Шрифт:
Интервал:
Закладка:
Рис. 2.2.4. Внешний вид аттестата аккредитация органа по аттестация информатизации, выданный Гостехкомиссией России
190000, РОССИЯ, САНКТ-ПЕТЕРБУРГ, ПЕР. ГРИВЦОВА, 1/64;
ТЕЛ. +7 (812) 219-1137, 314-2259;
ФАКС: +7 (812) 315-8375 E-MAIL: [email protected] URL: http://www.pps.ru
Информация о фирме
Основным видом деятельности Лаборатории ППШ является проведение комплекса организационных и технических мероприятий по защите важной информации от несанкционированного доступа. Под этим понимается полное комплексное обследование помещений с целью выявления всех возможных технических каналов утечки информации, разработка рекомендаций по закрытию выявленных каналов и проведению необходимых организационных и технических мероприятий, подготовка перечня рекомендуемого оборудования и его поставка.
Другими видами деятельности Лаборатории ППШ являются:
=> проведение сертификационных испытаний и исследований в рамках
системы сертификации средств защиты информации по требованиям
безопасности информации;
=> проведение комплекса мероприятий по защите информации в АС;
=> аттестация средств и систем информатизации на соответствие
требованиям по защите информации;
=> проведение специсследований средств ЭВТ в соответствии с требованиями и по методикам Гостехкомиссии РФ;
=> проведение исследований и разработок в области технических средств
защиты информации;
=> производство, поставка и реализация специального оборудования;
=> консультации и обучение по различным вопросам безопасности и
защиты информации.
Все перечисленные виды деятельности Лаборатория ППШ осуществляет на основании следующих документов:
• «Лицензия на деятельность в области защиты информации» № 54 от 26 мая 1995 г. по пунктам 2-6 (в полном объеме), выданная Государственной технической комиссией при Президенте Российской Федерации (продлена до 2001 года);
• «Аттестат аккредитации испытательной лаборатории» в системе сертификации средств защиты информации по требованиям безопасности информации
№ СЗИ RU.054.B01.002 от 6 марта 1996 г.
• Лицензия УФСБ России № 241 от 14 июля 1997 г.
• «Аттестат аккредитации органа по аттестации» в системе сертификации средств защиты информации по требованиям безопасности информации Ms СЗИ RU.054.B019.034 от 8 декабря 1998 г.
После выбора системы защиты остается сделать последний шаг: составить соответствующий перечень (набор) средств конкретной их реализации, которые наиболее полно ликвидируют потенциальную угрозу. Напомним, что угроза считается ликвидированной, если затраты на преодоление защиты превысят стоимость защищаемой информации.
2.2.2. Организационные мероприятия по защите информации
Как говорилось выше, защита информации — есть комплекс мероприятий, проводимых собственником информации, по ограждению своих прав на владение и распоряжение информацией, созданию условий, ограничивающих ее распространение и исключающих доступ к засекреченной информации и ее носителям.
Следовательно, под защитой информации следует также понимать обеспечение безопасности информации и средств информации, в которых накапливается, обрабатывается и хранится защищаемая информация.
Таким образом, защита информации — это деятельность собственника информации или уполномоченных им лиц по:
>• обеспечению своих прав на владение, распоряжение и управление защищаемой информацией;
>• предотвращению утечки и утраты информации;
сохранению полноты, достоверности, целостности защищаемой информации, ее массивов и программ обработки;
>• сохранению конфиденциальности или секретности защищаемой информации в соответствии с правилами, установленными законодательными и другими нормативными актами.
Система защиты сведений, отнесенных к коммерческой тайне, и их носителей складывается из:
>• органов защиты коммерческой тайны;
>• средств и методов защиты коммерческой тайны;
>• проводимых мероприятий.
Сложность обеспечения защиты информации требует создания специальной службы, осуществляющей реализацию всех защитных мероприятий и в первую очередь организационного плана. Структура, численность и состав службы безопасности компании определяются реальными потребностями (степенью влияния утраты конфиденциальной информации на показатели работы).
Впрочем, безопасность предприятия и защита информации может быть реализована следующими тремя путями:
>• абонементное обслуживание силами специальных организаций;
>• создание собственной службы безопасности;
>• комбинированный вариант.
Рассмотрим все эти варианты более подробно.
В первом случае специализированное предприятие (организация), имеющее лицензию на соответствующие виды деятельности, на высоком профессиональном уровне проводит полный комплекс работ, связанный с организацией защиты и поддержание состояния защищенности на должном уровне. Поскольку для получения лицензии Гостехкомиссии при Президенте РФ или ФАПСИ (см. подраздел 2.2.1) требуются квалифицированные кадры, дорогостоящие аппаратные, программные и технические средства контроля, методики проведения работ, то лицензия — своеобразная гарантия качества защиты. Однако этот способ имеет два крупных недостатка:
>• услуги такого рода очень дороги (и не только у нас);
>• специалисты не могут постоянно находиться на объекте, следовательно при разовом «наезде» вполне вероятен пропуск факта вторжения.
Во втором случае в фирме создается своя служба безопасности, имеющая, например, следующую структуру (рис. 2.2.5). Она возглавляется
Рис. 2.2.5. Примерная структура службы безопасности предприятия
начальником, которому подчинены служба охраны, инспектор безопасности, консультант по безопасности и служба противопожарной охраны. Основными задачами службы безопасности предприятия являются:
>• обеспечение безопасности производственно-торговой деятельности, защита информации и сведений, являющихся коммерческой тайной;
>• организация работы по правовой, организационной и инженерно-технической (физической, аппаратной, программной и математической) защите коммерческой тайны;
>• организация специального делопроизводства, исключающего несанкционированное получение сведений, являющихся коммерческой тайной;
>• предотвращение необоснованного допуска и открытого доступа к сведениям и работам, составляющим коммерческую тайну;
>• выявление и локализация возможных каналов утечки конфиденциальной информации в процессе повседневной производственной деятельности и в экстремальных (авария, пожар и др.) ситуациях;
>• обеспечение режима безопасности при проведении таких видов деятельности, как различные встречи, переговоры, совещания, заседания и другие мероприятия, связанные с деловым сотрудничеством на национальном и международном уровне;
>• обеспечение охраны зданий, помещений, оборудования, продукции и технических средств обеспечения производственной деятельности;
.>• обеспечение личной безопасности руководства и ведущих сотрудников и специалистов;
>• оценка маркетинговых ситуаций при неправомерных действиях злоумышленников и конкурентов.
Для решения указанных задач служба безопасности предприятия должна выполнять следующие общие функции:
>• организовывать и обеспечивать пропускной и внутриобъектовый (при наличии зон ограниченного доступа) режим в зданиях и помещениях, устанавливать порядок несения службы охраны, контролировать соблюдение требований режима сотрудниками, смежниками, партнерами и посетителями;
>• руководить работами по правовому и организационному регулированию отношений по защите коммерческой тайны;
>• участвовать в разработке основополагающих документов с целью закрепления в них требований обеспечения безопасности и защиты коммерческой тайны, в частности Устава, Коллективного договора. Правил внутреннего трудового распорядка, соглашений, подрядов, должностных инструкций и обязанностей руководства,