Козьминых С.И. Организация защиты информации в ОВД. Ч. 1
.pdf
МИНИСТЕРСТВО ВНУТРЕННИХ ДЕЛ РОССИЙСКОЙ ФЕДЕРАЦИИ
МОСКОВСКИЙ УНИВЕРСИТЕТ
С. И. Козьминых
ОРГАНИЗАЦИЯ ЗАЩИТЫ ИНФОРМАЦИИ В ОРГАНАХ ВНУТРЕННИХ ДЕЛ
Учебное пособие
Часть I
Москва МосУ МВД России
2013
ББК 67.621.163 К59
Козьминых, С. И.
Организация защиты информации в органах внутренних дел :
учебное пособие. Ч. I / С. И. Козьминых. – М. : Московский университет МВД России, 2013. – 167 с.
Учебное пособие (в двух частях) предназначено для изучения методики и технологии организации защиты информации в органах внутренних дел, а также способов ее совершенствования в целях формирования у обучаемых практических навыков работы по организационному обеспечению защиты информации.
Пособие написано в соответствии с требованиями Федерального государственного образовательного стандарта по специальности высшего профессионального образования090915.65 «Безопасность информационных технологий в правоохранительной сфере».
ББК 67.621.163
Рецензенты: начальник учебно-научного комплекса информационных технологий Московского университета МВД России, доктор технических наук, профессор, академик РАЕН А. С. Овчинский; ВРИО начальника кафедры информационных технологий управления ОВД Академии управления МВД России доктор технических наук, профессор И. В. Горошко.
©Московский университет МВД России, 2013
©Козьминых С. И., 2013
|
3 |
ОГЛАВЛЕНИЕ |
|
Введение ......................................................................................................... |
6 |
Глава 1. Введение в дисциплину «Организационная защита информа- |
|
ции»........................................................................................................................ |
7 |
1. Организационная защита информации как предмет изучения ..................... |
7 |
2. Место организационной защиты информации в системе информацион- |
|
ной безопасности государства и правоохранительных органов ..................... |
11 |
Глава 2. Организационно-правовые основы защиты информатизации |
|
в органах внутренних дел................................................................................ |
21 |
1.Общая характеристика организационных методов защиты информации. 21
2.Требования к построению систем безопасности объектов информати-
зации органов внутренних дел........................................................................... |
22 |
|
3. |
Правовые основы организационной защиты информации в ОВД ............. |
25 |
Глава 3. Концептуальные положения организационного обеспечения |
|
|
информационной безопасности объекта ОВД ............................................. |
32 |
|
1. |
Концепция и модели информационной безопасности................................. |
32 |
2. |
Основные направления организационной защиты информации в ОВД ... |
48 |
3. |
Создание системы организационного обеспечения информационной |
|
безопасности объекта ОВД ................................................................................ |
49 |
|
Глава 4. Источники и каналы утечки информации. Силы, средства |
|
|
и условия организационной защиты информации в ОВД........................ |
53 |
|
1. |
Источники и каналы утечки информации .................................................... |
53 |
2. Силы, средства и условия организационной защиты информации в ОВД ... |
56 |
|
Глава 5. Организационная защита информации, составляющей |
|
|
государственную тайну.................................................................................... |
60 |
|
1. |
Государственная тайна и порядок отнесения к ней информации............... |
60 |
2. |
Защита государственной тайны как реализация организационного |
|
направления защиты информации..................................................................... |
65 |
|
3. |
Режим секретности, его особенности и содержание.................................... |
67 |
Глава 6. Организация защиты информации ограниченного доступа..... |
71 |
|
1. |
Разрешительная система доступа к сведениям, составляющим |
|
коммерческую тайну........................................................................................... |
71 |
|
2. |
Мероприятия по реализации разрешительной системы доступа |
|
к сведениям, составляющим коммерческую тайну организации ................... |
76 |
|
4 |
|
|
Глава 7. Порядок засекречивания и рассекречивания сведений |
|
|
ограниченного доступа..................................................................................... |
80 |
|
1. |
Классификация информационных ресурсов................................................. |
80 |
2. |
Организация работ по засекречиванию и рассекречиванию |
|
информации в организации................................................................................ |
81 |
|
3. |
Разработка плана мероприятий по обеспечению защиты профессиональ- |
|
ной тайны............................................................................................................. |
84 |
|
Глава 8. Подбор сотрудников на должности, связанные с допуском |
|
|
к информации ограниченного доступа......................................................... |
88 |
|
1. |
Сотрудники организации как источники информации и каналы |
|
ее разглашения..................................................................................................... |
88 |
|
2. |
Особенности отбора кадров на должности, связанные с допуском |
|
к информации ограниченного доступа ............................................................. |
91 |
|
3. |
Проверка соискателей на должности, связанные с допуском |
|
к информации ограниченного доступа ............................................................. |
95 |
|
4. |
Заключение контрактов и соглашений о секретности ................................. |
97 |
Глава 9. Текущая работа с сотрудниками, допущенными |
|
|
к информации ограниченного доступа......................................................... |
99 |
|
1. |
Задачи и структура текущей работы с сотрудниками, допущенными |
|
к информации ограниченного доступа ............................................................. |
99 |
|
2. |
Организация обучения и инструктирования сотрудников правилам |
|
работы с конфиденциальной информацией....................................................... |
101 |
|
3. |
Воспитание сотрудников, допущенных к информации ограниченного |
|
доступа .................................................................................................................. |
103 |
|
4. |
Контроль соблюдения сотрудниками правил защиты информации........... |
105 |
5. |
Анализ степени осведомленности сотрудников о секретах |
|
организации .......................................................................................................... |
107 |
|
6. |
Организационно-психологические аспекты работы с сотрудниками |
|
по защите информации ограниченного доступа ............................................... |
109 |
|
7. |
Создание в коллективе здорового психологического климата .................... |
114 |
8. |
Создание корпоративной культуры в организации ...................................... |
116 |
9. |
Мотивация сотрудников к выполнению требований по защите |
|
информации ......................................................................................................... |
117 |
|
10. Увольнение сотрудников, работающих с конфиденциальной |
|
|
информацией ........................................................................................................ |
119 |
|
|
|
5 |
Глава 10. Организация деятельности службы безопасности...................... |
123 |
|
1. |
Задачи службы безопасности организации.................................................... |
123 |
2. |
Формирование структуры службы безопасности, организация ее |
|
деятельности......................................................................................................... |
125 |
|
3. |
Организация внутриобъектового режима на объекте................................... |
130 |
4. |
Организация инженерно-технической защиты объекта ............................... |
132 |
5. |
Организация безопасного функционирования информационных систем |
|
на объекте.............................................................................................................. |
133 |
|
6. |
Проверка наличия конфиденциальных документов, дел и носителей |
|
информации .......................................................................................................... |
134 |
|
7. |
Организация служебного расследования по фактам разглашения |
|
сотрудниками информации ограниченного доступа ........................................ |
136 |
|
8. |
Проведение аналитико-разведывательной работы службой безопасности |
|
opганизации .......................................................................................................... |
137 |
|
Приложение 1. Положения российского законодательства, регламентирую- |
||
щие допуск к государственной тайне................................................................. |
140 |
|
Приложение 2. Инструкция о порядке допуска должностных лиц |
|
|
и граждан Российской Федерации к государственной тайне........................... |
152 |
|
Библиографический список............................................................................. |
164 |
|
6
ВВЕДЕНИЕ
Внастоящее время обязательным условием эффективности деятельности органов внутренних дел является обеспечение безопасности их функционирования. Одной из главных составляющих безопасности является организация защиты информационных ресурсов на всех направлениях деятельности ОВД.
Проблема организации информационной безопасности становится все более сложной и практически значимой ввиду активного перехода информационных технологий на автоматизированную основу без использования традиционных бумажных документов во всех сферах деятельности ОВД. Информационная безопасность носит концептуальный характер и предполагает создание комплексной системы безопасности, включающей правовые, организационные, инженернотехнические, криптографические и программно-аппаратные методы и средства защиты информации. Организационные методы являются главным звеном, объединяющим на правовой основе технические, программные и криптографические компоненты в единую эффективную комплексную систему защиты информации.
Врамках данной работы рассмотрены общие вопросы организационной осно-
вы системы безопасности Российской Федерации, обеспечения безопасности государственных секретов и конфиденциальной информации, лицензирования и сертификации деятельности по защите информации, предложена концепция обеспечения информационной безопасности ОВД. Приведены методы формирования организационной структуры службы безопасности и службы защиты информации, изложены вопросы, связанные с организацией защиты информации на наиболее уязвимых направлениях деятельности ОВД, таких, как работа сотрудников с информацией ограниченного доступа; текущая работа с сотрудниками по защите информации; защита информации при проведении совещаний по конфиденциальным вопросам, приеме посетителей и осуществлении научно-публицистической и рекламной деятельности. Рассмотрены методы проведения служебного расследования по фактам разглашения сотрудниками информации ограниченного доступа, планирование процессов организационной защиты информации. Приведены методы моделирования систем и процессов защиты информации, порядок и правила проведения аудита информационной безопасности объектов ОВД.
Дисциплина «Организационная защита информации» относится к завершающим дисциплинам, необходимым для формирования специалиста по специальности «Безопасность информационных технологий в правоохранительной сфере».
Предполагается, что обучаемый, приступающий к освоению дисциплины «Организационная защита информации» обладает базовыми знаниями нормативных документов в области защиты информации, владеет навыками защиты документов ограниченного доступа, владеет компьютерными технологиями, освоил основы теории и методологии защиты информации, изучив дисциплины: «Информационное право», «Документоведение», «Защита и обработка документов ограниченного доступа», «Информатика и информационные технологии в профессиональной деятельности», «Теория информационной безопасности и методология защиты информации».
Учебное пособие позволит освоить не только теоретические основы организационной защиты информации, но и овладеть методами формирования, обеспечения эффективного функционирования и совершенствования систем организационной защиты информации в органах внутренних дел.
7
Г л а в а 1. ВВЕДЕНИЕ В ДИСЦИПЛИНУ
«ОРГАНИЗАЦИОННАЯ ЗАЩИТА ИНФОРМАЦИИ»
1.Организационная защита информации как предмет изучения
Всовременных условиях информация играет все большую роль в жизни общества и государства, а добывание и распространение информации не представляют труда в результате стремительного развития информационных технологий и средств коммуникации. Существует множество угроз как от возможности осуществления неправомерного доступа к защищаемой информации, так и угроз, исходящих от самой информации и ее распространения для личности, общества и государства. За последние годы в Российской Федерации интенсивно ведутся работы по реализации и совершенствованию комплексной системы обеспечения ее информационной безопасности.
Так, сформирована база правового обеспечения информационной - без опасности нашей страны. Приняты Федеральные законы«О государственной
тайне», «О коммерческой тайне», «Об информации, информационных технологиях и о защите информации»1 и ряд других законов.
Осуществлены мероприятия по обеспечению информационной безопасности в федеральных органах государственной власти, органах государственной власти субъектов Российской Федерации, на предприятиях, в учреждениях и организациях независимо от формы собственности. В интересах органов государственной власти развернуты работы по созданию защищенной информаци- онно-телекоммуникационной системы специального назначения.
Успешному решению вопросов обеспечения информационной безопасности Российской Федерации способствуют государственные системы защиты информации; защиты государственной тайны; лицензирования деятельности в области защиты государственной тайны и сертификации средств защиты информации.
Вместе с тем анализ состояния информационной безопасности Российской Федерации показывает, что ее уровень не в полной мере соответствует потребностям общества и государства. Современные условия политического и соци- ально-экономического развития страны вызывают обострение противоречий между потребностями общества в расширении свободного обмена информацией и необходимостью сохранения отдельных регламентированных ограничений на ее распространение.
Противоречивость и недостаточная развитость правового регулирования общественных отношений в информационной сфере приводят к серьезным негативным последствиям. Так, несовершенство нормативного правового регулирования отношений в области реализации возможностей конституционных ограничений свободы массовой информации в интересах защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов граждан,
1Федеральные законы от21 июля 1993 г. № 5485-1 (в ред. от 6 октября 1997 г.). «О государственной тайне»; от 27 июля 2006 г. № 149-ФЗ. «Об информации, информационных технологиях и о защите информации»; от 29 июля 2004 г. № 98-ФЗ «О коммерческой тайне» (с изм.
идоп. 18 декабря 2006 г., 24 июля 2007 г., 11 июля 2011 г.).
8
обеспечения обороноспособности страны и безопасности государства затрудняет поддержание необходимого баланса интересов личности, общества и государства в информационной сфере.
Закрепленные в Конституции Российской Федерации права граждан на неприкосновенность частной жизни, личную и семейную тайну, тайну переписки практически не имеют достаточного правового, организационного и технического обеспечения. Неудовлетворительно организована защита собираемых федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, органами местного самоуправления данных о физических лицах (персональных данных).
Нет четкости при проведении государственной политики в области формирования российского информационного пространства, развития системы массовой информации, организации международного информационного обмена и интеграции информационного пространства России в мировое информационное пространство, что создает условия для вытеснения российских информационных агентств, средств массовой информации с внутреннего информационного рынка и деформации структуры международного информационного обмена. Недостаточна государственная поддержка деятельности российских информационных агентств по продвижению их продукции на зарубежный информационный рынок. Ухудшается ситуация с обеспечением сохранности сведений, составляющих государственную тайну.
Серьезный урон нанесен кадровому потенциалу научных и производственных коллективов, действующих в области создания средств информатизации, телекоммуникации и связи, в результате массового ухода из этих коллективов наиболее квалифицированных специалистов.
Отставание отечественных информационных технологий вынуждает федеральные органы государственной власти, органы государственной власти субъектов Российской Федерации и органы местного самоуправления при создании информационных систем идти по пути закупок импортной техники и привлечения иностранных фирм, из-за чего повышается вероятность несанкционированного доступа к обрабатываемой информации и возрастает зависимость России от иностранных производителей компьютерной и телекоммуникационной техники, а также программного обеспечения.
В связи с интенсивным внедрением зарубежных информационных технологий в сферы деятельности личности, общества и государства, широким применением открытых информационно-телекоммуникационных систем, интеграцией отечественных информационных систем и международных информационных систем возросли угрозы применения«информационного оружия» против информационной инфраструктуры России. Работы по адекватному комплексному противодействию этим угрозам ведутся, к сожалению, при недостаточной координации и слабом бюджетном финансировании.
Сложившееся положение дел в области обеспечения информационной безопасности Российской Федерации требует безотлагательного решения важнейших задач, основными из которых являются:
9
–разработка основных направлений государственной политики в области обеспечения информационной безопасности Российской Федерации, а также мероприятий и механизмов, связанных с реализацией этой политики;
–развитие и совершенствование системы обеспечения информационной безопасности Российской Федерации, реализующей единую государственную политику в этой области, включая совершенствование форм, методов, средств выявления, оценки и прогнозирования угроз информационной безопасности Российской Федерации, а также системы противодействия этим угрозам;
–совершенствование нормативной правовой базы обеспечения информационной безопасности Российской Федерации, в том числе механизмов реализации прав граждан на получение информации и доступ к ней, форм и способов реализации правовых норм, касающихся взаимодействия государства со средствами массовой информации;
–обеспечение технологической независимости Российской Федерации в важнейших областях информатизации, телекоммуникации и связи, определяющих ее безопасность, в первую очередь в области создания специализированной вычислительной техники для образцов вооружения и военной техники;
–разработка современных методов и средств защиты информации, обеспечения безопасности информационных технологий, используемых прежде всего
всистемах управления войсками и оружием, экологически опасными и экономически важными производствами;
–развитие и совершенствование государственной системы защиты информации и системы защиты государственной тайны;
–обеспечение условий для активного развития российской информационной инфраструктуры, участия России в процессах создания и использования глобальных информационных сетей и систем;
–создание единой системы подготовки кадров в области информационной безопасности и информационных технологий.
Предметом изучения в учебном курсе«Организационная защита информации» является освоение методики и технологии организации защиты информации в органах внутренних дел, способов ее совершенствования, формирование у обучаемых практических навыков работы по организационному обеспечению защиты информации.
Основными задачами дисциплины являются:
–изучение теоретических основ организационной защиты информации;
–освоение методических основ обеспечения организационной защиты информации;
–овладение методами формирования, обеспечения эффективного функционирования и совершенствования систем организационной защиты информации;
–овладение методами аналитической работы при обеспечении организационной защиты информации в ОВД.
Процесс изучения дисциплины направлен на формирование компетенций, способных:
10
– ориентироваться в политических и социальных процессахиспользовать, знания и методы гуманитарных и социальных наук при решении профессиональных задач;
–проявлять инициативу, в том числе в ситуациях риска, принимать ответственность за свои решения в рамках профессиональной компетенции, творчески решать профессиональные задачи;
–выявлять естественнонаучную сущность проблем, возникающих в ходе профессиональной деятельности, и применять общенаучные методы, физикоматематический аппарат, методы моделирования и прогнозирования развития процессов и явлений для анализа и выработки решения;
–организовывать и проводить мероприятия по контролю обеспечения защиты информации, в том числе сведений, составляющих государственную тайну;
–участвовать в исследовании и проверке объектов, помещений, технических средств, систем, программ и алгоритмов по соответствию требованиям защиты информации;
–организовывать подготовку и представлять объект информатизации в ходе аттестации на соответствие требованиям государственных и ведомственных нормативных документов;
–соблюдать в профессиональной деятельности требования нормативных правовых актов и иных нормативных документов в области защиты государственной тайны и информационной безопасности;обеспечивать соблюдение режима секретности;
–проводить анализ состояния безопасности информации на объектах и в -от дельных системах с использованием отечественных и зарубежных стандартов;
–определять задачи исследования, проводить эксперименты по заданной методике, обрабатывать полученные данные, анализировать и интерпретировать результаты;
–выполнять предварительный технико-экономический анализ и обоснование проектных решений по созданию систем обеспечения безопасности информации и защиты государственной тайны;
–формировать рабочую техническую документацию с учетом действующих нормативных и методических документов в области безопасности информации;
–принимать участие в создании системы защиты информации на объекте информатизации.
В результате изучения дисциплины обучаемый должен знать:
–теоретические основы функционирования систем организационной защиты информации, ее современные проблемы и терминологию;
–цели, функции и процессы управления системами организационной защиты информации в органах внутренних дел;
–основные направления и методы организационной защиты информации.
В результате изучения дисциплины обучаемый должен уметь:
– анализировать эффективность систем организационной защиты информации и разрабатывать направления ее развития;