Файловый архив студентов. Файловый архив студентов.
1261 вуз, 4606 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Владимирский филиал РАНХиГС (РАГС ВФ)
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
информационная безопасность1.docx
Скачиваний:
9
Добавлен:
17.08.2019
Размер:
320.55 Кб
Скачать
►Содержание►

Задачи службы информационной безопасности предприятия

  1. В целях создания правовых основ защиты информации на предприятии в уставе предприятия должна быть предусмотрена работа со сведениями, составляющими коммерческую тайну. В соответствующем разделе устава должно быть указано, что предприятие имеет право работать со сведениями, составляющими коммерческую тайну, определять (в рамках законодательства) объем сведений, составляющих коммерческую тайну и право защищать ее.

При отсутствии такого раздела в уставе любое должностное лицо или представитель средств массовой информации, ссылаясь на законодательные положения, регламентирующие его деятельность, вправе потребовать доступ к любой документации предприятия.

На предприятии должно быть выделено должностное лицо, отвечающее за информационную безопасность предприятия. Часто это лицо отвечает за безопасность предприятия в целом. Указанное должностное лицо должно иметь достаточно высокий ранг. Наиболее приемлемым считается, что за проблемы информационной безопасности (и безопасности предприятия в целом) отвечает сам руководитель предприятия, если оно мало, или первый заместитель руководителя. Дело в том, что это лицо должно четко представлять себе политику предприятия, его планы и перспективы. Это с одной стороны. А с другой стороны руководитель службы информационной безопасности должен обладать серьезными властными полномочиями.

  1. На предприятии должен быть разработан перечень сведений, составляющих коммерческую тайну. Перечень этот должен быть доведен приказом до каждого сотрудника, с взятием расписки с сотрудников об ознакомлении с перечнем. Если перечень отсутствует или не доведен дол сведения сотрудников, то на них невозможно будет возложить ответственность за разглашение коммерческой тайны.

  2. При приеме сотрудников на работу необходимо предусмотреть составление договоров (контрактов), в которых должно содержаться обязательство нанимаемого не разглашать ставшими ему известными сведения, составляющие коммерческую тайну.

  3. В последнее время в связи с ростом преступности, в том числе проявлений терроризма по отношению к фирмам и их руководителям, актуальной стало также разработка мероприятий по предотвращению ситуаций, представляющих угрозу для личного состава и, в частности, руководителей предприятия. В рамках таких мероприятий уместно также включать в контракт при приеме на работу обязательств сотрудников не разглашать посторонним лицам сведения, влияющие на безопасность личного состава (Правила внутреннего распорядка, пропускной режим, время и маршруты перемещения руководителей, время, место и состав совещаний и др.)

  4. На предприятии должна быть разработана система организационно-технических мероприятий по обеспечению безопасности предприятия, в том числе – информационной безопасности. Такая система строится, с одной стороны на основе оценки возможных убытков при отсутствии организационно-технических мер защиты информации. С другой стороны исходить из модели нарушителя, то есть из оценки целей злоумышленника и его возможностей.

  5. К техническим мерам обеспечения безопасности объекта относятся:

  • ограда по периметру защищаемого объекта;

  • решетки на окнах;

  • охранное телевидение;

  • тревожная сигнализация о проникновении злоумышленника через периметр охраняемой территории;

  • техническое оснащение контрольно-пропускных пунктов;

  • организация многоуровневого доступа в помещения с информацией разного уровня секретности;

  • оборудование помещений для работы с посетителями;

  • оборудование помещений для проведения совещаний по конфиденциальным вопросам;

  • программно-аппаратные средства защиты информации в автоматизированных системах обработки информации;

  • предотвращение утечки конфиденциальной информации по техническим каналам утечки информации;

  • средства обнаружения средств негласного получения информации, и другие.

  1. К организационным мерам относят:

  • организацию пропускного режима;

  • правила внутреннего распорядка;

  • разграничение доступа к информации;

  • систему секретного делопроизводства;

  • организацию работы с посетителями;

  • организацию совещаний по вопросам конфиденциального характера;

  • работу с кадрами.

  1. Напомним, что разграничение доступа организуется по одному из двух принципов:

  • Мандатный принцип построения системы разграничения доступа предусматривает деление всех единиц обрабатываемой информации (объектов доступа) на категории по уровню конфиденциальности. Одновременно каждого субъекта доступа относят к той или иной категории в зависимости от уровня допуска. Далее, доступ организуется таким образом, что при чтении информации субъект доступа может работать с информацией уровня конфиденциальности, не превышающего уровень его допуска. При записи информации объект доступа может работать с информацией, уровень конфиденциальности которой не ниже уровня его допуска.

  • Дискреционный принцип доступа предусматривает присваивание метки (имени) для каждого субъекта доступа и для каждого объекта доступа. Для каждой пары “субъект-объект” определяются права доступа (читать, писать, создавать, уничтожать, и т.п.)

В наиболее ответственных случаях строятся системы доступа по обеим системам и субъект доступа получает доступ к информации только в том случае, если это ему дозволено одновременно по обеим системам.

При организации системы доступа важно определить, кто из должностных лиц и для каких категорий сотрудников имеет право и обязанность определять возможность доступа к той или иной информации.

  1. При организации делопроизводства с информацией ограниченного доступа целесообразно использовать опыт работы государственных структур по организации секретного делопроизводства, основные положения которого сводятся к следующему:

  • делопроизводство с документацией ограниченного доступа организуется специальным подразделением предприятия (секретариат, спецканцелярия и т.п.);

  • делопроизводство с документацией ограниченного доступа проводится в соответствии с Инструкцией, утверждаемой руководителем предприятия;

  • на создаваемом документе конфиденциального характера проставляются соответствующие атрибуты: гриф конфиденциальности, регистрационный номер, количество экземпляров и номер экземпляра на каждой копии, сроки и/или условия прекращения конфиденциальности, адресат документа;

  • документ с конфиденциальной информацией регистрируется. Обычно используют одну из двух систем регистрации документов: в специальном журнале или в картотеке, в которой для каждого из создаваемы или получаемых документов заводится своя карточка;

  • гриф конфиденциальности исполнителем присваивается документу в соответствии с перечнем сведений конфиденциального характера (составляющих коммерческую тайну);

  • носитель информации, бумажный или магнитный, на котором готовится проект документа, должен иметь соответствующий гриф конфиденциальности заранее;

  • дополнительные копии с документа конфиденциального характера снимаются только по распоряжению руководства предприятия с обязательной регистрацией дополнительных копий и с соответствующей отметкой на экземпляре документа, с которого сняты дополнительные копии;

  • гриф конфиденциальности сопроводительного документа не может быть ниже грифа конфиденциальности каждого их приложений;

  • все перемещения документа конфиденциального характера сопровождаются распиской лица, получающего документ;

  • уничтожение потерявших актуальность документов или лишних копий производится специальной комиссией с оформлением соответствующего акта;

  • регулярно, не реже одного раза в год. Производится проверка наличия всех документов конфиденциального характера и соблюдения правил делопроизводства с документами конфиденциального характера. Для этого решением руководства создается специальная комиссия.

10. Опыт показывает, что в системе защиты информации самым слабым звеном является человек. В связи с этим в, что в рамках промышленного шпионажа наиболее ценную информацию можно получить только с помощью нелегальных средств. То есть с использованием сотрудников специальных подразделений с использованием агентов и оперативной техники. К активным нелегальным формам промышленного шпионажа относят:

  • подкуп служащих, сотрудников конкурирующей фирмы;

  • внедрение агента в конкурентную фирму;

  • анкетирование специалистов, работающих у конкурента под предлогом их приглашения на работу на свою фирму;

  • опрос специалиста конкурента под предлогом возможного его приглашения на работу;

  • опрос специалистов конкурента на конгрессах, выставках и т.п.; установка подслушивающей и регистрирующей техники в помещениях фирмы-конкурента;

  • ложные переговоры с конкурентом якобы для приобретения лицензии на один из патентов;

  • переманивание на работу специалистов конкурента с целью использования их знаний;

  • засылка агентов к специалистам и служащим конкурента;

  • подслушивание разговоров в помещениях конкурирующей фирмы;

  • шантаж и различные способы давления;

  • негласное визуальное наблюдение;

  • посещение фирмы

  • посягательство на собственность конкурента;

  • широкое применение оперативной техники для подслушивания, перехвата телефонных переговоров, записи звуков, визуального наблюдения и т.д.;

  • кража конфиденциальных данных из ЭВМ, в вычислительных системах, на линиях связи;

  • использование космической техники для экономического шпионажа.

Как видно из приведенного перечня, в значительной части “добыча” информации ведется с использованием человеческого фактора. Отсюда следует необходимость тщательной работы с личным составом с целью предотвращения разглашения или утечки информации. В [3] предлагаются следующие направления работы с личным составом:

  • подписание всеми сотрудниками обязательств о неразглашении сведений;

  • запрет приносить программные средства со стороны и на вынос носителей с предприятия;

  • наличие исходного плана обеспечения информационной безопасности;

  • регулярное (раз в полгода) обучение сотрудников мерам безопасности;

  • постоянный квалифицированный анализ факторов риска, наличие плана экстренного реагирования, и плана ликвидации последствий;

  • периодическая смена паролей. Выработка их с помощью датчиков случайных чисел;

  • тщательное расследование всех случаев нарушения и доклады руководству;

  • обязательная проверка предыдущей деятельности сотрудников;

  • наличие на объекте программы контроля действий посетителей;

  • наличие специальных методик проверки граждан других государств при приеме на работу;

  • проверка безопасности объекта раз в год.

Но, по-видимому, самым сильным фактором, влияющим на лояльность сотрудников к предприятию и на скрупулезность выполнения всех инструкций по защите информации, является хорошая оплата работы, сочетающаяся с боязнью потерять рабочее место.

Отметим еще один очень важный момент в работе с личным составом. Это относится к увольнению сотрудника. При увольнении сотрудника необходимо выполнение следующих требований:

  • у увольняемого сотрудника не должно остаться чувства незаслуженной обиды, которое может подвигнуть его к мести;

  • увольняемого сотрудника необходимо предупредить об ответственности за разглашение ставшей ему известной конфиденциальной информации;

  • уволенного сотрудника необходимо проводить до проходной сразу же после объявления об увольнении, забрать пропуск и немедленно сменить в автоматизированной системе все пароли, которые ему известны, особенно если он является менеджером автоматизированной системы или ее подсистемы.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности