Тайна предприятия: что и как защищать
Шрифт:
4. Анализируются существующие меры защиты соответствующих объектов, определяется степень их недостаточности, неэффективности, физического и морального износа.
5. Изучаются зафиксированные случаи попыток несанкционированного доступа к охраняемым информационным ресурсам и разглашения информации.
6. На основе опыта предприятия, а также используя метод моделирования ситуаций, группа специалистов выявляет возможные пути несанкционированных действий по уничтожению информации, ее копированию, модификации, искажению, использованию и т. п. Угрозы ранжируются по степени значимости и классифицируются
7. На основе собранных данных оценивается возможный ущерб предприятия от каждого вида угроз, который становится определяющим фактором для категорирования сведений в «Перечне» по степени важности, например - для служебного пользования (3), важно (2), особо важно (1).
8. Определяются сферы обращения каждого вида конфиденциальной информации: по носителям, по территории распространения, по допущенным пользователям. Для решения этой задачи группа привлекает руководителей структурных подразделений и изучает их пожелания.
9. Группа подготавливает введение указанных мер защиты. 9.1. Меры физической защиты. Включают в себя установление определенного режима деятельности, соблюдение которого обязательно для всех сотруд
ников, посетителей и клиентов; порядок его регламентации описывается во внутренних документах по пропускному и внутриобъектовому режиму. Это ограничение доступа, создание соответствующего пропускного режима, контроль за посетителями, например:
– запрещение несанкционированного выноса документов;
– запрещение вноса-выноса дискет, магнитных лент, CD-ROM, переносных накопителей на твердых магнитных дисках и т. п.;
– запрещение перемещения компьютерной техники и комплектующих без соответствующих сопроводительных документов;
– ограничение нахождения на территории предприятия посетителей;
– регламентация использования для переговоров определенных, специально предназначенных для этого помещений
и др.
9.2. Меры технической защиты.
Проводятся специально назначенными на предприятии либо привлеченными специалистами под контролем представителей СБ и включают в себя защиту компьютерной техники, помещений и всех коммуникаций от устройств съема и передачи информации, используя различные технические решения:
– использование средств пассивной защиты - фильтров, ограничителей и т. п. средств развязки электрических и электромагнитных сигналов, систем защиты сетей, электроснабжения, радио- и часофикации и др.;
– экранирование средств канальной коммуникации;
– использование локальных телефонных систем, локальных систем ЭВМ, не имеющих выхода за пределы контролируемой зоны (в том числе систем вторичной часофикации, радиофикации, телефонных систем внутреннего пользования. диспетчерских систем, систем энергоснабжения);
– размещение источников побочных электромагнитных излучений и наводок на возможном удалении от границы охраняемой (контролируемой) зоны;
– экранирование помещений;
– использование пространственного и линейного электромагнитного зашумления;
– развязка по цепям питания и заземления, размещенным в границах охраняемой зоны.
9.3. Меры аппаратной и программной защиты (для компьютерного оборудования информационных систем и сетей). Могут включать
в себя:– обеспечение реакции на попытку несанкционированного доступа, например - сигнализации, блокировки аппаратуры;
– поддержание единого времени;
– установку на АРМы работающих с особо важной конфиденциальной информацией специальных защитных экранов;
– изъятие с АРМов нефункциональных дисководов гибких магнитных дисков (ГМД);
– изъятие с АРМов нефункциональных факсимильных и модемных плат;
– проведение периодических «чисток» АРМов и общих системных директорий на файл-сервере,
– установку входных, паролей на клавиатуру компьютеров;
– установку сетевых имен-регистраторов и паролей для доступа к работе в информационной системе;
– шифрование особо важной конфиденциальной информации;
– обеспечение восстановления информации после несанкционированного доступа;
– обеспечение антивирусной защиты (в т. ч. от неизвестных вирусов) и восстановления информации, разрушенной вирусами;
– контроль целостности программных средств обработки информации;
– проведение периодической замены (возможно, принудительной) всех паролей и регистрационных имен;
– использование расширенных систем аутентификации. 10. Подготавливаются организационные и правовые меры защиты. С этой целью профильными специалистами (руководителями профильных подразделений предприятия) создаются обеспечивающие и регламентирующие документы, которые со
ставляют пакет документации внедрения. С теми или иными отклонениями он может включать в себя следующие виды внутренних документов (наименования условные):
– Положение о конфиденциальной информации предприятия;
– Перечень документов предприятия, содержащих конфиденциальную информацию;
– Инструкция по защите конфиденциальной информации в информационной системе предприятия;
– Предложения по внесению изменений в Устав предприятия;
– Предложения по внесению изменений в трудовой договор, контракт с руководителем и коллективный договор;
– Соглашение о неразглашении конфиденциальной информации предприятия с сотрудником;
– Обязательство сотрудника о неразглашении конфиденциальной информации предприятия при увольнении;
– Предложения о внесении изменений в Правила внутреннего распорядка предприятия (в части регламентации мер физической защиты информации и вопросов режима);
– Предложения о внесении изменений в должностное (штатное) расписание предприятия (если Вы планируете выделить для обеспечения этого направления экономической безопасности предприятия отдельного специалиста по режиму и защите информации или даже целое подразделение);
– Предложения о внесении дополнений в должностные инструкции всему персоналу;
– Ведомость ознакомления сотрудников предприятия с Положением о конфиденциальной информации и Инструкцией по защите конфиденциальной информации в ИС предприятия;
– План проведения занятий с персоналом по сохранению и неразглашению конфиденциальной информации;
– Предложения о внесении изменений в структуру интервью при приеме на работу (уточнение обязательств информационного характера с последних мест работы);