Что такое носители конфиденциальной информации

Основы информационной безопасности. Часть 2. Информация и средства её защиты

В первой части «Основ информационной безопасности» нами были рассмотрены основные виды угроз информационной безопасности. Для того чтобы мы могли приступить к выбору средств защиты информации, необходимо более детально рассмотреть, что же можно отнести к понятию информации.

Информация и ее классификация

Существует достаточно много определений и классификаций «Информации». Наиболее краткое и в тоже время емкое определение дано в федеральном законе от 27 июля 2006 года № 149-ФЗ (ред. от 29.07.2017 года) «Об информации, информационных технологиях и о защите информации», статья 2: Информация – это сведения (сообщения, данные) независимо от формы их представления».

Информацию можно классифицировать по нескольким видам и в зависимости от категории доступа к ней подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен – конфиденциальные данные и государственная тайна.

Информация в зависимости от порядка ее предоставления или распространения подразделяется на информацию:

Согласно закона РФ от 21.07.1993 N 5485-1 (ред. от 08.03.2015) «О государственной тайне» статья 5. «Перечень сведений составляющих государственную тайну» относится:

Конфиденциальные данные – это информация, доступ к которой ограничен в соответствии с законами государства и нормами, которые компании устанавливаются самостоятельно. Можно выделит следующие виды конфиденциальных данных:

Персональные данные

Отдельно стоит уделить внимание и рассмотреть персональные данные. Согласно федерального закона от 27.07.2006 № 152-ФЗ (ред. от 29.07.2017) «О персональных данных», статья 4: Персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Оператором персональных данных является — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Права на обработку персональных данных закреплено в положениях о государственных органах, федеральными законами, лицензиями на работу с персональными данными, которые выдает Роскомнадзор или ФСТЭК.

Компании, которые профессионально работают с персональными данными широкого круга лиц, например, хостинг компании виртуальных серверов или операторы связи, должны войти в реестр, его ведет Роскомнадзор.

Для примера наш хостинг виртуальных серверов VPS.HOUSE осуществляет свою деятельность в рамках законодательства РФ и в соответствии с лицензиями Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций №139322 от 25.12.2015 (Телематические услуги связи) и №139323 от 25.12.2015 (Услуги связи по передаче данных, за исключением услуг связи по передаче данных для целей передачи голосовой информации).

Исходя из этого любой сайт, на котором есть форма регистрации пользователей, в которой указывается и в последствии обрабатывается информация, относящаяся к персональным данным, является оператором персональных данных.

Учитывая статью 7, закона № 152-ФЗ «О персональных данных», операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Соответственно любой оператор персональных данных, обязан обеспечить необходимую безопасность и конфиденциальность данной информации.

Для того чтобы обеспечить безопасность и конфиденциальность информации необходимо определить какие бывают носители информации, доступ к которым бывает открытым и закрытым. Соответственно способы и средства защиты подбираются так же в зависимости и от типа носителя.

Основные носители информации:

Классификация средств защиты информации

В соответствии с федеральным законом от 27 июля 2006 года № 149-ФЗ (ред. от 29.07.2017 года) «Об информации, информационных технологиях и о защите информации», статья 7, п. 1. и п. 4:

1. Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:

Средства защиты информации

Средства защиты информации принято делить на нормативные (неформальные) и технические (формальные).

Неформальные средства защиты информации

Неформальными средствами защиты информации – являются нормативные(законодательные), административные(организационные) и морально-этические средства, к которым можно отнести: документы, правила, мероприятия.

Правовую основу (законодательные средства) информационной безопасности обеспечивает государство. Защита информации регулируется международными конвенциями, Конституцией, федеральными законами «Об информации, информационных технологиях и о защите информации», законы Российской Федерации «О безопасности», «О связи», «О государственной тайне» и различными подзаконными актами.

Так же некоторые из перечисленных законов были приведены и рассмотрены нами выше, в качестве правовых основ информационной безопасности. Не соблюдение данных законов влечет за собой угрозы информационной безопасности, которые могут привести к значительным последствиям, что в свою очередь наказуемо в соответствии с этими законами в плоть до уголовной ответственности.

Государство также определят меру ответственности за нарушение положений законодательства в сфере информационной безопасности. Например, глава 28 «Преступления в сфере компьютерной информации» в Уголовном кодексе Российской Федерации, включает три статьи:

Для снижения влияния этих аспектов необходима совокупность организационно-правовых и организационно-технических мероприятий, которые исключали бы или сводили к минимуму возможность возникновения угроз конфиденциальной информации.

В данной административно-организационной деятельности по защите информационной для сотрудников служб безопасности открывается простор для творчества.

Это и архитектурно-планировочные решения, позволяющие защитить переговорные комнаты и кабинеты руководства от прослушивания, и установление различных уровней доступа к информации.

С точки зрения регламентации деятельности персонала важным станет оформление системы запросов на допуск к интернету, внешней электронной почте, другим ресурсам. Отдельным элементом станет получение электронной цифровой подписи для усиления безопасности финансовой и другой информации, которую передают государственным органам по каналам электронной почты.

К морально-этическим средствам можно отнести сложившиеся в обществе или данном коллективе моральные нормы или этические правила, соблюдение которых способствует защите информации, а нарушение их приравнивается к несоблюдению правил поведения в обществе или коллективе. Эти нормы не являются обязательными, как законодательно утвержденные нормы, однако, их несоблюдение ведет к падению авторитета, престижа человека или организации.

Формальные средства защиты информации

Формальные средства защиты – это специальные технические средства и программное обеспечение, которые можно разделить на физические, аппаратные, программные и криптографические.

Физические средства защиты информации – это любые механические, электрические и электронные механизмы, которые функционируют независимо от информационных систем и создают препятствия для доступа к ним.

Замки, в том числе электронные, экраны, жалюзи призваны создавать препятствия для контакта дестабилизирующих факторов с системами. Группа дополняется средствами систем безопасности, например, видеокамерами, видеорегистраторами, датчиками, выявляющие движение или превышение степени электромагнитного излучения в зоне расположения технических средств для снятия информации.

Аппаратный средства защиты информации – это любые электрические, электронные, оптические, лазерные и другие устройства, которые встраиваются в информационные и телекоммуникационные системы: специальные компьютеры, системы контроля сотрудников, защиты серверов и корпоративных сетей. Они препятствуют доступу к информации, в том числе с помощью её маскировки.

К аппаратным средствам относятся: генераторы шума, сетевые фильтры, сканирующие радиоприемники и множество других устройств, «перекрывающих» потенциальные каналы утечки информации или позволяющих их обнаружить.

Программные средства защиты информации – это простые и комплексные программы, предназначенные для решения задач, связанных с обеспечением информационной безопасности.

Примером комплексных решений служат DLP-системы и SIEM-системы.

DLP-системы («Data Leak Prevention» дословно «предотвращение утечки данных») соответственно служат для предотвращения утечки, переформатирования информации и перенаправления информационных потоков.

SIEM-системы («Security Information and Event Management», что в переводе означает «Управление событиями и информационной безопасностью») обеспечивают анализ в реальном времени событий (тревог) безопасности, исходящих от сетевых устройств и приложений. SIEM представлено приложениями, приборами или услугами, и используется также для журналирования данных и генерации отчетов в целях совместимости с прочими бизнес-данными.

Программные средства требовательны к мощности аппаратных устройств, и при установке необходимо предусмотреть дополнительные резервы.

Математический (криптографический) – внедрение криптографических и стенографических методов защиты данных для безопасной передачи по корпоративной или глобальной сети.

Криптография считается одним из самых надежных способов защиты данных, ведь она охраняет саму информацию, а не доступ к ней. Криптографически преобразованная информация обладает повышенной степенью защиты.

Внедрение средств криптографической защиты информации предусматривает создание программно-аппаратного комплекса, архитектура и состав которого определяется, исходя из потребностей конкретного заказчика, требований законодательства, поставленных задач и необходимых методов, и алгоритмов шифрования.

Сюда могут входить программные компоненты шифрования (криптопровайдеры), средства организации VPN, средства удостоверения, средства формирования и проверки ключей и электронной цифровой подписи.

Средства шифрования могут поддерживать алгоритмы шифрования ГОСТ и обеспечивать необходимые классы криптозащиты в зависимости от необходимой степени защиты, нормативной базы и требований совместимости с иными, в том числе, внешними системами. При этом средства шифрования обеспечивают защиту всего множества информационных компонент в том числе файлов, каталогов с файлами, физических и виртуальных носителей информации, целиком серверов и систем хранения данных.

В заключение второй части рассмотрев вкратце основные способы и средства защиты информации, а так же классификацию информации, можно сказать следующее: О том что еще раз подтверждается давно известный тезис, что обеспечение информационной безопасности — это целый комплекс мер, который включает в себя все аспекты защиты информации, к созданию и обеспечению которого, необходимо подходить наиболее тщательно и серьезно.

Необходимо строго соблюдать и ни при каких обстоятельствах нельзя нарушать «Золотое правило» — это комплексный подход.

Для более наглядного представления средства защиты информации, именно как неделимый комплекс мер, представлены ниже на рисунке 2, каждый из кирпичиков которого, представляет собой защиту информации в определенном сегменте, уберите один из кирпичиков и возникнет угроза безопасности.

Рисунок 2. Классификация средства защиты информации.

Источник

Оформление и учет носителей конфиденциальной информации

Самыми распространенными носителями документированной конфи­денциальной информации являются бумажные и машинные носители.

Бумажными носителями могут быть:

Перед взятием на учет носители должны быть оформлены следую­щим образом.

На обложках спецблокнотов сотрудник подразделения конфиденци­ального делопроизводства пишет или проставляет штампом (если не проставлено типографским способом) слово «Спецблокнот» и в правом верхнем углу гриф конфиденциальности. Если листы спецблокнота не пронумерованы типографским способом, то они нумеруются сотрудни­ком подразделения конфиденциального делопроизводства.

На обложках рабочих и стенографических тетрадей указываются вид носителя, гриф конфиденциальности, инициалы и фамилия исполнителя. Листы тетрадей нумеруются, на обороте последнего листа составляется подписываемая сотрудником подразделения конфиденциального делоп­роизводства заверительная надпись с указанием количества листов в тетради. Листы типовых форм документов нумеруются исполнителем, на первом листе проставляется гриф конфиденциальности.

На отдельных листах бумаги, ватмана, миллиметровки, кальки в соот­ветствующих графах основных надписей штампов или других установ­ленных местах исполнителем проставляются:

На любом носителе, предназначенном для составления одного конкретного документа, указывается наименование этого документа.

Бумажные носители учитываются в журналах или карточках, имеющих следующие графы:

При взятии носителей на учет заполняются графы 1-5.

В графе 1 рядом с номером носителя начальными буквами (аббреви­атурой) проставляется его гриф конфиденциальности:

1 КТ (коммерчес­кая тайна), 1ДСП (для служебного пользования). Если издаваемые доку­менты имеют только один гриф конфиденциальности, то в наименовании графы 1 слова «и гриф конфиденциальности» опускаются, рядом с но­мерами носителей гриф не проставляется.

В графе 3 пишется: спецблокнот, листы, типовая форма, рабочая тет­радь и др.

Одновременно на самих носителях проставляется:

— на спецблокнотах: в верхнем левом углу лицевой стороны обложки штамп

Листов____

С указанием учетного номера и количества листов, на каждом листе в верхнем левом углу

После взятия на учет носитель передается исполнителю с заполнением граф 6, 7 журнала учета бумажных носителей.

Машинные носители информации необходимы при изготовлении про­ектов документов при помощи печатающих устройств ЭВМ (независимо от того, с черновика печатаются проекты или без его использования), поскольку распечатка документа производится с машинного носителя.

К машинным носителям документированной информации относятся:

— жесткие (твердые) магнитные диски;

— гибкие магнитные диски (дискеты);

ЭВМ, используемые для изготовления конфиденциальных документов, учитываются службой безопасности предприятия. Магнитные и оптичес­кие носители, предназначенные для отображения (фиксирования) кон­фиденциальной информации, должны учитываться подразделением кон­фиденциального делопроизводства до нанесения на них информации в журналах (карточках) учета машинных носителей конфиденциальной ин­формации, в которые целесообразно включать следующие графы:

Журнал учета машинных носителей, на которые заносится информа­ция, составляющая коммерческую тайну, ведется отдельно от журнала учета машинных носителей, предназначенных для занесения информа­ции, составляющей служебную тайну.

Заполнение граф 1, 2 производится таким же образом, как и в журна­ле учета бумажных носителей.

В графе 3 проставляется: магнитный диск, дискета, оптический диск и др.

В графе 4 пишется название (марка) носителя.

В графе 5 указывается наименование информации, которая будет за­носиться на носитель, если она заранее известна, если неизвестна, то графа заполняется по мере нанесения информации.

В графе 6 напротив наименования соответствующей информации проставляются типы носителей, на которые перенесена информация (рас­печатка, дискета и др.), и их учетные номера.

В графе 7 проставляются наименование предприятия, на которое от­правлен носитель, наименование, номер и дата сопроводительного доку­мента.

В графе 8 указываются номер и дата сопроводительного письма, если носитель возвращен с сопроводительным письмом, или порядковый номер и дата поступления пакета с носителем, проставленные в журнале уюта поступивших пакетов (см. главу 4), если носитель возвращен без сопроводительного письма.

Если предприятие не осуществляет отправление машинных носителей, то графы 7, 8 опускаются.

В графе 9 производится запись «информация уничтожена путем сти­рания», заверяемая подписью работника, производившего стирание, с проставлением даты. Такие записи должны осуществляться по мере сти­рания информации и проставляться напротив ее наименования, указан­ного в графе 5.

Графа 10 заполняется в том случае, если носитель в силу различных причин уничтожается. При этом указывается способ уничтожения. От­метка об уничтожении носителя заверяется подписями двух сотрудников подразделения конфиденциального делопроизводства с проставле­нием даты уничтожения.

На самих машинных носителях проставляются их учетные номера и грифы конфиденциальности (аббревиатурой).

В формах учета носителей не должны производиться подчистки и исправления с применением корректирующей жидкости. Ошибочная запись зачеркивается одной чертой. Вносимые исправления заверяются подписью сотрудника подразделения конфиденциального делопроизводства с проставлением даты.

Листы журналов учета носителей должны быть перед заведением про­нумерованы, прошиты и опечатаны печатью подразделения конфиденци­ального делопроизводства. На обратной стороне последнего листа жур­нала проставляется заверительная надпись с указанием количества ли­стов, подписываемая сотрудником, ответственным за ведение журнала. Заверительная надпись на картотеку учета носителей с указанием количества карточек в картотеке составляется по окончании года на отдель­ной карточке и помещается в конце картотеки.

Источник

Информации

Оформление и учет носителей конфиденциальной

Лекция 6 Подготовка и издание конфиденциальных документов

Вопросы:

1. Оформление и учет носителей конфиденциальной информации

2. Изготовление и учет носителей конфиденциальной информации

3. Оформление издаваемых конфиденциальных документов

Рисунок 17 – Журналы учета бумажных носителей

После взятия на учет носитель передается исполнителю с заполнением граф 6, 7 журнала учета бумажных носителей. При необходимости взятия на учет дополнительных листов носителя (при нехватке ранее взятых листов для составления черновика документа или для замены испорченных листов) они нумеруются от последнего листа ранее учтенного по этому номеру носителя, регистрируются в журнале учета бумажных носителей за тем же номером, что и ранее взятые листы, отдельной строкой под ними (при этом заполняются графы 2,5), на левом поле каждого листа проставляется штамп «К Уч. №» с указанием номера, а на первом листе всего носителя прежнее количество листов зачеркивается и проставляется новое с учетом дополнительных листов. Исправление заверяется подписью сотрудника подразделения конфиденциального делопроизводства. Выдача дополнительных листов производится под отдельную подпись в графе 7 журнала учета бумажных носителей. Машинные носители информации необходимы при изготовлении проектов документов при помощи печатающих устройств ЭВМ (независимо от того, с черновика печатаются проекты или без его использования), поскольку распечатка документа производится с машинного носителя. К машинным носителям документированной информации относятся:

— жесткие (твердые) магнитные диски;

— гибкие магнитные диски (дискеты);

— оптические диски. ЭВМ, используемые для изготовления конфиденциальных документов учитываются службой безопасности предприятия.

Магнитные и оптические носители, предназначенные для отображения (фиксирования) конфиденциальной информации, должны учитываться подразделением конфиденциального делопроизводства до нанесения на них информации в журналах (карточках) учета машинных носителей конфиденциальной информации, в которые целесообразно включать следующие графы:

Рисунок 19 – Журналы учета машинных носителей

Журнал учета машинных носителей, на которые заносится информация, составляющая коммерческую тайну, ведется отдельно от журнала учета машинных носителей, предназначенных для занесения информации, составляющей служебную тайну. Заполнение граф 1, 2 производится таким же образом, как и в журнале учета бумажных носителей.

В графе 3 проставляется: магнитный диск, дискета, оптический диск и др. В графе 4 пишется название (марка) носителя. В графе 5 указывается наименование информации, которая будет заноситься на носитель, если она заранее известна, если неизвестна, то графа заполняется по мере нанесения информации. В графе 6 напротив наименования соответствующей информации проставляются типы носителей, на которые перенесена информация (paспечатка, дискета и др.), и их учетные номера. В графе 7 проставляются наименование предприятия, на которое направлен носитель, наименование, номер и дата сопроводительного документа. В графе 8 указываются номер и дата сопроводительного письма, если носитель возвращен с сопроводительным Письмом, или порядковый номер и дата поступления пакета с носителем, проставленные в журнале учета поступивших пакетов, если носитель возвращен без сопроводительного письма. Бели предприятие не осуществляет отправление машинных носителей, то графы 7, 8 опускаются. В графе 9 производится запись «информация уничтожена путем стирания», заверяемая подписью работника, производившего стирание, с проставлением даты. Такие записи должны осуществляться по мере стирания информации и проставляться напротив ее наименования, указанного в графе 5. Графа 10 заполняется в том случае, если носитель в силу различных причин уничтожается. При этом указывается способ уничтожения. Отметка об уничтожении носителя заверяется подписями двух сотрудников подразделения конфиденциального делопроизводства с проставлением даты уничтожения. На самих машинных носителях проставляются их учетные номера и грифы конфиденциальности (аббревиатурой). Учет бумажных и машинных носителей производится по каждому виду тайны раздельно. В зависимости от количества и продолжительности хранения носителей учет может осуществляться в пределах года или нескольких лет. В последнем случае учетные номера каждого года продолжают номера предыдущих лет. По окончании непрерывного учета заводится новый учет за новыми номерами. Числящиеся (не уничтоженные) по предыдущему учету носители перерегистрируются по новому учету с отметкой о перерегистрации каждого носителя в предыдущей учетной форме, которая проставляется следующим образом: «Перерегистрирован в журнал (или картотеку) за _____ год под № _______» с указанием года журнала и номера носителя. Отметка проставляется в графе 9 журнала учета бумажных носителей и в графе 10 журнала учета машинных носителей. В формах учета носителей не должны производиться подчистки и исправления с применением корректирующей жидкости. Ошибочная запись зачеркивается одной чертой. Вносимые исправления заверяются подписью сотрудника подразделения конфиденциального делопроизводства с проставлением даты. Листы журналов учета носителей должны быть перед заведением пронумерованы, прошиты и опечатаны печатью подразделения конфиденциального делопроизводства. На обратной стороне последнего листа журнала проставляется заверительная надпись с указанием количества листов, подписываемая сотрудником, ответственным за ведение журнала. Заверительная надпись на картотеку учета носителей с указанием количества карточек в картотеке составляется по окончании года на отдельной карточке и помещается в конце картотеки. Если содержащиеся в учетных формах сведения по совокупности являются конфиденциальными, журналам и картотекам должен присваиваться гриф конфиденциальности.

На карточках учета гриф конфиденциальности не проставляется.

Источник