Управление инфорресурсами-конспект
.pdf
защите, наиболее целесообразны и эффективны простейшие методы ее защиты. Например: выделение в отдельную группу и маркирование ценных бумажных, машиночитаемых и электронных документов, назначение и обучение служащего, работающего с этими документами, организация охраны здания, введение обязательств для сотрудников о неразглашении ценных сведений, контроль за посетителями, проведение простейших действий по защите ЭВМ, ведение аналитической и контрольной работы и другие методы. Как правило, применение простейших методов защиты дает значительный эффект.
В крупных организациях со сложной структурой, множеством информационных систем и значительными объемами информации, подлежащей защите, формируются комплексные системы защиты информации, характеризующиеся многоуровневым .построением и иерархическим доступом к информации. Однако эти системы, как и простейшие метЬды защиты, не должны создавать сотрудникам серьезные неудобства в работе.
Комплексность системы защиты
Комплексность системы защиты достигается наличием в ней ряда обязательных элементов — правовых, организационных, инженерно-технических и программно-математических. Соотношение элементов и их содержание обеспечивают индивидуальность системы защиты информации учреждения и гарантируют ее неповторимость и трудность преодоления.
Конкретную систему можно представить в виде кирпичной стены, состоящей из множества разнообразных элементов (кирпичиков). Содержание элементов системы определяет не только ее индивидуальность, но и конкретный заданный уровень защиты с учетом ценности информации и стоимости системы.
Элемент правовой защиты информации предполагает юридическое закрепление взаимоотношений учреждения и государства по поводу правомерности защитных мероприятий, а также учреждения и персонала по поводу обязанности персонала соблюдать порядок защиты ценной информации учреждения и ответственности за нарушение этого порядка. Элемент включает:
наличие в организационных документах учреждения, правилах внутреннего трудового распорядка, контрактах, заключаемых с сотрудниками, и в должностных инструкциях положений и обязательств по защите ценной информации учреждения; разъяснение лицам, принимаемым на работу, связанную с защищаемой информацией фирмы, добровольности принимаемых ими на себя ограничений, обусловленных соблюдением правил допуска, доступа к такой информации и ее использования;
формулирование и доведение до сведения всех сотрудников учреждения (в том числе не связанных в своей работе с защищаемой информацией)
положений о правовой ответственности за разглашение, уничтожение или фальсификацию информации.
Элемент организационной защиты информации содержит меры управленческого и ограничительного характера, устанавливающие технологию защиты и побуждающие персонал соблюдать правила защиты ценной информации учреждения. Элемент включает в себя:
формирование и регламентацию деятельности службы безопасности учреждения (или менеджера по безопасности), обеспечение этой службы нормативно-методическими документами по организации и технологии защиты информации; регламентацию и регулярное обновление состава (перечня, списка, матрицы) ценной информации учреждения, подлежащей защите, составление и ведение перечня (описи) бумажных, машиночитаемых и электронных ценных документов фирмы;
регламентацию системы (иерархической схемы) разграничения доступа персонала к ценной информации; регламентацию методов отбора персонала для работы с закрытой информацией, методики обучения и инструктирования сотрудников;
регламентацию технологии защиты и обработки бумажных, машиночитаемых и электронных документов учреждения (делопроизводственной, автоматизированной и смешанной технологий);
регламентацию порядка защиты ценной информации учреждения от случайных или умышленных несанкционированных действий персонала;
регламентацию порядка защиты информации при проведении совещаний, заседаний, проведении переговоров, приеме посетителей, работе с представителями средств массовой информации;
регламентацию аналитической работы по выявлению угроз ценной информации и каналов разглашения, утечки информации;
оборудование и аттестацию помещений и рабочих зон, выделенных для работы с ценной информацией, лицензирование технических систем и средств защиты информации и охраны, сертификацию информационных систем, предназначенных для обработки закрытой информации;
регламентацию пропускного режима на территории, в здании и помещениях учреждения, идентификацию персонала и посетителей;
регламентацию системы охраны территории, здания, помещений, оборудования, транспорта и персонала учреждения; регламентацию организационных вопросов эксплуатации технических средств защиты информации и охраны; регламентацию организационных вопросов защиты персональных компьютеров, информационных систем, локальных сетей;
регламентацию действий службы безопасности и персонала учреждения в экстремальных ситуациях;
регламентацию работы по управлению системой защиты информации;
регламентацию критериев и порядка проведения оценочных мероприятий по установлению степени эффективности системы защиты информации.
Элемент организационной защиты является стержнем, который связывает в единую систему все другие элементы. По мнению большинства специалистов, меры организационной защиты информации составляют 50—60% в структуре большинства систем защиты информации. Это связано с рядом факторов, а также с тем, что Важной стороной организационной защиты информации является подбор, расстановка и обучение персонала, который будет осуществлять на практике принципы и методы защиты. Сознательность, обученность и ответственность персонала можно с полным правом назвать краеугольным камнем любой, даже самой технически совершенной системы защиты информации.
Организационные меры защиты отражаются в нормативнометодических документах службы безопасности учреждения. В этой связи часто используется единое название двух рассмотренных выше элементов системы защиты — элемент организационноправовой защиты информации.
Элемент инженерно-технической защиты информации предназначен для пассивного и активного противодействия средствам технической разведки и формирования рубежей охраны территорий, здания, помещений и оборудования с помощью комплексов технических средств. При защите информационных систем этот элемент имеет важное значение, хотя стоимость средств технической защиты
иохраны велика. Элемент включает в себя:
сооружения физической защиты от проникновения посторонних лиц на территорию, в здания, помещения и т.п. (заборы, решетки, стальные двери, сейфы и др.);
средства защиты технических каналов утечки информации, возникающих при работе ЭВМ, средств связи, копировальных аппаратов, принтеров, факсов и других приборов и офисного оборудования;
средства защиты помещений от визуальных и акустических способов технической разведки;
средства обеспечения охраны территорий, зданий и помещений (средства наблюдения, оповещения, сигнализации, информирования и идентификации); средства противопожарной охраны;
средства обнаружения приборов и устройств технической разведки (подслушивающих и передающих устройств, тайно установленной звукозаписывающей и телевизионной аппаратуры и т.п.);
технические средства контроля, предотвращающие вынос персоналом из помещения специально маркированных предметов, документов, дискет, книг и т.п.
Элемент программно-математической защиты информации предназначен для защиты ценной информации, обрабатываемой и хранящейся в компьютерах, локальных сетях и различных информационных системах. Однако фрагменты этой защиты могут применяться как сопутствующие средства в инженерно-технической
иорганизационной защите. Элемент включает в себя:
регламентацию доступа к базам данных, файлам, электронным документам персональными паролями, идентифицирующими командами и другими методами;
регламентацию специальных средств и продуктов программной защиты;
регламентацию криптографических методов защиты информации в ЭВМ и сетях, криптографирования (шифрования) текста документов при передаче их по каналам обычной и факсимильной связи, при пересылке почтой.
7.5.2. Информационные ресурсы ограниченного распространения и угрозы ресурсам
Информационные ресурсы
Предметом информационной безопасности в единстве сформированной политики безопасности и обеспечивающей комплексной системы защиты информации рассматриваются информационные ресурсы учреждения. В соответствии с Федеральным законом «Об информации, информатизации и защите информации» информационные ресурсы включают в себя отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах).
Информационные ресурсы являются объектами отношений физических, юридических лиц, государства, составляют информационные ресурсы России и защищаются законом наряду с другими ресурсами. Правовой режим информационных ресурсов определяется нормами, устанавливающими: порядок документирования информации; право собственности на документы и массивы документов; категорию информации по уровню доступа к ней; порядок правовой защиты информации.
Документирование информации (создание официального документа) является обязательным условием включения информации в информационные ресурсы. При этом тип используемой технологической системы создания, обработки и хранения документов (делопроизводственная, ручная или автоматизированная локальная, комплексная) не имеет никакого значения. Документ, полученный из автоматизированной информационной системы, приобретает юридическую силу
после его подписания должностным лицом в порядке, установленном законодательством Российской Федерации.
С точки зрения защиты информации процесс ее документирования предусматривает объективное распространение информации во времени и пространстве и соответствующее возрастание числа опасных источников ее разглашения, подлежащих учету и контролю. Сам факт запечатления ценной информации на какомлибо виде носителя предполагает наличие защитных мер в отношении информации и носителя от различных рисков.
Право собственности на документы и массивы документов. По принадлежности к тому или иному виду собственности информационные ресурсы могут быть государственными или негосударственными и как элемент состава имущества находятся в собственности граждан, органов местного самоуправления, организаций и общественных объединений. Субъекты, представляющие в обязательном порядке документированную информацию в органы государственной власти и организации, не утрачивают своих прав на эти документы и на использование информации, содержащейся в них.
Информация о гражданах (персональные данные) также включается в состав информационных ресурсов. Под персональными данными понимаются сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность.
Уровень доступа к информации
В соответствии с интересами обеспечения национальной безопасности и степенью ценности для государства, государственного учреждения, организации или предприятия информационные ресурсы (информация, документы) -могут быть:
открытыми, т.е. общедоступными (публикуемыми в средствах массовой информации, оглашаемыми на конференциях, в выступлениях, интервью и т.п.);
ограниченного доступа, т.е. защищаемыми, охраняемыми.
Открытая информация
К открытой можно отнести также информацию, составляющую интеллектуальную собственность ее владельца и защищенную нормами авторского, патентного или иного смежного права. Запрещается относить к информации с ограниченным доступом:
информацию, запрещенную к ограничению по доступу к ней, законодательные и другие нормативные акты, устанавливающие правовой статус органов государственной властй, органов местного самоуправления, организаций, общественных объединений, а также права, свободы и обязанности граждан, порядок их реализации;
документы, содержащие информацию о чрезвычайных ситуациях, — экологическую, метеорологическую, демографическую, санитарноэпидемиологическую и другую информацию, необходимую для обеспечения безопасного функционирования населенных пунктов, производственных объектов, безопасности граждан и населения в целом;
документы, содержащие информацию о деятельности органов государственной власти и органов местного самоуправления, об использовании бюджетных средств и других государственных и местных ресурсов, о состоянии экономики и потребностях населения, за исключением сведений, относящихся к государственной тайне;
документы, накапливаемые в открытых фондах библиотек и архивов, информационных системах органов государственной власти, органов
местного самоуправления, общественных объединений, организаций, представляющие общественный интерес или необходимые для реализации прав, свобод и обязанностей граждан.
Информация ограниченного доступа
Под документами, отнесенными законом к категории ограниченного доступа к ним персонала, подразумевается документированная на любом носителе (бумажном, магнитном, фотографическом и т.п.) текстовая, изобразительная или электронная информация. Эта информация должна отражать приоритетные достижения в экономической, политической, военной, научной и иной сферах деятельности, разглашение которой может нанести ущерб интересам государства или собственника информации. Основным признаком информации ограниченного доступа, т.е. защищаемой информации, являются ограничения, вводимые собственником информации на ее распространение и использование. Интересно отметить, что в качестве носителя информации ограниченного доступа выступает и мозг человека, хранящий и перерабатывающий ценные сведения, поступающие от внешнего источника.
Ценной и подлежащей защите может быть не только информация ограниченного доступа. Часто обычный открытый правовой документ важно сохранить в целости и безопасности от похитителя или стихийного бедствия.
Особенностью документа ограниченного доступа является то, что он представляет собой одновременно:
массовый носитель ценной, защищаемой информации;
основной источник накопления и распространения этой информации, в том числе её разглашения (утечки);
обязательный объект защиты.
Следовательно, информационные ресурсы при любой технологической системе их документирования, обработки и хранения (традиционной или автоматизированной) объективно подразделяются на два самостоятельных (автономных) информационных банка: банк общедоступной информации и банк защищаемой информации регламентированного доступа. Однако оба из указанных банков постоянно подвергаются объективным и субъективным угрозам разрушения носителя или самой информации. Угроза или опасность разрушения информации Под угрозой или опасностью мы будем понимать потенциально возможное или реальное нарушение нормального использования информационных ресурсов, их соответствия целям и задачам эффективного управления. Риск угрозы любым информационным ресурсам создают стихийные бедствия, экстремальные ситуации, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и незаинтересованные в возникновении угрозы лица. Сюда относятся также: кражи или уничтожение документов, угасание (старение) текста или изображения, подмена или изъятие документов, фальсификация текста или его части и многое другое.
Диапазон угроз для документов ограниченного доступа значительно шире, что связано прежде всего с тем, что к этим документам проявляется повышенный интерес со стороны иностранных спецслужб, криминальных структур, отдельных преступных элементов, часто незаконных детективных организаций, которых в совокупности мы обычно именуем злоумышленниками.
Основной угрозой безопасности информационным ресурсам ограниченного распространения, резко повышающей их уязвимость, является несанкционированный несанкционированный (незаконный) доступ
постороннего лица доступ (или работающего в учреждении злоумышленника) к защищаемой документированной информации и как результат этого — овладение информацией и противоправное ее использование. Обязательным условием для осуществления попытки несанкционированного доступа к этой информации является интерес к ней со стороны определенных лиц, служб и организаций. Результатом несанкционированного доступа к защищаемой информации может быть не только овладение ценными сведениями и их использование, но и их видоизменение, уничтожение, подмена и т.п.
Основным виновником несанкционированного доступа к ценной документированной информации является, как правило, персонал, работающий с другими документами и базами данных. При этом надо иметь в виду, что утрата (утеря) ценной информации происходит в большинстве случаев не в результате преднамеренных действий, а из-за невнимательности и безответственности персонала.
Наиболее часто встречаются следующие угрозы защищаемым информационным ресурсам:
кража (хищение), утеря документа или отдельных его частей (листов, приложений, схем, фотографий, дискет, аудио- и видеокассет и др.), носителя информации; копирование бумажных и электронных документов, баз данных, фото, видео, аудиодокументов, сообщение информации или прочтение документа по линиям связи; подмена документов, носителей и отдельных частей документа с целью их фальсификации или сокрытия факта утери, хищения;
работа в чужих электронных базах данных, с чужими компьютерами, тайное ознакомление с документами и базами данных, перезапись или запоминание информации; дистанционный просмотр документов и изображений дисплея с помощью технических средств разведки; ошибочные (умышленные или случайные) действия персонала при работе с документами (нарушение разрешительной системы доступа, правил обращения с документами, технологии их обработки и хранения);
случайное или умышленное уничтожение ценных документов и баз данных, их несанкционированная модификация, искажение и фальсификация;
считывание данных в чужих массивах за счет использования остаточной информации на копировальной ленте, бумаге, дисках и дискетах;
утечка информации по техническим каналам при обсуждении и диктовке текста документа, работе с компьютером и другой офисной техникой.
Особенно опасны угрозы для электронных документов, так как определить факт кражи информации часто невозможно. В отношении информационных ресурсов, обрабатываемых и хранящихся в компьютерах и локальных сетях, угрозы классифицируются по степени риска следующим образом:
непреднамеренные ошибки пользователей, операторов, системных администраторов и других лиц, обслуживающих информационные системы (самая частая и большая опасность); кражи и подлоги информации;
угрозы, исходящие от стихийных ситуаций внешней среды;
угрозы заражения вирусами.
Условия утраты информационных ресурсов
Разглашение (утечка) или утрата информационных ресурсов ограниченного доступа могут наступить:
при наличии интереса определенных учреждений или лиц к конкретной информации;
при возникновении риска угрозы, организованной злоумышленником или случайной;
при наличии условий, позволяющих злоумышленнику осуществить необходимые действия и овладеть информацией. Эти условия могут включать:
отсутствие системы аналитической работы по выявлению и изучению угроз, каналов и степени риска нарушений безопасности информационных ресурсов;
неэффективную систему защиты информации или отсутствие этой системы;
неупорядоченный подбор персонала и текучесть кадров; сложный психологический климат в коллективе; слабое знание сотрудниками учреждения порядка и правил защиты информации ограниченного доступа или непонимание необходимости их соблюдения;
отсутствие маркировки (грифования) информации и документов (в том числе на технических носителях) ограниченного доступа;
отсутствие контроля со стороны администрации учреждения за соблюдением персоналом требований нормативных документов по работе с информационными ресурсами ограниченного доступа;
бесконтрольное посещение учреждения посторонними лицами.
Следует учитывать, что риск угрозы информации появляется ;разу же при возникновении необходимости (и даже мысли) ее документирования. В связи с этим система защиты должна начинать
функционировать заблаговременно. При зарождении потребности в создании документа первоначально следует решить: а) является ли данная информация ограниченного доступа и, если является, то б) какая степень ее закрытости.
Каналы утечки информации
Угрозы целостности и сохранности информационных ресурсов ограниченного доступа практически реализуются через риск образования каналов несанкционированного получения кем-то (добывания) или утраты защищаемой информации и документов. Эти каналы мы, как правило, обозначаем термином «каналы утечки информации». Каждое конкретное учреждение обладает своим набором каналов утечки, зависящим от множества объективных и субъективных факторов (профиля деятельности, объемов защищаемой информации, профессионального уровня персонала, местоположения здания учреждения и т.п.).
В том случае, когда речь идет об утрате информации по вине персонала, используется термин «разглашение (огласка) информации». Человек может разглашать информацию устно, письменно, с помощью жестов, мимики, условных сигналов, лично, через посредников, по каналам связи и т.д.
Термин «утечка информации», хотя и используется наиболее широко, в большей степени относится, по нашему мнению,, к утрате информации за счет ее перехвата с помощью технических средств разведки, по техническим каналам.
Разглашение, утечка информации характеризуются двумя моментами: а) информация переходит непосредственно к заинтересованному лицу — злоумышленнику и б) к третьему лицу. Под третьим лицом в данном случае понимаются любые лица (коллеги по работе, посетители, технический персонал учреждения, прохожие, работники служб экстремальной помощи и т.п.), получившие информацию во владение в силу обстоятельств, но не обладающие правом владения ею и, что очень важно, не заинтересованные в этой информации. Однако от третьего лица информация может перейти к злоумышленнику.
Переход информации к третьему лицу можно назвать непреднамеренным,
стихийным, случайным, хотя при этом факт утечки, разглашения информации, нарушения ее безопасности имеет место. Непреднамеренный переход информации
ктретьему лицу возникает в результате:
утери или неправильного уничтожения документа, пакета с документами;
незнания, игнорирования или умышленного невыполнения сотрудником требований по защите документированной информации;
излишней разговорчивости сотрудников при отсутствии злоумышленника (с коллегами по работе, друзьями, иными лицами в местах общего пользования, транспорте и т.п.);
работы с документами ограниченного доступа при посторонних лицах, несанкционированной передачи их другому сотруднику;
использования сведений ограниченного доступа в открытой печати, личных записях, дневниках и т.п.;
наличия в документах излишней информации ограниченного доступа;
самовольногокопирования сотрудником документов в служебных или коллекционных целях.
Вотличие от третьего лица злоумышленник целенаправленно охотится за конкретной информацией и преднамеренно, тайно создает канал р1азглашения или утечки информации. Такие каналы вырабатываются злоумышленником в зависимости от конкретных обстоятельств и отличаются большим разнообразием видов и их сочетаний.
Каналы утраты любых информационных ресурсов, особенно информации ограниченного доступа, могут быть организационными и техническими.
Организационные каналы разглашения информации основаны на установлении разнообразных, в том числе законных, взаимоотношений злоумышленника с учреждением или сотрудником этого учреждения для последующего несанкционированного доступа к интересующей злоумышленника информации. Основными видами организационных каналов могут быть:
поступление злоумышленника на работу в учреждение, как правило, на техническую или вспомогательную должность (оператором ЭВМ, дворником, шофером и т.п.); установление злоумышленником доверительных взаимоотношений с сотрудником учреждения или посетителем, сотрудником другого учреждения или фирмы, имеющим доступ в данное учреждение;
анализ опубликованных материалов об учреждении, интервью сотрудников, статей журналистов, телепередач, участие в открытых конференциях, совещаниях и т.п.; работа в информационных сетях;
систематизация и анализ открытых документов учреждения, выделенных для уничтожения и находящихся в доступных местах, например в пунктах вторичного сырья, на свалках;
криминальный, силовой доступ к информации, т.е. кража документов, дискет, дисков, компьютеров, шантаж персонала, инсценирование
экстремальных ситуаций и т.п.; получение нужной информации от третьего (случайного) лица.
Технические каналы утечки информации возникают при использовании злоумышленником специальных технических средств разведки, позволяющих получать защищаемую информацию без контакта с персоналом учреждения. Эти каналы возникают при исследовании злоумышленником физических полей и излучений, возникающих в процессе работы офисной техники, и перехвате информации, имеющей акустическую, визуальную и иную формы. Любая
управленческая деятельность всегда связана с обсуждением ценной информации в кабинетах или по линиям связи, проведением расчетов и анализа ситуаций на ЭВМ, печатанием и размножением документов и т.п. Все это открывает обширные технические возможности для злоумышленника, если он заинтересован в получении определенных необходимых ему сведений. (Подробнее см.: Ярочкин В.И. Безопасность информационных систем. — М.: «Ось-89». С. 68.)
В результате использования разнообразных методов и творческого сочетания каналов добывания информации ограниченного доступа злоумышленник получает:
подлинник или официальную копию документа (бумажного, машиночитаемого, электронного), содержащего информацию ограниченного доступа;
несанкционированно сделанную копию этого документа (руколисную или изготовленную с помощью копировального аппарата, фототехники, компьютера и т.п.); диктофонную, магнитофонную, видеокассету с записью текста документа, переговоров, совещания; письменное или устное изложение за пределами учреждения содержания документа, ознакомление с которым осуществлялось санкционированно или тайно;
устное изложение текста документа по телефону, переговорному устройству, специальной радиосвязи и т.п.; аналог документа, переданного по факсимильной связи или электронной почте;
речевую или визуальную запись текста документа, выполненную с помощью технических средств разведки (радиозакладок, встроенных микрофонов и видеокамер, микрофотоаппаратов, фотографирования с большого расстояния). В основе поиска и обнаружения каналов
разглашения (утечки) защищаемой информации лежит классификация и постоянное изучение источников, владеющих информацией, и естественных, объективных каналов распространения этой информации. .
Одновременно ведется учет, анализ и контроль потенциальных угроз информации, возможных каналов ее утраты и степени риска возникающих опасностей для информационных ресурсов. Осуществляется поиск реальных каналов разглашения (утечки) информации, оценка степени их опасности и подавление действующих опасных угроз (атак). Угрозы, каналы и риски являются важнейшими предметами аналитической работы, которая носит превентивный характер. На этапе обнаружения, исследования, изучения и идентификации угрозы может быть определена опасность информационным ресурсам или конкретной информации и включены дополнительные защитные механизмы.
Следовательно, обнаружение канала разглашения (утечки) информации или предотвращение его появления возможно только при наличии постоянной контрольной и аналитической системы безопасности информационных ресурсов в источнике и канале распространения информации. Уязвимым является любой элемент информационных ресурсов и информационных систем. Другие пути носят случайный характер ожидания ошибки в действиях злоумышленника, так как реальные каналы разглашения (утечки) информации всегда являются тайной этого лица.
Рекомендуются в целях контроля следующие аналитические действия по отношению к источникам (персоналу, документам, компьютерным системам и др.), которые обладают или могут обладать защищаемой информацией:
классификация информации ограниченного доступа и ее распределения среди персонала различных категорий; учет и постоянная актуализация знания состава имеющихся и возможных источников (в том числе случайных) ценной информации;
учет и сопоставление состава ценной информации, которой обладает
каждый источник, т.е. знание уровня реальной, персональной осведомленности источника;
наблюдение за степенью эффективности применяемой системы разбиения между источниками на неконструктивные части знания ими ценной информации;
учет и наблюдение вариаций внутренних и внешних, потенциальных и реальных (пассивных и активных) угроз источнику, выявление процесса формирования канала разглашения (утечки) ценной информации;
наблюдение за действенностью защитных мер по отношению к каждому источнику, заблаговременное противодействие злоумышленнику.
Каналы разглашения (утечки) информации всегда индивидуальны и зависят от конкретных задач, стоящих перед злоумышленником. Обычным и профессионально грамотным является сочетание в действиях злоумышленника каналов различных типов: организационных каналов (например, шантаж сотрудника) и технических каналов (например, перехват информации по каналам связи учреждения с помощью этого сотрудника). Изобретательность профессионального злоумышленника не знает предела, поэтому риск утраты информации в этом случае достаточно велик.
Однако следует иметь в виду, что технические каналы (например, акустические, электронные, электромагнитные и др.), в том числе технические каналы получения информации из компьютера и по линиям связи, носят стандартный характер и перекрываются стандартными средствами противодействия.
Наиболее сложными для обнаружения являются организационные каналы, связанные с так называемым человеческим фактором. Например, трудно обнаружить инициативное сотрудничество злоумышленника с сотрудником учреждения (секрета- рем-референтом, экспертом, оператором ЭВМ и др.). Важным средством обеспечения безопасности информации является механизм подотчетности (протоколирования) всех несанкционированных операций с документами и информацией. Ведение протоколов должно дополняться аудитом
— анализом зарегистрированной информации.
7.5.3. Содержание служебной тайны и конфиденциальность информации
Информационные ресурсы (официальная документированная информация, документы) ограниченного доступа (распространения) делятся на секретные и несекретные (конфиденциальные). Обязательным признаком (критерием принадлежности) секретного документа является наличие в нем сведений, отнесенных к государственной тайне.
Источники установления режима защиты информации
Режим защиты информации устанавливается:
1.В отношении сведений, отнесенных к государственной тайне, — уполномоченными органами на основании Закона Российской Федерации «О государственной тайне».
2.В отношении конфиденциальной документированной информации — собственником информационных ресурсов или уполномоченным лицом на основании соответствующего Федерального закона.
3.В отношении персональных данных — Федеральным законом. Тайна
Под тайной понимается нечто сокрытое, неизвестное, непознанное или известное только определенному кругу лиц. Синонимом тайны является секрет, хотя при тщательном анализе этих понятий можно говорить о том, что понятие тайны более широкое, несущее концептуальный смысл.
В научном обороте четко выделяются тайны природы (тайны объективного свойства) и тайны людей, характеризуемые субъективными критериями и часто