Большая энциклопедия промышленного шпионажа - Каторин Юрий Федорович. Страница 145

>• какая информация в первую очередь нуждается в защите;

>• наиболее важные элементы (критические) защищаемой информации;

>• определяется срок жизни критической информации (время, необходимое конкуренту для реализации добытой информации);

>• определяются ключевые элементы информации (индикаторы), отражающие характер охраняемых сведений;

>• классифицируются индикаторы по функциональным зонам предприятия (производственно-технологические процессы, система материально-технического обеспечения производства, подразделения, управления и т. д.).

Второй этап сводится к выявлению угроз:

>• определяется — кого может заинтересовать защищаемая информация;

>• оцениваются методы, используемые конкурентами для получения этой

информации;

>• оцениваются вероятные каналы утечки информации;

>• разрабатывается система мероприятий по пресечению действий

конкурента.

Третий — анализируется эффективность принятых и постоянно действующих подсистем обеспечения безопасности (физическая безопасность документации, надежность персонала, безопасность используемых для передачи конфиденциальной информации линий связи и т. д.).

Четвертый — определение необходимых мер защиты. На основании проведенных на первых трех этапах аналитических исследований определяются необходимые дополнительные меры и средства по обеспечению безопасности предприятия.

Пятый — рассматриваются руководителями фирмы (организации) представленные предложения по всем необходимым мерам безопасности и расчет их стоимости и эффективности.

Шестой — реализация дополнительных мер безопасности с учетом установленных приоритетов.

Седьмой — осуществление контроля и доведение до персонала фирмы реализуемых мер безопасности.

Преимущества создания собственной службы безопасности очевидны:

отлично зная объект, сотрудников, возможные угрозы, т. е. владея обстановкой, своя служба постоянно находится на объекте, поэтому всегда готова отразить всевозможные угрозы...

Главная проблема заключается в том, что на создание и поддержание ее должного уровня (подбор и обучение сотрудников, закупка техники, лидензирование...) необходимо затратить много времени и выделить серьезные средства. Достаточно отметить, что только на приобретение минимума технических средств контроля защищенности с учетом всего многообразия средств промышленного шпионажа требуется единовременное выделение не менее 20 000 $. Однако одной аппаратуры недостаточно, так как необходимо и знание специальных методик оценки опасности различных каналов утечки информации. В качестве образца такого методического обеспечения в Приложении 1 приведены рекомендации по оценке защищенности конфиденциальной информации от ее утечки за счет побочных электромагнитных излучений.

Следует особо отметить, что даже при наличии финансовой возможности приобрести специальную аппаратуру и наличии методик все равно требуется участие группы консультантов из числа опытных специалистов как в области защиты информации, так и в тех областях, знания которых необходимы для проведения квалифицированного анализа.

Таким образом, наиболее действенным должен быть третий, комбинированный вариант, а именно совместная работа службы безопасности и специализированных предприятий по защите информации. В этом случае общими усилиями разрабатывается некий план по защите информации, основные моменты которого приведены ниже.

План мероприятий по защите коммерческих секретов предприятия

1. Определение целей плана по защите коммерческой тайны. Ими могут быть:

>• предотвращение кражи коммерческих секретов;

>• предотвращение разглашения коммерческих секретов сотрудниками или их утечки через технические каналы.

2. Анализ сведений, составляющих коммерческую тайну, для чего надо:

>• определить, какие сведения на предприятии (технологические и деловые) являются коммерческой тайной;

>• установить места их накопления и хранения;

>• оценить возможности по перекрытию каналов утечки;

>• проанализировать соотношение затрат на защиту и возможных потерь при утере информации, если использованы различные технологии, обеспечивающие защиту коммерческой тайны;

>• назначить сотрудников, персонально ответственных за каждый участок системы обеспечения безопасности.

3. Обеспечить реализацию деятельности системы по следующим направлениям:

>• контроль сооружений и оборудования предприятия (обеспечение безопасности производственных и конторских помещений, охрана фото- и иного копировального оборудования, контроль посещений предприятия и т. п.);

>• работа с персоналом предприятия, в том числе проведение бесед при приеме на работу; инструктаж вновь потупивших на работу по правилам и процедурам, принятым для защиты коммерческой тайны на предприятии; обучение сотрудников правилам сохранения коммерческих секретов; стимулирование соблюдения конфиденциальности;

беседы с увольняющимися;

>• организация работы с конфиденциальными документами (установление порядка и правил ведения делопроизводства, контроль за конфиденциальными документами, контроль за публикациями, контроль и учет технических носителей конфиденциальных сведений, рассекречивание и уничтожение конфиденциальных документов, охрана чужих секретов);

>• работа с конфиденциальной информацией, циркулирующей в технических средствах и системах, которые обеспечивают трудовую деятельность (создание системы предотвращения утечки информации через технические каналы);

>• работа с конфиденциальной информацией, накопленной в компьютерных системах (создание системы защиты электронной информации от несанкционированного доступа к ней; обеспечение контроля за использованием ЭВМ);

>• защита коммерческой тайны предприятия в организационно-правовых документах, в процессе заключения контрактов и договоров с коллективом, сотрудниками, смежниками, поставщиками и т. д. Здесь важно четко определить круг лиц, имеющих отношение к этой работе.

После составления определяются те мероприятия плана, которые выполняются специализированной организацией (наличие квалифицированных специалистов в конкретной области, техническая и методическая оснащенность) и те из них, которые осуществляются силами и средствами собственной службы безопасности (знание оперативной обстановки, динамичность...). При такой работе достигаются оптимальные результаты с точки зрения финансовых затрат и качества защиты.

2.2.3. Добровольная аттестация объектов информатизации по требованиям безопасности информации

В настоящее время единственным способом юридически обосновать достаточность организационных и технических мероприятий по защите информации, а также компетентность собственной службы безопасности является добровольная аттестация (при защите сведений, составляющих государственную тайну аттестация объектов обязательна). При этом под аттестацией объектов информатизации будем понимать комплекс организационно-технических мероприятий, в результате которых посредством специального документа — «Аттестата соответствия» подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных Гостехкомиссией России. Наличие на объекте информатизации действующего «Аттестата соответствия» дает право обработки информации с соответствующим уровнем конфиденциальности и на период времени, установленными в «Аттестате соответствия» (АС).

Однако до начала процедуры аттестации необходимо подготовить объект информатизации. Эта работа проводится в несколько этапов.

1. Определяется перечень помещений, предназначенных для обсуждения конфиденциальных вопросов, а так же автоматизированных систем, предназначенных для обработки, хранения, передачи важнейшей информации.

2.Определяется класс АС (см. п.2.1.3).