- •Введение
- •График 1: Динамика роста утечек с 2006-2010гг.
- •График 2. Доли умышленных и случайных утечек
- •Персональные данные, по-прежнему, лидируют
- •Каналы и способы утечек
- •Методы противодействия утечкам
- •Основные понятия и определения из области информационной безопасности
- •Задачи службы информационной безопасности предприятия
- •II. Типичные проблемы обеспечения информационной безопасности
- •III. Основные направления обеспечения информационной безопасности
Задачи службы информационной безопасности предприятия
В целях создания правовых основ защиты информации на предприятии в уставе предприятия должна быть предусмотрена работа со сведениями, составляющими коммерческую тайну. В соответствующем разделе устава должно быть указано, что предприятие имеет право работать со сведениями, составляющими коммерческую тайну, определять (в рамках законодательства) объем сведений, составляющих коммерческую тайну и право защищать ее.
При отсутствии такого раздела в уставе любое должностное лицо или представитель средств массовой информации, ссылаясь на законодательные положения, регламентирующие его деятельность, вправе потребовать доступ к любой документации предприятия.
На предприятии должно быть выделено должностное лицо, отвечающее за информационную безопасность предприятия. Часто это лицо отвечает за безопасность предприятия в целом. Указанное должностное лицо должно иметь достаточно высокий ранг. Наиболее приемлемым считается, что за проблемы информационной безопасности (и безопасности предприятия в целом) отвечает сам руководитель предприятия, если оно мало, или первый заместитель руководителя. Дело в том, что это лицо должно четко представлять себе политику предприятия, его планы и перспективы. Это с одной стороны. А с другой стороны руководитель службы информационной безопасности должен обладать серьезными властными полномочиями.
На предприятии должен быть разработан перечень сведений, составляющих коммерческую тайну. Перечень этот должен быть доведен приказом до каждого сотрудника, с взятием расписки с сотрудников об ознакомлении с перечнем. Если перечень отсутствует или не доведен дол сведения сотрудников, то на них невозможно будет возложить ответственность за разглашение коммерческой тайны.
При приеме сотрудников на работу необходимо предусмотреть составление договоров (контрактов), в которых должно содержаться обязательство нанимаемого не разглашать ставшими ему известными сведения, составляющие коммерческую тайну.
В последнее время в связи с ростом преступности, в том числе проявлений терроризма по отношению к фирмам и их руководителям, актуальной стало также разработка мероприятий по предотвращению ситуаций, представляющих угрозу для личного состава и, в частности, руководителей предприятия. В рамках таких мероприятий уместно также включать в контракт при приеме на работу обязательств сотрудников не разглашать посторонним лицам сведения, влияющие на безопасность личного состава (Правила внутреннего распорядка, пропускной режим, время и маршруты перемещения руководителей, время, место и состав совещаний и др.)
На предприятии должна быть разработана система организационно-технических мероприятий по обеспечению безопасности предприятия, в том числе – информационной безопасности. Такая система строится, с одной стороны на основе оценки возможных убытков при отсутствии организационно-технических мер защиты информации. С другой стороны исходить из модели нарушителя, то есть из оценки целей злоумышленника и его возможностей.
К техническим мерам обеспечения безопасности объекта относятся:
ограда по периметру защищаемого объекта;
решетки на окнах;
охранное телевидение;
тревожная сигнализация о проникновении злоумышленника через периметр охраняемой территории;
техническое оснащение контрольно-пропускных пунктов;
организация многоуровневого доступа в помещения с информацией разного уровня секретности;
оборудование помещений для работы с посетителями;
оборудование помещений для проведения совещаний по конфиденциальным вопросам;
программно-аппаратные средства защиты информации в автоматизированных системах обработки информации;
предотвращение утечки конфиденциальной информации по техническим каналам утечки информации;
средства обнаружения средств негласного получения информации, и другие.
К организационным мерам относят:
организацию пропускного режима;
правила внутреннего распорядка;
разграничение доступа к информации;
систему секретного делопроизводства;
организацию работы с посетителями;
организацию совещаний по вопросам конфиденциального характера;
работу с кадрами.
Напомним, что разграничение доступа организуется по одному из двух принципов:
Мандатный принцип построения системы разграничения доступа предусматривает деление всех единиц обрабатываемой информации (объектов доступа) на категории по уровню конфиденциальности. Одновременно каждого субъекта доступа относят к той или иной категории в зависимости от уровня допуска. Далее, доступ организуется таким образом, что при чтении информации субъект доступа может работать с информацией уровня конфиденциальности, не превышающего уровень его допуска. При записи информации объект доступа может работать с информацией, уровень конфиденциальности которой не ниже уровня его допуска.
Дискреционный принцип доступа предусматривает присваивание метки (имени) для каждого субъекта доступа и для каждого объекта доступа. Для каждой пары “субъект-объект” определяются права доступа (читать, писать, создавать, уничтожать, и т.п.)
В наиболее ответственных случаях строятся системы доступа по обеим системам и субъект доступа получает доступ к информации только в том случае, если это ему дозволено одновременно по обеим системам.
При организации системы доступа важно определить, кто из должностных лиц и для каких категорий сотрудников имеет право и обязанность определять возможность доступа к той или иной информации.
При организации делопроизводства с информацией ограниченного доступа целесообразно использовать опыт работы государственных структур по организации секретного делопроизводства, основные положения которого сводятся к следующему:
делопроизводство с документацией ограниченного доступа организуется специальным подразделением предприятия (секретариат, спецканцелярия и т.п.);
делопроизводство с документацией ограниченного доступа проводится в соответствии с Инструкцией, утверждаемой руководителем предприятия;
на создаваемом документе конфиденциального характера проставляются соответствующие атрибуты: гриф конфиденциальности, регистрационный номер, количество экземпляров и номер экземпляра на каждой копии, сроки и/или условия прекращения конфиденциальности, адресат документа;
документ с конфиденциальной информацией регистрируется. Обычно используют одну из двух систем регистрации документов: в специальном журнале или в картотеке, в которой для каждого из создаваемы или получаемых документов заводится своя карточка;
гриф конфиденциальности исполнителем присваивается документу в соответствии с перечнем сведений конфиденциального характера (составляющих коммерческую тайну);
носитель информации, бумажный или магнитный, на котором готовится проект документа, должен иметь соответствующий гриф конфиденциальности заранее;
дополнительные копии с документа конфиденциального характера снимаются только по распоряжению руководства предприятия с обязательной регистрацией дополнительных копий и с соответствующей отметкой на экземпляре документа, с которого сняты дополнительные копии;
гриф конфиденциальности сопроводительного документа не может быть ниже грифа конфиденциальности каждого их приложений;
все перемещения документа конфиденциального характера сопровождаются распиской лица, получающего документ;
уничтожение потерявших актуальность документов или лишних копий производится специальной комиссией с оформлением соответствующего акта;
регулярно, не реже одного раза в год. Производится проверка наличия всех документов конфиденциального характера и соблюдения правил делопроизводства с документами конфиденциального характера. Для этого решением руководства создается специальная комиссия.
10. Опыт показывает, что в системе защиты информации самым слабым звеном является человек. В связи с этим в, что в рамках промышленного шпионажа наиболее ценную информацию можно получить только с помощью нелегальных средств. То есть с использованием сотрудников специальных подразделений с использованием агентов и оперативной техники. К активным нелегальным формам промышленного шпионажа относят:
подкуп служащих, сотрудников конкурирующей фирмы;
внедрение агента в конкурентную фирму;
анкетирование специалистов, работающих у конкурента под предлогом их приглашения на работу на свою фирму;
опрос специалиста конкурента под предлогом возможного его приглашения на работу;
опрос специалистов конкурента на конгрессах, выставках и т.п.; установка подслушивающей и регистрирующей техники в помещениях фирмы-конкурента;
ложные переговоры с конкурентом якобы для приобретения лицензии на один из патентов;
переманивание на работу специалистов конкурента с целью использования их знаний;
засылка агентов к специалистам и служащим конкурента;
подслушивание разговоров в помещениях конкурирующей фирмы;
шантаж и различные способы давления;
негласное визуальное наблюдение;
посещение фирмы
посягательство на собственность конкурента;
широкое применение оперативной техники для подслушивания, перехвата телефонных переговоров, записи звуков, визуального наблюдения и т.д.;
кража конфиденциальных данных из ЭВМ, в вычислительных системах, на линиях связи;
использование космической техники для экономического шпионажа.
Как видно из приведенного перечня, в значительной части “добыча” информации ведется с использованием человеческого фактора. Отсюда следует необходимость тщательной работы с личным составом с целью предотвращения разглашения или утечки информации. В [3] предлагаются следующие направления работы с личным составом:
подписание всеми сотрудниками обязательств о неразглашении сведений;
запрет приносить программные средства со стороны и на вынос носителей с предприятия;
наличие исходного плана обеспечения информационной безопасности;
регулярное (раз в полгода) обучение сотрудников мерам безопасности;
постоянный квалифицированный анализ факторов риска, наличие плана экстренного реагирования, и плана ликвидации последствий;
периодическая смена паролей. Выработка их с помощью датчиков случайных чисел;
тщательное расследование всех случаев нарушения и доклады руководству;
обязательная проверка предыдущей деятельности сотрудников;
наличие на объекте программы контроля действий посетителей;
наличие специальных методик проверки граждан других государств при приеме на работу;
проверка безопасности объекта раз в год.
Но, по-видимому, самым сильным фактором, влияющим на лояльность сотрудников к предприятию и на скрупулезность выполнения всех инструкций по защите информации, является хорошая оплата работы, сочетающаяся с боязнью потерять рабочее место.
Отметим еще один очень важный момент в работе с личным составом. Это относится к увольнению сотрудника. При увольнении сотрудника необходимо выполнение следующих требований:
у увольняемого сотрудника не должно остаться чувства незаслуженной обиды, которое может подвигнуть его к мести;
увольняемого сотрудника необходимо предупредить об ответственности за разглашение ставшей ему известной конфиденциальной информации;
уволенного сотрудника необходимо проводить до проходной сразу же после объявления об увольнении, забрать пропуск и немедленно сменить в автоматизированной системе все пароли, которые ему известны, особенно если он является менеджером автоматизированной системы или ее подсистемы.