обеспечения проверки наличия документов и дел, закрепления схемы разрешительной системы доступа сотрудников фирмы к делам, учета законченных сформированных дел (закрытых дел), учета движения, использования и уничтожения архивных документов и дел до передачи их в ведомственный архив (архив фирмы). В соответствии с этими задачами табличная часть номенклатуры имеет следующие специфические графы: гриф конфиденциальности дела, фамилия сотрудника (исполнителя), которому предоставлено право пользования делом, отметка о движении дела, отметка о проверке наличия дела.

Нормативно-методическое обеспечение системы защиты информации — комплекс документов, регламентирующих процесс функционирования системы защиты информации, сформированной в целях безопасности информации конкретной фирмы, а также регламентирующих функционирование службы безопасности этой фирмы. Включает ряд обязательных организационных, инструктивных и информационных документов, которые закрепляют принципы, требования и способы предотвращения или ограничения сферы реализации пассивных и активных угроз конфиденциальной информации. Важнейшими организационными документами являются: положение о службе безопасности, положение о службе конфиденциальной документации, должностные инструкции работников указанных служб и др. Технологические инструктивные документы представлены: перечнем сведений, составляющих тайну фирмы, инструкцией по обеспечению безопасности конфиденциальной информации, инструкцией по обработке, хранению и движению конфиденциальных документов и др. Информационные (методические, советующие, обучающие) документы — правила, требования, указания, методики, памятки и др., которые детализируют процессы защиты информации в отношении отдельных групп информации и документов, отдельных категорий сотрудников фирмы в конкретных типовых ситуациях.

Носитель конфиденциальной документированной информации (документа) — материальный объект, предназначенный для документирования (фиксирования, закрепления) и хранения на нем конфиденциальной информации в целях передачи ее во времени и пространстве. Носители могут быть традиционными бумажными или картонными: листы бумаги, ватмана, координатной бумаги, книги, тетради, журналы учета, картонные учетные карточки, неперфорированные и перфорированные бумажные ленты. Эти носители используются для нанесения на них информации рукописным, машинописным или автоматическим способами. К традиционным относятся также фотографические носители информации: фото- и кинопленка, фотобумага, слайды, микрофотопленки, фотографические фонограммы. Широкое современное и перспективное значение имеют технические магнитные носители документированной информации: магнитные ленты, диски, дискеты и др. для обеспечения работы ЭВМ, магнитные карты для идентификации личности человека, магнитные носители для видео- и аудиозаписи. В качестве носителей конфиденциальной информации используются также лазерные и иные диски, пластиковые карты и др. Носители могут быть чистыми, могут содержать черновую, первоначальную, неоформленную информацию, рабочие записи, могут иметь информацию в оформленном виде и являться документами. Чистые, оформленные носители конфиденциальной информации подлежат учету (см. Оформление и учет носителей конфиденциальной информации).

О

Обработка изданных документов — технологическая стадия, в процессе которой выполняются технологические этапы процедуры и операции по отправке документов адресатам или передаче внутренних документов для использования в управлении основной деятельностью фирмы. Осуществляется централизованно службой конфиденциальной документации в рамках традиционной или автоматизированной системы. Стадия обработки изданных документов делится на два этапа: а) этап передачи в службу конфиденциальной документации и обработки документов, предназначенных для отправки, и б) этап передачи в эту службу и обработки внутренних документов. Первый этап включает процедуры: получения от исполнителя всех экземпляров документа и материалов, возникших при его подготовке, а также инициативного документа, послужившего основанием для издания подготовленного документ та; уничтожения черновиков, вариантов и других потерявших ценность материалов; получения документа с другого вида учета (инвентарного, архивного и др.); конвертования (пакетирования) документа, оформления реестра или записи в разностной книге; внесения отметки в учетную форму документа; отправления конвертов (пакетов), телексов, факсов и др.; внесения отметки службы доставки в реестр, разносную книгу и другие формы. Второй этап включает те же процедуры, но вместо процедур подготовки к отправке и отправки выполняются процедуры: передачи документа соответствующему руководителю или исполнителю; исполнения и возвращения документа от исполнителя; передачи документа на другие виды учета.

Обработка поступивших документов — технологическая стадия, в процессе которой выполняются процедуры проверки соответствия характеристик конфиденциальных документов записям в журнале учета пакетов, проверки комплектности и целостности документов, учета поступивших документов в соответствующих учетных формах, внесения учетного номера документа в журнал учета пакетов, ежедневного контроля полноты учета всех поступивших документов, распределения конфиденциальных документов по руководителям и исполнителям. Осуществляется централизованно службой конфиденциальной документации. При распределении документы делятся на группы: а) передаваемые на резолюцию конкретным полномочным руководителям с целью принятия решения и определения состава допускаемых к документу исполнителей; б) передаваемые непосредственно руководителям подразделений или исполнителям в соответствии с утвержденной схемой доступа к документам типового содержания без резолюции руководителя (см. также Передача конфиденциальных документов руководителям и исполнителям).

Обязательство о неразглашении конфиденциальных сведений — правовой документ, добровольное письменное согласие претендента на должность, сотрудника фирмы или иного лица на ограничение его права в отношении использования конфиденциальной информации фирмы. Одновременно в обязательстве (подписке) указанные лица предупреждаются об ответственности за разглашение этой информации. Состав конфиденциальных сведений, с которыми они будут работать, сообщается только после подписания обязательства. Целесообразно, чтобы обязательство подписывали все сотрудники фирмы и лица, связанные с фирмой деловыми отношениями, в том числе не имеющие отношения к конфиденциальным сведениям, но располагающие возможностью ознакомиться с ними при исполнении служебных обязанностей. Обязательство подписывается также увольняющимся сотрудником.

Ознакомление с конфиденциальным документом — процесс информирования сотрудника фирмы или иного заинтересованного лица, осуществляемый в соответствии с резолюцией полномочного руководителя на конфиденциальном документе, о принятом им решении или решении другой организационной структуры. Процесс завершается проставлением сотрудником визы ознакомления, но может потребоваться последующее составление другого документа или повторное обращение к этому документу. Ознакомление сотрудника с документом производится службой конфиденциальной документации. Сотрудник этой службы обязан предоставить для прочтения сотруднику только ту часть документа, которая указана в резолюции руководителя. Не допускается разрешать сотруднику знакомиться с текстом документа в полном объеме или делать выписки на неучтенном носителе. В технологическом отношении ознакомление с документом представляет собой первоначальную операцию исполнения или использования конфиденциального документа.

Опись конфиденциальных документов дела — перечень конфиденциальных документов, находящихся (подшитых) в деле, служащий для контроля их сохранности и комплектности. В описи (внутренней описи) дела указываются учетные номера документов, грифы конфиденциальности, даты подписания или утверждения, виды и краткое содержание документов, номера листов дела, соответствующих расположению документов в деле. Опись подшивается в начале дела и имеет самостоятельную нумерацию листов. Опись документов должна содержаться также в личных делах сотрудников, в папках текущего хранения неисполненных документов, предшествовать электронным документам массива, магнитного носителя, вестись персонально по каждому руководителю и исполнителю, работающим с конфиденциальными документами.

Опись конфиденциальных документов, находящихся у исполнителя — перечень документов и носителей информации, выданных сотруднику фирмы для работы. Предназначена для их учета, проверки сохранности (наличия) и контроля правильности использования и хранения.

Опись конфиденциальных документов фирмы — перечень конфиденциальных документов фирмы. Ведется в некрупных фирмах, структурах малого бизнеса с небольшим количеством конфиденциальных документов, обрабатываемых в рамках существующей технологической системы, предназначенной для открытых документов, но обеспеченной минимальным составом методов защиты. Опись служит для дополнительного учета конфиденциальных документов, проверки их наличия и комплектности, своевременного снятия грифа конфиденциальности. Может иметь традиционную бумажную или электронную форму. В крупных фирмах ведется инвентарная опись законченных производством дел, картотек и журналов.

Организационный элемент системы защиты информации — комплекс направлений и методов управленческого, ограничительного и технологического характера, определяющих основы и содержание системы защиты, побуждающих персонал соблюдать правила защиты конфиденциальной информации фирмы. Организационные меры связаны с установлением режима конфиденциальности в фирме. Элемент включает в себя: формирование и регламентацию деятельности службы безопасности и службы конфиденциальной документации, организацию составления и регулярного обновления перечней конфиденциальной информации и документации фирмы; регламентацию разрешительной системы доступа персонала к конфиденциальной информации; регламентацию направлений и методов работы с персоналом, контроля соблюдения им правил зашиты информации; регламентацию технологической системы обработки и хранения конфиденциальных документов, ведение всех видов аналитической работы; регламентацию системы охраны фирмы и порядка приобретения, установки и эксплуатации инженерно-технических средств защиты информации и охраны; регламентацию действий персонала в экстремальных ситуациях и др. Организационная защита является стержнем, который связывает в единую систему все другие элементы.

Оригинал документа — первоначальный, единственный, уникальный документ. Может быть черновым и беловым документом и подлинником.

Ответственность персональная — одно из главных требований к организации функционирования системы защиты информации и обязательное условие обеспечения эффективности этой системы. Предусматривается, что полномочный руководитель, разрешающий доступ сотрудника к конфиденциальному документу, несет персональную ответственность заданное разрешение. В свою очередь, каждый сотрудник фирмы (в том числе работник службы конфиденциальной документации), получающий для работы конфиденциальный документ, несет аналогичную ответственность сохранность носителя и конфиденциальность информации.

Оформление дел с конфиденциальными документами — комплекс технологических процедур обработки исполненных документов. Имеет отличительные особенности по сравнению с идентичной работой по оформлению дел с открытыми документами. Процедура оформления дела при его заведении дополнительно включает: указание на обложке дела грифа конфиденциальности и состава допущенных к делу исполнителей, оформление карточки учета разрешений и выдачи дела, подшивку вдело чистых бланков внутренней описи документов. Особенностями процедуры оформления дела при его формировании являются: внесение данных о подшиваемом документе во внутреннюю опись, нумерация листов документа в деле, прошнуровывание листов, внесение отметки о включении документа в дело в учетную форму документа. Процедура оформления дела при его закрытии в целом идентична процедуре подготовки открытых дел о сдаче в архив, но дополнительно выполняются следующие операции: опечатывание на заверительном листе концов шнурка, внесение дела в инвентарную опись законченных производством дел, картотек и журналов.

Оформление документа — проставление реквизитов, установленных правилами документирования.

Оформление и учет носителей конфиденциальной информации — этап стадии исполнения конфиденциального документа. Осуществляется заблаговременно, т.е. до начала составления документа. Назначение учета носителей (документов предварительного учета) состоит в том, чтобы обеспечить безопасность информации, контроль ее сохранности не только в подлиннике, но и во всех черновых материалах, вариантах и редакциях документа, отдельных записях. Основными задачами учета являются следующие: закрепление факта присвоения носителю (например, обычным листам бумаги, тетради, блокноту, дискете и т.п.) степени конфиденциальности; присвоение носителю учетного номера и включение его в справочно-информационный банк для обеспечения контроля за использованием носителя и проверки его наличия; документирование фактов перемещения носителя между сотрудниками фирмы, закрепления персональной ответственности за его сохранность; контроль за работой исполнителя над документом и своевременным уничтожением носителя или его частей, потерявших практическое значение. В предпринимательских структурах предварительный учет бумажных носителей информации, как правило, не производится. Не ставятся на учет носители информации, предназначенные для составления документов, которые относятся к служебной и профессиональной тайне. Однако магнитные носители везде и в обязательном порядке ставятся на инвентарный (перечневый) учет, т.е. включаются в инвентарную опись и маркируются. Предварительный учет носителей целесообразен на уровне руководства фирмы, где концентрируется действительно ценная информация, обычно с грифом «Строго конфиденциально», а также при документировании технических и технологических новшеств.

Охрана информационных ресурсов открытого доступа — обеспечение безопасности ценной информации, являющейся интеллектуальной собственностью юридического или физического лица. Осуществляется нормами патентного, авторского и смежных прав, торговыми правилами и обычаями, а также использованием товарного знака, торговой марки, знака обслуживания, эмблемы предприятия.

П

Передача конфиденциальных документов руководителям и исполнителям — усложненный по сравнению с аналогичной стадией обработки открытых документов комплекс процедур, выполняемый службой конфиденциальной документации и предусматривающий как оперативное доведение документа до исполнителя, так и соблюдение действующей в фирме разрешительной системы доступа персонала к конфиденциальным документам, которая лежит в основе избирательности в доставке документированной информации руководителям и исполнителям, и порядка возложения или снятия с них персональной ответственности за документ. Следует учитывать, что пользователь (потребитель) конфиденциальной информации руководствуется указаниями руководителя при определении, какая информация ему нужна и какой информацией Он может пользоваться. Передача документов сопровождается выполнением следующих процедур: оформление в учетной форме факта передачи; рассмотрение документа руководителем; оформление и передача документа исполнителю или на другой участок службы конфиденциальной документации (см. также Обработка поступивших документов; Работа службы конфиденциальной документации с исполнителями). Передача документов между руководителями и исполнителями осуществляется только через службу конфиденциальной документации с обязательным фиксированием динамики изменения местонахождения документа. Передача документов руководителям без росписи или через секретарей, референтов, помощников не допускается.

Перечень конфиденциальных документов — систематизированный список Получаемых и издаваемых конфиденциальных документов фирмы, составляется ,на основе перечня конфиденциальных сведений. Предназначен для регламентации рационального состава конфиденциальных документов и их основных характеристик, в частности уровня грифа конфиденциальности сведений, состава сотрудников, допущенных к документу, минимально необходимого объема конфиденциальных сведений, включаемых в документ, сроков конфиденциальности документа и др. Перечень регулярно изменяется и дополняется в соответствии с исправлениями, вносимыми в перечень конфиденциальных сведений фирмы.

Перечень конфиденциальных сведений — классифицированный список типовой и конкретной ценной информации о проводимых работах, производимой продукции, научных и деловых идеях, технологических новшествах. Форма отнесения информации фирмы к категории защищаемой. В основе перечня обычно лежит типовой состав ценных сведений фирм данного профиля. Наличие перечня — одно из главных условий эффективного функционирования системы защиты информации. Перечень формируется индивидуально каждой фирмой в соответствий с рекомендациями специальной комиссии и утверждается первым руководителем фирмы. Перечень — это многоцелевой документ, предназначенный для: выделения конфиденциальных документов из общего потока документов, реализации разрешительной системы доступа персонала к конфиденциальным сведениям и документам, использования в качестве доказательства в суде при рассмотрении дел о краже ценной информации. При составлении перечня производится расчленение (дробление) тайны фирмы на отдельные информационные элементы, известные разным лицам. Одновременно в перечне регламентируется срок конфиденциальности сведений, уровень грифа конфиденциальности и состав сотрудников, которым дано право пользоваться этими сведениями. Перечень является рабочим инструментом и должен постоянно обновляться и корректироваться в соответствии с динамикой изменений в деятельности фирмы. На основе перечни может составляться перечень конфиденциальных документов фирмы.