Состав системы безопасности на предприятии

Решение о создании системы безопасности принимается руководством предприятия в соответствии с его уставом.

Ответственный руководитель системы безопасности предприятия – это либо сам руководитель предприятия, либо один из его заместителей. Он должен хорошо знать, что подлежит защите и охране и обладать определенными знаниями в области безопасности.

Совет по безопасности предприятия – это коллегиальный орган при руководителе системы безопасности. Совет выполняет консультативные функции, а его предложения носят рекомендательный характер. Все члены совета назначаются руководителем предприятия из числа ведущих специалистов, имеющих опыт работы или заинтересованных в обеспечении безопасности.

В поле зрения совета практически находится вся сфера экономической деятельности предприятия в целом, рынок товаров и услуг, место данного предприятия на рынке, конкуренты и преступность.

Таким образом, совет по экономической безопасности является аналитическим центром при руководстве предприятия, нацеленным на выработку стратегических решений в этой области деятельности.

Служба безопасности предприятия – самостоятельное структурное подразделение. Она решает задачи по непосредственному обеспечению защиты жизненно важных интересов предприятия в условиях коммерческого и производственного риска, конкурентной борьбы.

В состав службы безопасности предприятия могут входить:

1. - отдел охраны;

2. - отдел режима;

3. - отдел кадров;

4. - отдел специального документооборота;

5. - отдел инженерно-технической безопасности;

6. - отдел контрразведки и информационно-аналитической деятельности.

36. Правовые основы деятельности службы безопасности.

· Гражданский кодекс РФ (часть I и II) 1994 г № 51-ФЗ (ред. 2011 г);

· Уголовный кодекс РФ 1996 г № 63-ФЗ (ред. 2010 г);

· Закон РФ «Об информации, информационных технологиях и о защите информации» 2006 г № 149-ФЗ ;

· Закон РФ «О гфос.тайне» 1993г № 5485-1 (ред. 1997г, 2007г);

· Закон РФ «О коммерческой тайне» 2004 г № 98-ФЗ (ред. 2006 г);

· Закон РФ «О безопасности» 2010 г № 390-ФЗ;

· Закон РФ «О приватизации государственного и муниципального имущества» 2001 г № 178-ФЗ (ред. 2011 г);

· Закон РФ «Об оружии» 1996 г № 150-ФЗ (ред. 2004 г);

· Закон РФ «О частной детективной и охранной деятельности» 1992 г № 2487-1 (ред. 2010 г);

· ФЗ «Об оперативно-розыскной деятельности в РФ» 1995 г № 144-ФЗ (ред. 1999 г);

· Закон РФ «О банках и банковской деятельности» № 395-1 1990 г (ред. 2011 г) ;

· Постановление Правительства РФ «О перечне сведений, которые не могут составлять коммерческую тайну» 1991 г № 35 (ред. 2002 г);

· Устав, коллективный договор, трудовые договора, правила внутреннего распорядка, технологические руководства и инструкции, должностные функции и обязанности руководителей, специалистов, рабочих и служащих.

37. Организационное обеспечение информационной безопасности при проведении закрытых мероприятий.

Основной угрозой при проведении совещаний и переговоров является возможность разглашения большего объема информации, чем это необходимо.

Причины:

а) Слабое знание сотрудниками состава ценной информации и мер по ее защите

б) Умышленное невыполнение требований по защите информации

в) Провоцированные и не провоцированные ошибки сотрудников

Основные этапы проведения совещаний и переговоров:

а) подготовка к проведению

б) процесс подготовки и документирование

в) анализ итогов и выполнение достигнутых результатов

Для подготовки этого мероприятия, обычно, назначается ответственный за проведение из числа сотрудников подразделения, по тематике которого проводится совещание.

Все документы, которые используются на мероприятии, содержащие информацию ограниченного доступа должны иметь гриф конфиденциальности. В этих документах должен содержаться минимальный набор сведений конфиденциального характера.

Список участников составляется по каждому обсуждаемому вопросу. Документы конфиденциального характера должны согласовываться с руководителем СБ.

Любые совещания конфиденциального характера должны проводиться в специально подготовленном помещение (ВП,ЗП). Эти помещения оборудуются средствами защиты от утечки речевой информации и аттестуются полномочным лицом.

Помещения, в которых разрешается обработка речевой информации, составляющей ГТ называютсявыделенными помещениями.

Аналогичные помещения для информации ограниченного доступа, не составляющей ГТ называютсязащищаемые помещения.

Перед началом совещания ответственный за помещение должен убедиться, что состав оборудования помещения соответствует паспорту помещения.

Запрещается вносить в помещение аудио - и видео - аппаратуру, различного рода передающие устройства, мобильные телефоны и т. п.

Целесообразно, перед началом совещания напомнить участникам о необходимости сохранения сведений ограниченного доступа и порядка документирования.

После окончания мероприятия ответственный за помещение проверяет его, опечатывает и сдает под охрану. Документы, принятые на совещании могут размножаться и рассылаться участникам в установленном порядке.

Особое место при проведении переговоров занимают рекламно - выставочные материалы. Материалы, не прошедшие экспертизу, публикации не подлежат.

38. Требования внутриобъектового режима.

Внутриобъектовый режим — комплекс мероприятий, направленных на обеспечение установленного режима секретности непосредственно в структурных подразделениях, на объектах и в служебных помещениях предприятия.

Основными направлениями работы по организации внутриобъектового режима на предприятии являются:

· определение общих требований режима секретности на предприятии в соответствии с положениями нормативных правовых актов и указаний вышестоящих органов государственной власти организаций);

· ограничение круга лиц, допускаемых к сведениям, составляющим государственную тайну, и их носителям;

· регламентация непосредственной работы сотрудников предприятия, а также командированных лиц, с носителями сведений, составляющих государственную тайну;

· планирование комплекса мероприятий, направленных на исключение утечки сведений, составляющих государственную тайну, и утрат носителей этих сведений;

· организация контроля со стороны должностных лиц предприятия и структурных подразделений по защите государственной тайны за выполнением требований по режиму секретности на предприятии;

· организация работы с персоналом предприятия, допущенным к сведениям, составляющим государственную тайну, а также вновь принимаемыми на работу гражданами.

В ходе выполнения этой работы руководством предприятия используются следующие основные подходы к организации внутриобъектового режима:

· определение ответственности руководителей подразделений должностных лиц за защиту государственной тайны;

· четкое разграничение функций, возлагаемых на соответствующие структурные подразделения предприятия (служба безопасности, режимно-секретное подразделение, подразделение противодействия иностранным техническим разведкам, служба охраны и др.);

· создание эффективной системы контроля за выполнением мероприятий по режиму секретности и обеспечению сохранности Носителей сведений, составляющих государственную тайну.

Руководитель предприятия и соответствующие должностные лица должны обеспечить соблюдение основных принципов формирования системы внутриобъектового режима:

· принципа персональной ответственности руководителей структурных подразделений, других должностных лиц и сотрудников предприятия за выполнение задач в области защиты государственной тайны;

· принципа комплексного использования имеющихся сил и средств для решения задач по защите государственной тайны;

· принципа полного охвата всех направлений деятельности предприятия, в ходе работы по которым возможна утечка сведений, составляющих государственную тайну, или утрата носителей этих сведений.

В организации внутриобъектового режима участвуют следующие основные структурные подразделения предприятия: режимно-секретное подразделение, служба безопасности предприятия, подразделение противодействия иностранным техническим разведкам, подразделение охраны (в части вопросов контроля внутренних объектов и служебных помещений предприятия).

Под организационными средствами защиты информации понимается комплекс мероприятий, планируемых и осуществляемых в целях организации внутриобъектового режима.

39. Оценка и управление рисками. Экономическая оценка систем и средств защиты.

ОЦЕНКА РИСКОВ

На этом шаге измеряется уровень рисков нарушения конфиденциальности, целостности и доступности информационных ресурсов. Уровень риска зависит от уровней угроз, уязвимостей и цены возможных последствий.

Существуют различные методики измерения рисков. Чаще всего используются табличные методы.

Если применяются качественные методы, возможные риски нарушения ИБ должны быть ранжированы по степени их опасности с учетом таких факторов, как цена возможных потерь, уровень угрозы и уязвимости.

Риски могут быть оценены с помощью количественных шкал. Это даст возможность упростить анализ по критерию «стоимость-эффективность» предлагаемых контрмер. Однако в этом случае предъявляются более высокие требования к шкалам измерения исходных данных и проверке адекватности принятой модели.

Идентификация риска- процесс идентификации рисков, при котором рассматриваются бизнес-цели, угрозы и уязвимость как основа для дальнейшего анализа.

Управление рисками (riskmanagement):

– процесс идентификации, управления, устранения или уменьшения вероятности событий, способных негативно воздействовать на ресурсы системы;

– процесс, включающий идентификацию, управление и устранение или уменьшение вероятности событий, которые могут затрагивать информационные ресурсы системы;

– процесс идентификации, управления и уменьшения рисков безопасности, потенциально имеющих возможность воздействовать на информационную систему, при условии приемлемой стоимости средств защиты;

– процесс идентификации, управления, устранения или уменьшения вероятности событий, которые в состоянии негативно воздействовать на системные ресурсы системы. Этот процесс содержит анализ риска, анализ параметра «стоимость-эффективность», выбор, построение и испытание подсистемы безопасности и исследование всех аспектов безопасности;

– процесс идентификации, управления, устранения или уменьшения потенциального воздействия возможных происшествий. Цель процедуры управления риском состоит в том, чтобы уменьшить риски до уровней, одобренных DAA (DesignatedApprovingAuthority - лицо, уполномоченное выбрать уровни рисков).

40. Организационные методы защиты информации.

К методам и средствам организационной защиты информации относятся организационно-технические и организационно-правовые мероприятия, проводимые в процессе создания и эксплуатации КС для обеспечения защиты информации. Эти мероприятия должны проводиться при строительстве или ремонте помещений, в которых будет размещаться КС; проектировании системы, монтаже и наладке ее технических и программных средств; испытаниях и проверке работоспособности КС.

Основные свойства методов и средств организационной защиты:

● обеспечение полного или частичного перекрытия значительной части каналов утечки информации (например, хищения или копирования носителей информации);

● объединение всех используемых в КС средств в целостный механизм защиты информации.

Методы и средства организационной защиты информации включают в себя:

● ограничение физического доступа к объектам КС и реализация режимных мер;

● ограничение возможности перехвата ПЭМИН;

● разграничение доступа к информационным ресурсам и процессам КС (установка правил разграничения доступа, шифрование информации при ее хранении и передаче, обнаружение и уничтожение аппаратных и программных закладок);

● резервное копирование наиболее важных с точки зрения утраты массивов документов;

● профилактику заражения компьютерными вирусами

Под инженерно-техническими (физическими) средствами защиты информации понимают физические объекты, механические, электрические и электронные устройства, элементы конструкции зданий, средства пожаротушения и другие средства.

Отметим, что при использовании технических средств КС для обработки информации ограниченного доступа необходимо проведение специальных проверок, целью которых является обнаружение и устранение внедренных специальных электронных устройств подслушивания, перехвата информации или вывода технических средств из строя (аппаратных закладок). При проведении таких проверок может потребоваться практически полная их разборка, что иногда может привести к возникновению неисправностей в работе технических средств и дополнительным затратам на их устранение.

41. Технические методы защиты информации от утечки по техническим каналам.

Основными формами информации, представляющими интерес с точки зрения защиты, являются:
• документальная; (графический вид, бумажный или электронный вид, магнитные носители)
• акустическая (речевая); (возникает в ходе ведения в помещениях разговоров, а также при работе систем звукоусиления и звуковоспроизведения, носитель-акустические колебания)
• телекоммуникационнаяи т.п. (циркулирует в технических средствах обработки и хранения информации, а также в каналах связи при ее передаче, носитель- электрический ток, электромагнитные волны)

Отдельные технические средства или группа технических средств, предназначенных для обработки конфиденциальной информации, вместе с помещениями, в которых они размещаются, составляют объект ТСПИ. Под объектами ТСПИ понимают также выделенные помещения, предназначенные для проведения закрытых мероприятий.
В качестве элементов каналов утечки информации наибольший интерес представляют ТСПИ и ВТСС, имеющие выход за пределы контролируемой зоны (КЗ), т.е. зоны, в которой исключено появление лиц и транспортных средств, не имеющих постоянных или временных пропусков.
Зона, в которой возможны перехват (с помощью разведывательного приемника) побочных электромагнитных излучений и последующая расшифровка содержащейся в них информации (т.е. зона, в пределах которой отношение "информационный сигнал/помеха" превышает допустимое нормированное значение), называется (опасной) зоной 2.
Пространство вокруг ТСПИ, в пределах которого на случайных антеннах наводится информационный сигнал выше допустимого (нормированного) уровня, называется (опасной) зоной 1.
Случайной антенной является цепь ВТСС или посторонние проводники, способные принимать побочные электромагнитные излучения. Случайные антенны могут быть сосредоточенными и распределенными.
Сосредоточенная случайная антенна представляет собой компактное техническое средство, например, телефонный аппарат, громкоговоритель радиотрансляционной сети и т.д. К распределенным случайным антеннам относятся случайные антенны с распределенными параметрами: кабели, провода, металлические трубы и другие токопроводящие коммуникации.
Перехват информации, обрабатываемой на объектах ТСПИ, осуществляется по техническим каналам.
Под техническим каналом утечки информации (ТКУИ) понимают совокупность объекта разведки, технического средства разведки (ТСР), с помощью которого добывается информация об этом объекте, и физической среды, в которой распространяется информационный сигнал. По сути, под ТКУИ понимаютспособ получения с помощью ТСР разведывательной информации об объекте. Причем подразведывательной информацией обычно понимаются сведения или совокупность данных об объектах разведки независимо от формы их представления.

В зависимости от физической природы возникновения информационных сигналов, а также среды их распространения и способов перехвата ТСР технические каналы утечки можно разделить на [120]:
электромагнитные, электрические и параметрический - для телекоммуникационной информации;
воздушные (прямые акустические), вибрационные (виброакустические), электроакустические, оптико-электронный и параметрические - для речевой информации.
Технические мероприятия направлены на закрытие каналов утечки информации путем ослабления уровня информационных сигналов или уменьшением отношения сигнал/шум в местах возможного размещения портативных средств разведки или их датчиков до величин, обеспечивающих невозможность выделения информационного сигнала средством разведки, и проводятся с использованием активных и пассивных средств.
К техническим мероприятиям с использованием пассивных средств относятся:
- контроль и ограничение доступа на объекты ТСПИ и в выделенные помещения:
• установка на объектах ТСПИ и в выделенных помещениях технических средств и систем ограничения и контроля доступа.
- локализация излучений:
• экранирование ТСПИ и их соединительных линий;
• заземление ТСПИ и экранов их соединительных линий;
• звукоизоляция выделенных помещений.
- развязывание информационных сигналов:
• установка специальных средств защиты типа "Гранит" во вспомогательных технических средствах и системах, обладающих «микрофонным эффектом» и имеющих выход за пределы контролируемой зоны (см. рис. 1.1);
• установка специальных диэлектрических вставок в оплетки кабелей электропитания, труб систем отопления, водоснабжения и канализации, имеющих выход за пределы контролируемой зоны (см. рис. 1.2);
• установка автономных или стабилизированных источников электропитания ТСПИ;
• установка устройств гарантированного питания ТСПИ (например, мотор-генераторов);
• установка в цепях электропитания ТСПИ, а также в линиях осветительной и розеточной сетей выделенных помещений помехоподавляющих фильтров типа ФП (см. рис. 1.3 и 1.4).


К техническим мероприятиям с использованием активных средств относятся:
- пространственное зашумление:
• пространственное электромагнитное зашумление с использованием генераторов шума или создание прицельных помех (при обнаружении и определении частоты излучения закладного устройства или побочных электромагнитных излучений ТСПИ) с использованием средств создания прицельных помех;
• создание акустических и вибрационных помех с использованием генераторов акустического шума;
• подавление диктофонов в режиме записи с использованием подавителей диктофонов.
- линейное зашумление:
• линейное зашумление линий электропитания (см. рис. 1.9);
• линейное зашумление посторонних проводников и соединительных линий ВТСС, имеющих выход за пределы контролируемой зоны.
- уничтожение закладных устройств:
• уничтожение закладных устройств, подключенных к линии, с использованием специальных генераторов импульсов (выжигателей "жучков").
Выявление портативных электронных устройств перехвата информации (закладных устройств) осуществляется проведением специальных обследований, а также специальных проверок объектов ТСПИ и выделенных помещений.
Специальные обследования объектов ТСПИ и выделенных помещений проводятся путем их визуального осмотра без применения технических средств.

42. Технические методы защиты информации от несанкционированного доступа

Несанкционированный доступ – чтение, обновление или разрушение информации при отсутствии на это соответствующих полномочий.

Несанкционированный доступ осуществляется, как правило, с использованием чужого имени, изменением физических адресов устройств, использованием информации, оставшейся после решения задач, модификацией программного и информационного обеспечения, хищением носителя информации, установкой аппаратуры записи.

Основные типовые пути несанкционированного получения информации:

· хищение носителей информации и производственных отходов;

· перехват электронных излучений;

· перехват акустических излучений;

· дистанционное фотографирование;

· применение подслушивающих устройств;

· злоумышленный вывод из строя механизмов защиты и т.д..

Для защиты информации от несанкционированного доступа применяются:

1) организационные мероприятия;

2) технические средства;

3) программные средства;

4) щифрование.

Организационные мероприятия включают в себя:

· пропускной режим;

· хранение носителей и устройств в сейфе (дискеты, монитор, клавиатура и т.д.);

· ограничение доступа лиц в компьютерные помещения и т.д..

Технические средства включают в себя:

· фильтры, экраны на аппаратуру;

· ключ для блокировки клавиатуры;

· устройства аутентификации – для чтения отпечатков пальцев, формы руки, радужной оболочки глаза, скорости и приемов печати и т.д.;

· электронные ключи на микросхемах и т.д.

Программные средства включают в себя:

· парольный доступ – задание полномочий пользователя;

· блокировка экрана и клавиатуры с помощью комбинации клавиш в утилите Diskreet из пакета NortonUtilites;

· использование средств парольной защиты BIOS – на сам BIOS и на ПК в целом и т.д.

43. Обоснование степени информационной безопасности проектируемых объектов информатизации.

44. Обеспечение информационной безопасности при вводе объектов в эксплуатацию.

45. Специальные проверки технических средств и объектов информатизации.

Специальная проверка - проверка объекта информатизации в целях выявления и изъятия возможно внедренных закладочных устройств.

Цель проведения комплексных специальных проверок помещений заключается в пресечении (предотвращении) получения злоумышленником (противником) защищаемой информации из этих помещений с помощью средств несанкционированного съема информации (НСИ). Тем самым предотвращается ущерб, который может быть нанесен собственнику, владельцу, пользователю защищаемой информации в случае использования злоумышленником (противником) этой информации в своих интересах.

С учетом этого основными задачами комплексных специальных проверок помещений можно считать:

· выявление и нейтрализацию внедренных противником средств НСИ; выявление потенциальных технических каналов утечки информации (ТКУИ);

· определение мероприятий, требуемых для закрытия (ликвидации) выявленных потенциальных ТКУИ;

· сбор новых сведений о применении противником средств НСИ и их характеристиках

Комплексные специальные проверки помещений занимают заметное место в общей системе мероприятий по защите информации. Они проводятся: при аттестации помещений; периодически (в соответствии с заранее разработанным планом-графиком); после проведения в помещениях каких-либо работ (ремонта, монтажа оборудования, изменения интерьера и т.д.); неконтролируемого посещения посторонними лицам^; во всех случаях, когда возникает подозрение в утечке информации через возможно внедренные средства НСИ.

Все мероприятия по проведению специальных комплексных проверок условно делятся на три этапа: подготовительный; непосредственного проведения проверки помещений; заключительный.

46. Специальные исследования объектов информатизации.

Специальные исследования - выявление с использованием контрольно-измерительной аппаратуры возможных технических каналов утечки защищаемой информации от основных и вспомогательных технических средств и систем и оценка соответствия защиты информации требованиям нормативных документов по защите информации.

При специальных исследованиях проводятся следующие виды работ:

· специальные исследования побочных электромагнитных излучений и наводок;

· дозиметрический контроль с помощью стационарного рентгенографического оборудования;

· специальные исследования линий электропередач;

· специальные исследования акустических и виброакустических каналов.

47. Выбор и оптимизация требуемых средств защиты информации на объектах.

48. Контроль за обеспечением безопасной эксплуатации объектов информатизации.

49. Аттестация объектов информатизации.

Деятельность по аттестации объектов информатизации по требованиям безопасности информации осуществляет ФСТЭК России (бывш.Гостехкомиссия России).

Объект информатизации- совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров.

Аттестация объектов информатизации (далее аттестация) - комплекс организационно-технических мероприятий, в результате которых посредством специального документа - "Аттестата соответствия" подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных ФСТЭК России (Гостехкомиссией России). Наличие аттестата соответствия в организации дает право обработки информации с уровнем секретности (конфиденциальности) на период времени, установленный в аттестате.

Аттестация производится в порядке, установленном "Положением по аттестации объектов информатизации по требованиям безопасности информации" от 25 ноября 1994 года. Аттестация должна проводится до начала обработки информации, подлежащей защите. Это необходимо в целях официального подтверждения эффективности используемых мер и средств по защите этой информации на конкретном объекте информатизации.

Аттестация является обязательной в следующих случаях:

· государственная тайна;

· при защите государственного информационного ресурса;

· управление экологически опасными объектами;

· ведение секретных переговоров.

Во всех остальных случаях аттестация носит добровольный характер, то есть может осуществляться по желанию заказчика или владельца объекта информатизации.

Аттестация предполагает комплексную проверку (аттестационные испытания) объекта информатизации в реальных условиях эксплуатации. Целью является проверка соответствия применяемых средств и мер защиты требуемому уровню безопасности. К проверяемым требованиям относится:

· защита от НСД, в том числе компьютерных вирусов;

· защита от утечки через ПЭМИН;

· защита от утечки или воздействия на информацию за счет специальных устройств, встроенных в объект информатизации.

Все расходы по проведению аттестации возлагаются на заказчика, как в случае добровольной, так и обязательной аттестации.

Органы по аттестации несут ответственность за выполнение своих функций, за сохранение в секрете информации, полученной в ходе аттестации, а также за соблюдение авторских прав заказчика.

Испытательные лаборатории проводят испытания несертифицированной продукции, используемой на аттестуемомобъектеинформатизации.

Аттестат соответствия подписывается руководителем аттестационной комиссии и утверждается руководителем органа по аттестации.

Аттестат соответствия выдается на период, в течение которого обеспечивается неизменность условий функционирования объектаинформатизации и технологии обработки защищаемой информации, могущих повлиять на характеристики, определяющиебезопасность информации (состав и структура технических средств, условия размещения, используемое программное обеспечение, режимы обработки информации, средства и меры защиты), но не более чем на 3 года.

50. Идентификация пользователя. Аутендефикация пользователя.

Идентификация и аутентификации применяются для ограничения доступа случайных и незаконных субъектов (пользователи, процессы) информационных систем к ее объектам (аппаратные, программные и информационные ресурсы).

Общий алгоритм работы таких систем заключается в том, чтобы получить от субъекта (например, пользователя) информацию, удостоверяющую его личность, проверить ее подлинность и затем предоставить (или не предоставить) этому пользователю возможность работы с системой.

Наличие процедур аутентификации и/или идентификации пользователей является обязательным условием любой защищенной системы, поскольку все механизмы защиты информации рассчитаны на работу с поименованными субъектами и объектами информационных систем.

Наши рекомендации