Классификационная структура каналов несанкционированного доступа к информации

Зависимость от доступа к элементам КС	Отношение к обработке информации
Появляющиеся независимо от обработки	Появляющиеся в процессе обработки
Не требующие доступа	1. Общедоступные, постоянные.	2. Общедоступные, функциональные.
Требующие доступа без изменения элементов КС	3. Узкодоступные, постоянные, без оставления следов.	4. Узкодоступные, функциональные, без оставления следов.
Требующие доступа с изменением элементов КС	5. Узкодоступные, постоянные, с оставлением следов.	6. узкодоступные, функциональные, с оставлением следов.

1. Каналы этого типа реализуются без доступа злоумышленника к элементам КС и независимо от технологического процесса обработки ин­формации. Сюда можно отнести подслушивание разговоров с помощью дистанционных средств, провоцирование на разговоры лиц, имеющих от­ношение к КС, а также хищение носителей информации в момент их на­хождения за пределами помещения, где расположена КС.

2. Каналы этого типа проявляются в процессе обработки информа­ции без доступа злоумышленника к элементам КС. Сюда могут быть отне­сены электромагнитные излучения различных устройств ЭВМ и линий связи, паразитные наводки в цепях питания, телефонных линиях, шинах заземления, осмотр отходов производства, попадающих за пределы кон­тролируемой зоны.

3. Каналы данного типа проявляются независимо от процессов обра­ботки информации и реализуются с доступом злоумышленника к элемен­там КС, но без изменения последних. К ним относятся всевозможные виды копирования носителей информации и документов, а также хищение про­изводственных отходов.

4. Каналы данного типа реализуются независимо от процессов обра­ботки информации с доступом злоумышленника к элементам КС, но без изменения последних. Сюда относятся визуальное наблюдение, запомина­ние и копирование информации в процессе обработки, несанкционирован­ное копирование программного обеспечения, маскировка под зарегистри­рованного пользователя, использование недостатков операционных систем и других средств программного обеспечения для преодоления (обхода) за­щитных механизмов.

5. Каналы данного типа проявляются независимо от обработки ин­формации с доступом злоумышленника к элементу КС и с изменением по-

 

следних. Сюда можно отнести подмену, хищение и уничтожение носите­лей информации и средств вычислительной техники, внесение несанкцио­нированных изменений (закладок) в программно-аппаратные компоненты КС, заражение программных средств компьютерными вирусами.

6. Каналы данного типа проявляются в процессе обработки инфор­мации с доступом злоумышленника к элементам КС и с изменением последних. К ним относятся незаконное подключение к аппаратуре и линиям связи, установка подслушивающих устройств, разрушение информации, вызванное вирусными воздействиями и программно-аппаратными закладками.

Проведённый анализ указывает на то, что в общем случае несанк­ционированные действия нарушителя (злоумышленника) по отношению к компьютерной системе могут быть самыми различными. В результате та­ких действий информация, хранящаяся и обрабатываемая в КС, может быть разрушена, похищена или модифицирована, может утратить свою конфиденциальность или доступность.

Как социальное явление, подобные действия преднамеренного ха­рактера прослеживаются особенно заметно в последние 10 лет, а многие из них уже квалифицируются как компьютерные преступления. Наблюдается стремительный рост числа таких злоумышленников по мере интенсивного развития компьютерной техники и, особенно, в результате широкого рас­пространения и использования глобальной вычислительной сети Интернет.

Для разработки средств противодействия таким угрозам необходимо предварительно воссоздать собирательный образ (модель) нарушителя безопасности компьютерных систем. Такая модель должна указывать:

- категории лиц, в числе которых может оказаться нарушитель;

- предположения о квалификации нарушителя и его технической оснащённости;

- возможные цели нарушителя и ожидаемый характер его действий.
Нарушители компьютерной безопасности, первоначально названные

хакерами (компьютерными хулиганами, разбойниками), неуклонно повы­шают свою квалификацию, и в настоящее время, помимо начинающих ха­керов, существуют хакеры-специалисты и хакеры-профессионалы.

Начинающий хакер, как правило, молод: обычно это студент или старшеклассник без продуманного плана действий. Он выбирает цель слу­чайным образом, а столкнувшись с трудностями, отступает. Стремясь са­моутвердиться, начинающий хакер, руководствуется соревновательными и игровыми побуждениями. Найдя уязвимое место в системе безопасности, он старается собрать закрытую информацию, но практически никогда не пытается её уничтожить или тайно изменить. Своими победами такой ис­катель приключений делится только со своими близкими друзьями-единомышленниками. Его техническая оснащенность обычно ограничена домашним компьютером, подключённым к сети Интернет.

Более серьёзную угрозу для КС представляют хакеры-специалисты, обладающие достаточно высокой квалификацией в компьютерной технике и телекоммуникациях. Их действия более искусны, связаны с целенаправ-ленным преодолением (взломом) программно-аппаратных средств защиты для получения или модификации вполне определённых данных. Часто та­ких хакеров называют кракерами - электронными «взломщиками». В ос­нове их действий обычно лежит корыстная мотивация. Серьёзный ущерб информационным ресурсам КС может быть нанесён, если в качестве таких «специалистов» окажутся ненадёжные сотрудники данной фирмы, для ко­торых возможности несанкционированного доступа к корпоративным дан­ным значительно выше, чем у любых других злоумышленников. Побуди­тельными мотивами действий таких сотрудников могут быть реакция на выговор или замечание со стороны руководителя, желание ему «отом­стить», недовольство оплатой труда и г. п.

Серьёзная угроза информационной безопасности исходит также от хакеров-профессионалов, или компьютерных пиратов. Они прекрасно подготовлены в области вычислительной техники и коммуникационных систем, оснащены персональными компьютерами последнего поколения с полным арсеналом современного программного обеспечения. Хакеры-профессионалы всегда имеют чёткий план действий, нацеленный на опре­деленные информационные ресурсы. Они тратят обычно много времени на сбор информации об объекте нападения. Их атаки, хорошо продуманы. Для вхождения в компьютерную систему они не рассчитывают только на уда­чу, а всегда разрабатывают наиболее эффективный и действенный план. Реализуя этот план, они получают закрытую информацию, после чего ста­раются уничтожить следы своих действий.

Нередко профессиональные хакеры объединяются в преступные группировки, стремящиеся к наживе и выполняющие хищение конфиден­циальной информации по заказам конкурирующих фирм и даже иностран­ных спецслужб. Ими практикуется снятие денежных средств с чужих бан­ковских счетов. Рентабельность такого криминального бизнеса очень вы­сока. Ущерб от «виртуальной» преступности значительно превышает Ущерб от традиционных видов преступного бизнеса. Пока, к сожалению, нет эффективных способов полной нейтрализации таких угроз.

При разработке средств защиты от несанкционированного доступа необходимо воссоздать некоторую модель поведения потенциального нарушителя, предполагая в ней наиболее опасную ситуацию:

- нарушитель может появиться в любое время и в любом месте пе­риметра компьютерной системы;

- квалификация нарушителя может быть на уровне разработчика данной системы;

- нарушителю известна информация (в том числе секретная) о принципах функционирования данной системы;

 

- для. достижения своей цели нарушитель выбирает наиболее слабое звено в защите;

- нарушителем может быть не только постороннее лицо, но и закон­ный пользователь системы, а также лицо из числа обслуживающе­го персонала.

При выборе исходной модели поведения потенциального нарушителя целесообразен дифференцированный подход. Дело в том, что для различ­ных по назначению и принципам построения компьютерных систем, а также в зависимости от вида и ценности обрабатываемой в них информа­ции наиболее опасная модель поведения потенциального нарушителя мо­жет быть различной. Очевидно, что важная информация обычно становит­ся объектом нападения более квалифицированного и осведемлённого на­рушителя. Для такой информации и таких нарушителей потребуется рас­смотреть большее количество возможных каналов несанкционированного доступа и применить большее количество средств защиты с более высоки­ми показателями прочности.

4.3. Обобщённые модели систем защиты информации

При разработке необходимых, средств, методов и мероприятий, обеспечивающих защиту информации, необходимо учитывать большое количество различных факторов.

Информация

Информация, являясь предметом защиты, может быть представлена на различных технических носителях. В качестве её носителей могут быть люди из числа пользователей и обслуживающего персонала. Информация может подвергаться обработке в компьютерных системах, передаваться по каналам связи и отображаться различными устройствами. Она может раз­личаться по своей ценности. Объектами, подлежащими защите, где может находиться информация, являются не только компьютеры и каналы связи, но и помещения, здания и прилегающая территория. Существенно различ­ной может быть квалификация нарушителей, а также используемые спосо­бы и каналы несанкционированного доступа к информации.

Для учёта и анализа всех этих факторов обычно используют некото­рую обобщённую модель защиты. В простейшем случае, показанном на рис. 4.1, предмет защиты помещается в некоторую замкнутую оболочку, называемую преградой.

Прочность защиты зависит от свойств преграды и определяется спо­собностью преграды противостоять попыткам преодоления её нарушите­лем.

Привлекательность информации как предмета защиты заключается в её цене. Это свойство информации часто используется при оценке прочно­сти защиты. При этом считается, что прочность созданной преграды доста­точна, если стоимость ожидаемых затрат на её преодоление потенциаль­ным нарушителем превышает стоимость защищаемой информации.

 

Рис. 4.1. Модель элементарной защиты: 1 - предмет защиты; 2 - преграда; 3 - прочность преграды

Однако возможен и другой подход. Известно, что со временем ин­формация устаревает и теряет свою ценность, т.е. время её жизни ограни­чено. Тогда за условие достаточной защищённости можно принять превы­шение затрат времени на преодоление преграды нарушителем t_н над вре­менем жизни t_ж информации, т.е. t_н > t_ж.

Рассмотренный идеализированный вариант одноуровневой элемен­тарной защиты информации на практике обычно не применяется. В реаль­ных ситуациях, особенно тогда, когда предъявляются повышенные требо­вания к защите информации, используется многоуровневая защита, модель которой приведена на рис. 4.2. Для того чтобы добраться до закрытой ин­формации, нарушитель должен в этом случае преодолеть ("взломать") не­сколько уровней защиты.

 

Уровень защиты

Рис. 4.2. Модель многоуровневой защиты информации

Применительно к компьютерным системам можно, например, выде-лить следующие уровни защиты:

- охрана по периметру территории объекта;

- охрана по периметру здания; - охрана помещения;

- защита аппаратных средств;

- защита программных средств;

- непосредственная защита информации.

На практике в ряде случаев защитный контур любого уровня может состоять из нескольких «соединённых» между собой преград с различной прочностью. Модель такой многозвенной защиты представлена на рис 4.3.

Рис. 4.3. Модель многозвенной защиты: 1, 2, 5 — звенья защитного конту­ра; 3 — предмет защиты; 4 - прочность преграды

Примером такого вида защиты может служить помещение, в кото­ром размещена аппаратура. В качестве преград с различной прочностью здесь могут служить стены, потолок, пол, окна, двери с замками. Назван­ные инженерно-технические средства, дополненные системой контроля доступа в помещение, образуют, на первый взгляд, замкнутый контур по периметру данного помещения.

Однако замкнутость этого контура весьма относительна, поскольку зависит от предмета защиты. Контур защиты не будет замкнутым до тех пор, пока существует какая-либо возможность несанкционированного дос­тупа к одному и тому же предмету защиты. В данном случае имеет место замкнутая преграда, ограничивающая лишь физический доступ в помеще­ние тех или иных лиц.

Если же в качестве предмета защиты рассматриваются технические и программные средства компьютерной системы или, тем более, сама ин­формация, хранящаяся и обрабатываемая в ней, то контур защиты должен включать ещё и другие звенья, обеспечивающие контроль вскрытия аппа­ратуры, защиту от подслушивания, дистанционного видеонаблюдения че­рез окна, перехвата побочного электромагнитного излучения и др.

В многозвенном контуре каждое из звеньев должно обеспечивать замкнутую преграду для соответствующего канала несанкционированного доступа к данному предмету защиты. В этом случае между звеньями не образуются так называемые "щели", позволяющие осуществлять "обход" соответствующих преград.

 

58
Учитывая, что нарушитель, стремящийся проникнуть к предмету за­питы, обычно выбирает слабейшее звено, экономически целесообразно применять в многозвенном контуре равнопрочные преграды.

4.4. Основные принципы обеспечения информационной безопасности в КС

Для защиты информации в КС на основании руководящих докумен­тов Гостехкомиссии РФ могут быть сформулированы следующие положе­ния:

1. Информационная безопасность КС основывается на требованиях суще­ствующих законов, стандартов и нормативно-методических докумен­тов.

2. Информационная безопасность КС обеспечивается комплексом про­граммно-технических средств и поддерживающих их организационных мероприятий.

3. Информационная безопасность КС должна реализовываться на всех технологических этапах обработки информации и во всех режимах функционирования, в том числе при проведении ремонтных и регла­ментных работ.

4. Программно-технические средства защиты не должны существенно ухудшать основные функциональные характеристики КС (надёжность, быстродействие, возможность изменения конфигурации КС и др.).

5. Неотъемлемой частью работ по информационной безопасности являет­ся оценка эффективности средств защиты, учитывающая всю совокуп­ность технических характеристик оцениваемого объекта, включая тех­нические решения и практическую реализацию средств зашиты.

6. Защита КС должна предусматривать контроль эффективности средств защиты. Этот контроль может быть периодическим или инициировать­ся по мере необходимости пользователем КС либо контролирующим органом.

Рассмотренные подходы могут быть реализованы при обеспечении следующих основных принципов:

- системности;

- комплексности;

- непрерывности защиты;

- разумной достаточности;

- гибкости управления и применения;

- открытости алгоритмов и механизмов защиты;

- простоты применения защитных мер и средств.

Принцип системности. Системный подход к защите КС предполагает необходимость учёта всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов:

- для всех видов информационной деятельности и информационно­го проявления;

- во всех структурных элементах;

- при всех режимах функционирования;

- на всех этапах жизненного цикла КС;

- с учётом взаимодействия объекта защиты с внешней средой.

При обеспечении информационной безопасности КС необходимо учитывать все слабые, наиболее уязвимые места системы обработки ин­формации, а также характер и возможные направления воздействий на систему со стороны нарушителей. Система защиты должна строиться не только с учётом всех известных каналов проникновения, но и с учётом по­явления принципиально новых путей реализации угроз информационной безопасности.

Принцип комплексности. В распоряжении специалистов по компь­ютерной безопасности имеется широкий спектр различных методов и средств защиты информации. Комплексное их использование предполагает согласование разнородных средств при построении целостной системы защиты, перекрывающей все существующие, а также возможные каналы реализации угроз и не содержащей слабых мест на стыках отдельных её компонентов.

Принцип непрерывности защиты. Защита информации - это не ра­зовое мероприятие, а непрерывный целенаправленный процесс, предпола­гающий принятие соответствующих мер на всех этапах жизненного цикла КС (начиная с самых ранних стадий проектирования, а не только на этапе её эксплуатации). Разработка системы защиты должна вестись параллельно с разработкой защищаемой компьютерной системы. Только в этом случае возможно эффективно обеспечить реализацию всех остальных принципов. Причём в процессе разработки защищенных КС должен соблюдаться ра­зумный компромисс между созданием встроенных неразделимых меха­низмов защиты и блочных унифицированных средств. Только на этапе разработки КС можно также полностью учесть взаимное влияние блоков и устройств самой КС и добиться системности защиты наилучшим образом. Разумная достаточность. Создать абсолютно непреодолимую сис­тему защиты принципиально невозможно. При достаточных средствах и времени можно преодолеть любую защиту, поэтому имеет смысл говорить только о некотором приемлемом уровне безопасности. Высокоэффектив­ная система защиты стоит дорого, использует при работе существенную часть ресурсов компьютерной системы и может создавать ощутимые до­полнительные неудобства для пользователей. Важно правильно выбрать тот достаточный уровень защиты, при котором затраты, риск и размер возможного ущерба были бы приемлемыми.

Гибкость системы защиты. Часто приходится создавать системы защиты в условиях большой неопределённости. Принятые меры и уста­новленные средства защиты, особенно в начальный период их эксплуата-

 

ции, могут обеспечить как чрезмерный, так и недостаточный уровень за­шиты. Естественно, для обеспечения возможности коррекции этого уровня средства защиты должны обладать определённой гибкостью. Особенно это важно в тех случаях, когда средства защиты необходимо устанавливать на работающую систему, не нарушая процесс её нормального функциониро­вания. Кроме того, внешние условия и требования с течением времени ме­няются. В таких ситуациях свойство гибкости спасает владельцев КС от необходимости принятия кардинальных мер по полной замене средств за­щиты на новые.

Открытость алгоритмов и механизмов защиты. Суть этого принципа состоит в том, что защита информации не должна обеспечивать­ся только за счёт секретности структурной и функциональной организации системы защиты. Специалисты, имеющие отношение к системе защиты, должны полностью представлять себе принципы её функционирования и в случае возникновения затруднительных ситуаций адекватно на них реаги­ровать. Однако это вовсе не означает, что информация о конкретной сис­теме защиты должна быть общедоступна - необходимо обеспечивать за­щиту от угрозы раскрытия параметров системы.

Принцип простоты применения средств защиты. Механизмы защиты должны быть интуитивно понятны и просты в использовании. За­щита будет тем эффективнее, чем легче пользователю с ней работать. Применение средств защиты не должно быть связано со знанием специ­альных языков или с выполнением действий, требующих значительных дополнительных трудовых затрат при обычной работе законных пользова­телей. Не следует требовать от пользователя выполнения рутинных мало­приятных ему операций.

4.5. Общая характеристика средств и методов защиты информации в компьютерных системах

Противодействие многочисленным угрозам информационной безо­пасности КС предусматривает комплексное использование различных спо­собов и мероприятий организационного, правового, инженерно-технического, программно-аппаратного, криптографического характера и др. Названные средства также рассматриваются в качестве соответствующих видов обеспечения защиты информации.

Организационные средства защиты сводятся к регламентации дос-Упа к информационным и вычислительным ресурсам, функциональным про­цессам обработки данных, к регламентации деятельности персонала и др. Организационные мероприятия играют существенную роль в создании на­дёжного механизма защиты, так как возможности несанкционированного использования информационных ресурсов в значительной степени обу­слаливаются не техническими аспектами, а злоумышленными действия-

ми, нерадивостью, небрежностью и халатностью пользователей и персонала, игнорирующею элементарные правила защиты.

Вопросы обеспечения информационной безопасности самым тесным образом связаны не только с решением организационных и научно-технических проблем, но и с вопросами правового регулирования отношений в сфере информации. Правовое обеспечение информационной безо­пасности является многоаспектным понятием, включающим как междуна­родные, так и национальные правовые нормы. Реализация правовых меха­низмов в области защиты информации невозможна без активной государ­ственной политики в этой области. Исключительно важным здесь является то, что обеспечение защиты информации - это, по существу, обеспечение защиты национальных интересов страны. Основу обеспечения информа­ционной безопасности в нашей стране составляют Конституция РФ, зако­ны РФ, кодексы, указы Президента, а также различные нормативно-правовые акты, положения, инструкции, руководства, требования которых обяза­тельны в системе защиты информации. Продвижение нашей страны по пути рыночных преобразований обуславливает необходимость принятия зако­нодательных актов, регулирующих правовые отношения в сфере формиро­вания и использования информационных ресурсов. Эти акты гарантируют права физических и юридических лиц на получение информации, но и предотвращают бесхозяйственное отношение к информационным ресур­сам, содержат нормы ответственности за правонарушения в области ин­формации.

Инженерно-технические средства защиты достаточно широки и многообразны и включают в себя физико-технические, аппаратные, технологи­ческие, программные, криптографические и другие средства. В приводимой здесь классификации средств защиты мы будем относить к инженерно-техническим средствам только те, которые создают физически замкнутую среду вокруг элементов защиты, создавая тем самым определённое пре­пятствие для традиционного шпионажа и диверсий.

В нашем понимании данные средства обеспечивают следующие ру­бежи защиты: контролируемая территория, здание, помещение и, наконец, отдельные устройства вместе с носителями информации. Для этой цели применяют различные инженерные конструкции, обеспечивающие охрану территории и помещений, используют автономные средства защиты аппа­ратуры с контролем их возможного вскрытия, применяют устройства с низким электромагнитным и акустическим излучением, осуществляют эк­ранирование помещений, обеспечивают энергоснабжение от автономного источника электропитания и др.

Программно-аппаратные средства защиты непосредственно при­меняются в компьютерах и компьютерных сетях, содержат различные встраиваемые в КС электронные, электромеханические устройства. Специ­альные пакеты программ или отдельные программы реализуют такие функции защиты, как разграничение и контроль доступа к ресурсам, реги-

страция и анализ протекающих процессов, событий, пользователей, пре-дотвращение возможных разрушительных воздействий на ресурсы, иден-тификация и аутентификация пользователей и процессов и др.

Существенное повышение информационной безопасности, особенно при передаче данных в компьютерных сетях или при их обмене между уда-ленными объектами, достигается применением средств криптографической за­щиты. Оставаясь многие годы привилегией правительственных и военных уч­реждений, криптография получила в последнее время достаточное распро­странение, особенно в компьютерных системах банковского и коммерче­ского назначения. Суть криптографической защиты заключается в приве­дении (преобразовании) информации к неявному виду с помощью специ­альных алгоритмов либо аппаратных средств и соответствующих кодовых ключей. Именно таким образом обычно устанавливается подлинность до­кументов с помощью электронной цифровой подписи.

Учитывая системный характер влияния на безопасность КС большой совокупности различных факторов и обстоятельств, имеющих различную физическую природу и различные целевые посылки, вполне очевидно, что для эффективного решения этих проблем может быть только комплексный подход к обеспечению информационной безопасности. При этом под ком­плексной защитой понимается целенаправленное применение в системах её обработки всей совокупности имеющихся средств, методов и мероприя­тий, обеспечивающих в целом необходимый уровень защищённости ин­формации.

Контрольные вопросы

1. В какой последовательности обычно формируются концептуальные подходы в обеспечении информационной безопасности?

2. Рассмотрите основные этапы в эволюции концепции информационной безопасности.

3. Дайте понятие политики безопасности.

4. На каких положениях основывается реализация политики информаци­онной безопасности?

5. Дайте классификацию каналов несанкционированного доступа к ин­формации.

6. Рассмотрите собирательный образ потенциального нарушителя инфор­мационной безопасности. Как различаются нарушители по своим це-лям, квалификации, технической оснащённости и др.?

7. Как учитывается модель поведения нарушителя при формировании системы защиты?

8. Охарактеризуйте одноуровневую, многоуровневую и многозвенную

модели системы защиты информации.

9. Какие принципы лежат в основе обеспечения информационной безо-

пасности?

10. Дайте общую характеристику основных средств и методов защиты ин­формации в КС.

ГЛАВА 5. ОРГАНИЗАЦИОННО-ПРАВОВОЕ ОБЕСПЕЧЕНИЕ ЗАЩИТЫ ИНФОРМАЦИИ

5.1. Общая характеристика организационного обеспечения защиты информации

Организационные мероприятия играют важную роль в создании на­дёжного механизма защиты информации, так как возможности несанкцио­нированного использования конфиденциальных сведений зачастую обу­словлены не только техническими аспектами, но и злоумышленными дей­ствиями, а также нерадивостью, небрежностью, халатностью пользовате­лей или обслуживающего персонала, игнорирующего элементарные пра­вила защиты.

Организационное обеспечение защиты информации - это регламентация производственной деятельности и взаимоотношений исполнителей, осу­ществляемая на нормативно-правовой основе таким образом, чтобы сде­лать невозможным или существенно затруднить разглашение, утечку и не­санкционированный доступ к конфиденциальной информации за счёт про­ведения соответствующих организационных мероприятий. Цель примене­ния организационных средств защиты состоит в том, чтобы исключить или, по крайней мере, свести к минимуму возможности реализации угроз информационной безопасности.

В компьютерных системах организационные мероприятия выполня­ют стержневую роль в реализации комплексной системы защиты инфор­мации. Только с их помощью возможно объединение на правовой основе инженерно-технических, программно-аппаратных, криптографических и дру­гих средств защиты информации в единую комплексную систему.

Организационные методы защиты информации тесно связаны с пра­вовым регулированием в области информационной безопасности. В соот­ветствии с законами и нормативными актами в министерствах, ведомствах, на предприятиях (независимо от форм собственности) для защиты инфор­мации создаются специальные службы безопасности (на практике они мо­гут называться и иначе). Её штатная структура, численность и состав опре­деляются реальными потребностями данного учреждения, степенью кон­фиденциальности его информации и общим состоянием безопасности.

Служба безопасности возглавляется профессионально подготовлен­ным лицом, непосредственно ответственным за защиту информации и подчиняющимся руководству учреждения. В американских публикациях это лицо именуется офицером безопасности.

Основные организационные мероприятия, проводимые данной службой, - разработка перечня охраняемых сведений и проведение атте­стации помещений с целью выработки конкретных мер для защиты кон­фиденциальной информации. При аттестации помещений составляются ат-

тестационные паспорта. Эта работа проводится специалистами службы безопасности и оформляется соответствующим актом.

В каждом конкретном случае названные мероприятия носят специ­фические для данной организации форму и содержание и направлены на обеспечение информационной безопасности в конкретных условиях.

Анализ мирового и отечественного опыта обеспечения информаци­онной безопасности говорит о необходимости создания целостной систе­мы, связывающей организационные и организационно-технические меро­приятия с использованием современных методов прогнозирования, анали­за и моделирования конкретных ситуаций.

5.2. Основные задачи службы безопасности предприятия

Многогранность сферы организационной зашиты информации тре­бует, как уже было отмечено, создания на предприятии специальной служ­бы безопасности, обеспечивающей реализацию всех организационных ме­роприятий в целях защиты экономических, технологических, коммерческих и других важных сведений предприятия.

Решение о создании такой службы принимается руководством пред­приятия и оформляется соответствующим приказом или распоряжением. Служба безопасности предприятия подчиняется только руководителю предприятия, либо лицу, которому руководитель предприятия делегировал эти полномочия. Правовое оформление деятельности службы безопасности предприятия регистрируется в соответствующих органах внутренних дел.

Документы о решении создания службы безопасности должны со­держать чёткую формулировку цели её деятельности, а также задачи, воз­ложенные на службу безопасности.

К числу основных задач службы безопасности относятся:

- определение перечня сведений, составляющих коммерческую тай­ну;

- определение круга лиц, которые в силу занимаемого служебного положения имеют прямой или косвенный доступ к сведениям, представляющим для предприятия коммерческую тайну;

- определение связанных с данным предприятием сторонних орга­низаций, на которых возможен неконтролируемый выход сведе­ний, составляющих коммерческую тайну;

- выявление круга лиц, проявляющих интерес к коммерческой тайне предприятия без санкционированного допуска к таким сведениям;

- выявление круга лиц, в том числе иностранных, потенциально за­интересованных в нанесении экономического ущерба данному предприятию, его компрометации и устранении в качестве конку­рента;

 

- определение на предприятии технологического оборудования, вы­ход из строя которого может привести к большим экономическим потерям, а также участков и объектов, наиболее уязвимых в ава­рийном отношении;

- разработка системы зашиты конфиденциальных документов, со­держащих сведения о коммерческой тайне предприятия;

- определение и обоснование мер технической защиты и охраны предприятия в целом;

- определение наиболее уязвимых мест в технологии производст­венного процесса, материально-техническом обеспечении, склад­ском хозяйстве и т.д. и организация их физической защиты и ох­раны;

- взаимодействие с органами внутренних дел по обеспечению эко­номической безопасности предприятия;

- изучение, анализ и оценка состояния обеспечения безопасности предприятия, разработка предложений и рекомендаций по её со­вершенствованию путём внедрения новейших достижений и пере­дового опыта в этой области;

- технико-экономическое обоснование приобретения необходимых средств защиты информации, получение консультации у специа­листов для обеспечения системности и комплексности безопасно­сти предприятия;

- обучение сотрудников службы безопасности в соответствии с их функциональными обязанностями.

Сотрудник службы безопасности должен быть контактным, уметь строить отношения, в том числе доверительные, с сотрудниками предпри­ятия; психически уравновешенным, умеющим принимать правильные ре­шения в экстремальных и критических ситуациях. Он должен знать норма­тивные документы, регламентирующие деятельность службы безопасности предприятия, основы уголовного права и уголовно-процессуального ко­декса и уметь ими правильно пользоваться; быть честным, преданным сво­ему предприятию, чью безопасность он должен обеспечить.

На сотрудника службы безопасности в соответствии с его компе­тентностью возлагаются те или иные функциональные обязанности. Каж­дый сотрудник службы безопасности должен знать свои задачи, способы их решения и выполнять непосредственные обязанности.

Эффективность обеспечения безопасности предприятия может стать значительно выше, если работа в службе безопасности предприятия будет престижной и высокооплачиваемой. Должна быть разработана система морального и материального поощрения сотрудника службы безопасности, которая служит гарантом его компетентности, честности и верности пред­приятию.

5.3. Организационные мероприятия, обеспечивающие защиту информации

Организационные мероприятия играют большую роль в создании на­дёжного механизма защиты информации. Регламентируя производственную деятельность и взаимоотношения исполнителей, они делают невозможным или существенно затрудняют разглашение, утечку и несанкционированный доступ к конфиденциальной информации.

К организационным мероприятиям можно отнести:

- мероприятия, осуществляемые при проектировании, строительстве и оборудовании служебных и производственных зданий и поме­щений (их цель - исключить возможность тайного проникновения на территорию и в помещения; обеспечить контроль прохода и пе­ремещения людей, проезда транспорта; создать отдельные произ­водственные зоны по типу конфиденциальности проводимых ра­бот с самостоятельными системами доступа и т.п.);

- мероприятия, проводимые при подборе персонала, включающие зна­комство с сотрудниками, их обучение правилам работы с конфиденци­альной информацией, ознакомление с мерами ответственности за на­рушение правил защиты информации и др.;

- организацию и поддержку надёжного пропускного режима и кон­троля посетителей;

- организацию надёжной охраны помещений и территории;

- организацию хранения и использования документов и носителей информации, включая порядок их учёта, выдачи, исполнения, воз­вращения и уничтожения;

- назначение ответственного лица за защиту информации в кон­кретных производственных подразделениях, систематический кон­троль за работой персонала с конфиденциальной информацией и т.п.

Очевидно, что организационные мероприятия охватывают самые различные источники информации и технические средства её переработки. Значительная ча

⇐ Предыдущая12345678Следующая ⇒

Поделиться:

Воспользуйтесь поиском по сайту: