|
ЗАЩИЩАЕМАЯ ИНФОРМАЦИЯ |
|
Классификация защищаемой информации и её носителей (владельцы защищаемой информации, степень секретности), Классификация защищенной информации по содержанию. Документированная информация, зафиксированная на материальном носителе. Коммерческая тайна как составная часть интеллектуальной собственности. Степень важности коммерческой информации. Основные признаки коммерческой тайны. |
|
Классификация автоматизированных систем по уровню защищенности от НСД. Устанавливается пять классов защищенности МЭ. Каждый класс характеризуется определенной минимальной совокупностью требований по защите информации. Самый низкий класс защищенности - пятый, применяемый для безопасного взаимодействия АС класса 1Д с внешней средой, четвертый - для 1Г, третий - 1В, второй - 1Б, самый высокий - первый, применяемый для безопасного взаимодействия АС класса 1А с внешней средой. Классификация автоматизированных систем устроена иначе. Снова обратимся к соответствующему Руководящему документу: "1.8. Устанавливается девять классов защищенности АС от НСД к информации. Каждый класс характеризуется определенной минимальной совокупностью требований по защите. Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС. В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности (конфиденциальности) информации и, следовательно, иерархия классов защищенности АС. 1.9. Третья группа классифицирует АС, в которых работает один пользователь, допущенный ко всей информации АС, размещенной на носителях одного уровня конфиденциальности. Группа содержит два класса - 3Б и 3А. Вторая группа классифицирует АС, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС, обрабатываемой и (или) хранимой на носителях различного уровня конфиденциальности. Группа содержит два класса - 2Б и 2А. Первая группа классифицирует многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности и не все пользователи имеют право доступа ко всей информации АС. Группа содержит пять классов - 1Д, 1Г, 1В, 1Б и 1А." Сведем в таблицу требования ко всем девяти классам защищенности АС Таблица 2. Требования защищенности автоматизированных систем. Приведем подробное изложение требований к достаточно представительному классу защищенности - 1В. Мы позволяем себе многостраничное цитирование по двум причинам. Во-первых, данные требования, несомненно, важны с практической точки зрения. Лица, отвечающие за информационную безопасность, должны сопоставлять свои действия с Руководящими указаниями, чтобы обеспечить систематичность защитных мер. Во-вторых, брошюры Гостехкомиссии при Президенте РФ являются библиографической редкостью, и ознакомиться с ними в подлиннике затруднительно. Требования к классу защищенности 1В: Подсистема управления доступом: должна осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему по идентификатору (коду) и паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов; должна осуществляться идентификация терминалов, ЭВМ, узлов сети ЭВМ, каналов связи, внешних устройств ЭВМ по логическим именам и/или адресам; должна осуществляться идентификация программ, томов, каталогов, файлов, записей, полей записей по именам; должен осуществляться контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа; должно осуществляться управление потоками информации с помощью меток конфиденциальности. При этом уровень конфиденциальности накопителей должен быть не ниже уровня конфиденциальности записываемой на него информации. Подсистема регистрации и учета: должна осуществляться регистрация входа/выхода субъектов доступа в систему/из системы, либо регистрация загрузки и инициализации операционной системы и ее программного останова; должна осуществляться регистрация выдачи печатных (графических) документов на "твердую" копию; должна осуществляться регистрация запуска/завершения программ и процессов (заданий, задач), предназначенных для обработки защищаемых файлов; должна осуществляться регистрация попыток доступа программных средств к следующим дополнительным защищаемым объектам доступа: терминалам, ЭВМ, узлам сети ЭВМ, линиям (каналам) связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей; должна осуществляться регистрация изменений полномочий субъектов доступа и статуса объектов доступа;должен осуществляться автоматический учет создаваемых защищаемых файлов с помощью их дополнительной маркировки, используемой в подсистеме управления доступом. Маркировка должна отражать уровень конфиденциальности объекта; должен проводиться учет всех защищаемых носителей информации с помощью их любой маркировки; должна осуществляться очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей. Очистка осуществляется двухкратной произвольной записью в любую освобождаемую область памяти, использованную для хранения защищаемой информации; должна осуществляться сигнализация попыток нарушения защиты. Подсистема обеспечения целостности: должна быть обеспечена целостность программных средств СЗИ НСД, а также неизменность программной среды, при этом: целостность СЗИ НСД проверяется при загрузке системы по контрольным суммам компонент СЗИ, целостность программной среды обеспечивается использованием трансляторов с языков высокого уровня и отсутствием средств модификации объектного кода программ при обработке и (или) хранении защищаемой информации; должна осуществляться физическая охрана СВТ (устройств и носителей информации), предусматривающая постоянное наличие охраны территории и здания, где размещается АС, с помощью технических средств охраны и специального персонала, использование строгого пропускного режима, специальное оборудование помещений АС; должен быть предусмотрен администратор (служба) защиты информации, ответственный за ведение, нормальное функционирование и контроль работы СЗИ НСД. Администратор должен иметь свой терминал и необходимые средства оперативного контроля и воздействия на безопасность АС; должно проводиться периодическое тестирование всех функций СЗИ НСД с помощью специальных программных средств не реже одного раза в год; должны быть в наличии средства восстановления СЗИ НСД, предусматривающие ведение двух копий программных средств СЗИ НСД и их периодическое обновление и контроль работоспособности; должны использоваться сертифицированные средства защиты." По существу перед нами - минимум требований, которым необходимо следовать, чтобы обеспечить конфиденциальность защищаемой информации. Понятие “коммерческая тайна” определяется в Положении о коммерческой тайне, утвержденном постановлением правительства от 6 ноября 1992 года № 670 (27). В соответствии с ним, коммерческую тайну составляют “преднамеренно скрываемые экономические интересы и информация о различных сторонах и сферах производственно-хозяйственной, управленческой, научно-технической, финансовой деятельности субъекта хозяйствования, охрана которых обусловлена интересами конкуренции и возможной угрозой экономической безопасности субъекта хозяйствования”. В соответствии со ст. 30 Закона "Об информации" конфиденциальной информацией являются сведения, которые находятся во владении, пользовании или распоряжении отдельных физических или юридических лиц и распространяются по их желанию в соответствии с предусмотренными ими условиями. Из содержания указанной выше статьи можно определить такие специфические признаки названной информации:
Для недопущения недобросовестной конкуренции и имущественного вреда, предприятие, которое занимается созданием ПО, должно осуществить определенные меры по оформлению и охране сведений, которым предоставляется статус конфиденциальных. Во-первых, необходимо составить перечень сведений, которые составляют коммерческую тайну и конфиденциальную информацию предприятия, включив в него и те сведения, которые касаются ПО и разглашение которых может причинить вред предприятию. Режим конфиденциальности имеет смысл установить в отношении:
Информация,
составляющая
коммерческую
тайну,
является
собственностью
субъекта
хозяйствования
либо
находится в
его владении,
пользовании,
распоряжении
в пределах,
установленных
собственником
и
законодательными
актами.
Информация
может стать
коммерческой
тайной, если
она: Коммерческую тайну не могут составлять сведения о численности и составе работающих, их заработной плате и условиях труда, о наличии свободных рабочих мест, а также сведения о финансово-хозяйственной деятельности, документы о платежеспособности и иные данные, необходимые для проверки исчисления и уплаты налогов и других обязательных платежей. Закон “О печати...” (ст. 33) предусматривает возможность отказа в предоставлении информации, составляющей коммерческую тайну. Сообщение об этом передается редакции в десятидневный срок с момента получения запроса. Действующее уголовное и административное законодательство не предполагают ответственности за разглашение сведений, составляющих коммерческую тайну. Однако редакция, распространившая такие сведения, может получить предупреждение на основании ст. 5 Закона “О печати...” за раскрытие сведений, составляющих “иную специально охраняемую законом тайну”. |