Контроль и защита информации на ж/д транспорте

Системный подход позволяет создать органически взаимосвязанную совокупность сил, средств и специальных методов по оптимальному ограничению сферы обращения засекреченной информации, предупреждению ее утечки.

При создании системы защиты информации и осуществлении мероприятий .по защите секретов от разглашения или новейших TCP важно предусматривать разносторонние комплексные защитные меры, направленные на предупреждение утечки информации из сферы ее обращения.

Максимальное ограничение числа лиц, допускаемых к защищаемой информации. Является организационным принципом, применяемым повсеместно в деятельности по защите информации как у нас в стране при организации защиты государственных или коммерческих секретов, так и зарубежными странами и иностранными фирмами.

Основной смысл этого принципа сводится к тому, что сохранность засекреченной информации находится в зависимости от количества лиц, допущенных к обращению с нею. Чем уже этот круг, тем выше вероятность сохранения в тайне данной информации. Организационно этот принцип решается следующим образом: к секретным работам допускаются лица, имеющие, во-первых, на то соответствующее разрешение в виде допуска, и во-вторых, из числа лиц имеющих допуск - получившие разрешение на работу с конкретной информацией в виде доступа, который получают только те, кто непосредственно связан по работе с этой информацией.

Своеобразным проявлением этого принципа возможно также дробление технологической цепочки производства какого-либо изделия, продукта на отдельные операции, знание одной из которых не дает возможность восстановить всю технологию. Каждая из операций засекречивается самостоятельно и переход специалиста с одной операции на другую или вообще бывает невозможен, или требует специального допуска и, следовательно, рассмотрения вопроса - с какой целью это делается, если происходит по инициативе работника.

Персональная ответственность за сохранность доверенных секретов. Этот принцип хорошо «работает», если каждый сотрудник, допущенный к защищаемой информации, понимает и осознает, что сохранение в тайне этой информации и в его собственных интересах. Если же работник видит, что сохранение какой-то информации в тайне нужно лишь предприятию или государству, а ему лично ничего не дает, то он к этому будет и относиться формально. Над ним будет тяготеть лишь груз боязни ответственности.

Важным фактором, повышающим ответственность сотрудников за сохранение доверенных им секретов, является обучение правилам защиты засекреченной информации и правилам обращения с конфиденциальными документами.

Единство в решении производственных, коммерческих, финансовых и режимных вопросов. В этом принципе заложено одно из проявлений комплексного подхода к организации защиты информации, имеющего, однако, относительно самостоятельное значение. Знание и учет этого принципа заключается в том, что лица, принимающие решения о засекречивании информации, болеющие больше, конечно, за решение производственных, финансовых, маркетинговых и иных подобных задач, не должны забывать и упускать из вида необходимость одновременного решения и режимных вопросов, там, где это необходимо.

Непрерывность зашиты информации. Данный принцип заключается в том, что защита секретной или конфиденциальной информации должна начинаться с момента ее появления (получения, создания, генерирования) на всех этапах ее обработки, передачи, использования и хранения, вплоть до этана ее уничтожения или рассекречивания.

§ 7 Принципы, используемые при защите информации от технических средств разведки

В организации деятельности по защите информации от TCP и в СВТ руководствуются прежде всего теми же организационными и правовыми принципами, о которых говорилось выше. Это объясняется тем, что эти принципы имеют достаточно общий и универсальный характер. Эти принципы «работают» независимо от того, где, когда и кем осуществляется защита информации.

Однако имеются и специфические принципы, обусловленные особенностями предмета защиты, то есть носителей, на которых отображена защищаемая информация, используемых при этом силах, средствах и методах, а также учитываются средства и методы добывания защищаемой информации соперником с помощью TCP.

Принципы защиты информации, используемые при организации противодействия TCP:

• активность защиты информации - выражается в целенаправленном навязывании технической разведке ложного представления об объекте его разведывательных устремлений, в соответствии с замыслом защиты;
• убедительность защиты информации - состоит в оправданности замысла защиты условиям обстановки в соответствии с характером защищаемого объекта или свойствам окружающей среды, в применении технических решений защиты, соответствующих климатическим, сезонным и другим условиям;
• непрерывность защиты информации предполагает организацию защиты объекта на всех стадиях его жизненного цикла: предпроектном, проектном, в период разработки, изготовления (строительства), испытания, эксплуатации и утилизации;
• разнообразие защиты информации - предусматривает исключение шаблона, повторяемости в выборе объекта прикрытия и путей реализации смысла защиты, в том числе с применением типовых решений.

Принципы защиты информации, используемые в СВТ. Основными принципами зашиты информации, имеющими специфический характер и используемыми в организации зашиты информации в СВТ, являются, по нашему мнению, следующие: введение избыточности элементов системы, резервирование элементов системы, защитные преобразования данных, контроль состояния элементов системы, их работоспособности и правильности функционирования.

Под введением избыточности элементов системы понимается включение дополнительных компонентов сверх того минимума, который необходим для выполнения им всего множества своих функций. Избыточные элементы функционируют одновременно с основными, что позволяет создавать системы, устойчивые относительно внешних и внутренних дестабилизирующих факторов и воздействий. Различают избыточность организационную, аппаратную, программно-алгоритмическую, информационную, и др.

Защитные преобразования данных, контроль состояния элементов системы, их работоспособности и правильности функционирования будут рассмотрены нами ниже.

Резервируются обычно не все элементы системы защиты информации, а особо важных компьютерных подсистем, чтобы в случае возникновения каких-то чрезвычайных обстоятельств, их можно было использовать для решения стоящих перед системой задач.

§ 8 Методы защиты информации

Метод - в самом общем значении это способ достижения цели, определенным образом упорядоченная деятельность.

Основными методами, используемыми в защите информации, по нашему мнению, являются следующие: скрытие, ранжирование, дезинформация, дробление, страхование, морально-нравственные, учет, кодирование, шифрование.

Скрытие - как метод защиты информации является в основе своей реализацией на практике одного из основных организационных принципов защиты информации - максимального ограничения числа лиц, допускаемых к секретам. Реализация этого метода достигается обычно путем:

- засекречивания информации, то есть отнесение ее к секретной или конфиденциальной информации различной степени секретности и ограничение в связи с этим доступа к этой информации в зависимости от ее важности для собственника, что проявляется в проставляемом на носителе этой информации грифе секретности;

- устранения или ослабления технических демаскирующих признаков объектов защиты и технических каналов утечки сведений о них.

Скрытие - один из наиболее общих и широко применяемых методов защиты информации.

Ранжирование как метод защиты информации включает, во-первых, деление засекречиваемой информации по степени секретности, и, во-вторых, регламентацию допуска и разграничение доступа к защищаемой информации: предоставление индивидуальных прав отдельным пользователям на доступ к необходимой им конкретной информации и на выполнение отдельных операций. Разграничение доступа к информации может осуществляться по тематическому признаку или по признаку секретности информации и определяется матрицей доступа.

Ранжирование как метод защиты информации является частным случаем метода скрытия: пользователь не допускается к информации, которая ему не нужна для выполнения его служебных функций, и тем самым эта информация скрывается от него и всех остальных (посторонних) лиц.

Дезинформация - один из методов защиты информации, заключающийся в распространении заведомо ложных сведений относительно истинного назначения каких-то объектов и изделий, действительного состояния какой-то области государственной деятельности, положении дел на предприятии и т.д.

Дезинформация обычно проводится путем распространения ложной информации по различным каналам, имитацией или искажением признаков и свойств отдельных элементов объектов защиты, создания ложных объектов, по внешнему виду или проявлениям похожих на интересующие соперника объекты, и др.

Хорошо о роли дезинформации сказал А.Ф.Вивиани, специалист в области контршпионажа: «На нас обрушивается, валится, извергается огромное количество информации. Она бывает фальшивой, но выглядит правдоподобно; бывает правдивой, а на самом деле хитроумно перекроена, дабы производить впечатление фальшивой; бывает отчасти фальшивой и отчасти правдивой. Все зависит от выбранного способа так называемой дезинформации, цель которой - заставить вас верить, желать, думать, принимать решения в направлении, выгодном для тех, кому зачем-то нужно на нас воздействовать...»

Дробление (расчленение) информации на части с таким условием, что знание какой-то одной части информации (например, знание одной операции технологии производства какого-то продукта) не позволяет восстановить всю картину, всю технологию в целом.

Применяется достаточно широко при производстве средств вооружения и военной техники, а также при производстве товаров народного потребления. Широко известен пример, как фирма, производящая напиток «Кока-кола», хранит секрет концентрата «7х»: во всем мире только три человека знают секрет получения концентрата напитка, и то лишь по частям. Они не имеют права одновременно выехать из своего офиса, ездить в одной машине, летать одним самолетом...

Менее известен пример по членению технологии при изготовлении денег, например, на фабрике Гознака. Говорит директор фабрики: «Ну, похитят фальшивомонетчики художника или печатника - что дальше? Ведь наше производство организованно так хитро, что нет человека, который бы знал все. Тот же гравер делает, скажем, только герб или сетку, или текст, а что делает сосед, он не знает. Над одним банкнотом работают десятки специалистов, а все воедино сводит машина. Я уже не говорю о красках, водяных знаках и многом другом...».

Страхование - как метод защиты информации пока еще только получает признание. Сущность его сводится к тому, чтобы защитить права и интересы собственника информации или средства информации как от традиционных угроз (кражи, стихийные бедствия), так и от угроз безопасности информации, а именно: защита информации от утечки, хищения, модификации (подделки), разрушения и др.

Страховые методы защиты информации будут применяться, видимо, прежде всего для защиты коммерческих секретов от промышленного шпионажа. Особенно, надо полагать, страховые методы будут эффективны в независимом секторе экономики, где административные методы и формы управления, а особенно контроля, плохо применимы.

При страховании информации должно быть проведено аудиторское обследование и дано заключение о сведениях, которые предприятие будет защищать как коммерческую тайну, надежность средств защиты.

Морально-нравственные методы защиты информации можно отнести к группе тех методов, которые, исходя из расхожего выражения, что «тайну хранят не замки, а люди», играют очень важную роль в защите информации. Именно человек, сотрудник предприятия или учреждения, допущенный к секретам и накапливающий в своей памяти колоссальные объемы информации, в том числе секретной, нередко становится источником утечки этой информации или по его вине соперник получает возможность несанкционированного доступа к носителям защищаемой информации.

Морально-нравственные методы защиты информации предполагают прежде всего воспитание сотрудника, допущенного к секретам, то есть проведение специальной работы, направленной на формирование у него системы определенных качеств, взглядов и убеждений (патриотизма, понимания важности и полезности защиты информации и для него лично), и обучение сотрудника, осведомленного в сведениях, составляющих охраняемую тайну, правилам и методам защиты информации, привитие ему навыков работы с носителями секретной и конфиденциальной информации.

Учет также один из важнейших методов защиты информации, обеспечивающий возможность получения в любое время данных о любом носителе защищаемой информации, о количестве и местонахождении всех носителей засекреченной информации, а также данные о всех пользователях этой информации. Без учета решать проблемы было бы невозможно, особенно когда количество носителей превысит какой-то минимальный объем.

Принципы учета засекреченной информации:

1. Обязательность регистрации всех носителей защищаемой информации;
2. Однократность регистрации конкретного носителя такой информации;
3. Указание в учетах адреса, где находится в данное время данный носитель засекреченной информации (в СБ, у исполнителя и т.д.);
4. Единоличная ответственность за сохранность каждого носителя защищаемой информации и отражение в учетах пользователя данной информации в настоящее время, а также всех предыдущих пользователей данной информации.