FAQ_Print

1. Цели и задачи службы защиты информации.

Основные цели службы защиты информации.

1.предотвращение утечки, хищения, утраты, искажения, подделки информа-

ции;

2.предотвращение угроз безопасности личности, предприятия, общества, государства;

3.предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации;

4.предотвращение других форм незаконного вмешательства в информационные ресурсы и системы, обеспечение правового режима документированной информации как объекта собственности;

5.защита конституционных прав граждан на сохранение лично тайны и конфиденциальности персональных данных, имеющихся в информационных системах;

6.сохранение, конфиденциальности документированной информации в соответствии с законодательство.

Задачи.

1.Обеспечение безопасности производственно-торговой деятельности;

2.ЗТ и сведений, являющимися коммерческой тайной;

3.Организация работы по правовой, организационной и ИТЗ коммерческой тайны;

4.Организация специального делопроизводства исключающая несанкционированное получение сведений;

5.Предотвращение необоснованного допуска и открытого доступа к сведениям и работам составляющим коммерческую тайну;

6.Выявление и локализация КУИ конфиденциальной информации;

7.Обеспечение режима безопасности при проведении таких видов деятельности, как встречи, переговоры, совещания и т.д.;

8.Обеспечение охраны зданий, помещений, оборудования, продукции и технических средств;

9.Обеспечение личной безопасности;

10.Оценка маркетинговых ситуаций при неправомерных действиях злоумышленника и конкурентов.

381

Общие функции службы безопасности.

1.Организовывать и обеспечивать пропускной и внутри объектовый режим в зданиях и помещениях;

2.Контролирование режима, выполнение требований сотрудниками, партнерами и посетителями;

3.Участвовать в разработке документов организации с целью закрепления в них требований по обеспечению безопасности и защиты коммерческой тайны;

4.Разработка и осуществление совместно с другими подразделениями мероприятий по обеспечению работы с документами содержащие сведения являющимися коммерческой тайной;

5.Вести учет и анализ нарушений режимной безопасности;

6.Организация и проведение служебного расследования;

7.Разработка, внедрение, обновление, пополнение перечня сведений коммерческой тайны;

8.Осуществление руководства службами и подразделениями безопасности;

9.Организовывать и проводить учебу сотрудников предприятия и службы; безопасности по всем направлениям ЗИ;

10.Вести учет металлических шкафов, спец. помещений и других помещений,

вкоторых разрешено постоянно или временно хранить конфиденциальные документы.

2.Виды и типы организационных структур

службы защиты информации.

Безопасность предприятия и защита информации может быть реализована следующими тремя путями:

1) абонементное обслуживание;

Плюсы: Система ЗИ создается немедленно; сотрудничество со специалистами; относительно дешевый способ

Минусы: периодичность проверки; спецы не знают всех нюансов деятельно-

сти организации; при форс-мажоре специалистов нет

2) создание собственной службы;

Плюсы: специалисты свои; оптимизация СБ под структуры организации; организация мероприятий в полной мере

Минусы: высокая стоимость создания (минимальный набор ТС 40к$, нужны методики); требуется лицензия

382

3) комбинирование двух предыдущих методов.

Структура и численности Службы безопасности предприятия зависит от размера организации, сферы деятельности, уровня конфиденциальности информации. Численность и состав Службы информационной безопасности должны быть достаточными для выполнения всех задач безопасности и защиты информации.

3. Типовая структура службы безопасности

4. Функции и обязанности персонала по обеспечению безопасности.

Функции и обязанности начальника отдела по защите информации:

1) Организует разработку и внедрение организационных и технических мероприятий по комплексной защите информации на предприятиях, ведущих работы, содержание которых составляет государственную или коммерческую тайну, обеспечивает соблюдение режима проводимых работ и сохранение конфиденциальности документированной информации.

383

2)Возглавляет разработку проектов перспективных и текущих планов работы, составление отчетов об их выполнении.

3)Руководит проведением работ по организации, координации, методическому руководству и контролю их выполнения по вопросам защиты информации и разработкой технических средств контроля, определяет перспективы их развития.

4)Обеспечивает взаимодействие и необходимую кооперацию соисполнителей работ по вопросам организации и проведения научно-исследовательских и опыт- но-конструкторских разработок, организует и контролирует выполнение плановых заданий, договорных обязательств, а также сроки, полноту и качество работ, выполняемых соисполнителями.

5)Организует работу по заключению договоров на работы по защите информации, принимает меры по обеспечению финансирования работ, в том числе выполняемых по договорам.

6)Обеспечивает участие подразделения в разработке технических заданий на выполняемые на предприятии исследования и разработки, формулирует цели и задачи работы по созданию безопасных информационных технологий, отвечающих требованиям комплексной защиты информации.

7)Организует проведение специальных исследований и контрольных проверок по выявлению демаскирующих признаков и возможных каналов утечки информации, в том числе по техническим каналам, разрабатывает меры по их устранению и предотвращению, а также работу по составлению актов и другой технической документации о степени защищенности технических средств и по-

мещений.

8)Контролирует соблюдение нормативных требований по надежной защите информации, обеспечивает комплексное использование технических средств, методов и организационных мероприятий.

9)Организует рассмотрение применяемых и предлагаемых методов защиты информации, промежуточных и конечных результатов исследований и разработок.

10)Совершенствует планирование, контроль и организацию выполнения работ, обеспечивает использование в них достижений отечественной и зарубежной

науки и техники, передового опыта.

11)Обеспечивает выполнение плановых заданий с наименьшими затратами материальных и финансовых ресурсов, рациональное расходование фонда заработной платы.

12)Согласовывает проектную и другую техническую документацию на вновь строящиеся и реконструируемые здания и сооружения в части выполнения тре-

бований по защите информации.

384

13)Определяет потребность подразделения в оборудовании, материальных, финансовых и других ресурсах, необходимых для проведения работ, и контролирует рациональное использование и сохранность аппаратуры, приборов и другого оборудования.

14)Обеспечивает высокий научно-технический уровень работ, эффективность и качество исследований и разработок.

15)Осуществляет контроль за выполнением предусмотренных мероприятий, анализ материалов контроля, выявление нарушений, разрабатывает и участвует в реализации мер по устранению выявленных недостатков по защите информации.

16)Организует проведение аттестации объектов, помещений, технических средств, программ, алгоритмов на предмет соответствия требованиям защиты информации по соответствующим классам безопасности, обеспечивает представление в установленном порядке действующей отчетности.

17)Участвует в подборе кадров, оценке деятельности и аттестации работников подразделения.

18)Определяет направления деятельности подразделений, входящих в состав отдела, организует и координирует их работу.

19)Осуществляет рациональную расстановку кадров с учетом квалификации

иделовых качеств работников, принимает меры по повышению их квалификации

итворческой активности.

20)Обеспечивает ведение делопроизводства в соответствии с установленным порядком, соблюдение действующих инструкций по режиму работ и своевремен-

но принимает меры по предупреждению нарушений.

21)Следит за безопасным проведением работ, соблюдением правил и норм охраны труда.

22)Руководит работниками подразделения.

Обязанности специалиста по безопасности:

1.Проводит работы по правовой и организационной защите предприятия, по защите коммерческой тайны.

2.Организует работу по распределению дополнительных должностных обязанностей среди персонала с целью обеспечения режима безопасности.

3.Проводит собеседование с вновь принятыми работниками с целью выявления их лояльности и возложения на работников дополнительных к основным служебных обязанностей в системе безопасности предприятия.

4.Оформляет обязательства о неразглашении сведений, составляющих ком-

мерческую тайну.

385

5.Разрабатывает методику действий персонала в случае возникновения угрозы нарушения безопасности предприятия.

6.Проводит обучение и тренинги персонала по вопросам безопасности.

7.Организует специальный режим делопроизводства, исключающий несанкционированное получение сведений, находящихся под режимом особого доступа.

8.Предотвращает необоснованный допуск и доступ к сведениям и работам, составляющим коммерческую тайну предприятия.

9.При необходимости организует и обеспечивает внутриобъектный пропускной режим и наделяет в этом случае властными полномочиями соответствующий персонал.

10.Оценивает необходимость привлечения для несения охраны объекта службы безопасности МВД, коммерческих охранных структур на договорной основе.

11.Руководит организацией договорной работы с такими структурами.

12.Контролирует соблюдение требований режима безопасности сотрудниками и посетителями.

13.Организует исследование вероятностных ситуаций и неправомерных действий злоумышленников и конкурентов.

14.Выявляет и локализует несанкционированный физический допуск неизвестных лиц на охраняемую территорию, вызывает при необходимости наряд милиции.

15.Организует и проводит служебные расследования по фактам разглашения сведений, утрате документов, ценностей и других нарушений безопасности предприятия.

16.Участвует в разработке основополагающих документов с целью закрепления в них требований по обеспечению безопасности предприятия (инструкции, положения, правила).

17.Организует сопровождение особо ценных ресурсов (денежных, товар- но-материальных, информационных), а также особо важных работников предприятия в случае угрозы их безопасности.

18.Вносит предложения по совершенствованию правовых, организационных

иинженерно-технических мероприятий по защите безопасности предприятия.

19.Ведет учет и анализ нарушений режима.

386

5. Категории объектов. Охрана периметра.

Категории объектов защиты:

1.особо важные (ОВ);

2.промышленно-коммерческие (ПК);

3.общего назначения (ОН).

Степень важности оценивается по размеру нанесенного ущерба.

Особенности охраны различных типов объектов

•несанкционированное проникновение на ОВ связано с диверсиями

•величина ущерба может возрастать со временем

•при несанкционированном проникновении на ПК и ОН действия злоумышленника носят корыстные цели и изредка диверсионные, ущерб снижается по истечении времени

•на ОВ объектах злоумышленник должен быть нейтрализован до того, как совершено нарушение, на ПК и ОН нарушитель может быть нейтрализован как до, так и после;

•на ОВ нарушитель всегда внешний и недопустимо наличие посторонних лиц;

•на ПК и Он потенциальный нарушитель имеет право находиться на территории и не может быть выявлен пока не совершит противоправного деяния.

6.Системы обеспечения доступа, охранной

ипожарной сигнализации.

Система охранного и тревожного сигнала предназначена:

1)для постановки и снятия с охраны помещения;

2)для формирования и выдачи сигнала при несанкционированном появлении или попытки проникновения нарушителем на охраняемую территорию;

3)для просмотра состояния охраняемого помещения на планах, граф. Форме на автоматизированных рабочих сист.безоп. Отображение сигналов тревоги о неисправности системы.

4)ведение протокола событий в памяти компьютера с возможностью его просмотра и распечатывания;

5)ведение электронного журнала для записи действий в штатных и других ситуациях.

387

Обеспечивает:

1.интеграцию с другими системами;

2.ручное управление постановкой и снятия с охраны;

3.Контроль состояния с центрального пульта;

4.Работоспособность при срыве электрообеспечения не менее 4 часов.;

5.Возможность независимой работы при сбое связи с центр. управлением.

Система контроля и управления доступом предназначена для выполнения комплексных мероприятий направленных для ограничения и санкционированного доступа на предприятие.

Существуют различные преграждающие устройства(Электрозащёлки, Электромагнитные замки, Турникеты , Ворота и шлагбаумы), идентификаторы, контроллеры и считыватели.

Обеспечивает:

1.Интеграцию с другими системами;

2.Многоуровневая организация доступа с возможной корректировки БД;

3.Возможность графического отображения состояния системы;

4.Создание архива с возможностью хранения инф. не менее 1 года;

388

5.Возможность ежедневного архивирования БД и разовых посетителей;

6.Возможность перехода на ручное управление всей системы или отдельных элементов с протоколированием данного факта.

Система пожарной сигнализации - совокупность технических средств, предназначенных для обнаружения пожара, обработки, передачи в заданном виде извещения о пожаре, специальной информации и (или) выдачи команд на включение автоматических установок пожаротушения и включение исполнительных установок систем противодымной защиты, технологического и инженерного оборудования, а также других устройств противопожарной защиты.

7 . Причины и условия формирования технического канала утечки информации.

Технические каналы утечки информации - каналы, в которых информация снимается с технических средств передачи, хранения или обработки информации, либо воспринимается с помощью технических средств разведки.

В общем случае под техническим каналом утечки информации будем понимать совокупность источника опасного сигнала, среды распространения носителя опасного сигнала и средства разведки.

Классификация:

•нежелательные излучения радиопередающих устройств систем связи и передачи информации;

•нежелательные излучения технических средств обработки информации;

•нежелательные электромагнитные связи, излучатели электромагнитных по-

лей;

•утечка информации по цепям питания;

•виброакустический канал;

•электроакустический канал;

•утечка информации в волоконно-оптических линиях связи.

Причины возникновения:

•наличием информационных радио-, оптических и электрических сигналов в различных технических средствах передачи и обработки информации;

•наличием нежелательных электромагнитных излучений систем и средств информатизации и связи;

•образованием наводок электромагнитных излучений на различные токоведущие цепи и конструкции;

389

•применением специальных воздействий на элементы технических средств;

•применением различных закладных устройств;

•возникновением и распространением в окружающей среде акустических колебаний при обсуждении вопросов, содержащих секретные сведения;

•наличием случайных электроакустических преобразователей в отдельных элементах технических средств.

Причины возникновения (*Лекционный материал):

1.наличие опасного сигнала, который принципиально необходим для нормальной работы тех.средства;

2.опасный сигнал возникает в виде побочного сигнала (наличие побочных опасных сигналов). Побочный каналканал, возникающий только при наличии другого канала, но на др. частотах или в др. направлении;

3.наличие паразитных опасных сигналов (сигнал там, где его принципиально не должно быть);

4.наличие электрических и магнитных полей и наводок;

5.воздействие на технические средства;

6.модернизация ТС;

7.установка закладного устройства.

390