А. Артемов - Информационная безопасность. Курс лекций
Доступ к информации санкционированный – часть разрешительной (разграничительной) системы доступа персонала к конфиденциальной информации, представляет собой практическую реализацию права сотрудника на работу с подобной информацией, необходимой ему для выполнения возложенных на него функций. Доступ санкционируется полномочным должностным лицом (первым руководителем, его заместителем, руководителем подразделения, службы или направления деятельности) в отношении конкретной информации и конкретного сотрудника фирмы. Разрешение на доступ к конфиденциальным сведения (документам, делам, базам данных и т. п.) всегда является строго персонифицированным (индивидуальным) и дается полномочным руководителем только в письменном виде: резолюцией на документе, приказом, утверждающим схему именного доступа к конкретным группам информации, утвержденным руководителем списком-разрешением на обложке дела. Иерархическая последовательность доступа к информации реализуется по принципу «чем выше ценность конфиденциальных сведений, тем меньшее число сотрудников может их знать». Должностное лицо, разрешившее доступ сотрудника к конфиденциальным сведениям, несет персональную ответственность за правильность принятого решения. Аналогичным образом персональную ответственность за сохранность носителя и конфиденциальность информации несет сотрудник, получивший доступ к конкретной информации.
Доступ к компьютеру — санкционирование полномочным должностным лицом работы сотрудника с определенным составом вычислительной техники. Предусматривает: регламентацию состава сотрудников, имеющих право входа в помещение, в котором находится соответствующая вычислительная техника, средства связи; регламентацию временного режима нахождения этих. лиц в указанных помещениях; персональное и временное протоколирование разрешения и периода работы этих лиц в иное время (вечернее, выходные дни); организацию охраны этих помещений в рабочее и нерабочее время, определение порядка снятия помещений с охраны и отключения охранных технических средств, определение порядка постановки помещений на охрану; организацию контролируемого, пропускного режима входа в указанные помещения; регламентацию действий охраны и персонала и экстремальных ситуациях; контроль вносимых и выносимых из помещения персоналом машинных и бумажных носителей информации, оборудования и личных вещей. По окончании рабочего дня конфиденциальная информация переносится на дискеты, которые сдаются в службу конфиденциальной документации. Информация на жестких дисках компьютеров стирается. Однако помещение подлежит охране, так как в неохраняемые компьютеры легко установить средства технической разведки (см. Средства несанкционированного доступа к информации) или специальными методами восстановить информацию на жестких дисках.
Доступ к базам данным и файлам – санкционирование полномочным должностным лицом работы сотрудника с определенным составом конфиденциальных сведений и файлов. Предусматривает: определение и регламентацию состава сотрудников, допускаемых к работе с определенными конфиденциальными базами данных и файлами; контроль доступа персонала администратором базы данных; фиксирование в машинной памяти имен пользователей и операторов, имеющих право доступа к базам данных и файлам; учет состава базы данных и файлов, регулярную проверку наличия, целостности и комплектности электронных документов; регистрацию (протоколирование) входа в базу данных или файл, автоматическую регистрацию имени пользователя и времени работы, сохранение первоначальной информации; регистрацию (протоколирование) попыток несанкционированного входа в базу данных или файл, регистрацию ошибочных действий пользователя, автоматическую передачу сигнала тревоги охране и автоматическое отключение компьютера; установление и бессистемное по сроку изменение имен пользователей, массивов и файлов (паролей, кодов, классификационных идентификаторов, ключевых слов); отключение ЭВМ при нарушениях в системе регулирования доступа или сбое системы защиты информации; блокирование отключенной, но загруженной ЭВМ при недлительных перерывах в работе пользователя.
Доступ к машинным носителям, находящимся вне ЭВМ – санкционирование полномочным должностным лицом работы сотрудника с определенным составом носителей информации. Предусматривает: организацию оформления, учета и выдачи сотрудникам чистых технических носителей информации; организацию ежедневной фиксируемой выдачи сотрудникам и приема от сотрудников носителей с записанной информацией (основных и резервных); регламентацию состава сотрудников, имеющих право работать с конфиденциальной информацией на компьютере и получать в службе конфиденциальной документации учтенные носители информации; организацию системы закрепления за сотрудниками технических носителей информации и контроля за сохранностью и целостностью информации, учета динамики изменения состава записанной информации; организацию порядка уничтожения информации на носителе (форматирования носителя и порядка его физического уничтожения); организацию хранения носителей в службе конфиденциальной документации в рабочее и нерабочее время, порядок эвакуации носителей в экстремальных ситуациях; определение и регламентацию состава сотрудников, не сдающих по объективным причинам машинные носители информации на хранение в службу конфиденциальной документации в конце рабочего дня, организацию особой охраны помещений» компьютеров этих сотрудников. Работа сотрудников службы конфиденциальной документации с техническими носителями информации должна быть организована по аналогии с бумажными конфиденциальными документами.
Дубликат документа – повторный экземпляр подлинника документа, имеющий юридическую силу.
Е
Единица хранения архивных документов – учетная и классификационная единица, представляющая собой физически обособленный документ или совокупность документов, имеющих самостоятельное значение.
3
Защита информации – практическая реализация комплексной программы (концепции) информационной безопасности фирмы, жестко регламентированный и динамический технологический процесс, предупреждающий нарушение доступ нести, целостности, достоверности и конфиденциальности ценных информационных ресурсов и в конечном счете обеспечивающий достаточно надежную безопасность информации в процессе управленческой и производственной деятельности фирмы. В данном случае безопасность расценивается в качестве реального результата, достигнутого за счет функционирования выбранной системы защиты информации. Предполагается, что защита конфиденциальной информации (или защита секретов) осуществляется от различного шла угроз безопасности информации, прежде всего – несанкционированного доступа к ней злоумышленника. Защите подлежит любая документированная информация, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю или иному лицу. Защиты требует не только конфиденциальный документ. Часто обычный открытый правовой акт важно сохранить в целостности и безопасности от похитителя или стихийного бедствия.
Защита информации в публикаторской и выставочной деятельности – направление обеспечения безопасности информации, предусматривающее заблаговременный анализ и экспертизу предназначенной для широкого оглашения любой информации о деятельности фирмы и ее продукции в целях обнаружения в содержании или элементах отображения этой информации (таблицах, формулах, рисунках, фотографиях, схемах) конфиденциальных сведений или намека на наличие таких сведений. Подобная информация должна, как правило, анализироваться от противного – с точки зрения того интереса, который будет проявлен к ней конкурентами, и объема полезных сведений, извлекаемых конкурентом из ее содержания. При рекламировании потребительских достоинств и возможностей новой продукции не должна раскрываться сущность технологических новшеств, технологических секретов, за счет которых достигнуты эти достоинства. Материалы, не прошедшие экспертизу, опубликованию не подлежат. Экспертиза включает также последующий контроль всех опубликованных о фирме материалов, сообщений средств массовой информации, рекламных изданий и выставочных проспектов. Помимо этого анализируются подобные материалы других фирм для определения возможной утраты данной фирмой ценных сведений.