vlibs.ru - жизнеописания, история, рефераты, статьи, иллюстрации
ЭКОНОМИЧЕСКАЯ и ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
Защита информации
Экономическая безопасность. Информационная безопасность. Служба защиты информации
 


Служба защиты информации предприятия.
Что она из себя представляет и как ее организовать
Сергей Перьков, Максим Шевкопляс
Отдел Сетевой Безопасности
alfa-inform

Несколько лет назад одна из молодых компаний попыталась конкурировать с фирмой, прочно занимавшей лидерские позиции на рынке продажи мороженого. Проанализировав всех партнеров фирмы-конкурента на разных стадиях - от получения товара, его рекламы, развоза на точки и собственно самой продажи -аналитики компании-новичка выявили, что «узким местом» является использование парка мини-грузовиков, которые доставляют мороженое соперников на торговые точки. Таковых было достаточно много, а транспортировкой занималась всего одна компания-грузоперевозчик. С ней у конкурента был заключен долгосрочный договор, срок действия которого заканчивался.

Компания-новичок начала действовать на основе полученной информации: заключила с фирмой-перевозчиком долгосрочный эксклюзивный контракт по очень выгодной для последнего цене, загрузив на 100 процентов ее автомобильный парк. Когда же ее конкурент обратился в очередной раз за продлением договора о перевозках, ему было отказано с мотивировкой: «извините, у нас появился очень выгодный контракт». Говорят, опытный конкурент не сумел быстро найти альтернативу и за очень короткий срок разорился.

Проблемы и задачи крупных компаний сегодня стали сравнимы с проблемами и задачами целых государств. Как и государства, они сотрудничают и воюют. Но войны здесь носят название информационных: кто обладает информацией, владеет если не миром, то финансовыми потоками.

Тем не менее, как ни странно, но и сегодня не все руководители осознают насущную необходимость организации на их предприятии системы защиты коммерческой тайны. Из числа тех, кто такую необходимость все же понимает, достаточно многие не знают, что следует делать, дабы сохранить те или иные сведения в тайне, с выгодой реализо­вать их, не понести убытки от их утечки или утраты. Некоторые идут только по пути оснащения предприятия техничес­кими средствами защиты, полностью игнорируя организационно-правовые методы. Имеется в виду, в частности, создание нормативно-правовой базы, принятие и строгое соблюдение которой позволит фирме не только сохранить и использовать с выгодой свои секреты, но в случае утечки информации явится основанием для подачи искового заяв­ления.

Как ни странно, сегодня не многие руководители предприятий осознают насущную необходимость в организации на предприятии системы защиты коммерческой тайны для обеспечения его информационной безопасностью. Из числа тех, кто осознает такую необходимость, есть те, которые не знают что следует предпринять, чтобы сохранить те или иные сведения в тайне, с выгодой реализовать их, не понести убытки от их утечки или утраты. Многие идут только по пути оснащения предприятия техническими средствами защиты, полностью игнорируя организационно-правовые методы, в частности создание нормативно-правовой базы, принятие и строгое соблюдение которой позволит предприятию не только сохранить и использовать с выгодой свои секреты, а в случае утечки информации явится основанием для подачи искового заявления в суд.

Известно, что только «комплексная система может гарантировать достижение максимальной эффективности защиты информации, т.к. системность обеспечивает необходимые составляющие защиты и устанавливает между ними логическую и технологическую связь, а комплексность, требующая полноты этих составляющих, всеохватности защиты, обеспечивает ее надежность» (Алексенцев А.И. Понятие и назначение комплексной системы защиты информации // Вопросы защиты информации. - 1996. - № 2. - с. 2 - 3.)

Целями системы защиты информации предприятия являются:

предотвращение утечки, хищения, утраты, искажения, под­делки информации;
предотвращение угроз безопасности личности, предприятия, общества, государства;
предотвращение несанкционированных действий по унич­тожению, модификации, искажению, копированию, блоки­рованию информации;
предотвращение других форм незаконного вмешательства в информационные ресурсы и системы, обеспечение правово­го режима документированной информации как объекта собственности;
защита конституционных прав граждан на сохранение лич­ной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;
сохранение, конфиденциальности документированной информации в соответствии с законо­дательством.

Для грамотного построения и эксплуатации системы защиты необходимо соблюсти следующие принципы ее применения:

простота защиты;
приемлемость защиты для пользователей;
подконтрольность системы защиты;
постоянный контроль за наиболее важной информацией;
дробление конфиденциальной информации на составляю­щие элементы, доступ к которым имеют разные пользова­тели;
минимизация привилегий по доступу к информации;
установка ловушек для провоцирования несанкционирован­ных действий;
независимость системы управления для пользователей;
устойчивость защиты во времени и при неблагоприятных обстоятельствах;
глубина защиты, дублирование и перекрытие защиты;
особая личная ответственность лиц, обеспечивающих безо­пасность информации;
минимизация общих механизмов защиты.

Алгоритм создания системы защиты конфиденциальной информации таков:

Определение объектов защиты.
Выявление угроз и оценка их вероятности.
Оценка возможного ущерба.
Обзор применяемых мер защиты, определение их недо­статочности.
Определение адекватных мер защиты.
Организационное, финансовое, юридическое и пр. виды обеспечения мер защиты.
Внедрение мер защиты.
Контроль.

Мониторинг и корректировка внедренных мер
1. Начальник службы защиты информации, приказом руководителя предприятия назначается во главе группы компетентных сотрудников, которые высказывают свои предложения по объему, уровню и способам обеспечения сохранности конфиденциальной информации.

2. Руководитель группы, обладая соответствующей квалифи­кацией в этой области, с привлечением отдельных специалистов формирует предварительный список сведений, которые в даль­нейшем войдут в «Перечень сведений, составляющих конфиден­циальную информацию предприятия».

3. Руководитель группы на основе этого списка определяет и представляет на согласование необходимые к защите объекты (оборудование для обработки и обращения информации, про­граммное обеспечение, коммуникации для передачи конфиденци­альных данных, носители информации, персонал, допущенный к работе с использованием коммерческой и иной тайны).

4. Анализируются существующие меры защиты соответствую­щих объектов, определяется степень их недостаточности, неэф­фективности, физического и морального износа.

5. Изучаются зафиксированные случаи попыток несанкциони­рованного доступа к охраняемым информационным ресурсам и разглашения информации.

6. На основе опыта предприятия, а также используя метод мо­делирования ситуаций, группа специалистов выявляет возможные пути несанкционированных действий по уничтожению информа­ции, ее копированию, модификации, искажению, использованию и т. п. Угрозы ранжируются по степени значимости и классифи­цируются по видам воздействия.

7. На основе собранных данных оценивается возможный ущерб предприятия от каждого вида угроз, который становится определяющим фактором для категорирования сведений в «Пе­речне» по степени важности, например — для служебного пользо­вания, конфиденциально, строго конфиденциально.

8. Определяются сферы обращения каждого вида конфиден­циальной информации: по носителям, по территории распростра­нения, по допущенным пользователям. Для решения этой зада­чи группа привлекает руководителей структурных подразделений и изучает их пожелания.

9. Группа подготавливает введение указанных мер защиты.

Для обеспечения работоспособности разработанной системы защиты информации необходимо создать специальный отдел в составе организации, занимающийся данными вопросами – Службу защиты информации (СлЗИ).

К задачам СлЗИ относятся:

Своевременное выявление угроз защищаемой информации компании, причин и условий их возникновения и реализации.
Выявление и максимальное перекрытие потенциально возможных каналов и методов несанкционированного доступа к информации.
Отработка механизмов оперативного реагирования на угрозы, использование юридических, экономических, организационных, социально-психологических, инженерно-технических средств и методов выявления и нейтрализации источников угроз безопасности компании.
Организация специального делопроизводства, исключающего несанкционированное получение конфиденциальной информации.
Начальник СлЗИ является новой штатной единицей. На эту должность необходимо взять профессионала и специалиста в области защиты информации, а также хорошо знающего юридическую сторону этой проблемы, имеющего опыт руководства и координации работы подобных служб. Требования – высшее профессиональное образование и стаж работы в области защиты информации не менее 5 лет, хорошее знание законодательных актов в этой области, принципов планирования защиты.

Руководитель СлЗИ должен выполнять следующие функции:

вырабатывать политику обеспечения защиты информации и обеспечивать ее реализацию;
отвечать за функционирование СлЗИ и обеспечение защиты конфиденциальной информации;
осуществлять планирование и непосредственное руководство работой СлЗИ, нести персональную ответственность за выполнение службой возложенных на нее задач, за неукоснительное исполнение подчиненными своих должностных обязанностей и правил внутреннего трудового распорядка;
принимать личное участие в проведении наиболее сложных мероприятий по обеспечению защиты информации в компании;
разрабатывать планы действий в чрезвычайных ситуациях, проводить регулярную учебу с подчиненными;
руководить проведением служебных расследований;
организовывать взаимодействие СлЗИ с другими подразделениями;
разработка инструкций по работе с коммерческой тайной для персонала, допущенного к работе с документами, ее содержащую;
организовывать разработку рекомендаций по совершенствованию функционирования СЗИ;
осуществлять руководство отделом охраны;
кроме того, выполнять функции юриста: разработка, ведение и обновление основополагающих документов с целью закрепления в них требований обеспечения безопасности и защиты конфиденциальной информации.

Подразделение программно-аппаратной защиты информации

Целями защиты информации, обрабатываемой и хранимой в ПЭВМ, являются:

1. Предотвращение потери и утечки информации, перехвата и вмешательства злоумышленника на всех уровнях обработки данных и для всех объектов.

2. Обеспечение целостности данных на всех этапах их преобразования и сохранности средств программного обеспечения.

Задачи подразделения:

Предотвращение несанкционированного доступа (НСД) к информации.
Предотвращение утечки информации за счет ПЭМИН.
Защита информации от компьютерных вирусов.
Защита информации от сбоев в системе питания.
Защита от копирования.
Программная защита каналов передачи данных.

Подразделение инженерно-технической защиты информации

Инженерно-техническая защита информации предназначена для активно-пассивных противодействий средствам технической разведки и формирования рубежей охраны территории, зданий, помещений, оборудования с помощью комплексов технических средств и включает себя:

Сооружения физической (инженерной) защиты от проникновения посторонних лиц на территорию, в здания и помещения.
Средства защиты технических каналов утечки информации при работе ЭВМ, средств связи, других приборов и офисного оборудования, при проведении совещаний, беседах с посетителями и сотрудниками.
Средства защиты помещений от визуальных способов технической разведки.
Средства обеспечения охраны территорий, зданий, помещений.
Средства противопожарной охраны.
Технические средства и мероприятия, предотвращающие вынос персоналом из помещений документов, дискет, дисков и других носителей информации.

Подразделение конфиденциального делопроизводства

Задачи:

обработка и хранение конфиденциальных документов.
контроль системы конфиденциального документооборота.

В не очень больших организациях целесообразно организовать Службу защиты информации в следующем составе:

Руководитель СлЗИ,
сотрудник, занимающийся программно-аппаратной защитой,
сотрудник, занимающийся инженерно-технической защитой.
Функции конфиденциального делопроизводства возложить на уже имеющихся сотрудников, занимающихся в данное время созданием и обработкой документов, содержащих конфиденциальную информацию.

Для работы СлЗИ необходимо подготовить ряд нормативных документов:

Положение о СлЗИ;
Инструкцию по безопасности конфиденциальной информации.
Перечень сведений составляющих конфиденциальную информацию.
Инструкцию по работе с конфиденциальной информацией.
Должностные инструкции сотрудников СлЗИ.
Инструкцию по обеспечению пропускного режима в компании.
Памятку работнику (служащему) о сохранении конфиденциальной информации.

Для обеспечения полноценной организационной и правовой защиты информации
необходимо разработать пакет документов, включающий в себя :

Положение о конфиденциальной информации предприятия;
Перечень документов предприятия, содержащих конфиденциальную информацию;
Инструкция по защите конфиденциальной информации в информационной системе предприятия;
Предложения по внесению изменений в Устав предприятия;
Предложения по внесению изменений в трудовой договор, контракт с руководителем и коллективный договор;
Соглашение о неразглашении конфиденциальной информа­ции предприятия с сотрудником;
Обязательство сотрудника о неразглашении конфиденциальной информации предприятия при увольнении;
Предложения о внесении изменений в Правила внутренне­го распорядка предприятия (в части регламентации мер фи­зической защиты информации и вопросов режима);
Предложения о внесении изменений в должностное (штат­ное) расписание предприятия (штат Службы защиты информации);
Предложения о внесении дополнений в должностные инст­рукции всему персоналу;
Ведомость ознакомления сотрудников предприятия с Положением о конфиденциальной информации и Инструкцией по защите конфиденциальной информации в ИС предпри­ятия;
План проведения занятий с персоналом по сохранению и неразглашению конфиденциальной информации;
Предложения о внесении изменений в структуру интервью при приеме на работу (уточнение обязательств информаци­онного характера с последних мест работы);
Предложения о внесении дополнений в стандартные дого­вора с контрагентами.
Эти документы играют важную роль в обеспечении безопасности предприятия.

Документационное обеспечение защиты должно на­чинаться с внесения дополнений в Устав предприятия: «Предприятие имеет право самостоятельно устанавливать объем сведений, составляющих коммерческую и иную охраняемую законом тайну и порядок ее защиты. Общество имеет право в целях защиты экономического суверенитета требовать от персонала, партнеров, контрагентов и иных физических и юридических лиц, учреждений и организаций обеспечения сохранности конфиденциальных сведе­ний предприятия на основании договоров, контрактов и других до­кументов».

Для разработки всех документов, затрагивающих вопросы работы с конфиденциальной информацией необходимо в первую очередь разработать «Положение о конфиденциальной информации». Формат всех документов, регулирующих защиту конфиденци­альной информации, утверждается приказом руководителя. Положение же является основным документом предприятия, регламентирующим вопросы оборота конфиденциальной информации. Все базовые моменты, связанные с этим процессом, закладываются именно здесь.

Положение содержит основные обязанности сотрудников по обеспечению сохранности конфиденциальной информации. Для усиления этой составляющей системы защиты необходимо обя­занности персонала доводить также в форме включения в долж­ностные инструкции и дополнительно выдавать специальные па­мятки. Все это должно происходить строго под роспись.

Неотъемлемым приложением к Положению является Перечень документов, содержащих конфиденциальную информацию. Его наличие на предприятии носит принципиальный характер, так как невозможно требовать от работников неразглашения абстрактной конфиденциальной информации, как иногда указывают в обязательственных документах: «сохранять ноу-хау, деловые секреты, служебные сведения». Защищается только документированная информация, следовательно, необхо­димо как можно конкретнее описать все группы и виды конфи­денциальной документации.

В качестве основы для установления контроля над доступом к информации компании берется классификация информации по уровню конфиденциальности, в зависимости от содержания и возможных последствий в случае утраты информации или злоупотреблений.

По категориям конфиденциальности основные виды информации распределяются примерно следующим образом.

Самый низкий гриф конфиденциальности «ДСП» ставится на телефонные справочники, в которых указываются отдельные данные о кадровом составе или партнерах. Также этот гриф ставится на журналы регистрации, документы, регламентирующие деятельность, служебную переписку (заявления, распоряжения, приказы, докладные и т.д.).

К категории документов с грифом "КОНФИДЕНЦИАЛЬНО" относится информация об отдельных аспектах деловых сделок за короткий промежуток времени; развернутые сведения о персонале компании; текущие документы, отражающие финансовую деятельность; документы, содержащие данные о клиентах, не предоставляемые третьим лицам.

Гриф "СТРОГО КОНФИДЕНЦИАЛЬНО" присваивается документам, содержащим данные о деловых сделках с партнерами или клиентами фирмы, об итогах деятельности за продолжительный период времени. Кроме этого, подобный гриф присваивается документам, содержащим важнейшие аспекты коммерческой деятельности компании, стратегии деятельности, документам, содержащим детальную информацию о финансовом положении.

Классификации по уровню конфиденциальности подлежат все документы в соответствии с планом мероприятий по обеспечению безопасности компании. Вопрос о присвоении грифа решается разработчиком документа при участии руководителя СлЗИ. В случае, когда ценность информации по каким-либо причинам снижается, снижается и гриф документа.

Отдельного упоминания заслуживает вопрос о сроках действия грифов конфиденциальности. Срок секретности определяется создателем документа, исполнителем, лицом, подписывающим или утверждающим документ по согласованию руководителем СлЗИ. Срок может указываться в виде периода грифа, в виде даты окончания грифа, наступления определенного события, на которое сориентирован документ, или надписи «бессрочно». В иных случаях решение вопроса о снятии грифа остается за руководителем СлЗИ.

Следующий документ, входящий в состав документации вне­дрения — Соглашение с сотрудником (обязательство сотрудника) о неразглашении конфиденциальной информации предприятия, подписываемое сотрудником при приеме на работу. В нем должно содержаться следующее:

Обязательство о сохранении конфиденциальной информации;
Право сотрудника на служебное произведение;
Ответственность сотрудника за нарушение данного обязательства.
Перед подписанием обязательства целесообразно также предъявлять для ознакомления кандидатам на работу выдержки из законодательства, кратко обосновывающие правовую защиту и описывающие санкции за неправомерное обращение с инфор­мацией, в том числе уголовно-правовые.

Продолжением обязанностей сотрудника по неразглашению информации является документ, декларирующий подтверждение сотрудником данных обязательств при увольнении, а именно «Заявление о подтверждении обязательств неразглашения конфиденциальной информации предприятия при увольнении».

Документ не является бесспорным с юридической точки зрения, так как после увольнения трудовые отношения, в рамках которых действуют обязательства сотрудника, прекращаются. Однако целесо­образно предлагать увольняющимся такое заявление к подписа­нию, и по реакции бывшего сотрудника можно будет оценить реальную значимость для конкретного человека данных им обещаний. В то же время, в случае нанесения ущерба предприятию разглашением конфиденциальных сведений уволенным, такое обязательство, скорее всего, будет принято судом как дополни­тельное доказательство его вины. Кроме того, об этом мо­жно будет без зазрения совести сообщить его новому работодателю.

Отношение контрагентов и партнеров к тайне организации необходимо устанавливать самой организации. Для этого необходимо внести во все стандартные формы договорной документации разделов конфиденциальности:

Каждая из сторон согласилась считать текст настоящего договора, а также весь объем информации, переданной и передаваемой сторонами друг другу в ходе исполнения обязательств, возникающих из настоящего договора, конфиденциальной информацией другой стороны.
Стороны принимают на себя обязательство никаким об­ разом не разглашать (делать доступной любым третьим лицам, кроме случаев наличия у третьих лиц соответствующих полномочий в силу прямого указания федерального закона, либо случаев, когда другая сторона в письменной форме даст согласие на предоставление конфиденциальной информации, определяемой в соответствии с п. 1 настоящего договора, тре­ тьим лицам) конфиденциальную информацию другой стороны, к которой она получила доступ при заключении настоящего договора и в ходе исполнения обязательств, возникающих из него.
Настоящие обязательства исполняются сторонами в пределах срока действия договора и в течение одного года после прекращения действия договора, если не будет оговорено иное.
Каждая из сторон обязуется возместить другой стороне в полном объеме все убытки, причиненные последней разгла­ шением ее конфиденциальной информации в нарушение п.п. 1—3 настоящего договора.
Клиент (поставщик и пр.) не вправе использовать свое положение как стороны по настоящему договору в целях и ин­ тересах третьих лиц.
Стороны обязуются незамедлительно предупредить другую сторону о возникновении неуправляемых факторов или процессов, могущих повлечь за собой нарушении конфиден­циальности сторон.

Служба защиты информации принимает меры по сохранению коммерческой тайны путем максимального ограничения круга лиц, физической сохранности документов, содержащих такие сведения, обработки информации с грифом конфиденциальности на защищенных ЭВМ, внесение требований по конфиденциальности конкретной информации в договоры с внутренними и внешнеторговыми партнерами и других мер по решению руководства.

Все работы с документами, содержащими конфиденциальную информацию, регламентируются положением о конфиденциальном делопроизводстве.

Защита и обработка конфиденциальных документов предусматривает:

порядок определения информации, содержащей коммерческую тайну, и сроков ее действия;
систему допуска сотрудников, командированных и частных лиц к сведениям, составляющим коммерческую тайну;
обеспечение сохранности документов на бумажных и магнитных носителях с грифом конфиденциальности;
обязанности лиц, допущенных к сведениям, составляющим коммерческую тайну;
принципы организации и проведения контроля за обеспечением режима при работе со сведениями, составляющим коммерческую тайну;
ответственность за разглашение сведений, утрату документов, содержащих коммерческую тайну.
Допуск сотрудников к сведениям, составляющим коммерческую тайну, осуществляется Генеральным директором и руководителем СлЗИ.

Руководитель СлЗИ ответственен за подбор лиц, допускаемых к сведениям с грифом, обязан обеспечить контроль за тем, чтобы, к этим сведениям получали доступ только те лица, которым такие сведения необходимы для выполнения своих служебных обязанностей.
alfa-inform.ru

 
Экономическая безопасность. Информационная безопасность. Служба защиты информации
Вернуться в каталог ЭКОНОМИЧЕСКИЕ НАУКИ
Главное МЕНЮ ЭНЦИКЛОПЕДИИ

в начало

темы|понятия|род занятий|открытия|произведения|изобретения|явления
вид творчества|события|биографии|портреты|образовательный каталог|поиск в энциклопедии

Главная страница ЭНЦИКЛОПЕДИИ
Copyright © 2004 vlibs.ru
Design and conception BeStudio © 2004