• Приложения
  • ВВЕДЕНИЕ
  • 1.4. Оптические средства добывания конфиденциальной информации
  • 1.4.2. Приборы ночного видения  
  • 1.4.3. Средства для проведения скрытой фотосъемки
  • 1.4.4. Технические средства получения видеоинформации
  • 1.5. Перехват информации в линиях связи
  • 1.5.2. Методы и средства несанкционированного получения информации в каналах сотовой связи
  • 1.6. Получение информации, обрабатываемой в компьютерных сетях
  • 1.6.2. Преодоление программных средств защиты
  • 1.6.3. Преодоление парольной защиты
  • 1.6.4. Некоторые способы внедрения программных закладок и компьютерных вирусов
  • 1.7. Угрозы реальные и мнимые
  • 2.1. Нормативно-правовая база защиты информации
  • 2.1.2. Общегосударственные документы по обеспечению информационной безопасности «О БЕЗОПАСНОСТИ» Закон РФ от 5 марта 1992 г. № 2446-1 (с изменениями от 25 декабря 1992 г.)
  • 2.2. Организация защиты информации
  • Карта сайта
  • 2.2.2. Организационные мероприятия по защите информации

    Как говорилось выше, защита информации — есть комплекс мероприятий, проводимых собственником информации, по ограждению своих прав на владение и распоряжение информацией, созданию условий, ограничивающих ее распространение и исключающих доступ к засекреченной информации и ее носителям.

    Следовательно, под защитой информации следует также понимать обеспечение безопасности информации и средств информации, в которых накапливается, обрабатывается и хранится защищаемая информация.

    Таким образом, защита информации — это деятельность собственника информации или уполномоченных им лиц по:

    >• обеспечению своих прав на владение, распоряжение и управление защищаемой информацией;

    >• предотвращению утечки и утраты информации;

    сохранению полноты, достоверности, целостности защищаемой информации, ее массивов и программ обработки;        

    >• сохранению конфиденциальности или секретности защищаемой информации в соответствии с правилами, установленными законодательными и другими нормативными актами.

    Система защиты сведений, отнесенных к коммерческой тайне, и их носителей складывается из:

    >• органов защиты коммерческой тайны;

    >• средств и методов защиты коммерческой тайны;

    >• проводимых мероприятий.

    Сложность обеспечения защиты информации требует создания специальной службы, осуществляющей реализацию всех защитных мероприятий и в первую очередь организационного плана. Структура, численность и состав службы безопасности компании определяются реальными потребностями (степенью влияния утраты конфиденциальной информации на показатели работы).

    Впрочем, безопасность предприятия и защита информации может быть реализована следующими тремя путями:

    >• абонементное обслуживание силами специальных организаций;

    >• создание собственной службы безопасности;

    >• комбинированный вариант.

    Рассмотрим все эти варианты более подробно.

    В первом случае специализированное предприятие (организация), имеющее лицензию на соответствующие виды деятельности, на высоком профессиональном уровне проводит полный комплекс работ, связанный с организацией защиты и поддержание состояния защищенности на должном уровне. Поскольку для получения лицензии Гостехкомиссии при Президенте РФ или ФАПСИ (см. подраздел 2.2.1) требуются квалифицированные кадры, дорогостоящие аппаратные, программные и технические средства контроля, методики проведения работ, то лицензия — своеобразная гарантия качества защиты. Однако этот способ имеет два крупных недостатка:

    >• услуги такого рода очень дороги (и не только у нас);

    >• специалисты не могут постоянно находиться на объекте, следовательно при разовом «наезде» вполне вероятен пропуск факта вторжения.

    Во втором случае в фирме создается своя служба безопасности, имеющая, например, следующую структуру (рис. 2.2.5). Она возглавляется

    Рис. 2.2.5. Примерная структура службы безопасности предприятия

    начальником, которому подчинены служба охраны, инспектор безопасности, консультант по безопасности и служба противопожарной охраны. Основными задачами службы безопасности предприятия являются:

    >• обеспечение безопасности производственно-торговой деятельности, защита информации и сведений, являющихся коммерческой тайной;

    >• организация работы по правовой, организационной и инженерно-технической (физической, аппаратной, программной и математической) защите коммерческой тайны;

    >• организация специального делопроизводства, исключающего несанкционированное получение сведений, являющихся коммерческой тайной;

    >• предотвращение необоснованного допуска и открытого доступа к сведениям и работам, составляющим коммерческую тайну;

    >• выявление и локализация возможных каналов утечки конфиденциальной информации в процессе повседневной производственной деятельности и в экстремальных (авария, пожар и др.) ситуациях;

    >• обеспечение режима безопасности при проведении таких видов деятельности, как различные встречи, переговоры, совещания, заседания и другие мероприятия, связанные с деловым сотрудничеством на национальном и международном уровне;

    >• обеспечение охраны зданий, помещений, оборудования, продукции и технических средств обеспечения производственной деятельности;

    .>• обеспечение личной безопасности руководства и ведущих сотрудников и специалистов;

    >• оценка маркетинговых ситуаций при неправомерных действиях злоумышленников и конкурентов.

    Для решения указанных задач служба безопасности предприятия должна выполнять следующие общие функции:

    >• организовывать и обеспечивать пропускной и внутриобъектовый (при наличии зон ограниченного доступа) режим в зданиях и помещениях, устанавливать порядок несения службы охраны, контролировать соблюдение требований режима сотрудниками, смежниками, партнерами и посетителями;

    >• руководить работами по правовому и организационному регулированию отношений по защите коммерческой тайны;

    >• участвовать в разработке основополагающих документов с целью закрепления в них требований обеспечения безопасности и защиты коммерческой тайны, в частности Устава, Коллективного договора. Правил внутреннего трудового распорядка, соглашений, подрядов, должностных инструкций и обязанностей руководства, специалистов, рабочих и служащих;

    >• разрабатывать и осуществлять совместно с другими подразделениями мероприятия по обеспечению работы с документами, содержащими сведения, являющиеся коммерческой тайной, при всех видах работ, организовывать и контролировать выполнение требований «Инструкции по защите коммерческой тайны»;

    >• изучать все стороны производственной, коммерческой, финансовой и другой деятельности для выявления и закрытия возможных каналов утечки конфиденциальной информации, вести учет и анализ нарушений режима безопасности, накапливать и анализировать данные о злоумышленных устремлениях конкурентов и других организаций получить доступ к информации о деятельности предприятия или его клиентов, партнеров, смежников;

    >• организовывать и проводить служебные расследования по фактам разглашения сведений, утрат документов и других нарушений режима безопасности предприятия;

    >• разрабатывать, вести, обновлять и пополнять «Перечень сведений, составляющих коммерческую тайну» и другие нормативные акты, регламентирующие порядок обеспечения безопасности и защиты информации;

    >• обеспечивать строгое выполнение требований нормативных документов по защите коммерческой тайны;

    >• осуществлять руководство службами и подразделениями безопасности подведомственных предприятий, организаций, учреждений и других в части оговоренных в договорах и условиях по защите коммерческой тайны;

    >• организовывать и регулярно проводить учебу сотрудников предприятия и службы безопасности по всем направлениям защиты коммерческой тайны, добиваясь, чтобы к защите коммерческих секретов был достигнут глубоко обоснованный подход;

    >• вести учет сейфов, металлических шкафов, специальных хранилищ и других помещений, в которых разрешено постоянное или временное хранение конфиденциальных документов;

    >• вести учет выделенных для конфиденциальной работы помещений, технических средств в них, обладающих потенциальными каналами утечки информации;

    >• поддерживать контакты с правоохранительными органами и службами безопасности соседних предприятий в интересах изучения криминогенной обстановки в районе (зоне).

    При наличии подобной службы безопасности процесс организации защиты информации, описанный в подразделе 2.2.1, проходит по следующим этапам.

    Первый этап (анализ объекта защиты) состоит в определении, что нужно защищать.

    Анализ проводится по следующим направлениям:

    >• какая информация в первую очередь нуждается в защите;

    >• наиболее важные элементы (критические) защищаемой информации;

    >• определяется срок жизни критической информации (время, необходимое конкуренту для реализации добытой информации);

    >• определяются ключевые элементы информации (индикаторы), отражающие характер охраняемых сведений;

    >• классифицируются индикаторы по функциональным зонам предприятия (производственно-технологические процессы, система материально-технического обеспечения производства, подразделения, управления и т. д.).

    Второй этап сводится к выявлению угроз:

    >• определяется — кого может заинтересовать защищаемая информация;

    >• оцениваются методы, используемые конкурентами для получения этой

    информации;

    >• оцениваются вероятные каналы утечки информации;

    >• разрабатывается система мероприятий по пресечению действий

    конкурента.

    Третий — анализируется эффективность принятых и постоянно действующих подсистем обеспечения безопасности (физическая безопасность документации, надежность персонала, безопасность используемых для передачи конфиденциальной информации линий связи и т. д.).

    Четвертый — определение необходимых мер защиты. На основании проведенных на первых трех этапах аналитических исследований определяются необходимые дополнительные меры и средства по обеспечению безопасности предприятия.

    Пятый — рассматриваются руководителями фирмы (организации) представленные предложения по всем необходимым мерам безопасности и расчет их стоимости и эффективности.

    Шестой — реализация дополнительных мер безопасности с учетом установленных приоритетов.

    Седьмой — осуществление контроля и доведение до персонала фирмы реализуемых мер безопасности.

    Преимущества создания собственной службы безопасности очевидны:

    отлично зная объект, сотрудников, возможные угрозы, т. е. владея обстановкой, своя служба постоянно находится на объекте, поэтому всегда готова отразить всевозможные угрозы...

    Главная проблема заключается в том, что на создание и поддержание ее должного уровня (подбор и обучение сотрудников, закупка техники, лидензирование...) необходимо затратить много времени и выделить серьезные средства. Достаточно отметить, что только на приобретени минимума технических средств контроля защищенности с учетом всего многообразия средств промышленного шпионажа требуется единовременное выделение не менее 20 000 $. Однако одной аппаратуры недостаточно, так как необходимо и знание специальных методик оценки опасности различных каналов утечки информации. В качестве образца такого методического обеспечения в Приложении 1 приведены рекомендации по оценке защищенности конфиденциальной информации от ее утечки за счет побочных электромагнитных излучений.

    Следует особо отметить, что даже при наличии финансовой возможности приобрести специальную аппаратуру и наличии методик все равно требуется участие группы консультантов из числа опытных специалистов как в области защиты информации, так и в тех областях, знания которых необходимы для проведения квалифицированного анализа.

    Таким образом, наиболее действенным должен быть третий, комбинированный вариант, а именно совместная работа службы безопасности и специализированных предприятий по защите информации. В этом случае общими усилиями разрабатывается некий план по защите информации, основные моменты которого приведены ниже.

    План мероприятий по защите коммерческих секретов предприятия

    1. Определение целей плана по защите коммерческой тайны. Ими могут быть:

    >• предотвращение кражи коммерческих секретов;

    >• предотвращение разглашения коммерческих секретов сотрудниками или их утечки через технические каналы.

    2. Анализ сведений, составляющих коммерческую тайну, для чего надо:

    >• определить, какие сведения на предприятии (технологические и деловые) являются коммерческой тайной;

    >• установить места их накопления и хранения;

    >• оценить возможности по перекрытию каналов утечки;

    >• проанализировать соотношение затрат на защиту и возможных потерь при утере информации, если использованы различные технологии, обеспечивающие защиту коммерческой тайны;

    >• назначить сотрудников, персонально ответственных за каждый участок системы обеспечения безопасности.

    3. Обеспечить реализацию деятельности системы по следующим направлениям:

    >• контроль сооружений и оборудования предприятия (обеспечение безопасности производственных и конторских помещений, охрана фото- и иного копировального оборудования, контроль посещений предприятия и т. п.);

    >• работа с персоналом предприятия, в том числе проведение бесед при приеме на работу; инструктаж вновь потупивших на работу по правилам и процедурам, принятым для защиты коммерческой тайны на предприятии; обучение сотрудников правилам сохранения коммерческих секретов; стимулирование соблюдения конфиденциальности;

    беседы с увольняющимися;

    >• организация работы с конфиденциальными документами (установление порядка и правил ведения делопроизводства, контроль за конфиденциальными документами, контроль за публикациями, контроль и учет технических носителей конфиденциальных сведений, рассекречивание и уничтожение конфиденциальных документов, охрана чужих секретов);

    >• работа с конфиденциальной информацией, циркулирующей в технических средствах и системах, которые обеспечивают трудовую деятельность (создание системы предотвращения утечки информации через технические каналы);

    >• работа с конфиденциальной информацией, накопленной в компьютерных системах (создание системы защиты электронной информации от несанкционированного доступа к ней; обеспечение контроля за использованием ЭВМ);

    >• защита коммерческой тайны предприятия в организационно-правовых документах, в процессе заключения контрактов и договоров с коллективом, сотрудниками, смежниками, поставщиками и т. д. Здесь важно четко определить круг лиц, имеющих отношение к этой работе.

    После составления определяются те мероприятия плана, которые выполняются специализированной организацией (наличие квалифицированных специалистов в конкретной области, техническая и методическая оснащенность) и те из них, которые осуществляются силами и средствами собственной службы безопасности (знание оперативной обстановки, динамичность...). При такой работе достигаются оптимальные результаты с точки зрения финансовых затрат и качества защиты.

    Промышленный шпионаж   Информация   Средства перехвата аудиоинформации   Направленный микрофон   Системы безопасности   Безопасность сотовой связи   Средства безопасности   Сигнал   Угрозы и средства защиты   Сигнал тревоги   Технические характеристики   Информационные сигналы   Действия защиты   Приборы ночного видения   Контроль линий связи   Парольная защита   Безопасность предприятия   Защита информации   Микрофон