Защита и обработка документов

    Содержание 

    Введение 

    Информация - это один из ресурсов предприятия, без которого четкой и слаженной  работы не получится. А конфиденциальная информация дает фирме возможность, изобретая что-то новое, достигать  вершин, не покоренных никем в области  деятельности этого предприятия  благодаря защищенности информации. Исходя из важности этой информации, появляется риск для фирмы создателя лишится столь ценного ресурса. Во избежание неприятностей, связанных с утратой или хищением информации в организациях, создаются службы КД. Представители службы в организации следят за конфиденциальными документами и сведениями, за оборотом документов в организации, создают базы данных для компьютеров и картотеки для бумажных носителей, уничтожают пронумерованные черновики конфиденциального документа, хранят документы, имеющие ценность для фирмы, и уничтожают их в установленном порядке. 
Защита конфиденциальной информации в документопотоках обеспечивается комплексом разнообразных мер режимного, технологического, аналитического и контрольного характера. Перемещение документа в процессе выполнения каждой стадии, процедуры обработки или исполнения обязательно сопровождается набором связанных учетных операций, закреплением документа за конкретным сотрудником и его персональной ответственностью за сохранность носителя и конфиденциальность информации. Технологический процесс учета конфиденциальных документов включает в себя ряд процедур, обязательных для любого вида учета и любого типа обработки и хранения этих документов. В процессе учета, распределения, рассмотрения, передачи поступивших документов исполнителям и возврата документов выполняется комплекс технологических и ограничительных операций, позволяющих обеспечить физическую сохранность документа и его частей, а также предотвратить разглашение и утечку информации, содержащейся в документе.

      Не проходящий и не снижающийся  интерес к этой проблематике, объясняется тем, что происходящие  в стране процессы существенно  затронули проблему организации  системы защиты информации во  всех ее сферах - разработки, производства, реализации, эксплуатации средств  защиты, подготовки соответствующих  кадров. Прежние традиционные подходы  в современных условиях уже  не в состоянии обеспечить  требуемый уровень безопасности  государственно значимой и частной  конфиденциальной информации, циркулирующей  в информационно-телекоммуникационных  системах страны.

    Существенным  фактором, до настоящего времени оказывающим  значительное влияние на положение  дел в области защиты информации, является то, что до начала 90-х годов  нормативное регулирование в  данной области оставляло желать лучшего. Система защиты информации в нашей стране в то время определялась существовавшей политической обстановкой  и действовала в основном в  интересах Специальных служб  государства,

    Министерства  обороны и Военно-промышленного  комплекса. Цели защиты информации достигались  главным образом за счет реализации принципа "максимальной секретности", в соответствии с которым доступ ко многим видам информации был просто ограничен. Никаких законодательных и иных государственных нормативных актов, определяющих защиту информационных прав негосударственных организаций и отдельных граждан, не существовало. Средства криптографической защиты информации использовались только в интересах государственных органов, а их разработка была прерогативой исключительно специальных служб и немногих специализированных государственных предприятий. Указанные предприятия строго отбирались и категорировались по уровню допуска к разработке и производству этих средств. Сами изделия тщательно проверялись компетентными государственными органами и допускались к эксплуатации исключительно на основании специальных заключений этих органов. Любые работы в области криптографической защиты информации проводилась на основании утвержденных Правительством страны специальных секретных нормативных актов, полностью регламентировавших порядок заказа, разработки, производства и эксплуатации шифровальных средств. Сведения о этих средствах, их разработке, производстве, и использовании как в стране, так и за рубежом были строго засекречены, а их распространение предельно ограничено. Даже простое упоминание о криптографических средствах в открытых публикациях было запрещено.

    В настоящее время можно отметить, что правовое поле в области защиты информации получило весомое заполнение. Конечно, нельзя сказать, что процесс построения цивилизованных правовых отношений успешно завершен и задача правового обеспечения деятельности в этой области уже решена.

    Важно другое - на мой взгляд, можно констатировать, что уже имеется неплохая законодательная  база, вполне позволяющая, с одной  стороны, предприятиям осуществлять свою деятельность по защите информации в  соответствии требованиями действующих  нормативных актов, а с другой - уполномоченным государственным органам  на законной основе регулировать рынок  соответствующих товаров и услуг, обеспечивая необходимый баланс интересов отдельных граждан, общества в целом и государства.

    В последнее время в различных  публикациях муссируется вопрос о том, что созданный механизм государственного регулирования в  области защиты информации используется государственными органами, уполномоченными  на ведение лицензионной деятельности, для зажима конкуренции и не соответствует  ни мировому опыту, ни законодательству страны. Однако, на мой взгляд – это далеко не так. Официально в выдаче лицензии отказано только одной фирме. Еще одному предприятию, кстати, государственному отказано в продлении лицензии за нарушения условий ее действия. Среди лицензиатов - предприятия различных форм собственности и ведомственной принадлежности, включая такие частные фирмы, как:

    "Авиателеком", "Аргонавт", "Анкей", "КомФАКС", "Инфотекс" и другие.

    Полный  список лицензий, выданных ФАПСИ публикуется  в печати, в том числе и в  изданиях фирмы "Гротек".

    Кроме того, чтобы остудить бушующие вокруг данной проблемы страсти, считаю полезным подробнее ознакомиться с имеющимся  опытом зарубежного законодательства и требованиями российских нормативных  актов в области защиты информации.

    Законодательные и административные меры для регулирования  вопросов защиты информации

    Законодательные и административные меры для регулирования  вопросов защиты информации на государственном  уровне применяются в большинстве  научно-технически развитых стран мира. Компьютерные преступления приобрели в странах с развитой информационно-телекоммуникационной инфраструктурой такое широкое распространение, что для борьбы с ними в уголовное законодательство введены специальные статьи.

    Первый  закон о защите информации был  принят в Соединенных Штатах Америки в 1906 году. В настоящее время в США имеется около 500 законодательных актов по защите информации, ответственности за ее разглашение и компьютерные преступления. Проблемы информационной безопасности рассматриваются американской администрацией как один из ключевых элементов национальной безопасности. Национальная политика

    США в области защиты информации формируется  Агентством национальной безопасности (АНБ). При этом наиболее важные стратегические вопросы, определяющие национальную политику в данной сфере, как правило, решаются на уровне Совета национальной безопасности, а решения оформляются в виде директив Президента США. Среди таких  директив следует отметить следующие: директива PD/NSC-24 "Политика в области  защиты систем связи"

    (1977 год, Д. Картер), в которой впервые  подчеркивается необходимость защиты  важной несекретной информации  в обеспечении национальной безопасности; директива SDD-145 "Национальная  политика США в области безопасности  систем связи автоматизированных  информационных систем" (1984 год,  Р. Рейган), которая стала юридической  основой для возложения на  АНБ функции по защите информации  и контролю за безопасностью не только в каналах связи, но и в вычислительных и сложных информационно-телекоммуникацион-ных системах.

    В период с 1967 года по настоящее время  в США принят целый ряд федеральных  законов, создавших правовую основу для формирования и проведения единой государственной политики в области  информатизации и защиты информации с учетом интересов национальной безопасности страны.

    Это законы "О свободе информации" (1967 год), "О секретности" (1974 год), "О праве на финансовую секретность" (1978 год), "О доступе к информации о деятельности ЦРУ" (1984 год), "О  компьютерных злоупотреблениях и мошенничестве" (1986 год), "О безопасности компьютерных систем" (1987 год) и некоторые другие.

    Во  Франции государственному контролю подлежат изготовление, экспорт и  использование шифровального оборудования. Экспорт возможен только с разрешения Премьер-министра страны, выдаваемого  после консультаций со специальным  комитетом по военному оборудованию. Импорт шифровальных средств на территорию Французской республики вообще запрещен. Закон объявляет экспорт и  снабжение криптографическими средствами без специального разрешения преступлением, которое наказывается штрафом в размере до 500 000 евро или тюремным заключением на срок от 1 до 3 месяцев.

    Нормы и требования российского законодательства включают в себя положения ряда нормативных  актов Российской Федерации различного уровня.

    19 февраля 1993 года Верховным Советом  Российской Федерации был принят  закон "О федеральных органах  правительственной связи и информации" N

    4524-1. Статья 11 данного закона предоставила  Федеральному агентству права  по определению порядка разработки, производства, реализации, эксплуатации  шифровальных средств, предоставления  услуг в области шифрования  информации, а также порядка проведения  работ по выявлению электронных  устройств перехвата информации  в технических средствах и  помещениях государственных структур. Таким образом, закон Российской Федерации "О федеральных органах правительственной связи и информации" является первым собственно российским правовым нормативным актом, который вводит сертификацию в области защиты информации и дата его принятия - 19 февраля 1996г. - является исходной точкой от которой необходимо вести отсчет ограничения прав на занятие предпринимательской деятельностью.

    Новым шагом в деле правового обеспечения  деятельности в области защиты информации явилось принятие Федеральным собранием  России Федерального закона "Об информации, информатизации и защите информации" от 20.02.95

    N 24-ФЗ. Данный закон впервые официально  вводит понятие

    "конфиденциальной  информации", которая рассматривается  как документированная информация, доступ к которой ограничивается  в соответствии с законодательством  Российской Федерации, и устанавливает  общие правовые требования к  организации защиты такой информации  в процессе ее обработки, хранения  и циркуляции в технических  устройствах и информационных  и телекоммуникационных системах  и комплексах и организации  контроля за осуществлением мероприятий  по защите конфиденциальной информации. При этом следует подчеркнуть,  что Закон не разделяет государственную  и частную информацию как объект  защиты в том случае, если доступ  к ней ограничивается.

    Кроме того, закон определяет на государственно-правовом уровне электронную цифровую подпись  как средство защиты информации от несанкционированного искажения, подмены (имитозащиты) и подтверждения подлинности отправителя и получателя информации (аутентификации сторон). В соответствии со статьей 5 "юридическая сила документа, хранимого, обрабатываемого и передаваемого с помощью автоматизированных информационных и телекоммуникационных систем, может подтверждаться электронной цифровой подписью". При этом "юридическая сила электронной цифровой подписи признается при наличии в автоматизированной системе программно-технических средств, обеспечивающих идентификацию подписи, и соблюдении установленного режима их использования". Далее закон раскрывает требования, предъявляемые к специализированным программно-техническим средствам, реализующим электронную цифровую подпись, и порядку их использования в информационно-телекоммуникационных системах.