Файл: В. Б. Кравченко (директор Института информационных наук и технологий безопасности Российского государственного гуманитарного университета).pdf
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 02.02.2024
Просмотров: 697
Скачиваний: 0
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
СОДЕРЖАНИЕ
3.3. Характер основной деятельности
предприятия
Одним из основных факторов, определяющих состав исполь
зуемой предприятием информации ограниченного доступа и сте
пень ее конфиденциальности является характер его основной дея
тельности.
По виду деятельности предприятия могут быть классифициро
ваны следующим образом: производственные предприятия; пред
приятия, оказывающие услуги; торговые предприятия; добываю
щие предприятия; перерабатывающие предприятия; транспорт
ные предприятия; предприятия, осуществляющие разные виды деятельности, и т.д.
КСЗИ предприятий, осуществляющих различные виды деятель
ности, отличаются специфическими особенностями, связанными с организацией и проведением организационных, правовых и тех
нических мероприятий ЗИ.
Так, например, если предприятие осуществляет свою деятель
ность в области производства продукции военного назначения или в атомной энергетике, то в большинстве случаев такая деятель
ность связана с допуском к проведению работ со сведениями, со
ставляющими государственную тайну. Вместе с тем большинство предприятий, производящих продовольственные товары, перера
батывающих сельхозпродукцию, с такими сведениями могут быть связаны только при наличии у них мобилизационного задания.
В условиях возрастающей конкуренции, в том числе недобро
совестной, необходимость отнесения к коммерческой тайне лю
бого из предприятий информации, «позволяющей ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду», является одним из основных условий успешного суще
ствования и развития предприятия. По этой причине указанный
3
Грибунин
65
• контроль осуществляется федеральными органами, уполно
моченными в области безопасности, обороны, внешней разведки, технической защиты информации и ПД TCP;
• допуск предприятия к работам — лицензируемый вид дея
тельности;
• допуск персонала — по согласованию с органами безопасности;
• применяемые средства защиты подлежат сертификации;
• передача сведений контрагентам — с разрешения федераль
ного органа, в распоряжении которого они находятся;
• передача сведений другим государствам — по решению Пра
вительства Российской Федерации;
• уголовная ответственность за разглашение сведений (утрату их носителей).
Служебная тайна [31]:
• состав подлежащих защите сведений определяется организа
цией;
• общие меры защиты определены Правительством Российской
Федерации, остальные — руководителями федеральных органов исполнительной власти;
• контроль осуществляется руководителями организаций (для подведомственных — руководителями федеральных органов ис
полнительной власти);
• передача в другие организации — по решению должностных лиц, отнесших информацию к служебной тайне;
• ответственность за разглашение дисциплинарная, админист
ративная.
Коммерческая тайна [46]:
• перечень сведений, составляющих коммерческую тайну, опре
деляется обладателем;
• меры защиты определяются обладателем;
• контроль за использованием осуществляется обладателем в рамках гражданско-правовых отношений;
• передача другим организациям — в рамках гражданско-пра
вовых отношений;
• ответственность — в основном гражданско-правовая, хотя предусмотрена и уголовная.
Персональные данные:
• перечень определяется федеральным законом [47];
• меры защиты определяются Правительством Российской Фе
дерации;
• контроль осуществляется федеральными органами, уполно
моченными в области безопасности и в области технической за
щиты информации и ПД TCP;
• ответственность административная.
Степень конфиденциальности информации как понятие, ха
рактеризующее величину ущерба, который может наступить в ре
• постановление Правительства РФ от 22 мая 2006 г. № 302
«О создании и деятельности на территории закрытого админист
ративно-территориального образования организаций с иностран
ными инвестициями»*;
• постановление Правительства РФ от 5 июля 2001 г. № 508
«Об утверждении перечня закрытых административно-территори
альных образований и расположенных на их территориях насе
ленных пунктов».**
3.6. Режим функционирования предприятия
Режим функционирования предприятия подразделяют:
• по степени вероятности возникновения угроз безопасности
(в том числе, информационной) — повседневный, в условиях уг
розы, в чрезвычайных условиях;
• по регламенту работы — в одну смену, в две смены, круглосу
точный;
• по технологическому процессу — дискретный, непрерывный.
3.7. Конструктивные особенности предприятия
Конструкция (от лат. constructio — составление, построение) — устройство, взаимное расположение частей, состав какого-либо строения, механизма.
• Под конструкцией предприятия можно понимать: структур
ные подразделения, форму и степень взаимодействия между ними; производственные (технологические) здания и коммуникации между ними; структуру управления, подчиненность и т.п.
• По размещению предприятия можно разделить на: компак
тные (размещены на одной территории); территориально рас
пределенные', размещенные совместно с другими предприятия
ми (особенности будут рассмотрены в следующем подразделе).
3.8. Количественные и качественные
показатели ресурсообеспечения
Ресурсообеспеченность предприятия (т.е. наличие и использо
вание финансовых, материальных, информационных, людских и прочих ресурсов) может оказывать значительное влияние на фор
* Собрание законодательства РФ от 29.05.2006 г. № 22. — Ст. 2334.
** Собрание законодательства РФ от 16.07.2001 г. № 29. — Ст. 3019.
Гл а в а 4
Определение и нормативное
закрепление состава защищаемой
информации
4 .1 . Классификация информации
по видам тайны и степеням
конфиденциальности
Безусловно, весь объем информации, используемой предприя
тием в его деятельности, необходимо защищать. Вместе с тем оче
видно, что применение одинаковых мер защиты информации (не
зависимо от ее вида) не может являться эффективной стратегией.
В настоящей главе рассмотрим только деятельность по защите информации, связанную с ограничением доступа к ней (обеспе
чением конфиденциальности информации).
Создание и обеспечение функционирования КСЗИ предприя
тия предполагает (как минимум) наличие ответов на следующие вопросы: «Что защищать?»; «От кого (чего) защищать?»; «Какие силы, средства, методы (и т.п.) необходимо применять?».
Ответ на вопрос «Что защищать?» не только является осново
полагающим, но и требует первоочередного решения. В связи с этим важным направлением деятельности в ходе создания (обес
печения функционирования) КСЗИ на предприятии является опре
деление состава защищаемой информации.
Защищаемая информация — информация, являющаяся пред
метом собственности и подлежащая защите в соответствии с тре
бованиями правовых документов или требованиями, устанавли
ваемыми собственником информации.
Классификация информации по видам тайны — составная часть деятельности по защите информации.
В соответствии со ст. 5 Федерального закона от 27 июля 2006 г.
№ 149-ФЗ «Об информации, информационных технологиях и защите информации» [45] в зависимости от порядка предо
ставления или распространения информация подразделяется
(рис. 4.1):
1) на информацию, свободно распространяемую;
2) информацию, предоставляемую по соглашению лиц, уча
ствующих в соответствующих отношениях;
3) информацию, которая в соответствии с федеральными зако
нами подлежит предоставлению или распространению;
4) информацию, распространение которой в Российской Фе
дерации ограничивается или запрещается.
Кроме того, законодательством Российской Федерации могут быть установлены виды информации в зависимости от ее содер
жания или обладателя.
Из числа видов информации, доступ к которой ограничен фе
деральными законами (информация ограниченного доступа), в настоящей главе будут рассмотрены вопросы определения и нор
мативного закрепления сведений, составляющих государственную тайну, коммерческую тайну, служебную информацию ограничен
ного распространения, а также персональных данных.
Государственная тайна — защищаемые государством сведе
ния в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыск
ной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации (ст. 2 Закона РФ от 21 июля
1993 г. № 5485-1 «О государственной тайне» — [20]).
Коммерческая тайна — конфиденциальная информация, по
зволяющая ее обладателю при существующих или возможных об
стоятельствах увеличить доходы, избежать неоправданных расхо
дов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду. Информация, составляю
щая коммерческую тайну, — научно-техническая, технологиче
ская, производственная, финансово-экономическая или иная ин
формация (в том числе составляющая секреты производства — ноу-хау), которая имеет действительную или потенциальную ком
мерческую ценность в силу неизвестности ее третьим лицам, к которой нет свободного доступа на законном основании и в отно
шении которой обладателем такой информации введен режим коммерческой тайны (ст. 3 Федерального закона от 29 июля 2004 г.
№ 98-ФЗ «О коммерческой тайне» [46]).
Служебная информация ограниченного распространения (слу
жебная тайна) — служебные сведения, доступ к которым огра
ничен органами государственной власти в соответствии с Граж-
Рис. 4.1. Классификация информации в зависимости от порядка предоставления или распространения
предприятия
Одним из основных факторов, определяющих состав исполь
зуемой предприятием информации ограниченного доступа и сте
пень ее конфиденциальности является характер его основной дея
тельности.
По виду деятельности предприятия могут быть классифициро
ваны следующим образом: производственные предприятия; пред
приятия, оказывающие услуги; торговые предприятия; добываю
щие предприятия; перерабатывающие предприятия; транспорт
ные предприятия; предприятия, осуществляющие разные виды деятельности, и т.д.
КСЗИ предприятий, осуществляющих различные виды деятель
ности, отличаются специфическими особенностями, связанными с организацией и проведением организационных, правовых и тех
нических мероприятий ЗИ.
Так, например, если предприятие осуществляет свою деятель
ность в области производства продукции военного назначения или в атомной энергетике, то в большинстве случаев такая деятель
ность связана с допуском к проведению работ со сведениями, со
ставляющими государственную тайну. Вместе с тем большинство предприятий, производящих продовольственные товары, перера
батывающих сельхозпродукцию, с такими сведениями могут быть связаны только при наличии у них мобилизационного задания.
В условиях возрастающей конкуренции, в том числе недобро
совестной, необходимость отнесения к коммерческой тайне лю
бого из предприятий информации, «позволяющей ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду», является одним из основных условий успешного суще
ствования и развития предприятия. По этой причине указанный
3
Грибунин
65
вид информации ограниченного доступа безусловно существует на каждом предприятии.
Персональные данные как вид информации ограниченного доступа также присутствуют на любом предприятии, и соответ
ственно требуется принятие мер по их защите.
Служебная информация ограниченного распространения (с пометкой «Для служебного пользования») может быть получена предприятием в процессе его взаимодействия с федеральными органами исполнительной власти. Как правило, такие предприя
тия проводят работы по выполнению заказов на поставки това
ров, выполнение работ, оказание услуг для государственных и муниципальных нужд.
Рассматривая влияние характера основной деятельности пред
приятий на построение КСЗИ, нельзя обойти стороной их клас
сификацию по типу производственной кооперации:
• замкнутые (производят конечный продукт без участия сто
ронних предприятий); КСЗИ таких предприятий не требует за
щищенных каналов связи для взаимодействия с контрагентами, решения вопросов ЗИ в договорных документах с контрагента
ми;
• соисполнители (производят и поставляют предприятиям-ис- полнителям составную часть конечного продукта); КСЗИ таких предприятий требует оснащения средствами защиты информации, передаваемой контрагентам по каналам связи, наличия в дого
ворных документах обязательств по ее охране, других вопросов, связанных с передачей защищаемой информации;
• исполнители (производят конечный продукт в кооперации с предприятиями-соисполнителями); КСЗИ таких предприятий тре
бует оснащения средствами защиты информации, передаваемой контрагентам по каналам связи, исполнения договорных обяза
тельств по ее охране, юридической защиты информации с огра
ниченным доступом, содержащейся в реализуемой продукции, решения других вопросов, связанных с передачей защищаемой информации.
Одной из особенностей деятельности предприятия, влияющей на организацию и функционирование КСЗИ, является проведе
ние предприятием работ в областях, имеющих отношение к безопас
ности государства. На таких предприятиях государство устанав
ливает ряд ограничений, связанных в первую очередь с защитой информации. Примером ограничений может служить постановле
ние Правительства Российской Федерации от 11 октября 2002 г.
№ 755*, которым утвержден Перечень объектов и организаций, в которые иностранные граждане не имеют права быть принятыми на работу. В него включены объекты и организации, осуществля
* Собрание законодательства РФ от 14.10.2002 г. № 41. — Ст. 3996.
Персональные данные как вид информации ограниченного доступа также присутствуют на любом предприятии, и соответ
ственно требуется принятие мер по их защите.
Служебная информация ограниченного распространения (с пометкой «Для служебного пользования») может быть получена предприятием в процессе его взаимодействия с федеральными органами исполнительной власти. Как правило, такие предприя
тия проводят работы по выполнению заказов на поставки това
ров, выполнение работ, оказание услуг для государственных и муниципальных нужд.
Рассматривая влияние характера основной деятельности пред
приятий на построение КСЗИ, нельзя обойти стороной их клас
сификацию по типу производственной кооперации:
• замкнутые (производят конечный продукт без участия сто
ронних предприятий); КСЗИ таких предприятий не требует за
щищенных каналов связи для взаимодействия с контрагентами, решения вопросов ЗИ в договорных документах с контрагента
ми;
• соисполнители (производят и поставляют предприятиям-ис- полнителям составную часть конечного продукта); КСЗИ таких предприятий требует оснащения средствами защиты информации, передаваемой контрагентам по каналам связи, наличия в дого
ворных документах обязательств по ее охране, других вопросов, связанных с передачей защищаемой информации;
• исполнители (производят конечный продукт в кооперации с предприятиями-соисполнителями); КСЗИ таких предприятий тре
бует оснащения средствами защиты информации, передаваемой контрагентам по каналам связи, исполнения договорных обяза
тельств по ее охране, юридической защиты информации с огра
ниченным доступом, содержащейся в реализуемой продукции, решения других вопросов, связанных с передачей защищаемой информации.
Одной из особенностей деятельности предприятия, влияющей на организацию и функционирование КСЗИ, является проведе
ние предприятием работ в областях, имеющих отношение к безопас
ности государства. На таких предприятиях государство устанав
ливает ряд ограничений, связанных в первую очередь с защитой информации. Примером ограничений может служить постановле
ние Правительства Российской Федерации от 11 октября 2002 г.
№ 755*, которым утвержден Перечень объектов и организаций, в которые иностранные граждане не имеют права быть принятыми на работу. В него включены объекты и организации, осуществля
* Собрание законодательства РФ от 14.10.2002 г. № 41. — Ст. 3996.
ющие работы, связанные с использованием информации ограни
ченного доступа:
1) объекты и организации Вооруженных Сил Российской Фе
дерации, других войск и воинских формирований;
2) структурные подразделения по защите государственной тай
ны и подразделения, осуществляющие работы, связанные с ис
пользованием сведений, составляющих государственную тайну, органов государственной власти и организаций;
3) организации, в состав которых входят радиационно-опас
ные и ядерно-опасные производства и объекты, на которых осу
ществляются разработка, производство, эксплуатация, хранение, транспортировка и утилизация ядерного оружия, радиационно
опасных материалов и изделий.
3.4. Состав, объекты и степень
конфиденциальности защищаемой
информации
В зависимости от состава защищаемой информации (опреде
ление которого мы рассмотрим в следующей главе) системы ЗИ предприятия должна решать различные по своей сложности и сте
пени ответственности задачи. Состав используемой предприяти
ем информации определяет особенности деятельности:
1) при осуществлении права на поиск, получение, передачу, производство и распространение информации;
2) применении информационных технологий;
3) обеспечении защиты информации.
Общие права и обязанности предприятия в этих трех широких областях деятельности определяются Федеральным законом от
27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» [45], которым определено, что право на доступ к информации может быть ограничено феде
ральными законами.
Назовем основные особенности ЗИ в зависимости от состава защищаемой информации (по видам).
Государственная тайна:
• перечень сведений, составляющих государственную тайну, определяется федеральным законом;
• перечень сведений, отнесенных к государственной тайне, опре
деляется Указом Президента Российской Федерации;
• перечни сведений, подлежащих засекречиванию, определя
ются федеральными органами исполнительной власти;
• меры защиты определяются Правительством Российской Фе
дерации;
ченного доступа:
1) объекты и организации Вооруженных Сил Российской Фе
дерации, других войск и воинских формирований;
2) структурные подразделения по защите государственной тай
ны и подразделения, осуществляющие работы, связанные с ис
пользованием сведений, составляющих государственную тайну, органов государственной власти и организаций;
3) организации, в состав которых входят радиационно-опас
ные и ядерно-опасные производства и объекты, на которых осу
ществляются разработка, производство, эксплуатация, хранение, транспортировка и утилизация ядерного оружия, радиационно
опасных материалов и изделий.
3.4. Состав, объекты и степень
конфиденциальности защищаемой
информации
В зависимости от состава защищаемой информации (опреде
ление которого мы рассмотрим в следующей главе) системы ЗИ предприятия должна решать различные по своей сложности и сте
пени ответственности задачи. Состав используемой предприяти
ем информации определяет особенности деятельности:
1) при осуществлении права на поиск, получение, передачу, производство и распространение информации;
2) применении информационных технологий;
3) обеспечении защиты информации.
Общие права и обязанности предприятия в этих трех широких областях деятельности определяются Федеральным законом от
27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» [45], которым определено, что право на доступ к информации может быть ограничено феде
ральными законами.
Назовем основные особенности ЗИ в зависимости от состава защищаемой информации (по видам).
Государственная тайна:
• перечень сведений, составляющих государственную тайну, определяется федеральным законом;
• перечень сведений, отнесенных к государственной тайне, опре
деляется Указом Президента Российской Федерации;
• перечни сведений, подлежащих засекречиванию, определя
ются федеральными органами исполнительной власти;
• меры защиты определяются Правительством Российской Фе
дерации;
• контроль осуществляется федеральными органами, уполно
моченными в области безопасности, обороны, внешней разведки, технической защиты информации и ПД TCP;
• допуск предприятия к работам — лицензируемый вид дея
тельности;
• допуск персонала — по согласованию с органами безопасности;
• применяемые средства защиты подлежат сертификации;
• передача сведений контрагентам — с разрешения федераль
ного органа, в распоряжении которого они находятся;
• передача сведений другим государствам — по решению Пра
вительства Российской Федерации;
• уголовная ответственность за разглашение сведений (утрату их носителей).
Служебная тайна [31]:
• состав подлежащих защите сведений определяется организа
цией;
• общие меры защиты определены Правительством Российской
Федерации, остальные — руководителями федеральных органов исполнительной власти;
• контроль осуществляется руководителями организаций (для подведомственных — руководителями федеральных органов ис
полнительной власти);
• передача в другие организации — по решению должностных лиц, отнесших информацию к служебной тайне;
• ответственность за разглашение дисциплинарная, админист
ративная.
Коммерческая тайна [46]:
• перечень сведений, составляющих коммерческую тайну, опре
деляется обладателем;
• меры защиты определяются обладателем;
• контроль за использованием осуществляется обладателем в рамках гражданско-правовых отношений;
• передача другим организациям — в рамках гражданско-пра
вовых отношений;
• ответственность — в основном гражданско-правовая, хотя предусмотрена и уголовная.
Персональные данные:
• перечень определяется федеральным законом [47];
• меры защиты определяются Правительством Российской Фе
дерации;
• контроль осуществляется федеральными органами, уполно
моченными в области безопасности и в области технической за
щиты информации и ПД TCP;
• ответственность административная.
Степень конфиденциальности информации как понятие, ха
рактеризующее величину ущерба, который может наступить в ре
зультате разглашения информации, в законодательном порядке применяется к сведениям, составляющим государственную тайну.
Так, в соответствии со ст. 8 Закона Российской Федерации
«О государственной тайне» [20] устанавливаются три степени сек
ретности сведений, составляющих государственную тайну, и со
ответствующие этим степеням грифы секретности для носителей указанных сведений: «особой важности», «совершенно секретно» и «секретно».
Применимо понятие степени конфиденциальности и к ин
формации, отнесенной к коммерческой тайне. Федеральный за
кон «О коммерческой тайне» определяет, что меры защиты све
дений, составляющих коммерческую тайну, определяет ее соб
ственник. Как одну из мер можно рекомендовать при разработке перечней сведений, составляющих коммерческую тайну предпри
ятия, структурировать такую информацию исходя из величины возможного ущерба при ее разглашении. Предлагаемый подход позволит дифференцировать меры зашиты коммерческой тайны и соответственно повысить эффективность зашиты наиболее важ
ной информации.
3.5 . Структура и территориальное
расположение предприятия
Структура предприятия является важным фактором, влияющим на построение КСЗИ. Очевидно, что КСЗИ должна охватывать все структурные подразделения и объекты предприятия, осуще
ствляющие работы с информацией ограниченного доступа.
Приведем несколько примеров классификации предприятий исходя из их структуры, которые могут быть использованы при определении параметров КСЗИ.
По внутренней структуре:
• однородные (подразделения предприятия изготавливают оди
наковую продукцию, применяют однотипные технологии, инфор
мационные потоки не имеют значительных различий); КСЗИ на таких предприятиях может состоять из типовых блоков, что зна
чительно упрощает процесс управления, подготовку и взаимоза
меняемость специалистов ЗИ, уменьшает затраты на проектиро
вание, обеспечение техническими средствами защиты информа
ции;
• неоднородные (различных типов, например: первый — ко
нечная продукция производится последовательно, перемещаясь от одного подразделения предприятия к другому, до появления конечного продукта; второй — подразделения производят различ
ные, не связанные между собой технологически и конструктивно
Так, в соответствии со ст. 8 Закона Российской Федерации
«О государственной тайне» [20] устанавливаются три степени сек
ретности сведений, составляющих государственную тайну, и со
ответствующие этим степеням грифы секретности для носителей указанных сведений: «особой важности», «совершенно секретно» и «секретно».
Применимо понятие степени конфиденциальности и к ин
формации, отнесенной к коммерческой тайне. Федеральный за
кон «О коммерческой тайне» определяет, что меры защиты све
дений, составляющих коммерческую тайну, определяет ее соб
ственник. Как одну из мер можно рекомендовать при разработке перечней сведений, составляющих коммерческую тайну предпри
ятия, структурировать такую информацию исходя из величины возможного ущерба при ее разглашении. Предлагаемый подход позволит дифференцировать меры зашиты коммерческой тайны и соответственно повысить эффективность зашиты наиболее важ
ной информации.
3.5 . Структура и территориальное
расположение предприятия
Структура предприятия является важным фактором, влияющим на построение КСЗИ. Очевидно, что КСЗИ должна охватывать все структурные подразделения и объекты предприятия, осуще
ствляющие работы с информацией ограниченного доступа.
Приведем несколько примеров классификации предприятий исходя из их структуры, которые могут быть использованы при определении параметров КСЗИ.
По внутренней структуре:
• однородные (подразделения предприятия изготавливают оди
наковую продукцию, применяют однотипные технологии, инфор
мационные потоки не имеют значительных различий); КСЗИ на таких предприятиях может состоять из типовых блоков, что зна
чительно упрощает процесс управления, подготовку и взаимоза
меняемость специалистов ЗИ, уменьшает затраты на проектиро
вание, обеспечение техническими средствами защиты информа
ции;
• неоднородные (различных типов, например: первый — ко
нечная продукция производится последовательно, перемещаясь от одного подразделения предприятия к другому, до появления конечного продукта; второй — подразделения производят различ
ные, не связанные между собой технологически и конструктивно
самостоятельные виды продукции; третий — подразделения про
изводят различные составляющие одной продукции, сборка осу
ществляется специальным подразделением и др.); организация
КСЗИ на таких предприятиях характеризуется более сложной си
стемой управления ЗИ, требует учета особенностей информации, циркулирующей в каждом из подразделений, увеличивает затра
ты на проектирование, приобретение и эксплуатацию техниче
ских средств защиты информации.
В плане защиты информации территориальное расположение предприятий можно классифицировать по условиям функциони
рования КСЗИ, оценивая их как благоприятные, обычные и осо
бые.
Существенные факторы, влияющие на оценку:
1) расположение в населенном пункте или вне его, размеры населенного пункта, степень плотности и высотность окружаю
щей застройки;
2) наличие вблизи предприятия учреждений, определяющих особые условия защиты государственной тайны (иностранные посольства, консульства, миссии, предприятия и т.п.);
3) протяженность периметра, размеры и условия наблюдения за контролируемой зоной, ее охраны;
4) рельеф земельного участка и окружающих территорий;
5) наличие на территории, вблизи и под ней посторонних ком
муникаций, линий связи, электропитания и т.п.;
6) наличие и полнота комплекта конструкторской и техноло
гической документации на здания и коммуникации предприятия;
7) населенность региона, степень урбанизации, качество тру
довых ресурсов;
8) расположение в зонах (на территориях) с ограниченным посещением (ЗАТО);
9) удаленность от оживленных транспортных (в т.ч. воздуш
ных) магистралей;
10) наличие подъездных путей, погрузочно-разгрузочных тер
миналов, возможность просмотра ведущихся на них работ.
Благоприятными можно считать условия, при которых пере
численные и другие возможные факторы способствуют выполне
нию задач КСЗИ. Обычными можно считать условия, при кото
рых нейтрализация неблагоприятных факторов не требует значи
тельных материальных и финансовых затрат. Особыми можно счи
тать условия, при которых нейтрализация неблагоприятных фак
торов требует значительных материальных и финансовых ресур
сов, а также наличие обстоятельств, изложенных в п. 2.
Законодательством Российской Федерации также установлен ряд правил и ограничений, связанных с созданием и функциони
рованием предприятий, размещенных в закрытых административ
но-территориальных образованиях (ЗАТО):
изводят различные составляющие одной продукции, сборка осу
ществляется специальным подразделением и др.); организация
КСЗИ на таких предприятиях характеризуется более сложной си
стемой управления ЗИ, требует учета особенностей информации, циркулирующей в каждом из подразделений, увеличивает затра
ты на проектирование, приобретение и эксплуатацию техниче
ских средств защиты информации.
В плане защиты информации территориальное расположение предприятий можно классифицировать по условиям функциони
рования КСЗИ, оценивая их как благоприятные, обычные и осо
бые.
Существенные факторы, влияющие на оценку:
1) расположение в населенном пункте или вне его, размеры населенного пункта, степень плотности и высотность окружаю
щей застройки;
2) наличие вблизи предприятия учреждений, определяющих особые условия защиты государственной тайны (иностранные посольства, консульства, миссии, предприятия и т.п.);
3) протяженность периметра, размеры и условия наблюдения за контролируемой зоной, ее охраны;
4) рельеф земельного участка и окружающих территорий;
5) наличие на территории, вблизи и под ней посторонних ком
муникаций, линий связи, электропитания и т.п.;
6) наличие и полнота комплекта конструкторской и техноло
гической документации на здания и коммуникации предприятия;
7) населенность региона, степень урбанизации, качество тру
довых ресурсов;
8) расположение в зонах (на территориях) с ограниченным посещением (ЗАТО);
9) удаленность от оживленных транспортных (в т.ч. воздуш
ных) магистралей;
10) наличие подъездных путей, погрузочно-разгрузочных тер
миналов, возможность просмотра ведущихся на них работ.
Благоприятными можно считать условия, при которых пере
численные и другие возможные факторы способствуют выполне
нию задач КСЗИ. Обычными можно считать условия, при кото
рых нейтрализация неблагоприятных факторов не требует значи
тельных материальных и финансовых затрат. Особыми можно счи
тать условия, при которых нейтрализация неблагоприятных фак
торов требует значительных материальных и финансовых ресур
сов, а также наличие обстоятельств, изложенных в п. 2.
Законодательством Российской Федерации также установлен ряд правил и ограничений, связанных с созданием и функциони
рованием предприятий, размещенных в закрытых административ
но-территориальных образованиях (ЗАТО):
• постановление Правительства РФ от 22 мая 2006 г. № 302
«О создании и деятельности на территории закрытого админист
ративно-территориального образования организаций с иностран
ными инвестициями»*;
• постановление Правительства РФ от 5 июля 2001 г. № 508
«Об утверждении перечня закрытых административно-территори
альных образований и расположенных на их территориях насе
ленных пунктов».**
3.6. Режим функционирования предприятия
Режим функционирования предприятия подразделяют:
• по степени вероятности возникновения угроз безопасности
(в том числе, информационной) — повседневный, в условиях уг
розы, в чрезвычайных условиях;
• по регламенту работы — в одну смену, в две смены, круглосу
точный;
• по технологическому процессу — дискретный, непрерывный.
3.7. Конструктивные особенности предприятия
Конструкция (от лат. constructio — составление, построение) — устройство, взаимное расположение частей, состав какого-либо строения, механизма.
• Под конструкцией предприятия можно понимать: структур
ные подразделения, форму и степень взаимодействия между ними; производственные (технологические) здания и коммуникации между ними; структуру управления, подчиненность и т.п.
• По размещению предприятия можно разделить на: компак
тные (размещены на одной территории); территориально рас
пределенные', размещенные совместно с другими предприятия
ми (особенности будут рассмотрены в следующем подразделе).
3.8. Количественные и качественные
показатели ресурсообеспечения
Ресурсообеспеченность предприятия (т.е. наличие и использо
вание финансовых, материальных, информационных, людских и прочих ресурсов) может оказывать значительное влияние на фор
* Собрание законодательства РФ от 29.05.2006 г. № 22. — Ст. 2334.
** Собрание законодательства РФ от 16.07.2001 г. № 29. — Ст. 3019.
мирование и функционирование КСЗИ предприятия. Рассматри
вают два основных показателя ресурсообеспеченности — количе
ственный (характеризующий величину, число, объем) и качествен
ный (характеризующий совокупность свойств, меру полезности, отношение количества ресурсов к количеству объектов).
Количественный показатель используемых ресурсов характе
ризует в первую очередь масштабы производственной деятельно
сти предприятия и соответственно определяет объем работ, свя
занных с безопасностью предприятия в целом и ЗИ в частности.
Качественный показатель ресурсообеспеченности предприятия влияет на формирование и функционирование КСЗИ с точки зре
ния возможностей по привлечению сил и выбору средств ЗИ.
3 .9 . Степень автоматизации основных
процедур обработки защищаемой информации
Степень автоматизации процедур обработки защищаемой ин
формации как фактор, влияющий на организацию КСЗИ, может быть охарактеризована следующими уровнями:
1) автоматизация процесса документационного обеспечения управления (подготовка документов, учет, контроль движения и исполнения, использование баз данных и электронных архивов и т.п.) — нижний уровень автоматизации, тем не менее требующий выполнения как организационных, так и технических мероприя
тий защиты информации;
2) автоматизация документооборота (электронный документо
оборот) — этот уровень может быть реализован внутри охраняе
мой территории предприятия (между подразделениями и испол
нителями) и с удаленными абонентами; характеризуется необхо
димостью повышенного внимания защищенности линий (кана
лов) связи, применения средств криптографической защиты ин
формации (СКЗИ), использования электронной цифровой под
писи;
3) использование АСУ производственными процессами — тре
бует повышенного внимания к специальному программному обес
печению, защите от ошибок персонала.
Степень интеграции вычислительных средств также является фактором, влияющим на сложность организации КСЗИ. Уровни сложности (по возрастающей) следующие:
• использование автономных ПЭВМ (минимальный);
• наличие локальной сети (средний);
• наличие территориально распределенных локальных сетей, объединенных средствами связи; наличие подключений к сетям общего пользования (высокий).
вают два основных показателя ресурсообеспеченности — количе
ственный (характеризующий величину, число, объем) и качествен
ный (характеризующий совокупность свойств, меру полезности, отношение количества ресурсов к количеству объектов).
Количественный показатель используемых ресурсов характе
ризует в первую очередь масштабы производственной деятельно
сти предприятия и соответственно определяет объем работ, свя
занных с безопасностью предприятия в целом и ЗИ в частности.
Качественный показатель ресурсообеспеченности предприятия влияет на формирование и функционирование КСЗИ с точки зре
ния возможностей по привлечению сил и выбору средств ЗИ.
3 .9 . Степень автоматизации основных
процедур обработки защищаемой информации
Степень автоматизации процедур обработки защищаемой ин
формации как фактор, влияющий на организацию КСЗИ, может быть охарактеризована следующими уровнями:
1) автоматизация процесса документационного обеспечения управления (подготовка документов, учет, контроль движения и исполнения, использование баз данных и электронных архивов и т.п.) — нижний уровень автоматизации, тем не менее требующий выполнения как организационных, так и технических мероприя
тий защиты информации;
2) автоматизация документооборота (электронный документо
оборот) — этот уровень может быть реализован внутри охраняе
мой территории предприятия (между подразделениями и испол
нителями) и с удаленными абонентами; характеризуется необхо
димостью повышенного внимания защищенности линий (кана
лов) связи, применения средств криптографической защиты ин
формации (СКЗИ), использования электронной цифровой под
писи;
3) использование АСУ производственными процессами — тре
бует повышенного внимания к специальному программному обес
печению, защите от ошибок персонала.
Степень интеграции вычислительных средств также является фактором, влияющим на сложность организации КСЗИ. Уровни сложности (по возрастающей) следующие:
• использование автономных ПЭВМ (минимальный);
• наличие локальной сети (средний);
• наличие территориально распределенных локальных сетей, объединенных средствами связи; наличие подключений к сетям общего пользования (высокий).
Гл а в а 4
Определение и нормативное
закрепление состава защищаемой
информации
4 .1 . Классификация информации
по видам тайны и степеням
конфиденциальности
Безусловно, весь объем информации, используемой предприя
тием в его деятельности, необходимо защищать. Вместе с тем оче
видно, что применение одинаковых мер защиты информации (не
зависимо от ее вида) не может являться эффективной стратегией.
В настоящей главе рассмотрим только деятельность по защите информации, связанную с ограничением доступа к ней (обеспе
чением конфиденциальности информации).
Создание и обеспечение функционирования КСЗИ предприя
тия предполагает (как минимум) наличие ответов на следующие вопросы: «Что защищать?»; «От кого (чего) защищать?»; «Какие силы, средства, методы (и т.п.) необходимо применять?».
Ответ на вопрос «Что защищать?» не только является осново
полагающим, но и требует первоочередного решения. В связи с этим важным направлением деятельности в ходе создания (обес
печения функционирования) КСЗИ на предприятии является опре
деление состава защищаемой информации.
Защищаемая информация — информация, являющаяся пред
метом собственности и подлежащая защите в соответствии с тре
бованиями правовых документов или требованиями, устанавли
ваемыми собственником информации.
Классификация информации по видам тайны — составная часть деятельности по защите информации.
В соответствии со ст. 5 Федерального закона от 27 июля 2006 г.
№ 149-ФЗ «Об информации, информационных технологиях и защите информации» [45] в зависимости от порядка предо
ставления или распространения информация подразделяется
(рис. 4.1):
1) на информацию, свободно распространяемую;
2) информацию, предоставляемую по соглашению лиц, уча
ствующих в соответствующих отношениях;
3) информацию, которая в соответствии с федеральными зако
нами подлежит предоставлению или распространению;
4) информацию, распространение которой в Российской Фе
дерации ограничивается или запрещается.
Кроме того, законодательством Российской Федерации могут быть установлены виды информации в зависимости от ее содер
жания или обладателя.
Из числа видов информации, доступ к которой ограничен фе
деральными законами (информация ограниченного доступа), в настоящей главе будут рассмотрены вопросы определения и нор
мативного закрепления сведений, составляющих государственную тайну, коммерческую тайну, служебную информацию ограничен
ного распространения, а также персональных данных.
Государственная тайна — защищаемые государством сведе
ния в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыск
ной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации (ст. 2 Закона РФ от 21 июля
1993 г. № 5485-1 «О государственной тайне» — [20]).
Коммерческая тайна — конфиденциальная информация, по
зволяющая ее обладателю при существующих или возможных об
стоятельствах увеличить доходы, избежать неоправданных расхо
дов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду. Информация, составляю
щая коммерческую тайну, — научно-техническая, технологиче
ская, производственная, финансово-экономическая или иная ин
формация (в том числе составляющая секреты производства — ноу-хау), которая имеет действительную или потенциальную ком
мерческую ценность в силу неизвестности ее третьим лицам, к которой нет свободного доступа на законном основании и в отно
шении которой обладателем такой информации введен режим коммерческой тайны (ст. 3 Федерального закона от 29 июля 2004 г.
№ 98-ФЗ «О коммерческой тайне» [46]).
Служебная информация ограниченного распространения (слу
жебная тайна) — служебные сведения, доступ к которым огра
ничен органами государственной власти в соответствии с Граж-
Рис. 4.1. Классификация информации в зависимости от порядка предоставления или распространения