7.3. Система захисту службових документів

Система ЗІ є комплексом орга­нізаційних, технічних і технологічних засобів, методів і за­ходів, які перешкоджають НСД до інформації. Власник інформації особисто виз­начає не тільки склад СІ, яка підлягає за­хисту, але й відповідні способи та засоби за­хисту.

Одночасно ним розробляються заходи матеріального і морального сти­мулювання працівників, які дотриму­ються порядку захисту СІ, і заходи відпо­­відаль­нос­­ті персоналу за розголошення таємниці підприємства.

Система ЗІ повинна бути багаторівневою з ієрархічним доступом до інформації, гранично кон­к­­ретизованою і прив'язаною до специфіки підпри­ємства за структурою методів та засобів захисту, які використовують­ся, від­критою для ре­гу­лярного оновлення, надійної як у звичайних, так і в екс­тре­мальних ситуаціях. Вона не по­винна створювати пра­цівникам підприємства поважні незручності в роботі. Комп­лекс­ність системи ЗІ досягається її фор­му­ванням з різних еле­ментів – правових, організаційних, технічних та крип­то­­гра­фічних (програмно-матема­тич­них).

Співвідношення елементів та їх зміст забезпечують індивідуальність системи ЗІ підприємства і га­ран­тують її непов­торність та складність подо­лання. Співвідношення елемен­тів системи, їх склад та взаємо­зв'язок визна­чають не тільки її індивідуальність, але й конкретний заданий рівень за­хисту з врахуванням цінності інформації та вартості подіб­ної системи.

Правовий захист інформації передбачає: наявність в засновницьких та організаційних документах підприємства, кон­т­ра­к­тах, які укладаються із працівниками і у посадових нас­тановах положень та зобов'язань із ЗІ, яка складає таємницю підприємства і його партнерів, формулювання і доведення до відома всіх працівників підприємства механізму пра­вової відповідальності за розголо­шен­ня СІ. До правового елементу сис­­теми захисту також може включатись страхування СІ від різних ризиків.

Організаційний захист інформації містить заходи уп­равлінського та обмежувального характеру, які спону­ка­ють персонал дотримуватися правил захисту СІ і включає у себе: формування і рег­ламентування діяльності служби безпеки підприємства; забез­пе­чен­ня цієї служби нормативно-ме­то­дичними докумен­тами з організації і технології ЗІ; рег­ла­­менту­вання та регу­лярне оновлення переліку СІ, яка підлягає захисту; складання і ве­ден­ня пе­реліку СД підприємства; рег­ламен­тування системи (ієрархічної схеми) обме­жен­ня дос­тупу персоналу до СІ; регламен­тування технології захисту і оброб­лен­ня СД; побудова захищеного тра­ди­ційного або елект­рон­ного докумен­то­обігу; побудову тех­­но­­логії доку­мен­тування СІ, складання, оформлення, ви­го­тов­лення і видавання СД; по­бу­дову техноло­гічної систе­ми оброблення і збе­реження СД; організацію архівного збе­рі­ган­ня СД; регла­ментування захисту СІ підприємства від несанк­ціо­нованих дій персоналу; порядок і пра­вила ро­бо­ти персо­налу з СД і СІ, контроль за вико­нанням всіма працівниками цього порядку і правил; відбір персо­налу для ро­боти з СІ, навчання та інструктування пра­ців­ників; порядок ЗІ під час веден­ня пере­мо­вин, проведенні нарад з конфіденційними питаннями, прийо­мі від­відувачів, здійс­нен­ня реклам­ної, виставкової та іншої діяльності; регла­менту­вання аналітичної роботи з ви­яв­лення загроз СІ підприємства і каналів вито­ку СІ; обладнання і атес­ту­ван­ня при­міщень, робочих зон, виді­ле­них для здійснення службової діяль­ності, ліцензування технічних сис­тем і за­со­бів ЗІ та охорони; регла­мен­туван­ня про­пускного режиму на тери­торії, у спорудах і приміщеннях підпри­ємст­ва, іденти­фіку­вання персоналу та ванта­жу; регламентування системи охо­­рони території, споруд, приміщень, об­лад­нан­ня, місць зберігання готів­кових коштів, транспорту і персоналу підпри­ємства; регламентування орга­ні­зацій­них питань експлуатації техніч­них засо­бів ЗІ і охорони; регламен­туван­ня дій служ­би безпеки та персоналу в екстре­мальних ситуаціях; регла­менту­вання роботи з управління системою ЗІ.

Організаційний захист є стрижнем, який позв'язує в одну систему всі інші елементи ЗІ. Центральною проб­ле­мою при розробці методів організаційного ЗІ є формування дозвільної (розмежувальної) сис­теми і доступу пер­соналу до СІ, документів і баз даних. Важливо чітко і однозначно вста­но­вити: хто, кого, та до яких відомостей, коли, на який термін і як допускає. Доз­вільна система доступу розв’язує наступні задачі: за­без­печення праців­ників всіма необхідними для роботи до­ку­ментами і інформацією; обмеження кола осіб, які до­пус­каються до СД; виключення не­санкціонованого ознайом­лення з СД. У відповідності з цією послідовністю визначається необхідний ступінь посилення захисних заходів, структура рубежів (ешелонів) ЗІ. Доступ пра­ців­ника до СІ, який здійснюється у відпо­відності з дозвільною системою, нази­вається санкціонованим.

Дозвіл (санкція) на доступ до СІ завжди є суворо персоніфікованим і видається керівником у пись­мовому вигляді: наказом, який зат­верджує схему поса­до­вого або поіменного доступу до СІ; резолю­цією на СД, списком-дозволом у карточці видавання справи або на обкладинці справи ознайомлення з СД. Орга­нізаційні заходи захисту відображаються в норма­тив­но-методичних документах служби безпеки під­приємства. З огля­ду на це, часто використовується єдина назва двох розгля­ну­тих вище елементів системи захисту – органі­за­ційно-правовий ЗІ.

Технічний захист інформації включає: засоби захисту технічних каналів витоку інформації, які виникають під час роботи ЕОМ, засобів зв'язку, ко­пі­ювальних апаратів, принтерів, факсів та інших приладів і обладнання; засоби захисту приміщень від візуальних та акустичних способів технічної розвідки; засоби охорони споруд і приміщень від проникнення сторонніх осіб (засоби спостереження, спо­віщення, сигналізації, інформування та іденти­фі­кування, ін­же­нерні споруди); засоби протипожежної охорони; засоби вияв­лення при­ладів і пристроїв технічної розвідки.

Програмно-математичний захист інформації вклю­чає: регламентування доступу до електронних документів персональними паролями, які іден­ти­фікуються командами та іншими найпростішими методами захисту; регла­менту­вання спеціальних засобів і продуктів прог­рам­ного захис­ту; вико­рис­тання криптографічних методів ЗІ в ІС, криптографування (ши­ф­рування) інформації у процесі передавання каналами зви­чайного та факсимільного зв'яз­ку, пересилання пош­тою.

У кожному елементі ЗІ можуть бути реалізовані на практиці тільки окремі складові частини. Наприклад, в організаційному захисті можна регла­ментувати тільки при­йоми оброблення СД та систему досту­пу до них пер­соналу. Методи і засоби ЗІ в рамках системи захисту повинні регу­лярно змінюватись з метою попередження їх розкриття зловмисником.

Конкретна система ЗІ підприємства завжди є суворо конфіденційною. Спеціалісти, які розробляли сис­тему, ніколи не повинні бути її користувачами. Отже, сис­тема захисту СІ є індивідуалізованою сукуп­ністю необ­хідних елементів захисту, кожний з яких окремо розв’язує свої спе­­цифічні для даної підприємства задачі і володіє конкре­тизо­ва­ним відносно до цих задач змістом. У комп­лек­сі ці еле­мен­ти формують багаторівневий захист секре­тів підприємства і дають відносну гарантію безпеки підприємницької діяль­ності підприємства.