Во время проведения конфиденциальных мероприятий запрещается использование в защищаемом помещении радиотелефонов, оконечных устройств сотовой, пейджинговой и транкинговой связи, переносных магнитофонов и других средств аудио и видеозаписи. При установке в ВП(ЗП) телефонных и факсимильных аппаратов с автоответчиком или спикерфоном, а также аппаратов с автоматическим определителем номера, следует отключать их из сети на время проведения этих мероприятий.
Для исключения возможности утечки информации за счет электроакустического преобразования рекомендуется использовать в ВП(ЗП) в качестве оконечных устройств телефонной связи, имеющих прямой выход в городскую АТС, телефонные аппараты (ТА), прошедшие специальные исследования, либо оборудовать их сертифицированными средствами защиты информации от утечки за счет электроакустического преобразования.
Системы пожарной и охранной сигнализации ВП(ЗП) должны строиться только по проводной схеме сбора информации (связи с пультом) и, как правило, размещаться в пределах одной с ВП(ЗП) контролируемой зоне.
В качестве оконечных устройств пожарной и охранной сигнализации в защищаемом помещении рекомендуется использовать изделия, сертифицированные по требованиям безопасности информации, или образцы средств, прошедшие специальные исследования и имеющие предписание на эксплуатацию.
Звукоизоляция ограждающих конструкций ВП(ЗП), их систем вентиляции и кондиционирования должна обеспечивать отсутствие возможности прослушивания ведущихся в нем разговоров из-за пределов ВП(ЗП). Проверка достаточности звукоизоляции осуществляется аттестационной комиссией путем подтверждения отсутствия возможности разборчивого прослушивания вне защищаемых помещений разговоров, ведущихся в нем. Для обеспечения необходимого уровня звукоизоляции помещений рекомендуется оборудование дверных проемов тамбурами с двойными дверями, установка дополнительных рам в оконных проемах, уплотнительных прокладок в дверных и оконных притворах и применение шумопоглотителей на выходах вентиляционных каналов.
Если предложенными выше методами не удается обеспечить необходимую акустическую защиту, следует применять организационно-режимные меры, ограничивая на период проведения конфиденциальных мероприятий доступ посторонних лиц в места возможного прослушивания разговоров, ведущихся в ВП(ЗП).
Для снижения вероятности перехвата информации по виброакустическому каналу следует организационно-режимными мерами исключить возможность установки посторонних (внештатных) предметов на внешней стороне ограждающих конструкций ВП(ЗП) и выходящих из них инженерных коммуникаций (систем отопления, вентиляции, кондиционирования). С целью снижения уровня виброакустического сигнала рекомендуется расположенные в ВП(ЗП) элементы инженерно-технических систем отопления, вентиляции оборудовать звукоизолирующими экранами. В случае, если указанные выше меры защиты информации от утечки по акустическому и виброакустическому каналам недостаточны или нецелесообразны, рекомендуется применять метод активного акустического или виброакустического маскирующего зашумления. Для этой цели должны применяться сертифицированные средства активной защиты.
Информация как объект правового регулирования
Информационная сфера – сфера деятельности, связанная с созданием, распространением, преобразованием и потреблением информации. Как сфера правового регулирования информационная сфера представляет собой совокупность субъектов права, осуществляющих такую деятельность, объектов права, по отношению к которым или в связи с которыми эта деятельность осуществляется, и социальных отношении, регулируемых правом или подлежащих правовому регулированию.
Основным объектом правоотношений в информационной сфере является информация. Информация – сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления (Федеральный закон «Об информации, информатизации и защите информации»). Закон вводит также термин документированная информация – зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать. Понятие «документированная информация» основано на двуединстве информации – сведений и материального носителя, на котором она отражена в виде символов, знаков, букв, волн или других способов отображения. В результате документирования происходит как бы материализация и овеществление сведений. Информация «закрепляется» на материальном носителе, «привязывается» к нему и тем самым обособляется от своего создателя. В итоге в качестве документированной информации мы получаем банк данных, фонд документов, книгу, сборник статей или иной массив документов (данных) на бумажном, машиночитаемом или иных носителях. Согласно приведенному определению, документированная информация (документ) есть по сути дела объект материальный, что дает основание относить ее также и к категории вещей. На нее распространяется право вещной собственности. Однако документированная информация относится к вещам особого рода, главное отличие которой заключается в единстве документированной информации и материального носителя, что предопределяет специфику требований, касающихся ее правового режима.
С правовой точки зрения двуединство информации и материального носителя дает возможность защищать документированную информацию с использованием одновременно двух институтов: института интеллектуальной собственности и института вещной собственности.
Обеспечение безопасности информации, в том числе и в компьютерных системах, требует сохранения следующих ее свойств:
1) целостности;
2) доступности;
3) конфиденциальности.
Целостность информации заключается в ее существовании в неискаженном виде, неизменном по отношению к некоторому ее исходному состоянию.
Доступность информации – это свойство, характеризующее ее способность обеспечивать своевременный и беспрепятственный доступ пользователей к интересующим их данным.
Конфиденциальность информации – это свойство, указывающее на необходимость введения ограничений на доступ к ней определенного круга пользователей.
Все известные на настоящий момент меры защиты информации можно разделить на следующие виды:
правовые;
организационные;
технические.
Рассмотрим, какое место занимают правовые меры в системе комплексной защиты информации.
Правовые меры защиты информации принято рассматривать в рамках организационно-правового обеспечения защиты информации. Объединение организационных и правовых мер вызвано отчасти объективно сложившимися обстоятельствами:
проблемы законодательного регулирования защиты информации регламентировались ограниченным и явно недостаточным количеством нормативно-правовых актов;
в отсутствие законодательства по вопросам защиты информации разрабатывалось большое количество ведомственных нормативных документов, основное назначение которых заключалось в определении организационных требований по обеспечению защиты информации;
внедрение автоматизированных информационных систем требует соответствующего правового обеспечения их защиты, однако на практике в развитии правовой базы не произошло существенных изменений и приоритет остается за организационными мерами.
Организационно-правовое обеспечение защиты информации представляет совокупность законов и других нормативно-правовых актов, а также организационных решений, которые регламентируют как общие вопросы обеспечения защиты информации, так и организацию и функционирование защиты конкретных объектов и систем. Правовые аспекты организационно-правового обеспечения защиты информации направлены на достижение следующих целей:
1) формирование правосознания граждан по обязательному соблюдению правил защиты конфиденциальной информации;
2) определение мер ответственности за нарушение правил защиты информации;
3) придание юридической силы технико-математическим решениям вопросов организационно-правового обеспечения защиты информации;
4) придание юридической силы процессуальным процедурам разрешения ситуаций, складывающихся в процессе функционирования системы защиты.
К правовым мерам следует отнести нормы законодательства, касающиеся вопросов обеспечения безопасности информации. Информационные отношения достигли такой ступени развития, на которой оказалось возможным сформировать самостоятельную отрасль законодательства, регулирующую информационные отношения. В эту отрасль, которая целиком посвящена вопросам информационного законодательства, включаются:
законодательство об интеллектуальной собственности;
законодательство о средствах массовой информации;
законодательство о формировании информационных ресурсов и предоставлении информации из них;
законодательство о реализации права на поиск, получение и использование информации;
законодательство о создании и применении информационных технологий и средств их обеспечения.
В отрасли права, акты которых включают информационно-правовые нормы, входят конституционное право, административное право, гражданское право, уголовное право, предпринимательское право.
В соответствии с действующим законодательством информационные правоотношения – это отношения, возникающие при:
– формировании и использовании информационных ресурсов на основе создания, сбора, обработки, накопления, хранения, по иска, распространения и предоставления потребителю документированной информации;
– создании и использовании информационных технологий и средств их обеспечения;
– защите информации, прав субъектов, участвующих в информационных процессах и информатизации.
Коммерческая тайна
Коммерческая деятельность организации тесно связана с получением, накоплением, хранением, обработкой и использованием разнообразной информации. В связи с этим возникают следующие вопросы:
– вся ли информация подлежит защите или следует выделять отдельные ее группы?