Неформальные средства защиты

Неформальными называются такие средства защиты, которые реализуются в результате деятельности людей, либо регламентируют эту деятельность. Неформальные средства включают организационные, законодательные и морально-этические меры и средства.

Под организационными средствами защиты понимаются организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации ИВС для обеспечения безопасности данных.

Организационные средства защиты охватывают все структурные сегменты ИВС на всех этапах жизненного цикла сети.

Мероприятия, осуществляемые при создании сети, включают организационно-технические и организационно-правовые меры и средства защиты, связанные в основном с допуском исполнителей к документам и материалам, и реализуются на всех этапах создания сети:

• при разработке системы в целом и всех ее подсистем;
• при монтаже и наладке оборудования;
• при разработке математического, программного, информационного и технического обеспечения сети;
• при испытаниях и приемке сети в эксплуатацию.

Мероприятия, осуществляемые в процессе эксплуатации сети, включают:

• организацию пропускного режима;
• организацию технологического цикла обработки и передачи данных;
• организацию работы обслуживающего персонала;
• организацию интерфейса пользователей с сетью;
• организацию ведения протоколов обмена;
• распределение реквизитов разграничения доступа между пользователями

(паролей, профилей полномочий, списков доступа и т.п.).

Мероприятия общего характера включаю; в себя:

• учет требований защиты при подборе и подготовке кадров;
• организацию плановых и внезапных проверок функционирования механизмов защиты в СУБД;
• планирование всех мероприятии по обеспечению безопасности данных;
• разработку документов по обеспечению безопасности данных и т.д.

Минимизация сведений, доступных персоналу. Этот принцип означает, что каждый сотрудник должен знать только те детали процесса обеспечения безопасности данных, которые необходимы ему для выполнения своих обязанностей.

Минимизация связей персонала. Организация технологического цикла сбора, обработки и передачи данных, по мере возможности, должна исключать или минимизировать контакты обслуживающего персонала.

Разделение полномочий. В системах с высокими требованиями по обеспечению безопасности данных ответственные процедуры выполняются, как правило после подтверждения их необходимости двумя сотрудниками.

Минимизация доступных данных требует ограничения количества данных, которые могут быть доступны персоналу и пользователям.

Дублирование контроля. Контроль важнейших операций нельзя поручать одному сотруднику.

Ведение эксплуатационной документации подразумевает фиксацию факта передачи смены с перечислением того, что и в каком состоянии передается.

Особенности организации обеспечения безопасности данных отражаются в эксплуатационной документации и функциональных обязанностях персонала, которые разрабатываются с учетом целей и задач, стоящих перед сетью, и требований по защите данных в ней.

В системах с повышенными требованиями к защите вводится специальное должностное лицо, занимающееся вопросами обеспечения безопасности данных.

Законодательные меры защиты. Негативным последствием информатизации общества является появление так называемых компьютерных преступлений. Распространение компьютерных систем, объединение их в ИВС расширяет возможности несанкционированного доступа (НСД) к информации. Структура органов обеспечения безопасности информации США представлена на рис. 2.3

Рис. 2.3 Структура органов обеспечения безопасности информации США.

Основы такого законодательства заложены в Декларации прав и свобод гражданина, принятых Верховным Советом РФ 12 ноября 1991 года. Пункт 2 статьи 1 этой декларации гласит: "Каждый человек имеет право искать, получать и свободно распространять информацию. Ограничения этого права могут устанавливаться Законом только в целях охраны личной, семенной, профессиональной, коммерческой и государственной тайны, а также нравственности". Данное положение дает основу для построения иерархии законов. Важнейшим из них является Закон "О государственной тайне", вступивший в действие 21 сентября 1993 гола. Согласно этому закону под государственной тайной понимаются защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности РФ. Данный Закон не рассматривает человека в качестве носителя сведений, составляющих государственную тайну. Опубликован проект Закона "О коммерческой тайне". Основная цель данного Закона - создать со стороны государства необходимые для предпринимательства гарантии защиты прав хозяйствующих субъектов на информацию путем дополнения законодательства об авторском праве и промышленной собственности нормами, предоставляющими им право засекречивать ценную информацию в качестве коммерческой тайны для защиты ее владельца от промышленного шпионажа и недобросовестной конкуренции. Таким образом, данные законы являются новым шагом в осуществлении правовой реформы в РФ.

Закон о государственной тайне устанавливает органы защиты государственной тайны, к которым относятся:

• межведомственная комиссия по защите государственной тайны;
• органы федеральной исполнительной власти (Министерства безопасности и обороны. Федеральное .Агентство Правительственной Связи и Информации), служба внешней разведки. Государственная техническая комиссия (ПК) и их

органы на местах;

• органы государственной власти, предприятия, учреждения и организации

и их структурные подразделения но защите государственной тайны.

Особую роль играет созданная Указом Президента РФ от 5 января 1992 гола ГТК РФ, которая является органом государственного управления РФ и, в пределах своей компетенции, осуществляет руководство органами защиты информации, составляющей государственную и служебную тайну в политической, экономической, научно-технической, военной и других сферах. Решения ГТК России являются обязательными для всех органов государственного управления, объединений, концернов, ассоциаций, предприятий и учреждений РФ. На ГТК России возложено проведение единой технической политики и координации работ по защите информации от утечки по техническим каналам, от НСД к информации, обрабатываемой техническими средствами, и от специальных воздействий на информацию с целью ее разрушения, искажения и уничтожения.

Основными задачами ГТК России по реализации Указа Президента являются:

• разработка обшей технической политики и концепции защиты информации;
• разработка законодательно-правового обеспечении проблем защиты информации и участие в подготовке законодательных актов в смежных областях;
• разработка нормативно-технических и организационно распорядительных документов;
• руководство работами по сертификации и лицензированию;
• контроль эффективности защиты информации;
• руководство подготовкой кадров;
• финансирование работ по защите информации;
• информационное обеспечение.

В настоящий момент ГТК разработан ряд важнейших документов, посвященных различным аспектам защиты информации. С этими документами можно ознакомиться в официальных изданиях ГТК.

К морально-этическим нормам защиты относятся всевозможные нормы, которые традиционно сложились или складываются по мере развития информатизации общества. Такие нормы не являются обязательными, однако их несоблюдение ведет, как правило, к потере авторитета, престижа человека, группы лиц или целой организации. Считается, что Этические нормы оказывают положительное воздействие на персонал и пользователей. Морально-этические нормы могут быть неписаными (например, общепринятые нормы честности, патриотизма и т.п.) и оформленными в качестве свода правил и предписаний (кодексов).

В качестве примера приведем выдержку из кодекса, разработанного американской ассоциацией пользователей ЭВМ (АПЭВМ): "Член АПЭВМ в каждом случае, когда он соприкасается с данными, касающимися отдельных лиц, должен всегда учитывать принципы сохранения тайны, принадлежащей отдельному лицу, и стремиться выполнять следующие положения:

• минимизировать объем собираемых сведений;
• ограничивать разрешенный доступ к данным: обеспечивать соответствующую секретность данных;
• определять необходимую длительность периода хранения данных;
• обеспечивать соответствующую передачу данных.

В России создано несколько ассоциации пользователей ЭВМ, но в их кодексах вопросы защиты информации не нашли достаточного отражения. Например, статья 4 Устава Ассоциации пользователей персональных ЭВМ гласит: "Ассоциация берет на себя контрольные общественные функции в рамках компетенции, в частности выборку и поддержку общественных норм в области защиты авторских прав разработчиков программных средств, систем и научно-методических материалов".