Организация инженерно-технической защиты информации на предприятиях (в организациях, учреждениях)

Предприятия (фирмы, организации, учреждения) — наиболее многочисленные структуры, в которых создается наибольший объ­ем (количество) информации, содержащей государственную и кон­фиденциальную тайну. В них проводится конкретная и разнооб­разная работа по защите информации.

Независимо от формы собственности организация для прове­дения работ с информацией, содержащей государственную тайну, должна получить лицензию, т. е. выполнить предварительно в полном объеме требования по защите информации, предусмотренные соответствующими документами. После получение лицензии ор­ганизация становится элементом государственной системы защи­ты информации, содержащей государственную тайну.

Для защиты информации, содержащей государственную тай­ну, на предприятии (в учреждении, организации) создаются в зави­симости от объема работ по защите информации структурные под­разделения или штатные специалисты, которые могут входить в состав одного из подразделений или службы безопасности.

Их основными функции являются следующие:

l планирование работ по защите информации на предприятии (в учреждении, организации), разработка предложений по совер­шенствованию его системы защиты информации;

l определение демаскирующих признаков предприятия (учреж­дения, организации) и выпускаемой продукции;

l участие в подготовке предприятия (учреждения, организации) к аттестованию на право проведения работ с использованием све­дений, отнесенных к государственной тайне;

l организация разработки нормативно-методических докумен­тов, разработка проектов распорядительных документов по вопросам организации защиты информации на предприятии;

l участие в согласовании ТЗ (ТТЗ) на проведение работ, содержа­щих государственную тайну, в разработке требований по защи­те информации при проведении исследований, разработке (мо­дернизации), производстве и эксплуатации образцов продук­ции, при проектировании, строительстве и эксплуатации объ­ектов (учреждения, организации);

l проведение периодического контроля эффективности мер защи­ты информации на предприятии (в учреждении, организации), участие в расследовании нарушений в области защиты инфор­мации и разработка предложений по устранению недостатков и предупреждению нарушений;

l организация проведения занятий с руководящим составом и специалистами предприятия (учреждения, организации) по вопросам защиты информации.

Для защиты информации, составляющей коммерческую тай­ну, ее владелец создает собственную систему защиты информации.

Законодательно структура такой системы не закреплена. Она опре­деляется многими факторами: видом деятельности, уровнем кон­фиденциальности информации и ее объемом, штатной численнос­тью ее сотрудников, финансовым состоянием фирмы и др. Однако для любой фирмы однотипны объективные функции сил и средств обеспечения защиты информации. Их может выполнять как пол­ноценная структура, включающее большое количество людей и технических средств, так и несколько человек для малой фирмы. В принципе, так же как в государственных структурах, каждый со­трудник фирмы должен в объеме должностных обязанностей обес­печивать защиту информации. Об этом он информируется при при­еме на работу. Эти требования указываются, как правило, в догово­ре между работодателем и работником.

Наиболее полно вопросы организация системы безопасности фирмы рассмотрены в [2].

Система безопасности фирмы образует следующие основные элементы (должностные лица и органы):

l руководитель фирмы, курирующий вопросы безопасность ин­формации;

l совет по безопасности фирмы;

l служба безопасности фирмы;

l подразделения фирмы, участвующие в обеспечении безопас­ности фирмы.

Руководство безопасностью возлагается, как правило, на ру­ководителя фирмы и его заместителя по общим вопросам (1-го за­местителя), которым непосредственно подчиняется служба безо­пасности.

Совет по безопасности фирмы представляет собой коллегиаль­ный орган при руководителе фирмы, состав которого назначает­ся им из числа квалифицированных и ответственных по вопросам информационной безопасности должностных лиц. Совет безопас­ности разрабатывает для руководителя предложения по основным вопросам обеспечения безопасности информации, в том числе: на­правлениям деятельности по обеспечению безопасности фирмы и ее подразделений, совершенствования системы безопасности, вза­имодействия С органами власти, заказчиками, партнерами, конку­рентами и потребителями продукции и др.

Структурные подразделения занимаются вопросами защи­ты информации, которую они создают или используют в своей деятельности. Содержание и количество информации меняются во времени, в зависимости от решаемых задач и этапов деятельнос­ти. Однако основные и побочные результаты деятельности содер­жат защищаемую информацию еще длительное время, равное вре­мени ее старения.

Служба безопасности является основным структурным под­разделением по обеспечению безопасности, в том числе информа­ционной, на фирме. Основными ее задачами в части информацион­ной безопасности являются:

l мониторинг угроз информации;

l организация работы по защите информации на фирме;

l управление доступом сотрудником, автотранспорта и посетите­лей на территорию и в помещения фирмы;

l обеспечение безопасности информации при проведении всех видов деятельности внутри и вне фирмы, в том числе при чрез­вычайных ситуациях;

l охрана территории, зданий, помещений и других мест и конс­трукций с защищаемой информацией.

Кроме этих задач служба безопасности обеспечивает охрану материальных ценностей фирмы и безопасность руководителей, ведущих специалистов и сотрудников.

Для решения указанных задач в полном объеме в службе безо­пасности создаются отдельные подразделения, примерный состав которых приведен на рис. 25.1.

Рис. 25.1. Структура службы безопасности фирмы

Подразделение режима и охраны обеспечивает: организацию и контроль режима организации; охрану объектов организации и ее отдельных сотрудников, а также ценного груза при его перевозке за пределами организа­ции.

В общем случае под режимом организации понимаются уста­новленные законодательством, подзаконными актами и руководс­твом организации условия работы в ней. В принципе для обеспече­ния эффективной деятельности любой организация в ней устанав­ливается определенный режим работы сотрудников. Если техно­логический процесс производства продукции непрерывен, то этот процесс должны обеспечивать сотрудники независимо от выход­ных, праздников, болезни и других обстоятельств. Например, не­льзя временно, на праздники, потушить доменную печь, так как после этого нельзя восстановить ее работу без почти катастрофи­ческих последствий.

Однако обычно режим предполагает условия работы, направ­ленные на обеспечение безопасности ценностей, в том числе ин­формации. В этом смысле организацию с таким режимом называ­ют режимной.

Ответственные сотрудники подразделения режима и охраны не только конкретизируют документы вышестоящих организация по режиму и разрабатывают внутри объектовые документы, но и кон­тролируют выполнение их работниками организации. Например, сотрудники подразделения осматривают подозрительные предме­ты, которые могут вносить (ввозить) или выносить (вывозить) ра­ботники и посетители, контролируют способы переноса и хране­ния продукции с защищаемыми признаками, надежность закрытия и состояние печатей запасных дверей и ворот, порядок сдачи вы­деленных помещений под охрану и их вскрытия и др. Сотрудники подразделения режима и охраны занимаются также расследовани­ем нарушений режима в организации.

Основу санкционированного доступа в контролируемые зоны составляет пропускной режим. Традиционно пропускной режим обеспечивается с помощью удостоверений и пропусков. Пропуска для сотрудников и посетителей могут быть постоянными, времен­ными и разовыми, а также материальные для ввоза и вывоза ма­териальных ценностей. Постоянные документы выдаются на не­сколько лет с последующей перерегистрацией или заменой, вре­менные на несколько месяцев, разовые — на один день. Образцы удостоверений и пропусков разрабатываются службой безопаснос­ти и утверждаются руководством организации. Однако эти документы относятся к атрибутным идентификаторам со всеми прису­щими им недостатками. Их постепенно вытесняют более защищен­ные атрибутные идентификаторы (карты на различных принципах работы) и биометрические идентификаторы.

Для охраны объектов организации привлекаются в зависимос­ти от их ведомственной принадлежности силы и средства подраз­делений охраны МО, МВД и коммерческих охранных структур, а также создаются собственные группы охраны. При использовании внешних сил охраны подразделение режима осуществляет конт­роль за выполнением ими своих функций. Группа охраны органи­зации входит в состав ее подразделения режима и охраны и осу­ществляет охрану и контроль собственными силами.

Специальный отдел обеспечивает учет всех грифованных до­кументов (входящей и исходящей корреспонденции, разрабатыва­емых и размножаемых в организации документов), циркулирую­щих в организации, ее централизованное хранение и санкциони­рованной доступ к ней сотрудников организации. В специальном отделе учитывают также образцы продукции (веществ, макетов, узлов и др.), содержащие защищаемую информацию. Основанием для выдачи сотрудников документов и образцов продукции слу­жат временные и разовые допуски, оформляемые руководителями структурных подразделений.

Защита информации с помощью инженерных конструкций и технических средств возлагается на подразделение инженерно-технической защиты информации. Оно занимается выявлени­ем потенциальных угроз, разработкой мер по их предотвращению, инструментальным контролем уровней опасных сигналов и экс­плуатацией технических средств защиты информации.

Любая организация, в том числе принадлежащая государству, нуждается для обеспечения эффективной деятельности в информа­ции о партнерах и конкурентах. Для добывания этой информации в рамках как деловой разведки, так и промышленного шпионажа создается в организации подразделение разведки и контрразвед­ки. Это подразделение обеспечивает:

§ • добывание данных и сведений и их аналитическую обработку с целью получения разведывательной информации о партнерах и конкурентах;

§ прогнозирование угроз информации организации со стороны конкурентов и иных злоумышленников;

§ разработка предложений по контрразведывательному обеспече­нию информационной безопасности.

Основная часть информации (по некоторым оценкам, до 95%) добывается из открытых источников, в особенности по вопросам, касающимся тенденций рынка, потенциальных конкурентов, на­дежности фирм, с которыми собирается сотрудничать организа­ция и др. Однако информация об оригинальных схемотехничес­ких, конструкторских и технологических решениях, реализация которых в продукции может обеспечить ее владельцам сущест­венные преимущества перед конкурентами, закрывается и защи­щается.