Читаем Оперативная деятельность и вопросы конспирации в работе спецслужб. Т. 6 полностью

Черновики секретных документов фирмы должны готовиться в тетрадях с пронумерованными листами. После подготовки документов «набело» черновики должны уничтожаться уполномоченными на то служащими. Число копий секретных документов фирмы должно строго учитываться, а копировальные машины снабжаться счетчиком копий и ключом, запускающим машины в действие. Копировальная бумага и красящая лента пишущих машин могут стать источником утечки информации и должны быть предметом особых забот. Использованная копировальная бумага и лента должны уничтожаться под контролем ответственных лиц.

Вероятность утечки секретной информации из документов особенно велика в процессе их пересылки. Доставку секретных документов и ценностей надо организовать собственными силами с привлечением охранников фирмы, или обращаться в те фирмы, которые за плату оказывают такие услуги. Служащие фирмы, отвечающие за сохранность, использование и своевременное уничтожение секретных документов, должны быть защищены от соблазна торговли секретами фирмы хорошей платой за работу. В процессе хранения и пересылки секретных документов фирмы могут быть применены средства защиты и сигнализации о несанкционированном доступе к ним. Одна из новинок — невидимое светочувствительное покрытие, наносимое на документы, которое может проявляться под воздействием света, указывая тем самым на факт несанкционированного ознакомления с документами или их фотографирования.

Использование качественных замков и разнообразных средств сигнализации, хорошая звукоизоляция стен, дверей, потолков и пола, звуковая защита вентиляционных каналов, отверстий и труб, проходящих через выделенные комнаты, демонтаж излишней проводки и неопределяемых служебной необходимостью технических средств, использование защищенных технических средств или специальных устройств защиты в значительной степени затрудняют или делают бессмысленными попытки уничтожения, изменения или хищения вашей информации. Для контроля за множительной техникой целесообразно разместить ее в одном достаточно открытом месте, чтобы избежать тайного копирования. Лучше всего полностью централизовать копировальную систему, установив личную ответственность конкретных работников за копирование документов. Должны быть запрещены случаи выбрасывания в мусорные контейнеры ненужных копий. Документы должны уничтожаться путем сжигания или применения специальных устройств для переработки бумаги. Контроль за циркуляцией сделанных копии включает их регистрацию, составление списка лиц, получающих копий, фиксирование времени получения и сдачи документов.

Основные требования к криптографической защите информации:

— секретность передаваемой информации достаточно долгое время должна сохраняться при попадании закрытой информации в руки злоумышленника;

— процесс шифрования и дешифрования должен осуществляться автоматически и быть «прозрачным», т. е. не ощутимым для пользователя;

— система шифра и набор ключевых установок не могут быть слишком сложными;

— знание системы шифрования при сохранении ключа в секрете не должно позволять дешифровать информацию;

— избыточность сообщений, вносимая при шифровании, должна быть как можно меньшей.

Практика организации защиты вычислительной техники свидетельствует о необходимости придерживаться следующих принципов обеспечения безопасности информации:

— простота защиты. Простые методы защиты являются, как правило, и более надежными;

— открытость проектирования и функционирования средств безопасности. Эффективность защиты не должна зависеть от секретности разработки, т. к. это позволит быстрее выявить «узкие места» и не даст возможности злоумышленнику использовать их в своих интересах;

— минимизация привилегий по доступу к информации для всех, у кого нет необходимости обладать ею;

— установка ловушек для провоцирования несанкционированных действий, когда, например, регистрируются все, кто пытается обойти систему защиты через специально оставленное «окно»;

— независимость системы управления доступом от пользователей. Все лица, связанные с разработкой и функционированием защиты, не должны быть пользователями системы;

— всеобщность применения средств разграничения доступа ко всему множеству контролируемых субъектов и объектов. Любое исключение из этого множества снижает безопасность;

— приемлемость защиты для пользователей, т. к. в противном случае будут предприниматься попытки обхода;

— устойчивость защиты по времени при неблагоприятных обстоятельствах;

— подконтрольность системы защиты;

— особая личная ответственность лиц, обеспечивающих безопасность информации;

— глубина защиты, т. е. дублирование и перекрытие защиты;

— изоляция и разделение объектов защиты на группы таким образом, чтобы нарушение защиты для одной из групп не повлияло на безопасность других;

— минимизация общих механизмов защиты, что уменьшает возможность нарушения работоспособности всей системы защиты в результате выхода из строя общего механизма защиты, используемого различными пользователями;