8.2. Система захисту цінної інформації і конфіденційних документів
Система захисту інформації (СЗІ) представляє собою комплекс організаційних, технічних і технологічних засобів, методів і мір, які перешкоджають несанкціонованому (незаконному) доступу до інформації.
Власник інформації особисто визначає не тільки склад цінної інформації, яка належить захисту, але й відповідні способи та засоби захисту. Одночасно ним розробляються міри матеріального і морального стимулювання співробітників, які дотримуються порядку захисту цінної інформації, і міри відповідальності персоналу за розголошення таємниці фірми. Система захисту інформації повинна бути багаторівневою з ієрархічним доступом до інформації, гранично конкретизованою і прив'язаною до специфіки фірми по структурі методів та засобів захисту, що використовуються, відкритою для регулярного оновлення, надійної як в звичайних, так і в екстремальних
ситуаціях. Вона не повинна створювати співробітникам фірми серйозні незручності в роботі.
Комплексність системи захисту досягається її формуванням з різних елементів - правових, організаційних, технічних та програмно-математичних. Співвідношення елементів та їх зміст забезпечують індивідуальність системи захисту інформації фірми і гарантують її неповторність та трудність подолання. Конкретну систему захисту можна уявити у вигляді цегляної стіни, як складається з безлічі різноманітних елементів (цегли). Співвідношення елементів системи, їх склад та взаємозв'язок відображають, визначають не тільки її індивідуальність, але й конкретний заданий рівень захисту з врахуванням цінності інформації та вартості подібної системи.
Елемент правового захисту інформації передбачає:
наявність в засновницькій та організаційних документах фірми, контрактах, що укладаються із співробітниками, і в посадових інструкціях положень та зобов'язань по захисту відомостей, що складають таємницю фірми і її партнерів,
формулювання і доведення до відома всіх співробітників фірми механізму правової відповідальності за розголошення конфіденційних відомостей.
В правовий елемент системи захисту може також включатись страхування цінної інформації від різних ризиків.
Елемент організаційного захисту інформації містить міри управлінського та обмежувального характеру, які спонукають
персонал дотримуватися правил захисту конфіденційної інформації і
включає в себе:
формування і регламентацію діяльності служби безпеки фірми, забезпечення цієї служби нормативно-методичними документами по організації і технології захисту інформації;
регламентацію та регулярне оновлення переліку (списку) цінної, конфіденційної інформації, яка підлягає захисту, складання і ведення переліку конфіденційних документів фірми;
регламентацію системи (ієрархічної схеми) обмеження доступу персоналу до конфіденційної інформації;
регламентацію технології захисту і обробки конфіденційних документів фірми;
побудова захищеного традиційного або безпаперового
документообігу;
побудова технології документування цінної інформації, складання,
оформлення, виготовлення і видавництва конфіденційних
документів;
побудова технологічної системи обробки і збереження конфіденційних; документів;
організацію архівного зберігання конфіденційних документів; регламентацію захисту цінної інформації фірми від несанкціонованих дій персоналу;
порядок і правила роботи персоналу з конфіденційними документами і інформацією, контроль за виконанням всіма співробітниками цього порядку і правил;
відбір персоналу для роботи з конфіденційною інформацією, навчання та інструктування співробітників;
порядок захисту інформації при веденні переговорів, проведенні нарад по конфіденційним питанням, прийомі відвідувачів, здійснення рекламної, виставочної та іншої діяльності;
регламентацію аналітичної роботи по виявленню загроз цінній інформації фірми і каналів витоку інформації;
обладнання і атестацію приміщень і робочих зон, виділених для здійснення конфіденційної діяльності, ліцензування технічних систем і засобів захисту інформації та охорони;
регламентацію пропускного режиму на території, в будівлях і приміщеннях фірми, ідентифікацію персоналу та вантажу;
регламентацію системи охорони території, будівлі, приміщень, обладнання, грошових засобів, транспорту і персоналу фірми;
регламентацію організаційних питань експлуатації технічних засобів захисту інформації і охорони;
регламентацію дій служби безпеки і персоналу в екстремальних ситуаціях;
регламентацію роботи по управлінню системою захисту інформації фірми.
Елемент організаційного захисту є стержнем, який зв'язує в одну систему всі інші елементи.
Центральною проблемою при розробці методів організаційного захисту інформації є формування дозвільної
(обмежувальної) систем і доступу персоналу до конфіденційних відомостей, документів і баз даних. Важливо чітко і однозначно встановити: хто, кого, до яких, відомостей, коли, на який період і як допускає.
Дозвільна система доступу вирішує наступні задачі:
забезпечення співробітників всіма необхідними для роботи документами і інформацією;
обмеження кола осіб, які допускаються до конфіденційних
документів;
виключення несанкціонованого ознайомлення з документу
Ієрархічна послідовність доступу реалізується по принципу "чим вища цінність конфіденційних відомостей, тим менша чисельність співробітників можуть їх знати". У відповідності з цією послідовністю визначається необхідний ступінь посилення захисних мір, структура рубежів (ешелонів) захисту інформації.
Доступ співробітника до конфіденційних відомостей, який здійснюється у відповідності з дозвільною системою, називається санкціонованим. Дозвіл (санкція) на доступ до цих відомостей завжди є строго персоніфікованим і видається керівником в письмовому вигляді: наказом, що затверджує схему посадового чи іменного доступу до інформації, резолюцією на документі, списком-дозволом в карточці видачі справи або на обложці справи ознайомлення з документом.
Організаційні міри захисту відображаються в нормативно-методичних документах служби безпеки фірми. У зв'язку з цим часто
використовується єдина назва двох розглянутих вище елементів системи захисту - елемент організаційно-правового захисту інформації. Елемент технічного захисту включає:
засоби захисту технічних каналів витоку інформації, що виникають під час роботи ЕОМ, засобів зв'язку, копіювальних апаратів, принтерів, факсів та інших приладів і обладнання;
засоби захисту приміщень від візуальних та акустичних способів технічної розвідки;
засоби охорони будівель і приміщень від проникнення сторонніх осіб (засоби спостереження, сповіщення, сигналізації, інформування і ідентифікації, інженерні споруди);
засоби протипожежної охорони;
засоби виявлення приладів і пристроїв технічної розвідки
(підслуховувальних та передавальних пристроїв,
звукозаписувальної та телевізійної апаратури і т.д.).
Елемент програмно-математичного захисту інформації включає:
регламентацію доступу до електронних документів персональними паролями, що ідентифікуються командами та іншими найпростішими методами захисту;
регламентацію спеціальних засобів і продуктів програмного захисту;
регламентацію криптографічних методів засобів захисту інформації в ЕОМ та мережах, криптографування (шифрування) тексту під час передачі їх по каналам звичайного та
факсимільного зв'язку, під час пересилки поштою.
В кожному елементі захисту можуть бути реалізовані на практиці тільки окремі складові частини. Наприклад, в організаційному захисті можна регламентувати тільки прийоми обробки конфіденційних документів і систему доступу до них персоналу. Методи і засоби захисту інформації в рамках системи захисту повинні регулярно змінюватись з метою попередження їх розкриття зловмисником.
Конкретна система захисту інформації фірмі завжди є строго конфіденційною. Спеціалісти, які розробляли що систему, ніколи не повинні бути її користувачами.
Отже, система захисту конфіденційної інформації, яка використовується фірмою, є індивідуалізованою сукупністю необхідних елементів захисту, кожний з яких окремо вирішує свої специфічні для даної фірми задачі і володіє конкретизованим відносно цих задач змістом. В комплексі ці елементи формують багатограничний захист секретів фірми і дають відносну гарантію безпеки підприємницької діяльності фірми.