Контроль и защита информации на ж/д транспорте

Направления защиты информации, обусловленные группами мер, используемых для защиты секретной и конфиденциальной информации.

Правовая защита информации. Правовые меры, регулирующие вопросы защиты секретной и конфиденциальной информации, можно разделить на две основные группы:

• нормативные акты, регламентирующие правила и процедуры защиты информации, которые регламентируются законами и подзаконными актами, в частности указами Президента РФ, постановлениями Правительства РФ;
• нормативные акты, устанавливающие ответственность за покушение на сведения, составляющие государственную или коммерческую тайну, и за преступления против установленного порядка сохранения засекреченной информации, регулируются уголовным, гражданским и административным кодексами РФ.

Уголовно-правовые нормы по своему содержанию являются, с одной стороны, запрещающими, то есть они под страхом применения мер уголовного наказания запрещают гражданам нарушать свой обязанности и совершать преступления, а с другой стороны, они обязывают соответствующие органы государства (ФСБ, МВД, прокуратуру) привлечь лиц, виновных в совершении преступления, к уголовной ответственности.

Кроме того, нарушения режима секретности, правил сохранения государственной и коммерческой тайны, не являющиеся преступлением, могут повлечь ответственность материального, дисциплинарного или административного характера в соответствии с действующими нормативными актами: отстранение от работы, связанной с секретами, или перевод на другую работу, менее оплачиваемую и тоже не связанную с засекреченной информацией.

Организационная защита информации. Данная группа мер защиты секретной и конфиденциальной информации преследует цель проведения организационной работы по выполнению правил, процедур и требований защиты государственной и коммерческой тайны на основе правил, установленных законами и подзаконными правовыми актами (инструкциями, положениями и т.п.).

Организационные меры по защите информации предусматривают прежде всего подбор и расстановку кадров, которые будут осуществлять мероприятия по защите информации, обучение сотрудников правилам защиты засекреченной информации, осуществление на практике принципов и методов защиты информации.

Нормативно-правовые организационные режимные меры являются основой для решения таких важных вопросов защиты информации, как соблюдение принципа максимального ограничения числа лиц, допускаемых к секретным работам и документам. Организационные меры защиты информации требуют детального соблюдения правил секретного делопроизводства, чтобы исключить или свести к минимуму утрату секретных или конфиденциальных документов, а также сохранение изделий и других носителей защищаемой информации.

Организационные меры решают проблему предотвращения утечки защищаемой информации в печати, при вывозе материалов за границу, при контактах сотрудников предприятия или фирмы с иностранцами и возникновении других условий, создающих объективные предпосылки появления каналов утечки информации.

Основное назначение организационных мер защиты информации - предупредить несанкционированный доступ к государственным или коммерческим секретам и утечку защищаемой информации.

Инженерно-техническая защита информации. Это самостоятельное направление защиты секретов, приобретающее в последнее время все большее значение. Развитие технических средств разведки (TCP), совершенствование радио, радиотехнической и других видов этой разведки потребовало от государства создания системы мер противодействия сбору разведывательной информации с помощью TCP.

Инженерно-технические меры защиты информации - это комплекс организационных и инженерно-технических мероприятий, направленных на то, чтобы исключить или существенно затруднить добывание с помощью TCP защищаемой информации. Концепция инженерно-технических мер базируется на той идее, что какое-то действие требует и противодействия. Противостоять TCP с помощью только организационных режимных мер явно недостаточно, так как TCP нередко не знают границ (космическая, радио, радиолокационная и др.) и на их деятельность не влияют ни время года и суток, ни состояние погоды.

Всю совокупность инженерно-технических мер защиты информации можно разделить на три группы:

- общепредупредительные меры, которые включают правовое регулирование использования технических средств в процесс) осуществления международных связей; установление и поддержание режимов, направленных на предотвращение утечки защищаемой информации по каналам, доступным TCP и др.;

- организационные меры включают в себя такие мероприятия как анализ и обобщение информации о TCP, определение их возможностей и выработка прогнозов их развития, появление новых возможностей получения защищаемой информации с помощью TCP, определение, какие параметры и каких образцов техники требуют защиты от TCP и выработка путей защиты этих параметров;

- технические меры включают комплекс инженерно-технических средств и мероприятий, используемых для скрытия от TCP защищаемых сведений об объектах защиты и технической дезинформации соперника. Они включают: создание и использование экранированных помещений; специальных транспортных средств, укрытий и аппаратуры засекречивания; снижение и изменение различных излучений путем использования эквивалентных антенн, естественных и индустриальных помех, а также режима молчания и соблюдение установленных правил использования средств связи и СВТ.

Программно-математическая защита информации - предусматривает проведение комплекса мер защиты информации в СВТ. Эта проблема носит комплексный характер и является относительно самостоятельным направлением защиты информации. Защита информации в СВТ включает в себя ряд определенных групп мер:

- меры организационно-режимного характера: режим помещений СВТ; секретное и конфиденциальное делопроизводство, особенность которого заключается в том, что оно осуществляется с документами как на привычных (бумага) носителях информации, так и на машинных, и др.;

- меры инженерно-технического характера: место расположения СВТ, экранирование помещений, создание помех и др.;

- меры, решаемые путем программирования, - создание предпосылок для регламентации и ранжирования субъектов по их правам на доступ к соответствующей категории защищаемой информации; ограждение СВТ от программ - «вирусов»; автоматическое или целенаправленное стирание информации из оперативной памяти по миновании в ней надобности, и др.;

- кодирование и шифрование информации, вводимой в СВТ.

§ 5 Правовые принципы защиты информации

Основными правовыми принципами защиты информации, по мнению автора, являются следующие.

Принцип законности. В рамках долженствующего существования правового государства деятельность любых государственных, кооперативных, частных органов и организаций, всех должностных лиц и граждан должна осуществляться в рамках действующих законов.

Принцип законности в области защиты информации выражается прежде всего в том, что необходимо нормативно-правовое регулирование этой важной области общественных отношений в государстве. Законодательно должны быть обозначены права различных субъектов в области защиты информации, на засекречивание информации и установление правил ее зашиты; определено, что является государственной, коммерческой, иной охраняемой законом тайной; установлена уголовная, административная, материальная, моральная ответственность за незаконное покушение на защищаемую информацию и разглашение или передачу такой информации кому-либо, вследствие чего наступили или могли наступить вредные последствия для собственника (владельца) информации.

С другой стороны, должностные лица и другие работники предприятий и учреждений, которым: по службе или работе доверяются секреты, в соответствии с действующими законами и подзаконными актами, должны наделяться правами, позволяющими им успешно осуществлять защиту доверенной им конфиденциальной или секретной информации, и на них должны налагаться обязанности по соблюдению соответствующего установленного режима, выполнение которого обеспечивает сохранность информации.

Принцип приоритета международного права над внутригосударственным. Россия как преемница взятых бывшим Советским Союзом на себя обязательств признает также принцип приоритета международного права над внутренним. В частности, наша страна взяла на Венской встрече обязательство привести свое внутреннее законодательство в соответствие с положениями международных конвенций и соглашений, участником которых она является. Отсюда вытекает, что объектом засекречивания не могут быть сведения, которые наше государство обнародует или сообщает согласно конвенциям и соглашениям, так как оно становится членом мирового экономического сообщества, вступило в МВФ и другие международные экономические организации. Одним из условий членства в этих организациях является предоставление информации о реальном положении дел в национальной экономике.

Это не исключает того, что РФ как суверенное государство может и должно засекречивать и защищать информацию, относящуюся к тем областям его деятельности, которые обеспечивают его национальную безопасность. Каждое государство имеет право само решать, что оно будет засекречивать, а что открывать. Однако взаимность и равенство на национальные секреты между государствами или коалициями государств будет способствовать развитию взаимного доверия.

Принцип одинаковой секретности будет способствовать укреплению мер доверия в международных отношениях, помогать устранению асимметрии режимных ограничений, сложившихся в различных странах. Излишнее стремление по сокрытию информации от другой стороны всегда вызывает подозрение, так как такие действия обычно связывают с недобрыми намерениями одной стороны по отношению к другой.

Принцип собственности и экономической целесообразности. Радикальные перемены, происходящие в российском обществе, не могли не затронуть лежащие в основе экономической реформы отношений по поводу собственности. Был принят ряд законов, регламентирующих сферу имущественных отношений, отношений собственности, в том числе относящихся к регулированию прав на интеллектуальную собственность, на владение и распоряжение информацией, на защиту информации. Это дало собственникам информации, объектов интеллектуальной собственности право принимать меры к их защите с помощью различных правовых механизмов, в том числе с помощью патентов, норм авторского права, коммерческой тайны. Лишь собственник (владелец) информации имеет право определять, какую информацию следует засекретить и до какой степени и защищать как государственную или коммерческую тайну, или же запатентовать и защищать с помощью патента и оплачивать деятельность по защите любой охраняемой информации.

Секретность должна оцениваться как потребительское свойство и ее стоимость должна включаться в цену производимого продукта, за счет которой владельцем и будут осуществляться мероприятия, обеспечивающие режим секретности. Секретность должна быть экономической категорией, и ее соблюдение в условиях рыночной экономики - дело владельцев секретов, промышленной или банковской тайны, которые сами должны оценивать степень и время действия секретности с учетом полученной или упущенной выгоды. В области защиты государственной тайны действуют и другие (политические, военные и т.д.) факторы при решении проблем защиты информации.

§ 6 Организационные принципы защиты информации

Организационные принципы претерпели за последние годы значительно меньше изменений по сравнению с правовыми. Это объясняется тем, что они отражают общие по своей сути правила, подходы к защите секретов. Они используются и «работают» при любой общественно-политической и экономической системе и при защите любого вида охраняемой информации: государственной или коммерческой тайны.

Научный подход к организации защиты информации. В в. научно-технического прогресса, когда информационные потоки возрастают неимоверно, информация, являясь интеллектуальной. Ценностью, одновременно становится ресурсом и продуктом. В информационных потоках, обслуживающих различные государственные и общественные потребности, имеются, естественно, и потоки информации, которые должны сохраняться в тайне.

По данным американской статистики, в 1989 году в США было подготовлено более 6, 7 млн. секретных документов. В бывшем Советском Союзе создавалось около 60 млрд. документов ежегодно. Учитывая в то время нашу «склонность» к секретности, надо полагать, что из этих 60 млрд. ежегодно рождаемых документов, секретные тоже исчислялись миллиардами. Сохранение в тайне этих монбланов информации, конечно же, не мыслится без использования современных научных подходов к ее обращению, обработке на различных этапах рождения конфиденциальных документов. Не случайно за последние годы принят ряд законов, указов Президента РФ и постановлений Правительства РФ по регламентации информационных потоков в верхних эшелонах власти и по защите определенной части информации.

Функционирующая в нашей стране общегосударственная система защиты информации создана с учетом имеющихся объемов защищаемой информации и используемых для ее обработки средств, традиций и опыта в области зашиты государственных секретов, накопленных в предыдущие десятилетия. Создание такой системы потребовало научного осмысления таких проблем, как разграничение компетенции в области защиты государственной тайны по всей иерархической лестнице многочисленных органов и организаций и защиты коммерческой тайны; научное и законодательное определение понятий «государственная» и «коммерческая тайна» и т.д. Научные и практические работники уделяют много внимания разработке научных критериев определения степени секретности информации и т.д.

Комплексный и системный подход к организации защиты информации предполагает, с одной стороны, выявление и анализ возможных каналов утечки защищаемой информации с учетом объемов такой информации и носителей, на которых она накапливается, и ее важности. С другой стороны, изучаются к анализируются возможности конкурента по собиранию и добыванию защищаемой информации не вообще, а в каждом конкретном случае в отношении определенного предприятия, учреждения, отрасли или проблемы.