Предлагаемая Вашему вниманию статья является продолжением темы защиты информации, начатой нами в апрельском номере "КИ" статьей "Защита информации - проблема ╧ 1". Коротко напомним Вам, что в ней очень обобщенно давалось обоснование необходимости углубленного подхода к обеспечению информационной безопасности на предприятиях и в учреждениях как государственного, так и предпринимательского секторов российской экономики.

Столь острая потребность в обсуждении этой темы обусловлена прежде всего тем, что, как уже было отмечено в предыдущей статье, наша страна переживает интенсивный переход от ярко выраженного промышленно-индустриального характера развития экономики к рынку информационных технологий и ресурсов. При этом на ранних этапах перехода наблюдалось несколько хаотичное и авральное перемещение акцентов внимания и интереса общественности с получения прибыли непосредственно от материального производства или продаж на считавшийся ранее бесприбыльным, безучетным и неподдающимся никакому контролю информационный рынок. Это создало весьма благоприятную почву для развития в России так называемого "синдрома глобальной незащищенности" информации от несанкционированного доступа к ней и уязвимости е╦ по отношению к многочисленным угрозам.

Однако такая ситуация за последние 3-4 года значительно изменилась. Это выразилось в принятии российским руководством ряда законов и подзаконных актов, различных постановлений и указов, касающихся регламентации создания, использования, передачи и хранения информационных ресурсов, защиты государственной и коммерческой тайны, защиты прав собственника информации и авторских прав, порядка лицензирования деятельности в области защиты информации и пр. (см. врезку).

• Закон Российской Федерации "О государственной тайне" (с изменениями от 27 марта 1996 года), принят Верховным Советом Российской Федерации 21.07.93, ╧5485-1.
• Закон Российской Федерации "Об информации, информатизации и защите информации", принят Государственной думой 25.01.95.
• Указ Президента Российской Федерации "О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации" от 3.04.95, ╧ 334.
• Постановление Правительства РСФСР "О перечне сведений, которые не могут составлять коммерческую тайну" от 5.12.91 ╧35.
• Постановление Правительства Российской Федерации "Об утверждении правил отнесения сведений, составляющих Государственную тайну, к различным степеням секретности" ╧ 870 от 4.09.95.
• Указ Президента Российской Федерации "О мерах по упорядочению разработки, производства, реализации, приобретения в целях продажи, ввоза в Российскую Федерацию и вывоза за ее пределы, а также использования специальных технических средств, предназначенных для негласного получения информации" от 9.01.96.
• Постановление Правительства Российской Федерации "Об утверждении положения о лицензировании деятельности физических и юридических лиц, не уполномоченных на осуществление оперативно-розыскной деятельности, связанной с разработкой, производством, реализацией, приобретением в целях продажи, ввоза в Российскую Федерацию и вывоза за ее пределы специальных технических средств, предназначенных (разработанных, приспособленных, запрограммированных) для негласного получения информации, и перечня видов специальных технических средств, предназначенных (разработанных, приспособленных, запрограммированных) для негласного получения информации в процессе осуществления оперативно-розыскной деятельности", от 1.07.96, ╧ 770.
• Закон Российской Федерации "О правовой охране программ для электронных вычислительных машин и баз данных", принят Верховным Советом РФ 23.09.92, ╧ 3523-1.
• Закон Российской Федерации "О правовой охране топологий интегральных микросхем", принят Верховным Советом РФ 23.09.92, ╧ 3526-1.
• Указ Президента Российской Федерации "Об утверждении перечня сведений конфиденциального характера" ╧ 188 от 6.03.97.
• Указ Президента Российской Федерации "Об утверждении перечня сведений, отнесенных к государственной тайне" ╧ 1203 от 30.11.95.
• Указ Президента Российской Федерации "О Межведомственной комиссии по защите государственной тайны" ╧ 1108 от 8.11.95.
• Постановление Правительства Российской Федерации "О сертификации средств защиты информации" ( с изменениями от 23 апреля 1996 года) ╧ 608 от 26.06.95.

• В части, касающейся вопросов интеллектуальной собственности и защиты авторских прав, регулирование отношений находит место в следующих документах:

• ст. 138 Гражданского Кодекса РФ, определяющая интеллектуальную собственностью;.
• ст. 139 Гражданского Кодекса РФ, определяющая служебную и коммерческую тайны;
• Патентный закон Российской Федерации, принят Верховным Советом РФ 23.09.92, ╧ 3517-1;
• закон Российской Федерации "Об авторском праве и смежных правах" ( с изменениями от 19 июля 1995 года), принят Верховным Советом РФ 9.07.93, ╧ 5351-1;
• закон Российской Федерации "О товарных знаках, знаках обслуживания и наименованиях мест происхождения товара", принят Верховным Советом РФ 23.09.92, ╧ 3520-1.

На основе перечисленных документов строится правовая защита информации, призванная обеспечить государственную законодательную базу и нормативное обоснование комплексной системы защиты информации на предприятии независимо от его формы собственности и категории защищаемых сведений. Кроме законов и других государственных нормативных документов, правовое обеспечение системы защиты конфиденциальной информации должно включать в себя комплекс внутренней нормативно-организационной документации, в которую могут входить такие документы предприятия, как:

• Устав;
• коллективный трудовой договор;
• трудовые договоры с сотрудниками предприятия;
• правила внутреннего распорядка служащих предприятия;
• должностные обязанности руководителей, специалистов и служащих предприятия.
• инструкции пользователей информационно-вычислительных сетей и баз данных;
• инструкции администраторов ИВС и БД;
• положение о подразделении по защите информации;
• концепция системы защиты информации на предприятии;
• инструкции сотрудников, допущенных к защищаемым сведениям;
• инструкции сотрудников, ответственных за защиту информации;
• памятка сотрудника о сохранении коммерческой или иной тайны;
• договорные обязательства.

Не углубляясь в содержание перечисленных документов, можно сказать, что во всех из них, в зависимости от их основного нормативного или юридического назначения, указываются требования, нормы или правила по обеспечению необходимого уровня информационной защищенности на предприятии или в его структурных подразделениях, обращенные, прежде всего, к персоналу и руководству предприятия.

Правовое обеспечение дает возможность урегулировать многие спорные вопросы, неизбежно возникающие в процессе информационного обмена на самых разных уровнях - от речевого общения до передачи данных в компьютерных сетях. Кроме того, образуется юридически оформленная система административных мер, позволяющая применять взыскания или санкции к нарушителям внутренней политики безопасности предприятия, а также устанавливать достаточно четкие условия по обеспечению конфиденциальности сведений, используемых или формируемых при сотрудничестве между субъектами экономики, выполнении ими договорных обязательств, осуществлении совместной деятельности и т. п. При этом стороны, не выполняющие эти условия, несут ответственность в рамках, предусмотренных как соответствующими пунктами межсторонних документов (договоров, соглашений, контрактов и пр.), так и российским законодательством.

Понятно, что для достижения полноты и комплексности защиты информации только разработкой и внедрением на предприятии даже самого совершенного и безупречного правового обеспечения ограничиваться не стоит. Любые законы или правила теряют свою работоспособность и перестают быть эффективными нормативными средствами регулирования различного рода взаимоотношений при отсутствии этих взаимоотношений, как таковых, без наличия субъектов взаимоотношений или вообще среды, на которую распространяется действие данных норм.

Короче говоря, для того, чтобы создать надежную правовую базу для системы защиты информации, нужно организовать эту систему, создать предпосылки для е╦ функционирования, разработать комплекс последовательно и согласованно проводимых мероприятий, определить входящие в не╦ компоненты и подсистемы. Для этих целей и предназначена организационная защита информации, к общему описанию которой мы сейчас приступим.

Организационная система защиты информации представляет собой совокупность организационных и организационно-технических мер по обеспечению информационной безопасности на предприятии, созданию общей политики безопасности и осуществлению контроля е╦ эффективности. Реализацию проекта по созданию комплексной системы защиты информации рекомендуется проводить поэтапно. Разработке и внедрению системы обязательно предшествуют тщательное исследование информационных ресурсов предприятия и вынесение обоснований и доводов в пользу создания системы защиты, предварительно прикидываются и распределяются ресурсы и трудозатраты на е╦ создание и функционирование, выбираются наиболее приоритетные пути и направления е╦ развития. Затем устанавливаются возможные причины, варианты проявления и последствия нарушений информационной безопасности, сбоев программ, технических средств и систем обработки и передачи информации, несанкционированного е╦ получения, модификации (уничтожения) и распространения, иными словами, рисуется информационно-функциональная модель предприятия и создается эскизная схема системы защиты. При этом организационная часть системы должна включать в себя:

• во-первых, выявление сведений, составляющих коммерческую тайну предприятия, и составление перечня таких сведений с разбиением его на группы по категории конфиденциальности и необходимому уровню их защиты (позднее, на этапе внедрения комплексной системы защиты информации, такие перечни составляются по каждому подразделению или направлению деятельности предприятия).
• во-вторых, осуществляется планирование внедрения системы защиты информации, в процессе которого определяются наиболее уязвимые участки каналов информационного обмена, составляется график проведения организационных и организационно-технических мероприятий, производится расчет затрачиваемых ресурсов, составляется общий список привлекаемых к внедрению системы сотрудников (специалистов, служащих и руководителей) и подразделений, определяется порядок взаимодействия структурных элементов и частей предприятия на этапе создания системы защиты информации;
• в-третьих, проводятся мероприятия по внедрению и реализации системы. На этом этапе осуществляются:
• категорирование объектов электронной вычислительной техники;
• составление перечня выделенных помещений, в которых проводятся закрытые мероприятия или циркулирует критичная информация;
• определение должностных лиц, уполномоченных осуществлять контроль и оперативное управление СЗИ;
• повышение квалификации специалиста (специалистов) в области защиты информации, поддерживающего функционирование систем, средств и устройств информационной безопасности, а также выполняющего функции администратора безопасности информационных ресурсов средств вычислительной техники (СВТ) и ЛВС;
• регламентация функциональных обязанностей сотрудников подразделений информационной безопасности;
• определение контролируемых зон;
• выделение из эксплуатируемых в банке технических средств, используемых для передачи, хранения и обработки критичной информации;
• выявление вспомогательных технических средств и систем (ВТСС), предназначенных для обеспечения и сопровождения функционирования предприятия;
• уточнение назначения и обоснование необходимости применения ВТСС в функциональных и управленческих циклах работы;
• выявление задействованных и незадействованных воздушных, наземных, подземных, настенных кабелей, цепей, проводов, уходящих за пределы контролируемых зон;
• установление порядка периодических аттестационных проверок выделенных помещений;
• в-четвертых, на этапе функционирования системы защиты информации постоянно проводятся следующие организационные мероприятия: регистрация работ с использованием сведений, составляющих коммерческую тайну;
• регистрация всех событий, связанных с разработкой, использованием, передачей информации, содержащей конфиденциальные сведения, и внесением изменений в защищаемые информационные ресурсы;
• ведение учета документации и носителей конфиденциальной информации;
• реагирование на проявление дестабилизирующих факторов с целью предотвращения или снижения степени воздействия на информацию;
• разграничение прав доступа к защищаемым информационным ресурсам;
• в-пятых, предпринимаются меры по обеспечению контроля эффективности системы, например, проведение периодических проверок, включающих в себя применение специальных тестирующих программ, просмотр регистрационной документации, контроль за выполнением организационных мер по соблюдению правил, предусмотренных политикой безопасности, анализ состояния системы защиты, вынесение решений по совершенствованию технических средств и систем, организационного построения и политики безопасности.

Кроме того, должны проводиться регулярные профилактические беседы с персоналом для предупреждения фактов нарушения политики безопасности. Этими беседами необходимо достигнуть повышения уровня сознательности сотрудников по отношению к проблеме защиты информации до уровня понимания каждым из них полезности и необходимости проводимых мероприятий, направленных на обеспечение информационной безопасности, являющейся, в свою очередь, неотъемлемой частью общей безопасности предприятия. Только сознательное отношение сотрудников к этой проблеме может сделать систему защиты по-настоящему эффективной и надежной. Таким образом, в организационной системе защиты информации человеческий фактор занимает главенствующее положение. Как, впрочем, и во всей комплексной системе защиты человек далеко не последнее звено цепи решающих факторов и обстоятельств, определяющих положение предприятия относительно информационной защищенности и безопасности.