Место расположения исследуемого объекта защиты
План этажа объекта защиты
1.2. Сведения об объекте защиты
1. Объекты, подлежащие оснащению комплексом защиты корпоративной сети (наименование, характеристика деятельности).
2. Решаемые комплексом защиты проблемы (как минимум контроль несанкционированного доступа (указать к чему). Общие данные о функционировании информационной системы.
3. Порядок назначения прав по доступу к критичным ресурсам.
4. Регламент резервирования и восстановления критичной информации.
5. Наличие ответственного администратора сети (безопасности сети).
6. Расположение критичной информации.
7. Информационные потоки критичной информации, относительно рабочих станций, серверов, сегментов.
8. Наличие систем электронного документооборота.
9. Наличие критичных для предприятия процессов электронной обработки и передачи данных.
10. Возможность круглосуточной работы.
2. Методические рекомендации по составлению перечня сведений, составляющих служебную тайну.
1. Указом Президента Российской Федерации № 188 от 6 марта 1997 года ''Об утверждении перечня сведений конфиденциального характера'' (далее – Перечень) определены служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским Кодексом Российской Федерации и федеральными законами (Приложение №1).
Перечень содержит общие признаки служебных сведений, подлежащих защите и предполагает их конкретизацию и разработку развернутых Перечней в органах государственной власти.
2. Организацию работ по формированию Перечня рекомендуется определять в специальном документе ''Положении о порядке разработки перечня сведений, составляющих служебную тайну организации, учреждения''.
3. ''Положение…''должно содержать методические указания по подготовке предложений и принятию решений о включении в Перечень сведений, составляющих служебную тайну за структурные подразделения и за организацию в целом, перечень должностных лиц, имеющих право вносить предложения по изменению Перечня, проведению административного расследования в случае несанкционированного распространения (разглашения, передачи, утечки, хищения) указанных сведений и наказанию лиц, виновных в этом согласно Уголовного и Административного Кодексов РФ.
42. Гражданским Кодексом РФ (ст.139) определены следующие три признака служебной тайны, как особого объекта гражданских прав:
соответствующая информация неизвестна третьим лицам;
к ней нет свободного доступа на законном основании;
собственник информации принимает меры обеспечения ее конфиденциальности.
В общем случае под служебной тайной надо понимать сведения, связанные с производственной, управленческой, финансовой или другой экономической деятельностью организации, разглашение (передача, утечка, хищение) которой может нанести ущерб ее интересам и не являющиеся государственными секретами. К таким сведениям относятся:
информация, содержащая сведения, используемые сотрудниками организации для работы в служебных целях;
данные, полученные в результате обработки служебной информации с помощью технических средств (оргтехники);
документы (носители), образующиеся в результате творческой деятельности сотрудников организации, включающие в себя сведения любого происхождения, вида и назначения, необходимые для нормального функционирования организации.
5. Федеральный Закон ''Об информации, информатизации и защите информации'' регулирует взаимоотношения в информационной сфере только при обращении с документированной информацией (документами), под которой понимается зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать.
В соответствии с ГОСТ 6.38-90 ''Система организационно-распорядительной документации. Требования к оформлению документов'', ГОСТ 6.10.4-84 ''Унифицированные системы документации. Придание юридической силы документам на машинном носителе и машинограммах, создаваемым средствами вычислительной техники'' введен 31 реквизит документа. Главным из них является текст, поэтому любая информация, изложенная в виде связного текста уже может рассматриваться как документ. Особый порядок существует только для документов, полученных из автоматизированных информационных систем, где может применяться процедура их заверения электронной цифровой подписью.
6. Сведения, включенные в Перечень, имеют ограничительный характер на использование информации, составляющей служебную тайну в части интеллектуальной, материальной, финансовой собственности и других интересов, возникающих при организации трудовой деятельности работников (персонала) организации, а также при их сотрудничестве с работниками других организаций и предприятий, что требует тщательной проработки всех разделов и пунктов Перечня.
7. Для работы по составлению Перечня должен привлекаться широкий круг экспертов, включая представителей юридических, финансово-экономических, режимно-секретных служб и должностных лиц организации с тем, чтобы ни одно из возможных направлений ее деятельности не было упущено при его разработке.
Руководство работой по формированию Перечня, как правило, должно возлагаться на заместителя руководителя организации ответственного за вопросы безопасности и режима.
8. Для непосредственного формирования Перечня в организации должна создаваться экспертная комиссия (далее – Комиссия). Комиссия должна осуществлять анализ всех сторон деятельности организации и подчиненных ей подразделений, а также координировать вопросы, касающиеся их совместных действий по формированию Перечня, путем обобщения поступающих предложений.
9. Работа по формированию Перечня и определению сведений, составляющих служебную тайну, должна состоять из следующих этапов:
составление предварительного перечня сведений, содержащих служебную тайну, для структурных подразделений (отделов, служб) организации;
определение возможного ущерба, наступающего в результате несанкционированного распространения сведений, включаемых в Перечень;
определение преимуществ открытого использования рассматриваемых сведений по сравнению с закрытым использованием;
определение затрат на защиту рассматриваемых сведений;
принятие решения о включении сведений в окончательный вариант Перечня;
составление обобщенного Перечня и рассмотрение его на заседании экспертной комиссии;
оформление результатов работы по формированию Перечня, его согласование и утверждение.
10. Предварительный Перечень сведений, составляющих служебную тайну, разрабатывается под руководством начальников подразделений организации в соответствии с указаниями заместителя руководителя организации, ответственного за безопасность и режим, а также ''Положением о порядке разработки перечня сведений, составляющих служебную тайну организации, учреждения''.
11. После формирования предварительных разделов Перечня за структурные подразделения они за подписью руководителей этих подразделений представляются в Комиссию. Комиссией должны рассматриваться все сведения о деятельности структурных подразделений, об используемых методах и технологиях, вероятности использования полученной информации техническими разведками иностранных государств и криминальных структур в случае открытого доступа к этой информации. При этом каждое сведение должно оцениваться по степени важности (ценности). Сведения, переносимые из предварительного в обобщенный вариант Перечня за организацию в целом, должны иметь четкую и конкретную формулировку, исключающую неоднозначность их понимания (толкования).
12. При определении возможного ущерба, наступающего в результате несанкционированного распространения сведений, включаемых в Перечень, Комиссия должна определить возможный ущерб, который может быть нанесен интересам деятельности организации в случае несанкционированного распространения (разглашения, передачи, утечки, хищения и т. д.) рассматриваемых сведений.
Возможный ущерб должен оцениваться с использованием качественных или количественных показателей, влияющих на состояние защиты охраняемых сведений и исключающих возможность нанесения организации морального, материального, производственного, финансового и другого урона.
Количественные (стоимостные) показатели возможного ущерба должны определяться уровнем снижения эффективности в какой-либо области деятельности организации, в основном производственной или финансовой, а качественные — степенью возможности срыва в получении определенных преимуществ в достижении поставленных целей.
В то же время при качественной или количественной оценке ущерба, который может понести организация при разглашении этих сведений, должны учитываться потери, возникающие не только в настоящее время, но и в будущем, а также возможность нанесения ущерба взаимодействующим организациям.
При невозможности оценить ущерб в стоимостном выражении допускается проводить оценку только с помощью качественных показателей или факторов. Качественный или количественный анализ оценки ущерба в конечном итоге должен позволить Комиссии определить конкретные сведения (информацию или ее составную часть), которые необходимо защищать.
Ущерб должен оцениваться по служебным сведениям, за исключением:
сведений, охраняемых службой режима с помощью государственной системы мер по защите государственных секретов;
сведений, являющихся общедоступными на законных основаниях;
учредительных документов (решение о создании организации или договор учредителей) и Устава;
документов, дающих право заниматься основной деятельностью (регистрационные удостоверения, лицензии, патенты);
сведений по установленным формам отчетности о финансово-хозяйственной деятельности и иных сведений, необходимых для проверки правильности исчисления и уплаты налогов и других обязательных платежей в государственную бюджетную систему России;
документов о платежеспособности, сведений о численности, составе работающих, их заработной плате и условиях труда, а также о наличии свободных рабочих мест;
документов об уплате налогов и обязательных платежах;
сведений о загрязнении окружающей среды, нарушении антимонопольного законодательства, несоблюдении безопасных условий труда, реализации продукции, причиняющей вред здоровью населения, а также других нарушениях законодательства Российской Федерации и размерах причиненного при этом ущерба;
сведений и материалов научно-технического характера после их публикации в открытой печати;
сведений статистического характера, передаваемых в соответствующие государственные органы и общественные организации без установления условий конфиденциальности их использования.
При оценке количественных и качественных показателей ущерба от несанкционированного распространения сведений, составляющих служебную тайну, должны учитываться отрицательные последствия, к которым относятся:
снижение эффективности решаемых задач и уровня сотрудничества с организациями и предприятиями по различным вопросам взаимодействия (служебные, финансовые, и т.д.);
срыв или невыполнение планов работ и договорных обязательств;
создание трудностей в организации эффективной защиты объектов и проводимых работ;
необходимость дополнительных затрат на проведение исследований и работ для сохранения эффективности решения задач в области деятельности организации;
потеря приоритета в использовании эффективных технологий;
престижные и моральные факторы, связанные с потерей эффективности решаемых задач в области деятельности организации.
Специалистами фирмы IBM была предложена следующая эмпирическая формула расчета ожидаемых потерь от i-ой угрозы :
Ri = 10 (Si + Vi – 4)
где Si – коэффициент, характеризующий возможную частоту возникновения соответствующей угрозы; Vi - коэффициент, характеризующий значение возможного ущерба при ее возникновении.
Значения коэффициента Si
Ожидаемая (возможная) частота появления угрозы |
Предлагаемое значение Si |
Почти никогда |
0 |
1 раз в 1000 лет |
1 |
1 раз в 100 лет |
2 |
1 раз в 10 лет |
3 |
1 раз в 1 год |
4 |
1 раз в месяц |
5 |
2 раза в неделю |
6 |
3 раза в день |
7 |
Значения коэффициента Vi
Значение возможного ущерба при появлении угрозы (доллары США) |
Значение коэффициента |
1 |
0 |
10 |
1 |
100 |
2 |
1000 |
3 |
10000 |
4 |
100000 |
5 |
1000000 |
6 |
10000000 |
7 |
Суммарная стоимость потерь определяется формулой
n
R = Ri
i=1