конкурента.
Третий — анализируется эффективность принятых и постоянно действующих подсистем обеспечения безопасности (физическая безопасность документации, надежность персонала, безопасность используемых для передачи конфиденциальной информации линий связи и т. д.).
Четвертый — определение необходимых мер защиты. На основании проведенных на первых трех этапах аналитических исследований определяются необходимые дополнительные меры и средства по обеспечению безопасности предприятия.
Пятый — рассматриваются руководителями фирмы (организации) представленные предложения по всем необходимым мерам безопасности и расчет их стоимости и эффективности.
Шестой — реализация дополнительных мер безопасности с учетом установленных приоритетов.
Седьмой — осуществление контроля и доведение до персонала фирмы реализуемых мер безопасности.
Преимущества создания собственной службы безопасности очевидны:
отлично зная объект, сотрудников, возможные угрозы, т. е. владея обстановкой, своя служба постоянно находится на объекте, поэтому всегда готова отразить всевозможные угрозы...
Главная проблема заключается в том, что на создание и поддержание ее должного уровня (подбор и обучение сотрудников, закупка техники, лидензирование...) необходимо затратить много времени и выделить серьезные средства. Достаточно отметить, что только на приобретение минимума технических средств контроля защищенности с учетом всего многообразия средств промышленного шпионажа требуется единовременное выделение не менее 20 000 $. Однако одной аппаратуры недостаточно, так как необходимо и знание специальных методик оценки опасности различных каналов утечки информации. В качестве образца такого методического обеспечения в Приложении 1 приведены рекомендации по оценке защищенности конфиденциальной информации от ее утечки за счет побочных электромагнитных излучений.
Следует особо отметить, что даже при наличии финансовой возможности приобрести специальную аппаратуру и наличии методик все равно требуется участие группы консультантов из числа опытных специалистов как в области защиты информации, так и в тех областях, знания которых необходимы для проведения квалифицированного анализа.
Таким образом, наиболее действенным должен быть третий, комбинированный вариант, а именно совместная работа службы безопасности и специализированных предприятий по защите информации. В этом случае общими усилиями разрабатывается некий план по защите информации, основные моменты которого приведены ниже.
План мероприятий по защите коммерческих секретов предприятия
1. Определение целей плана по защите коммерческой тайны. Ими могут быть:
>• предотвращение кражи коммерческих секретов;
>• предотвращение разглашения коммерческих секретов сотрудниками или их утечки через технические каналы.
2. Анализ сведений, составляющих коммерческую тайну, для чего надо:
>• определить, какие сведения на предприятии (технологические и деловые) являются коммерческой тайной;
>• установить места их накопления и хранения;
>• оценить возможности по перекрытию каналов утечки;
>• проанализировать соотношение затрат на защиту и возможных потерь при утере информации, если использованы различные технологии, обеспечивающие защиту коммерческой тайны;
>• назначить сотрудников, персонально ответственных за каждый участок системы обеспечения безопасности.
3. Обеспечить реализацию деятельности системы по следующим направлениям:
>• контроль сооружений и оборудования предприятия (обеспечение безопасности производственных и конторских помещений, охрана фото- и иного копировального оборудования, контроль посещений предприятия и т. п.);
>• работа с персоналом предприятия, в том числе проведение бесед при приеме на работу; инструктаж вновь потупивших на работу по правилам и процедурам, принятым для защиты коммерческой тайны на предприятии; обучение сотрудников правилам сохранения коммерческих секретов; стимулирование соблюдения конфиденциальности;
беседы с увольняющимися;
>• организация работы с конфиденциальными документами (установление порядка и правил ведения делопроизводства, контроль за конфиденциальными документами, контроль за публикациями, контроль и учет технических носителей конфиденциальных сведений, рассекречивание и уничтожение конфиденциальных документов, охрана чужих секретов);
>• работа с конфиденциальной информацией, циркулирующей в технических средствах и системах, которые обеспечивают трудовую деятельность (создание системы предотвращения утечки информации через технические каналы);
>• работа с конфиденциальной информацией, накопленной в компьютерных системах (создание системы защиты электронной информации от несанкционированного доступа к ней; обеспечение контроля за использованием ЭВМ);
>• защита коммерческой тайны предприятия в организационно-правовых документах, в процессе заключения контрактов и договоров с коллективом, сотрудниками, смежниками, поставщиками и т. д. Здесь важно четко определить круг лиц, имеющих отношение к этой работе.
После составления определяются те мероприятия плана, которые выполняются специализированной организацией (наличие квалифицированных специалистов в конкретной области, техническая и методическая оснащенность) и те из них, которые осуществляются силами и средствами собственной службы безопасности (знание оперативной обстановки, динамичность...). При такой работе достигаются оптимальные результаты с точки зрения финансовых затрат и качества защиты.
2.2.3. Добровольная аттестация объектов информатизации по требованиям безопасности информации
В настоящее время единственным способом юридически обосновать достаточность организационных и технических мероприятий по защите информации, а также компетентность собственной службы безопасности является добровольная аттестация (при защите сведений, составляющих государственную тайну аттестация объектов обязательна). При этом под аттестацией объектов информатизации будем понимать комплекс организационно-технических мероприятий, в результате которых посредством специального документа — «Аттестата соответствия» подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных Гостехкомиссией России. Наличие на объекте информатизации действующего «Аттестата соответствия» дает право обработки информации с соответствующим уровнем конфиденциальности и на период времени, установленными в «Аттестате соответствия» (АС).
Однако до начала процедуры аттестации необходимо подготовить объект информатизации. Эта работа проводится в несколько этапов.
1. Определяется перечень помещений, предназначенных для обсуждения конфиденциальных вопросов, а так же автоматизированных систем, предназначенных для обработки, хранения, передачи важнейшей информации.
2.Определяется класс АС (см. п.2.1.3).
3.Заключается договор на проектирование объекта в защищенном исполнении с организацией на это уполномоченной (п. 5 Лицензии Гостехкомиссии России, Приложение № 3).
4.0существляется закупка сертифицированных средств защиты информации (Перечень в приложении № 8)
5. Осуществляется монтаж технических средств защиты информации, организацией на это уполномоченной (п.3 Лицензии Гостехкомиссии России, Приложение № 3).
6. Проводится подготовка (переподготовка) службы безопасности в учебных центрах (п.6 Лицензии Гостехкомиссии России, Приложение № 3).
По окончанию этой работы возможно начинать аттестацию объектов. Основным руководящим документом является «Положение по аттестации объектов информатизации по требованиям безопасности информации», которое утверждено Председателем Государственной технической комиссии при Президенте Российской Федерации Ю. Яшиным 25 ноября 1994 г. Оно устанавливает основные принципы, организационную структуру системы аттестации объектов информатизации по требованиям безопасности информации, порядок проведения аттестации, а также контроля и надзора за аттестацией и эксплуатацией аттестованных объектов информатизации.
При аттестации объекта информатизации подтверждается его соответствие требованиям по защите информации от всех возможных угроз безопасности информации, приведенных в ГОСТ «Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения» (Приложение № 9).
Органы по аттестации аккредитуются Гостехкомиссией России в соответствии с «Положением об аккредитации испытательных лабораторий и органов по сертификации средств защиты информации по требованиям безопасности информации». Перечень органов по аттестации приведен в Приложении № 5.
Аттестация проводится в соответствии со схемой, выбираемой органом по аттестации на этапе подготовки к аттестации из следующего основного перечня работ:
>• анализ исходных данных по аттестуемому объекту информатизации;
>• предварительное ознакомление с аттестуемым объектом информатизации;
>• проведение экспертного обследования объекта информатизации и анализ разработанной документации по защите информации на этом объекте с точки зрения ее соответствия требованиям нормативной и методической документации;
>• проведение испытаний отдельных средств и систем защиты информации на аттестуемом объекте информатизации с помощью специальной контрольной аппаратуры и тестовых средств;
>• проведение испытаний отдельных средств и систем защиты информации в испытательных центрах (лабораториях) по сертификации средств защиты информации по требованиям безопасности информации;
>• проведение комплексных аттестационных испытаний объекта информатизации в реальных условиях эксплуатации;
>• анализ результатов экспертного обследования и комплексных аттестационных испытаний объекта информатизации и утверждение заключения по результатам аттестации.
Установлено, что органы по аттестации объектов информатизации несут ответственность за выполнение возложенных на них функций, обеспечение сохранности коммерческих секретов, а так