- •Задание
- •1. Описание защищаемого объекта информатизации
- •1.1. Общие сведения о защищаемом объекте.
- •Место расположения исследуемого объекта защиты
- •План этажа объекта защиты
- •1.2. Сведения об объекте защиты
- •2. Методические рекомендации по составлению перечня сведений, составляющих служебную тайну.
- •2.1. Важность информации.
- •2.2. Полнота информации.
- •2.4. Адекватность информации.
- •1 Этап. Составление списка сведений, подлежащих рассмотрению
- •2 Этап. Оценка возможного ущерба предприятию, при разглашении (утечке) рассматриваемых сведений
- •3 Этап. Проверка того, что рассматриваемые сведения не являются общеизвестными или общедоступными на законных основаниях.
- •4 Этап. Проверка того, что предприятие сможет осуществить надлежащие меры по сохранению конфиденциальности рассматриваемых сведений.
- •5 Этап. Проверка того, что рассматриваемые сведения не являются государственными секретами и не защищены авторским и патентным правом.
- •6 Этап. Проверка того, что рассматриваемые сведения должны являться общедоступными и не касаются негативной деятельности предприятия, способной нанести ущерб.
- •7 Этап. Подведение итогов.
- •Структурирование информации
- •Модель объекта защиты (пример)
- •Политика информационной безопасности
- •Система контроля и управления доступом на объект
- •Пользователи системы.
- •Информация о топологии сети, сетевых соединениях и узлах
- •Корпоративная сеть и арМы службы охраны объекта.
- •Возможность интеграции с другими системами.
- •Использование встроенных (приобретенных) средств мониторинга, безопасности и архивации
- •Описание работы системы.
- •По отдельному блоку защиты (зданию, этажу, группе помещений).
- •Технические каналы утечки конфиденциальной информации, несанкционированного доступа и специальных воздействий на нее.
- •Оценка возможностей технических разведок и других источников угроз безопасности конфиденциальной информации.
- •Защита информации, циркулирующей в отсс и наводящейся в втсс
- •Планирование работ по технической защите конфиденциальной информации и контролю ее эффективности.
- •Перечень документов на объект информатизации
- •Приложение № 4
- •Пример документального оформления перечня сведений конфиденциального характера
- •Перечень
- •Форма технического паспорта на автоматизированную систему
- •Технический паспорт
- •Общие сведения об ас
- •Состав оборудования ас
- •4. Результаты периодического контроля.
- •Форма технического паспорта на защищаемое помещение
- •Технический паспорт на защищаемое помещение №________
- •2. Перечень оборудования, установленного в помещении
- •3. Меры защиты информации
- •4.Отметка о проверке средств защиты
- •5.Результаты аттестационного и периодического контроля помещения
- •Форма аттестата соответствия автоматизированной системы аттестат соответствия требованиям по безопасности информации
- •Форма аттестата соответствия защищаемого помещения аттестат соответствия требованиям по безопасности информации
- •Установить ас
- •Выписки из Уголовного кодекса Российской Федерации
- •Глава 28. Преступления в сфере компьютерной информации
- •Глава 29. Преступления против основ конституционного строя и безопасности государства
- •Приложение №14 Выписки из Трудового кодекса
- •Глава 14. Защита персональных данных работника
- •Администратор безопасности арм __________________________
- •Приложение 1 журнал
Планирование работ по технической защите конфиденциальной информации и контролю ее эффективности.
12.1. В целях развития и обеспечения деятельности системы защиты информации в организациях необходимо проводить планирование работ по технической защите конфиденциальной информации и контролю ее эффективности. Проекты планов разрабатываются структурным подразделением (специалистом) по технической защите конфиденциальной информации совместно с подразделениями, выполняющими работы с этой информацией и утверждаются руководителем организации.
Сроки разработки, представления и утверждения планов устанавливаются руководителем организации. Планы работ рекомендуется разрабатывать на год. При необходимости разрабатываются целевые планы защиты наиболее важных работ, особо важных объектов информатизации, контроле эффективности мероприятий по защите информации, устранении недостатков и т.п.
12.2. В годовые планы по технической защите конфиденциальной информации и контролю включаются:
мероприятия по выполнению приказов и распоряжений руководителя организации по вопросам технической защиты информации;
подготовка проектов организационно-распорядительных документов по вопросам технической защиты информации в организации, инструкций, рекомендаций, памяток и других документов по обеспечению безопасности информации при использовании конкретных технических средств обработки и передачи информации, на автоматизированных рабочих местах, в ЗП;
аттестация, вводимых в эксплуатацию основных технических средств (ОТСС) и защищаемых помещений (ЗП), а также периодическая переаттестация находящихся в эксплуатации ОТСС и ЗП на соответствие требованиям по технической защите конфиденциальной информации;
проведение периодического контроля состояния технической защиты информации;
мероприятия по устранению нарушений и выявленных недостатков по результатам контроля;
мероприятия по совершенствованию системы технической защиты информации на объектах информатизации.
12.3. Целями годового плана по защите конфиденциальной информации могут быть:
1. Проведение анализа сведений, составляющих служебную тайну. При этом:
установить места разработки, накопления и хранения документов, содержащих информацию, составляющую служебную тайну;
выявить потенциальные каналы утечки таких сведений;
оценить возможности по закрытию этих каналов;
проанализировать соотношение затрат и преимуществ по использованию различных технологий, обеспечивающих защиту служебной тайны;
назначить сотрудников, ответственных за каждый участок системы обеспечения безопасности.
2. Исключение несанкционированного распространения конфиденциальных секретов путем их утечки по техническим каналам, сотрудниками и другими носителями таких секретов.
3. Обеспечение деятельности системы защиты информации по следующим направлениям:
работа с персоналом организации, в том числе путем проведения бесед при приеме на работу, инструктажа вновь принятых на работу по правилам и процедурам защиты служебной тайны и получения от них обязательств (контрактов) о неразглашении служебной информации, обучения сотрудников правилам сохранения служебных секретов, стимулирования соблюдения конфиденциальности, бесед с увольняющимися сотрудниками и получения от них подписок;
организация работы с конфиденциальными документами на объектах информатизации, установление порядка и правил ведения делопроизводства, контроль за конфиденциальными документами и их публикациями, контроль и учет технических носителей конфиденциальных сведений, засекречивание, рассекречивание и уничтожение конфиденциальных документов, охрана чужих секретов;
создание системы технической защиты информации;
создание системы защиты информации от несанкционированного доступа к ней, обеспечение контроля за работой пользователей на ПЭВМ;
защита служебной тайны в процессе заключения контрактов и договоров с взаимодействующими организациями, смежниками, поставщиками и т. д.
разработка памятки о сохранении сведений, составляющих служебную тайну, определение порядка ознакомления с ''Перечнем сведений, составляющих служебную тайну'' и присвоения документам грифа конфиденциальности.
контроль сооружений и оборудования организации, обеспечение безопасности производственных и служебных помещений, охрана фото и копировального оборудования, контроль посещения организации.
Контроль выполнения планов и отчетность по ним возлагается на структурное подразделение по технической защите информации.
12.4. Организация работ по созданию и эксплуатации объектов информатизации и их СЗИ определяется в разрабатываемом "Положении о порядке организации и проведения работ по защите конфиденциальной информации" или в приложении к "Руководству по защите информации от утечки по техническим каналам на объекте и должна предусматривать:
порядок определения защищаемой информации;
порядок привлечения подразделений предприятия, специализированных сторонних организаций к разработке и эксплуатации объектов информатизации и СЗИ, их задачи и функции на различных стадиях создания и эксплуатации объекта информатизации;
порядок взаимодействия всех занятых в этой работе организаций, подразделений и специалистов;
порядок разработки, ввода в действие и эксплуатацию объектов информатизации;
ответственность должностных лиц за своевременность и качество формирования требований по технической защите информации, за качество и научно-технический уровень разработки СЗИ.
12.5. Основные организационные и организационно-технические мероприятия по созданию и поддержанию функционирования комплексной системы защиты включают:
разовые (однократно проводимые и повторяемые только при полном пересмотре принятых решений) мероприятия;
мероприятия, проводимые при осуществлении или возникновении определенных изменений в самой защищаемой АС или внешней среде (по необходимости);
периодически проводимые (через определенное время) мероприятия;
постоянно (непрерывно или дискретно в случайные моменты времени) проводимые мероприятия.
Значение каждого из элементов информации:
1.Список пакетов акций, которыми владеет фирма – это открытая информация, а значит само слово «утечка» к ней неприменима.
2.Распоряжения – содержат информацию, которую не положено знать злоумышленнику до тех пор, пока они не будут реализованы, так как основная деятельность фирмы направлена на осуществление торговых сделок (на бирже) и заранее о них не должен знать никто, кроме нескольких (ограниченное количество) человек из личного персонала.
3.Отчеты – информация о совершенных сделках, об учавствовавших в денежных операциях предприятиях, партнёрах, о потоках денежных средств, полученных в результате осуществления какой-либо сделки и т. п. В результате утечки возможны потери и прибыли, и партнёров, и даже перспектив развития дальнейших финансовых отношений в будущем.
4.Договора – информация о совершенных сделках, о партнёрах, о персональных данных фирмы, учавствовавшей в сделках, о возможной либо полученной прибыли и т.д. В результате утечки злоумышленнику станут известны данные других фирм, размер денежного оборота, получаемого в ходе сделок, готовящиеся сделки, номера счетов и т.д.
5.Сведения об основной деятельности учреждения – информация о целях и задачах данного предприятия, о направленности его действий, а главное, это информация о регистрации, лицензии, аттестационных документах, и прочих документов, удостоверяющих законность деятельности предприятия. Эти данные в случае утечки дадут злоумышленику полную информацию о самой основе предприятия, о её, так сказать, фундаменте, что конечно нежелательно.
6.Сведения об организационно-правовой структуре предприятия – информация о правовой структуре предприятия, об уставе фирмы, его возможностях, правилах и порядках работы, о схеме управления, особенностях работы личного персонала. Злоумышленник может пошатнуть правовую основу фирмы, а также может свободно проникнуть в коллектив (на фирму), зная все особенности организационно-правовой структуры предприятия.
7.Данные персонала – информация о всех работниках предприятия, их личные дела, адреса и телефоны, паспортные данные, налоговые декларации и т.п. В случае утечки злоумышленник сможет контролировать деятельность сотрудников фирмы, а также нанести вред, как им, так и предприятию.
8.Сведения о бюджете фирмы – информация о нынешних и возможных доходах, затратах и других денежных операциях (налоговых декларациях). Злоумышленник, зная их, может проследить особенности ведения бизнеса, накапливаемый капитал, и спрогнозировать дальнейшие шаги фирмы.
9.Сведения о партнёрах – информация о предприятиях, вступающих в деловые отношения с данной фирмой. Чаще всего эти отношения должны оставаться закрытыми, т.е. о них не должны знать другие организации (и лица).
10.Сведения о денежных операциях (о движении капитала фирмы) – информация о нынешних и возможных капиталовложениях, об источниках финансирования, о ходе различных операций, связанных с движением капитала фирмы. Чтобы не лишиться капитала и прибыли, сведения о денежных операциях не должны попасть к злоумышленнику.
11.Сведения о банковских вложениях (счетах) – информация о всех счетах фирмы, её сотрудников, суммы, находящиеся там, и естественно злоумышленник не должен получить эту информацию.
12.Стратегия поведения на бирже – это информация тем ценнее, чем талантливее руководитель и его окружение. Они делают очередные ходы на бирже, причём эти ходы имеют свою закономерность,которая позволяет получать стабильную прибыль. Злоумышленник, узнав такую информацию, может привести фирму к краху (банкротству).
13.Планы будущих действий – управляющий персонал за закрытыми дверями разрабатывает новые подходы, ищут новых партнёров, прогнозируют возможнве ситуации на бирже, в соответствие с чем выносят какое-то решение, устанавливают новые направления. Злоумышленник, зная это, может сорвать все планы и лишить фирму прибыли.
14.Перспективы развития – эта информация важна для будущей деятельности предприятия. Управляющий персонал должен постоянно просматривать все варианты развития, чтобы в подходящий момент не упустить шанс, который приведёт к росту предприятия, его влияния и значимости. Злоумышленник же может этому помешать.