Тайна предприятия: что и как защищать
Шрифт:
– использование средств пассивной защиты - фильтров, ограничителей и т. п. средств развязки электрических и электромагнитных сигналов, систем защиты сетей, электроснабжения, радио- и часофикации и др.;
– экранирование средств канальной коммуникации;
– использование локальных телефонных систем, локальных систем ЭВМ, не имеющих выхода за пределы контролируемой зоны (в том числе систем вторичной часофикации, радиофикации, телефонных систем внутреннего пользования. диспетчерских систем, систем энергоснабжения);
– размещение источников побочных электромагнитных излучений
– экранирование помещений;
– использование пространственного и линейного электромагнитного зашумления;
– развязка по цепям питания и заземления, размещенным в границах охраняемой зоны.
9.3. Меры аппаратной и программной защиты (для компьютерного оборудования информационных систем и сетей). Могут включать в себя:
– обеспечение реакции на попытку несанкционированного доступа, например - сигнализации, блокировки аппаратуры;
– поддержание единого времени;
– установку на АРМы работающих с особо важной конфиденциальной информацией специальных защитных экранов;
– изъятие с АРМов нефункциональных дисководов гибких магнитных дисков (ГМД);
– изъятие с АРМов нефункциональных факсимильных и модемных плат;
– проведение периодических «чисток» АРМов и общих системных директорий на файл-сервере,
– установку входных, паролей на клавиатуру компьютеров;
– установку сетевых имен-регистраторов и паролей для доступа к работе в информационной системе;
– шифрование особо важной конфиденциальной информации;
– обеспечение восстановления информации после несанкционированного доступа;
– обеспечение антивирусной защиты (в т. ч. от неизвестных вирусов) и восстановления информации, разрушенной вирусами;
– контроль целостности программных средств обработки информации;
– проведение периодической замены (возможно, принудительной) всех паролей и регистрационных имен;
– использование расширенных систем аутентификации. 10. Подготавливаются организационные и правовые меры защиты. С этой целью профильными специалистами (руководителями профильных подразделений предприятия) создаются обеспечивающие и регламентирующие документы, которые со
ставляют пакет документации внедрения. С теми или иными отклонениями он может включать в себя следующие виды внутренних документов (наименования условные):
– Положение о конфиденциальной информации предприятия;
– Перечень документов предприятия, содержащих конфиденциальную информацию;
– Инструкция по защите конфиденциальной информации в информационной системе предприятия;
– Предложения по внесению изменений в Устав предприятия;
– Предложения по внесению изменений в трудовой договор, контракт с руководителем и коллективный договор;
– Соглашение о неразглашении конфиденциальной информации предприятия с сотрудником;
– Обязательство сотрудника о неразглашении конфиденциальной информации предприятия при увольнении;
– Предложения о внесении изменений в Правила внутреннего распорядка предприятия (в части регламентации мер физической защиты информации и вопросов режима);
– Предложения о внесении изменений в должностное (штатное)
– Предложения о внесении дополнений в должностные инструкции всему персоналу;
– Ведомость ознакомления сотрудников предприятия с Положением о конфиденциальной информации и Инструкцией по защите конфиденциальной информации в ИС предприятия;
– План проведения занятий с персоналом по сохранению и неразглашению конфиденциальной информации;
– Предложения о внесении изменений в структуру интервью при приеме на работу (уточнение обязательств информационного характера с последних мест работы);
– Предложения о внесении дополнений в стандартные договора с контрагентами;
– Иные документы.
11. Проводится финансовая экспертиза затрат на предложенные меры защиты.
12. Проводится юридическая экспертиза документов правового обеспечения.
13. Программа обеспечивается необходимыми кадровыми ресурсами.
14. Закупается соответствующее оборудование и программное обеспечение для самостоятельной инсталляции либо приглашаются сторонние специалисты.
15. Приказами руководителя предприятия внедряются утвержденные меры защиты, выстраивается система комплексного обеспечения безопасности конфиденциальной информации.
16. Проводится постоянный контроль и мониторинг работоспособности системы.
17. Корректируются внедренные меры защиты. По вопросам, касающимся выделения кадровых ресурсов на осуществление деятельности по защите информации, трудно дать конкретные рекомендации. Это может быть как отдельное подразделение или специалист, так и выделение этого направления в структуре службы безопасности. Если мы заглянем в Квалификационный справочник должностей руководителей, специалистов и других служащих (СМ. Сноску 66), то найдем ряд должностей, связанных с защитой информации: главный специалист по защите информации, начальник отдела (лаборатории, сектора) по защите информации, инженер по защите информации, специалист по защите информации, техник по защите информации. И хотя обязанности изложены с акцентом на государственную тайну, все они актуальны в полном объеме при защите коммерческой тайны и будут хорошим подспорьем при разработке должностных инструкций на предприятии.
Глава 7
ДОКУМЕНТАЦИОННОЕ ОБЕСПЕЧЕНИЕ ПРАВОВОЙ ЗАЩИТЫ ИНФОРМАЦИИ
Документационное обеспечение может, и, в идеале, должно начинаться с внесения дополнений в Устав юридического лица, которое всерьез заботится о сохранении своей тайны: «Предприятие имеет право самостоятельно устанавливать объем сведений, составляющих коммерческую и иную охраняемую законом тайну и порядок ее защиты. Предприятие имеет право в целях защиты экономического суверенитета требовать от персонала, партнеров, контрагентов и иных физических и юридических лиц, учреждений и организаций обеспечения сохранности конфиденциальных сведений предприятия на основании договоров, контрактов и других документов».