Утечка информации и несанкционированный доступ. Государственная тайна: как наказывают за разглашение секретов страны
После определения сведений, составляющих коммерческую тайну предприятия, предстоит разработать и осуществить мероприятия по обеспечению их сохранности. Сущность защитных мероприятий сводится к перекрытию возможных каналов утечки защищаемой информации, которые появляются в силу объективно складывающихся условий ее распространения и возникающей у конкурентов заинтересованности в ее получении.
Для построения системы защиты коммерческой тайны предприятия очень важно определить источник и соответствующие им возможные официальные каналы утечки защищаемой информации. На каждом конкретном предприятии перечень таких каналов носит индивидуальный характер, что определяется спецификой его производственной, научно-технической, коммерческой и иной деятельности и степенью развития связей с деловыми партнерами внутри государства и за рубежом. Может быть полезным следующий обобщенный перечень официальных каналов передачи информации за границу, в который входят: - публичные лекции по научно-технической тематике, организуемые обществом “Знание”, др. обществами; - пресс-конференции ведущих специалистов, видных ученых и инженеров для отечественных и иностранных корреспондентов- передача технической документации (в т.ч. товаросопроводительной) иностранным фирмам (организациям) при выполнении экспортных операций, включая проектирование и строительство объектов за рубежом, а также продажу лицензий; - передача информации при переписке отечественных учреждений и отдельных специалистов с зарубежными научными учреждениями и специалистами; - вывоз за границу книг и журналов научно-технического и экономического характера, а также газет гражданами, выезжающими за границу в командировки, по линии туризма или по частным делам; - книготорговля внутри страны, обеспечивающая свободный доступ ко всем открытым научно-техническим изданиям, поступающим в книжные магазины и киоски; - библиотечное обслуживание иностранных граждан в массовых и специальных научных и научно-технических библиотеках страны; - передача сведений представителям иностранных фирм в процессе переговоров или при заключении экспортных или импортных соглашений; - прием иностранных специалистов в научных учреждениях, в вузах и на предприятиях; - официальные приемы граждан Украины в различных представительствах зарубежных стран как на Украине, так и за рубежом; - проведение совместных разработок (проектов, экспериментов) в рамках осуществления научно-технических связей. Каждый из вышеуказанных каналов характеризуется весьма значительными объемами передачи информации за рубеж. Так, ежегодно только по книгообмену в промышленно развитые страны отправляются сотни тысяч экземпляров изданий: книги, журналы, выпуск продолжающихся изданий.
Значительное число наших библиотек, научных учреждений и организаций осуществляют книгообмен с различными зарубежными организациями, в т.ч. с научными учреждениями, издательствами и редакциями, библиотеками, университетами и вузами, промышленными фирмами, международными организациями и музеями. На Западе постоянно изучаются отечественные открытые публикации, в т.ч. узкоотраслевые научно-технические журналы, справочники, специальная литература и др. издания, а также материалы международных конференций, симпозиумов, семинаров и т.п. и проводимых внутри страны. Анализ материалов, поступающих по открытым каналам, позволяет иностранным экспертам выявлять в них сообщения о разработанных у нас в стране приоритетных достижениях науки, техники и технологии и др. военную информацию. Нередко иностранные фирмы, отказавшись по тем или иным причинам от приобретения лицензий на наши изобретения, выступают затем как инициаторы научно-технического сотрудничества по этой тематике. Подобные факты неоднократно отмечались по исследованиям в области освоения космоса, по разработке блоков МГД-электростанций, технологии очистки нефти и нефтепродуктов от серы и т.д. и принесли этим фирмам немалую выгоду. Так, по оценке самих американцев, только сотрудничество в области технологии МГД позволило США сэкономить более 100 млн.$. Для сбора интересующей информации фирмы промышленно развитых стран используют и др. приемы. Например, на проводимых у нас в стране или за рубежом международных выставках представители фирм пытаются путем опроса и анкетирования наших специалистов получить подробную информацию об их месте работы, тематике проводимых ими исследований и разработок. Проведенный обзор официальных каналов передачи информации из Украины за границу поможет трансформировать их применительно к условиям предприятия, определить степень их уязвимости с точки зрения утечки сведений, составляющих коммерческую тайну, и внедрить соответствующие мероприятия по обеспечению требуемого режима их безопасности. Но этим задача защиты коммерческой тайны предприятия не исчерпывается. Помимо рассмотренных открытых каналов утечки информации могут существовать еще агентурный и технологический, организация работы по перекрытию которых носит сугубо специфический характер. Относительно государственных секретов эту работу выполняют специальные органы государства, режимно-секретные подразделения предприятий. Что же касается коммерческой тайны, то организация ее защиты от утечки в комплексе по всем каналам, включая агентурный и технологический, целиком и полностью ложится на предприятие. Как свидетельствует зарубежный опыт, для этого в зависимости от объема и сложности решаемых на данном участке задач может быть эффективным создание специального подразделения, например, службы безопасности.
Органы защиты государственной тайны в своей деятельности руководствуются принципиальными положениями в сфере защиты государственной тайны. Под принципами защиты информации понимаются основополагающие идеи, важнейшие рекомендации по организации и осуществлению этой деятельности на различных этапах решения задач сохранения секретов. Они учитываются при создании нормативно-правовой базы защиты информации, и даже более - закладываются в качестве норм в Закон и подзаконных актов и, следовательно, приобретают обязательный для исполнителей характер.
Эти принципы выработаны длительной практикой организации работ по защите информации в нашей стране с учетом международного опыта. Нормативные документы, в которых заложены эти принципы, предусматривают защиту, главным образом государственных секретов, однако эти принципы, носящие достаточно универсальный характер, могут и должны использоваться при организации защиты коммерческой информации в организациях и предприятиях любой формы собственности. Именно знание и использование этих принципов позволяют профессионально организовать защиту информации, и наоборот, пренебрежение ими может негативно сказаться на решении проблем сохранения в тайне защищаемой информации.
Принципы защиты информации можно разделить на три группы:
правовые;
организационные;
принципы, используемые при защите информации от технических средств разведки и в средствах вычислительной техники.
Произошедшие с 1988 года по настоящее время изменения в политической и социально-экономической жизни страны, а также в умах и психологии людей, не могло не сказаться на их взглядах и на такую, сравнительно мало известную область общественных отношений, как защита государственной тайны. Изменения взглядов на защиту секретной информации и широкая критика в печати излишней секретности, существовавшей в стране, привело к изменениям взглядов специалистов на концепцию и принципы защиты государственной тайны. Эти изменения в большей мере коснулись именно первой группы этих принципов, а именно, политико-правовых, ибо в них был заложен идеологический подход к защите государственной тайне, да и сама организация защиты информации была излишне политизирована, большая часть принципов этой группы как бы «отмерла», то есть прекратила свое существование по мере изменений в социально-политической и экономической жизни страны. На арене деятельности по защите информации появились новые принципы, которые вызваны к жизни характером новых общественно-экономических отношений, воззрений, взглядов на стратегию защиты информации.
Правовые принципы защиты государственной тайны
Основными правовыми принципами защиты информации являются следующие:
Принцип законности. В рамках долженствующего существования правового государства деятельность любых государственных, кооперативных, частных органов и организаций, всех должностных лиц и граждан должна осуществляться в рамках действующего законодательства.
Принцип законности в области защиты информации выражается, прежде всего, в том, что необходимо нормативно- правовое регулирование этой важной сферы общественных отношений в государстве. Законодательно должны быть обозначены права различных субъектов в области защиты информации на засекречиваемую информацию и установление правил ее защиты; определено, что является государственной, коммерческой, иной охраняемой законом тайне. Установлена уголовная, административная, материальная, дисциплинарная, гражданско-правовая ответственность за незаконное покушение на защищаемую информацию и разглашение или передачу такой информацию кому-либо, вследствие чего наступили или могли наступить вредные последствия для собственника (владельца) информации.
С другой стороны, должностные лица и другие работники предприятий и учреждений, которым по службе или работе доверяются сведения, составляющие государственную тайну, в соответствии с деятельностью законными и подзаконными актами должны наделяться правами, позволяющими им успешно осуществлять защиту доверенной им информации, и на них должны налагаться обязанности по соблюдению соответствующего режима, выполнение которых обеспечивает секретность информации.
Принцип приоритета международного права над государственным.
Россия как преемница взятых бывшем СССР на себя обязательств признает также принцип приоритета международного права над внутригосударственным. В частности наша страна взяла на Венской встрече обязательство привести свое внутреннее законодательство в соответствии с положениями международных конвенций и соглашений, участниками которых она является. Отсюда вытекает, что объектами засекречивания не могут быть сведения, которые наше государство обнародует или сообщает согласно конвенциям и соглашениям, так как оно становится членом мирового экономического сообщества, вступило в МВФ и другие международные экономические организации. Одним из условий членства этих организаций является представление информации о реальном положении дел в национальной экономике.
Но это не исключает того, что Российская Федерация как суверенное государство может и должно засекречивать информацию, относящуюся к тем областям её деятельности, которые обеспечивают её национальную безопасность. Каждое государство имеет право само решать, что оно может засекречивать, а что открывать. Однако взаимность и равенство на национальные секреты между государствами или коалициями будет способствовать развитию взаимного доверия.
Принцип одинаковой секретности будет способствовать укреплению мер доверия в международных отношениях, помогать устранению асимметрии режимных ограничений в сложившихся отношениях. Излишнее стремление по сокрытию информации от другой стороны всегда вызывает подозрения, так как такие действия обычно связывают с недобрыми намерениями одной стороны по отношению к другой.
Принцип собственности и экономической целесообразности. Радикальные перемены происходящие в российском обществе не могли не затронуть, лежащие в основе экономической реформы отношений по поводу собственности. Был принят ряд законов, регламентирующих сферу имущественных отношений, отношений собственности, в том числе к регулированию прав на интеллектуальную собственность, на владение и распоряжение информацией, на ее защиту. Это дало собственникам информационных объектов интеллектуальной собственности право принимать меры к их защите с помощью различных механизмов, в том числе с помощью патентов, норм авторского права. Лишь собственник (владелец) информации имеет право определять, какую информацию следует засекретить и до какой степени.
В области защиты государственной тайны действуют и другие (политические, военные, экономические) факторы.
Организационные принципы защиты информации.
Организационные принципы претерпели за последние годы значительно меньше изменений по сравнению с правовыми. Это объясняется тем, что они отражают общие по своей сути правила, подходы к защите секретов. Они используются (работают) при любой общественно-политической и экономической системе.
Научный подход к защите информации. В веке научно-технического прогресса, когда информационные потоки возрастают неимоверно, информация, являющаяся интеллектуальной ценностью, одновременно становится ресурсом и продуктом в информационных потоках, обслуживающих различные государственные и общественные потребности, имеются, естественно и потоки информации, которые должны сохраняться в тайне.
Функционирующая в нашей стране общегосударственная система защиты информации создана с учетом имеющихся объемов защищаемой информации и используемые для ее обработки средств, традиций и опыта в области защиты государственной тайны, накопленный в предыдущие десятилетия.
Создание такой системы потребовало научного осмысления таких проблем, как разграничения компетенции в области защиты сведений, составляющих государственную тайну по всей иерархической лестнице многочисленных органов и организаций; научной и законодательное определение понятия «государственная тайна» и тому подобное. Научные и практические работники уделяют много внимания разработке научных критериев определения степени секретности информации.
Комплексный и индивидуальный подход к организации защиты информации предполагает, с одной стороны выявление и анализ возможных каналов утечки информации с учетом объемов этой информации и носителей, на которых она накапливается и ее важности, с другой стороны, изучаются и анализируются возможности по собиранию и добыванию защищаемой информации не вообще, а в каждом конкретном случае в отношении определенного предприятия, организации, учреждения, отрасли или проблемы.
Системный подход позволяет создать органически взаимосвязанную совокупность сил и средств специальных методов по оптимальному ограничению сферы обращения засекречиваемой информации, предупреждению ее утечки
При создании системы защиты информации и осуществлении мероприятий по защите секретов от разглашения или новейших технических средств разведки важно предусматривать разносторонние комплексные защитные меры, направленные на предупреждение утечки информации из сферы ее обращения.
Максимальное ограничение числа лиц, допускаемых к защищенной информации является организационным принципом, применяемом повсеместно в деятельности по защите информации как у нас в стране, так и зарубежном.
Основной смысл данного принципа сводится к тому, что сохранность засекречиваемой информации находится в зависимости от количества лиц, допущенных к обращению с нею, чем уже этот круг, тем выше вероятность сохранения в тайне данной информации. Органически этот принцип решается следующим образом: к секретной работе допускаются лица, имеющие, во- первых, на то соответствующее разрешение в виде допуска, и во- вторых, из числа лиц, имеющих допуск - получившие разрешение на работу с конкретной информацией в виде доступа, который получают только те, кто непосредственно связан по работе с этой информацией.
Своеобразным проявлением этого принципа возможно также дробление технологической цепочки производства, какого- либо изделия, продукта на отдельные операции, знание одной из которой не дает возможности восстановить всю технологию. Каждая из операций засекречивается самостоятельно и переход специалиста с одной операции на другую или вообще бывает, невозможен, или требует специального допуска и, следовательно, рассмотрения вопросов- с какой целью это делается, если происходит по инициативе работника.
Персональная ответственность за сохранение доверенных секретов. Этот принцип хорошо «работает» если каждый сотрудник, допущенный к защищаемой информации, понимает и осознает, что сохранение в тайне этой информации и в его собственных интересах. Если же работник видит, что сохранение какой-то информации в тайне нужно лишь предприятию или государству, а ему лично ничего не дает, то он к этому будет и относится формально. Над ним будет лишь груз боязни ответственности.
Важным фактором, повышающим ответственность сотрудников за сохранение доверенных им секретов, является обучение правилам защиты засекречиваемой информации и правилам обращения с конфиденциальными документами.
Непрерывность защиты информации. Данный принцип заключается в том, что защита секретной или конфиденциальной информации должна начинаться с момента её появления (получения, создания, генерирования) на всех этапах её обработки, передачи, использования и хранения, вплоть до начала её уничтожения или рассекречивания.
Принципы, используемые при защите информации от технических средств разведки.
В организации деятельности по защите информации от технических средств разведки и средств вычислительной техники руководствуются, прежде всего, те ми же организационными и правовыми принципами, о которых говорилось выше. Это объясняется тем, что эти принципы имеют достаточно общий и универсальный характер. Эти принципы действуют независимо от того, где, когда и кем осуществляется защита информации.
Однако имеются и специфические принципы, обусловленные особенностями предмета защиты, то есть носителей, на которых отображена защищаемая информация, используемых при этом силах, средствах и методах, а так же учитываются средства и методы добывания защищаемой информации противником с помощью технических средств разведки.
Принципами защиты информации используемыми при организации противодействия техническим средствам разведки являются:
Активная защита информации - выражается в целенаправленном навязывании технической разведки ложного представления об объекте его разведывательных устремлений в соответствии с замыслом защиты;
Убедительность защиты информации - состоит в оправданности замысла защиты условиям обстановки в соответствии с характером защищаемого объекта или свойством окружающей среды, в применении технических решений защиты, соответствующих климатическим, сезонным и другим условиям;
Непрерывность защиты информации предполагает организацию защиты объекта на всех стадиях его жизненного цикла: предпроектном, проектном, в период разработки, изготовления (строительства), испытания, эксплуатации и утилизации;
Разнообразие защиты информации - предусматривает исключение шаблона повторяемости в выборе объекта прикрытия и путей реализации смысла защиты, в том числе с применением типовых решений;
Принципы защиты информации, используемые в средствах вычислительной техники. Основными принципами защиты информации, имеющими специфический характер и используемыми в организации защиты информации в средствах вычислительной техники являются следующие: введение избыточности элементов системы, резервирование элементов системы, защитные преобразования данных, контроль состояния элементов системы, их работоспособности и правильности функционирования.
Под введением избыточности элементов системы понимается включение дополнительных компонентов сверх того минимума, которые необходим для выполнения им всего множества своих функций. Избыточные элементы функционируют одновременно с основными, что позволяет создавать системы, устойчивые относительно внешних и внутренних дестабилизирующих факторов и воздействий. Различают избыточность организационную, аппаратную, программно-алгоритмическую, информационную и другие.
Защитные преобразования данных, контроль состояния элементов системы, их работоспособности и правильности функционирования будут рассмотрены ниже.
Резервируются обычно не все элементы системы защиты информации, а особо важных компьютерных систем, чтобы в случае возникновения каких-то чрезвычайных обстоятельство их можно было использовать для решения стоящих перед системой задач.
Методы защиты государственной тайны.
Метод - в самом общем значении это способ достижения цели, определенным образом упорядоченная деятельность.
Основными методами, используемыми в защите информации, составляющей государственную тайну, являются следующие: скрытие, ранжирование, дезинформация, дробление, страхование, морально-нравственные, учет, кодирование, шифрование.
Скрытие - как метод защиты государственной тайны является в основе своей реализацией на практике одного из основных организационных принципов защиты информации - максимального ограничения числа лиц, допускаемых к секретной информации. Реализация этого метода достигается обычно путем:
засекречивание информации, то есть отнесение ее к секретной или конфиденциальной информации различной степени секретности и ограничения в связи с этим доступа к этой информации в зависимости от ее важности для собственника, что проявляется в проставляемом на носителе этой информации грифа секретности;
устранения или ослабления технических демаскирующих признаков объектов защиты и технических каналов утечки сведений о них.
Скрытие - один из наиболее общих и широко применяемых методов защиты информации.
Ранжирование как метод защиты государственной тайны заключает, во-первых, деление засекречиваемой информации по степени секретности, и, во-вторых, регламентацию допуска и разграничение доступа к защищаемой информации: предоставление индивидуальных прав отдельным пользователям на доступ к необходимой им конкретной информации и на выполнение отдельных операций. Разграничение доступа к информации может осуществляться по тематическому признаку или по признаку секретности информации и определяется матрицей доступа.
Ранжирование как метод защиты государственной тайны является частным случаем метода скрытия. Пользователь не допускается к информации, которая ему не нужна для выполнения его служебных функций, и тем самым эта информация скрывается от него и всех остальных (посторонних) лиц.
Дезинформация - один из методов защиты информации составляющей государственную тайну, заключающейся в распространении заведомо ложных сведений относительно истинного назначения каких-то объектов и изделий, действительного состояния какой - то области государственной деятельности, положении дел на предприятии и так далее.
Дезинформация обычно проводится путем распространения ложной информации по различным каналам, имитацией или искажением признаков и свойств отдельных элементов объектов защиты, создания ложных объектов, по внешнему виду или проявлениям похожих на интересующие соперника объекты и др.
Хорошо о роли дезинформации сказал А.Ф.Вивиани, специалист в области контршпионажа: «На нас обрушивается, валится, извергается огромное количество информации. Она бывает фальшивой, но выглядит правдоподобно; бывает правдивой, а на самом деле хитроумна, перекроена, дабы производить впечатление фальшивой; бывает отчасти фальшивой и отчасти правдивой. Все зависит от выбранного способа так называемой дезинформации, цель которой заставить вас верить, желать, думать, принимать решения в направлении, выгодном для тех, кому за чем-то нужно на нас воздействовать».1 1 Вивиани А. Проблемы защиты информационного ресурса// Совершенно секретно.- 1990.-.№7.- С.25.
Дробление (расчленение) информации на части с таки условием, что знание, какой-то одной части информации (например, знание одной операции технологии производства, какого-то продукта) не позволяет восстановить всю картину, всю технологию в целом.
Применяется достаточно широко при производстве средств вооружения и военной техники, а также при производстве товаров народного потребления. Широко известен пример, как фирма, производящая напиток «Кока - кола» хранит секрет концентрата «7х»: во всем мире только три человека знают секрет получения концентрата напитка, и то лишь по частям. Они не имеют права одновременно выехать из своего офиса, ездить в одной машине, летать одним самолетом…2 2 Гасанов Р. Промышленный шпионаж на службе монополий//Известия.- 1989.- 2 марта.
Страхование - как метод защиты информации пока еще только получает признание. Сущность его сводится к тому, чтобы защитить права и интересы собственника информации или средств информации как от традиционных угроз (кража, стихийного бедствия), так и от угроз безопасности информации, а именно: защита сведений, составляющих государственную тайну, от утечки, хищения, модификации (подделки), разрушения и др.
Страховые методы защиты государственной тайны будут применяться видимо прежде всего для защиты информации от промышленного шпионажа. Особенно, надо полагать, страховые методы будут эффективны в независимом секторе экономики, где административные методы и формы управления, а особенно контроля плохо применимы.
При страховании информации должно быть проведено аудиторское обследование и дано заключение о сведениях, которые предприятия будет защищать как государственную тайну, надежность средств защиты1 1 Курило А. Основы организации системы защиты информации. Защита информации.//Совершенно секретно.- 1992.-№1.-,с.42..
Морально-нравственные методы защиты государственной тайны можно отнести к группе тех методов, которые, исходя из расхожего выражения, что «тайну хранят не замки, а люди», играют очень важную роль в защите государственной тайны. Именно человек, сотрудник предприятия или учреждения, допущенный к секретам и накапливающий в своей памяти колоссальные объемы информации, в том числе секретной, нередко становится источником утечки этой информации или по его вине соперник получает возможность несанкционированного доступа к носителям защищаемой информации.
Морально-нравственные методы защиты государственной тайны предполагают, прежде всего, воспитание сотрудников, допущенного к секретам, то есть проведение специальной работы, направленной на формирование у него системы определенных качеств, взглядов и убеждений (патриотизма, понимания важности и полезности защиты информации и для него лично), и обучения сотрудника, осведомленного в сведениях составляющих охраняемую тайну, правилам и методам защиты государственной тайны, привитие ему навыков работы с носителями секретной и конфиденциальной информации.
Учет также один из важнейших методов защиты информации, обеспечивающий возможность получения в любое время данных о любом носителе защищаемой информации о количестве и местонахождении всех носителей засекреченной информации, а также данные обо всех пользователях этой информации. Без учета решать проблемы было бы невозможно, особенно когда количество носителей превысит какой то минимальный объем.
Принципы учета засекреченной информации:
- 1. Обязательность регистрации всех носителей защищаемой информации;
- 2. Однократность регистрации конкретного носителя такой информации;
- 3. Указание в учетах адреса, где находится в данное время данный носитель засекреченной информации;
- 4. Единоличная ответственной за сохранность каждого носителя защищаемой информации и отражение в учетах пользователя данной информации в настоящее время, а также всех предыдущих пользователей данной информации.
Кодирование - метод защиты информации преследующей цель скрыть от соперника содержание защищаемой информации и заключающейся в преобразовании с помощью кодов открытого текста в условный при передаче информации по каналам связи направлении письменного сообщения, когда есть угроза, что она может попасть в руки соперника, а также при обработки и хранении информации в средствах вычислительной техники.
Для кодирования используются обычно совокупность знаков (символов, цифр и др.) и система определенных правил, при помощи которых информация может быть преобразована (закодирована) таким образом, что прочесть ее можно будет, если потребитель ее располагает соответствующим ключом (кодом) для ее раскодирования. Кодирование информации может производиться с использованием технических средств или вручную.
Шифрование - метод защиты государственной тайны, используемый чаще при передачи сообщений с помощью различной радиоаппаратуры, направление письменных сообщений и в других случаях, когда есть опасность перехвата этих сообщений соперником. Шифрование заключается в преобразовании открытой информации в вид, исключающий понимание его содержания, если перехвативший не имеет сведений (ключа) для раскрытия шифра.
Шифрование может быть предварительное (шифруется текст документа) и линейное (шифруется разговор). Для шифрования информации может использоваться специальная аппаратура.
Средства защиты информации и их классификация.
Средства защиты государственной тайны - это совокупность инженерно-технических, электрических, электронных, оптических и других устройств и приспособлений, приборов и технических систем, а также иных вещных элементов, используемые для решения различных задач по защите государственной тайны, в том числе предупреждение утечки и обеспечение безопасности защищаемой информации.
Практика использования технических средств защиты государственной тайны выработаны основные требования к ним, независимо от технических возможностей и сфер применения:
состояние постоянной боеготовности;
высокая степень вероятности обнаружения попыток несанкционированного проникновения на объект к носителям, защищаемой информации;
высокая живучесть и аппаратная надежность;
малое энергопотребление;
габаритные характеристики, обеспечивающие маскируемость и малозаметность технических средств защиты информации;
минимальные затраты на техническое обслуживание.
В качестве оснований классификации средств защиты государственной тайны можно выделить основные группы задач, решаемые с помощью технических средств:
- 1. Создание физических (механических) препятствий на путях проникновения злоумышленника к носителям информации (решетки, сейфы, замки и т.д.).
- 2. Выявление попыток проникновения на объект охраны к местам сосредоточения носителей защищаемой информации (электронные и электрооптические сигнализаторы).
- 3. Предупреждение о возникновении чрезвычайных ситуаций (пожар, наводнение и т.п.) и ликвидация чрезвычайных положений (средства пожаротушения).
- 4. Поддержание связи с различными подразделениями, помещениями и другими точками объекта охраны.
- 5. Нейтрализация, поглощение или отражение излучения эксплуатируемых или испытываемых изделий (экраны, защитные фильтры, разделительные устройства в сетях и т.п.).
- 6. Введение технических разведок в заблуждение (дезинформация) относительно истинной дислокации объекта защиты и его функционального назначения.
- 7. Комплексная проверка технического средства обработки информации и выделенного помещения на соответствие требованиям безопасности обрабатываемой речевой информации установленным нормам.
- 8. Комплексная защита информации в автоматизированных системах обработки данным с помощью фильтров, электронных замков и ключей в целях предотвращения несанкционированного доступа, копирования или искажения информации.
Знания возможностей рассмотренных методов и средств защиты государственной тайны позволяет активно и комплексно применять их при рассмотрении и при использовании правовых, организационных и инженерно-технических мер защиты секретной и конфиденциальной информации.
Данная система защиты государственной тайны в стране складывалась постепенно. Постоянно совершенствуясь и усложняясь, она приобрела тот вид, который существует в настоящее время. Эта система имеет ряд, как положительных черт, так и недостатков.
На системе защиты государственной тайны всегда лежит отпечаток сложившихся в государстве общественных отношений. Для нас обычно характерными являются: бюрократизированность процедур и технологии засекречивания, обработки, хранение и рассекречивания информации; экстенсивность развития структур системы защиты государственной тайны; слабая восприимчивость к потребностям научно-технического прогресса.
В то же время существующая система защиты сведений, составляющих государственную тайну, сыграла положительную роль в защите важных государственных секретов в области обороны страны, в решении проблем в военно-технической отрасли и т.п.
Основными методами защиты государственной тайны являются следующие:
Скрытие;
Ранжирование;
Дезинформация;
Дробление;
Страхование;
Морально-нравственные;
Кодирование;
Шифрование.
1. Скрытие - это один из наиболее общих и широко применяемых методов защиты информации. B основе своей он является реализацией на практике одного из основных организационных принципов защиты информации - максимального ограничения числа лиц, допускаемых к секретам. Реализация этого метода достигается обычно путем:
Засекречивания информации, т.е. отнесение ее к секретной или конфиденциальной информации различной степени секретности и ограничение в связи с этим доступа к этой информации в зависимости от ее важности для собственника, что проявляется в проставляемом на носителе этой информации грифе секретности;
Устранения или ослабления технических демаскирующих признаков объектов защиты и технических каналов утечки сведений о них.
2. Ранжирование как метод защиты информации включает: во- первых, деление засекречиваемой информации по степени секретности; во-вторых, регламентацию допуска и разграничение доступа к защищаемой информации, т.е. предоставление индивидуальных прав отдельным пользователям на доступ к необходимой им конкретной информации и на выполнение отдельных операций. Разграничение доступа к информации может осуществляться по тематическому признаку или по признаку секретности информации и определяется матрицей доступа.
Ранжирование есть частный случай метода скрытия: пользователь не допускается к информации, которая ему не нужна для выполнения его служебных функций, и тем самым эта информация скрывается от него и всех остальных (посторонних) лиц.
3. Дезинформация - один из методов защиты информации, заключающийся в распространении заведомо ложных сведений относительно истинного назначения каких-то объектов и изделий, действительного состояния какой-то области государственной деятельности. Обычно дезинформация проводится путем распространения ложной информации по различным каналам, имитацией или искажением признаков и свойств отдельных элементов объектов защиты, создания ложных объектов, по внешнему виду или проявлениям похожих на интересующие соперника объекты, и др.
4. Дробление представляет собой расчленение информации на части с таким условием, что знание какой-то одной части информации (например, одной операции технологии производства какого-то продукта) не позволяет восстановить всю картину, всю технологию в целом. Применяется достаточно широко при производстве средств вооружения и военной техники, а также при производстве некоторых товаров народного потребления.
5. Страхование как метод защиты информации пока еще только получает признание. Сущность его сводится к тому, чтобы защитить права и интересы собственника информации или средства информации как от традиционных угроз (кражи, стихийные бедствия), так и от угроз безопасности информации, а именно: защита информации от утечки, хищения, модификации (подделки), разрушения и др.
6. Морально-нравственные методы можно отнести к группе тех методов защиты информации, которые, если исходить из расхожего выражения, что «тайну хранят не замки, а люди», играют очень важную роль в защите информации. Именно человек, сотрудник предприятия или учреждения, допущенный к секретам и накапливающий в своей памяти колоссальные объемы информации, в том числе секретной, нередко становится источником утечки этой информации или по его вине соперник получает возможность несанкционированного доступа к носителям защищаемой информации.
Морально-нравственные методы защиты информации предполагают прежде всего воспитание сотрудника, допущенного к секретам, т.е. проведение специальной работы, направленной на формирование у него системы определенных качеств, взглядов и убеждений (патриотизма, понимания важности и полезности защиты информации и для него лично), а также обучение сотрудника, осведомленного в сведениях, составляющих охраняемую тайну, правилам и методам защиты информации, привитие ему навыков работы с носителями секретной и конфиденциальной информации.
7. Учет - это также один из важнейших методов защиты информации, обеспечивающий возможность получения в любое время данных о любом носителе защищаемой информации, о количестве и местонахождении всех носителей засекреченной информации, а также данные о всех пользователях этой информации. Без учета решать проблемы было бы невозможно, особенно когда количество носителей превысит какой-то минимальный объем.
Принципы учета засекреченной информации:
Обязательность регистрации всех носителей защищаемой информации;
Однократность регистрации конкретного носителя такой информации;
Указание в учетах адреса, где находится в данное время данный носитель засекреченной информации;
Единоличная ответственность за сохранность каждого носителя защищаемой информации и отражение в учетах пользователя данной информации в настоящее время, а также всех предыдущих пользователей данной информации.
8. Кодирование - метод защиты информации, преследующий цель скрыть от соперника содержание защищаемой информации и заключающийся в преобразовании с помощью кодов открытого текста в условный при передаче информации по каналам связи, направлении письменного сообщения, когда есть угроза, что оно может попасть в руки соперника, а также при обработке и хранении информации в СBТ.
Для кодирования используются обычно совокупность знаков (символов, цифр и др.) и система определенных правил, при помощи которых информация может быть преобразована (закодирована) таким образом, что прочесть ее можно будет если потребитель ее располагает соответствующим ключом (кодом) для ее раскодирования. Кодирование информации может производиться с использованием технических средств или вручную.
9. Шифрование - это метод защиты информации, используемый чаще при передаче сообщений с помощью различной радиоаппаратуры, направлении письменных сообщений и в других случаях, когда есть опасность перехвата таких сообщений соперником. Шифрование заключается в преобразовании открытой информации в вид, исключающий понимание его содержания, если перехвативший не имеет сведений (ключа) для раскрытия шифра.
Шифрование может быть предварительным (шифруется текст документа) и линейным (шифруется разговор). Для шифрования информации может использоваться специальная аппаратура.
Знание возможностей рассмотренных методов позволяет активно и комплексно применять их при рассмотрении и использовании правовых, организационных и инженерно-технических мер защиты секретной информации.
Лекция 10
ОРГАНИЗАЦИЯ ЗАЩИТЫ ИНФОРМАЦИИ,
СОСТАВЛЯЮЩЕЙ ГОСУДАРСТВЕННУЮ ТАЙНУ
План лекции:
Организация защиты информации, составляющей государственной тайны, на предприятиях, в организациях и учреждениях.
Особенности защиты информации в условиях реализации международных договоров по сокращению вооружений и вооруженных сил.
Особенности защиты информации в условиях создания совместных предприятий.
Особенности защиты информации в условиях научно-технического, военно-технического и экономического сотрудничества с другими странами.
1. Организация защиты информации, составляющей государственной тайны, на предприятиях, в организациях и учреждениях
Употребляемые в нормативных правовых документах по защите государственной тайны термины “предприятие, организация, учреждение” не имеют однозначных непротиворечивых определений. Обычно указанные выше термины используются не в юридическом, а содержательном смыслах.
Под предприятием понимается промышленное предприятие независимо от его организационно-правовой формы.
Под организациями понимаются коммерческие и некоммерческие организации, представляющие собой хозяйственные товарищества и общества, производственные кооперативы, благотворительные и иные фонды, производственные объединения, акционерные общества, а также в другие формы объединения физических и юридических лиц, предусмотренные законом.
Под учреждением понимается организация, созданная для осуществления управленческих, социально-культурных или иных функций непромышленного характера.
Согласно ст. 20 Закона “О государственной тайне” органы государственной власти, предприятия, учреждения и организации (далее – предприятия) обеспечивают защиту сведений, составляющих государственную тайну, в соответствии с возложенными на них задачами и в пределах своей компетенции. Защита государственной тайны является видом основной деятельности предприятия.
Организация работ по защите государственной тайны на предприятиях осуществляется их руководителями. В зависимости от объема работ руководителем предприятия создается структурное подразделение по защите государственной тайны либо назначаются штатные специалисты по этим вопросам.
Общие требования по организации и проведению работ по защите государственной тайны устанавливаются в Инструкции, утверждаемой Правительством РФ. Такая инструкция содержит требования по обеспечению пропускного режима, охраны территории объекта, доступу персонала на территорию, по порядку обращения с секретными документами, защите информации от технических разведок, от ее утечки по техническим каналам, а также другие требования.
Одной из важных задач подразделения по защите государственной тайны является защита информации, составляющей эту тайну, от технических разведок, утечки информации по техническим каналам, несанкционированного доступа к информации в системах информатизации и связи. При значительном объеме работ по решению этой задачи на предприятии может создаваться специальное структурное подразделение защиты информации.
Подразделения защиты информации (штатные специалисты) на предприятиях выполняют следующие функции:
определяют (совместно с заказчиками) основные направления работ по защите информации;
участвуют в согласовании технических заданий на проведение работ по защите информации;
дают заключение о возможности проведения работ с информацией, содержащей сведения, отнесенные к государственной тайне.
участвуют в выполнении мероприятия по защите информации;
осуществляют контроль за выполнением и эффективностью проводимых мероприятий.
Они подчиняются непосредственно руководителю предприятия или его заместителю и обеспечиваются средствами защиты информации и контроля в соответствии со специализацией предприятия.
Для проведения работ по защите информации могут привлекаться на договорной основе специализированные предприятия и организации, имеющие лицензии на проведения работ в области защите информации.
Правовой основой для организации защиты информации, составляющей государственную тайну, служат действующий на предприятии Перечень сведений, подлежащих засекречиванию , который разрабатываемые на основе отраслевых (ведомственных, программно-целевых) развернутых перечней сведений, подлежащих засекречиванию.
Общая технологическая схема организации защиты информации, составляющей государственную тайну, представляет собой последовательную (при необходимости - итерационную) процедуру, показанную на схеме 10.1 и включающую:
оценку угроз безопасности информации и состояния защиты информации на предприятии;
определение целей и задач защиты информации, принятия решения о мерах защиты информации;
планирования мероприятий по ее защите информации;
постановки задач исполнителям работ, организации их взаимодействия и всестороннего обеспечения;
выполнения запланированных мероприятий;
контроля выполнения мероприятий и оценки их эффективности.
В качестве исходных данных для организации процесса защиты информации используются:
характеристики применяемых носителей информации;
описания протекающих информационных процессов;
требования по вопросам защиты информации, содержащиеся в законодательных, организационно-распорядительных и нормативных документах;
информация, содержащаяся в каталогах, справочниках, пособиях и других информационных документах по вопросам защиты информации.
Всю процедуру организации защиты информации можно условно разбить на три этапа.
На первом этапе, прежде всего, определяется перечень сведений, подлежащих защите, выявляются возможные угрозы безопасности информации, и разрабатывается модель таких угроз, проверяется выполнение требований по защиты информации. Исходя из целей и задач деятельности учреждения, выявленных недостатков по обеспечению защиты информации формулируются цели информации, разрабатывается замысел их достижения, определяются задачи, требующие решения. При определении целей защиты учитываются действующие на предприятии развернутые перечни сведений, подлежащих засекречиванию и носители этих сведений.
На втором этапе разрабатываются предложения по способам и средствам защиты информации, обеспечивающих решение задач защиты информации, осуществляется оценка их технической реализуемости, стоимости, выбираются рациональные способы и средства защиты информации и контроля ее эффективности, планируется их применение. Далее осуществляется постановка задач исполнителям работ, их обучение, организация их взаимодействия при решении совместных задач, подготовка необходимых организационно-распорядительных, нормативных и методических документов, а также техническое обеспечение мероприятий по защите информации.
На третьем этапе в ходе аттестации объектов защиты проверяется выполнение требований по защите информации с учетом принятых мер в конкретных условиях эксплуатации объектов. Непосредственное применение способов и средств защиты информации сопровождается повседневным и инспекционным контролем выполнения мероприятий по защите информации, оценкой их эффективности, а также общей оценкой состояния информации на объекте.
При практической реализации представленной выше технологической схемы возможно возникновение нескольких итераций выполнения работ. Например, если из-за ограниченности выделяемых ресурсов не удается реализовать эффективные способы защиты некоторых объектов, то возможно изменение цели и задач защиты информации. Такое изменение может быть выполнено только по с разрешения заказчика проводимых работ, а, если это связано с изменением перечня засекречиваемых сведений, то только по решению органа государственной власти, наделенного полномочиями по распоряжению этими сведениями.
Цели и задачи защиты информации, а также все связанные с ними организационные и технические мероприятия могут также быть изменены по результатам контроля эффективности защиты информации в процессе жизненного цикла объекта защиты. Такое изменение, например, возможно при выявлении новых каналов утечки информации или обнаружении неэффективности выполняемых мер защиты или при изменении условий, в которых осуществляется функционирование защищаемого объекта.
Конкретное содержание и порядок организации и осуществления мероприятий по защите информации на объекте определяется действующим на этом объекте Руководством по защите информации .
Руководство должно состоять из следующих разделов:
общие положения;
охраняемые сведения об объекте;
демаскирующие признаки объекта и технические каналы утечки информации;
оценка возможностей технических разведок и других источников угроз безопасности информации;
организационные и технические мероприятия по защите информации;
оповещение о ведении разведки (раздел включается в состав Руководства при необходимости);
обязанности и права должностных лиц;
планирование работ по защите информации и контролю;
контроль состояния защиты информации; аттестование рабочих мест;
взаимодействие с другими предприятиями (учреждениями, организациями).
В зависимости от особенностей объекта допускается вводить и другие разделы.
В разделе "Общие положения" указывается назначение Руководства, приводятся общие требования по защите информации на объекте, указывается категория объекта по требованиям обеспечения защиты информации, указываются должностные лица, ответственные за выполнение требований Руководства, определяется порядок финансирования работ по защите информации на объекте, приводятся сведения о полученной лицензии на допуск к работе со сведениями, составляющими государственную тайну и об имеющихся сертифицированных средствах защиты информации.
В разделе “Охраняемые сведения об объекте” указывается конкретная цель, которая должна быть достигнута в результате проведения мероприятий по защите информации (охраняемых сведений) об объекте, замысел достижения этой цели и приводится перечень охраняемых сведений об объекте и его деятельности (без указания конкретных числовых параметров).
В разделе “Демаскирующие признаки объекта и технические каналы утечки информации” указываются демаскирующие признаки, которые раскрывают охраняемые сведения об объекте, в том числе демаскирующие признаки, возникающие в связи с использованием средств обеспечения его деятельности. Приводятся возможные технические каналы утечки охраняемых сведений об объекте, включая каналы утечки информации в технических средствах ее обработки.
В разделе “Оценка возможностей технических разведок и других источников угроз безопасности информации” приводятся:
перечень видов и средств технической разведки, источников угроз несанкционированного доступа к информации, которые опасны для данного объекта;
результаты оценки их возможностей: по обнаружению (определению) демаскирующих признаков объекта, раскрывающих охраняемые сведения; по перехвату информации циркулирующей в технических средствах ее обработки; по перехвату речевой информации из помещений; по получению, разрушению (уничтожению), искажению или блокированию информации в результате несанкционированного доступа к ней.
При оценке используются нормативно-методические документы Гостехкомиссии России, ФАПСИ и других уполномоченных органов государственной власти.
В разделе “Организационные и технические мероприятия по защите информации” приводятся:
организационные и технические мероприятия, обеспечивающие устранение или ослабление (искажение) демаскирующих признаков и закрытие возможных технических каналов утечки охраняемых сведений об объекте;
мероприятия по защите информации о создаваемых (применяемых) изделиях от иностранных граждан, как на территории объекта, так и в непосредственной близости от него;
мероприятия по защите информации в системах и средствах информатизации и связи.
При нахождении на территории объекта организации, арендующей территорию данного объекта, требования по защите информации на данный объект должны быть включены в договор аренды.
В разделе “Оповещение о ведении разведки” указывается порядок получения, регистрации и передачи данных о возникновении реальных угроз безопасности информации, а также приводится действия должностных лиц при оповещении.
В разделе “Обязанности и права должностных лиц” определяются должностные лица подразделений объекта, ответственные за разработку, обеспечение и выполнение мероприятий по защите информации, их функциональные обязанности и права, приводится структурная схема взаимодействия подразделений по защите информации на объекте с соответствующими подразделениями данного объекта.
В разделе “Планирование работ по защите информации и контролю” указываются основные руководящие документы для планирования работ по защите информации, требования к содержанию планов, приводится порядок разработки, согласования, утверждения и оформления планов, устанавливается порядок отчетности и контроля за выполнением планов.
В разделе “Контроль состояния защиты информации” указываются:
задачи контроля;
перечень органов и подразделений, имеющих право проверки состояния защиты информации на объекте;
привлекаемые силы и средства контроля, порядок привлечения (при необходимости) к этой работе специалистов основных подразделений объекта;
периодичность и виды контроля, порядок оформления результатов контроля;
действия должностных лиц по устранению нарушений норм и требований по защите информации и порядок разработки мероприятий по устранению указанных нарушений.
В разделе “Аттестование рабочих мест” указываются подразделения или должностные лица, ответственные за аттестование рабочих мест, стендов, вычислительных комплексов, выделенных помещений и т.д., приводится форма документирования результатов аттестования и порядок выдачи разрешения на проведение работ с секретной информацией, а также порядок и периодичность переаттестования рабочих мест.
В разделе “Взаимодействие с другими предприятиями” указываются порядок взаимодействия в области защиты информации с предприятиями при выполнении совместных работ, применяемые совместные организационные и технические мероприятия по защите информации, ответственность, права и обязанности взаимодействующих сторон, а также приводится структурная схема взаимодействия.
В приложения к Руководству включаются:
таблицы, схемы, графики, расчеты, исходные данные и другие справочные материалы для оценки обстановки, определения мероприятий по защите информации;
перечень создаваемых (применяемых) изделий, выполняемых НИОКР и другой продукции, подлежащих защите;
перечень сведений, подлежащих защите; план объекта с указанием схем размещения рабочих мест, стендов и т.д., и схем организации связи и сигнализации объекта;
структура системы защиты информации на объекте; перечень руководящих, нормативных и методических документов по защите информации и др.
2. Особенности защиты информации в условиях реализации международных договоров по сокращению вооружений и вооруженных сил
Важным элементом обеспечения международной безопасности являются международные договора о запрещении, нераспространении и сокращении вооружений и вооруженных сил. Все эти договора включают те или иные положения о контроле за их выполнением. Реализация положений по контролю создает благоприятные возможности для легального ведения разведки и накладывает определенные ограничения на меры защиты информации.
Одним и первых таких договоров стал Договор о нераспространении ядерного оружия , подписанный 1 июля 1968 года в Лондоне, Москве и Вашингтоне. В соответствии с этим договором обеспечение контроля выполнения выше требований Договора возложено на Международным агентством по атомной энергии (МАГАТЭ) с тем, чтобы не допустить переключения ядерной энергии с мирного применения на ядерное оружие или другие ядерные взрывные устройства.
Исключительное значение для сдерживания гонки вооружений и обеспечения международной безопасности имел Договор между СССР и США об ограничении систем противоракетной обороны. В течение четверти века Договор ПРО успешно выполнял свои функции по сдерживанию стратегических ракетных вооружений. В Договоре впервые серьезное внимание уделялось техническим средствам контроля за его соблюдением, которые к периоду подписания Договора получили существенное развитие, особенно, - средства космического контроля.
Развитие, так называемых национальных технических средств контроля, а фактически средств технической разведки имело двойственные последствия. С одной стороны, эти средства, безусловно, обеспечили гарантии соблюдения Договора, но с другой стороны создали угрозу негласного получения критически важной для обороны информации в сферах, не имеющих отношения к предмету договора.
Договор между СССР и США о сокращении и ограничении стратегических наступательных вооружений. Договор СНВ-1. 1991г. предусматривает поэтапное сокращение боезарядов и средств их доставки. После подписания этого Договора значительная часть сведений о СНВ перестала быть государственной тайной , что способствовало укреплению доверия между странами. Важной мерой обеспечения безопасности, предусмотренной в Договоре, стало создание каждой из Сторон Центров по уменьшению ядерной опасности, которые обеспечивают постоянную связь между Сторонами, в целях предоставления и получения уведомлений в соответствии с Протоколом об уведомлениях и Протоколом об инспекциях.
Договор СНВ-1 развивает положения Договора ПРО 1972 года в части контроля за его соблюдением. Положения Договора содержат беспрецедентные требования по осуществлению контроля с использованием инспекций на местах в различных ситуациях, включая контроль по подозрению. Для содействия осуществлению целей и положений настоящего Договора Стороны создают Совместную комиссию по соблюдению и инспекциям
Кроме того, Договор СНВ-1 существенным образом развивает положения предшествующего Договора 1972 года в части использования национальных технических средств контроля. Накладываются жесткие ограничения на возможность оказывать противодействия этим средствам . Противодействие в ходе испытаний не запрещается вообще, но если оно осуществляется, то, например, летное испытание засчитывается как два летных испытания в предусмотренных квотах. Более того, в целях повышения эффективности использования национальных технических средств, особенно при слежении за мобильными ракетами, каждая МБР для мобильных пусковых установок МБР получает собственный опознавательный знак. Особое внимание в договоре уделяется контролю за содержанием телеметрической информации о состоянии испытываемых ракет в соответствии с Протоколом о телеметрической информации. Это позволяет Сторонам эффективно следить за выполнением положений Договора.
Договор между Российской Федерацией и Соединенными Штатами Америки о дальнейшем сокращении и ограничении стратегических наступательных вооружений 1993 года (СНВ-2) разрабатывался с учетом новых реалий, изменившихся политических и стратегические отношений между сторонами. Предметом Договора стало более глубокое, по сравнению с СНВ-1 сокращение суммарного количества боезарядов, которые числятся за развернутыми МБР, развернутыми БРПЛ и развернутыми тяжелыми бомбардировщиками. Договор также предполагает использование национальных технических средств и инспекций для контроля за его выполнением.
К важному пониманию необходимости сокращения не только стратегических вооружений, но и обычных вооруженных сил страны противостоящих военных блоков в Европе пришли в конце 80-х годов. В начале 1989 года был подписан Договор об обычных вооруженных силах в Европе . Подписавшие Договор стороны определили, что в пределах района применения настоящего Договора количества обычных вооружений и техники, ограничиваемых Договором, не должны превышать 40.000 боевых танков, 60.000 боевых бронированных машин, 40.000 артиллерийских единиц, 13.600 боевых самолетов и 4.000 ударных вертолетов с обеих сторон.
Договор содержит уже ставшие обязательными положения о методике подсчета вооружений, а также указания о праве Государства-участника использовать имеющиеся в его распоряжении национальные или многонациональные технические средства контроля таким образом, чтобы это соответствовало общепризнанным принципам международного права. Государство-участник не чинит помех национальным или многонациональным техническим средствам контроля другого Государства-участника. Государство-участник не применяет меры маскировки, затрудняющие осуществление контроля за соблюдением положений настоящего Договора.
Особое место в механизме контроля над вооружениями занимает Договор по открытому небу . Целью этого Договора является дальнейшее развитие и упрочение мира, стабильности и развитие безопасности на основе сотрудничества этой области путем создания режима открытого неба применительно к наблюдению с воздуха. Этот режим предполагается использовать для развития открытости и транспарентности, содействия наблюдению за выполнением существующих или будущих соглашений в области контроля над вооружениями и для расширения возможностей по предотвращению кризисов и регулирования кризисных ситуаций в рамках Совещания по безопасности и сотрудничеству в Европе и в других соответствующих международных организациях.
Специфика этого Договора заключается в том, что его предмет не ограничивается каким либо видом вооружения или военной деятельности. Договор был призван повысить открытость сторон и взаимное доверие на основе достоверной информации, полученной путем наблюдения с воздуха. Анализ мониторинговых возможностей различных государств - участников Договора и сравнительных оценки доступности контролирующей стороны к объектам наблюдения до и после заключения Договора свидетельствуют о невыгодности этого Договора для России.
Мониторинговые возможности режима открытого неба по отношению к различным государствам - участникам могут характеризоваться следующими показателями:
соотношением количества пассивных и активных квот государств - участников на наблюдательные полеты;
соотношением дальностей наблюдательных полетов (продолжительности наблюдения территории);
соотношением площадей наблюдаемых территорий (с учетом возможностей получения информации от третьих стран - участников Договора по открытому небу).
В соответствии со ст. IV Договора каждое государство-участник имеет право запросить и получить от наблюдающей стороны копии данных, собранных аппаратурой наблюдения во время наблюдательного полета. Таким образом, полученные разведывательные данные о России или любого другого государства - участника являются достоянием всех государств - участников Договора. Если принять во внимание возможность координации совершаемых наблюдательных полетов в рамках, например, НАТО, то становится ясным, что собранная информация может оказаться коррелированной и в значительной степени взаимодополняющей. Если исходить из сравнения возможностей по рассмотренным выше показателям, то - возможности России по получению информации, по сравнению с США, оказываются в 6 - 10 раз хуже.
Особенностью, влияющей на организацию защиты информации в условиях реализации международных договоров, является широкое использование мер контроля за соблюдением договоров. К ним относятся использование национальных технических средств контроля и инспекционных групп на территории контролируемой стороны. При использовании инспекционных групп осуществляется не только визуальное наблюдение инспектируемых объектов, но и применение технических средств контроля: фотоаппаратов, телекамер, аппаратуры радиационного, магнитометрического, инфракрасного и других видов контроля. Кроме того, применяются портативные компьютеры, средства связи, навигации и другое оборудование, не подлежащее досмотру. Количество пунктов инспекций исчисляется десятками. Эти пункты оборудуются аппаратурой для непрерывного наблюдения за периметром объектов, проходными пунктами. Данная аппаратура позволяет фиксировать внутреннее содержание проходящих через эти пункты транспортных средств.
Все это приводит к тому, что в поле зрения инспекционных групп могут попадать не только объекты контроля, определенные в договорах, но и другие объекты, информация о которых может составлять государственную тайну. Для последних объектов должны быть предприняты дополнительные меры защиты информации. При этом меры защиты не должны создавать помех национальным техническим средствам контроля и инспектирующим группам контролирующей стороны, действующей в соответствие с Договором.
Мероприятия по защите информации в ходе реализации международных договоров могут быть подразделены: на проводимые до начала инспекций, в процессе инспекций и после инспекций.
Мероприятия до начала инспекций проводятся заблаговременно; разрабатываются способы защиты, готовятся к применению средства защиты неподконтрольных объектов и сведений, не относящихся к предмету договора. Создается система оперативного управления мерами и средствами защиты информации.
В ходе инспекций осуществляется контроль за деятельность инспекционных групп, реализация дополнительных мер и применение средств защиты информации, управление ими с учетом изменяющейся обстановки.
После осуществления инспекций осуществляются проверки объектов и территорий с целью обнаружения возможно внедренных закладок.
3. Особенности защиты информации
в условиях создания совместных предприятий
Совместные предприятия характеризуются размещением на одной территории представительств иностранных фирм и цехов, участков, где проводятся работы с защищаемыми объектами. Часто для работы с защищаемыми изделиями и продукцией совместных предприятий используется одно и тоже оборудование.
Это приводит к тому, места нахождения возможных средств разведки оказываются в непосредственной близости от защищаемых объектов. При этом резко возрастает опасность перехвата информации по каналам акустической разведки, каналам побочных электромагнитных излучений, химической разведки. Иностранные представители получают возможность визуального наблюдения защищаемых объектов. Возрастает опасность разглашения информации работниками предприятий в процессе совместной деятельности. Такое разглашение может произойти, в том числе, по косвенной информации, раскрывающей при ее комплексной обработке содержание сведений, составляющих государственную тайну.
Все это требует принятия дополнительных мер по защите информации. К таким мерам относятся:
организация технологического процесса, исключающая пересечение во времени и пространстве защищаемых и не защищаемых изделий;
выделение специальных технических территорий, куда доступ иностранных представителей запрещен;
использование активных средств противодействия разведке ПЭМИН, акустической разведке;
выявление дополнительных каналов утечки информации за счет доступа иностранных представителей в места сбора отходов производства, изготовления технологических приспособлений и тому подобное;
регулярное проведение специальных проверок помещений и технических средств;
выявление возможных скрытых каналов разглашения сведений (несекретные библиотеки, базы данных, конференции, совместные публикации и др.), профилактическая работа с персоналом по вопросам предупреждения разглашения сведений;
при невозможности скрытия защищаемых сведений использование приемов введения в заблуждение или создания у потенциальной разведки неопределенности относительно истинного содержания проводимых работ;
более частое проведение контрольных мероприятий с целью выявления возможных предпосылок к утечке информации и их пресечению.
4. Особенности защиты информации в условиях научно-технического, военно-технического и экономического сотрудничества с другими странами
В ходе научно-технического, военно-технического и экономического сотрудничества с другими странами может осуществляться Передача сведений, составляющих государственную тайну, другим государствам. Такая передача производится в соответствие с требованиями ст. 18 Закона “О государственной тайне” и Положением “О подготовке к передаче сведений, составляющих государственную тайну, другим государствам” , утвержденном Постановлением Правительства Российской Федерации от 2 августа 1997 г. N 973.
Передача сведений в каждом отдельном случае осуществляется по решению Правительства Российской Федерации при наличии экспертного заключения Межведомственной комиссии по защите государственной тайны (далее именуется - Межведомственная комиссия) о возможности передачи этих сведений.
Обязательства принимающей стороны по защите передаваемых ей сведений предусматриваются в заключаемом с ней международном договоре, разделы (статьи, пункты) которого должны содержать:
соотнесение степеней секретности передаваемых сведений в Российской Федерации и в иностранном государстве;
перечень компетентных органов, уполномоченных осуществлять прием (передачу) сведений и несущих ответственность за их защиту;
порядок передачи сведений;
требования к использованию и обработке передаваемых сведений;
обязательства о нераспространении передаваемых сведений третьим странам и их защите в соответствии с внутренним законодательством принимающей стороны;
порядок разрешения конфликтных ситуаций и возмещения возможного ущерба.
Подготовку решения Правительства осуществляют:
заинтересованные в передаче сведений федеральные органы исполнительной власти, органы исполнительной власти субъектов Российской Федерации, предприятия, учреждения и организации;
органы государственной власти, наделенным полномочиями по распоряжению сведениями;
межведомственная комиссия по защите государственной тайны.
В случае, когда с иностранным государством - получателем сведений ранее не заключался международный договор о взаимном обеспечении защиты передаваемых сведений или при неполном отражении в заключенном ранее международном договоре правил, изложенных выше, одновременно с проектом решения о передаче сведений в Правительство Российской Федерации представляются предложения о заключении соответствующего международного договора или дополнении действующего.
В случае отказа государства - получателя сведений от заключения международного договора о взаимном обеспечении защиты передаваемых сведений внесенные в Правительство Российской Федерации материалы должны содержать информацию о ранее принятых на себя обязательствах и гарантиях принимающей стороны по обеспечению защиты передаваемых ей сведений и нераспространению передаваемых сведений третьим странам.
Дополнительные меры защиты передаваемых сведений могут быть предусмотрены в соглашениях или контрактах, заключаемых (подписываемых) компетентными органами, уполномоченными осуществлять прием (передачу) сведений.
Другой особенностью научно-технического, военно-технического и экономического сотрудничества с другими странами является также участие российских фирм на международных выставках с демонстрацией изделий, технологий, материалов, в том числе военного назначения. Информация об этих экспонатах может составлять государственную тайну, что обусловливает принятие дополнительных мер по ее защите.
Требования по обеспечению защиты информации определяются на этапе формирования экспозиции выставки с учетом имеющихся концепций защиты представляемых экспонатов для соответствующих периодов их жизненного цикла. На этом этапе проводится экспертиза каждого экспоната, информационно-справочных материалов, текстов выступлений и докладов, распределяются обязанности круга лиц, ответственных за подготовку и показ экспозиции, разрабатываются мероприятия по защите информации, формируется группа обеспечения защиты информации.
В состав этой группы должны входить представители Министерства обороны, специалисты режимно-секретных служб, а также специалисты в области защиты информации.
В ходе выставки осуществляется проверка готовности выставки с точки зрения обеспечения защиты информации, оперативный анализ условий демонстрации экспонатов, выявление угроз безопасности информации, проверка выполнения запланированных мероприятий и требований по защите информации.
По окончании выставки группа обеспечения защиты информации проводит анализ выполненных работ, выявляет недостатки в период подготовки и проведения выставки, разрабатывает предложения по совершенствованию мер защиты информации.
Утечку информации в общем виде можно рассматривать как бесконтрольный и неправомерный выход конфиденциальной информации за пределы организации или круга лиц, которым эта информация была доверена.
Перечень источников утечки информации довольно разнообразен, однако их можно разделить на три основные группы:
персонал, имеющий доступ к конфиденциальной информации;
документы, содержащие эту информацию;
3) технические средства и системы обработки информации,
Несанкционированный доступ
Известно, что такая деятельность подразумевает получение, накопление, хранение, обработку и использование разнообразных информационных потоков. Коль скоро информация представляет определенную цену, то факт получения информации злоумышленником приносит ему определенный доход. Следовательно, главная цель противоправных действий - получение информации о составе, состоянии и деятельности объекта охраняемой информации для удовлетворения своих информационных потребностей в корыстных целях и внесение изменений в состав информации. Это может привести к дезинформации в определенных сферах деятельности, в учетных данных, отрицательно сказаться на результатах решения управленческих задач. Более опасной угрозой является уничтожение такой информации.
Целями законодательства о государственной тайне являются фиксирование критериев отнесения к ней тех или иных сведений, критериев рассекречивания, а также детальное регулирование обращения таких сведений.
В целом, нынешняя конструкция законодательства о государственной тайне не противоречит заявленным целям (упоминание в Конституции РФ, основанный на нем рамочный закон «О государственной тайне», законы и подзаконные акты, конкретизирующие положения первых двух). Вместе с тем при приемлемом каркасе фактическое наполнение не совсем удачно.
Прежде всего, законодательство о государственной тайне все более превращается в вотчину административного права. При этом регуляторы обращения государственной тайны, имеющиеся в других отраслях права, расцениваются как соподчиненные праву административному, как реализаторы его положений. Такой подход в корне неверен, поскольку занижает уровень общественных отношений, связанных с обращением государственной тайны. Например, закон «О государственной тайне» предусматривает ограничения конституционных прав граждан (право на свободу перемещения, право на неприкосновенность личной жизни и др.). В этом законе содержатся нормы трудового права (доплаты лицам, допущенным к государственной тайне, и пр.), очертания норм уголовного права (ответственность за наиболее грубые нарушения правил обращения). Таким образом, законодательство о государственной тайне объективно носит межотраслевой характер и вправе называться государственным (общеправовым), а не административно-правовым. Вместе с тем административное право и соответствующий административно-правовой режим играют наиболее заметную роль в регулировании обращения государственной тайны.
Для достижения позиционирования института государственной тайны как государственного требуется достаточно простое изменение законодательства. В рамочном законе «О государственной тайне» целесообразно прописать лишь понятие государственной тайны, а также критерии засекречивания и рассекречивания сведений. Процедуру обращения тайны (т.е., в основном, административно-правовой режим) надо выделить в отдельный закон. Будущий закон по уровню правового регулирования обращения государственной тайны необходимо ставить на один уровень, например, с УК РФ.
Во-вторых, законодательство о государственной тайне превратилось в громоздкую конструкцию: более 120 законов и нормативных актов федерального уровня регламентируют обращение тайны. Огромное число источников исключает приемлемую кодифицированность, неминуемо порождает конкуренцию. Вот почему в судах то и дело поднимается вопрос о расширительном или, наоборот, слишком узком толковании положений закона «О государственной тайне» в той или иной ведомственной инструкции. Вот почему многие нормы остаются «мертвыми» (для них уже прописаны «антинормы» - противоядия), а некоторые искусственно попадают в хит-парады (нет законодательных ограничений для их реализации). Вот почему рядовые исполнители склонны засекречивать любую информацию (подробное изучение перечней и разногласий между ними позволяет наложить гриф почти на любую информацию). Таким образом, законодательство о государственной тайне требует упрощения.
В-третьих, существенные сегменты законодательства о государственной тайне написаны «под ведомство» (об этом подробно упоминалось выше), т.е. не отражают общенациональные интересы.
Кроме рассуждений о конструкции законодательства о государственной тайне внимания заслуживают и два момента технологического уровня. При их кажущейся мелочности и заурядности они превратились в серьезные препятствия на пути эффективного применения действующего законодательства.
Во-первых, налицо подмена термина «доступ к государственной тайне» термином «допуск к государственной тайне». Процедура одержала серьезную победу над содержанием, часто исполнителей карают не за нарушения при обращении с настоящей государственной тайной, а за нарушения при обращении с документами, в верхнем правом углу которых стоит гриф секретности. Несомненно, что установление материального критерия государственной тайны при попытке наложения любого взыскания за нарушения правил обращения с ней не должно быть формальным.
Во-вторых, наблюдается тенденция к унификации процедуры дозволения доступа к государственной тайне путем оформления допуска. В схему оформления допуска явно не укладываются те категории лиц, которым требуется доступ к государственной тайне по факту занятия той или иной должности или занятия той или иной деятельностью. Вероятная попытка отказать им в оформлении допуска - слишком серьезный подрыв конституционных гарантий, политической и экономической стабильности. Речь идет о выборных должностях (Президент РФ, члены ФС РФ, главы администраций субъектов РФ, члены ВС РФ и т.п.), некоторых невыборных высших должностях (министр, заместитель министра). Также нецелесообразно требовать оформления допуска для адвоката, мирового судьи и т.п. Столь же нецелесообразно ограничивать реализацию права собственности отсутствием допуска (например, если гражданин РФ, не имеющий допуска к государственной тайне, приобрел «режимное» предприятие). Для таких категорий лиц должна быть предусмотрена отдельная процедура, сводящаяся к следующему. При назначении (избрании) на такую должность, занятии такой деятельностью лицо автоматически приобретает допуск к государственной тайне, о чем ему заранее известно. В отношении него и его близких не проводится специальная проверка. Вероятно, у некоторых категорий таких лиц, например адвокатов, по факту каждого ознакомления с государственной тайной следует брать еще и расписки о неразглашении. Кроме того в традиционную схему оформления допуска не укладываются лица, волей случая ставшие обладателями государственной тайны. Например, свидетели обыска, в ходе которого были обнаружены сведения, составляющие государственную тайну, пожарные, ликвидирующие пожар на «режимном» предприятии и т.п. Апостериори оформлять на них допуск нецелесообразно. При условии, что они восприняли тайну, с них следует брать подписку о неразглашении и предусмотреть в УК РФ нежесткую ответственность за нарушение обязательства, закрепленного в расписке. Также не следует ограничивать конституционные права этих лиц (право на поездки за границу, право на неприкосновенность частной жизни и пр.) по факту случайного обладания государственной тайной.
Таким образом, изменение законодательства о государственной тайне потребует не только достижения адекватности правового регулирования ключевым интересам общества и личности путем, прежде всего, сужения круга сведений, образующих государственную тайну. Оно также потребует более внимательного отношения к позиционированию вопросов охраны секретов среди различных отраслей российского права и стремления к минимизации технико-юридических ошибок. Законодательство должно стать рафинированным, выверенным, однозначным, несложным.
