Организация служб защиты информации / орг и управл служб защ инф ч1
.pdfЕй должны быть охвачены как персонал службы защиты информации, так и других структурных подразделений предприятия.
Служба защиты информации является самостоятельной организационной единицей, подчиняющейся непосредственно руководителю предприятия.
Возглавляет службу защиты информации начальник службы в должности заместителя руководителя предприятия по безопасности (генерального директора по безопасности).
При решении функциональных задач данная служба взаимодействует с начальниками отделов и служб, включая юридический отдел, группой консультантов руководства, пресс-службой (по вопросам анализа публикуемых материалов на предмет выявления защищаемых данных) и советом по науке и технике (по вопросам режимного сопровождения научных и конструкторских работ, разработки информационных технологий в защищенном исполнении).
Численность работников службы защиты информации предприятия определяется штатным расписанием.
2.2. Задачи, функции и права службы защиты информации
Задачи, функции и права службы защиты информации и е¸ структурных подразделений определяются и утверждаются руководителем предприятия.
Основными задачами службы защиты информации являются:
–обеспечениебезопасностипроизводственно-торговойдеятельности;
–организация работы по правовой, организационной и инженернотехнической(физической,аппаратной,программнойиматематической) защите коммерческой тайны;
–обеспечение сохранности коммерческой тайны предприятия при проведении всех видов работ, обращении с документами и изделиями, имеющими отношение к коммерческой тайне;
–организация специального делопроизводства, исключающего несанкционированное получение сведений, являющихся коммер- ческой тайной;
–выявление и локализации возможных каналов утечки конфиденциальнойинформациивпроцессеповседневнойпроизводственнойдеятельности и в экстремальных (аварийных, пожарных и др.) ситуациях;
–предотвращение необоснованного допуска и доступа лиц к сведениям, составляющим коммерческую тайну предприятия, которые содержатся в работах, документах и изделиях;
–обеспечение режима защиты информации при проведении всех видов деятельности, включая различные встречи, переговоры, со-
21
вещания, заседания, связанные с деловым сотрудничеством как на национальном, так и на международном уровне;
–обеспечение охраны зданий, помещений, оборудования, продукции итехническихсредствобеспеченияпроизводственнойдеятельности;
–обеспечение личной безопасности руководства и ведущих сотрудников и специалистов;
–оценка маркетинговых ситуаций и неправомерных действий конкурентов.
Служба защиты информации предприятия в процессе своей деятельности осуществляет следующие функции:
–участвует в разработке и пересмотре (изменении и дополнении) перечня сведений, составляющих коммерческую тайну предприятия;
–планирует работу по защите коммерческой тайны;
–организует и проводит мероприятия, обеспечивающие сохранность коммерческой тайны при разработке, производстве, учете, хранении, транспортировке и уничтожении изделий;
–разрабатывает и проводит мероприятия по защите коммерческой тайны в производственно-технической, научно-исследовательской, опытно-конструкторской и другой деятельности предприятия;
–осуществляет руководство подчиненными структурными подразделениями и лицами, осуществляющими работу по защите коммерческой тайны;
–организует и вед¸т специальное делопроизводство; контролирует обеспечение установленного порядка размножения документов, содержащих сведения, касающиеся коммерческой тайны, их учета, хранения и пользования ими в архивах, библиотеках и отделах (бюро) технической документации;
–контролирует соблюдение правил обращения с документами, содержащимиинформацию,относящуюсяккоммерческойтайнепредприятия,исвоевременноеихвозвращениевслужбузащитыинформации;
–обеспечивает соблюдение правил рассылки документов, содержащих сведения, касающиеся коммерческой тайны предприятия;
–принимает меры к внедрению средств механизации и автоматизации в процесс ведения специального делопроизводства и обеспечивает контроль за соблюдением правил хранения и эксплуатации средств, предназначенных для размножения документов, содержащих коммерческую тайну;
–изучает все стороны деятельности предприятия для выявления и закрытия возможных каналов утечки информации, относящейся к коммерческой тайне;
–проводит аналитическую работу;
22
–участвует в разработке и осуществлении мероприятий по защите информации, составляющей коммерческую тайну предприятия, от возможной утечки по техническим каналам в процессе е¸ переда- чи, накопления и использования;
–организуетпроведениепрофилактическойработысработникамипредприятияпособлюдениютребованийпозащитекоммерческой тайны;
–принимает участие в проведении расследований по фактам разглашения коммерческой тайны предприятия, утраты документов и изделий, имеющих отношение к коммерческой тайне;
–организует учет лиц, осведомленных в вопросах, касающихся коммерческой тайны предприятия;
–осуществляет мероприятия, обеспечивающие допуск к работам, документам и изделиям, относящимся к коммерческой тайне предприятия, только тех лиц, которым это необходимо для выполнения служебных обязанностей;
–участвует в подборе лиц, командируемых на другие предприятия;
–проводит инструктаж лиц, допущенных к коммерческой тайне;
–участвует в обеспечении пропускного и внутриобъектового режима, охраны зданий, помещений, территорий, хранилищ;
–участвует в определении эффективности инженерно-технических средств охраны предприятия и разработке предложений по их совершенствованию;
–принимает меры по предотвращению чрезвычайных происшествий на предприятии.
Подразделениям службы защиты информации предприятия предоставляется право:
–требовать от всех сотрудников предприятия, партнеров, клиентов строгого и неукоснительного выполнения требований нормативных документов или договорных обязательств по защите коммерческой тайны; –вносить предложения по совершенствованию правовых, органи-
зационных и инженерно-технических мероприятий по защите коммерческой тайны;
–привлекать в необходимых случаях специалистов предприятия к работе по обеспечению сохранения коммерческой тайны;
–проводить проверки состояния и организации работы по защите коммерческой тайны предприятия;
–давать рекомендации и обязательные для исполнения указания руководителям структурных подразделений предприятия и подчи- ненных ему организаций по вопросам обеспечения сохранности коммерческой тайны;
23
– в случае нанесения ущерба работником предприятия ходатайствовать перед руководителем о привлечении его к уголовной, административной, гражданско-правовой и другой ответственности в соответствии с законодательством Российской Федерации.
Сотрудники службы защиты информации предприятия обязаны:
–осуществлять контроль за соблюдением «Инструкции по защите коммерческой тайны»;
–докладывать руководству о фактах нарушения требований нормативных документов по защите коммерческой тайны и других действий, могущих привести к утечке конфиденциальной информации или утрате документов или изделий;
–не допускать неправомерного ознакомления с документами и материалами с грифом «Коммерческая тайна» посторонних лиц. Сотрудники службы защиты информации несут ответственность за
личное нарушение безопасности коммерческой тайны и за не использование своих прав при выполнении функциональных обязанностей по защите конфиденциальных сведений сотрудниками предприятия.
2.3. Нештатные структуры службы защиты информации
С целью более широкого охвата и качественного исполнения требований защиты коммерческой тайны решением руководства предприятия и службы защиты информации могут создаваться отдельные комиссии, решающие определенные контрольно-ревизионные функции на временной или постоянной основе, такие как:
–квартальные или годовые комиссии по проверке наличия, состояния и учета документов (материалов, сведений, ценностей);
–комиссия по оценке возможностей публикации периодических документов, объявлений, проспектов, интервью и других выступлений в печати, на радио и телевидении, семинарах, симпозиумах, конференциях и т.п.;
–периодические проверочные комиссии для проверки знаний и умений выполнять требования нормативных документов по защите коммерческой тайны, а также по оценке эффективности и надежности защитных мероприятий по обеспечению безопасности предприятия. Пресс-служба осуществляет функции по проведению целевых про-
пагандистских акций в интересах создания благоприятной для предприятия обстановки в конкурентной и партнерской среде, определяет объем информации о предприятии, передаваемый в средства массовой информации, организует пресс-конференции и брифинги для рос-
24
сийских и зарубежных корреспондентов, поддерживает деловые и неформальные отношения с источниками в СМИ. Важное место занимает анализ отечественной и иностранной прессы об объекте.
2.4. Положение о службе защиты информации
Состав и функции структурных подразделений по защите информации предприятия закрепляется Положением о службе защиты информации предприятия (ПРИЛОЖЕНИЕ 1). На основе Положения составляется штатное расписание подразделений, разрабатываются конкретные функциональные обязанности должностных лиц (ПРИЛОЖЕНИЕ 2).
В качестве примера проекты инструкций работникам службы защиты информации представлены в главе 2 Учебно-практического пособия по изучаемой дисциплине.
Руководителем службы защиты информации назначается ответственное лицо в ранге заместителя генерального директора предприятия. Исходными данными для разработки Положения являются нормативные документы, устав предприятия, коллективный договор, индивидуальные трудовые договора, правила внутреннего распорядка, технологические руководства и инструкции предприятия, должностные функции персонала и некоторые другие.
Изложим подробней задачи подразделений службы защиты информации предприятия непосредственно связанных с защитой информации.
2.4.1. Группа режима
Группа режима является самостоятельным подразделением службы защиты информации и подчиняется начальнику службы защиты информации. В своей деятельности она руководствуется требованиями «Инструкции по организации режима и охраны». Главными функциями группы режима являются:
–организация пропускного и внутриобъектового режима;
–участие в разработке «Перечня сведений, составляющих коммерческую тайну»;
–организация и ведение конфиденциального делопроизводства;
–разработка положения и инструкций о порядке работы со служебной информацией и сведениями, составляющими коммерческую тайну;
–разработка разрешительной системы и обеспечение допуска к сведениям, составляющим служебную и коммерческую тайну;
–контроль работы разрешительной системы допуска и доступа к защищаемым сведениям, учет осведомленности должностных лиц в защищаемых сведениях;
25
–размножения материалов, составляющих коммерческую тайну;
–контрользапорядкомзасекречиванияирассекречиваниядокументов;
–периодический контроль выходящих за пределы предприятия документов и материалов на наличие служебных и конфиденциальных сведений;
–уничтожение выведенных из действия, потерявших ресурсную актуальность документов, материалов, других носителей сведений, составляющих коммерческую тайну;
–аттестация и периодический контроль (совместно с другими подразделениями службы защиты информации) технологических процессов обработки информации;
–контроль соблюдения правил режима конфиденциальности пользователями;
–проверки наличия носителей сведений, составляющих коммер- ческую тайну;
–организация и проведение изучения кандидатов для приема на работу;
–периодические проверки сотрудников предприятия на выявление степени их лояльности;
–повышение квалификации пользователей, работающих с информацией, составляющей коммерческую тайну, в плане соблюдения режимной дисциплины;
–работа с сотрудниками предприятия, связанных со сторонними организациями и клиентами предприятия по сохранению коммер- ческой безопасности предприятия;
–работа с командированными лицами, использующими сведения, составляющие коммерческую тайну для решения возложенных на них задач, на предмет соблюдения необходимых ограничений по ознакомлению с информацией.
Резюмируя вышесказанное, можно отметить, что главным объек-
том деятельности группы режима являются сотрудники объекта, а целью – создание внутренней атмосферы объекта защиты.
2.4.2. Группа охраны
Группа охраны является самостоятельным структурным подразделением службы защиты информации и тесно взаимодействует с группой режима. В своей деятельности она руководствуется требованиями «Инструкции по организации режима и охраны». Численность группы охраны определяется конкретной криминогенной обстановкой. В слу- чаеэкстремальныхситуацийвозможнопривлечениеспециалистовсторонних организаций только для решения конкретных ограниченных задач.
26
Деятельностьгруппыохраныдолжнаосуществлятьсявтрехнаправлениях:
–охрана объектов предприятия;
–охрана ценных грузов при их перевозке;
–обеспечение личной безопасности руководства и сотрудников предприятия.
Деятельность подгруппа охраны объектов предприятия направлена
âосновном на обеспечение пропускного и внутриобъектового режима. Для ее функционирования она оснащается средствами охранно-пожар- ной сигнализации (ОПС).
Подгруппа сопровождения ценных грузов, хотя и входит в группу охраны, подчиняется непосредственно начальнику службы защиты информации. Учитывая особые условия работы данной подгруппы, она должна комплектоваться из числа высококвалифицированных профессионалов, оснащенных спецтранспортом и средствами связи и состоять исключительно из штатных сотрудников предприятия. Численность и состав подгруппы определяется производственной необходимостью.
Подгруппа обеспечения личной безопасности руководства и сотрудников предприятия в своей деятельности руководствуется документами, регламентирующими охранную деятельность и специальным Положением, разрабатываемым службой защиты информации с учетом конкретной обстановки. Основными задачами подгруппы являются: охрана руководства предприятия в обычных и экстремальных условиях; проведение учебы по направлениям соблюдения личной безопасности и поведения в экстремальных условиях; поддерживание контактов с правоохранительными органами и службами защиты информации других организаций.
Количественный состав службы и привлечение сторонних организаций, занимающихся охранной деятельностью, определяется руководителем службы защиты информации в соответствии с обстановкой.
2.4.3. Группа пожарной охраны
Одновременную угрозу всем объектам защиты деятельности предприятия наиболее часто представляют пожары в помещениях предприятия. При этом даже незначительное возгорание может привести к потере огромного объема информации, что обусловлено сильной уязвимостью информации, обрабатываемой средствами вычислительной техники. Поэтому, вполне естественно, в структуре службы защиты информации предприятия должна присутствовать группа пожарной охраны.
Группапожарнойохраныявляетсясамостоятельнымподразделением службызащитыинформации.Деятельностьгруппырегламентируется«Положениемогосударственномпожарномнадзоре»,«Наставлениемпоорга-
27
низацииработыоргановгосударственногопожарногонадзора»,«Сборником
правилпожарнойбезопасности»ивнутреннимидокументамипредприятия. Главной задачей группы пожарной охраны является создание противопожарной обстановки на основе работы с персоналом предприятия, использования средств пожарной сигнализации и пожаротушения; работы с органами гостехнадзора, госэнергонадзора, пожарно-техни- ческими комиссиями и пожарными службами организаций ближайшего
окружения предприятия.
2.4.4. Аналитическая группа
Наличие недобросовестной конкуренции возможных злоумышленных действий со стороны клиентов и конкурентов предприятия требует активного противодействия. Оно возможно только в том случае, если служба защиты информации располагает о них информацией. Сбором, анализом и оценкой степени опасности деятельности предприятия и занимается аналитическая группа. Таким образом, главной целью деятельностианалитическойгруппыявляетсясозданиеблагоприятнойатмосферы безопасности предприятия, которая состоит из двух слагаемых:
–сведение возможных негативных действий клиентов и конкурентов предприятия до минимума;
–максимизация эффективности своих действий относительно клиентов и конкурентов предприятия.
Положения, на которых основывается необходимость создания аналитической группы:
–информационно-аналитическая работа против конкурентов нужна для обеспечения успеха в рыночной конкуренции;
–динамика рыночной ситуации требует новых способов наблюдения за конкурентами в организованных формах;
–аналитическая группа должна предусматривать задачи охраны собственных секретов и контрразведки. Это положение основано на предположении, что у конкурентов есть аналогичные службы, и что они могут прибегнуть к незаконным или неэтичным средствам для проникновения в вашу собственную организацию;
–методы «проб и ошибок» в получении значимой для предприятия информациивконечномитогенеэффективны.Дляобеспеченияфункции добывания и анализа информации требуется целостная система в полном смысле этого слова;
–аналитическая группа должна быть ориентирована на действия, а не просто выдавать отчеты и накапливать данные - т.е. она должна обеспечивать предприятие такой информацией, которая указывала бы на необходимость действий и помогала выбрать наиболее предпочтительные из них;
28
–аналитическая группа должна нацелено ориентироваться на конкретных лиц, даже если ее структура и организация постоянны;
–конфиденциальную информацию можно получить из различных источников, многие из которых при поверхностном взгляде могут показаться бесполезными;
–аналитическая группа должна эффективно функционировать без обращения к незаконным или неэтичным методам сбора данных. Другими словами, целью работы аналитической группы является
обеспечение информационной безопасности предприятия. Принципиальное отличие в работе аналитической группы от работы
других подразделений службы защиты информации заключается в том, что она, в общем случае, должна работать на перспективу, т.е. прогнозировать возможные события, оценивая возможную прибыль или ущерб, и своими прогнозами, в конечном счете, приносит прибыль предприятию, которая проявляется в неявном виде.
Аналитическая группа является самостоятельным подразделением службы защиты информации и подчиняется ее руководителю. Она организует свою деятельность в тесном взаимодействии со всеми структурными подразделениями предприятия. Численный состав группы определяется руководителем службы защиты информации в зависимости от конкретной ситуации. При этом допускается привлечение специалистов сторонних организаций.
2.4.5. Детективная группа
Детективная группа является самостоятельным подразделением службы защиты информации и подчиняется непосредственно руководителю службы защиты информации. В своей деятельности детективная группа руководствуется Законом «О частной детективной и охранной деятельности в Российской Федерации» и Положением о службе защиты информации.
Детективная группа службы защиты информации предприятия:
–разрабатываетипроводитспециальныемероприятияпонаблюдению за отдельными сотрудниками и клиентами предприятия, а также жителями ближайшего к предприятию окружения, в действиях которыхсодержатсяугрозыбезопасностидеятельностипредприятия;
–осуществляет совместно с группой режима проверку кандидатов для приема на работу на предприятие;
–по заданию группы режима проводит контроль лояльности сотрудников предприятия;
–поддерживает контакты с правоохранительными органами по всем вопросам, связанным с угрозами безопасности деятельности предприятия;
29
–содействует обеспечению возврата долгов;
–совместно с аналитической группой проводит специальные мероприятия по отношению к организациям-клиентам предприятия и конкурентам предприятия.
Количественный состав детективной группы определяется произ-
водственной необходимостью. Для выполнения ряда заданий допускается привлечение специалистов сторонних организаций.
2.4.6. Группа комплексного противодействия ТСР
Группа комплексного противодействия техническим средствам разведки конкурента (в дальнейшем – группа ПДТР) является самостоятельным подразделением службы защиты информации предприятия и подчиняется руководителю службы защиты информации. В своей деятельности группа ПДТР руководствуется нормативными документами по защите информации.
Решение задач, возложенных на группу ПДТР, проводится с использованием следующей методологии:
–определение (классификация) санкционированных и несанкционированных (побочных, паразитных) источников информации, носителями которых являются электромагнитные, акустические, оптические и другой технической природы поля;
–выявление и классификация по степени опасности технических каналов утечки информации;
–определение параметров каналов утечки, в том числе и уровней опасных сигналов;
–подбор способов и средств уменьшения (устранения) уровней опасных сигналов до допустимых (закрытие технических каналов утечки) в соответствии с нормативно-методическими документами;
–планирование и осуществление комплексного применения выбранных сил и средств.
Нормативно-методическая база технического противодействия раз-
ведкам конкурента разрабатывается на основе требований, установленных Государственной технической комиссией при Президенте РФ.
2.4.7. Группа защиты данных от НСД
Группа защиты данных от несанкционированного доступа в средствах вычислительной техники (в дальнейшем – группа НСД) является самостоятельным структурным подразделением службы защиты информации предприятия и подчиняется начальнику службы защиты информации. Целью деятельности группы НСД является защита инфор-
30