Большая энциклопедия промышленного шпионажа - Каторин Юрий Федорович - Страница 144

2.2.2. Организационные мероприятия по защите информации

Как говорилось выше, защита информации — есть комплекс мероприятий, проводимых собственником информации, по ограждению своих прав на владение и распоряжение информацией, созданию условий, ограничивающих ее распространение и исключающих доступ к засекреченной информации и ее носителям.

Следовательно, под защитой информации следует также понимать обеспечение безопасности информации и средств информации, в которых накапливается, обрабатывается и хранится защищаемая информация.

Таким образом, защита информации — это деятельность собственника информации или уполномоченных им лиц по:

>• обеспечению своих прав на владение, распоряжение и управление защищаемой информацией;

>• предотвращению утечки и утраты информации;

сохранению полноты, достоверности, целостности защищаемой информации, ее массивов и программ обработки;

>• сохранению конфиденциальности или секретности защищаемой информации в соответствии с правилами, установленными законодательными и другими нормативными актами.

Система защиты сведений, отнесенных к коммерческой тайне, и их носителей складывается из:

>• органов защиты коммерческой тайны;

>• средств и методов защиты коммерческой тайны;

>• проводимых мероприятий.

Сложность обеспечения защиты информации требует создания специальной службы, осуществляющей реализацию всех защитных мероприятий и в первую очередь организационного плана. Структура, численность и состав службы безопасности компании определяются реальными потребностями (степенью влияния утраты конфиденциальной информации на показатели работы).

Впрочем, безопасность предприятия и защита информации может быть реализована следующими тремя путями:

>• абонементное обслуживание силами специальных организаций;

>• создание собственной службы безопасности;

>• комбинированный вариант.

Рассмотрим все эти варианты более подробно.

В первом случае специализированное предприятие (организация), имеющее лицензию на соответствующие виды деятельности, на высоком профессиональном уровне проводит полный комплекс работ, связанный с организацией защиты и поддержание состояния защищенности на должном уровне. Поскольку для получения лицензии Гостехкомиссии при Президенте РФ или ФАПСИ (см. подраздел 2.2.1) требуются квалифицированные кадры, дорогостоящие аппаратные, программные и технические средства контроля, методики проведения работ, то лицензия — своеобразная гарантия качества защиты. Однако этот способ имеет два крупных недостатка:

>• услуги такого рода очень дороги (и не только у нас);

>• специалисты не могут постоянно находиться на объекте, следовательно при разовом «наезде» вполне вероятен пропуск факта вторжения.

Во втором случае в фирме создается своя служба безопасности, имеющая, например, следующую структуру (рис. 2.2.5). Она возглавляется

Рис. 2.2.5. Примерная структура службы безопасности предприятия

начальником, которому подчинены служба охраны, инспектор безопасности, консультант по безопасности и служба противопожарной охраны. Основными задачами службы безопасности предприятия являются:

>• обеспечение безопасности производственно-торговой деятельности, защита информации и сведений, являющихся коммерческой тайной;

>• организация работы по правовой, организационной и инженерно-технической (физической, аппаратной, программной и математической) защите коммерческой тайны;

>• организация специального делопроизводства, исключающего несанкционированное получение сведений, являющихся коммерческой тайной;

>• предотвращение необоснованного допуска и открытого доступа к сведениям и работам, составляющим коммерческую тайну;

>• выявление и локализация возможных каналов утечки конфиденциальной информации в процессе повседневной производственной деятельности и в экстремальных (авария, пожар и др.) ситуациях;

>• обеспечение режима безопасности при проведении таких видов деятельности, как различные встречи, переговоры, совещания, заседания и другие мероприятия, связанные с деловым сотрудничеством на национальном и международном уровне;

>• обеспечение охраны зданий, помещений, оборудования, продукции и технических средств обеспечения производственной деятельности;

.>• обеспечение личной безопасности руководства и ведущих сотрудников и специалистов;

>• оценка маркетинговых ситуаций при неправомерных действиях злоумышленников и конкурентов.

Для решения указанных задач служба безопасности предприятия должна выполнять следующие общие функции:

>• организовывать и обеспечивать пропускной и внутриобъектовый (при наличии зон ограниченного доступа) режим в зданиях и помещениях, устанавливать порядок несения службы охраны, контролировать соблюдение требований режима сотрудниками, смежниками, партнерами и посетителями;

>• руководить работами по правовому и организационному регулированию отношений по защите коммерческой тайны;

>• участвовать в разработке основополагающих документов с целью закрепления в них требований обеспечения безопасности и защиты коммерческой тайны, в частности Устава, Коллективного договора. Правил внутреннего трудового распорядка, соглашений, подрядов, должностных инструкций и обязанностей руководства, специалистов, рабочих и служащих;

>• разрабатывать и осуществлять совместно с другими подразделениями мероприятия по обеспечению работы с документами, содержащими сведения, являющиеся коммерческой тайной, при всех видах работ, организовывать и контролировать выполнение требований «Инструкции по защите коммерческой тайны»;

>• изучать все стороны производственной, коммерческой, финансовой и другой деятельности для выявления и закрытия возможных каналов утечки конфиденциальной информации, вести учет и анализ нарушений режима безопасности, накапливать и анализировать данные о злоумышленных устремлениях конкурентов и других организаций получить доступ к информации о деятельности предприятия или его клиентов, партнеров, смежников;

>• организовывать и проводить служебные расследования по фактам разглашения сведений, утрат документов и других нарушений режима безопасности предприятия;

>• разрабатывать, вести, обновлять и пополнять «Перечень сведений, составляющих коммерческую тайну» и другие нормативные акты, регламентирующие порядок обеспечения безопасности и защиты информации;

>• обеспечивать строгое выполнение требований нормативных документов по защите коммерческой тайны;

>• осуществлять руководство службами и подразделениями безопасности подведомственных предприятий, организаций, учреждений и других в части оговоренных в договорах и условиях по защите коммерческой тайны;

>• организовывать и регулярно проводить учебу сотрудников предприятия и службы безопасности по всем направлениям защиты коммерческой тайны, добиваясь, чтобы к защите коммерческих секретов был достигнут глубоко обоснованный подход;

>• вести учет сейфов, металлических шкафов, специальных хранилищ и других помещений, в которых разрешено постоянное или временное хранение конфиденциальных документов;

>• вести учет выделенных для конфиденциальной работы помещений, технических средств в них, обладающих потенциальными каналами утечки информации;

>• поддерживать контакты с правоохранительными органами и службами безопасности соседних предприятий в интересах изучения криминогенной обстановки в районе (зоне).

При наличии подобной службы безопасности процесс организации защиты информации, описанный в подразделе 2.2.1, проходит по следующим этапам.

Первый этап (анализ объекта защиты) состоит в определении, что нужно защищать.

Анализ проводится по следующим направлениям: