Козьминых С.И. Организация защиты информации в ОВД. Ч. 1

71

Г л а в а 6. ОРГАНИЗАЦИЯ ЗАЩИТЫ ИНФОРМАЦИИ

ОГРАНИЧЕННОГО ДОСТУПА

1. Разрешительная система доступа к сведениям, составляющим коммерческую тайну

Значительное место в системе организационных, административных, правовых и других мер, позволяющих качественно решать задачи информационного обеспечения научно-производственной и коммерческой деятельности, физической сохранности материальных носителей закрытых сведений, предотвращения их утечки, сохранения коммерческой тайны, занимает разрешительная система доступа исполнителей к классифицированным документам и сведениям.

Всоответствии с действующим законодательством руководитель организации вне зависимости от форм собственности может устанавливать специальные правила доступа к сведениям, оставляющим коммерческую тайну, и ее носителям, тем самым обеспечивая их сохранность.

Всистеме мер безопасности большое значение имеет оптимальное распределение производственных, коммерческих и финансово-кредитных сведений, составляющих тайну предприятия(организации), между конкретными исполнителями соответствующих работ и документов. При распределении информации, с одной стороны, необходимо обеспечить предоставление конкретному сотруднику полного объема данных для качественного и своевременного выполнения порученных ему работ, а с другой, – исключить ознакомление исполнителя с излишними, не нужными ему для работы классифицированными сведениями.

Вцелях обеспечения правомерного и обоснованного доступа исполнителя к сведениям, составляющим коммерческую тайну (КТ) организации, рекомендуется разрабатывать и внедрять соответствующую разрешительную систему.

Доступ – получение письменного разрешения руководителя организации или с его санкции других руководящих лиц на выдачу тому или иному сотруднику конкретных (или в полном объеме) закрытых сведений с учетом его служебных обязанностей (должностных полномочий).

Оформление доступа к КТ может производиться в соответствии с утвержденным руководителем Положением о разрешительной системе доступа, где юридически закрепляются полномочия должностных лиц организации по распределению информации и пользовании ею. Руководитель организации может разрешить пользование любой охраняемой информацией любому работнику данной организации или лицу, прибывшему на объект из другой организации для решения каких-либо вопросов, если в отношении этих сведений не уста-

В небольших организациях с ограниченным объемом закрытых работ(документов и изделий) руководитель имеет возможность лично распределять всю закрытую информацию, поступающую извне и создаваемую внутри предпри-

72

ятия между работниками независимо от занимаемых ими должностей. В этом случае осуществляется так называемоепрямое распределение классифицированной информации. Однако прямое распределение становится невозможным в организации с большим объемом закрытых работ, рассредоточенным по различным подразделениям и участкам, в которых задействованы сотрудники различных должностных категорий.В этих условиях руководитель организации физически не имеет возможности лично регулировать потоки классифицированной информации и распределять ее между работниками. Возрастает вероятность ошибок в виде неправильного адресования сведений или разрешения на доступ лицам, не имеющим к ним прямого отношения.

Для требуемого выполнения управленческих функций в данных условиях руководитель организации передает(делегирует) часть своих прав распоряжаться движением классифицированных сведений руководителям нижестоящих уровней. При определении полномочий каждого из нижестоящих руководителей выполняется ряд условий. Полномочия должны соответствовать и осуществляться в рамках его должностного положения (прав и обязанностей) и распространяться только на определенные категории исполнителей закрытых работ и документов.

Большое значение для сохранности коммерческой тайны имеет надежность сотрудника, которому разрешают работать с ценной информацией. Известно, что степень надежности шифра определяется прежде всего надежностью шифровальщика. Система доступа должна быть основана на убеждении, что лица, получающие разрешение на доступ к закрытым сведениям, лояльны по отношению к организации. Такой вывод могут сделать в процессе совместной деятельности служба безопасности и отдел кадров организации. Эти подразделения утверждают у директора организации список сотрудников, кто по своим личным качествам может быть допущен(или не допущен) к работе со сведениями, составляющими КТ. Соответствующие выписки передаются для учета руководителям подразделений, которым руководителем делегировано право выдавать разрешения на доступ к конкретным сведениям, входящим в перечень охраняемой информации.

Руководитель, как правило, оставляет за собой право распоряжаться наиболее ценными сведениями, составляющими КТ (конфиденциальные договоры с организациями, отчеты о результатах работ по перспективным изделиям и т.п.). Перечень таких документов, утвержденный директором, должен находиться в службе безопасности (СБ). В соответствии с перечнем вся классифицированная информация и изделия, поступившие извне или созданные на предприятии, докладываются руководству СБ. Остальная информация поступает из СБ непосредственно руководителям подразделений в соответствии с действующей на предприятии разрешительной системой, которые распределяют ее между исполнителями. Количество уровней должностной иерархии и должностных лиц, которым могут быть предоставлены полномочия на распределение классифицированной информации, зависит от структуры организации, количества и сложности проводимых закрытых работ.

73

Эффективная работа разрешительной системы возможна только при соблюдении определенных правил:

1.Разрешительная система включает в себя дифференцированный подход к разрешению доступа, учитывающий важность классифицированных сведений,

вотношении которых решается вопрос о доступе.

2.Необходимо документальное отражение выданного разрешения на право пользования теми или иными защищаемыми сведениями. Это означает, что руководитель, давший разрешения на право пользования, должен его в обязательном порядке зафиксировать в письменном виде на соответствующем документе или в действующей на предприятии учетной форме. Никакие устные указания и просьбы о доступе кого бы то ни было(за исключением руководителя организации) не имеют юридической силы и не обязательны для работников СБ. Это требование относится к руководителям всех уровней, работающих с классифицированной информацией и ее носителями. Таким образом, только письменное разрешение руководителя (в рамках полномочий) является разрешением для выдачи тому или иному лицу охраняемых сведений.

3.Следует строго соблюдать принцип контроля со стороны СБ. Это означает, что любое разрешение (возможны также изъятия по согласованию с руководителем) на ознакомление с закрытыми документами, сведениями и объектами должно быть согласовано с начальником СБ. Каждое разрешение должно иметь дату его оформления и выдачи.

Широкое распространение имеет такой традиционный вид разрешения, как резолюция руководителя на самом классифицированном документе. Оно должно содержать: перечень фамилий сотрудников, обязанных ознакомиться с документами или их исполнить; срок исполнения; другие указания; подпись руководителя и дату. Руководитель может при необходимости предусмотреть ограничения в доступе конкретных сотрудников к определенным сведениям.

Резолюция как вид разрешения применяется главным образом для оперативного доведения до заинтересованных лиц закрытой информации, содержащейся

вдокументах и изделиях, поступаемой извне и создаваемой в организации. Руководитель организации может дать разрешение на доступ в распоряди-

тельных документах: приказах, указаниях, распоряжениях по организации. В них должны содержаться фамилии, должности лиц, конкретные классификационные документы и изделия, к которым они могут быть допущены(ознакомлены).

Другой вид разрешений – пофамильные списки лиц, имеющих право знакомиться и производить какие-либо действия с классифицированными документами и изделиями. Пофамильные списки утверждаются руководителем организации или в соответствии с действующей разрешительной системой руководителями, занимающими, как правило, должности не ниже руководителей соответствующих подразделений.

Пофамильные списки лиц могут использоваться при организации доступа к классифицированным документам и изделиям, имеющим особо важное значение для организации; при оформлении доступа в режимные помещения; на различ-

74

ного рода закрытые мероприятия (конференции, совещания, выставки, заседания научно-технических советов и т.п.). В пофамильных списках могут быть определены конкретные руководители, которые допускаются руководителем ко всем закрытым документам и изделиям без соответствующих письменных разрешений. В них указываются ФИО исполнителя работ, отдел, занимаемая должность, категория документов и изделий, к которым он допущен. На практике применим и вариант должностных списков, в которых указываются: должность исполнителя, объем документов (категории документов) и типы изделий, которыми необходимо пользоваться работникам организации, занимающим соответствующую списку должность. Следует отметить, что для организаций с небольшим объемом классифицированных документов и изделий может оказаться достаточным использование таких видов разрешения, как резолюция руководителя на самом документе, пофамильные и должностные списки.

В организационном плане пофамильные списки должны готовиться заинтересованными руководителями структурных подразделений. Перечень сотрудников, вошедших в список, визируется начальником СБ и утверждается руководителем организации, который может делегировать права утверждения другим лицам из числа дирекции.

Наряду со списками могут быть использованыперсональные карточки- разре-шения на доступ к классифицированной информации и изделиям.

Разрешительная система должна отвечать следующим требованиям:

–распространяться на все виды классифицированных документов и изделий, имеющихся в организации, независимо от их местонахождения и создания;

–определять порядок доступа всех категорий сотрудников, получивших право работать с КТ, а также специалистов, временно прибывших на предприятие и имеющих отношение к совместным закрытым заказам;

–устанавливать простой и надежный порядок оформления разрешений на доступ к охраняемым документам и изделиям, позволяющий незамедлительно реагировать на изменения в области информации в организации;

– четко разграничивать права руководителей различных должностных уровней в оформлении доступа соответствующих категорий исполнителей;

–исключать возможность бесконтрольной и несанкционированной выдачи документов и изделий кому бы то ни было;

–не разрешать лицам, работающим с классифицированной информацией и объектами, вносить изменения в учетные данные, а также подменять учетные документы.

При разработке разрешительной системы особое внимание должно быть уделено выделению главных, особо ценных для организации сведений, что позволит обеспечить к ним строго ограниченный доступ. При наличии совместных работ с другими организациями, иностранными фирмами или их отдельными представителями необходимо предусмотреть порядок доступа этих категорий к коммерческой тайне организации. Целесообразно определить порядок взаимодействия с представителями обслуживающих государственных организаций: технадзором, санэпидемстанцией и др.

75

Впределах разрешительной системы руководители среднего звена управления организацией могут:

–давать разрешение (в рамках полномочий) на доступ к классифицированным документам и сведениям исполнителям своего подразделения, исполнителей других подразделений по ходатайству их руководителей и в пределах их функциональных обязанностей;

–знать степень важности проводимых работ, разрабатываемых и находящихся в работе документации и изделий, задачи и функциональные обязанности своих подчиненных;

–незамедлительно сообщать в СБ об изменениях функциональных обязанностей сотрудников, не допуская адресования им документов и изделий до переоформления функциональных обязанностей в специальных решениях;

–не допускать со стороны подчиненных действий,влекущих за собой нарушение требований разрешительной системы, принимать меры к исключению неоправданного ознакомления с теми сведениями, которые не относятся к выполняемым обязанностям работника;

–осуществлять контроль над адресованием классифицированных документов и изделий, ознакомлением с ними командированных лиц.

Сотрудники СБ фирмы должны контролировать:

–правомочность выдачи охраняемой информации и изделий сотрудникам предприятия и командированным лицам;

–правомерность адресования классифицированных документов и изделий из одного подразделения в другое;

–порядок оформления на доступ к коммерческой тайне организации.

ВПоложении о разрешительной системеорганизации необходимо указать, что передача классифицированных документов и изделий от исполнителя к исполнителю возможна только в пределах структурного подразделения и с разрешения его руководителя. Передача, возврат таких документов, изделий производятся по установленному на фирме порядку и только в течение рабочего времени данного дня.

Вся классифицированная документация и изделия, поступившие в организацию и разработанные на нем, принимаются и учитываются работниками СБ. После регистрации документация передается на рассмотрение руководителю организации под расписку. Руководители могут передавать документы и изделия на исполнение после их регистрации только через СБ.

Предварительное рассмотрение оперативной переписки, оценка степени важности изделий осуществляются начальником (либо специально выделенным референтом директора), который определяет необходимость доклада полученной информации руководителю организации. Документы и изделия, не требующие обязательного рассмотрения директором организации, докладываются другим руководителям и начальникам структурных подразделений. Рассмотренные директором входящие и внутреннего распорядка документы и изделия адресуются соответствующим руководителям и исполнителям структурных подразделений, которые дают письменное разрешение на самих документах (сопроводительных листах к изделиям) соответствующим подчиненным им ис-

76

полнителям. Контроль правильности адресования документов и изделий осуществляется руководством подразделения экономической безопасности.

Переадресование классифицированных документов и изделий производится руководителями организации, указанными в разрешительной системе, или начальниками структурных подразделений в пределах своего подразделения. При несоответствии назначенного документа и изделия функциональным обязанностям исполнителя вопрос решается на соответствующем уровне с участием СБ.

Командированные лица могут быть допущены к закрытым сведениям только с разрешения руководителя организации или его заместителей, которым передано такое право. Оно дается письменно, должно четко определять объем коммерческой тайны и круг вопросов, по которым можно предоставлять информацию. В разрешении обязательно указывается должностное лицо организации, ответственное за прием и работу с командированными лицами.

Вкарточке о допуске командированного лица руководитель должен -ука зать, какие объекты, службы, помещения имеет право посетить командированный, на каких может присутствовать совещаниях и советах, рассматривающих только те вопросы, которые определены для него руководителем организации.

ВПоложении о разрешительной системе организации необходимо указать, что закрытые совещания по служебным вопросам проводятся только с разрешения руководителя организации или его заместителей. Особые требования могут распространяться на заседания ученых советов, совещания по рассмотрению результатов НИОКР и финансово-коммерческой деятельности и т.п. На такие мероприятия рекомендуется в обязательном порядке оформлять разрешительные списки и включать в них лишь тех сотрудников предприятия, которые имеют непосредственное отношение к планируемым мероприятиям и участие в которых вызывается служебной необходимостью.

Как отмечалось выше, сотрудники других организаций могут участвовать в закрытых совещаниях только с персонального разрешения руководства организации. Готовит списки, как правило, ответственный за организацию совещания

вконтакте с заинтересованными руководителями структурных подразделений. Список является основанием для организации контроля над допуском на данное совещание. Перед началом совещания сотрудник СБ предупреждает присутствующих, что обсуждаемая информация носит закрытый характер и не подлежит распространению за пределы установленной сферы обращения; выдает инструкции по порядку ведения записей.

Важно подчеркнуть, что установление в организации определенного порядка обращения с закрытой информацией и изделиями существенным образом повышает надежность защиты коммерческой тайны, снижает вероятность разглашения, утраты носителей этих сведений.

2.Мероприятия по реализации разрешительной системы доступа

ксведениям, составляющим коммерческую тайну организации

Врамках указанных направлений технической политики обеспечения -ин формационной безопасности организации необходимо:

–реализовать разрешительную систему допуска исполнителей (пользователей) к работам, документам и информации конфиденциального характера;

77

–ограничить доступ исполнителей и посторонних лиц в помещения, где проводятся работы конфиденциального характера, в том числе на объекты информатизации, на которых обрабатывается (хранится) информация конфиденциального характера;

–разграничить доступ пользователей к данным автоматизированных систем различного уровня и назначения;

–проводить учет документов, информационных массивов, регистрацию действий пользователей информационных систем, выполнять контроль несанкционированного доступа и действий пользователей;

–осуществлять криптографическое преобразование информации, обрабатываемой и передаваемой средствами вычислительной техники и связи;

–снижать уровень и информативность ПЭМИН, создаваемых различными элементами технических средств обеспечения производственной деятельности

иавтоматизированных информационных систем;

–снижать уровень акустических излучений;

–обеспечивать электрическую развязку цепей питания, заземления и других цепей технических средств, выходящих за пределы контролируемой территории;

–проводить активное зашумление в различных диапазонах;

–обеспечивать противодействие оптическим и лазерным средствам наблюдения;

–проводить проверку технических средств на объектах информатизации по выявлению включенных в них закладных устройств;

–обеспечивать предотвращение внедрения в автоматизированные информационные системы вредоносного программного обеспечения.

Основными задачами обеспечения безопасности информационных ресурсов

являются:

–организация и осуществление разрешительной системы допуска исполнителей к работе с документами и сведениями ограниченного доступа;

–организация хранения и обращения с конфиденциальными документами (носителями информации);

–осуществление закрытой переписки и шифрованной связи;

–организация и координация работ по защите информации, обрабатываемой и передаваемой средствами и системами вычислительной техники и связи;

–решение проблем безопасности в процессе проведения конфиденциальных совещаний, переговоров;

–проведение контроля сохранности конфиденциальных документов(носителей информации), защита информации, обрабатываемой и передаваемой средствами и системами вычислительной техники и связи.

Защита информационных ресурсов от несанкционированного доступапре-

дусматривает:

–обоснованность доступа исполнителя(пользователя) к соответствующей форме допуска для ознакомления с документацией(информацией) определенного уровня конфиденциальности в целях выполнения производственных функций;

78

–персональную ответственность исполнителя(пользователя) за сохранность доверенных ему документов(носителей информации, информационных массивов), за свои действия в информационных системах;

–надежность хранения документов (носителей информации, информационных массивов) в условиях, исключающих несанкционированное ознакомление

сними, их уничтожение, подделку или искажение;

–разграничение информации по уровню конфиденциальности,заключающееся в предупреждении показания сведений более высокого уровня конфиденциальности в документах (носителях информации, информационных массивах) с более низким уровнем конфиденциальности, а также предупреждение передачи конфиденциальной информации по незащищенным линиям связи;

–контроль действий исполнителей (пользователей) с документацией и сведениями, а также в автоматизированных системах и системах связи;

–целостность технической и программной среды, обрабатываемой информации и средств защиты, заключающаяся в физической сохранности средств информатизации, неизменности программной среды, определяемой предусмотренной технологией обработки информации, выполнении средствами защиты предусмотренных функций, изолированности средств защиты от пользователей.

Требование обоснованности доступареализуется в рамках разрешительной системы допуска к работам, документам и сведениям, в которой устанавливается:

–кто, кому, в соответствии с какими полномочиями, какие документы и сведения (носители информации, информационные массивы), для каких действий или для какого вида доступа может предоставить и при каких условиях;

–определение программно-технических средств доступа для всех пользователей автоматизированных систем информационных и программных ресурсов,

атакже правила их доступа к конкретным операциям(чтение, запись, модификация, удаление и т.п.).

Положение о персональной ответственности реализуется с помощью:

–подписи исполнителей в журналах, карточках учета, других разрешительных документах, а также на самих документах;

–индивидуальной идентификации пользователей и инициированных ими процессов в автоматизированных системах;

–проверки подлинности (аутентификации) исполнителей (пользователей) на основе использования паролей, ключей, магнитных карт, цифровой подписи,

атакже биометрических характеристик личности как при доступе в автоматизированные системы, так и в выделенные помещения (зоны).

Условие надежности хранения реализуется с помощью:

–хранилищ конфиденциальных документов, оборудованных техническими средствами охраны в соответствии с установленными требованиями, доступ в которые ограничен и осуществляется в установленном порядке;

–выделения помещений, в которых разрешается работа с конфиденциальной документацией, оборудованных сейфами и металлическими шкафами, а также ограничения доступа в эти помещения;

79

–использования криптографического преобразования информации в автоматизированных системах.

Правило разграничения информации по уровню конфиденциальности реализуется с помощью предварительно учтенных тетрадей для ведения конфиденциальных записей или носителей информации, предназначенных для информации определенного уровня секретности.

Система контроля действий исполнителей реализуется с помощью:

–организационных мер контроля при работе исполнителей с конфиденциальными документами и сведениями;

–регистрации (протоколирования) действий пользователей с информационными и программными ресурсами автоматизированных систем с указанием даты и времени, идентификаторов запрашивающего и запрашиваемых ресурсов, вида взаимодействия и его результата, включая запрещенные попытки доступа;

–сигнализации о несанкционированных действиях пользователей.

Очистка памяти осуществляется организационными и программными -ме рами, а целостность автоматизированных систем обеспечивается комплексом программно-технических средств и организационных мероприятий.

Контрольные вопросы

1.Как реализуется разрешительная система доступа исполнителей к классифицированным документам и сведениям в организации?

2.Соблюдение каких правил позволяет обеспечить эффективную работу разрешительной системы доступа исполнителей к классифицированным документам и сведениям, составляющим коммерческую тайну?

3.Каким требованиям должна отвечать разрешительная система доступа исполнителей к классифицированным документам и сведениям, составляющим коммерческую тайну?

4.Какие мероприятия по реализации разрешительной системы доступа к сведениям, составляющим коммерческую тайну, должны выполняться в организации?

5.Какие внутренние организационно-распорядительные документы должны входить в перечень документов по защите информации в организации?