Основным способом защиты информации от различных угроз являются строгая регламентация специализирован­ных технологических процедур учета и контроль за соблю­дением работниками утвержденных руководством требова­ний и правил.

Учет конфиденциальных документов должен решать за­дачи фиксирования следующих фактов:

• 
  поступления пакета с документами, отдельного бумаж­ного или машиночитаемого документа, или докумен­та, поступающего по электронной и факсимильной почте (линиям связи);
  
• 
  регистрации исходных сведений о документе и вклю­чения его в справочно-информационный банк данных по документам;
  
• 
  переноса информации с бумажного носителя на ма­шинный носитель или помещения бумажного доку­мента в соответствующее дело;
  
• 
  перемещение документа в процессе его рассмотрения и исполнения, регистрация рабочих сведений;
  
• 
  местонахождение документа в любой момент време­ни в период исполнения документа и при его архив­ном хранении;
  
• 
  регистрация исходных сведений о документе;
  
• 
  дата начала и окончания составления, изготовления и издания документа;
  
• 
  дальнейшей работы над документом или отправле­ния его по адресу;
  
• 
  оформления специально подготовленных носителей для составления конфиденциальных документов;
  
• 
  перевода документа с одного виды учета на другой и идентификации учетных номеров;
  
• 
  обеспечения поисковой, справочной и контрольной работы по конфиденциальным документам;
  
• 
  регулярного удостоверения комплексности докумен­та при выполнении каждой технологической проце­дуры с целью предупреждения утраты копий и экзем­пляров документа, черновиков, редакций, приложе­ний, отдельных листов и рабочих записей.
  

Гриф конфиденциальности присваивается документу:

• 
  исполнителем при подготовке к составлению проекта документа;
  
• 
  руководителем структурного подразделения (направ­ления деятельности) или руководителем фирмы при согласовании или подписании документа;
  
• 
  работником службы при первичной обработке посту­пающих документов, если конфиденциальный для фир­мы документ не имеет грифа ограничения доступа.
  

Руководители всех рангов и исполнитель должны нести персональную ответственность за своевременное или пра­вильное установление, изменение и снятие грифа конфиден­циальности. Фактическое изменение или снятие грифа дол­жно осуществлять должностное лицо, подписавшее (утвер­дившее) документ, а также первый руководитель фирмы.

---

В большинстве фирм (организаций) ведется автоматизи­рованный учет конфиденциальных документов. Он вклю­чает в себя следующие процедуры:

• 
  подготовка документов к вводу в ЭВМ;
  
• 
  ввод исходных сведений о документах в автоматизи­рованный банк данных;
  
• 
  ввод в предварительный массив автоматизированно­го банка данных электронных документов, докумен­тов на магнитном носителе и путем сканирования — бумажных документов;
  
• 
  распечатка на бумажном носителе (карточке) исход­ных учетных сведений о документе, при необходимо­сти — распечатка на бумажном носителе копий элек­тронных документов;
  
• 
  ежедневная проверка правильности регистрации до­кументов и их наличия;
  
• 
  изготовление на учтенной дискете страховой копии документа, поступившего по линии электронной по­чты;
  
• 
  перенос электронных документов из предварительного массива в основной рабочий массив (после выполне­ния учетных операций);
  
• 
  обозначение на бумажном документе или сопрово­дительном письме к дискете отметки о вводе докумен­та в базу данных с указанием его учетного (поиско­вого) номера;
  
• 
  подшивка бумажного документа и бумажной копии электронного документа в дело в соответствии с но­менклатурой дел и помещение страховых дискет (в том числе копий поступивших дискет) в ячейку места хранения.
  

На основе применяемых традиционных и электронных регистрационных форм создается справочно-информационный банк данных (учетный аппарат), который предназ­начен для контроля за сохранностью документов, накопле­ния и систематизации исходных данных о документах, ак­туализации массивов информации — внесения в учетные формы рабочих сведений в процессе исполнения или исполь­зования документов, обеспечения контроля за исполнением документов и проверки их наличия.

Для сохранения информации и ее безопасности необхо­димо утраивать проверки наличия документов. Целью про­верки является установление их реального соответствия за­писям в учетных формах, сохранности, целостности и ком­плексности, а также своевременное выявление фактов утра­ты конфиденциальных материалов и определение правиль­ности выполнения процедур и операций по их учету, хранению и использованию. Проверки стимулируют тщатель­ное соблюдение всеми сотрудниками фирмы требований по работе с конфиденциальными материалами, обеспечение их физической сохранности.

Регламентированные (обязательные) проверки могут проводиться ежедневно

---

, ежеквартально и по окончании ка­лендарного года. Они охватывают весь массив конфиден­циальных материалов. Нерегламентированные проверки осуществляются при смене руководителей подразделений или направлений деятельности фирмы, увольнении сотруд­ников, после завершения экстремальной ситуации, при вы­явлении факта возможной утраты информации и в других случаях. Этот вид проверки обычно ограничивается конк­ретной частью конфиденциальных материалов.

Ежедневные проверки проводятся в конце рабочего дня всеми сотрудниками фирмы, работающими с конфиденци­альными материалами. Квартальные и готовые проверки осуществляются специально назначаемой комиссией. По ре­зультатам квартальной и годовой проверок составляется акт.

Отсутствие документа, дела или носителя информации у сотрудника, которому они были выданы, считается утра­той материалов. В подобном случае должен быть состав­лен акт и немедленно доложено об утрате первому руково­дителю организации для принятия решения. Акт необходи­мо составить также и в случае обнаружения в базе данных компьютера сотрудника или на дискете неучтенной или не­санкционированно сохраненной копии электронного доку­мента.

Сохранность электронных документов и баз данных

При организации доступа сотрудников фирмы (органи­зации) к конфиденциальным массивам электронных доку­ментов, базам данных необходимо помнить о его много­ступенчатом характере. Можно выделить следующие его главные составные части:

• доступ к персональному компьютеру, серверу или ра­бочей станции;

• доступ к машинным носителям информации, хранящейся вне ЭВМ;

• непосредственный доступ к базам данных и файлам.
Доступ к персональному компьютеру, серверу или ра­бочей станции, которые используются для обработки кон­фиденциальной информации, предусматривает:

• 
  определение и регламентацию первым руководителем фирмы состава сотрудников, имеющих право доступа (входа) в помещение, в котором находятся соответству­ющая вычислительная техника, средства связи;
  
• 
  регламентацию первым руководителем временного режима нахождения этих лиц в указанных помеще­ниях;
  
• 
  персональное и временное протоколирование (фик­сирование) руководителем подразделения или направ­ления деятельности фирмы наличия разрешения и пе­риода работы этих лиц в иное время (например, в ве­черние часы, выходные дни и др.);
  
• 
  организацию охраны этих помещений в рабочее и нерабочее время, определение правил вскрытия по­мещений и отключения охранных технических средств информации и сигнализирования; определение пра­вил постановки помещений на охрану; регламента­цию работы указанных технических средств в рабо­чее время;
  
• 
  организацию контролируемого (в необходимых слу­чаях пропускного) режима входа в указанные поме­щения и выхода из них;
  
• 
  организацию действий охраны и персонала в экстре­мальных ситуациях или при авариях техники и обо­рудования помещений;
  
• 
  организацию выноса из указанных помещений ма­териальных ценностей, машинных и бумажных но­сителей информации, а также контроль вносимых в помещение и выносимых персоналом личных вещей.
  

---

Несмотря на то, что по окончании рабочего дня конфи­денциальные сведения должны быть перенесены на гибкие носители и стерты с жесткого диска компьютера, помеще­ния, в которых находится вычислительная техника, подле­жат охране. Объясняется это тем, что, во-первых, в неохра­няемый компьютер легко установить какое-либо средство промышленного шпионажа, во-вторых, злоумышленник может с помощью специальных методов восстановить стер­тую конфиденциальную информацию на жестком диске (про­извести «уборку мусора»).

Доступ к машинным носителям конфиденциальной ин­формации, хранящимся вне ЭВМ, предполагает:

• 
  организацию учета и выдачи сотрудникам чистых машинных носителей информации;
  
• 
  организацию ежедневной фиксируемой выдачи со­трудникам и приема от сотрудников носителей с за­писанной информацией (основных и резервных);
  
• 
  определение и регламентацию первым руководителем состава сотрудников, имеющих право оперировать конфиденциальной информацией с помощью компь­ютеров, установленных на их рабочих местах, и по­лучать учтенные машинные носители информации;
  
• 
  организацию системы закрепления за сотрудниками машинных носителей информации и контроля за со­хранностью и целостностью информации, учета ди­намики изменения состава записанной информации;
  
• 
  организацию порядка уничтожения информации на носителе, порядка и условий физического уничтоже­ния носителя.
  

Работа сотрудников и фирмы в целом с машинными но­сителями информации вне ЭВМ должна быть организова­на по аналогии с бумажными конфиденциальными доку­ментами.

Доступ к конфиденциальным базам данных и файлам является завершающим этапом доступа сотрудника фирмы к компьютеру. И если этот сотрудник — злоумышленник, то можно считать, что самые серьезные рубежи защиты ох­раняемой электронной информации он успешно прошел. В конечном счете он может просто унести компьютер или вынуть из него и унести жесткий диск, не «взламывая» базу данных.

Обычно доступ к базам данных и файлам подразумевает:

• 
  определение и регламентацию первым руководителем состава сотрудников, допускаемых к работе с опреде­ленными базами данных и файлами;
  
• 
  контроль системы доступа администратором базы данных;
  
• 
  именование баз данных и файлов, фиксирование в машинной памяти имен пользователей и операторов, имеющих право доступа к ним;
  
• 
  учет состава базы данных и файлов, регулярную про­верку наличия, целостности и комплектности элект­ронных документов;
  
• 
  регистрацию входа в базу данных, автоматическую регистрацию имени пользователя и времени работы; сохранение первоначальной информации;
  
• 
  регистрацию попытки несанкционированного входа в базу данных, регистрацию ошибочных действий пользо­вателя, автоматическую передачу сигнала тревоги ох­ране и автоматическое отключение компьютера;
  
• 
  установление и нерегулярное по сроку изменение имен пользователей, массивов и файлов (паролей, кодов, классификаторов, ключевых слов и т. п.), осо­бенно при частой смене персонала;
  
• 
  отключение ЭВМ при нарушениях в системе регули­рования доступа или сбое системы защиты информа­ции; механическое (ключом или иным приспособле­нием) блокирование отключенной, но загруженной ЭВМ при недлительных перерывах в работе пользо­вателя.
  

---

Коды, пароли, ключевые слова, ключи, шифры, специ­альные программные продукты, аппаратные средства и т.п. атрибуты системы защиты информации в ЭВМ разра­батываются, меняются специализированной организацией и индивидуально доводятся до сведения каждого пользова­теля работником этой организации или системным администратором. Применение пользователем собственных ко­дов не допускается.

Для шифрования данных разработаны специальные про­граммы или системы (так называемые криптосистемы). Су­ществуют определенные требования, предъявляемые к ним:

• 
  зашифрованное сообщение должно поддаваться чте­нию только при наличии ключа;
  
• 
  число операций, необходимых для определения ис­пользованного ключа шифрования по фрагменту шиф­рованного сообщения и соответствующего ему откры­того текста, должно быть не меньше общего числа возможных ключей;
  
• 
  число операций, необходимых для расшифровывания информации путем перебора всевозможных ключей, должно иметь строгую нижнюю оценку и выходить за пределы возможностей современных компьютеров (с учетом возможности использования сетевых вычис­лений);
  
• 
  знание алгоритма шифрования не должно влиять на надежность защиты;
  
• 
  незначительное изменение ключа должно приводить к существенному изменению вида зашифрованного со­общения даже при использовании одного и того же ключа;
  
• 
  структурные элементы алгоритма шифрования долж­ны быть неизменными;
  
• 
  дополнительные биты, вводимые в сообщение в про­цессе шифрования, должны быть полностью и надеж­но скрыты в шифрованном тексте;
  
• 
  длина шифрованного текста должна быть равной дли­не исходного текста;
  
• 
  не должно быть простых и легко устанавливаемых зависимостью между ключами, последовательно ис­пользуемыми в процессе шифрования;
  
• 
  любой ключ из множества возможных должен обес­печивать надежную защиту информации;
  
• 
  алгоритм должен допускать как программную, так и аппаратную реализацию, при этом изменение длины ключа не должно вести к качественному ухудшению алгоритма шифрования. Так же могут быть применены и другие меры.
  

---

Смотрите также файлы

• Контрольная работа по дисциплине Психология делового общения.docx

• Кейс Обеспечение качества при логистических операциях.docx

• План диагностики.docx

• Анализ конструктивных особенностей станка модели.doc

• Практикум 2 Студент Забиров А. Р. Факультет Информационные системы и технологии информационной безопасности.docx