Режим защиты конфиденциальной информации, содержащейся в негосударственных информационных ресурсах, определяет ее собственник. Положения документа [14] в этом случае носят рекомендательный характер. Тем не менее, для обеспечения защиты информации положения СТР-К следует максимально учитывать при организации работ по учету и контролю ЯМ в ОАО «МЦОУ».
В соответствии с требованиями этого документа организация работ по защите информации возлагается на руководителя предприятия, а методическое руководство и контроль за эффективностью предусмотренных мер защиты информации на руководителей подразделений по защите информации предприятия. В случае ОАО «МЦОУ», который, как предполагается, будет представлять собой малое предприятие с количеством штатных единиц ~ 20 чел., ответственность за работу по защите информации предлагается возложить на лицо, назначенное Гендиректором Центра осуществлять (курировать) разработку и эксплуатацию АИС УиК ЯМ ОАО «МЦОУ».
В целях дифференцированного подхода к защите информации в рабочем документе Гостехкомиссии России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» [15] дается классификация АИС по требованиям к защите от несанкционированного доступа к информации. АИС УиК ЯМ ОАО «МЦОУ» относится ко 2 или 1 группе автоматизированных систем (последовательная работа нескольких пользователей с равными или, соответственно, разными правами доступа (полномочий).
В качестве практических мер по защите информации, обращаемой в АИС УиК ЯМ ОАО «МЦОУ» документ СТР-К рекомендует:
- документальное оформление перечня сведений конфиденциального характера;
- реализацию разрешительной системы допуска исполнителей к информации и документам;
- ограничение доступа персонала и посторонних лиц в помещения, где размещены средства информации и коммуникации, а также хранятся носители информации;
- регистрацию действий пользователей АИС, контроль за несанкционированным доступом и действиями пользователей, персонала и посторонних лиц;
- организацию эксплуатации АИС в соответствии с установленным в офисе ОАО «МЦОУ» порядком, регламентируемом инструкциями по эксплуатации;
- организацию надлежащего порядка учета, хранения, обращения и уничтожения бумажных и машинных носителей информации;
- необходимое резервирование технических средств и дублирование массивов и носителей информации;
- использование сертифицированных серийно выпускаемых в защищенном исполнении технических средств обработки и хранения информации;
- использование технических средств, удовлетворяющих требованиям стандартов по электромагнитной совместимости;
- использование сертифицированных средств защиты информации;
- размещение дисплеев и других средств отображения информации, исключающее несанкционированный просмотр информации;
- организацию физической защиты помещений и собственно технических средств с помощью сил охраны и технических средств
а также другие необходимые меры, перечисленные в [14].
Одним из важнейших элементов организации учета и контроля ЯМ в ОАО «МЦОУ» является построение автоматизированной информационной системы учета и контроля ЯМ (далее АИС). Она создается для автоматизации ведения реестра ЯМ и формирования отчетных документов.
АИС должна обеспечивать:
- регистрацию и ведение базы данных первичных учетных документов по учету и контролю ЯМ;
- ведение базы данных по учету и контролю ЯМ в разрезе информации, необходимой для выполнения требований, предъявляемых системой государственного учета и контроля ЯМ, а также требований системы гарантий МАГАТЭ;
- формирование отчетов о наличии и движении ЯМ в соответствии с требованиями федеральных нормативно-правовых документов, а также требований системы гарантий МАГАТЭ;
- сохранность информации путем периодического архивирования и создания резервных копий;
- разграничение доступа и защиту от несанкционированного доступа к информации, а также конфиденциальность отчетности.
АИС ОАО «МЦОУ» не предназначена для работы с информацией, представляющей государственную тайну.
Ввод информации в АИС осуществляется на основе регистрации следующих первичных учетных документов:
- приходно-расходная документация:
- акт приема-передачи транспортно-упаковочных комплектов для сырья (продукции);
- акт приема-передачи порожних транспортно-упаковочных комплектов от иностранного поставщика;
- акт приема-передачи сырья (продукции) в транспортно-упаковочные комплекты;
- акт приема-передачи сырья для перевозки;
- акт приема-передачи продукции заказчика в в транспортно-упаковочные комплекты;
- акт об оказании услуг по обеспечению доставки сырья (продукции заказчика) в транспортно-упаковочных комплектах;
- акт приемки (возврата) сырья;
- акт об оказании услуг по хранению сырья;
- счета, счета-фактуры, сохраненные записки и другие документы, отражающие движение ЯМ;
- коносамент;
- грузовая таможенная декларация;
- квитанция получения;
- коммерческий инвойс.
- сопроводительная документация:
- документы о контейнерах с ЯМ (накладные, сопроводительные накладные);
- документы о характеристиках перемещаемых ЯМ (паспорта, формуляры, сертификаты, сертификаты качества и количества).
АИС должна включать в себя следующие информационные базы:
- базу данных нормативных документов по учету и контролю ЯМ, включая организационно-распорядительные документы ОАО «МЦОУ»;
- базу данных по учету и контролю ЯМ, содержащую следующую информацию:
- реквизиты документов, на основании которых произведены изменения в базе данных по учету и контролю ЯМ;
- сведения обо всех партнерах ОАО «МЦОУ» по операциям, непосредственно связанным с ЯМ (грузоотправители, перевозчики, транспортные агенты, грузополучатели и др.);
- сведения о федеральных органах исполнительной власти, осуществляющих государственный учет и контроль ЯМ.
В АИС должен быть сформирован справочник кодов:
- владельцев;
- типов отчетов;
- программ применения;
- видов ЯМ;
- учитываемых элементов ЯМ;
- учитываемых изотопов ЯМ;
- физические формы ЯМ;
- химические формы ЯМ;
- чистоты радиационного статуса ЯМ;
- типов изменений инвентарного количества ЯМ;
- типов коррекций.
АИС должна обеспечивать формирование отчетных форм:
для государственной системы учета и контроля ЯМ на основе приходно-расходной и сопроводительной документации, а также результатов измерений - ОИКс, СНКс;
для МАГАТЭ на основе приходно-расходной и сопроводительной документации, а также результатов измерений – ICR;
для государственной системы учета и контроля ЯМ на основе результатов инвентаризации – МБО, СФНК;
для МАГАТЭ на основе результатов инвентаризации – PIL, MBR;
для государственной системы учета экспорта и импорта ЯМ - уведомление об экспорте/импорте ЯМ.
АИС должна содержать следующие интерфейсы:
- интерфейсы регистрации первичных учетных документов;
- интерфейсы для работы со справочниками;
- интерфейсы для запуска отчетных форм;
- интерфейс для мониторинга событий и изменений учетных данных в АИС.
Ввод данных о ЯМ в АИС осуществляется в соответствии с типом учетной операции (заказом). Должны быть предусмотрены, как минимум, следующие учетные операции:
1. Поступление ЯМ поставщика.
2. Отправка получателю.
3. Поступление товарной продукции и отвалов с ОАО «АЭХК».
4. Отправка на обогащение на ОАО «АЭХК».
5. Корректировка веса, вида ЯМ.
6. Смена владельца ЯМ.
7. Ввод разницы отправитель-получатель.
Список может быть при необходимости расширен. Для всех типов учетных операций в АИС должна быть предусмотрена единая сквозная нумерация учетных операций.
АИС должна регистрировать все операции с материалами, включая перемещения, а также изменения вида ЯМ.
Для описания учетных операций в АИС должна быть предусмотрена система атрибутов, которые должны соответствовать требованиям российских нормативных актов к учету ЯМ, а также требованиям системы гарантий МАГАТЭ.
Переходя к проблеме технической реализации АИС СУиК ЯМ ОАО «МЦОУ», удовлетворяющей сформулированным выше требованиям, первый вопрос, который возникает – можно ли взять за основу для нее уже имеющиеся в отрасли АИС УиК ЯМ, и прежде всего систему ОАО «АЭХК» – предприятия, с которым предполагается тесное взаимодействие.
АИС УиК ЯМ ОАО «АЭХК» – это многоуровневая информационная система, предполагающая коллективную работу значительного количества специалистов различных подразделений, разной компетенции и полномочий. С этой целью в АИС ОАО «АЭХК» установлена жесткая иерархия с определенной роль для каждого исполнителя. Настройка системы для каждой роли производится администратором АИС на основании утвержденных руководством ОАО «АЭХК» документов (приказов, распоряжений, заявок и т.д.). АИС УиК ЯМ ОАО «АЭХК» предназначена для работы с информацией, составляющей государственную тайну. Это потребовало применение специальных мер по защите информации, включая использование специальных оптоволоконных кабелей. АИС ОАО «АЭХК» отслеживает тысячи учетных единиц ЯМ и операции с ними, причем в режиме реального времени.