Byte/RE ИТ-издание

Чтобы лучше защитить, надо точно разграничить

Дмитрий Костров,
директор службы информационной безопасности компании МТТ,
Cisco Certified Security Professional, Certified Information Systems Security
Professional
kostroff@mail.ru

В наши дни проблемы защиты конфиденциальной информации возникают все чаще и становятся все острее. Современная компания, желающая сохранить конкурентоспособность на рынке, должна уметь хранить свои секреты. Давно известно, что во многих фирмах существуют специальные подразделения экономической разведки (проще говоря, экономического шпионажа), задача которых — получить важную и полезную информацию о компаниях-конкурентах. Поэтому вряд ли найдется организация, не озабоченная вопросами своей информационной безопасности. А это значит, что такая организация вынуждена в немалом объеме проводить работы по защите конфиденциальной и иной "чувствительной" информации.

Как правило, на современном коммерческом предприятии разработан комплекс организационно-технических мероприятий по обеспечению информационной безопасности, и сотрудники должны неукоснительно ему следовать. В "правильной" организации обычно существуют "Концепция информационной безопасности" (рис. 1) — основополагающий документ, а также дополнительные требования и положения по информационной безопасности (политика, правила, стандарты, инструкции, процедуры).

Fig.1 Рис. 1. Политика безопасности.


Принципы разграничения

Классификация информации преследует следующие цели. Первая — показать отношение организации к защите информации и помочь сотрудникам определить, какие данные важны для предприятия, потеря каких документов может иметь серьезные последствия, вплоть даже до краха компании. Во-вторых, подобное структурирование обеспечивает соблюдение принципов конфиденциальности, целостности и доступности информации. И, наконец, классификация помогает определить необходимый и достаточный уровень защиты для каждого вида информации.

На наш взгляд, при разграничении информации должен соблюдаться базовый принцип
классификации — степень "чувствительности" владельца информации к ее потере
или раскрытию. Однако в настоящее время единого подхода к данной проблеме в
нашей стране, к сожалению, не существует. По данным автора, в России применяются
три способа классификации. Первый заключается в попытке заимствовать принципы
разграничения старых времен, т. е. ввести для коммерческого предприятия уровни
конфиденциальности, принятые на госпредприятиях "эпохи развитого социализма":
"для служебного пользования", "секретно", "совершенно секретно". Второй способ
— простой (или адаптированный к нашим условиям) перенос подходов, принятых в
США (см. врезку "Классификация информации в США") и странах Западной Европы.
Этот метод разграничения часто используют фирмы, представляющие собой бывшие
филиалы зарубежных компаний. Третий принцип классификации — согласно действующему
в России законодательству. К сожалению, до введения в действие закона "О коммерческой
тайне" реализация данного способа вызывает определенные затруднения даже у известных
юристов. В данной статье мы рассмотрим один из подходов, где используется третий
способ классификации.

 

Классификация информации в США

Государственное предприятие Частное предприятие
Неклассифицированная Открытая
Чувствительная, но не классифицированная (SBU) Чувствительная
Конфиденциальная Приватная
Секретная Конфиденциальная
Совершенно секретная  

К типу SBU относится информация, содержащая врачебную тайну, а к типу
"Совершенно секретная" — затрагивающая национальные интересы США. К типу
"Приватная" причисляется вся информация о продажах фирмы, а информация
о новых продуктах и услугах и о переговорах с потенциальными клиентами
— к типу "Конфиденциальная".

Наша информация — наши правила

Немало статей, написанных специалистами в юриспруденции, посвящено вопросам разделения информации по грифам согласно действующему законодательству, однако практически все авторы сходятся в одном: существующих юридических норм недостаточно для точного и однозначного разграничения и классификации данных. Данный факт, как и следовало ожидать, породил несколько различных схем деления.

Учитывая нормы действующего законодательства РФ, попытаемся формализовать схему разграничения информации по уровням. Первичное понятие — "открытая информация" (ОИ). Далее, если двигаться вверх по шкале ценности информации и, следовательно, усиливать требования к ее защите, находится информация "для внутреннего использования" (ДВИ). И, наконец, на самом высоком уровне находится "конфиденциальная информация" (КИ). При этом следует заметить, что право присваивать информации какой-либо гриф, а также определять перечень и ее состав принадлежит обладателю данной информации.

Следующей задачей, которую следует решить в организационном плане, становится поэтапное проведение классификации информации. На первом этапе необходимо определить администратора или хранителя информации. Мы еще поговорим о том, кто в компании может выступать в качестве администратора или хранителя. После этого следует выбрать критерии, по которым будет проводиться собственно классификация. В частности, можно использовать следующие критерии: стоимость информации для компании, время продления грифа информации (ее жизненный цикл), время обновления информации или замены ее на новую. При этом не стоит забывать о персональной информации, которую также необходимо классифицировать. И, наконец, последний этап — собственно классификация информации ее владельцем, который обладает необходимыми полномочиями. Здесь следует подчеркнуть, что любые исключения из политики классификации должны быть специфицированы и документированы.

Существенный элемент всего процесса — создание плана периодического контроля за процессом классификации. Еще один очень важный организационный момент — выработка правил контроля за каждым из уровней информации. Здесь следует указать, какие меры защиты необходимы и достаточны для каждого из предопределенных уровней безопасности.

Не менее важна и спецификация процедур по снятию грифов с информации. Естественно, информация не может быть постоянно "суперконфиденциальной", спустя некоторое время или после каких-то событий она может считаться открытой. В качестве примера возьмем необходимость скрывать новые маркетинговые решения компании (гриф "коммерческая тайна") — после официального опубликования этой информации (например, новых тарифных планов) она, естественно, переводится в разряд открытой.

Роли и исполнители

Ключевой вопрос в классификации информации — кто и за что отвечает. Ведь информация, созданная одним сотрудником, может обрабатываться не только ее владельцем. Владельцем же можно назвать лишь того, кто отвечает за ценность информации. Он ответственен за первоначальную классификацию информации, периодический пересмотр ее грифа, а также за делегирование полномочий по хранению ответственному. В свою очередь, ответственный (хранитель) отвечает за хранение информации. Обычно эту роль играет ИТ-персонал. В обязанности хранителя входит периодическое резервное копирование информации с различными грифами, выполнение работ по восстановлению данных с резервной копии (при необходимости), поддержка записей в соответствии с установленной классификационной политикой.

Существуют еще и пользователи классифицированной информации — работающие с ней сотрудники компании. Пользователь отвечает за выполнение политики обеспечения безопасности согласно установленному регламенту, за защиту информации от посторонних лиц (не допущенных к работе с информацией с данным грифом), а также за то, чтобы компьютерные ресурсы компании использовались только для производственных нужд.

Информационное триединство

В документах по информационной безопасности должны быть определены и три базовых понятия, применимых к данным с любым грифом: конфиденциальность, целостность и доступность (рис. 2).

Fig.2 Рис. 2. Принципы обеспечения безопасности.


Конфиденциальной считается информация, не доступная или не раскрываемая лицам, объектам или процессам, не имеющим на это санкции. Под целостностью понимается непротиворечивость (неизменность) наиболее важных характеристик элементов компьютерной сети (пример — параметры конфигурационных файлов маршрутизаторов, коммутаторов и межсетевых экранов), невозможность несанкционированной модификации внешнего и внутреннего представления данных пользователями и процессами, а также так называемая сходимость данных. Принцип доступности — это возможность получения доступа к данным в тот момент, когда они нужны легальным пользователям. Доступность гарантирует, что система работает нормально в тот момент, когда ее ресурсы необходимы, а также что сервисы безопасности, которые нужны администратору, работают в заданном режиме.

Но есть и "оборотная сторона медали" (рис. 3) — столь же известные подходы к вскрытию информации, ее разрушению и т. п. Именно с ними должны бороться специалисты в области защиты информации. Эти принципы прямо противоположны принципам обеспечения безопасности.

Fig.3 Рис. 3. Принципы антибезопасности.


Работа "в открытую"

К грифу "открытая информация" можно отнести следующие типы данных: документы, подписанные руководством, для передачи вовне (для конференций, презентаций и т. п.); данные, полученные из внешних открытых источников (Интернет, периодические издания). К открытой информации относится также информация, размещенная на внешнем Web-сайте компании.

Многие считают, что защищать открытую информацию не имеет смысла. Однако это
не так: к ней следует применять меры, гарантирующие сохранение ее целостности
и доступности. Подтверждением данного тезиса может служить реальный факт, связанный
с подменой первой страницы Web-сайта компании, — такая атака может повлечь за
собой как минимум подрыв доверия к фирме (см. врезку "Очередная атака хакеров".)

Очередная атака хакеров

В ночь с 10 на 11 мая 2001 г. хакеры, вероятно, работающие в компании
Pasific Bell (телефонный оператор и Интернет-провайдер на тихоокеанском
побережье США), атаковали локальную сеть администрации города Х. Жертвой
был выбран сайт, первая страница которого была заменена на другую, содержащую
ругательства в адрес правительства США. Сайт находился в нерабочем состоянии
весь следующий день.

Специалисты проанализировали сценарий атаки. Хакеры использовали возможность
сервера запускать исполняемые файлы и удаленно запустили на нем загружаемую
в память программу, размножающую вредные странички по всем каталогам,
начиная с корня, к которым программа нашла доступ.

Из новостной ленты

Для внутреннего пользования

Информация уровня "для внутреннего пользования" — это любые данные, с которыми сотрудники работают внутри своих подразделений или тематических рабочих групп, необходимые для нормального производственного процесса. Эти данные могут быть результатом работ с информацией из открытых источников (пример: дайджест новостей по телекоммуникационному рынку для руководства); они могут циркулировать между подразделениями и не относятся ни к конфиденциальной, ни к открытой информации.

Как правило, к ДВИ причисляют всю внутреннюю информацию, циркулирующую в сети компании, потеря которой не влечет за собой губительных последствий для бизнеса. Для обеспечения безопасности ДВИ следует применять меры, гарантирующие сохранение ее целостности и доступности, а также конфиденциальности в случае выхода этих данных за пределы локальной сети компании.

Тайное и секретное

Теперь обсудим самый интересный уровень — "конфиденциальная информация". Информация такого уровня определяется нормативными документами РФ как "документированная информация, доступ к которой ограничен в соответствии с законодательством Российской Федерации, а ее разглашение влечет за собой нанесение ущерба интересам или правам ее законного владельца" (см. врезку "Перечень сведений конфиденциального характера").

Документированная информация (документ) определена как зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать. Безусловно, для обеспечения безопасности КИ следует применять меры, гарантирующие сохранение и ее целостности, и доступности, и конфиденциальности.

Здесь необходимо отметить важный момент: если в компании нет системы обеспечения
защиты информации конфиденциального характера, требовать от сотрудников защищать
КИ, а тем более привлечь к ответственности сотрудников, утративших ее, практически
невозможно.

Перечень сведений конфиденциального характера

Согласно Указу Президента РФ No 188, к таким сведениям относятся:

1. Сведения о фактах, событиях и обстоятельствах частной жизни гражданина,
позволяющие идентифицировать его личность (персональные данные), за исключением
сведений, подлежащих распространению в средствах массовой информации в
установленных федеральными законами случаях.

2. Сведения, составляющие тайну следствия и судопроизводства.

3. Служебные сведения, доступ к которым ограничен органами государственной
власти в соответствии с Гражданским кодексом Российской Федерации и федеральными
законами (служебная тайна).

4. Сведения, связанные с профессиональной деятельностью, доступ к которым
ограничен в соответствии с Конституцией Российской Федерации и федеральными
законами (врачебная, нотариальная, адвокатская тайна, тайна переписки,
телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений
и так далее).

5. Сведения, связанные с коммерческой деятельностью, доступ к которым
ограничен в соответствии с Гражданским кодексом Российской Федерации и
федеральными законами (коммерческая тайна).

6. Сведения о сущности изобретения, полезной модели или промышленного
образца до официальной публикации информации о них.

Категории конфиденциальности

В современной компании конфиденциальная информация может подразделяться на следующие категории:

  • персональные данные;
  • служебная информация;
  • информация, содержащая коммерческую тайну;
  • информация, представляющая собой профессиональную тайну.

Персональные данные

Персональные данные — это сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность. Обычно это информация, необходимая фирме в связи с трудовыми отношениями и касающаяся конкретного работника. При этом персональные данные очень часто хранятся и в картотеке служб безопасности. Не секрет, что о сотрудниках компаний обычно собираются данные, излишние с точки зрения требований трудового законодательства, но достаточные для служб безопасности. В компании они хранятся в различных базах данных, а компьютеры, на которых установлены эти базы, включены в корпоративную сеть. Однако о повышенном уровне безопасности таких баз данных задумываются не все. Руководству компании необходимо учитывать, что любая организация в соответствии с законодательством РФ несет ответственность перед служащими за нарушение режима защиты, обработки и порядка использования этой информации.

Служебная информация

К такой информации относятся служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом РФ и федеральными законами. По сути, это данные органов государственной власти, которые они передают в коммерческие структуры. Присвоение информации грифа "служебная" осуществляется только органами государственной власти. Защита служебной тайны, например, для отрасли связи РФ определена приказом Министерства РФ по связи и информатизации № 62 от 20.05.2003 г. "О введении в действие СТР-К". При этом если в компанию пришло письмо с подобным грифом из органов исполнительной власти, ответственности за сохранность этого письма (если в компании нет и не было специального подразделения и требований по защите информации данного уровня) она не несет. Орган исполнительной власти перед тем, как направлять письмо (документ) с данным грифом, должен удостовериться, что в компании принимаются необходимые и достаточные меры для сохранности информации с грифом "для служебного пользования" и есть режимно-секретный орган (РСО).

Коммерческая тайна

И, наконец, самый интересный гриф информации конфиденциального характера — коммерческая тайна. Это данные, не являющиеся государственными секретами, но связанные с производственной, технической, технологической информацией, управлением финансовой и другой деятельностью предприятия, разглашение (передача, утечка) которых может нанести ущерб его интересам.

К сожалению, закон "О коммерческой тайне", который помог бы расставить все по местам, до сих пор не принят. Цель этого законопроекта, как указано в его п. 1 ст. 1, — "предупреждение недобросовестной конкуренции и обеспечение условий для создания и эффективного функционирования рынков товаров и услуг в Российской Федерации". Иначе говоря, закон призван установить баланс между интересами хозяйствующих субъектов, общества и государства. Он строго регламентирует вмешательство в деятельность предприятий, с одной стороны, и обеспечивает защиту общества от необоснованного ограничения предприятиями доступа к информации о своей деятельности — с другой.

Необходимо отметить, что положения проекта основаны на нормах п. 2 ст. 34 Конституции Российской Федерации, в соответствии с которыми "не допускается экономическая деятельность, направленная на монополизацию и недобросовестную конкуренцию". Другим конституционным основанием закона выступают нормы (п. 1 ст. 44), направленные на защиту свободы творчества и интеллектуальной собственности. Указанный законопроект также развивает статью Гражданского кодекса (ст. 139) о служебной и коммерческой тайне.

Поскольку пока данный закон не принят, попробуем описать требования к информации, составляющей коммерческую тайну, исходя из материалов законопроекта.

К коммерческой тайне может относиться научно-техническая, технологическая, производственная информация, в том числе производственные секреты (ноу-хау), финансово-экономические и иные сведения, имеющие действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым нет свободного доступа на законном основании и для охраны конфиденциальности которых владелец данной информации определил перечень информации, составляющей коммерческую тайну, затем ограничил свободный доступ к данной информации путем установления порядка обращения с этой информацией и контроля за его соблюдением. Владелец информации должен документально и законодательно урегулировать отношения с работниками и контрагентами по вопросам условий передачи и использования информации, составляющей коммерческую тайну. Немаловажно, чтобы владелец (обычно это делает РСО) нанес на материальные носители информации, составляющей коммерческую тайну, и/или сопроводительные документы гриф "Коммерческая тайна" с указанием ее владельца. Режим соблюдения коммерческой тайны при работе с информацией считается установленным после принятия владельцем коммерческой тайны указанных мер.

Основные объекты информации, относящейся к коммерческой тайне на современном коммерческом предприятии, — это сведения об отношениях с другими фирмами, переписка и переговоры между сторонами или материалы о заключении сделок. Существуют и признаки информации, составляющей коммерческую тайну, которые проявляются при ее разглашении. В первую очередь это возможность нанесения экономического ущерба компании и возникновения у компании убытков в виде упущенной выгоды. Кроме того, к таким признакам можно отнести снижение экономической и технической эффективности деятельности компании.

При разглашении сведений, составляющих коммерческую тайну, возможно и нанесение компании морального ущерба, дискредитации ее как добросовестного, надежного партнера, а также нанесение ущерба престижу и репутации партнера, с которым заключается или осуществлена коммерческая сделка (например, в случае операторов связи это разглашение сведений об абонентах).

Следует отметить, что одна и та же информация, правомерно полученная или самостоятельно созданная разными лицами, может составлять коммерческую тайну, одновременно принадлежащую каждому такому лицу.

Профессиональная тайна

Еще один подвид конфиденциальной информации — профессиональная тайна, к которой можно отнести данные медицинских книжек, сведения, полученные адвокатами, и т. п. Другими словами, это связанная с определенными видами профессиональной деятельности информация, доступ к которой ограничен в соответствии с Конституцией РФ и федеральными законами. Например, для компаний, занимающихся предоставлением услуг связи, к профессиональной тайне относятся сведения об операторах связи и иных клиентах, которые передаются и обрабатываются в информационно-телекоммуникационных ресурсах компании.

Вам также могут понравиться