АЛГОРИТМ СОЗДАНИЯ СИСТЕМЫ ЗАЩИТЫ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ

По общему правилу, алгоритм создания системы защиты конфиденциальной информации таков (схема 5):

I. Определение объектов защиты.

II. Выявление угроз и оценка их вероятности.

III. Оценка возможного ущерба.

IV. Обзор применяемых мер защиты, определение их недостаточности.

V. Определение адекватных мер защиты.

VI. Организационное, финансовое, юридическое и пр. виды обеспечения мер защиты.

VII. Внедрение мер защиты. VIII. Контроль.

IX. Мониторинг и корректировка внедренных мер.

Детализируем указанные этапы и представим один из вариантов процесса таким образом:

1. В случае возникновения необходимости, а еще лучше с начала создания конкурентоспособного предприятия, начальник службы безопасности (СБ), приглашенный консультант, другой специалист приказом руководителя предприятия назначается во главе группы компетентных сотрудников, которые с учетом всех вышеперечисленных нюансов законодательства высказывают свои предложения по объему, уровню и способам обеспечения сохранности конфиденциальной информации.

2. Руководитель группы, обладая соответствующей квалификацией в этой области, с привлечением отдельных специалистов формирует предварительный список сведений, которые в дальнейшем войдут в «Перечень сведений, составляющих конфиденциальную информацию предприятия».

3. Руководитель группы на основе этого списка определяет и представляет на согласование необходимые к защите объекты (оборудование для обработки и обращения информации, программное обеспечение, коммуникации для передачи конфиденциальных данных, носители информации, персонал, допущенный к работе с использованием коммерческой и иной тайны).

4. Анализируются существующие меры защиты соответствующих объектов, определяется степень их недостаточности, неэффективности, физического и морального износа.

5. Изучаются зафиксированные случаи попыток несанкционированного доступа к охраняемым информационным ресурсам и разглашения информации.

6. На основе опыта предприятия, а также используя метод моделирования ситуаций, группа специалистов выявляет возможные пути несанкционированных действий по уничтожению информации, ее копированию, модификации, искажению, использованию и т. п. Угрозы ранжируются по степени значимости и классифицируются по видам воздействия.

7. На основе собранных данных оценивается возможный ущерб предприятия от каждого вида угроз, который становится определяющим фактором для категорирования сведений в «Перечне» по степени важности, например - для служебного пользования (3), важно (2), особо важно (1).

8. Определяются сферы обращения каждого вида конфиденциальной информации: по носителям, по территории распространения, по допущенным пользователям. Для решения этой задачи группа привлекает руководителей структурных подразделений и изучает их пожелания.

9. Группа подготавливает введение указанных мер защиты. 9.1. Меры физической защиты. Включают в себя установление определенного режима деятельности, соблюдение которого обязательно для всех сотруд

ников, посетителей и клиентов; порядок его регламентации описывается во внутренних документах по пропускному и внутриобъектовому режиму. Это ограничение доступа, создание соответствующего пропускного режима, контроль за посетителями, например:

- запрещение несанкционированного выноса документов;

- запрещение вноса-выноса дискет, магнитных лент, CD-ROM, переносных накопителей на твердых магнитных дисках и т. п.;

- запрещение перемещения компьютерной техники и комплектующих без соответствующих сопроводительных документов;

- ограничение нахождения на территории предприятия посетителей;

- регламентация использования для переговоров определенных, специально предназначенных для этого помещений

и др.

9.2. Меры технической защиты.

Проводятся специально назначенными на предприятии либо привлеченными специалистами под контролем представителей СБ и включают в себя защиту компьютерной техники, помещений и всех коммуникаций от устройств съема и передачи информации, используя различные технические решения:

- использование средств пассивной защиты - фильтров, ограничителей и т. п. средств развязки электрических и электромагнитных сигналов, систем защиты сетей, электроснабжения, радио- и часофикации и др.;

- экранирование средств канальной коммуникации;

- использование локальных телефонных систем, локальных систем ЭВМ, не имеющих выхода за пределы контролируемой зоны (в том числе систем вторичной часофикации, радиофикации, телефонных систем внутреннего пользования. диспетчерских систем, систем энергоснабжения);

- размещение источников побочных электромагнитных излучений и наводок на возможном удалении от границы охраняемой (контролируемой) зоны;

- экранирование помещений;

- использование пространственного и линейного электромагнитного зашумления;

- развязка по цепям питания и заземления, размещенным в границах охраняемой зоны.

9.3. Меры аппаратной и программной защиты (для компьютерного оборудования информационных систем и сетей). Могут включать в себя:

- обеспечение реакции на попытку несанкционированного доступа, например - сигнализации, блокировки аппаратуры;

- поддержание единого времени;

- установку на АРМы работающих с особо важной конфиденциальной информацией специальных защитных экранов;

- изъятие с АРМов нефункциональных дисководов гибких магнитных дисков (ГМД);

- изъятие с АРМов нефункциональных факсимильных и модемных плат;

- проведение периодических «чисток» АРМов и общих системных директорий на файл-сервере,

- установку входных, паролей на клавиатуру компьютеров;

- установку сетевых имен-регистраторов и паролей для доступа к работе в информационной системе;

- шифрование особо важной конфиденциальной информации;

- обеспечение восстановления информации после несанкционированного доступа;

- обеспечение антивирусной защиты (в т. ч. от неизвестных вирусов) и восстановления информации, разрушенной вирусами;

- контроль целостности программных средств обработки информации;

- проведение периодической замены (возможно, принудительной) всех паролей и регистрационных имен;

- использование расширенных систем аутентификации. 10. Подготавливаются организационные и правовые меры защиты. С этой целью профильными специалистами (руководителями профильных подразделений предприятия) создаются обеспечивающие и регламентирующие документы, которые со

ставляют пакет документации внедрения. С теми или иными отклонениями он может включать в себя следующие виды внутренних документов (наименования условные):

- Положение о конфиденциальной информации предприятия;

- Перечень документов предприятия, содержащих конфиденциальную информацию;

- Инструкция по защите конфиденциальной информации в информационной системе предприятия;

- Предложения по внесению изменений в Устав предприятия;

- Предложения по внесению изменений в трудовой договор, контракт с руководителем и коллективный договор;

- Соглашение о неразглашении конфиденциальной информации предприятия с сотрудником;

- Обязательство сотрудника о неразглашении конфиденциальной информации предприятия при увольнении;

- Предложения о внесении изменений в Правила внутреннего распорядка предприятия (в части регламентации мер физической защиты информации и вопросов режима);

- Предложения о внесении изменений в должностное (штатное) расписание предприятия (если Вы планируете выделить для обеспечения этого направления экономической безопасности предприятия отдельного специалиста по режиму и защите информации или даже целое подразделение);

- Предложения о внесении дополнений в должностные инструкции всему персоналу;