Большая энциклопедия промышленного шпионажа - Каторин Юрий Федорович. Страница 144
2.2.2. Организационные мероприятия по защите информации
Как говорилось выше, защита информации — есть комплекс мероприятий, проводимых собственником информации, по ограждению своих прав на владение и распоряжение информацией, созданию условий, ограничивающих ее распространение и исключающих доступ к засекреченной информации и ее носителям.
Следовательно, под защитой информации следует также понимать обеспечение безопасности информации и средств информации, в которых накапливается, обрабатывается и хранится защищаемая информация.
Таким образом, защита информации — это деятельность собственника информации или уполномоченных им лиц по:
>• обеспечению своих прав на владение, распоряжение и управление защищаемой информацией;
>• предотвращению утечки и утраты информации;
сохранению полноты, достоверности, целостности защищаемой информации, ее массивов и программ обработки;
>• сохранению конфиденциальности или секретности защищаемой информации в соответствии с правилами, установленными законодательными и другими нормативными актами.
Система защиты сведений, отнесенных к коммерческой тайне, и их носителей складывается из:
>• органов защиты коммерческой тайны;
>• средств и методов защиты коммерческой тайны;
>• проводимых мероприятий.
Сложность обеспечения защиты информации требует создания специальной службы, осуществляющей реализацию всех защитных мероприятий и в первую очередь организационного плана. Структура, численность и состав службы безопасности компании определяются реальными потребностями (степенью влияния утраты конфиденциальной информации на показатели работы).
Впрочем, безопасность предприятия и защита информации может быть реализована следующими тремя путями:
>• абонементное обслуживание силами специальных организаций;
>• создание собственной службы безопасности;
>• комбинированный вариант.
Рассмотрим все эти варианты более подробно.
В первом случае специализированное предприятие (организация), имеющее лицензию на соответствующие виды деятельности, на высоком профессиональном уровне проводит полный комплекс работ, связанный с организацией защиты и поддержание состояния защищенности на должном уровне. Поскольку для получения лицензии Гостехкомиссии при Президенте РФ или ФАПСИ (см. подраздел 2.2.1) требуются квалифицированные кадры, дорогостоящие аппаратные, программные и технические средства контроля, методики проведения работ, то лицензия — своеобразная гарантия качества защиты. Однако этот способ имеет два крупных недостатка:
>• услуги такого рода очень дороги (и не только у нас);
>• специалисты не могут постоянно находиться на объекте, следовательно при разовом «наезде» вполне вероятен пропуск факта вторжения.
Во втором случае в фирме создается своя служба безопасности, имеющая, например, следующую структуру (рис. 2.2.5). Она возглавляется
Рис. 2.2.5. Примерная структура службы безопасности предприятия
начальником, которому подчинены служба охраны, инспектор безопасности, консультант по безопасности и служба противопожарной охраны. Основными задачами службы безопасности предприятия являются:
>• обеспечение безопасности производственно-торговой деятельности, защита информации и сведений, являющихся коммерческой тайной;
>• организация работы по правовой, организационной и инженерно-технической (физической, аппаратной, программной и математической) защите коммерческой тайны;
>• организация специального делопроизводства, исключающего несанкционированное получение сведений, являющихся коммерческой тайной;
>• предотвращение необоснованного допуска и открытого доступа к сведениям и работам, составляющим коммерческую тайну;
>• выявление и локализация возможных каналов утечки конфиденциальной информации в процессе повседневной производственной деятельности и в экстремальных (авария, пожар и др.) ситуациях;
>• обеспечение режима безопасности при проведении таких видов деятельности, как различные встречи, переговоры, совещания, заседания и другие мероприятия, связанные с деловым сотрудничеством на национальном и международном уровне;
>• обеспечение охраны зданий, помещений, оборудования, продукции и технических средств обеспечения производственной деятельности;
.>• обеспечение личной безопасности руководства и ведущих сотрудников и специалистов;
>• оценка маркетинговых ситуаций при неправомерных действиях злоумышленников и конкурентов.
Для решения указанных задач служба безопасности предприятия должна выполнять следующие общие функции:
>• организовывать и обеспечивать пропускной и внутриобъектовый (при наличии зон ограниченного доступа) режим в зданиях и помещениях, устанавливать порядок несения службы охраны, контролировать соблюдение требований режима сотрудниками, смежниками, партнерами и посетителями;
>• руководить работами по правовому и организационному регулированию отношений по защите коммерческой тайны;
>• участвовать в разработке основополагающих документов с целью закрепления в них требований обеспечения безопасности и защиты коммерческой тайны, в частности Устава, Коллективного договора. Правил внутреннего трудового распорядка, соглашений, подрядов, должностных инструкций и обязанностей руководства, специалистов, рабочих и служащих;
>• разрабатывать и осуществлять совместно с другими подразделениями мероприятия по обеспечению работы с документами, содержащими сведения, являющиеся коммерческой тайной, при всех видах работ, организовывать и контролировать выполнение требований «Инструкции по защите коммерческой тайны»;
>• изучать все стороны производственной, коммерческой, финансовой и другой деятельности для выявления и закрытия возможных каналов утечки конфиденциальной информации, вести учет и анализ нарушений режима безопасности, накапливать и анализировать данные о злоумышленных устремлениях конкурентов и других организаций получить доступ к информации о деятельности предприятия или его клиентов, партнеров, смежников;
>• организовывать и проводить служебные расследования по фактам разглашения сведений, утрат документов и других нарушений режима безопасности предприятия;
>• разрабатывать, вести, обновлять и пополнять «Перечень сведений, составляющих коммерческую тайну» и другие нормативные акты, регламентирующие порядок обеспечения безопасности и защиты информации;
>• обеспечивать строгое выполнение требований нормативных документов по защите коммерческой тайны;
>• осуществлять руководство службами и подразделениями безопасности подведомственных предприятий, организаций, учреждений и других в части оговоренных в договорах и условиях по защите коммерческой тайны;
>• организовывать и регулярно проводить учебу сотрудников предприятия и службы безопасности по всем направлениям защиты коммерческой тайны, добиваясь, чтобы к защите коммерческих секретов был достигнут глубоко обоснованный подход;
>• вести учет сейфов, металлических шкафов, специальных хранилищ и других помещений, в которых разрешено постоянное или временное хранение конфиденциальных документов;
>• вести учет выделенных для конфиденциальной работы помещений, технических средств в них, обладающих потенциальными каналами утечки информации;
>• поддерживать контакты с правоохранительными органами и службами безопасности соседних предприятий в интересах изучения криминогенной обстановки в районе (зоне).
При наличии подобной службы безопасности процесс организации защиты информации, описанный в подразделе 2.2.1, проходит по следующим этапам.
Первый этап (анализ объекта защиты) состоит в определении, что нужно защищать.
Анализ проводится по следующим направлениям: