А. Артемов - Информационная безопасность. Курс лекций
Собеседование – устное общение с кандидатами на вакантную должность или сотрудником фирмы. Проводится, как правило, по заранее подготовленному вопроснику работниками (экспертами) службы персонала или службы безопасности: при приеме граждан (или переводе сотрудников) на должности, связанные с владением конфиденциальными сведениями (собеседования по предоставленным документам, по профессиональным и биографическим фактам с целью определения прежде всего личных и моральных качеств гражданина, выявления возможных злоумышленников, реальных причин желания работать на фирме и др.); при увольнении сотрудника (собеседование о недопустимости разглашения конфиденциальных сведений фирмы и др.); в процессе работы сотрудника в фирме (собеседования по итогам обучения или инструктирования в области защиты информации, при обнаружении фактов разглашения информации и др.). Собеседование может дополняться тестированием, анкетированием и другими методами психологического анализа личности.
Собственник информационных ресурсов — субъект, в полном объеме реализующий полномочия владения, пользования, распоряжения указанным объектом.
Составление текста конфиденциального документа – документирование защищаемой информации. Требует соблюдения специальных правил, основными из которых являются: объем конфиденциальных сведений, включаемых в документ, должен быть минимальным и определяться реальной ситуацией; документ всегда должен касаться только одного вопроса (темы), что необходимо для четкого функционирования разрешительной системы доступа к конфиденциальной информации; организационные, распорядительные, плановые, отчетные и другие подобные документы должны иметь функциональные персонифицированные приложения-задания, что позволяет не доводить эти документы в полном объеме до исполнителей; конфиденциальные показатели (формулы, рецептуры, выводы, результаты наблюдений, описания технологических процессов, результатов опытов и др.) должны фиксироваться в документе только один раз и не повторятся в других документах; не допускаются в неконфиденциальных документах намеки на наличие конфиденциальных сведений или их описание в произвольной форме; не допускается включение в неконфиденциальные документы сведений, составляющих интеллектуальную собственность или коммерческую тайну других фирм или лиц, без их согласия. При пересылке конфиденциальных документов обычной почтой или по незащищенным каналам связи целесообразно произвести шифрование текста.
Сохранность конфиденциального документа, носителя – одна из главных задач системы защиты информации. Обеспечивается совокупностью правовых, разрешительных и технологических мер. Правовые меры предусматривают персональную ответственность руководителей за принятие правильного решения по доступу сотрудника к документу и сотрудников за целостность полученного для работы конфиденциального документа на любом носителе. Разрешительные (ограничительные, режимные) меры предусматривают регламентацию минимального состава сотрудников, имеющих право работать с документом, получать для работы чистый учтенный носитель информации. К числу технологических мер относятся наличие комплекса учетных операций на всех стадиях движения документа, носителя, передача документов сотрудникам в соответствии с утвержденной разрешительной системой доступа, регламентация порядка роботы персонала с документами, хранение документов на бумажных и магнитных носителях в условиях, исключающих их порчу или доступ к ним посторонних лиц.
Справочно-информационный банк данных автоматизированный — структурированная совокупность сведений о документах, хранящихся в памяти ЭВМ. Имеет следующие основные электронные массивы: инвентарную опись традиционных (бумажных), машиночитаемых, электронных и иных конфиденциальных документов фирмы с указанием их местонахождения (см. Учет местонахождения документа); массивы учетных карточек документов по видам учета; массив учетных карточек выдачи документов по видам учета; опись рабочего и архивного массивов конфиденциальных документов по каждому компьютеру; массив учетных карточек магнитных носителей с перечислением документов, записанных на каждом носителе; опись документов, находящихся у конкретных исполнителей. Учетную и страховую функцию, а также функцию обеспечения персональной ответственности за сохранность документов могут выполнять следующие традиционные массивы, формируемые на основе распечаток (машинограмм) электронных массивов: страховая учетная валовая картотека бумажных экземпляров электронных карточек документов; картотека «За исполнителями» (для внесения росписи за получение и возврат документа); картотека учетных карточек магнитных носителей информации. Кроме того, ведется комплект постоянно обновляемых и достоверных дубликатов, резервных копий всех магнитных носителей, на которых записаны сведения о документах или сами документы, а также машинный журнал (протокол) учета работы ЭВМ и выполняемых действий с документами. При функционировании указанного банка данных в структуре защищенной локальной сети и оперировании при передаче документов электронной подписью количество обеспечивающих традиционных массивов может быть сокращено.
Справочно-информационный банк данных по конфиденциальным документам — структурированная совокупность применяемых учетных форм. Предназначен для контроля за сохранностью документов, накопления и систематизации исходных данных о документах, актуализации массивов информации – внесения в учетные формы рабочих сведений в процессе исполнения или использования документов, обеспечения контроля их исполнения и проверки наличия. Банк может быть традиционным (см. Картотека учетная) и автоматизированным.
Средства защиты информации – технические, криптографические, программные и другие средства, входящие в структуру отдельных элементов системы защиты информации и предназначенные для обеспечения защиты сведений, составляющих тайну фирмы, а также средства, в которых они реализованы, или предназначены для контроля эффективности системы защиты информации.
Средства несанкционированного доступа к информации – специально изготовленные технические средства промышленного шпионажа: приборы, оборудование, системы приборов и средств связи, предназначенные для создания контакта с источником конфиденциальной информации или каналом объективного распространения информации и образования технического канала утечки этой информации (видео– и аудиооборудование, бинокли, лазерные приборы, радиозакладки и др.).
Сроки конфиденциальности информации – временной период ограничения доступа персонала и иных лиц к конфиденциальной информации. Характеризуется большим разбросом во времени – от нескольких часов до нескольких лет. Основная масса конфиденциальной документированной информации после окончания исполнения работы с документами или наступления определенного события теряет свою ценность и конфиденциальность. Для документированной информации, сохранившей конфиденциальность после указанных моментов, период конфиденциальности может быть кратковременным или долговременным в зависимости от ценности информации. К документам долговременного периода конфиденциальности относятся, например, программы и планы развития бизнеса, технологическая документация ноу-хау и др. Документы кратковременного периода конфиденциальности имеют оперативное значение для деятельности фирмы, например переписка по заключению контракта, факсы о поступлении груза и др. Период конфиденциальности документов определяется по перечню конфиденциальных сведений фирмы» зависит от специфики ее деятельности. При этом не следует отождествлять два разных понятия – срок хранения документов и период их конфиденциальности. Хотя конфиденциальные документы характеризуются и тем и другим понятием.
Стадия в структуре документопотока – относительно самостоятельная составная функциональная часть документопотока, включающая в себя типовой состав технологических процедур и операций, которые выполняются с документом на данной стадии. Подробнее см. Структура потоков (документопотоков) конфиденциальных документов.
Степень конфиденциальности информации– характеристика закрытости сведений и уровня ограничения доступа к ним персонала. Определяется ценностью информации и фиксируется на документе грифом ограничения доступа.
