Теория и методология защиты информации в управлении федеральной службы государственной регистрации, кадастра и картографии по Челябинск

   3. Материальные потоки (транспортировка спецгрузов, спецпочты).

   4. Технические каналы.

   5. Канал «внешние  окна» (обзор внутренней  территории или  помещений визуально  или с помощью  оптических средств).

   6. Людские потоки:

• прием и увольнение работников;
• посещение предприятия командированными лицами;
• нарушения при ведении секретных работ;
• нарушение требований разрешительной системы;
• выезд специалистов предприятия за границу;
• нарушение пропускного и внутриобъектового режима;
• неправильная организация прохождения практики студентов;
• посещение выставок сотрудниками предприятий;
• обучение на курсах повышения квалификации.

   Другие  авторы считают, что к каналам  несанкционированного доступа к  информации относятся:

• установление контакта с лицами, имеющими или имевшими доступ к конфиденциальной информации;
• вербовка и (или) внедрение агентов;
• организация физического проникновения к носителям конфиденциальной информации;
• организация физического проникновения к средствам отображения (фиксации), хранения, обработки, воспроизведения, передачи информации, средствам связи, а также к системам обеспечения функционирования названных средств;
• подключение к средствам отображения, хранения, обработки, воспроизведения и передачи информации, средствам связи;
• подключение к системам обеспечения функционирования перечисленных в предыдущем пункте средств;
• прослушивание речевой конфиденциальной информации;
• визуальный съем конфиденциальной информации;
• перехват электромагнитных излучений;
• замеры и взятие проб окружающей объект среды;
• исследование выпускаемой продукции, производственных отходов и отходов процессов обработки информации;
• изучение доступных источников информации;
• анализ архитектурных особенностей некоторых категорий объектов.[2, C. 220-221]

     Наиболее вероятно использование следующих способов добывания информации [7]:

• визуальное наблюдение;
• подслушивание;
• техническое наблюдение;
• прямой опрос, выведывание;
• ознакомление с материалами, документами, изделиями и т.д.;
• сбор открытых документов и других источников информации;
• хищение документов и других источников информации;
• изучение множества источников информации, содержащих по частям необходимые сведения.

8. Основные  направления, методы и средства защиты информации на предприятии.

   Направления защиты информации

   Правовая  защита – специальные правовые правила, процедуры и мероприятия, создаваемые в целях обеспечения информационной безопасности предприятия.

   К правовым мерам, регулирующим вопросы защиты конфиденциальной информации относятся:

1. законодательные акты государства, регламентирующие деятельность предприятий в области защиты различных видов тайн, определяющие объем их прав и обязанностей в области защиты:

• Федеральный закон от 27.07.2006 N 149-ФЗ (ред. от 27.07.2010) "Об информации, информационных технологиях и о защите информации";

• Федеральный закон «О персональных данных» №152 ФЗ от 27.07.06г.;
• "Трудовой кодекс Российской Федерации" от 30.12.2001 N 197-ФЗ (принят ГД ФС РФ 21.12.2001) (ред. от 29.12.2010) (с изм. и доп., вступающими в силу с 07.01.2011) Глава 14;
• Положение «О порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти». Утверждено постановлением Правительства Российской Федерации от 3 ноября 1994 г. № 1233;
• Федеральный закон от 09.02.2009 N 8-ФЗ "Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления" (принят ГД ФС РФ 21.01.2009);
• Закон Российской Федерации от 21.07.1993 N 5485-1 (ред. от 18.07.2009) "О государственной тайне";
• Постановление Правительства Российской Федерации от 15.04.1995 N 333 (ред. от 24.09.2010) "О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны";
• Постановление Правительства Российской Федерации от 06.02.2010 N 63 "Об утверждении Инструкции о порядке допуска должностных лиц и граждан Российской Федерации к государственной тайне".
• Постановление Правительства Российской Федерации от 15.09.2008 № 687 "Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";
• Постановление Правительства Российской Федерации от 17.11.2007 № 781 "Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных";

2. нормативно-правовые документы, регламентирующие организацию, порядок и правила защиты конфиденциальной информации на предприятии:

• правила внутреннего трудового распорядка, в которые также могут быть включены статьи, обязывающие всех работников защищать интересы предприятия, его информацию, в том числе защищать и различные виды тайн;
• инструкция, определяющая организацию, порядок и правила защиты тайны на предприятии. Могут быть подготовлены различные положения, регламентирующие права и деятельность различных подразделений этого предприятия, например, службы защиты информации предприятия;
• документы, типа перечня, реестра и т.п., определяющие категории сведений, которые отнесены к конфиденциальной информации предприятия. В этих перечнях следует также указывать сроки засекречивания информации и уровень ее защиты.

   Организационная защита – регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, использующей нанесение ущерба. Организационную защиту обеспечивает:

• Организация режима охраны, работы с кадрами, документами;
• Использование технических средств безопасности;
• Использование информационно-аналитической работы по выявлению угроз.

   Организационная защита информации является организационным  началом, так называемым «ядром»  в общей системе защиты конфиденциальной информации предприятия. От полноты  и качества решения руководством предприятия и должностными лицами организационных задач зависит эффективность функционирования системы защиты информации в целом. Роль и место организационной защиты информации в общей системе мер, направленных на защиту конфиденциальной информации предприятия, определяются исключительной важностью принятия руководством своевременных и верных управленческих решений с учетом имеющихся в его распоряжении сил, средств, методов и способов защиты информации и на основе действующего нормативно-методического аппарата.[4]

   Инженерно-техническая  защита – использование различных технических средств для обеспечения защиты конфиденциальной информации.

   По  функциональному назначению средства инженерно-технической защиты делятся  на следующие группы:

• физические средства, включающие различные средства и сооружения, препятствующие физическому проникновению (или доступу) злоумышленников на объекты защиты и к материальным носителям конфиденциальной информации и осуществляющие защиту персонала, материальных средств, финансов и информации от противоправных воздействий;
• аппаратные средства. Сюда входят приборы, устройства, приспособления и другие технические решения, используемые в интересах защиты информации. Основная задача аппаратных средств — обеспечение стойкой защиты информации от разглашения, утечки и несанкционированного доступа через технические средства обеспечения производственной деятельности;
• программные средства, охватывающие специальные программы, программные комплексы и системы защиты информации в информационных системах различного назначения и средствах обработки (сбора, накопления, хранения, обработки и пере дачи) данных;
• криптографические средства — это специальные математические и алгоритмические средства защиты информации, передаваемой по системам и сетям связи, хранимой и обрабатываемой на ЭВМ с использованием разнообразных методов шифрования.

   Аппаратные  средства и методы защиты распространены достаточно широко. Однако из-за того, что они не обладают достаточной  гибкостью, часто теряют свои защитные свойства при раскрытии их принципов  действия и в дальнейшем не могут  быть используемы.

   Программные средства и методы защиты надежны  и период их гарантированного использования без перепрограммирования значительно больше, чем аппаратных.

   Криптографические методы занимают важное место и выступают  надежным средством обеспечения  защиты информации на длительные периоды.

   Такое деление средств защиты информации достаточно условно, так как на практике очень часто они взаимодействуют  и реализуются в комплексе  в виде программно — аппаратных модулей с широким использованием алгоритмов закрытия информации.[3]

   Методы защиты информации

   Метод – в самом общем значении это способ достижения цели, определенным образом упорядоченная деятельность.

   Основными методами, используемыми в защите информации в адвокатской конторе, являются следующие: скрытие, ранжирование, морально-нравственные методы и учет.

   Скрытие – как метод защиты информации является реализацией максимального ограничения числа лиц, допускаемых к секретам. Реализация этого метода достигается обычно путем засекречивания информации, то есть отнесение ее к секретной или конфиденциальной информации различной степени секретности и ограничение в связи с этим доступа к этой информации в зависимости от ее важности для собственника, что проявляется в проставляемом на носителе этой информации грифе секретности; устранения или ослабления технических демаскирующих признаков объектов защиты и технических каналов утечки сведений о них.

   Ранжирование как метод защиты информации включает, во-первых, деление засекречиваемой информации по степени секретности, и, во-вторых, регламентацию допуска и разграничение доступа к защищаемой информации: предоставление индивидуальных прав отдельным пользователям на доступ к необходимой им конкретной информации и на выполнение отдельных операций. Разграничение доступа к информации может осуществляться по тематическому признаку или по признаку секретности информации и определяется матрицей доступа. Т.е. пользователь не допускается к информации, которая ему не нужна для выполнения его служебных функций, и тем самым эта информация скрывается от него и всех остальных (посторонних) лиц.

   Морально-нравственные методы защиты информации предполагают, прежде всего, воспитание сотрудника, допущенного к секретам, то есть проведение специальной работы, направленной на формирование у него системы определенных качеств, взглядов и убеждений (понимания важности и полезности защиты информации и для него лично), и обучение сотрудника, осведомленного в сведениях, составляющих охраняемую тайну, правилам и методам защиты информации, привитие ему навыков работы с носителями секретной и конфиденциальной информации.

   Учет  обеспечивает возможность получения в любое время данных о любом носителе защищаемой информации, о количестве и местонахождении всех носителей засекреченной информации, а также данные обо всех пользователях этой информации.

   Принципы  учета засекреченной информации:

• обязательность регистрации всех носителей защищаемой информации;
• однократность регистрации конкретного носителя такой информации;
• указание в учетах адреса, где находится в данное время данный носитель засекреченной информации (в СБ, у исполнителя и т.д.);
• единоличная ответственность за сохранность каждого носителя защищаемой информации и отражение в учетах пользователя данной информации в настоящее время, а также всех предыдущих пользователей данной информации.[2, C. 270-273]

   Средства  защиты информации

   Средства  защиты информации – это совокупность инженерно-технических, электрических, электронных, оптических и других устройств и приспособлений, приборов и технических систем, а также иных вещных элементов, используемых для решения различных задач по защите информации, в том числе предупреждения утечки и обеспечения безопасности защищаемой информации.

   В качестве основания классификации средств защиты информации используются основные группы задач, решаемые с помощью технических средств:

1. создание физических (механических) препятствий на путях проникновения злоумышленника к носителям информации (решетки, сейфы, замки и т.д.);
2. выявление попыток проникновения на объект охраны, к местам сосредоточения носителей защищаемой информации (электронные и электронно-оптические сигнализаторы);
3. предупреждение о возникновении чрезвычайных ситуаций (пожар, наводнение и т.п.) и ликвидация ЧП (средства пожаротушения и т.д.);
4. поддержание связи с различными подразделениями, помещениями и другими точками объекта охраны;
5. нейтрализация, поглощение или отражение излучения эксплуатируемых или испытываемых изделий (экраны, защитные фильтры, разделительные устройства в сетях электроснабжения и т.п.);
6. комплексная проверка технического средства обработки информации и выделенного помещения на соответствие требованиям безопасности обрабатываемой речевой информации установленным нормам;
7. комплексная защита информации в автоматизированных системах обработки данных с помощью фильтров, электронных замков и ключей в целях предотвращения несанкционированного доступа, копирования или искажения информации.