несекретно СИМПОЗИУМ ПО БЕЗОПАСНОСТИ В РАМКАХ ПРОГРАММЫ "ПАРТНЕРСТВО РАДИ МИРА" (ПРМ) 19 сентября 1994г. Название доклада: БЕЗОПАСНОСТЬ ИНФОРМАЦИИ Докладчик: Йенс Аазен, начальник отделения защиты; Управление безопасности НАТО; Штаб-квартира НАТО, Брюссель (Телефон (32-2) 728 4084/4003) 1. Я уверен, что тема доклада всем знакома, и что многие могли бы сделать доклад подобный моему. Однако мы пригласили вас сюда для того, чтобы ознакомить с правилами НАТО в области безопасности информации, на которых основываются правила безопасности информации, предложенные для программ "Североатлантический совет сотрудничества" (САСС) и "Партнерство ради мира" (ПРМ). По этой причине я продолжу. 2. Сначала немного истории. При создании НАТО в 1949 году системы безопасности стран-участниц существенно различались. Общий подход к безопаснсти информации основывался на опыте Второй мировой войны и методах защиты информации в военных условиях. Поэтому правила безопасности, согласованные среди союзников в течение войны, были приняты за основу в этой ситуации. Первая система засекречивания содержала восемь уровней секретности, из них четыре высших. Предусматривалось создание в каждой стране двух центральных режимных органов и определенное число подчиненных режимных органов. Отбор персонала, имеющего доступ к этой информации, был очень строгим, а информация жестко контролировалась на всех стадиях. Эта система оказалась очень громоздкой, и, последовательно, в 1955 году, число уровней секретности снизилось до четырех: ОГРАНИЧЕННОГО ДОСТУПА, КОНФИДЕНЦИАЛЬНО, СЕКРЕТНО, СОВЕРШЕННО СЕКРЕТНО. Система учета была сохранена, а система отбора персонала упрощена до нынешней. Вы должны были заметить, что в минимальных стандартах по безопасности информации, предложенных для программ САСС/ПРМ, мы опустили уровень СОВЕРШЕННО СЕКРЕТНО. Причиной этого является то, что количество совершенно секретной информации в НАТО является очень ограниченным, а дополнительные требования по безопасности в связи с этим уровнем секретности неоправданно усложнили бы правила обмена информацией между вашими странами и НАТО. 3. Основным принципом безопасности информации является то, что правила должны обеспечить доступ к информации лиц, нуждающихся в ней в силу служебной необходимости, и то, что информация должна сохранять свою степень защиты при всех ее передачах, начиная с источника, а контроль за распределением и распространением информации должен обеспечить отсутствие ее утечки. Присвоение информации НАТО того или иного грифа секретности производится в соответствии с правилами систем безопасности стран-участниц. Подчеркиваю, что НАТО как международная организация не производит секретную информацию. Система безопасности НАТО является просто продолжением систем стран -участниц. Из этого правила есть только одно исключение: как вы знаете, в НАТО принят консенсус. Поэтому существенно, что все переговоры и дискуссии остаются конфиденциальными, пока решение не принято. Поэтому с целью сохранения конфиденциальности, например, при подготовке коммюнике встречи министров, проекты документов засекречиваются, пока все министры не согласовали текст, который затем передается в прессу. 4. Современная система безопасности информации была разработана для документов в виде "твердых копий". Вся учетная информация, такая как входящий номер, учетный номер, дата документа, количество страниц, относится к "твердым копиям". В последние несколько лет информационные технологии развивалитсь с поразительной скоростью. Оптимисты-пользователи этих новых технологий считают, что бумага будет заменена электронным распределением и хранением информации. Я считаю, что мы никогда не сможем полностью отказаться от бумаги, но я надеюсь, что мы сможем уменьшить то количество бумаги, которое мы используем сегодня. Мистер Давид Мэрфи, возглавляющий отделение безопасности систем автоматической обработки данных, сегодня позднее представит доклад о безопасности систем автоматической обработки данных в НАТО. 5. Безопасность информации, независимо от того, какой носитель- бумажный или электронный используется, тесно связана с общим управлением потоками информации. Если в организации имеется четкое распределение обязанностей, потоки информации хорошо организованы, меры безопасности информации применить легко. К сожалению, чаще бывает так, что меры безопасности информации становятся и мерами распределения потоков информации. Это может привести к довольно громоздким процедурам и вызвать впечатление у сотрудников, что меры безопасности усложняют их работу. Если кому-либо из вас придется вводить систему безопасности информации в организации, я настоятельно рекомендую сначала присмотреться к процедурам распределения информации в этой организации. Идеально организация должна иметь отдел (режимный) для приема и отправки всех документов, должны быть ясные инятрукции, как входящие документы должны расписываться сотрудникам, и как нужно готовить и утверждать выходящие документы. Система хранения должна обеспечивать то, что вся информация по определеныым вопросам доступна и постоянно обновляется. Все передачи документов должны регистрироваться в соответствующих журналах, чтобы прием или передача документа были документально подтверждены, и было ясно, откуда он пришел или куда направляется. На каждом документе должен быть входящий или учетный номер и дата. Из записи должно быть видно, кому документ расписан и где он находится в любой момент времени, в том числе когда он подшит на хранение. Если такие правила действуют независимо от степени секретности информации, то меры по безопаснсти информации будет ввести легко. 6. Минимальные стандарты по обработке и защите информации, которой стороны обмениваются в рамках программ САСС/ПРМ, содержат требования по обработке, хранению и передаче секретной информации. Выполнение этих требований будет детально обсуждаться с уполномоченными органами ваших стран во время визитов представителей Управления безопасности НАТО или же, при желании, при встречах в штаб-квартире НАТО. Эти стандарты, обязательные для все стран-участников НАТО и международных организаций НАТО, будут применяться и к предаче информации из ваших стран в НАТО. Главная цель Соглашения по безопасности, Минимальных стандартов и Административного соглашения установить и поддерживать систему безопасности информации в ваших странах и в НАТО, которая обеспечит один и тот же уровень защиты. Эта цель срочная: у нас в НАТО все время пополняются списки документов, многие из которых секретные, которые необходимы для успешного сотрудничества в рамках программ САСС/ПРМ. До выполнения необходимых соглашений эти документы не могут быть переданы. Вопросы?