А. Артемов - Информационная безопасность. Курс лекций

Раздробление тайны– классифицированное (иерархическое) дробление предметной совокупности конфиденциальной информации на тематические группы, отдельные элементы, части, известные разным сотрудникам фирмы. Разглашение остальной части сведений в этом случае не имеет большого практического смысла.

Разрешительная (разграничительная) система доступа к информации —совокупность обязательных норм, устанавливаемых первым руководителем или коллективным органом руководства фирмой с целью закрепления за руководителями и сотрудниками права использования для выполнения служебных обязанностей выделенных помещений, рабочих мест, определенного состава документов и конфиденциальных сведений. Составная часть системы защиты информации. Система решает следующие задачи: ограничения и регламентации состава сотрудников, функциональные обязанности которых требуют знания тайны фирмы и работы с конфиденциальными документами, строгого избирательного и обоснованного распределения документов и информации между сотрудниками; обеспечения сотрудника всем необходимым для реализации своих служебных функций (документами, делами, базами данных); беспрепятственного прохода сотрудника в здание фирмы, в конкретное рабочее помещение (рабочую зону), к выделенному ему офисному рабочему оборудованию и компьютеру; исключения возможности несанкционированного ознакомления посторонних лиц с конфиденциальной информацией; рационального размещения рабочих мест сотрудников, исключающего бесконтрольное использование ими защищаемой информации. Система включает в себя две составные части: а) допуск сотрудника к конфиденциальной информации и б) непосредственный доступ этого сотрудника к конкретным сведениям.

Расследование служебное– установление причин и лиц, виновных в разглашении или утечке информации, утрате документа, носителя или конфиденциальности информации, утраты продукции, содержащей ценные новшества, и других грубых нарушениях правил защиты информации. Проводится сотрудниками службы безопасности фирмы и предназначено для выяснения всех обстоятельств и их последствий, связанных с конкретным фактом. В ходе расследования устанавливаются причины случившегося и виновные лица. По результатам расследования делаются выводы о мере ответственности виновных лиц, даются рекомендации по устранению причин случившегося и исключению подобных фактов в будущем. При необходимости к расследованию привлекаются частные детективные агентства.

Режим– совокупность ограничительных правил, мероприятий, норм, обеспечивающих контролируемый доступ и пребывание на определенной территории, в здании, помещениях, регулирующих порядок ознакомления с защищаемой информацией и документами, предпринимаемых в целях информационной безопасности фирмы. Базируется на разрешительной системе доступа.

Режим конфиденциальности– комплекс мер, входящих в состав действующей в фирме системы защиты информации и обеспечивающих особый правовой статус организации работы сотрудников фирмы. Осуществляется и контролируется службой безопасности фирмы. Включает в себя: разрешительную систему доступа, пропускной режим, особые правила приема на работу сотрудников и текущей работы с персоналом, учет осведомленности каждого сотрудника в тайне фирмы, контроль соблюдения сотрудниками инструкций по защите информации, выполнение охранных мероприятий, в том числе в рабочее время, функционирование специальных технологических систем обработки и хранения конфиденциальных документов и электронной информации, ведение аналитической работы.

Режим пропускной– ограничение на право входа на территорию, в здание или помещения фирмы и регламентация порядка выхода из них. Распространяется на въезд и выезд транспортных средств. Предусматривает также ограничение на право вносить (выносить) или ввозить (вывозить) определяемые руководством фирмы предметы, оборудование и т. п. без специального разрешения полномочных должностных лиц. Ограничивается право сотрудников вносить на территорию фирмы личные вещи, которые могут стать каналом утраты конфиденциальной информации (фотоаппараты, видео– и аудиотехнику, средства связи, дискеты, объемные сумки, кейсы и др.). Пропускной режим реализуется системой пропусков – постоянных, временных, разовых, материальных, транспортных, которые предъявляются на контрольно-пропускном пункте. Наличие пропуска дает право находиться в здании и определенных помещениях фирмы, получать необходимые для работы документы, дела, дискеты, выносить (вывозить) с территории фирмы указанные в пропуске предметы. Пропуска в зависимости от их категории могут быть различной формы, цвета, иметь полосы, снабжаться фотокарточкой владельца и иными идентифицирующими признаками, содержать указание на ограничения в перемещении по зданию. Для контроля за выполнением порядка доступа в помещения фирмы наиболее удобны пропуска-идентификаторы, носимые сотрудниками и посетителями на одежде.

Реквизит документа– обязательный элемент оформления официального документа (вид документа, его автор, дата, подпись и др.).

Секрет– см. Тайна. Секретность– ограничение, накладываемое собственником, на доступ к информации, документам, делам, базам данных, продукции, оборудованию, транспорту, на вход и

нахождение в определенной зоне (территории), здании, помещениях.

Сертификация систем и средств защиты информации– аналитические действия по определению эффективности систем защиты информационных ресурсов, качества программных, аппаратных и иных средств защиты. Выполняется специализированной организацией, имеющей соответствующую лицензию. В соответствии с положительными результатами анализа выдается сертификат, удостоверяющий возможность использования указанных систем и средств защиты для обеспечения информационной безопасности фирмы.

Система зашиты информации– совокупность направлений, методов, средств и мероприятий, снижающих уязвимость информации и препятствующих несанкционированному доступу к информации, ее разглашению или утечке. Главными требованиями к организации эффективного функционирования системы являются: персональная ответственность руководителей и сотрудников за сохранность носителя и конфиденциальность информации, регламентация состава конфиденциальных сведений и документов, подлежащих защите, регламентация порядка доступа персонала к конфиденциальным сведениям и документам, наличие специализированной службы безопасности, обеспечивающей практическую реализацию системы защиты и нормативно-методического обеспечения деятельности этой службы. Основной характеристикой системы является ее комплексность, т. е. наличие в ней обязательных элементов, охватывающих все направления защиты информации. Соотношение элементов и их содержания обеспечивает индивидуальность построения системы защиты информации конкретной фирмы, ее неповторимость и. необходимый заданный уровень защиты с учетом ценности информации и стоимости системы. Элементами системы являются: правовой, организационный, инженерно-технический, криптографический и программно-аппаратный, В каждом элементе защиты могут быть реализованы на практике только отдельные содержательные части в зависимости от поставленных задач защиты в крупных и некрупных фирмах различного профиля, малом бизнесе. Структура системы зависит как от объема и ценности защищаемой информации, так и от характера возникающих угроз безопасности информации, требуемой надежности защиты и стоимости системы.