CC BY
91
УДК 004
ЗАЩИТА «ЧУВСТВИТЕЛЬНОЙ» ИНФОРМАЦИИ В ОРГАНАХ ГОСУДАРСТВЕННОЙ ВЛАСТИ С ТОЧКИ ЗРЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
© Каштанов Сергей Анатольевич
аспирант, Саратовский государственный социально-экономический университет.
Ш Kashtanov@ssea.runnet.ru
В статье рассматривается актуальная проблема защиты так называемой чувствительной информации в условиях внедрения информационных технологий в деятельность органов государственной власти и местного самоуправления, других государственных организаций 1 ! * 1 и учреждений. Проблема многократно обостряется необходимостью рас- * крытия информации о деятельности органов власти, регламентированной } законами и другими документами по вопросам раскрытия информации Ч о деятельности органов власти.
Ключевые слова: чувствительная информация, информационная безопасность, защита информации, информационные технологии, несанкционированный доступ к информации.
4 I ч
В условиях повсеместного внедрения информационных технологий в деятельность органов государственной власти и местного самоуправления, других государственных организаций и учреждений, введения в действие законов РФ от 13 января 1995 г. № 7-ФЗ «О порядке освещения деятельности органов государственной власти в государственных средствах массовой информации» (с изм. на 12 мая 2009 г.), от 9 февраля 2009 г. № 8-ФЗ «Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления», Постановления Правительства РФ от 15 июня 2009 г. № 478 «О единой информационно-справочной системе информационно-справочной поддержки граждан и организаций по вопросам взаимодействия с органами исполнительной власти и органами местного самоуправления с использованием информационно-коммуникационной сети Интернет» и других официальных документов, регламентирующих раскрытие информации о деятельности органов власти, представляется крайне важной и актуальной тема определения и защиты так называемой критически важной информации.
С учётом того, что в отечественной законодательной и нормативной базе такое понятие не предусмотрено, практическая работа в этом направлении довольно затруднительна и вызы-
вает много вопросов. Поэтому считаем возможным на примере Регламента Министерства сельского хозяйства США (USDA) подробно рассмотреть, каким образом в этой стране, активно внедряющей технологии электронного государственного управления, устанавливается процедура выявления несекретной, но важной информации и осуществляется её защита от несанкционированного использования или раскрытия [3].
Прежде всего, подчеркнём, что такое регулирование включает в себя минимальные требования защиты, включая определение несекретной, но важной информации, как «чувствительной» информации в области безопасности, при этом рекомендуется обоснованно применять дополнительные гарантии безопасности с учётом «чувствительности» информации.
Важно отметить, что министр сельского хозяйства имеет право первоначально классифицировать информацию как «секретную» согласно распоряжению президента 67 FR 61465 (от 26 сентября, 2002 г.). Поэтому, если в USDA появляются материалы, которые должны быть классифицированы как «чувствительная» информация, то об этом немедленно должен быть уведомлён Административный Департамент.
В рассматриваемом Регламенте указано, что информация не может быть названа «чувствительной» в области безопасности (обознача-
Научно-практический журнал. ISSN 1995-5731
емой индексом (SSI), чтобы скрыть нарушения закона, неэффективность управления и административные ошибки, затруднить доступ к ней лиц, организаций или способствовать ограничению конкуренции.
Разработка Регламента велась на основе ряда официальных правительственных документов США [4], которые послужили основой для его принятия, руководством для всех организационных структур с изложением процедур для выявления, защиты, использования и сохранения несекретной информации, которая считается конфиденциальной, относится к «чувствительной», утечка или разглашение которой представляет угрозу, уязвимость и риск для национальной безопасности США, физической безопасности объектов Министерства сельского хозяйства США.
К «чувствительной» информации, обрабатываемой инфраструктурами физических и виртуальных систем, относят информацию, хранимую на бумаге, в электронном виде или с использованием других средств, а также услуги, необходимые для обеспечения политико-экономической деятельности правительства США. Среди них критические системы, средства и запасы необходимых для эксплуатации, обслуживания или распределения основных товаров и услуг, таких как телекоммуникации (включая передачу речи, изображения и данных через Internet), электроэнергия, газ и хранение нефти, транспорт, банковское дело, финансы, здравоохранение (в том числе биологические, химические, радиологические и другие опасные материалы), водоснабжение, сточные воды, аварийные службы (в том числе медицинские, пожарные и полицейские службы), обеспечения непрерывности деятельности правительства.
«Чувствительной» информацией несекретного характера, находящейся в информационных средствах её обработки и хранения, в случае публичного раскрытия, должна считаться та, которая может оказать вредное воздействие на безопасность операций федерального правительства, несёт угрозу здоровью или безопасности граждан США, долгосрочному экономическому процветанию страны. К подобной информации, обозначаемой SSI, относят:
1) сведения о способности любого элемента из критической инфраструктуры США защищаться от вторжения, вмешательства, кражи или опасного воздействия со стороны недееспособного либо психически больного лица, физических или компьютерных атак или любого другого агрессивного воздействия, нарушающего федеральный, государственный или местные законы, наносящего вред межгосударственным
связям и международной торговле США, угрожающего здоровью или безопасности граждан;
2) информацию об оценке жизнеспособности систем, данные о проектировании или оценке факторов уязвимости систем безопасности любого элемента критической инфраструктуры США, в частности, о результатах тестирования безопасности, оценке и управления рисками;
3) возникающие оперативные проблемы или решения в отношении безопасности любого элемента критической инфраструктуры США: сведения о ремонте, восстановлении, модернизации, реконструкции, перемещении и обеспечении бесперебойной работы любого её элемента.
Для иллюстрации и в качестве примеров видов информации, которая может быть классифицирована как SSI, приводятся следующие её категории:
1) физическое состояние безопасности лабораторий Министерства сельского хозяйства США, исследовательских центров, полей, объектов, которые могут содержать уязвимости;
2) следственные и аналитические материалы, касающиеся информации о физической безопасности на объектах Министерства сельского хозяйства США (вышеназванных объектов);
3) информация, которая может привести к физическому риску для граждан;
4) информация, которая несёт угрозу, риск повреждения жизненно важных объектов и инфраструктуры;
5) сведения о кибербезопасности: архитектура сети, её чертежи, планы, программы и системы безопасности, планы и описания критических и чувствительных информационных технологий, назначение систем и их применение, планирование управления данными, ИТ-управление конфигурацией данных и библиотеки, чертежи, схемы и технические характеристики оборудования, а также его фактическое местонахождение, инциденты и уязвимости, оценки рисков и отчёты, контрольные перечни, руководства по безопасности для пользователя, сведения политике информационной безопасности;
6) информация о попытке получения «чувствительной» информации означает мнение, высказанное лицом, являющимся уполномоченным её держателем SSI, что предполагаемый получатель требует доступа к таким сведениям.
В Регламенте приведены обязанности помощников секретарей, администраторов агентства, региональных директоров, Управления директоров и руководителей подразделений местных учреждений, в дальнейшем именуемые ведомственные организации, которые отвечают за определение и обозначение информации SSI, требующей защиты.
Информационная безопасность регионов. 2011. № 2 (9)
Руководители ведомственных организаций определяют категории или типы информации SSI, которая циркулирует в их организации или предназначена для использования в ней.
Гриф SSI может быть снят с запрашиваемой информации на основе Закона о свободе информации, если руководитель ведомственной организации определяет, что информация не квалифицирована таковой по содержащемуся определению. Если чувствительность информации требует защиты сверх минимальных уровней, установленных в этом порядке, ведомственный руководитель должен гарантировать, что все сотрудники офисов информированы о порядке хранения информации и соблюдении этих критериев.
Все руководители ведомственных организаций, которые располагают SSI, несут ответственность за проведение обзоров о состоянии её безопасности, в соответствии с Директивой США DR 3080-01 «Планирование отчётов» [4].
Среди подчинённых руководители назначают должностных лиц, которые имеют право определять, какая информация, находящаяся под их контролем, нуждается в защите от несанк-
ступа или модификации SSI, находящейся в их распоряжении.
Кроме того, персоналу должно быть известно, что не исключено быстрое и соответствующее применение дисциплинарных мер против лиц, ответственных за несанкционированное разглашение SSI.
Директор информационной службы осуществляет создание системы управления записями, разработку политики и процедур для обеспечения того, чтобы записи SSI поддерживались, утилизировались в соответствии с требованиями к записям управления, применяет существующие ресурсы для безопасности пунктов связи, подготовки к чрезвычайным ситуациям, разрабатывает политику и стандарты для защиты ИТ-системы. Функции системы защиты должны включать шифрование, применение продуктов сетевой безопасности, обеспечение надёжности и безопасности вычислительных систем, физическую защиту, соблюдение требований политики и стандартов информационной безопасности.
На директора информационной службы возлагаются задачи по разработке стратегии
К «чувствительной» информации, обрабатываемой инфраструктурами физических и виртуальных систем, относят информацию, хранимую на бумаге, в электронном виде или с использованием других средств, а также услуги, необходимые для обеспечения политико-экономической деятельности правительства США.
ционированного разглашения. Должностные лица, назначенные для этого, в свою очередь, несут ответственность за обеспечение того, чтобы сотрудники, действующие под их руководством, были извещены о наличии информации, которая считается SSI.
Персонал учреждений и ведомств должен знать издаваемые директивы, на основе которых, в случае необходимости, устанавливаются критерии определения SSI и ответственность за её сохранность в рамках своих организаций. Необходимо определить информацию в качестве SSI. Все директивы должны иметь предварительное согласование с Административным департаментом до их утверждения.
Персонал должен убедиться, что применяются адекватные меры безопасности и процедуры для защиты SSI, осознавать свою ответственность за этот процесс, обязан периодически проводить анализ рисков, определять и выявлять потенциальные угрозы и соответствующие уязвимости для SSI, находящейся в их распоряжении. Следует определять потенциальный вред в результате потери, неправильного использования или несанкционированного до-
и процедур для восстановления критических информационных технологий инфраструктуры после серьёзных сбоев, программы управления рисками и реализации материалов исследований и анализа управления, эффективности технологии обеспечения системы живучести, резервного копирования и восстановления данных, соблюдения требований стратегии оформления сайта.
Регламентом предусмотрены меры по идентификации и маркировке SSI. Обратим внимание на то, что в USDA материал, содержащий информацию, которую её руководитель определил как нуждающуюся в защите от несанкционированного разглашения, должна быть помечена на видном месте следующим образом: «Чувствительная» информация в области безопасности - распространять только на законной основе». Это обозначение наносится в виде маркировки текстом уведомления в нижней части обложки документа, в названии страницы, на первой странице документа (если они имеются).
При пересылке документов SSI, они должны иметь обозначение «Чувствительная» информация в области безопасности. Распространять
Научно-практический журнал. ISSN 1995-5731
информацию только на основе разрешения». Сообщениям, передаваемым по электронным каналам связи, содержащим SSI, должно предшествовать сообщение «Чувствительная» для безопасности информация - распространение только на основе разрешения», находящееся в начале текста.
Цель обозначения SSI в документе - обеспечение того, чтобы всем получателям материала было известно, что информация нуждается в защите и должна распространяться только на законной основе. Метод идентификации должен оказывать минимальное влияние на эффективность работы организации.
Сотрудники, которые имеют отношение к хранению SSI, должны проявлять должную осторожность, чтобы информация была не доступна для лиц, которые не имеют разрешённого доступа к ней. Как минимум, люди, которые не могут обосновать то, что им необходимо знать, не должны получать незаметно визуальный доступ к SSI.
SSI должна храниться и обрабатываться ИТ объекта с применением соответствующих физических, административных и программно-технических мер защиты.
Информация, которая была определена и известна получателем как SSI, должна быть защищена от раскрытия неуполномоченными лицами. Защита от разглашения включает меры предосторожности против устного раскрытия, предупреждение визуального доступа к информации и меры предосторожности в отношении ознакомления с материалом посторонних лиц.
Содержание информации SSI может обсуждаться по телефону, однако в этом случае следует исключить возможность получения данных, касающихся неприкосновенности частной жизни или безопасности информации. Такие сведения не должны передаваться по открытому радиоканалу. Эти устройства требуют применения шифрования.
Интернет не является безопасным и не должен быть использован для передачи SSI. Это имеет решающее значение для защиты и обеспечения надлежащей защиты SSI от незаконного или необоснованного разглашения.
Срок действия защиты SSI. Информация не может защищаться как SSI, когда она перестает соответствовать установленным требованиям, и обычно должна оставаться сохранной как SSI не более чем 10 лет, если не имеется нового определения, что гарантированная защита предоставляется в течение более длительного периода.
Использование домашних персональных компьютеров для хранения или передачи SSI запрещено из-за высоких рисков безопасности
в области защиты конфиденциальной информации не принадлежащих государству систем. Оборудование в государственных учреждениях должно быть настроено для поддержания надёжной защиты и безопасности, соответствуя самому высокому уровню конфиденциальности информации, содержащейся в компьютере.
Таким образом, рассмотренный выше Регламент во многом имеет сходство с методикой защиты конфиденциального документооборота, разработанной в нашей стране [1, 2]. Тем не менее некоторые определения и иные аспекты, нашедшие в нем отражение, представляют определённый интерес и могут быть использованы в качестве платформы для дальнейшей разработки практических вопросов защиты так называемой «чувствительной» информации в органах государственной власти.
Библиографический список
1. Овчинников С. А. Конфиденциальная информация: документирование и защита документооборота [Текст] / С. А. Овчинников, И. С. Овчинников. - Саратов: СГСЭУ, 2010. -224 с. - ISBN 978-5-4345-0021-0.
2. Овчинников С. А. Безопасность органов государственной власти и местного самоуправления» [Текст] / С. А. Овчинников, И. С. Овчинников. - Саратов: СГСЭУ, 2010. - 120 с. - ISBN 978-54345-0016-6.
3. Control and Protection of «Sensitive Security Information». - URL: http://www .ocio. usda. gov/directives/doc/DR3440-002.htm (дата обращения: 10.06.11).
4. URL: http://www. whitehouse.gov /news/ re-leases/2004/08/20040827-8.html (дата обращения: 15.06.2011).
Информационная безопасность регионов. 2011. № 2 (9)
