ПРАКТИЧЕСКИЕ СОВЕТЫ
МЕНЕДЖЕРУ ИЛИ РУКОВОДИТЕЛЮ СЛУЖБЫ БЕЗОПАСНОСТИ

 

Начальник отдела Управления Гостехкомиссии России, А.И.Ефимов
Заместитель начальника отдела Управления Гостехкомиссии России С.В.Вихорев

 

От авторов.

В 1992 году Указом Президента Российской Федерации N 9 вместо существовавшей ранее около 20 лет Государственной технической комиссии СССР, была образована Государственная техническая комиссия при Президенте Российской Федерации (Гостехкомиссия России) - коллегиальный орган, отвечающий за решение в том числе и задач координации усилий в области защиты информации. Сейчас, когда эта проблема становится все более актуальной, в Гостехкомиссию России постоянно поступают запросы от организаций различных форм собственности о порядке и правилах защиты информации в Российской Федерации. Не претендуя на полный и детальный анализ положения дел в этой области (это труд достойный отдельной монографии) авторы попытались во вполне доступной форме осветить основные вопросы, которые возникают перед менеджерами организаций или руководителями служб безопасности на начальном этапе процесса обеспечения информационной безопасности.

Итак, Вам доверили довольно важное направление в Вашей фирме - обеспечение информационной безопасности. Если до этого момента Вы были знакомы с этой достаточно сложной проблемой и чувствуете в себе силы с ней справиться, то Вам остается пожелать только успехов в этом благородном, но многотрудном деле.

Если же Вы не достаточно хорошо владеете этой проблемой, то можно надеяться, что советы, которые здесь излагаются, помогут Вам на первом этапе.

 

С чего же начать?

 

Прежде всего попробуем определиться, зачем, от кого, что надо защищать и надо ли вообще что-то защищать. То есть, другими словами определим цели и задачи, которым должна соответствовать Ваша система защиты информации.

Уясним прежде всего, что же такое информация, всякую ли информацию надо защищать и зачем ее надо защищать?

Деятельность любого учреждения нельзя представить без процесса получения самой разнообразной информации, ее обработки в ручную или с использованием средств вычислительной техники, принятия на основе анализа информации каких-либо конкретных решений и передачи принятых решений по каналам связи. Информация только тогда становится полезной, когда она представлена в форме, доступной для восприятия и ее обработки. Искажение информации, блокирование процесса ее получения или внедрение ложной информации, способствуют принятию ошибочных решений.

Вместе с тем, информация это весьма специфический продукт, который может быть как в материальном, так и в нематериальном (нефиксированном) виде. Поэтому необходимы четкие границы, определяющие информацию, как объект права, котрые позволят применить к ней опредленные законодательные нормы.

Федеральный Закон "Об информации, информатизации и защите информации", направленный на регулирование взаимоотношений в информационной сфере совместно с Гражданским кодексом Российской федерации относит информацию к объектам права и дает ее определение:

 

"Информация - сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления".

 

Основными целями защиты информации, Закон видит: предотвращение утечки, хищения, искажения, подделки; предотвращение безопасности личности, общества, государства; предотвращение несанкционированных действий по уничтожению, искажению, блокированию информации; защиту конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных; сохранение государственной тайны, конфиденциальности документированной информации.

По этому Закону защите подлежит информация ограниченного доступа, а степень ее защиты определяет собственник этой информации.

При этом ответственность за выполнение мер защиты лежит не только на собственнике информации, но и на ее пользователе. Поэтому прежде всего надо четко уяснить используется ли в Вашем учреждении информация, которая на принадлежит Вам, но подлежит обязательной защите.

Отметим, что защищается только документированная информация, поэтому Вам в начале надлежит уяснить какая документированная информация используется в Вашем учреждении. Начать надо с того, что провести предварительный анализ информации, которая имеется в Вашем учреждении. От этого, в дальнейшем, будет зависеть выбор степени защиты информации.

"Оксфордский словарь" дает следующее определение: "документ" - это текст или изображение, имеющее информационное значение". Согласитесь, что это довольно расплывчатое определение, которое позволяет подвести под эту категорию практически все - от гравюр видов города Линца работы неизвестного мастера, до саых важных контрактов с вашими партнерами. Федеральный Закон "Об информации, информатизации и защите информации" немного конкретизирует это понятие:

"Документированная информация (документ) - зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать", при этом, "документирование информации является обязательным условием включения информации в информационные ресурсы".

Документирование информации проводится по строго определенным правилам. Основные из них изложены в ГОСТ 6.38-90 "Система организационно-распорядительной документации. Требования к оформлению документов.", ГОСТ 6.10.4-84 "Унифицированные системы документации. Придание юридической силы документам на машинном носителе и машинограмме, создаваемым средствами вычислительной техники." и некоторых других. Надо отметить, что эти ГОСТы предполагают 31 реквизит, который делает информацию документом. Правда, не обязательно что бы присутствовали сразу все реквизиты. Но главным реквизитом является текст документа. Поэтому любая информация, изложенная в виде связного текста без каких-либо дополнительных реквизитов уже может рассматриваться как документ. Необходимо отметить, что для придания документу определенной юридической силы одного текста недостаточно. Необходимы также такие важные реквизиты, как дата и подпись.

Особый порядок существует только для документов, полученных из автоматизированных информационных систем. При этом, в определенных случаях, применяется процедура заверения информации, полученной от удаленного объекта, электронной подписью.

Надо сказать, что защита информации - удовольствие достаточно дорогое, поэтому одним из принципов построения системы защиты должен стать принцип дифференциации степени защиты информации от ее важности и ценности.

 

На что же надо обратить внимание при оценке информации?

 

Закон выделяет три категории такой информации - это информация, составляющая государственную тайну, персональные данные и коммерческую тайну.

Первой категорией информации владеет само государство и, естественно, само выдвигает определенные требования по ее защите и контролирует их исполнение. Это определяется Законом Российской

Федерации 1993 года "О государственной тайне". Надо сказать, что нарушения именно этих требований влечет за собой применение санкций, предусмотренных Уголовным кодексом Российской Федерации по всей строгости законов.

Государство имеет право выкупа информации представляющей собой государственную тайну у физических и юридических лиц. При этом, собственник информации, содержащей государственную тайну, вправе распоряжаться этой собственностью только с разрешения соответствующих органов государственной власти.

В настоящее время разработан Перечень должностных лиц, имеющих право отнесения сведений к категории государственная тайна. Таких должностных лиц около сорока. Всем ведомствам, возглавляющим этими лицами, Правительством Российской Федерации поручено разработать конкретные перечни сведений, составляющих государственную тайну, которые являются развитием общероссийского Перечня сведений, отнесенных к государственной тайне (подлежащему открытому опубликованию). Такой перечень сформирован Гостехкомиссией России, согласован с заинтересованными министерствами и ведомствами и представлен в Правительство Российской Федерации. До его утверждения, наверное, рано говорить о его широком опубликовании, однако, всегда можно получить исчерпывающую консультацию по вопросу отнесения сведений к категории государственной тайны, обратившись непосредственно в Гостехкомиссиию России или соответствующие министерства и ведомства.

Собственником второй категории информации являемся мы с Вами вместе взятые, так как эта информация затрагивает нашу с Вами личную жизнь. Однако, понимая степень значимости этой информации и ее роль в обеспечении безопасности каждой отдельно взятой личности, государство взяло ее под свой патронат и рассматривает ее защиту, как одну из своих важных задач.

Правовая сторона этого вопроса на современном этапе проработана недостаточно. Только Закон "Об информации, информатизации и защите информации" относит эту информацию к категории конфиденциальной и требует ее защиты наравне с информацией составляющей государственную тайну, но дальнейшего развития эти положения, в том числе и в плане конкретной ответственности за ее разглашение, утрату или искажение, законодательно пока еще не закреплены. Будем надеется, что находящийся в настоящее время в Правительстве Российской Федерации законопроект "О персональных данных", который планируется рассмотреть и представить в Государственную Думу Федерального собрания Российской Федерации до конца 1995 года решит эти вопросы.

Информацией третьей категории владеют сами учреждения и поэтому в праве ими распоряжаться, а следовательно и выбирать степень их защиты. Правда, применить какие-либо санкции в случае нарушения конфиденциальности возможно только если предварительно были выполнены особые формальности, оговоренные Гражданским кодексом Российской Федерации.

Суть этих формальностей, изложенных в ст.139 Гражданского кодекса Российской Федерации заключается в том, что во-первых информация должна иметь действительную или потенциальную коммерческую ценность и эти ведения не могут быть известны третьим лицам в силу других каких-либо условий, во-вторых учреждение принимает определенные усилия, чтобы исключить на законных основаниях свободный доступ к этой информации и охране ее конфиденциальности и в-третьих все сотрудники, знакомые с этими сведениями были официально предупреждены о их конфиденциальности. Только в этом случае закон будет на Вашей стороне и Вы сможете потребовать возмещения убытков, понесенных от нарушения их конфиденциальности.

 

Какую же информацию надо относить к категории "коммерческая тайна"?

 

Сразу уясним, что коммерческая тайна не появляется вместе с организацией Вашего учреждения. Только в процессе его работы происходит накопление какой-либо информации, разглашение которой способно принести немалый ущерб экономическому положению учреждения.

Поэтому, часть информации такого рода целесообразно перевести в разряд коммерческой тайны. При этом надо руководствоваться положениями уже упомянутого Гражданского кодекса Российской Федерации (ст.139), Федеральным Законом "Об информации, информатизации и защите информации" (ч.3, ст.10) и Постановления Правительства Российской Федерации от 5 декабря 1991 года N 35 "О перечне сведений, которые не могут составлять коммерческую тайну".

Методика отнесения тех или иных сведений к коммерческой тайне пока еще достаточно хорошо не разработана. Точно пока известно, что нельзя относить к этой категории информации, однако, при этом полезно не забывать о следующем.

Во-первых, исходите из принципа экономической выгоды и безопасности Вашего учреждения. Соблюдайте золотую середину, ведь если закрыть всю информацию, то можно потерять прибыли - Вы не сможете, к примеру вести широкую рекламную компанию способов и форм деятельности Вашего учреждения. А если Вы всю информацию откроете - то дадите очень сильные козыри Вашим конкурентам.

Во-вторых, вся информация о Ваших новых разработках и ноу-хау конечно же должна быть коммерческой тайной.

В-третьих, особое внимание обратите на защиту содержания и самого факта заключения договоров Вашего учреждения с партнерами.

Сведения, относимые к этой категории можно условно разделить на две группы:

сведения, составляющие научно-техническую и технологическую информацию, связанную непосредственно с деятельностью учреждения, то есть конструкторская и технологическая документация, сведения об используемых материалах, описание методов и способов производства вновь разрабатываемых изделий, специфический или уникальный программный продукт, перспективные планы развития или модернозации производства;

сведения, составляющие деловую информацию о деятельности учреждения, то есть финансовая документация, перспективные планы развития, аналитические материалы об исследованиях конкурентов и эффективности работы на рынке товаров и услуг, различные сведения о партнерах и пр.

Чтобы сведения, котрые относятся к категории коммерческой тайны действительно приобрели законную силу, они должны быть в обязательном порядке оформлены в виде специального перечня, утвержденного руководителем учреждения, Только в этом случае можно будет говорить о придании конфиденциальной информации определенных вещных прав.

Более подробно все эти аспекты освещаются законопроектом "О коммерческой тайне", который уже более двух лет рассматривается нашим Правительством и Федеральным собранием.

Нельзя не сказать еще об одной категории информации. Гражданским кодексом Российской Федерации информация наделена еще и правами товара. Она может представлять определенную ценность (даже не относясь к уже перечисленным категориям) сама по себе, обмениваться, продаваться, дариться и прочая. Ну согласитесь, что наверное неразумно будет рачительному хозяину держать открытой такую информацию которую могут украсть или, по крайней мере, использовать без его ведома. Поэтому, оценивая информацию с точки зрения необходимости ее защиты, не надо забывать и этот аспект.

Как видите, законодательство в области защиты информации еще далеко от совершенства, однако, при правильном использовании уже имеющихся законодательных и целого ряда подзаконных актов, можно добиться весьма ощутимых успехов в области возмещения своих убытков и, в то же время не попасть под карающий меч государственных структур.

Совет 1. Проанализируйте информацию, которая циркулирует в Вашем учреждении, выделите информацию ограниченного доступа, определите объем информации, составляющей государственную тайну, оцените коммерческую важность информации - это позволит Вам дифференцировать мероприятия по обеспечению безопасности информации и тем самым сократить расходы. Незабудьте составить Перечень сведений, составляющих коммерческую тайну для Вашего учреждения, утвердить его и обязательно ознакомить с ним исполнителей.

 

Что защищать теперь известно.

Разберемся, от кого надо защищать информацию?

 

На основе предварительного анализа мы все-таки определились какую информацию надо защищать и беречь и какова в ней доля государственной информации и информации, представляющей коммерческую тайну. Пора заняться ее защитой.

Прежде чем перейти к выбору конкретных точек приложения Ваших усилий, пройдитесь по рабочим помещениям учреждения. Практически в каждом из них Вы найдете множество различных устройств и приспособлений, которые стали привычными на рабочих местах, облегчают Вашу работу, но и способствуют утере информации. Все эти ксероксы, компьютеры, телефоны, телефаксы, модемы и прочая и прочая, безусловно, весьма Вам полезные, являются собственно говоря теми дырами, через которую информация уйдет из Вашего учреждения.

Что же, отказаться от всех этих милых штучек? Это по крайней мере неразумно. Просто надо найти такие способы, которые закроют все дыры.

Ну, положим, Вы нашли эти способы или Вам их подсказали более опытные коллеги. Вы думаете это уже все? А не забыли ли Вы про телекамеры системы охраны, про датчики пожарной сигнализации, наконец про собственно пожар или какое-нибудь наводнение, которые также могут уничтожить или безвозвратно исказить Вашу информацию?

Есть достаточно много способов нелегального получения информации или ее искажения. Можно, например, сфотографировать важный документ, можно украсть папку с документами или дискету с информацией, можно с помощью специального приемника принять излучения электронных устройств, обрабатывающих информацию и по ним восстановить. Да и это, наверное не все. Можно найти еще не один способ (или как говорят - угрозу) который приведет к утрате информации.

Правда, в основном это угрозы внешние. То есть предполагается, что лицо, использующие эти способы находится извне Вашего учреждения. Но есть и еще одна угроза, о которой необходимо сказать отдельно - это персонал Вашего учреждения. Можно создать идеальную систему безопасности, но она не будет действовать, если у Вас есть "засланый казачок".

Поэтому, прежде чем создавать систему безопасности, убедитесь в лояльности персонала Вашего учреждения.

Если персонал лоялен к Вашему учреждению, то проблем, конечно же, нет. Но для этого, по крайней мере надо быть в этом уверенным. Уже принимая сотрудника на работу, постарайтесь всеми доступными средствами навести о нем справки. Примените специальные психологические тесты, которые помогут оценить его лояльность Вашему учреждению, оцените его психологические качества. Продумайте систему материального и морального поощрения сотрудников за соблюдение лояльности. Регулярно проверяйте по специальным тестам сотрудников, которые соприкасаются с информацией ограниченного доступа.

Если вы используете информацию, составляющую государственную тайну, то большинство этих вопросов решится само по себе, когда Ваши сотрудники будут оформлять соответствуюший допуск к этим работам. Но если такой информации у вас нет, от решение этих проблем - Ваша забота. Обязательно оговорите в контракте или договоре с сотрудником условия сохранения Ваших тайн не только на период совместной работы, но и на определенный срок после завершения Ваших взаимоотношений. Только в этом случае Вы сможете предъявить какие-либо санкции.

Совет 2. Проповедуйте принцип "доверяй, но проверяй". До начала построения системы безопасности Вашего учреждения в целом и безопасности информации в частности, убедитесь в лояьности Ваших сотрудников и, особенно, сотрудников службы безопасности. Примите необходимые меры морального и материального поощрения их лояльности - это вселит в Вас уверенно