"Тайна предприятия: что и как защищать" - читать интересную книгу автора (Чумарин Игорь)

Глава 9 ПРАВОВЫЕ ОСОБЕННОСТИ ОБРАЩЕНИЯ КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ КОНФИДЕНЦИАЛЬНОГО ХАРАКТЕРА

Правовые основы оборота информации в компьютерном виде заложены в законе «Об информации…» (ст. 5):

Документ, полученный из автоматизированной информационной системы, приобретает юридическую силу после его подписания должностным лицом в порядке, установленном законодательством Российской Федерации.

Юридическая сила документа, хранимого, обрабатываемого и передаваемого с помощью автоматизированных информационных и телекоммуникационных систем, может подтверждаться электронной цифровой подписью.

Юридическая сила электронной цифровой подписи признается при наличии в автоматизированной информационной системе программно-технических средств, обеспечивающих идентификацию подписи, и соблюдении установленного режима их использования.

Право удостоверять идентичность электронной цифровой подписи осуществляется на основании лицензии. Порядок выдачи лицензий определяется законодательством Российской Федерации.

Идентификатором электронной копии документа является отметка (колонтитул), проставляемая в левом нижнем углу каждой страницы документа и содержащая наименование файла на машинном носителе, дату и другие поисковые данные, устанавливаемые в организации (СМ. Сноску 67).

Мировая практика такова, что все больше информации получает свою «прописку» в электронном виде в компьютерах, локальных и глобальных сетях. Безусловно, такой огромный оборот информации включает в себя и информацию конфиденциальную. В настоящее время крайне остро стоят вопросы правового регулирования обмена электронной информацией.

Для активных пользователей глобальных компьютерных сетей типа Internet, обменивающихся в них конфиденциальной информацией, необходимо также знать о наличии ограничений на перемещение с территории РФ документированной информации при предоставлении доступа пользователям, находящиеся за пределами территории РФ, к информационным системам, сетям, находящихся на территории РФ (СМ. Сноску 68).

Кроме того, деятельность по информационному обмену по электронным сетям, при котором возможна передача документированной конфиденциальной информации, подлежит государственному лицензированию.

Отдельного рассмотрения заслуживают вопросы обеспечения конфиденциальности финансовой информации, обращающейся в автоматизированных системах бухгалтерского учета и документооборота (БЭСТ, 1C и пр.). Такие системы в обязательном порядке должны иметь максимум возможностей, как программных, так и аппаратных, для обеспечения реализации:

- разграничения доступа по группам пользователей;

- разграничения доступа по глубине использования;

- шифрования особо конфиденциальной информации;

- антивирусной защиты;

- локализации ошибок;

- контроля работоспособности программных средств и других процессов обеспечения целостности и функциональности системы.

Разработчики подобных систем должны предоставлять пользователям при инсталляции программного обеспечения все сведения по перечисленным параметрам, а также давать возможность изменения внутренних кодов. Службам безопасности предприятий было бы нелишним привлекать квалифицированных специалистов для поиска в инсталлированном программном обеспечении различного рода программных закладок.

В целях обеспечения целостности и достоверности наиболее важных конфиденциальных финансовых сведений (документов в электронной форме представления), передаваемых и получаемых по каналам связи, целесообразно применять государственные стандарты, принятые Госстандартом России в сфере информационных технологий (например, ГОСТ Р 34.10-94 и ГОСТ Р 34.11-94), а также использовать сертифицированные средства криптографической защиты, реализующие алгоритмы шифрования в соответствии с ГОСТ 28147-89 и алгоритмы электронной цифровой подписи в соответствии с указанными выше ГОСТами.

Популярным интеллектуальным преступлением- в последнее время становится проникновение во внутренние локальные сети предприятий через сеть Internet (которые в большинстве своем построены именно на основе этой сети, а не на системах типа Intranet и т. п.), в том числе с целью получения финансовой конфиденциальной информации, не говоря уже о вмешательстве в

расчетные системы.

Основными способами проникновения являются:

- разрушающие программы и программные закладки в свободно распространяемом программном обеспечении или почтовых отправлениях;

- использование ошибок спецификаций или реализации отдельных программных продуктов, в том числе в HTML-страницах, связанных с использованием языков программирования Java и описания сценариев JavaScript;

- удаленное зондирование рабочего места пользователя сети Internet с целью выявления возможных путей проникновения, круга интересов, характера работы и других характеристик, в том числе с использованием недокументированных свойств программного обеспечения. В связи с высоким риском внедрения предполагается, что вся информация, программные средства обработки, находящиеся на персональной ЭВМ, подключенной к сети Internet, могут быть скомпрометированы.

С целью предотвращения противоправных действий такого рода не лишними будут следующие минимальные рекомендации:

- персональная ЭВМ, с которой осуществляется взаимодействие с сетью Internet, должна быть выделенной, т. е. не подключенной ни к какой внутренней сети:

- персональная ЭВМ не должна содержать никакой служебной информации (в том числе открытой);

- персональная ЭВМ, подключенная к сети Internet, не должна содержать накопитель на гибких магнитных дисках;

- данное рабочее место должно быть оснащено антивирусными программами и средствами контроля целостности программного обеспечения.

В УК РФ впервые были введены санкции за преступления в компьютерной информационной сфере. Уголовное законодательство считает неправомерными действия с компьютерной информацией. Это становится ясно из диспозиции приведенных статей УК.

Статья 272:

1. Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, - наказывается штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет.

2. То же деяние, совершенное группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети, наказывается штрафом в размере от пятисот до восьмисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от пяти до восьми месяцев, либо исправительными работами на срок от одного года до двух лет, либо арестом на срок от трех до шести месяцев, либо лишением свободы на срок до пяти лет.

Статья 273:

1. Создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами, наказываются лишением свободы на срок до трех лет со штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев.

2. Те же деяния, повлекшие по неосторожности тяжкие последствия, - наказываются лишением свободы на срок от трех до семи лет.

Статья 274:

1. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их Сети лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ, если это деяние причинило существенный вред, наказывается лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет, либо обязательными работами на срок от ста восьмидесяти до двухсот сорока часов, либо ограничением свободы на срок до двух лет.

2. То же деяние, повлекшее по неосторожности тяжкие последствия, наказывается лишением свободы на срок до четырех лет.

ИНСТРУКЦИЯ ПО ЗАЩИТЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ В ИНФОРМАЦИОННОЙ СИСТЕМЕ ПРЕДПРИЯТИЯ.

Одним из основных локальных нормативных актов предприятия, регламентирующих оборот конфиденциальных сведений, является Инструкция по защите конфиденциальной информации

в информационной системе предприятия. Обратите внимание на то, что эта Инструкция не является элементом технической документации - это внутренний правовой акт, и относиться к нему необходимо именно с этой точки зрения. Технические и программные тонкости системы защиты описываются в иной документации.

Вариант.

1. Общие положения.

1.1. ЦЕЛИ

Целью данного документа является четкая регламентация эффективных мер защиты и надежного сохранения информации, являющейся конфиденциальной согласно Положению о конфиденциальной информации Предприятия и обращающейся в информационной системе (ИС). Мероприятия защиты проводятся для обеспечения физической и логической целостности, а также для предупреждения несанкционированного получения, распространения и модификации информации. Меры защиты подразумевают обязательное наличие ответственного за защиту информации в ИС лица, выработку и неукоснительное соблюдение организационных мер, а также

постоянный контроль со стороны службы безопасности (СБ).

1.2. ОПРЕДЕЛЕНИЯ

Ресурс - компонент ИС (аппаратные средства, программное обеспечение, данные), в отношении которого необходимо обеспечивать безопасность, т. е. конфиденциальность, целостность и доступность.

Конфиденциальность ресурса - свойство ресурса быть доступным только авторизованному субъекту ИС, и одновременно быть недоступным для неавторизованного субъекта или нарушителя.

Целостность ресурса - обеспечение его правильности и работоспособности в любой момент времени. I

Доступность ресурса - обеспечение беспрепятственного до- | ступа к нему авторизованного субъекта ИС. |

Субъекты ИС - пользователи, технический персонал, обеспечивающий работу системы, администрация ИС, администрация предприятия и контролирующие службы.

Авторизованный субъект - субъект ИС, пользовательские функции которого, а также права и обязанности по отношению к данного уровня ресурсам и информации определены его должностной инструкцией, либо другими административными

актами.

АРМ - автоматизированное рабочее место, персональное,

созданное на основе персональной электронной вычислительной машины.

2. Допуск к использованию ресурсов.

2.1. ОБЩИЕ ПОЛОЖЕНИЯ

Допуск к работе с конфиденциальными документами имеют сотрудники Предприятия, в том числе и находящиеся на испытательном сроке, которые: 1) ознакомлены под роспись с настоящим Положением; 2) ознакомлены под роспись с Инструкцией по защите конфиденциальной информации в информационной системе предприятия; 3) подписали Соглашение о неразглашении конфиденциальной информации:

4) занимают должности, указанные в Перечне документов Предприятия, содержащих конфиденциальную информацию. Запрещается допускать к работе с конфиденциальными документами других лиц, кем бы они не являлись, без письменного разрешения генерального директора.

Конфиденциальные документы по статусу, типу документа, параметрам допуска систематизированы в «Перечне документов Предприятия, содержащих конфиденциальную информацию».

Под допуском подразумевается официальное присвоение

сотруднику Предприятия конкретного статуса, дающего ему возможность использовать ресурсы ИС и обмена данными на заданном четко категорированном уровне и в ограниченном должностными обязанностями (не превышающем его непосредственные задачи) объеме.

Обязанности по присвоению статуса возлагаются на руководителя подразделения или специально назначенного сотрудника. При этом он должен руководствоваться принципами разумного ограничения возможностей и разграничения доступа к различным информационным массивам. Он несет ответственность за регистрацию и предоставление (изменение) полномочий.

Все пользователи подлежат учету по категориям установленного допуска и другим системным параметрам.

3. Доступ к использованию ресурсов. Регистрация пользователей

Доступ к использованию ресурсов имеют сотрудники, получившие допуск определенного уровня, соответствующий, как правило, занимаемой должности, с соблюдением всей процедуры оформления допуска, и зарегистрированные у системного администратора (ответственного должностного лица).

3.1. СПЕЦИАЛЬНЫЕ ВОПРОСЫ ДОСТУПА К ИСПОЛЬЗОВАНИЮ РЕСУРСОВ.

3.1.1. Определение расширенного доступа, т. е. привилегий системного администратора.

Привилегии системного администратора, кроме тех сотрудников, которым должностными обязанностями предписано выполнять работы по эксплуатации и ремонту ресурсов, имеют право получать представители руководства Предприятия, СБ и другие должностные лица по согласованию со специально назначенным сотрудником и с разрешения генерального директора. Все лица, имеющие права системного администратора, подлежат отдельному учету в СБ.

3.1.2. Доступ к работе с авторским (лицензионным) программным обеспечением (ПО).

При наличии в ИС или ее компонентах авторских либо лицензионных программ они должны быть соответствующим образом, ясным для пользователя, помечены; там же должны быть указаны все ограничения, связанные с работой с данным

ПО. Однозначно (по умолчанию) запрещается их копирование.

3.1.3. Доступ к исследованию сетевых служб.

Действия пользователей по исследованию сетевых служб и конфигурации системных программ проводиться не должны и являются наказуемыми. Запрещен любой вид деятельности в этом направлении (просмотр и модификация сетевых, системных, других не предназначенных для чтения файлов и пр.).

4. Хранение носителей конфиденциальной информации в ИС.

За организацию хранения и сохранность конфиденциальной информации Предприятия отвечает его руководитель. Общий процесс хранения регламентирован в Положении о конфиденциальной информации.

Магнитные носители конфиденциальной информации хранятся в недоступном для посторонних лиц месте (сейф, металлический шкаф, файл-бокс), исключающем несанкционированный доступ и пользование ими.

Сейф (несгораемый металлический шкаф) должен быть постоянно закрыт на ключ, а в нерабочее время опечатан.

В подразделении должен быть один комплект ключей от сейфов - у руководителя подразделения (ответственного сотрудника Предприятия). Остальные комплекты должны храниться в сейфе начальника СБ в опечатанном пенале. Порядок опечатывания и сдачи под охрану сейфов определяется документами по внутриобъектовому режиму.

Магнитные носители в архиве хранятся в запечатанных конвертах с соответствующими пояснительными надписями, включая также книгу регистрации входящих и исходящих документов. На каждый пакет конвертов должен быть перечень находящихся в них документов с указанием учетных данных.

Строго запрещается хранение магнитных носителей конфиденциальной информации вне специально оборудованных мест. Лицо, нарушившее порядок хранения носителей, несет за это ответственность.

5. Защита ресурсов ИС.

5.1. ФИЗИЧЕСКАЯ ЗАЩИТА РЕСУРСОВ.

В целях обеспечения надежной охраны материальных ценностей вычислительных средств, сетей и данных конфиденциального характера, своевременного предупреждения и пресечения попыток несанкционированного доступа к ним устанавливается определенный режим деятельности, соблюдение которого обязательно для всех сотрудников, посетителей и клиентов. Порядок его регламентации устанавливается во внутренних документах по пропускному и внутриобъектовому режиму.

При этом: запрещен несанкционированный внос-вынос дискет, магнитных лент, CD-ROM, переносных накопителей на твердых магнитных дисках; запрещено кому бы то ни было, кроме специально уполномоченных сотрудников, перемещать компьютерную технику и комплектующие без соответствующих сопроводительных документов (служебных записок или накладных), согласованных с ____________________ (кем).

5.2. АППАРАТНАЯ ЗАЩИТА РЕСУРСОВ.

Аппаратная защита ресурсов проводится исходя из потребностей Предприятия в реальном сохранении своих секретов по назначению руководства и может включать в себя:

- обеспечение реакции на попытку несанкционированного доступа, например, сигнализации, блокировки аппаратуры;

- использование источников бесперебойного или автономного питания;

- строгую нумерацию сообщений в автоматизированной системе обработки данных;

- поддержание единого времени;

- установку на АРМы работающих с особо важной конфиденциальной информацией специальных защитных экранов;

- изъятие с АРМов необязательных дисководов гибких магнитных дисков (ГМД);

- изъятие с АРМов необязательных факсимильных и модемных плат;

- проведение периодических «чисток» АРМов и общих системных директорий на файл- серверах и серверах ИС.

5.3. ПРОГРАММНАЯ ЗАЩИТА РЕСУРСОВ.

Программная защита ресурсов также проводится исходя из потребностей Предприятия в реальном сохранении своих секретов по назначению руководства и может включать в себя:

- установку входных паролей на клавиатуру ПК;

- установку сетевых имен-регистраторов и паролей для доступа к работе в ИС;

- шифрование особо важной конфиденциальной информации;

- обеспечение восстановления информации после несанкционированного доступа;

- обеспечение антивирусной защиты (в т. ч. от неизвестных вирусов) и восстановления информации, разрушенной вирусами;

- контроль целостности программных средств обработки информации;

- проведение периодической замены (возможно принудительной) всех паролей и регистрационных имен;

- использование расширенных систем аутентификации.

5.4. ТЕХНИЧЕСКАЯ ЗАЩИТА РЕСУРСОВ.

Техническая защита ресурсов проводиться под контролем представителей СБ и включает в себя защиту компьютеров, помещений и всех коммуникаций от устройств съема и передачи информации:

- использование технических средств пассивной защиты:

фильтры, ограничители и т. п. средства развязки электрических и электромагнитных сигналов, систем защиты сетей электроснабжения, радио- и часофикации и др.;

- экранирование средств канальной коммуникации;

- использование локальных телефонных систем, локальных систем ЭВМ, не имеющих выхода за пределы кон

Все изменения и дополнения настоящей Инструкции официально доводятся до всего персонала предприятия.

11. Инструкция по защите конфиденциальной информации пользователям ресурсов.

Пользователь лично отвечает за понимание и соблюдение правил безопасности. Если ему не понятны функции по защите информации, он обязан спросить администратора ИС.

Запрещаются любые действия, направленные на:

- получение доступа к информации о пользователях;

- вскрытие и использование чужих регистрационных имен и паролей;

- тестирование и разрушение служб сети;

- просмотр всех доступных для чтения файлов на сетевых устройствах, не принадлежащих пользователю;

- модификация файлов, которые не являются собственными, даже если они имеют право записи в них;

- вскрытие блоков и комплектующих, а также изменение физической конфигурации;

- использование одного и того же регистрационного имени и пароля;

- раскрывание и передача кому бы то ни было своего регистрационного имени и(или) пароля. При выборе пароля пользователь обязан:

- не использовать регистрационное имя в каком бы то ни было виде;

- не использовать имя, фамилию или отчество в каком бы то ни было виде, имена супруга или детей, а также другую информацию, которую легко получить (номер телефона, дату рождения, номер автомашины и пр.);

- не использовать пароль из одних цифр или их одних букв, а также короче шести символов;

- использовать пароль с буквами из разных регистров, с небуквенными символами;

- использовать пароль, который легко запомнить, чтобы не возникало желания записать его, а также который можно легко набрать на клавиатуре, не глядя на нее.

Пользователю при работе с конфиденциальной информацией запрещено, отлучаясь из помещения, оставлять свой терминал подключенным к ИС. Рабочие файлы и базы данных, содержащие конфиденциальную информацию, пользователь обязан хранить на сетевых, а не локальных дисках.

При работе с важной конфиденциальной информацией, утеря которой может нанести значительный ущерб предприятию, пользователь обязан делать резервные копии рабочих документов, делопроизводство по которым аналогично специальному делопроизводству по оригиналам.

В целях выявления незаконного использования регистрационного имени пользователь должен контролировать свое время входа и выхода в ИС и проверять последние команды и, если параметры отличаются, обязан немедленно сообщить об этом администратору системы.

Пользователь обязан немедленно сообщать о возникших проблемах и ошибках, которые не могут быть устранены путем перезагрузки компьютера после отключения от системных служб. Производить любые попытки восстановления работы компьютера при наличии соединения с системой категорически запрещается.

Использование ресурсов в личных целях допускается с разрешения руководителя подразделения по согласованию со старшим администратором ИС.

При использовании модемной и факс-модемной связи сотрудник обязан отсоединиться от системных служб.

Пользователь обязан перед работой с ресурсами изучить руководства и технические инструкции производителей применяемой операционной системы. Перед приобретением программного обеспечения (ПО) для инсталляции и работы на ресурсах Предприятия пользователь обязан проконсультироваться, перед установкой - протестировать в соответствующей службе. Запрещено использовать случайно полученное программное обеспечение. Перед запуском любого нового ПО необходимо сделать архивные копии файлов. Пользователь отвечает за запущенные им программы.

12. Ответственность за нарушение правил обращения конфиденциальной информации в ИС.

За умышленное невыполнение или халатное исполнение правил обращения конфиденциальной информации, изложенных в данной Инструкции, если это повлекло за собой нанесение материального ущерба, виновное лицо наказывается в дисциплинарном порядке. Размер и кратность возмещения ущерба определяется генеральным директором Предприятия после проведения внутреннего расследования. В отдельных случаях решением генерального директора организуется уголовное или гражданское судебное делопроизводство.

13. Контроль.

Контроль за выполнением правил сохранения и защиты конфиденциальной информации персоналом возлагается на руководителей подразделений и сотрудников сетевой службы. Общий контроль - на СБ или специально назначенного на Предприятии ответственного лица.

Раздел 11 Инструкции включает в себя общие функции пользователей информационной системы предприятия. Их, как и общие обязанности сотрудников по обеспечению сохранности информации, целесообразно включать в отдельные памятки, также вручаемые под роспись.