| <<назад к списку статей
1. Общие положения
Концепция безопасности фирмы представляет собой научно обоснованную систему взглядов на определение основных направлений, условий и порядка практического решения задач защиты рынка телекомуникаций от противоправных действий и недобросовестной конкуренции.
Под безопасностью фирмы понимается состояние защищенности интересов владельцев, руководства и клиентов фирмы, материальных ценностей и информационных ресурсов от внутренних и внешних угроз.
Объектами безопасности являются:
· персонал (руководство, ответственные исполнители, сотрудники);
· финансовые средства, материальные ценности, новейшие технологии;
· информационные ресурсы (информация с ограниченным доступом, составляющая коммерческую тайну, иная конфиденциальная информация, предоставленная в виде документов и массивов независимо от формы и вида их представления).
Субъектами правоотношений при решении проблемы безопасности являются:
· государство (Российская Федерация) как собственник ресурсов, создаваемых, приобретаемых и накапливаемых за счет средств государственных бюджетов, а также информационных ресурсов, отнесенных к категории государственной тайны;
· фирма как юридическое лицо, являющееся собственником финансовых, а также информационных ресурсов, составляющих служебную и коммерческую тайну;
· другие юридические и физические лица, в том числе партнеры и клиенты по финансовым отношениям, задействованные в процессе функционирования фирмы как внутри страны, так и во внешнефинансовых связях (органы государственной власти, исполнительные органы, организации, привлекаемые для оказания услуг в области безопасности, обслуживающий персонал, клиенты и др.).
Концепция определяет цели и задачи системы безопасности, принципы ее организации, функционирования и правовые основы, виды угроз безопасности и ресурсы, подлежащие защите, а также основные направления разработки системы безопасности, включая правовую, организационную и инженерно-техническую защиту.
2. Правовые основы системы безопасности
Правовые основы безопасности компании определяют соответствующие положения Конституции Российской Федерации, Закон "О безопасности" и другие нормативные акты.
Правовая защита персонала компании, материальных и экономических интересов компании и их клиентов от преступных посягательств обеспечивается на основе норм Уголовного и Уголовно-процессуального кодексов, законов Российской Федерации о прокуратуре, о федеральной службе безопасности, о милиции, об оперативно-розыскной деятельности, о частной детективной и охранной деятельности, об оружии и др.
Защиту имущественных и иных материальных интересов и деловой репутации компании призваны обеспечивать также гражданское, гражданско-процессуальное и арбитражное и арбитражно-процессуальное законодательство.
Обеспечение информационной безопасности регулируется законом Российской Федерации: "Об информации, информатизации и защите информации".
Важное значение в этом деле имеют указы Президента Российской Федерации "О защите информационно-телекоммуникационных систем и баз данных от утечки конфиденциальной информации по техническим каналам" от 08.05.93 N 644, "О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации" от 03.04.95 N 334, "О создании Государственной технической комиссии при Президенте Российской Федерации" от 05.01.92 N 9.
При практическом решении задач обеспечения безопасности деятельности компании необходимо опираться также и на следующие правовые нормативные акты: постановление Правительства РСФСР от 05.12.91 N 35 "О перечне сведений, которые не могут составлять коммерческую тайну"; "Положение о сертификации средств защиты информации", утвержденное постановлением Правительства Российской Федерации от 26.06.95 N 608 "О сертификации средств защиты информации"; Положение о государственной системе защиты информации от ИТР и от утечки по техническим каналам, утвержденное постановлением Правительства РФ от 15.09.93 N 912-51; "Положение о государственном лицензировании деятельности в области защиты информации", утвержденное совместным решением Гостехкомиссии и ФАПСИ при Президенте Российской Федерации от 27.04.94 N 10.
Существующие правовые условия обеспечения безопасности в основном позволяют государственным и иным правоохранительным и охранным структурам организовывать противостояние противоправным посягательствам на безопасность компании в различных ее аспектах.
Успешное и эффективное решение задач обеспечения безопасности конкретного сотовой оператора достигается формированием системы внутренних нормативных актов, инструкций, положений, правил, регламентов и функциональных обязанностей сотрудников линейных подразделений и служб, в том числе и службы безопасности. Требования по правовому обеспечению безопасности предусматриваются во всех структурно-функциональных правовых документах, начиная с Устава компании и кончая функциональными обязанностями каждого сотрудника. Необходимым условием обеспечения безопасности компании является совокупность правил входа (выхода) лиц в помещения компании, вноса (выноса) документов, денежных средств и материальных ценностей.
3. Цели и задачи системы безопасности
Главной целью системы безопасности является обеспечение устойчивого функционирования фирмы и предотвращение угроз его безопасности, защита законных интересов организации от противоправных посягательств, охрана жизни и здоровья персонала, недопущения хищения финансовых и материально-технических средств, уничтожения имущества и ценностей, разглашения, утраты, утечки, искажения и уничтожения служебной информации, нарушения работы технических средств, обеспечения производственной деятельности, включая и средства информатизации.
Другими целями концепции являются:
· формирование целостного представления о системе безопасности фирмы и взаимоувязка различных элементов этой системы, определение путей реализации мероприятий, обеспечивающих необходимый уровень надежной защищенности объектов;
· повышение имиджа фирмы и роста прибыли за счет обеспечения высокого качества предоставляемых услуг и гарантий безопасности имущественных прав и интересов клиентов.
Задачами системы безопасности являются:
· прогнозирование и своевременное выявление и устранение угроз безопасности персоналу и ресурсам фирмы; причин и условий, способствующих нанесению финансового, материального и морального ущерба, нарушению его нормального функционирования и развитию;
· отнесение информации к категории ограниченного доступа (служебной и коммерческой тайнам, иной конфиденциальной информации, подлежащей защите от неправомерного использования), а других ресурсов - к различным уровням уязвимости (опасности) и подлежащих сохранению;
· создание механизма и условий оперативного реагирования на угрозы безопасности и проявление негативных тенденций в функционировании фирмы;
· эффективное пресечение угроз персоналу и посягательств на ресурсы на основе правовых, организационных и инженерно-технических мер и средств обеспечения безопасности;
· создание условий для максимально возможного возмещения и локализации наносимого ущерба неправомерным действиям физических и юридических лиц, ослабление негативного влияния последствий нарушения безопасности на достижение стратегических целей фирмы.
4. Принципы организации и функционирования системы безопасности
Организация и функционирование системы безопасности должны соответствовать следующим принципам:
Комплексность:
· обеспечение безопасности персонала, материальных и финансовых ресурсов от возможных угроз всеми доступными законными средствами, методами и мероприятиями;
· обеспечение безопасности информационных ресурсов в течение всего их жизненного цикла, на всех технологических этапах их обработки (преобразования) и использования, во всех режимах функционирования;
· способность системы к развитию и совершенствованию в соответствии с изменениями условий функционирования фирмы.
Комплексность достигается:
· обеспечением соответствующего режима и охраны фирмы;
· организацией специального делопроизводства с ориентацией на защиту коммерческих секретов и коммерческой тайны;
· мероприятиями по подбору и расстановке кадров;
· широким использованием технических средств безопасности и защиты информации;
· развернутой информационно-аналитической деятельностью.
Комплексность реализуется совокупностью правовых, организационных и инженерно-технических мероприятий.
Своевременность - упреждающий характер мер обеспечения безопасности. Своевременность предполагает постановку задач по комплексной безопасности на ранних стадиях разработки системы безопасности на основе анализа и прогнозирование финансовой обстановки, угроз безопасности фирмы, а также разработку эффективных мер предупреждения посягательств на законные интересы.
Непрерывность - считается, что злоумышленники только и ищут возможность, как бы обойти защитные меры, прибегая для этого к легальным и нелегальным методам.
Активность. Защищать интересы компании необходимо с достаточной степенью настойчивости, широко используя маневр силами и средствами обеспечения безопасности и нестандартные меры защиты.
Законность. Предполагает разработку системы безопасности на основе федерального законодательства в области информатизации и защиты информации, а также других нормативных актов по безопасности, утвержденных органами государственного управления в пределах их компетенции, с применением всех дозволенных методов обнаружения и пресечения правонарушений.
Обоснованность. Используемые возможности и средства защиты должны быть реализованы на современном уровне развития науки и техники, обоснованы с точки зрения заданного уровня безопасности и соответствовать установленным требованиям и нормам.
Экономическая целесообразность и сопоставимость возможного ущерба и затрат на обеспечение безопасности (критерий "эффективность - стоимость"). Во всех случаях стоимость системы безопасности должна быть меньше размера возможного ущерба от любых видов риска.
Специализация. Предполагается привлечение к разработке и внедрению мер и средств защиты специализированных организаций, наиболее подготовленных к конкретному виду деятельности по обеспечению безопасности, имеющих опыт практической работы и государственную лицензию на право оказания услуг в этой области. Эксплуатация технических средств и реализация мер безопасности должны осуществляться профессионально подготовленными специалистами службы безопасности компании, его функциональных и обслуживающих подразделений.
Взаимодействие и координация. Означает осуществление мер обеспечения безопасности на основе четкой взаимосвязи соответствующих подразделений и служб, сторонних специализированных организаций в этой области, координации их усилий для достижения поставленных целей, а также сотрудничества с заинтересованными объединениями и взаимодействия с органами государственного управления и правоохранительными органами.
Совершенствование. Предусматривает совершенствование мер и средств защиты на основе собственного опыта, появления новых технических средств с учетом изменений в методах и средствах разведки и промышленного шпионажа, нормативно-технических требований, достигнутого отечественного и зарубежного опыта.
Централизация управления. Предполагает самостоятельное функционирование системы безопасности по единым правовым, организационным, функциональным и методологическим принципам и централизованным управлением деятельностью системы безопасности.
5. Объекты защиты
К объектам, подлежащим защите от потенциальных угроз и противоправных посягательств, относятся:
· персонал компании (руководящие работники, производственный персонал, имеющий непосредственный доступ к финансам, валюте, ценностям, хранилищам, осведомленные в сведениях, составляющих коммерческую тайну, работники внешнеэкономических служб и другие);
· финансовые средства;
· информационные ресурсы с ограниченным доступом, составляющие служебную и коммерческую тайну, а также иная конфиденциальная информация на бумажной, магнитной, оптической основе, информационные массивы и базы данных, программное обеспечение, информативные физические поля различного характера;
· средства и системы информатизации (автоматизированные системы и вычислительные сети различного уровня и назначения, линии телеграфной, телефонной, факсимильной, радиосвязи, технические средства передачи информации, средства размножения и отображения информации, вспомогательные технические средства и системы);
· материальные средства (здания, сооружения, хранилища, техническое оборудование, транспорт и иные средства);
· технические средства и системы охраны и защиты материальных и информационных ресурсов.
Все объекты, в отношении которых могут быть осуществлены угрозы безопасности или противоправные посягательства, имеют различную потенциальную уязвимость с точки зрения возможного материального или морального ущерба. Исходя из этого они должны быть классифицированы по уровням уязвимости (опасности), степени риска.
Наибольшую уязвимость представляют финансовые и информационные ресурсы и некоторые категории персонала.
6. Основные виды угроз интересам компании
Ухудшение состояния криминогенной обстановки в стране, усиление межрегиональных связей организованных преступных групп, рост их финансовой мощи и технической оснащенности дает основание полагать, что тенденция к осложнению оперативной обстановки вокруг компаний в ближайшее будущее сохранится. Отсюда определение и прогнозирование возможных угроз и осознание их опасности необходимы для обоснования, выбора и реализации защитных мероприятий, адекватных угрозам интересам компании.
В процессе выявления, анализа и прогнозирования потенциальных угроз интересам компании в рамках концепции учитываются объективно существующие внешние и внутренние условия, влияющие на их опасность. Таковыми являются:
· нестабильная политическая, социально-экономическая обстановка и обострение криминогенной ситуации;
· невыполнение законодательных актов, правовой нигилизм, отсутствие ряда законов по жизненно важным вопросам;
· снижение моральной, психологической и производственной ответственности граждан.
На стадии концептуальной проработки вопросов безопасности компании представляется возможным рассмотрение общего состава потенциальных угроз. Конкретные перечни, связанные со спецификой компании, и условий требуют определенной детализации и характерны для этапа разработки конкретного проекта системы безопасности.
В общем плане к угрозам безопасности личности относятся:
· похищения и угрозы похищения сотрудников, членов их семей и близких родственников;
· убийства, сопровождаемые насилием, издевательствами и пытками;
· психологический террор, угрозы, запугивание, шантаж, вымогательство;
· нападение с целью завладения денежными средствами, ценностями и документами.
Преступные посягательства в отношении помещений (в том числе и жилых), зданий и персонала проявляются в виде:
· взрывов;
· обстрелов из огнестрельного оружия;
· минирования, в том числе с применением дистанционного управления;
· поджогов;
· нападения, вторжения, захватов, пикетирования, блокирования;
· повреждения входных дверей, решеток, ограждений, витрин, мебели, а также транспортных средств личных и служебных:
· технологические аварии, пожары.
Цель подобных акций:
· нанесение серьезного морального и материального ущерба;
· срыв на длительное время нормального функционирования;
· вымогательство значительных сумм денег или каких-либо льгот (кредиты, отсрочка или погашение платежей и т.п.) перед лицом террористической угрозы.
Угрозы финансовым ресурсам проявляются в виде:
· мошенничества со счетами клиентов;
· незаконные подключения;
· подложных платежных документов и пластиковых карт;
· хищения финансовых средств из касс.
Угрозы информационным ресурсам проявляются в виде:
· разглашения конфиденциальной информации;
· утечки конфиденциальной информации через технические средства обеспечения производственной деятельности различного характера и исполнения;
· несанкционированного доступа к охраняемым сведениям со стороны конкурентных организаций и преступных формирований.
Осуществление угроз информационным ресурсам может быть произведено:
· путем неофициального доступа и съема конфиденциальной информации;
· путем подкупа лиц, работающих в компании или структурах, непосредственно связанных с ее деятельностью;
· путем перехвата информации, циркулирующей в средствах и системах связи и вычислительной техники с помощью технических средств разведки и съема информации, несанкционированного доступа к информации и преднамеренных программно-математических воздействий на нее в процессе обработки и хранения;
· путем подслушивания конфиденциальных переговоров, ведущихся в служебных помещениях, служебном и личном автотранспорте, на квартирах и дачах;
· через переговорные процессы между иностранными или отечественными фирмами, используя неосторожное обращение с информацией;
· через отдельных сотрудников компании, стремящихся заполучить больший, чем их зарплата, доход или имеющих иную корыстную либо личную заинтересованность.
7. Техническое обеспечение безопасности фирмы
Техническое обеспечение безопасности должно базироваться:
1. на системе стандартизации и унификации;
2. на системе лицензирования деятельности;
3. на системах сертификации средств защиты;
4. на системе сертификации ТС и ПС объектов информатизации;
5. на системе аттестации защищенных объектов информатизацией.
7.1. Система физической защиты (безопасности) материальных объектов и финансовых ресурсов должна предусматривать:
7.1.1. Систему инженерно-технических и организационных мер охраны. Система охранных мер должна предусматривать:
· многорубежность построения охраны (территории, здания, помещения) по нарастающей к наиболее ценной оберегаемой конкретности;
· комплексное применение современных технических средств охраны, обнаружения, наблюдения, сбора и обработки информации, обеспечивающих достоверное отображение и объективное документирование событий;
· надежную инженерно-техническую защиту вероятных путей несанкционированного вторжения в охраняемые пределы;
· устойчивую (дублированную) систему связи и управления всех взаимодействующих в охране структур;
· высокую подготовку и готовность основных и резервных сил охраны к оперативному противодействию нарушителя;
· самоохрану персонала.
7.1.2. Систему регулирования доступа. Система регулирования доступа должна предусматривать:
· объективное определение "надежности" лиц, допускаемых к критичной информации;
· максимальное ограничение количества лиц, допускаемых на объекты компании;
· установление для каждого работника (или посетителя) дифференцированного по времени, месту и виду деятельности права доступа на объект;
· оборудование контрольного пункта техническими средствами, обеспечивающими достоверный контроль проходящих, объективную регистрацию прохода и предотвращение несанкционированного (в том числе силового) проникновения посторонних лиц.
7.1.3. Систему мер (режима) сохранности и контроль вероятных каналов утечки информации. Система мер (режим) сохранности ценностей и контроля должна предусматривать:
· максимальное ограничение посещений режимных зон лицами, не участвующими в работе;
· организацию и осуществление присутственного (явочного) и дистанционного - по техническим каналам (скрытого) контроля за соблюдением режима безопасности;
· организацию тщательного контроля любых предметов и веществ, перемещаемых за пределы режимных зон;
· обеспечение защищенного хранения документов, финансовых средств и ценных бумаг;
· соблюдение персональной и коллективной материальной и финансовой ответственности в процессе открытого обращения финансовых ресурсов и материальных ценностей;
· организацию тщательного контроля на каналах возможной утечки информации;
· оперативное выявление причин тревожных ситуаций и пресечение их развития или ликвидацию во взаимодействии с силами охраны.
7.1.4 Систему мер возврата материальных ценностей (или компенсации). Система мер возврата утраченных материальных и финансовых ресурсов слагается из совместных усилий служб и государственных органов охраны правопорядка и безопасности.
7.2. Основными составляющими обеспечения безопасности ресурсов компании являются:
7.2.1. Система физической защиты (безопасности) материальных объектов и финансовых ресурсов.
Условие надежности хранения реализуется с помощью:
1. хранилищ конфиденциальных документов, оборудованных техническими средствами охраны в соответствии с установленными требованиями, доступ в которые ограничен и осуществляется в установленном порядке;
2. выделения помещений, в которых разрешается работа с конфиденциальной документацией, оборудованных сейфами и металлическими шкафами, а также ограничения доступа в эти помещения;
3. использования криптографического преобразования информации в автоматизированных системах.
7.2.2 Система безопасности информационных ресурсов. Система обеспечения безопасности информационных ресурсов должна предусматривать комплекс организационных, технических, программных и криптографических средств и мер по защите информации в процессе традиционного документооборота при работе исполнителей с конфиденциальными документами и сведениями, при обработке информации в автоматизированных системах различного уровня и назначения, при передаче по каналам связи, при ведении конфиденциальных переговоров.
При этом основными направлениями реализации технической политики обеспечения информационной безопасности в этих сферах деятельности являются:
1. защита информационных ресурсов от хищения, утраты, уничтожения, разглашения, утечки, искажения и подделки за счет несанкционированного доступа (НСД) и специальных воздействий;
2. защита информации от утечки вследствие наличия физических полей за счет акустических и побочных электромагнитных излучений и наводок (ПЭМИН) на электрические цели, трубопроводы и конструкции зданий.
В рамках указанных направлений технической политики обеспечения информационной безопасности необходима реализация разрешительной системы допуска исполнителей (пользователей) к работам, документам и информации конфиденциального характера.
Требование обоснованности доступа реализуется в рамках разрешительной системы допуска к работам, документам и сведениям, в которой устанавливается: кто, кому, в соответствии с какими полномочиями, какие документы и сведения (носители информации, информационные массивы) для каких действий или для какого вида доступа может предоставить и при каких условиях, и которая предполагает определение для всех пользователей автоматизированных систем информационных и программных ресурсов, доступных им для конкретных операций (чтение, запись, модификация, удаление, выполнение) с помощью заданных программно-технических средств доступа.
Положение о персональной ответственности реализуется с помощью:
· росписи исполнителей в журналах, карточках учета, других разрешительных документах, а также на самих документах;
· индивидуальной идентификации пользователей и инициированных ими процессов в автоматизированных системах;
· проверки подлинности (аутентификации) исполнителей (пользователей) на основе использования паролей, ключей, магнитных карт, цифровой подписи, а также биометрических характеристик личности как при доступе в автоматизированные системы, так и в выделенные помещения (зоны).
Правило разграничения информации по уровню конфиденциальной реализуется с помощью предварительно учтенных тетрадей для ведения конфиденциальных записей или носителей информации, предназначенных для информации определенного уровня секретности.
· ограничение доступа исполнителей и посторонних лиц в здания, помещения, где проводятся работы конфиденциального характера, в том числе на объекты информатики, на которых обрабатывается (хранится) информация конфиденциального характера;
· разграничение доступа пользователей к данным автоматизированных систем различного уровня и назначения;
· учет документов, информационных массивов, регистрация действий пользователей информационных систем, контроль за несанкционированным доступом и действиями пользователей;
· криптографическое преобразование информации, обрабатываемой и передаваемой средствами вычислительной техники и связи;
· снижение уровня и информативности ПЭМИН, создаваемых различными элементами технических средств обеспечения производственной деятельности и автоматизированных информационных систем;
· снижение уровня акустических излучений;
· электрическая развязка цепей питания, заземления и других цепей технических средств, выходящих за пределы контролируемой территории;
· активное зашумление в различных диапазонах;
· противодействие оптическим и лазерным средствам наблюдения;
· проверка технических средств и объектов информатизации на предмет выявления включенных в них закладных устройств;
· предотвращение внедрения в автоматизированные информационные системы программ вирусного характера.
7.2.2.1. Защита информационных ресурсов от несанкционированного доступа должна предусматривать:
1. обоснованность доступа, когда исполнитель (пользователь) должен иметь соответствующую форму допуска для ознакомления с документацией (информацией) определенного уровня конфиденциальности и ему необходимо ознакомление с данной информацией или необходимы действия с ней для выполнения производственных функций;
2. персональную ответственность, заключающуюся в том, что исполнитель (пользователь) должен нести ответственность за сохранность доверенных ему документов (носителей информации, информационных массивов), за свои действия в информационных системах;
3. надежность хранения, когда документы (носители информации, информационные массивы) хранятся в условиях, исключающих несанкционированное ознакомление с ними, их уничтожение, подделку или искажение;
4. разграничение информации по уровню конфиденциальности, заключающееся в предупреждении показания сведений более высокого уровня конфиденциальности в документах (носителях информации, информационных массивах) с более низким уровнем конфиденциальности, а также предупреждение передачи конфиденциальной информации по незащищенным линиям связи;
5. контроль за действиями исполнителей (пользователей) с документацией и сведениями, а также в автоматизированных системах и системах связи;
Система контроля за действиями исполнителей реализуется с помощью:
1. организационных мер контроля при работе исполнителей с конфиденциальными документами и сведениями;
2. регистрации (протоколирования) действий пользователей с информационными и программными ресурсами автоматизированных систем с указанием даты и времени, идентификаторов запрашивающего и запрашиваемых ресурсов, вида взаимодействия и его результата, включая запрещенные попытки доступа;
3. сигнализации о несанкционированных действиях пользователей.
4. очистку (обнуление, исключение информативности) оперативной памяти, буферов при освобождении пользователем до перераспределения этих ресурсов между другими пользователями;
5. целостность технической и программной среды, обрабатываемой информации и средств защиты, заключающаяся в физической сохранности средств информатизации, неизменности программной среды, определяемой предусмотренной технологией обработки информации, выполнении средствами защиты предусмотренных функций, изолированности средств защиты от пользователей.
Очистка памяти осуществляется организационными и программными мерами, а целостность автоматизированных систем обеспечивается комплексом программно- технических средств и организационных мероприятий.
Защита информации в линиях связи.
К основным видам линий связи, используемых для передачи информации, можно отнести проводные (телефонные, телеграфные), радио и радиорелейные линии связи.
При необходимости передачи по ним конфиденциальной информации основным направлением защиты информации, передаваемой по всем видам линий связи, от перехвата, искажения и навязывания ложной информации является использование крипто-логического преобразования информации, а на небольших расстояниях, кроме того, использование защищенных волоконно-оптических линий связи.
Для защиты информации должны использоваться средства криптографической защиты данных гарантированной стойкости для определенного уровня конфиденциальности передаваемой информации и соответствующая ключевая система, обеспечивающая надежный обмен информацией и аутентификацию (подтверждение подлинности) сообщений.
Безопасное использование технических средств информатизации.
Одним из методов технической разведки и промышленного шпионажа является внедрение в конструкцию технических средств информатизации закладных устройств перехвата, трансляции информации или вывода технических средств из строя.
В целях противодействия такому методу воздействия на объекты информатики, для технических средств информатизации, предназначенных для обработки конфиденциальной информации, в обязательном порядке проводится проверка этих средств, осуществляемая специализированными организациями с помощью специальных установок и оборудования, как правило, в стационарных условиях в соответствии с установленными требованиями.
Защита речевой информации при проведении конфиденциальных переговоров.
Исходя из возможности перехвата речевой информации при проведении разговоров конфиденциального характера с помощью внедрения закладных устройств, акустических, виброакустических и лазерных технических средств разведки, противодействие этим угрозам должно осуществляться всеми доступными средствами и методами.
В связи с интенсивным внедрением в деятельность автоматизированных систем организационно-финансового управления, технического и другого назначения, используемых для обработки конфиденциальной информации, для учета финансовых средств, локальных, региональных и глобальных вычислительных сетей и интеграции в них значительных по объему и важных по содержанию информационных ресурсов, проблеме безопасности информации, обрабатываемой и передаваемой средствами и системами вычислительной техники и связи, следует уделить особое внимание.
Обеспечение качества в системе безопасности.
Необходимой составляющей системы безопасности должно быть обеспечение качества работ и используемых средств и мер защиты, нормативной базой которого является система стандартов и других руководящих нормативно- технических и методических документов по безопасности, утвержденных федеральными органами государственного управления в соответствии с их компетенцией и определяющие нормы защищенности информации и требования в различных направлениях защиты информации.
8. Управление системой безопасности
Действующие в настоящее время и разрабатываемые законодательные и иные нормативные акты предусматривают право компании на выработку собственной концепции системы безопасности и создания соответствующей службы как системы исполнительных органов, реализующей эту концепцию.
Исходя из представленных в концепции задач, принципов организации и функционирования системы безопасности, основных угроз безопасности компании, целесообразно выделить следующие основные направления деятельности по обеспечению его безопасности:
1. информационно-аналитических исследований и прогнозных оценок безопасности, в том числе экономической;
2. безопасности персонала;
3. сохранности и физической защиты финансовых средств и объектов;
4. безопасности информационных ресурсов.
8.1. Основными задачами направления информационно-аналитических исследований и прогнозных оценок безопасности являются:
1. организация работ по выявлению конфиденциальной информации, обоснованию уровня ее конфиденциальности и документальному оформлению в виде перечней сведений, подлежащих защите;
2. учет официальных претензий правоохранительных и контролирующих органов к возможным партнерам на телекомуникационном рынке, фирмам и т.п.;
3. выявление и прогнозирование уязвимых мест в денежно-финансовой деятельности, реальных и потенциальных угроз безопасности, разработка и осуществление комплекса оперативных и долговременных мер по их предупреждению и нейтрализации;
4. анализ и прогнозирование негативных тенденций социально-экономического развития с точки зрения влияния на ее безопасность;
5. информационное обеспечение руководства в области безопасности;
6. координация деятельности подразделений службы безопасности и обеспечения взаимодействия со всеми структурными подразделениями компании в решении проблемы безопасности.
8.2. Главной заботой о безопасности персонала является охрана личности от любых противоправных посягательств на его жизнь, материальные ценности и личную информацию.
8.3. Основными задачами направления сохранности и физической защиты продукции и объектов являются:
1. установление режима охраны производственных объектов и объектов жизнедеятельности;
2. осуществление допускного и пропускного режимов;
3. обеспечение защищенного хранения ценностей и документов (носителей информации), оснащение современными инженерно-техническими средствами охраны;
4. организация физической защиты продукции в процессе ее внутриобъектовой транспортировки;
5. осуществление контроля за сохранностью продукции на всех стадиях технологического процесса;
6. организация личной безопасности определенной категории руководящего состава и ведущих специалистов из так называемой группы повышенного риска;
7. обеспечение взаимодействия всех структур, участвующих в обеспечении физической защиты.
8.4. Основными задачами направления безопасности информационных ресурсов являются:
1. организация и осуществление разрешительной системы допуска исполнителей к работе с документами и сведениями ограниченного доступа;
2. организация хранения и обращения с конфиденциальными документами (носителями информации);
3. осуществление закрытой переписки и шифрованной связи;
4. организация и координация работ по защите информации, обрабатываемой и передаваемой средствами и системами вычислительной техники и связи;
5. обеспечение безопасности в процессе проведения конфиденциальных совещаний, переговоров;
6. осуществление контроля за сохранностью конфиденциальных документов (носителей информации), за обеспечением защиты информации, обрабатываемой и передаваемой средствами и системами вычислительной техники и связи.
8.5. Основными задачами в работе с персоналом компании являются:
1. Набор персонала: создание резерва потенциальных кандидатов по всем должностям. Набор персонала, как правило, проводится из внутренних (перемещение и продвижение по службе своих сотрудников) и внешних (найм по объявлениям и по личным рекомендациям) источников. Основным требованием при этом должны стать объективная оценка не только поступающего на работу сотрудника, но и предлагаемой ему работы.
2. Отбор кандидатов. К основным группам качеств для сравнения кандидатов относятся: профессиональные, образовательные, организационные и личные. Основным требованием при отборе является тщательное изучение деловых, моральных и этических данных каждого кандидата путем глубокого изучения трудового прошлого кандидата. В процессе анализа сведений о кандидате следует пользоваться услугами органов внутренних дел, оказываемых ими в соответствии с приказом МВД РФ за № 319 от 1994 г. В соответствии с этим приказом органы внутренних дел должны оказывать платные услуги о наличии (отсутствии) судимости кандидата и сведения о лицах, находящихся в розыске [Главный информационный центр МВД].
Заключение контракта и получение у сотрудника добровольного согласия на соблюдение требований, регламентирующих режим безопасности и сохранения коммерческой и банковской тайн.
1. Обучение кандидатов перед допуском к работе предусматривает введение в должность, обучение установленным правилом выполнения порученного дела, обеспечения безопасности и защиты информации.
2. Текущий контроль (мониторинг) за деятельностью сотрудника по повышению его бдительности в отношении угроз безопасности компании.
3. Своевременное выявление и устранение конфликтных ситуаций в работе с персоналом.
Автор статьи: Юревич М., старший менеджер по безопасности ОАО "Санкт-Петербург Телеком"
<<назад к списку статей |
