- •Оглавление
- •Введение
- •1. Понятие и сущность информационной безопасности
- •1.1 Основные понятия информационной безопасности
- •1.2. Виды и состав угроз информационной безопасности
- •Угрозы промышленного шпионажа и основные способы его ведения
- •1.4. Направления обеспечения информационной безопасности
- •2. Основные виды защищаемой информации
- •2.1. Особенности защищаемой информации
- •2.2. Виды защищаемой информации
- •2.3. Разработка перечня сведений ограниченного доступа на предприятии
- •3. Правовые основы информационной безопасности
- •Система правовой защиты информации
- •3.2. Ответственность за нарушение законодательства в информационной сфере
- •3.3. Отечественные и зарубежные стандарты в области информационной безопасности
- •4. Техническая защита информации
- •4.1. Технические средства защиты информации
- •4.2. Программные средства защиты информации
- •4.3. Программно-технические средства защиты информации
- •5. Физическая защита информации
- •6. Криптографическая защита информации
- •7. Организационная защита информации
- •7.1. Организационные мероприятия по защите информации
- •7.2. Организация подразделения по защите информации
- •7.3. Организация охраны и режима
- •7.4. Организация работы с персоналом в системе информационной безопасности
- •7.5. Организация конфиденциального делопроизводства
- •7.6. Аналитическая работа по выявлению каналов утраты информации
- •7.7. Комплексное управление системой защиты информации
- •7.8. Нормативно-методическое обеспечение защиты информации
- •Заключение
- •Методические указания по выполнению контрольной работы
- •Список литературы
7.5. Организация конфиденциального делопроизводства
При работе с документами, содержащими конфиденциальную информацию, следует соблюдать определенные правила. Это дает гарантии надежной охраны коммерческих информационных ресурсов и ставит заслон на пути утечки информации. Эти правила сводятся к следующему:
строгий контроль (лично или через службу безопасности) за допуском персонала к конфиденциальным документам;
установление конкретных лиц из руководства и служащих, организующих и контролирующих делопроизводство, наделение их соответствующими полномочиями;
разработка инструкции (памятки) по работе с конфиденциальными документами, ознакомление с нею соответствующих работников;
контроль за принятием соответствующими служащими письменных обязательств о сохранении коммерческой тайны;
введение системы материального и иного стимулирования служащих, имеющих доступ к конфиденциальной информации;
внедрение в повседневную практику механизмов и технологий защиты коммерческой тайны;
личный контроль со стороны руководителя, службы безопасности конфиденциального делопроизводства.
Для ведения конфиденциального делопроизводства должны привлекаться сотрудники, прошедшие специальную проверку, и соответствующим образом подготовленные и обученные.
Помещения, в которых ведется работа с конфиденциальными документами, должны хорошо охраняться, а доступ туда должен быть закрыт для посторонних лиц. Эти помещения должны иметь прочные перекрытия и стены, усиленную металлическую дверь, прочные оконные рамы с двойными стеклами и решеткой, плотные шторы или жалюзи. Хранилище должно быть оборудовано охранной и пожарной сигнализацией и тщательно охраняться силами внутренней охраны. Доступ в хранилище строго ограничен. Не рекомендуется располагать такое помещение на первом и последнем этажах здания. Конфиденциальные документы хранятся в сейфах или несгораемых металлических шкафах с надежными замками и запорами.
7.6. Аналитическая работа по выявлению каналов утраты информации
В основе поиска и обнаружения каналов утраты конфиденциальной информации лежит постоянная аналитическая работа - выявление, классификация и постоянное изучение ситуаций, способствующих образованию каналов несанкционированного доступа к конфиденциальной информации в единстве с изучением характера возможных угроз безопасности информации.
Эта работа имеет превентивный (предупредительный) и информационный характер о состоянии внешней и внутренней, сфер деятельности предприятия, т. е. направлена на исследование комплекса возможных угроз. Другие пути носят случайный характер ожидания ошибки в действиях злоумышленника, т. к. реальные каналы разглашения или утечки конфиденциальной информации всегда являются тайной злоумышленника.
Результаты аналитической работы показывают степень защищенности интеллектуальной собственности и условий функционирования предприятия. Они являются основой для разработки и систематического совершенствования системы защиты информации, определения ее структуры и стоимости в соответствии с реальными опасностями, угрожающими ценным информационным ресурсам. Аналитическое исследование позволяет выработать способы пассивного и активного противодействия злоумышленнику в организационных и технических каналах.
Направления аналитической работы по обнаружению каналов несанкционированного доступа к ценной и конфиденциальной информации в общем виде следующие:
анализ источников конфиденциальной информации;
анализ каналов объективного распространения этой информации;
аналитическая работа с источником угрозы информации.
Источники угрозы могут быть внешними и внутренними. Внешние источники находятся вне организации и представлены чрезвычайными ситуацииями, а также организационными структурами и физическими лицами, проявляющими определенный интерес к деятельности предприятия. Внутренние источники угрозы связаны с фатальными событиями в здании или помещениях предприятия, а также с персоналом. Однако наличие источника угрозы само по себе не является угрозой. Угроза реализуется в действиях.
Интересы и устремления конкурентов, формирование угроз утраты конфиденциальной информации выявляются в основном за счет анализа публикаций, рекламных, выставочных и других материалов фирм-конкурентов, высказываний их сотрудников в печати или устных выступлениях, беседах, анализа опубликованных результатов финансово-хозяйственной деятельности этих фирм. Необходимые результаты дает организованная информационно-аналитическая работа.
Контрольная и аналитическая работа проводится при потенциальных и пассивных угрозах источникам информации и каналам ее распространения. В условиях активной угрозы одновременно осуществляется заранее спланированное, продуманное и решительное противодействие злоумышленнику.
Наличие, ведение и результаты регулярной аналитической работы определяют необходимость, структуру и содержание системы защиты информации, требуемую степень ее эффективности и направления совершенствования. При отсутствии в организации серьезной аналитической работы становится практически невозможным выявление и контроль каналов утраты ценной и конфиденциальной информации.