Вайнштейн Ю.В., Демин С.Л., Кирко И.Н., Кучеров М.М., Сомова М.В. Основы информационной безопасности

Подождите немного. Документ загружается.

С органами таможенного контроля обмен конфиденциальной информа-

цией осуществляется на основании Таможенного кодекса РФ от 18 июня 1993

года № 5221 -1.

Конфиденциальная информация арбитражным судам и судам общей

юрисдикции предоставляется согласно статье 9 Федерального Закона от 14

июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и

защите информации» осуществляется в соответствии с законодательством об

этой категории информации, т.е. по официальному письменному запросу су-

дьи информация представляется непосредственно в суд.

Согласно Федеральному Закону от 21 июля 1997 года № 119-ФЗ «Об

исполнительном производстве» судебным приставам-исполнителям в трех-

дневный срок после получения письменного запроса представляются сведе-

ния о наличии или об отсутствии у должника-организации счетов и вкладов в

банках и иных кредитных организациях (при этом представление номеров

счетов и других банковских реквизитов данным Законом не предусмотрено).

Подобная информация предоставляется взыскателям после получения пись-

менного заявления с приложенной копией исполнительного листа с неистек-

шим сроком давности.

Информационный обмен с другими органами ГМУ (госкомитетами,

другими государственными организациями и официальными лицами) осуще-

ствляется:

1. В соответствии с Федеральным Законом «О статусе депутата Совета Фе-

дерации и статусе депутата Государственной Думы Федерального Собрания

РФ» в редакции Федерального Закона депутатам Совета Федерации и Госу-

дарственной Думы по запросам, внесенным на заседание соответствующей

палаты в письменной форме, предоставляется необходимая информация.

2. Согласно Федеральному Закону «О Счетной палате РФ» налоговые орга-

ны обязаны оказывать содействие деятельности Счетной палаты РФ, предос-

тавлять по ее запросам информацию о результатах проводимых ревизий и

проверок.

3. Органы государственной статистики и налоговые органы осуществляют

информационное взаимодействие в соответствии с приказом Госналогслуж-

бы России от 22 августа 1996 года № ВА-3-09/71.

4. Территориальным органам Федеральной службы России по делам о Со-

стоятельности и финансовому оздоровлению предоставление сведений о ба-

лансах предприятий федеральной собственности и иных предприятий

с долей федеральной собственности, суммах задолженности по уплате на-

логов и других обязательных платежах и регулируется приказом Госналог-

службы России от 25 марта 1994 года № ВГ-3-13/79 «О порядке взаимодей-

ствии органов Госналогслужбы России с территориальными агентствами Фе-

дерального управления по делам о несостоятельности (банкротстве) при Гос-

комимуществе России».

5. Территориальным органам по валютному и экспортному контролю ин-

формация предоставляется на основании Соглашения между Госналогслуж-

бой России и Федеральной службой РФ по валютному и экспортному кон-

тролю от 20 марта 1995 года.

6. На основании письменного запроса полномочного представителя Прези-

дента России в федеральном округе РФ могут быть представлены открытые

сведения о проверках государственных налоговых инспекций по субъ-

екту РФ, о количестве проверок налогоплательщиков по вопросам соблю-

дения налогового законодательства, о суммах доначислений в бюджеты раз-

личных уровней по видам налогов (платежей), о видах нарушений налогового

законодательства.

7. Иностранным организациям и иностранным гражданам, не зарегистриро-

ванным в налоговых органах РФ в качестве налогоплательщиков, не допуска-

ется предоставлении служебной информации.

8. В рамках международного сотрудничества информационное взаимодей-

ствие осуществляется в порядке, установленном соответствующей Инструк-

цией Госналогслужбы России.

Приведенные выше примеры действия нормативно-правовых механиз-

мов информационного обмена красноречиво свидетельствуют о необходимо-

сти весьма деликатного обращения с конфиденциальной информацией. При-

чем, по мере развития правового государства, регламентация данной отрасли

информационной сферы будет существенно совершенствоваться.

Контрольные вопросы

1. Какая информация отнесена к конфиденциальной информации?

2. Дайте определение каждому виду конфиденциальной информации.

3. Что является объектом служебной тайны?

4. К каким видам информации не может быть ограничен доступ согласно

Федеральному закону от 27 июля 2006 года № 149-ФЗ «Об информации, ин-

формационных технологиях и защите информации»?

5. Дайте определение технической защите конфиденциальной информации.

6. Перечислите лицензионные требования и условия при осуществлении

деятельности по технической защите конфиденциальной информации.

7. Какой орган государственного управления осуществляет лицензирование

деятельности по технической защите конфиденциальной информации?

8. Каков общий порядок предоставления сведений конфиденциального ха-

рактера в органах ГМУ?

9. Какую информацию и кому могут предоставить в строго установленном

порядке налоговые органы (в органы МВД, ФТС, суды, службу судебных

приставов)?

ГЛАВА 3. ОСНОВНЫЕ ПОНЯТИЯ И ОБЩЕМЕТОДОЛОГИЧЕСКИЕ

ПРИНЦИПЫ ТЕОРИИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

3.1. Управление и защита информации

в информационно-телекоммуникационных сетях

В этой главе обсуждаются основные причины, касающиеся безопасно-

сти информации в сети. Эти основы полезны, с точки зрения руководства

предприятия, для выделения соответствующих ресурсов в области безопасно-

сти, как указано в следующих главах. Эффективная система защиты произ-

водственных операций в большой степени зависит от точки зрения руково-

дства на вопросы безопасности информации в сети. Производственные отно-

шения, вне всякого сомнения, требуют обеспечения безопасности. В этом

плане подход руководства может быть очень полезным руководителю по

безопасности или системному инженеру, работающему в области безопасно-

сти сетей, по ряду причин, включая следующие:

- развитие политики предприятия в области безопасности сетевой инфор-

мации требует компетентного охвата этой проблемы;

- подтверждение ресурсов, направляемых на защиту сети, перед руково-

дством предприятия требует тщательного обоснования. В этом отношении

полезна развиваемая здесь концепция качества информации.

Некоторые руководители, возможно, не воспринимают безопасность,

как важный интегральный элемент процесса деловых операций. Но они, без-

условно, знают, что качественная информация абсолютно необходима для

эффективного управления в условиях конкуренции. Качество может быть га-

рантированным только при соответствующем уровне защищенности. А защи-

та может быть эффективной только как часть общей информационной про-

граммы.

Многие руководители знают, что информация требует защиты. Однако

немногие продумали процесс принятия решений, который необходим для

подтверждения затрат на информационную безопасность. Далее будут спе-

цифицированы требования для работы сложной сети, предназначенной для

производственных операций. Отправным пунктом для выполнения таких мер

защиты должна быть поддержка со стороны руководства требований по безо-

пасности производственных операций. В этой главе с самого начала рассмат-

ривается тщательно спланированный процесс, результатом которого является

решение в пользу обеспечения безопасности производственной информации

в сети.

3.2. Контроль качества информации

В сегодняшних условиях конкуренции в производственной сфере, кото-

рая определяется правильной и своевременной информацией, необходима

уверенность в качестве информации, обрабатываемой компьютером и полу-

чаемой по сети. Качество информации должно быть основной заботой каждо-

го руководителя, ответственного за развитие прикладных программ, обеспе-

чение служб обработки информации или управление сетями, и каждого со-

трудника на сетевом рабочем месте.

Качественная производственная информация обладает некоторыми ха-

рактеристиками. К ним относятся целостность, надежность и конфиденци-

альность.

Понятие целостности означает, что информация имеет точность до

степени, ожидаемой пользователем, является законченной и свободна от не-

авторизованных изменений. Отметим, что информация не свободна от оши-

бок на все 100%, но качество информации оправдывает ожидания пользова-

теля. Целостность подразумевает, что информация защищена от халатного

обращения или преднамеренного неавторизованного изменения, что она не

обрабатывается с помощью ненадежных программ, и что данные контроли-

руются на разных этапах обработки. Такие проверки включают нумерацию

пакетов, посылку подтверждений, проверку достоверности, общий контроль

и меры обеспечения безопасности.

Понятие надежности означает, что информация получена авторизо-

ванными пользователями, в нужном месте и в нужное время; что она свобод-

на от несанкционированного изменения, разрушения или копирования. В

случае сети это предполагает реальное управление на всех уровнях; при не-

возможности прохождения некоторых участков система управления должна

быть в состоянии заменить или обойти соответствующий узел или линию

связи. Инфраструктура сети, линии связи, центральные компьютеры или пе-

риферийные рабочие станции должны быть защищены от физического или

логического нападения, которое может воздействовать на качество информа-

ции или прекратить ее использование предприятием. Надежность также озна-

чает, что файлы пользователей сети и центральные базы данных периодиче-

ски реплицируются для предотвращения необратимой потери данных. Ос-

новные производственные процессы должны быть обратимыми на случай

ошибок обработки или передачи с помощью запланированных процедур вос-

становления системы.

Понятие конфиденциальности означает уверенность в том, что данные

во всех формах (письменной, электронной, ментальной) защищены от похи-

щения или неавторизованного наблюдения. В сетях это означает защиту от

проникновения в контролируемые сетевые устройства, файлы и контуры. Для

вычислительных сетей степень уязвимости является высокой, поскольку каж-

дая рабочая станция, серверы и кабельная структура могут рассматриваться

как потенциальные мишени для неавторизованного наблюдения за данными.

Конфиденциальность также означает, что для защиты ценной информации

используется шифрование при ее прохождении по линиям связи, которые на-

прямую не контролируются обладателем информации. Для важной информа-

ции, проходящей через межсетевые соединения, шифрование является важ-

нейшим производственным требованием.

Качество информации достигается с помощью тщательно разработан-

ной системы действий руководства. Она охватывает полный цикл получения,

обработки и использования информации, от первоначального сбора до пре-

кращения использования. Безопасность лишь одно из ряда управляющих дей-

ствий, относящихся к качеству информации. Меры безопасности логически

вытекают из принятых решений руководства по качеству информации. Вот

действия, которые совместно образуют элементы качества информации:

- управление производственной информацией, как важнейшим ресурсом;

- качественное проектирование системы для обеспечения эффективных ин-

формационных процессов;

- эффективное руководство и контроль обработки и передачи информации;

- защита информации в системах обработки и передачи данных.

Далее эти элементы обсуждаются более подробно.

3.3. Управление информационными ресурсами

Управление производственными информационными ресурсами означа-

ет, что руководство предприятия признает, что информация является важ-

нейшим ресурсом и предпринимает соответствующие действия по управле-

нию ею. Оно включает:

– определение производственной информационной базы через элементы дан-

ных, существенные для производственного процесса;

– оценку или классификацию производственных данных для того, чтобы по-

зволить предпринять соответствующие меры защиты.

Ответственность по управлению информацией логически следует из

признания того, что информация является важным и дорогостоящим средст-

вом производства. При этом большое значение имеет удобная организацион-

ная структура и определение ответственности на разных уровнях с помощью

хорошо разработанных и опубликованных директив.

Нельзя правильным образом начать процесс оценки и контроля без со-

ответствующих распоряжений: требуется большое количество очень важных

решений и достаточно большой объем ресурсов для существенного решения

задачи. Таким образом, в первую очередь необходимо обсудить с руково-

дством предприятия вопросы доступа к обработке и передаче информации.

Многие важные производственные ресурсы давно управляются соот-

ветствующим образом. Они контролируются руководителями по работе с

кадрами, материалами, главным бухгалтером. Напротив, информация, кото-

рая сегодня общепризнанно является наиболее важным производственным

ресурсом, часто остается без присмотра. Ограниченное число передовых ор-

ганизаций имеют в своем штате информационных руководителей высокого

уровня (возможно, начальников информационных отделов), но иногда эта по-

зиция даже не упоминается среди работ, сосредоточенных в основном на

управлении компьютерным оборудованием и разработкой приложений.

Можно провести аналогию с ювелирным магазином, в котором директор за-

нят футлярами для драгоценностей и не обращает внимания на ценность са-

мих камней. Признание важности информации и назначение руководителей

высокого уровня для надзора за ее использованием является предваритель-

ными условием для управления информацией.

Можно спросить: «Какое отношение это имеет к защите информации

в сетях?». Ответ заключается в том, что, в данном случае, охраняется инфор-

мация, а не сама сеть, и, скорее всего, нельзя защитить всю информацию.

Вначале следует установить, какие производственные данные имеют важное

значение. А затем сознательно направить ограниченные ресурсы для их за-

щиты. Следует также убедиться, что защищена информация в письменной

форме, обычно получаемая на выходе сети. Руководство информацией созда-

ет основу для хорошего выполнения этих задач.

Руководство информацией устанавливает структуру для защиты произ-

водства с помощью введения соответствующего уровня качества информа-

ции.

3.3.1. Составляющие информационной базы

Перед началом своей работы заведующий складом должен знать, какие

материалы находятся в складе, и сколько стоит каждый из них? Аналогично,

управление информацией предполагает, что известен объем информации,

требуемый для управления производством. Невозможно, фактически, под-

робно перечислить информационные объекты, но можно назвать основные

элементы информации, необходимые для производственных операций. Эле-

мент информации представляет собой основную часть информации. Он мо-

жет появляться в разных местах в ментальной, письменной или электронной

форме.

Основной элемент информации имеет следующие свойства:

- является существенным для производства;

- создается первичной производственной функцией;

- может находиться в разнообразных сочетаниях с другой информацией.

Примерами основных элементов информации являются:

- имя сотрудника (функция работы с персоналом, согласно штатному рас-

писанию);

- имя поставщика (функция отдела маркетинга, согласно ведомости по кре-

дитованию);

- название продукта (функция проектирования и разработки, согласно пе-

речню выпускаемой продукции);

- полученные счета (учетная функция, согласно бухгалтерской книге).

Список всех основных элементов информации, существенных для про-

изводства, указывает на те элементы информации, которые являются объек-

тами управления и контроля. Решение о том, будет или нет предприятие

управлять соответствующим элементом информации, зависит от его значе-

ния. Конечно, в случае создания новых элементов информации или использо-

вания уже существующих в отчетах и служебных записках, руководитель, по-

сылающий документ, должен предпринять необходимые действия, для того,

чтобы эти элементы информации имели соответствующее значение, что по-

зволило бы, при необходимости, контролировать их надлежащим образом.

Организованная информационная база позволяет получать важные пре-

имущества для информационных систем. Запросы на информацию постоянно

возрастают с увеличением количества людей, желающих получать информа-

цию с помощью персональных компьютеров и сетей. Почти невозможно

предвидеть требования на доступ к центральным базам данных, а также при-

ложения, с помощью которых будет обработана полученная информация.

Следовательно, важно, чтобы элементы информации были отделены от про-

изводственных приложений и находились в форме, позволяющей легко их

использовать для разных приложений и целей.

Цена, которую платят за хранение избыточных элементов информации

в некоторых приложениях, давно уже стала проблемой. Администраторов баз

данных больше волнует проблема целостности и непротиворечивости данных

при получении их из централизованных баз и направлении в системы под-

держки принятия решений, информационные центры и системы руководства.

На самом же деле, согласно рассмотренным определениям, следует беспоко-

иться о качестве данных в каждом случае их использования, и об их соответ-

ствии реалиям производства. Эффективное руководство информацией решает

эту проблему, контролируя информационные ресурсы. Кроме того, хорошее

управление может сделать более эффективным проектирование информаци-

онных систем. В большинстве производственных операций необходимо так-

же следить за старением информации.

3.3.2. Элементы информации, требующие защиты

Интуитивно ясно, что информация, такая как ведомости по зарплате,

предложения поставщиков и списки потребителей, имеет ценность и требует

определенной конфиденциальности. Из опыта и на основе здравого смысла

известно, что имеются данные, которые разумные люди не хотели бы рас-

крывать. Можно также сделать интуитивные предположения об информации,

которая имеет значение для конкуренции. Однако для руководства решения

относительно ценности информации следует принимать на основе более

формальной модели.

Эта модель ценности основана на двух критериях:

1. Какой вред производственным операциям будет нанесен, если информа-

ция окажется известной лицам, неавторизованным для ее получения?

2. Какой вред производственным операциям будет нанесен, если информа-

ция окажется недоступной или недостаточно целостной?

Перед тем, как оценить наши основные элементы информации в пред-

лагаемой модели, следует установить оценку или схему классификации. А

именно, для принятия решения не желательно, чтобы в качестве результата

получалось, что данная часть информации является «наиболее ценной» или

«наименее ценной». Более удобно иметь набор классификационных имен,

поддержанных точными определениями, которые будут показывать всем со-

трудникам шкалу ценности элементов информации, и, следовательно, коли-

чество усилий, необходимых для контроля за каждым элементом. Классифи-

кация информации устанавливает базис для всей деятельности в области ин-

формационной безопасности.

Модель значений может быть развита далее, для того чтобы сделать

классификацию более конкретной. В этом поможет определение субъектив-

ной и объективной ценности информации.

Какой ущерб для производства будет нанесен из-за самой информации,

если она окажется раскрытой, поврежденной или недоступной? Это – субъек-

тивная ценность. Например, раскрытие или уничтожение перечня потребите-

лей или производственных спецификаций может означать для предприятия

затруднение или потерю части рынка, или утрату стратегического преимуще-

ства. Здесь ущерб возникает из качеств, присущих самой информации.

Какой ущерб для производства будет нанесен вследствие внешних при-

чин, если информация окажется недоступной или с ненадлежащей целостно-