Назначение, виды, структура и технология функционирования системы защиты информации в архиве социально-правовых документов

44

Назначение, виды, структура и технология функционирования системы защиты информации в

архиве социально-правовых документов города агрыза рт

ОГЛАВЛЕНИЕ

ВВЕДЕНИЕ

1. Конфиденциальность информации

2. Понятие и элементы системы защиты информации

3. Анализ системы защиты информации в учреждении

Краткая характеристика учреждения

Элементы концептуальной модели ИБ архива

Направления защиты конфиденциальной информации архива

3.3.1.Правовая защита

ВЫВОД

3.3.2.Организационная защита

ВЫВОД

3.3.3.Инженерно-техническая защита

ВЫВОД

3.3.4.Программно-аппаратная защита

ВЫВОД

Предложения по дополнению СЗИ архива

ЗАКЛЮЧЕНИЕ

СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ литературы

ПРИЛОЖЕНИЯ

ВВЕДЕНИЕ

Обеспечение информационной безопасности учреждения становится все сложнее, так как распространение получил процесс внедрения информационных технологий в управление. В свою очередь, информационная безопасность предполагает поддержание в актуальном состоянии информационных ресурсов учреждения.

Тема данной курсовой работы посвящена системе защиты информации архива социально-правовых документов в городе Агрызе РТ. Данное учреждение хранит социально - правовые документы и документы по личному составу ликвидированных организаций. Вопрос защиты конфиденциальной информации и обеспечения сохранности документов, в которых такая информация закреплена, является для архива очень важным и актуальным. В архив ежедневно обращается большое количество людей, чтобы подтвердить свой стаж, размер заработной платы за определенный период, факты награждения и т.д. Для исполнения таких запросов используются хранящиеся в архиве документы. Поэтому так важно обеспечить их сохранность (не только самих физических носителей, но и также персональных данных закрепленных на них) от различного рода угроз. Помимо хранящихся документов, в архиве имеется внутренние документы, также содержащие конфиденциальную информацию.

Цель работы: анализ и оценка СЗИ в архиве.

Объект исследования: СЗИ архива.

Предмет исследования: информационная безопасность архива.

Для достижения поставленной цели определены следующие задачи:

1. В теоретической части работы представить материал для раскрытия сущности выбранной темы: дать понятие конфиденциальности информации и СЗИ, рассмотреть элементы СЗИ, представить наиболее распространенные угрозы КИ и т.д.;

2. В практической части работы проанализировать СЗИ архива, для этого:

представить краткую характеристику и структуру архива, определить конфиденциальную информацию архива, разобрать концептуальную модель безопасности архива, выявить возможные угрозы КИ, проанализировать направления защиты информации архива;

3. Представить предложения по совершенствованию действующей СЗИ архива.

Для эффективного достижения цели и решения задач были изучены законодательные акты, нормативно-методические документы в области защиты информации, документы архивной отрасли, локальные нормативные акты архива и специальные источники. Специальные источники представлены изданиями и статьями известных специалистов и исследователей в области защиты информации. В статьях Н.В. Столярова дается четкое понятие СЗИ и изложены рекомендации по построению организационной защиты конфиденциальной информации.

В издании профессора В.И. Ярочкина изложен теоретический материал по построению комплексной СЗИ, сделан акцент на важных моментах и в конце каждого раздела сделаны краткие выводы. В издании Е.А. Степанова и И.К. Корнеева подробно изложены направления защиты информации и рекомендации по организации работы с персоналом фирмы для обеспечения информационной безопасности учреждения.

Полный перечень использованных источников представлен в соответствующем разделе.

1. Конфиденциальность информации

Понятие конфиденциальности информации закреплено в ФЗ «Об информации, информационных технологиях и о защите информации» и определяется как обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя. Сведения, которые относятся к конфиденциальным, определены Перечнем сведений конфиденциального характера, утвержденного Указом Президента РФ.

Информационные ресурсы

Персональные данные - сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность, за исключением сведений, подлежащих распространению в СМИ в установленном порядке.

Судебно-следственная информация - сведения, составляющие тайну следствия и судопроизводства.

Служебная тайна - служебные сведения, доступ к которым органичен органами государственной власти.

Профессиональная тайна - сведения, связанные с профессиональной деятельностью, доступ к которым ограничен законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных и иных сообщений и др.).

Коммерческая тайна - сведения, связанные с коммерческой деятельностью, доступ к которым ограничен законами.

Производственная тайна - сведения о сущности изобретения полезной модели или промышленного образца до официальной публикации информации о них.

Таким образом, конфиденциальной информацией является информация, доступ к которой ограничен в соответствии с действующим законодательством РФ, не являющаяся государственной тайной.

2. Понятие и элеметы системы защиты информации

Для защиты конфиденциальной информации на предприятии разрабатывается СЗИ. Система защиты информации -- рациональная совокупность на-правлений, методов, средств и мероприятий, снижающих уязви-мость информации и препятствующих несанкционированно доступу к информации, ее разглашению или утечке. ГОСТ Р 50922-96 «Защита информации. Основные термины и определения» также закрепляет понятие СЗИ как совокупности органов и/или исполнителей, используемых ими техники защиты информации, а также объекты защиты, организованные и функционирующие по правилам, установленным соответствующими правовыми, организационно-распорядительными и нормативными документами по защите информации. В.И. Ярочкин дает следующее понятие СЗИ - «это организованная совокупность специальных органов, служб, средств, методов и мероприятий, обеспечивающих защиту жизненно важных интересов личности, предприятия, государства от внутренних и внешних угроз».

«Направления обеспечения информационной безопасности - это нормативно-правовые категории, ориентированные на обеспечение комплексной защиты информации от внутренних и внешних угроз». Ярочкин В.И. Информационная безопасность.-3-е изд.-М.: Академический Проект: Трикста.-2005.-С.29 Выделяют следующие элементы СЗИ:

n Правовой элемент - это специальные законы, другие нормативные акты, правила, процедуры и мероприятия. Обеспечивающие защиту информации на правовой основе;

n Организационный элемент - включает регламентацию производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающую или ослабляющую нанесение, какого - либо ущерба исполнителям;

n Инженерно-технический элемент - это использование различных технических средств, препятствующих нанесению ущерба защищаемой информации;

n Программно-аппаратный и криптографический элемент.

Рассмотрим подробнее сущность каждого из элементов.

2.1. Правовой элемент

Оределяется международными договорами и конвенциями. На государственном уровне правовая защита характеризуется государственными и ведомственными актами. Условно правовые акты, ориентированные на правовую защиту информации можно разделить на семь групп.

1. Конституционные законы, которые содержат нормы, касающиеся вопросов информатизации и защиты информации, и входят как составные элементы.

2. Общие законы, кодексы включают нормы по вопросам информатизации и информационной безопасности, например, Концепция национальной безопасности РФ, утв. Указом Президента РФ от 10.01.2000 г. № 24, в которой сформулированы важнейшие направления государственной политики РФ, в том числе касающиеся информационной сферы;

3. Законы об организации управления, касающиеся отдельных отраслей экономики, системы государственных органов и определяющие их статус.

4. Специальные законы. В их число, например, входит ФЗ РФ «Об информации, информационных технологиях и о защите информации». Данные законы создают специальное законодательство, которое является основой правового регулирования информационной безопасности.

5. Законодательство субъектов РФ, которое касается вопросов защиты информации;

6. Подзаконные нормативно-правовые акты по защите информации, например, Доктрина информационной безопасности, утв. Президентом РФ, которая служит основой для формирования государственной политики в области обеспечения информационной безопасности РФ и для подготовки предложений по совершенствованию правового, методического, научно-технического организационного обеспечения информационной безопасности.

7. Правоохранительное законодательство РФ. Оно содержит нормы об ответственности за правонарушения в области информатизации.

Основой правового регулирования в области защиты информации является специальное законодательство. Особую роль в нем играет ФЗ «Об информации, информационных технологиях и о защите информации», который регулирует отношения, возникающие при:

- обеспечении защиты информации.

- осуществлении права на поиск, получение, передачу, производство и распространение информации;

- применении информационных технологий;

В этом законе информация рассматривается как объект правовых отношений, дается понятие конфиденциальности информации, общедоступной информации и информации ограниченного доступа. В ст. 16 говорится, что защита информации представляет собой принятие правовых, организационных и технических мер, направленных на обеспечение защиты информации. Кроме того, данным законом устанавливается ответственность за правонарушения в сфере информации, информационных технологий и защиты информации.

Не менее важным законом в области защиты информации является ФЗ «О правовой охране топологии интегральных микросхем» и «О правовой охране программ для ЭВМ и баз данных». Они устанавливают охрану соответствующих объектов с помощью норм авторского права наряду с традиционными базами данных топологии интегральных микросхем и программы для ЭВМ. Уголовный кодекс РФ предусматривает в ст. 272-274 ответственность за неправомерный доступ к информации; создание, использование и распространение вредоносных программ для ЭВМ; нарушение правил эксплуатации ЭВМ, систем ЭВМ или их сетей. Указ Президента РФ от 06.03.97 № 188 закрепляет содержание конфиденциальной информации.

Что касается установления правового режима информации с ограниченным доступом, то необходимо отметить, что данным вопросам посвящены федеральные законы о государственной и коммерческой тайнах или ФЗ «О персональных данных». Кроме того, этот аспект раскрывается ст. 139 Гражданского кодекса РФ, в которой говорится, что:

- Информация составляет служебную или коммерческую тайну в случае, когда информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании, и обладатель информации принимает меры к охране ее конфиденциальности. Сведения, которые не могут составлять служебную или коммерческую тайну, определяются законом и иными правовыми актами.

- Информация, составляющая служебную или коммерческую тайну, защищается способами, предусмотренными законодательством.

Также эта статья определяет ответственность за несанкционированное получение информации или причинение ущерба.

Кодекс об административных правонарушениях в ст.13.12-13.14 и 23.45, 23.46 устанавливает ответственность за нарушение правил защиты информации, осуществление незаконной деятельности в области защиты информации, разглашение информации с ограниченным доступом, а также закрепляет перечень органов, осуществляющих контроль за обеспечением защиты государственной тайны. аким образом, правовая защита информации представляет собой комплекс законодательных актов от Конституции РФ до локальных актов, создаваемых в отдельной организации.

Еще одним сравнительно новым направлением правовой защиты является страховое обеспечение. Оно предназначено для защиты собственника информации и средств ее обработки, как от традиционных угроз (кражи, стихийных бедствий), так и угроз, возникающих в ходе работы с информацией. К ним относятся разглашение, утечка и несанкционированный доступ к конфиденциальной информации. Отношения, возникающие при страховой защите юридических и физических лиц от страховых рисков, регулируются ФЗ «О страховании».

ФЗ «О связи» устанавливает правовые основы деятельности в области связи на территории Российской Федерации и на находящихся под юрисдикцией Российской Федерации территориях. Определяет полномочия органов государственной власти в области связи, а также права и обязанности лиц, участвующих в указанной деятельности или пользующихся услугами связи.

ФЗ «О безопасности» закрепляет правовые основы обеспечения безопасности личности, общества и государства, определяет систему безопасности и ее функции, устанавливает порядок организации и финансирования органов обеспечения безопасности, а также контроля и надзора за законностью их деятельности. Кроме того, данный закон закрепляет понятие безопасности и угрозы безопасности, приводит элементы системы безопасности РФ и т. д.;

ФЗ «О пожарной безопасности», который определяет общие правовые, экономические и социальные основы обеспечения пожарной безопасности в Российской Федерации

Действия по защите информации от несанкционированного доступа (НСД) регламентируют такие подзаконные акты, как:

- Постановление Правительства РФ от 15.09.93 № 912-51 «Положение о государственной системе защиты информации от иностранной технической разведки и от утечки по техническим каналам»;

- Указ Президента РФ «О создании государственной технической комиссии при Президенте РФ» от 05.01.92 № 9;

- Указ Президента РФ «О защите информационно-телекоммуникационных систем и баз данных от утечки конфиденциальной информации по техническим каналам связи» от 08.05.93 № 644;

- Указ Президента РФ «О мерах по соблюдению законности в области разработки производства, реализации и эксплуатации шифровальных средств, а также предоставлению услуг в области шифрования информации» от 03.04.95 № 334;

- Указ Президента РФ «Положение о государственной системе защиты информации в РФ».

Действия по защите информации от утечки по техническим каналам регламентируются документами:

- ГОСТ 29339 - 92 «Информационная технология. Защита информации от утечки за счет побочных электромагнитных излучений и наводок при ее обработке СВТ»;

- ГОСТ Р 50752 «Информационная технология. Защита информации от утечки за счет ПЭМИН при ее обработке СВТ. Методы испытаний»;

- Нормы эффективности и защиты АСУ и ЭВМ от утечки информации за счет ПЭМИН;

- Специальные требования и рекомендации по защите объектов ЭВТ II и Ш категорий от утечки информации за счет ПЭМИН.

Правовыми документами являются и государственные стандарты в области защиты информации:

- ГОСТ Р 50922-96 Защита информации. Основные термины и определения;

- ГОСТ Р 50739-95 Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования;

- ГОСТ Р 50739-95 «СВТ. Защита от НСД к информации»;

- ГОСТ 28147-89. Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования;

- ГОСТ 28689-90. Радиопомехи от ПЭВМ. Нормы и методы испытаний;

- ГОСТ 34.936-91. Информационная технология. ЛВС. Определение услуг уровня управления доступом;

- ГОСТ Р.50600-93. Защита секретной информации от технических разведок. Система документов. Общие положения;

- ГОСТ Р 34.10-94. Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки ЭЦП на базе асимметричного криптографического алгоритма;

- ГОСТ Р 34.11-94. Информационная технология. Криптографическая защита информации. Функция хэширования;

- ГОСТ Р 51188-98. Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство;

- ГОСТ Р 51275-99. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения;

- ГОСТ Р ИСО 7498-2-99. Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации;

- ГОСТ Р 51583-2000. Защита информации. Порядок создания АС в защищенном исполнении. Общие требования.

Опираясь на государственные правовые акты и учитывая ведомственные интересы, на уровне конкретной организации разрабатываются собственные локальные нормативные акты (ЛНА), ориентированные на обеспечение информационной безопасности, например:

- Положение о конфиденциальной информации;

- Инструкция по защите конфиденциальной информации;

- Перечень сведений, составляющих конфиденциальную информацию;

- Порядок работы с документами, содержащими конфиденциальную информацию;

- Обязательство сотрудника о неразглашении конфиденциальной информации;

- Памятка сотруднику о сохранении коммерческой тайны;

- Правила работы с посетителями организации и т.д.

Могут создаваться дополнительные ЛНА, наиболее полно учитывающие специфику деятельности организации.

2.2. рганизационный элемент

«Это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз». Там же, С. 49. Организационный элемент системы защиты информации содер-жит меры управленческого, ограничительного (режимного) и технологического характера, определяющие основы и содержание сис-темы защиты, побуждающие персонал соблюдать правила защиты конфиденциальной информации фирмы. Организационная защита выполняет функции по:

- организации охраны, режима, работу с кадрами, с документами;

- использование технических средств безопасности и информационно-аналитическую деятельность по выявлению внутренних и внешних угроз.

Организационный элемент СЗИ включает:

- организацию режима и охраны для исключения возможности тайного проникновения на территорию и в помещения посторонних лиц; организация и поддержание надежного пропускного режима и контроля сотрудников и посетителей;

- организацию работы с сотрудниками по обучению правилам работы с конфиденциальной информацией, ознакомление с мерами ответственности за нарушение правил защиты информации;

- организацию работы с документами, включая разработки и использование документов и носителей КИ, их учет, исполнение, возврат, хранение и уничтожение;

- организацию использования технических средств сбора, обработки, накопления и хранения КИ;

- регламентация разрешительной системы разграни-чения доступа персонала к защищаемой информации;

- организация ведения всех видов аналитической работы;

- регламентация действий персонала в экстремальных ситуациях;

- регламентация организационных вопросов защиты персональных компью-теров, информационных систем, локальных сетей;

- организация защиты информации - создание службы информационной безопасности или назначение ответственных сотрудников за защиту информации. Естественно организационные мероприятия должны четко планироваться, направляться и осуществляться службой информационной безопасности, в состав которой входят специалисты по безопасности.

Таким образом, организационной защиты является основным элементом комплексной СЗИ и во многом от того, каким образом реализован организационный элемент, зависит безопасности организации.

2.3. ИНЖЕНЕРНО-ТЕХНИЧЕСКИЙ ЭЛЕМЕНТ

Предназначен для пассивного и активного противодействия средствам технической разведки и формирования рубежей охра-ны территории, здания, помещений и оборудования с помощью комплексов технических средств. По функциональному назначению средства инженерно-технической защиты можно условно разделить:

- физические средства, включающие различные средства и сооружения, препятствующие физическому проникновению (доступу) злоумышленников на объекты защиты (территорию, в здание и помещения) и материальными носителями. Например, заборы, стальные двери, кодовые замки, сейфы и т. д.;

- средства защиты технических каналов утечки информации, возникающих при работе ЭВМ, средств связи, копироваль-ных аппаратов, принтеров, факсов и др. технических средств управления;

- средства обеспечения охраны территории, здания и помеще-ний (средства наблюдения, оповещения, сигнализации, информирования и идентификации);

- средства обнаружения приборов и устройств технической раз-ведки (подслушивающих и передающих устройств, тайно уста-новленной миниатюрной звукозаписывающей и телевизион-ной аппаратуры и т.п.);

- технические средства контроля, предотвращающие вынос пер-соналом из помещения специально маркированных предме-тов, документов, дискет, книг и т.п.

- средства противопожарной охраны;

- средства защиты помещений от визуальных способов техни-ческой разведки.

2.4. ПРОГРАММНО-АППАРАТНЫЙ ЭЛЕМЕНТ

Предназначен для защиты конфиденциальной информации, обрабатываемой и хранящейся в компьютерах, серверах и рабочих станциях ЛВС и различных информационных системах. «Аппаратные средства защиты информации представлены техническими устройствами, предназначенными для защиты информации от разглашения, утечки или несанкционированного доступа» Корнеев И.К., Степанов Е.А. Информационная безопасность и защита информации. - М.:ИНФОРА-М, 2001,-С.42. Аппаратные средства могут быть:

- средствами выявления;

- средствами защиты от несанкционированного доступа.

Программные средства защиты имеют следующие разновидности специальных программ:

- идентификации технических средств, файлов и аутентификации пользователей;

- регистрации и контроля работы технических средств и пользователей;

- обслуживания режимов обработки информации ограниченного пользования;

- защиты операционных средств ЭВМ и программ пользователей;

- уничтожения информации в защитные устройства после использования;

- сигнализирующих нарушения использования ресурсов;

- вспомогательных программ защиты различного назначения.

2.5. КРИПТОГРАФИЧЕСКИЙ ЭЛЕМЕНТ

Предназначен для защиты информации методом криптографии (шифрования). Составные части криптографической защиты, коды, пароли и другие ее атрибуты разрабатываются и меняются специализи-рованной организацией. Применение пользователями собствен-ных систем шифровки не допускается.

ВЫВОД: Структура СЗИ, её состав и содержа-ние элементов, их взаимосвязь зависят от объема и ценности за-щищаемой информации, характера возникающих угроз безопас-ности информации, требуемой надежности защиты и стоимости системы.

3. анализ Системы защиты информации в архиве.

3.1. КРАТКАЯ ХАРАКТЕРИСТИКА ОРГАНИЗАЦИИ

Деятельность учреждения, где проходила моя производственная практика, регламентируется Уставом. Архив был создан в целях оказания содействия в осуществлении социальной и правовой защиты граждан РФ, обеспечения сохранности социально-правовых документов, поступивших на хранение в учреждение в установленном порядке. Основной задачей - является комплектование учреждения документами долговременного срока хранения, имеющими социально-правовое значение для органов государственной власти, государственных учреждений, организаций и предприятий, созданных на базе имущества, находящегося в государственной собственности.

Основные функции архива:

- приему на хранение

- упорядочение социально-правовых документов и документов по личному составу, в соответствии с установленными требованиями

- исполнение запросов, поступающих от юридических и физических лиц, государственных органов и учреждений.

Графическая структура Архива представлена в разделе приложений, ее краткое описание содержится в этом пункте.

Директор архива - осуществляет общее руководство учреждением;

Заместитель директора /главный хранитель- выполняет все функции директора и несет ответственность в отсутствие директора;

Отдел информационно-поисковых систем И справочной работы - занимается исполнением запросов социально-правового характера, поступающих от физических и юридических лиц, государственных учреждений, иностранных организаций в структуру данного отдела входит Стол справок, который осуществляет прием и рассмотрение заявлений граждан.;

Отдел комплектования и обеспечения странности документов - осуществляет прием, сортировку поступивших на хранение документов, занимается оформлением дел, составлением описей дел. В состав отдела входит и хранилище архива, в котором содержатся документы, поступившие на хранение. Исходя из этого, еще одной функцией отдела является осуществление хранения документов и выемка запрошенных их хранилища дел;

Экспертно-методическая комиссия (ЭМК) - коллегиальный орган архива, который занимается рассмотрением вопросов, связанных с экспертизой ценности документов.

Согласно Штатному расписанию в состав архива входит 14 штатных единиц.

3.2. ЭЛЕМЕНТЫ Концептуальной модели информационной безопасности архива.

Рассмотрим данную модель применительно к архиву:

Объекты угроз конфиденциальной информации архива

Под объектом защиты («что защищать?») надо понимать комплекс физических, аппаратных, программных и документальных средств, предназначенных для сбора, передачи, обработки и хранения информации. Исходя из функций организации, можно установить какая информация (в том числе конфиденциальная) создается, обрабатывается, хранится в процессе ее деятельности. Далее будет представлен примерный перечень информации, которая является конфиденциальной.

n Сведения, составляющие персональные данные сотрудников архива. Персональные данные в законе определены как «информация, относящаяся к определенному или переделяемому на основании такой информации физическому лицу, в тома числе его фамилия, имя, отчество, год, месяц, дат и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация»;

n Сведения, составляющие персональные данные физических лиц, дела которых находятся на хранении в архиве.

Поскольку в архиве осуществляется прием на хранение, упорядочение социально-правовых документов и документов по личному составу ликвидированных организаций, понятно, что сотрудники архива непосредственно работают с персональными данными физических лиц. Сведения о личных доходах каждого работника архива;

n Сведения о технологии функционирования охранной и противопожарной системы архива;

n Данные бухгалтерского, налогового и управленческого учета;

n Плановые и фактические показатели финансово-хозяйственной деятельности архива;

n Сведения о состоянии программного и компьютерного обеспечения архива;

n Сведения о проведении, повестках дня и результатах служебных совещаний архива;

Данные сведения закреплены в соответствующих документах, представлены на определенных носителях. Кроме того, при обработке приведенных выше сведений применяются технические и программные средства записи, обработки, передачи и хранения информации. В этом случае количество объектов угроз значительно возрастает, к числу объектов угроз прибавляются носители информации, источники конфиденциальной информации. Понятно, что уничтожив носитель, будет уничтожена конфиденциальная информация, закрепленная на нем.

Источники конфиденциальной информации

Они также являются объектами угроз. К ним, прежде всего, относятся:

n Сотрудники архива, непосредственно работающие к КИ;

n Дела и документы, хранящиеся в архиве. К ним относятся документы по личному составу и социально-правовые документы: личные дела работников, приказы по личному составу (записки - приказы); личные карточки работников; лицевые счета (в виде табуляграмм); ведомости начисления заработной платы рабочим и служащим и т.д.;

n Документы, образующиеся в деятельности сотрудников архива при исполнении запросов социально-правового характера: анкеты-заявления (заявки) граждан; копии документов, удостоверяющих личность, трудовых книжек заявителей, архивные справки о трудовом стаже, о льготном стаже, о заработной плате, о награждении (черновики, проекты, отпуски), архивные копии, архивные выписки и сопроводительные письма к ним; карточки запросов; журнал регистрации отправки архивных справок;

n Документы по личному составу самого архива (личные дела сотрудников архива; приказы по личному составу и т.д.);

n Бухгалтерская документация (баланс архива, отчеты, подаваемые в налоговые органы, ведомости начисления заработной платы сотрудникам архива и т.д.);

n Документы, отражающие технологию функционирования охранной системы архива;

n Журнал регистрации отправки ответов на социально-правовые запросы;

n Автоматизированные базы данных архива (всего 8), которые используются при исполнении запросов:

- Две БД «НСА» (научно-справочный аппарат) - базы данных по личному составу Треста №17, 18;

- БД «Архивный фонд» - в ней содержатся личные карточки работников организаций, дела которых поступили на хранение в Архив;

- БД «Местонахождение документов по личному составу

- БД «Списки лиц, представленных к награждению знаком отличия» или «ПСС» (Победители социалистического соревнования);

- Учетная БД «Архивный фонд»

- БД «СИФ» (Справочно-информационный фонд)

- БД «Учет запросов социально-правового характера»;

n Персональные компьютеры работников архива (всего 7, шесть их которых подключены к ЛВС); копировальная техника; средства связи (мини-АТС). Особенностью защищаемого документа является то, что он представляет собой одновременно:

- массовый носитель ценной, защищаемой информации;

-основной источник накопления и объективного распространения этой информации, а также ее неправомерного разглашения или утечки;

- обязательный объект защиты.

Угрозы конфиденциальной информации архива

С понятием угрозы связан вопрос «от чего или от кого защищаться?». В этой связи необходимо отметить, что угрозы бывают, внутренние и внешние, преднамеренные и непреднамеренные, активные и пассивные.

Умышленными понимаются такие угрозы, которые обусловливаются злоумышленными действиями людей.

а) Нарушение конфиденциальности (случайное или преднамеренное)-разглашение (опубликование, передача, утрата, пересылка, негласное ознакомление с конфиденциальными сведениями третьих лиц), утечка, несанкционированный доступ злоумышленника или постороннего лица к документированной информации или к конфиденциальным сведениям, содержащимся в базах данных архива, в архивохранилище и как результат -- овла-дение информацией, хищение и противоправное ее использование.

б) Нарушение физической целостности - модификация, уничтожение, подделка, потери, ошибки;

в) Нарушение доступности - блокирование доступа к базам данных архива, в операционную систему, к файлам и папкам, содержащим конфиденциальную информацию, нарушение связи;

г) Нарушение достоверности - фальсификация, подделка, как всего документа, так и его части;

д) нарушение прав собственности на официальный документ (несанкционированное копирование, использование, искажение аутентичности, фотографирование, запись);

е) ввод в компьютерные системы разрушающих программных средств, компьютерных вирусов;

ж) блокирование доступа к базам данных архива

Естественные угрозы - угрозы, не зависящие от воли людей. К ним относятся:

а) несчастные случаи: пожары, аварии, взрывы;

б) стихийные бедствия: наводнения, ураганы, землетрясения;

в) ошибки в процессе обработки информации: сбои в работе технических и программных средствах; систем питания и жизнеобеспечения; ошибки пользователей (сотрудников архива);

г) естественное старение и разрушение носителей с закрепленной на них конфиденциальной информацией. В основном носитель информации рассматривается здесь неразрывно с самой конфиденциальной информации, поскольку разрушение носителя приведет к уничтожению информации. Защита от такого рода угроз для архивов очень актуальна, поскольку их основной функцией является обеспечение сохранности поступивших на хранение документов.

3.3.Направления защиты Конфеденциальной информации архива

3.3.1 Правовая защита информации

Как уже отмечалось в теоретической части работы, правовая защита информации представляет собой совокупность законодательных актов и нормативно-методических документов, касающиеся информационной безопасности. Что касается защиты информации архива, то помимо уже перечисленных в теоретической части правовых актов, сотрудники архива должны руководствоваться документами архивной отрасли. Поскольку рассматриваемый архив занимается обеспечением сохранности документов по личному составу ликвидированных организаций и к тому же исполняет социально-правовые запросы граждан, т.е. непосредственно работает с персональными данными.

Дело в том, что положения ФЗ «О персональных данных» в соответствии со ст. 2 не распространяются на отношения, возникающие при организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда РФ. В таком случае необходимо руководствоваться архивным законодательством. Положения данного закона, в частности применяются для документов по личному составу самого архива (кадровых документов).

В ФЗ «Об архивном деле в РФ» ст. 25 посвящена ограничению на доступ к архивным документам. В п.2 этой статьи говорится, что ограничивается доступ к архивным документам, независимо от их форма собственности, содержащим сведения, составляющие государственную и иную охраняемую законодательством РФ тайну. В нашем случае тайной являются персональные данные. Архивный документ - материальный носитель с зафиксированной на нём информацией, который имеет реквизиты, позволяющие его идентифицировать, и подлежит хранению в силу значимости указанных носителя и информации для граждан, общества и государства. Документы по личному составу - архивные документы, отражающие трудовые отношения работника с работодателем.

В соответствии с ст. 1.10 Временного Положения «О порядке доступа к архивным документам и правилах их использования» при использовании хранящихся в фондах учреждений или организаций личных документов и документов личного происхождения ограничивается доступ на 75 лет с момента создания к материалам, содержащим врачебные, адвокатские, нотариальные тайны, тайны личной жизни и здоровья, а также другие охраняемые законом права и интересы граждан.

Предоставление этих документов до истечения указанного срока возможно при согласии лица, информация о котором содержится в документе, или его прямых наследников.

Порядок исполнения запросов социально-правового характера с учетом работы с персональными данными закреплен в Правилах организации хранения, комплектования, учета и использования документов Архивного фонда РФ и других архивных документов в государственных и муниципальных архивах, музеях и библиотеках, организациях РАН. Помимо этого в данном документе содержатся пункты, содержащие комплекс мероприятий по созданию нормативных условий, соблюдению нормативных режимов и надлежащей организации хранения архивных документов, исключающих их хищение и утрату и обеспечивающих поддержание их в нормальном физическом состоянии, обеспечивает сохранность архивных документов в архиве. В частности, закреплены требования к зданиям и помещениям архива; к архивохранилищу; к противопожарному; охранному; температурно-влажностному; световому; санитарно гигиеническому режиму.

Отдельный пункт посвящен контрольным мероприятиям: проверке наличия и состоянию фондов архива, а также учету физического и технического состояния архивных документов.

На отраслевом уровне разработаны отдельные методические рекомендации, например, посвященные защите архивных документов от плесневых грибов. Ряд инструкций определяют порядок дезинфекции, дезинсекции, обеспыливания, влажной уборки архивохранилища и других профилактических мер по обеспечению сохранности документов.

Опираясь на данные правовые акты, локальном уровне в архиве разработаны собственные нормативно-правовые и методические документы по работе с документами, хранящимися в архиве.

Регламент доступа к документам, содержащим персональные данные. Данный регламент ограничивает доступ пользователей к документам, содержащим информацию о фактах, событиях и обстоятельствах частной жизни конкретного лица, если не истек срок в 75 лет с момента создания таких документов. К таким документам и делам относятся: личные, персональные, следственные, судебные дела, документы кадровых служб, персонифицированные материалы переписей, социологических и иных обследований, медицинская документация, личная переписка. Ограничения на доступ к документам, содержащим информацию о частной жизни граждан, устанавливаются при наборе персональных данных, в совокупности позволяющих идентифицировать личность. Ограничения на доступ к сведениям о частной жизни ранее 75-летнего срока снимаются в случае наличия письменного нотариально заверенного распоряжения субъекта персональных данных или его наследника третьему лицу на ознакомление с ними. Руководители, а также работники архива, осуществляющие комплектование, хранение и использование документов, содержащих сведения ограниченного доступа, обязаны обеспечить исполнение законодательства Российской Федерации по вопросам защиты конфиденциальной информации, а также режим доступа к документам, установленный фондообразователем или его правопреемником. Регламент состоит из следующих разделов:

1. Предмет регламента;

2. Понятие права на доступ к делам, содержащим персональные данные;

3. Субъекты, имеющие право на доступ к документам, содержащим персональные данные конфиденциального характера;

4. Установление режима конфиденциальности персональных данных

5. Документы, не подлежащие наложению режима конфиденциальности;

6. Порядок получения доступа к архивным документам, содержащим персональные данные, до окончания режима конфиденциальности;

7. Правила работы с документами, содержащими конфиденциальные персональные данные, после получения доступа;

8. Ответственность пользователей за нарушение правил доступа к документам, содержащим персональные данные и их использования;

9. Копирование документов, содержащих персональные данные.

В должностных инструкциях сотрудников архива содержится положение по работе с конфиденциальными сведениями и документами. Установлена ответственность при работе с документами ограниченного доступа:

«Сведения конфиденциального характера, ставшие известными работнику архива в силу его должностных обязанностей, не подлежат огласке либо незаконному использованию.

Не разрешается использовать в выступлениях в средствах массовой информации, лекциях, а также научной и преподавательской деятельности информацию ограниченного доступа, ставшую известной работнику архива в связи с выполнением им служебных обязанностей, а также прямо или косвенно использовать или передавать ее третьим лицам».

С должностной инструкцией сотрудника архива знакомят под расписку. Данный пункт по содержанию заменяет обязательство сотрудника архива о неразглашении конфиденциальной информации.

В архиве регулярно составляется и обновляется Список лиц, имеющих право доступа в архивохранилище.

Отметим также документы по организации противопожарной безопасности: Схема оповещения сотрудников архива о ЧС; Памятка сотрудникам архива о мерах пожарной безопасности; Схема расположения средств пожаротушения (закреплена на двери архивохранилица и дверях кабинетов), Порядок эвакуации людей в случае возникновения пожара, Инструкция по пожарной безопасности здания. Что касается документов, то в архиве существует Инструкция по эвакуации документов архива.

Схемы расположения и функционирования охранной и противопожарной систем также закреплены в специальных документах, доступ к которым ограничен.

Компьютеры Архива объединены в локально-вычислительную сеть, с этой целью разработана Инструкция по регламентации работы пользователей в ЛВС в процессе ее эксплуатации. Документ состоит из 3-х разделов: общие положения; порядок предоставления доступа к работе в ЛВС; требования по безопасности к пользователю ЛВС;

В архиве разработана Инструкция об охранном режиме архива.

ВЫВОД: правовая защита информации в архиве представлена рядом законодательных, отраслевых (архивных) и локальных актов самого Архива. В целом, можно сказать, что правовая защита информации существует, но требует внесения некоторых дополнений.

В данном учреждении в основном разрабатываются локальные нормативные акты по защите архивных документов, при этом упускается из виду документация по личному составу самого архива. Предложения по дополнению содержатся в разделе 5.

3.3.2. Организационная защита информации в архиве

Организационные меры являются решающим звеном формирования и реализации комплексной системы защиты информации. Организационные меры защиты отражены в нормативно-методических документах архива. Далее будут представлены и проанализированы те организационные мероприятия, которые ведутся в архиве.

n Организация режима и охраны. В архиве введен пропускной режим. У каждого сотрудника имеется свой постоянный пропуск. Практикантам выписывается временный пропуск без фотографии, в котором указана Ф.И.О. лица и период действия пропуска. Этот пропуск действителен только при предъявлении паспорта или иного документа, удостоверяющего личность. На входе сидит вахтер, который контролирует вход и выход людей из здания архива. Если посетитель пришел по конкретному вопросу или конкретному сотруднику, то вахтер по телефону связывается либо с директором архива, либо с сотрудником, к которому пришли. Необходимо отметить, что в здании кроме основного архива расположен еще один архив - Центр документации новейшей истории. В этот архив часто приходят исследователи, каждый пользователь имеет читательский билет, который предъявляет вахтеру при входе. Читальный зал находится рядом со «Столом справок» на первом этаже. В «Столе справок» осуществляется прием посетителей. Расположение данных кабинетов очень продуманно с точки зрения удобства и безопасности. Посетителю не нужно проходить во все здание, более того, проход к этим кабинетам находится в поле зрения вахтера. Если говорить о проведении экскурсий, то они проводятся в заранее оговоренное время в присутствии экскурсовода и др. сотрудников архива. Порядок хранения ключей от помещений архива в рабочее и нерабочее время, получения ключей, сдачи ключей и помещений под охрану устанавливается Инструкцией по охранному режиму архива.

n Организация приема посетителей. Как уже отмечалось, архив исполняет запросы социально-правового характера, поэтому предусмотрена работа с посетителями. Для этого предусмотрено отдельное помещение «Стол справок». Порядок приема посетителей закреплен в специальной инструкции. При непосредственном осуществлении приема, на рабочем столе сотрудника архива не должно быть никаких посторонних документов, кроме документов, касающихся самого посетителя. Монитор компьютера повернут от посетителя, поэтому с какими документами и базами данных ведет работу сотрудник ему не видно. Выдача архивных справок, архивных копий и выписок осуществляется под расписку при предъявлении паспорта или иного документа, удостоверяющего личность. Доверенным лицам - при предъявлении доверенности, удостоверенной нотариально. Супругам умерших граждан - при предъявлении свидетельства о смерти и свидетельства о заключении брака. После приема, все документы, касающиеся посетителя, помещаются в непрозрачную папку. Папки хранятся в запирающихся шкафах;

n Организация работы с документами, содержащими конфиденциальную информацию. 1) По исполнению социально-правовых запросов. После регистрации поступившего запроса, он попадает к исполнителю. Далее он осуществляет поиск нужных дел, в которых может содержаться интересующая информация. Для этого он оформляет заказ на выдачу дел. Заказ относит сотруднику архивохранилища, который осуществляет выемку заказываемых дел. В целях предупреждения потери или хищения дел из архивохранилища работа с выданными делами ведется в специальном помещении, примыкающем к архивохранилищу. Сотрудникам архива запрещено работать с делами в своих кабинетах, тем не менее, это правило часто нарушается и сотрудники берут дела с собой, уведомляя об этом хранителя. Дела выдаются под расписку сотрудникам на рабочий день. За 2 часа до окончания рабочего дня сотрудник обязан вернуть дела в архивохранилище. На место выданных дел помещается карта - заменитель дела. Для учета и контроля выданных дел сотрудником архивохранилища ведется Книга выдачи документов, копий фонда пользования из хранилища, которая имеет следующую форму:

№п/п	Датавыдачи	Фонд №___	Опись №___	Ед. р. №___	Комувыдано	Расписка в получении	Расписка о возвращении, дата	Примечания
1	2	3	4	5	6	7	8	9

После возвращения дел в архивохранилище в Книге делается соответствующая отметка (расписка о возвращении). На основе полученной информации составляются архивные справки. Для составления архивных справок предусмотрены бланки черновиков, которые уничтожаются посредством применения шредера. Таким же образом уничтожаются проекты архивных справок, в которых допущены ошибки. Отпуски с архивных справок помещаются в дело, которое хранится в запирающемся шкафу. По окончании рабочего дня исполнители собирают все документы, включая регистрационные формы в папки, и также помещают в запирающийся шкаф. Ключи от шкафов находятся у начальников структурных подразделений. Что касается ключей от кабинетов, то один экземпляр ключей хранится на вахте, один - у директора .

2) Работа с кадровой документацией ведется секретарем - машинисткой директора. Документы по личному составу архива хранятся в кабинете у директора в запирающемся шкафу. В своей работе секретарь руководствуется теми же правилами, что и исполнители запросов.

n Осуществляется также строгий учет изготовления копий документов. Для копирования документов необходимо оформить соответствующий заказ.

n В архиве отсутствует служба безопасности, поэтому комплекс функций по разработке документов в области защиты информации и осуществление мер, связанных с защитой информации осуществляется сотрудниками архива самостоятельно в пределах выполняемых функций. Например, сотрудники отдела информационно - поисковых систем и справочной работы разрабатывают документы по работе с запросами социально-правового характера, и вносят предложения в них касательно защиты информации. Сотрудники отдела комплектования и обеспечения сохранности документов, должны знать требования к хранению дел в архивохранилище, Бухгалтер архива ведет бухгалтерский учет и взаимодействует с налоговыми органами.

n Организация приема новых сотрудников архива на работу также предполагает проведение мероприятий по безопасности. Если сотрудник будет работать с конфиденциальными сведениями, то это оговаривается в его должностной инструкции, с которой он знакомится под расписку. Нового сотрудника также знакомят под расписку со всеми инструкциями по противопожарной безопасности, по порядку работы с документами, с БД архива, ЛВС, с техническими средствами и оговаривают ответственность за несоблюдение этих инструкций.

n Организация физической сохранности документов. Сотрудники отдела обеспечения сохранности документов создают условия для хранения. Кроме того, ими осуществляется проверка технического и физико-химического состояния архивных документов. Это заключается в поддержании оптимальной влажности и температуры воздуха, освещения. Для этого сотрудники регулярно должны делать замеры уровня влажности, температуры и поддерживать систему в требуемом состоянии. Кроме того, регулярно проводятся мероприятия по обнаружению и уничтожению (дезинфекция, дезинсекция) биологических вредителей. Два раза в неделю в архивохранилище проводится влажная уборка.

n Организация работ по противопожарной безопасности. Сотрудники архива должны быть под расписку ознакомлены с Инструкцией по пожарной безопасности. Регулярно проводятся инструктажи и учения. Каждый сотрудник должен знать схему расположения первичных средств пожаротушения, план эвакуации людей и документов.

n Отдельно необходимо отметить организацию уборки кабинетов архива. И здесь нужно сказать, что она осуществляется в присутствии работников архива.

n Организация опечатывания помещений и сейфов архива. Каждый сотрудник архива в конце рабочего дня опечатывает свой кабинет (кабинет директора, главного бухгалтера, кабинет отдела ИПС и СР и отдел Ки ОСД), кабинет для приема посетителей. Опечатыванию подлежат металлические шкафы и сейфы, где временно хранятся выданные из архивохранилищ архивные документы, учетные документы и научно-справочный аппарат, если они находятся в неопечатываемых помещениях. Все экземпляры ключей учитываются в Журнале регистрации ключей к замкам помещений архива, ведение которого приказом директора архива возлагается на ответственного сотрудника. В указанном журнале отмечается, у кого из работников архива имеются ключи от каждого из помещений, с распиской работника в получении экземпляра ключа.

n Организация составления и обновления Списка лиц, имеющих право доступа в архивохранилище».

n Касательно организации использования технических средств сбора, обработки, накопления и хранения конфиденциальной информации, то необходимо отметить, что согласно разработанным в архиве инструкциям каждый сотрудник архива, работая за компьютером, должен регистрироваться в операционной системе под своей учетной записью. При работе в ЛВС также должен использоваться свой пароль. Контроль за соблюдением этих и других правил работы с БД и ЛВС, а также техническими средствами осуществляет системный администратор.