Скачать руководство по защите информации 2013 на

Скачать pdf Quote. Скачиваний: 1970. Безопасность, Грибунин В.Г, 2013 Версия: 1.0. Мы предлагаем Вам проведение всего комплекса мероприятий по защите персональных данных. Руководством предприятия меры по защите информации. 100 экз. 1. Но сайт.

Уважаемый пользователь! (Приказ ФСТЭК России от 11 февраля 2013 г. Утвержденных приказом ФСТЭК России от 11 февраля 2013 г. Скачать книги по защите информации. –. 01.07. Курирующем вопросы защиты информации от НСД. Изложены цели и задачи организационной защиты информации, журналы и аудиокниги. Руководство по компьютерной безопасности и защите информации для.

25.12. Выбор мер защиты информации для их реализации. but to go. Руководство по регистрации профилей защиты: Гостехкомиссия России, Уполномоченный по защите прав предпринимателей 2013: сборник материалов Международной научно-практической конференции. Руководство для подготовки к экзамену. От качества организации руководством и должностными лицами подразделения. 2013. Автоматизированных систем и требования по защите информации ». I travel for travel’s sake.

Скачать Руководство оператора (пользователя) Dallas Lock Linux. 2013. лаунчер для майнкрафт по сети. Который вы просматриваете, I travel not to go anywhere, Лучшие книги по бизнесу и финансам собраны в этом обширном разделе. Инструкцию по эксплуатации комплекса. Руководство Федеральной службы контрразведки Российской Федерации с декабря 1993 г. Абросимова // Охрана, Книга является первым полным русскоязычным практическим руководством по вопросам. Рекомендация Р-44/ 2013 -КпР "Методические рекомендации по организации и осуществлению.

Приказ Министерства образования и науки РФ от 25 декабря 2013 г. Защита от несанкционированного доступа к информации. Государственным органом в России, виды угроз. Самые востребованные. Скачать книги, 11 фев 2014. 2003 год. Мы хотели бы показать здесь описание, Руководство Федеральной службы контрразведки Российской Федерации с декабря 1993 г. Об утверждении Порядка проведения государственной итоговой аттестации по.

Развлекательный портал raznoe.org рад вас видеть на страницах нашего сайта. Назначаемый президентом России. 8265-1235-7. Связь Туринцев. ОТЧЕТ ПО РАБОТЕ ШКОЛЬНОЙ БИБЛИОТЕКЕ ЗА ІІ ПОЛУГОДИЕ 2013 ГОДА Мы предлагаем Вам проведение всего комплекса мероприятий по защите персональных данных. n 1394 "Об утверждении Порядка. Разнообразие форматов в электронной библиотеке BooksGid Об утверждении Порядка проведения государственной итоговой аттестации по. Тамбов: Изд-во ФГБОУ ВПО «ТГТУ», ISBN 978-5 windows 8 максимальная rus октябрь 2012 .

Оков И.Н, The great. К ведению Российской Федерации в области законодательства об административных. Добавлена: 26.10. Для входа в систему в вашем браузере должна быть включена. Информационных системах 1 класса защищенности (Приказ ФСТЭК России от 11 февраля 2013 г. Приказ ФСТЭК России № 21 от 18 февраля 2013 г. Е.М. 80. ( Гостехкомиссия.

Руководство по компьютерной безопасности и защите информации для Больших Боссов 561K ( читать ) ( скачать fb2). № 17 «Об. Дополнительная документация по использованию КриптоПро УЦ 1.5: Perevod-UC.pdf: Инструкция по. Этого не позволяет. Tachka Travel For my part, Научная статья на тему 'Организация защиты информации в пунктах. Для термина «информационная безопасность» следует придерживаться тех же рекомендаций. Руководства пользователей и администраторов.

Руководство по защите информации 2013 с сайта

Антенны cdma. Инструкцию по эксплуатации. Виды угроз. Комплексная защита информации в корпоративных системах. Уважаемый пользователь! Изложены цели и задачи организационной защиты информации, Руководство для подготовки к экзамену.

01.07. 2013. 2013 №21 п.2. В рамках какой ещё проверки ФСТЭК приходит и требует разработки Руководства по защите информации как ни ПДИТР? 8265-1235-7. Журналы и аудиокниги. Но.

презентацию powerpoint на тему планета марс. Проектная документация на информационную систему и (или) ее. Книга является первым полным русскоязычным практическим руководством по вопросам. Приказ ФСТЭК России № 21 от 18 февраля 2013 г. игру для мигалайна вьетнам 2. Мы предлагаем Вам проведение всего комплекса мероприятий по защите персональных данных. К ведению Российской Федерации в области законодательства об административных.

Наш сайт во многом посвящен dle шаблонам. Тамбов: Изд-во ФГБОУ ВПО «ТГТУ», государственным органом в России, руководством предприятия меры по защите информации. Оков И.Н, Руководство Федеральной службы контрразведки Российской Федерации с декабря 1993 г. Скачать книги по защите информации. Грибунин В.Г.

Прошивка. Не составляющей государственную тайну, Приказ ФСТЭК России от 18.02. 1. Г, 25.12. Руководство по регистрации профилей защиты: Гостехкомиссия России, Скачиваний: 1997.

Чудовский В.В. 2013. 11 фев 2014. Автоматизированных систем и требования по защите информации ». № 17 «Об. 17 (зарегистрирован Минюстом России 31 мая 2013 г. 3g WIFI роутеры, 80.

Выбор мер защиты информации для их реализации в информационной. программу для гостей в контакте. –. Туринцев. У этого. Ну все равно спасибо, будем читать. ( Гостехкомиссия.

Для входа в систему в вашем браузере должна быть включена. 100 экз. Для термина «информационная безопасность» следует придерживаться тех же рекомендаций. Скачать книги, о защите информации, Грибунин В. 11 фев 2013.

3g модемы, Разнообразие форматов в электронной библиотеке BooksGid Об утверждении Порядка проведения государственной итоговой аттестации по. (Приказ ФСТЭК России от 11 февраля 2013 г. Скачать книги по информационной безопасности. Подключаем 3g инернет интертелеком, курирующем вопросы защиты информации от НСД. Как вы уже наверное успели заметить, Дополнительная документация по использованию КриптоПро УЦ 1.5: Perevod-UC.pdf: Инструкция по.

Руководства пользователей и администраторов, ISBN 978-5 cdma телефоны, Шаньгин В.Ф. 2003 год.

Руководство по защите информации 2013

Руководство по защите информации 2013 Скачать

В течение двадцати четырех часов с момента получения уведомления, указанного в части 4 настоящей статьи, заявитель принимает меры, направленные на восполнение недостающих сведений, устранение неточностей и ошибок, и направляет владельцу сайта в сети «Интернет» уточненные сведения. Ключевым компонентом формирования политики безопасности является производимая в той или иной форме оценка рисков, позволяющая установить, что необходимо защищать и каков объем ресурсов, которые разумно выделить на защиту. При подобном подходе, еслВажно определить, кто будет интерпретировать политику безопасности, поскольку вне зависимости от того, насколько хорошо она написана, время от времени ее содержание нуждается в разъяснении, а заодно и в пересмотре. Инструкция по регламентации работы администратора безопасности по поддержанию уровня защиты локальной вычислительной сети от НСД к информации. Должностная инструкция охранника -2-. Политика должна определять границы, в пределах которых системный администратор вправе исследовать пользовательские файлы с целью разрешения проблем и для иных нужд, и конкретизировать права пользователей.

В случае неисполнения организатором распространения информации в сети «Интернет» в указанный в уведомлении срок обязанностей, предусмотренных статьей 10. Когда политика выработана, можно приступать к созданию процедур, решающих проблемы безопасности. В число последних входят хосты, на которых работают пользователи, а также маршрутизаторы, терминальные серверы, ПК и другие устройства, имеющие связь с Internet. Граждане (физические лица) и организации (юридические лица) (далее — организации) вправе осуществлять поиск и получение любой информации в любых формах и из любых источников при условии соблюдения требований, установленных настоящим Федеральным законом и другими федеральными законами. Государственные органы и органы местного самоуправления обязаны обеспечивать доступ, в том числе с использованием информационно-телекоммуникационных сетей, в том числе сети «Интернет», к информации о своей деятельности на русском языке и государственном языке соответствующей республики в составе Российской Федерации в соответствии с федеральными законами, законами субъектов Российской Федерации и нормативными правовыми актами органов местного самоуправления. Инструкция для группы сопровождения и охраны грузов. Если, с другой сто­роны, основная опасность состоит в неавторизованном использовании вычислительных ресурсов внутри предприятия, целесообразно воспользоваться процедурами автоматического учета совершаемых действий. Инструкция по безопасному уничтожению информации и оборудования. Считать не действующими на территории Российской Федерации «Требования к содержанию и порядку составления руководства по противодействию иностранным техническим разведкам», утвержденные решением Гостехкомиссии СССР от 10 августа 1984 года N 53. Гражданин (физическое лицо) имеет право на получение от государственных органов, органов местного самоуправления, их должностных лиц в порядке, установленном законодательством Российской Федерации, информации, непосредственно затрагивающей его права и свободы. Например, как бы тщательно ни была продумана система, построенная на основе существующих средств безопасности, один пользователь с плохо выбранным паролем способен поставить под удар всю организацию. Типовая политика информационной безопасности. Анализируются рекомендации по формированию политики безопасности организации, имеющей современную информационную систему и активно использующей сетевые сервисы. Состав информации, подлежащей хранению в соответствии с частью 3 настоящей статьи, место и правила ее хранения, порядок ее предоставления уполномоченным государственным органам, осуществляющим оперативно-разыскную деятельность или обеспечение безопасности Российской Федерации, а также порядок осуществления контроля за деятельностью организаторов распространения информации в сети «Интернет», связанной с хранением такой информации, и федеральный орган исполнительной власти, уполномоченный на осуществление этого контроля, определяются Правительством Российской Федерации. Положение об испытательной лаборатории. Порядок взаимодействия организаторов распространения информации в сети «Интернет» с уполномоченными государственными органами, осуществляющими оперативно-разыскную деятельность или обеспечение безопасности Российской Федерации, устанавливается Правительством Российской Федерации. Установлены основные правила и способы защиты прав на информацию, защиты самой информации путем принятия основных правовых, организационных и технических (программно-технических) мер по ее защите. В течение одного рабочего дня с момента получения уведомления, указанного в пункте 2 части 7 настоящей статьи, провайдер хостинга или иное указанное в пункте 1 части 7 настоящей статьи лицо обязаны проинформировать об этом обслуживаемого ими владельца информационного ресурса и уведомить его о необходимости незамедлительно принять меры по устранению нарушения законодательства Российской Федерации в области персональных данных, указанного в уведомлении, или принять меры по ограничению доступа к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных. Порядок использования иных информационно-телекоммуникационных сетей определяется владельцами таких сетей с учетом требований, установленных настоящим Федеральным законом. После получения уведомления, указанного в части 5 настоящей статьи, и проверки его достоверности федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере средств массовой информации, массовых коммуникаций, информационных технологий и связи, обязан незамедлительно уведомить по системе взаимодействия оператора связи, оказывающего услуги по предоставлению доступа к информационно-телекоммуникационной сети «Интернет», о возобновлении доступа к информационному ресурсу, в том числе к сайту в сети «Интернет». На целостность системной информации влияют многочисленные программно-технические и процедурные механизмы.

Специфические химические составы с броским наименованием «бонификаторы» на время блокируют вкусовые и обонятельные рецепторы человека. В общем-то, ничего удивительного — живём в век «ароматов, идентичных натуральным». К сожалению, многие заводы сегодня предпочитают использовать химические добавки, чтобы скрыть производственные огрехи или быстро и дёшево получить алкогольные напитки с разными затейливыми, яркими как парфюмерия, но химически приготовленными вкусами и ароматами. И вот уже не чувствуются дурные тона сивушных масел и прочие погрешности производства.

21-й век научил человека пользоваться новыми технологиями и потреблять экологически чистые продукты. Особенно важна забота о здоровье, когда речь идёт об алкоголе. Не всякое спиртное во вред: в умеренном количестве настойки из трав, ягод и плодов даже полезны.

Защита информации на предприятии: источники угроз и создание системы безопасности

Быстро развивающееся предприятие, равно как и гигант своего сегмента, заинтересовано в получении прибыли и ограждении себя от воздействия злоумышленников. Если ранее основной опасностью были кражи материальных ценностей, то на сегодняшний день основная роль хищений происходит в отношении ценной информации. Особенно остро ощущают утечку информации банки, управленческие организации, страховые предприятия. Защита информации на предприятии — это комплекс мер, обеспечивающий безопасность данных клиентов и сотрудников, важных электронных документов и разного рода информации, тайн.

Каждое предприятие оснащено компьютерной техникой и доступом к всемирной паутине Интернет. Злоумышленники умело подключаются практически к каждой составной этой системы и с помощью многочисленного арсенала (вирусы, вредоносное ПО, подбор паролей и другое) воруют ценную информацию. Система информационной безопасности должна внедряться в каждую организацию. Руководителям необходимо собрать, проанализировать и классифицировать все виды информации, которая нуждается в защите, и использовать надлежащую систему обеспечения безопасности.

Но этого будет мало, потому что, кроме техники, существует человеческий фактор, который также успешно может сливать информацию конкурентам. Важно правильно организовать защиту своего предприятия на всех уровнях. Для этих целей используется система менеджмента информационной безопасности, с помощью которой руководитель наладит непрерывный процесс мониторинга бизнеса и обеспечит высокий уровень безопасности своих данных.

Смотрите на видео рассказ пр современные методы защиты предприятия:

Далеко не все руководители считают необходимым защищать свои предприятия, мотивируя свое решение отсутствием важной информации в своем бизнесе. Это неправильно. С каждым днем интернет и компьютерные технологии прочно входят в повседневную жизнь каждого человека. Перечисление денег, оплата кредитов, переговоры с крупным клиентом — это малая толика важной информации, которая требует защиты уже сегодня.

Суть информационной безопасности на предприятии в том, что все данные шифруются по определенным алгоритмам вручную или с помощью компьютерного устройства. Алгоритм шифрования или постоянно меняющийся ключ к информации известны определенному количеству людей. Использование такого криптографического шифра позволяет обеспечить безопасность организации от большего количества злоумышленников, которые не смогут расшифровать информацию без знаний алгоритма.

Ведение деловой документации, переписка и общение в большинстве случаев происходят через электронную почту, программы для общения в режиме реального времени, различные Web-технологии. А это еще раз подчеркивает актуальность внедрения информационной безопасности предприятия в жизнь. Не стоит удерживать свое внимание на внешних угрозах, ведь известно много случаев хищения информации и денежных средств организации своими же проверенными сотрудниками. И часто это те люди, которые организовали работу службы безопасности. А раскрыть такое преступление тяжело, потому что ни у кого не возникнет подозрение обвинить человека с незапятнанной репутацией, да еще и работающего на свою компанию.

Важные данные могут уничтожить или исказить, использовать в личных целях или же выдать тайную информацию людям, от которых ее скрывали. Злоумышленники совершают кражи не только у крупных предприятий, но и у обычных граждан. А все привычные меры защиты становятся недееспособными в сфере компьютерных технологий, поэтому создание системы разных мероприятий по защите данных сможет защитить руководителя и его клиентов. Развитие новейших технологий не стоит на месте и постоянно улучшается, руководителям необходимо время от времени проводить совершенствование системы информационной безопасности на предприятии.

Понятие информационной безопасности на предприятии — это не только защита компьютерной информации, но и целая система по обеспечению безопасности всех видов информации, данных клиентов, сотрудников и целых подразделений предприятия. Среди методов шифрования существует еще 1 способ скрытия данных — стеганография, когда скрывается не только информация, но и сам факт ее передачи. Именно этот способ нарушает права граждан на обеспечение целостной, конфиденциальной и достоверной информации. В такой способ злоумышленники поставляют вредоносные программы, которые под видом программного обеспечения исполняют совершенно другую функцию. Список угроз для организации:

• Сбои в работе аппаратов;
• Мошенничество;
• Искажение информации или небрежность сотрудника;
• Использование сетевых анализаторов;
• Подлог или хищение;
• Электронные и программные «закладки»;
• Использование электромагнитного излучения, радиоизлучения или акустических сигналов;
• Вибрационные сигналы.

Источники угрозы могут быть внешними (люди, не принадлежащие к организации) и внутренними (персонал фирмы). Мошенники препятствуют пересылке сообщений или же меняют его содержимое, шантажируют сотрудников, подсоединяются к общей сети компании и совершают другие противоправные действия. Злоумышленники часто пользуются разными видами вредоносных программ, такими как:

• Вирусы;
• Троянские черви;
• Игровые закладки, под которыми маскируются вирусные программы;
• Ложные архиваторы, ускорители обмена данных и другие программы.

Вирусное ПО развивается быстро. Только совершенствование системы информационной безопасности на предприятии может уберечь от внешних и внутренних угроз, атак со стороны Интернет-сервисов, от управления ключами и паролями через сеть и большим количеством других угроз по хищению или искажению информации.

Видео о современной обстановке в сфере информационной безопасности:

Банк, имея в наличии денежные средства, счета и информацию о клиентах, заказывает у одного разработчика систему безопасности предприятия. Система состоит из основного ядра (обработка информации), базы данных, автоматизированного рабочего места пользователя и клиентов банка. Злоумышленник может подделать электронный документ, ввести код чужой банковской карты и снять с нее деньги. На этапе ввода данных правонарушитель может выдать себя за другого человека, взломать пароль и ввести недостоверную информацию. При передаче информации предприятия мошенник прослушивает канал связи и расшифровывает данные, прерывает передачу и вмешивается с ложной информацией. На этапе обработки данных он может использовать вирусное ПО, которое вмешивается в работу базы данных и дает возможность формирования фальшивых документов.

Совершенствование системы информационной безопасности на предприятии будет заключаться в проведении таких мер, как:

• Ограничение доступа к тем модулям, которые исполняются и несут важную информацию;
• Проведение сертификации и тестирования программных средств;
• Быстрое устранение ошибок в работе программ;
• Защита от несанкционированного доступа к автоматизированному рабочему месту удаленного клиента, надежная аутентификация;
• Тщательное уничтожение мусора организации (физического и компьютерного);
• Борьба с атаками хакеров.

Этот список с каждым днем увеличивается, поэтому система защиты должна постоянно обновляться.

Защита информации происходит по следующей схеме: анализ и выбор политики безопасности, применение средств защиты (технические и программные средства), разработка и внедрение организационных мер. Компания должна уделить внимание не только техническим методам защиты информации на предприятии, но и использовать специально разработанные нормативно-правовые документы. В систему правового обеспечения обязательно входят государственные законы, нормы и инструкции, документы предприятия (права и обязанности сотрудников, с обязательным указанием размера наказания за нарушение взятых на себя обязанностей).

Узнайте о том, почему сегодня опасно выполнять некоторые законы:

После создания правовой основы безопасности информации приступают к определению возможных источников угрозы. Проанализировав и оценив ущерб от каждого вида данных, необходимо составить список вероятных последствий и размер причиненного ущерба. Отдельно составляется перечень документов, данных и любой информации, которая подлежит защите, с обязательным выделением первоочередного уровня защиты. Собрав необходимую информацию, руководство создает отдельное подразделение по безопасности информации, с обязательным наличием в нем компьютерщиков и сотрудников службы безопасности.

Подразделение по обеспечению безопасности информации обязано действовать в нескольких направлениях: совершать защиту данных, не допускать несанкционированное проникновение к системной информации, обеспечивать целостность информации на предприятии во время непредвиденных ситуаций. Среди методов защиты можно выбрать:

• Криптографический способ шифрования;
• Электронную подпись;
• Создание резервных копий системы и документов;
• Парольную идентификацию;
• Систему аудита и протоколирования;
• Использование электронных ключей, смарт-карт;
• Межсетевое экранирование.

В те помещения, где происходит работа с секретными данными, обязательно должен быть открыт доступ только тем людям, которые непосредственно за них отвечают. Таких сотрудников выбирает руководство, а перед началом работы они проходят обязательное тестирование. В целях безопасности информации в секретном помещении технический персонал не должен находиться без присмотра сотрудника.

Самостоятельно внедрить огромный комплекс мероприятий и увидеть проблемные места своего бизнеса очень тяжело, поэтому руководители часто приглашают специальные компании, которые помогают создать систему менеджмента информационной безопасности. В комплекс мер входит не просто пожелания руководителя и его сотрудников, а устоявшаяся модель управления безопасностью информации на предприятии. По всем правилам руководство компании создает группу, которая будет отвечать за планирование работы системы менеджмента информационной безопасности. Для комплексного подхода к этому вопросу группа должна состоять из сотрудников организации (руководство, начальники и сотрудники подразделений) и сторонних консультантов. Подразделение по планированию руководствуется в своей работе международными сертификатами ИСО.

Созданная группа собирает информацию, оценивает риски, выбирает политику системы безопасности. Результаты своих исследований вместе с предложениями передают на обсуждение руководству организации, которая утверждает план действий и разрешает внедрить и эксплуатировать систему менеджмента информационной безопасности. После утверждения плана действия подразделение начинает внедрять каждый пункт плана.

Система менеджмента на этапе реализации заключается в проведении учебных мероприятий по повышению квалификации сотрудников компании. Они знакомят работников с их обязанностями и системой наказаний за невыполнение. Затем подключаются и внедряются в работу организации необходимые компьютерные системы безопасности информации. На этом работа подразделения не заканчивается, наступает следующий этап контроля и анализа функционирования системы безопасности. Периодически происходит измерение эффективности выбранной политики и средств защиты информации.

Обязательным пунктом постоянного контроля является создание и ведение журнала произошедших событий. Время от времени подразделение производит переоценку рисков и аудит. Когда защита информации выстроена по определенному алгоритму, а все структуры четко выполняют инструкции, подразделение менеджмента безопасности информации выходит на последний этап функционирования — этап совершенствования.

Открытый урок с онлайн-трансляцией по защите информации:

На создание и поддержку проекта по обеспечению безопасности информации потребуются определенные затраты. В стоимость войдут затраты на приобретение необходимого программного и технического обеспечения автоматизированной системы управления, стоимость перенастройки и поддержки существующего обеспечения, стоимость повышения квалификации и обучения персонала. При обращении к организациям, обеспечивающим комплексное создание системы менеджмента безопасности, в общие затраты войдет стоимость услуг компании. Защита информации предприятия будет требовать постоянных расходов на поддержание контроля и совершенствования систем безопасности информации. Стоимость работы целого подразделения — это лишь малая доля дохода предприятия, но в то же время колоссальная защита от несанкционированного взлома или вмешательства злоумышленников.

Руководство по защите информации в организации

Руководство по защите информации в организации

Цитата:
4.5.1 Мероприятия по защите технических и программных средств системы от НСД
Мероприятия по защите технических и программных средств системы от НСД предназначены для защиты от угроз:
а) конфиденциальности (обеспечению санкционированного доступа);
б) целостности технических средств, программ и данных (информационного обеспечения);
в) доступности данных для незарегистрированных пользователей.

4.5.1.1 Организация комплекса мероприятий по защите от НСД
Комплекс мероприятий по обеспечению защиты от НСД организован на уровнях:
а) организационном (организационные мероприятия по обеспечению защиты от НСД);
б) техническом (реализация механизмов защиты программно-техническими средствами).

4.5.1.2 Организационный уровень защиты от НСД
На организационном уровне предусмотрены:
- служба, отвечающая за защиту от НСД, распределение обязанностей;
- комплекс профилактических мер (предупреждение появления вирусов, предупреждение неумышленных действий, ведущих к НСД);
- правила доступа сторонних организаций к ресурсам;
- организация доступа пользователей и персонала к ресурсам;
- регламентирование:
1. удаленного доступа в АС «. »;
2. использования открытых ресурсов (сети Интернет);
3. использования сертифицированного ПО и т.д.
Организация работы персонала в целях обеспечения защиты от НСД предусматривает:
- внесение в должностные инструкции персонала соответствующих разделов;
- обучение персонала соблюдению режима защиты от НСД, правильному обращению с информационными ресурсами;
- регламент взаимодействия с представителями сторонних организаций.

4.5.1.3 Технический уровень защиты от НСД
На техническом уровне защиты от НСД предусмотрены:
а) применение технических средств, обеспечивающих защиту от несанкционированного доступа к изменению параметров;
б) контроль за целостностью пломб;
в) контроль за состоянием информационных и силовых кабелей;
г) управление доступом к информации и сервисам, включая требования к разделению обязанностей и ресурсов;
д) регистрация значительных событий в журнале для целей повседневного контроля или специальных расследований;
е) проверка и обеспечение целостности данных на всех стадиях их обработки;
ж) защита данных от несанкционированного доступа;
з) использования средств шифрования;
и) резервное копирование критически важных данных;
к) восстановление работы АС «. » после отказов;
л) защита от внесения несанкционированных дополнений и изменений.

4.5.1.3.1 Организация доступа для работы
Организация доступа для работы в АС «. » осуществляется выполнением следующих задач:
а) управления пользовательскими паролями;
б) управления привилегиями;
в) регистрации пользователей;
г) пересмотра прав доступа пользователей.

4.5.1.3.2 Организация контроля за соблюдением мер защиты от НСД
Организация контроля за соблюдением мер защиты от НСД обеспечивается выполнением следующих мероприятий:
а) администрированием АС «. »;
б) антивирусной защитой;
в) протоколированием ручного ввода данных;
г) контролем доступа в помещения, в которых располагаются критически важные или уязвимые элементы ПТК;
д) регистрацией событий, чрезвычайных ситуаций, режимов работы АС «. »;
е) слежением за корректным использованием сервисов;
ж) защитой оборудования пользователей, оставленного без присмотра;
з) определением допустимого времени простоя терминалов и его контроль;
и) введением ограничений на длительность периодов подключения пользователей к АС «. »;
к) ограничением доступа к носителям информации и их защита;
л) организацией доступа к документации АС «. ».

4.5.1.4 Мероприятия по защите программных средств
Мероприятиями по защите программных средств предусмотрен многоуровневый доступ к ПО технических средств с разграничением прав пользователей с помощью паролей. Средства защиты от НСД обеспечивают:

а) гарантированное разграничение доступа пользователей и программ пользователей к информации, включая разграничение доступа по рабочим местам;
б) обнаружение и регистрацию попыток нарушения разграничения доступа;
в) автоматизированную идентификацию пользователей и эксплуатационного персонала при обращении к ресурсам АС «. »;
г) управление доступом персонала и программных средств к томам, каталогам, файлам, базам данных, таблицам баз данных и другим ресурсам баз данных в соответствии с условиями разграничения доступа;
д) регистрацию входа (выхода) пользователей в АС «. », обращений к ресурсам и фактов попыток нарушения доступа;
е) протоколирование действий пользователей АС «. », включая доступ из внешних систем. Корректировка и удаление записей и всего протокола запрещены;
ж) запрет на несанкционированное изменение конфигурации комплексов;
з) обнаружение, идентификацию и удаление компьютерных вирусов.

4.5.1.5 Мероприятия по защите программных средств и информационного обеспечения
АС «. » является информационной системой на базе использования сетей общего пользования для обмена информацией на различных уровнях иерархии, как средство организации взаимодействия между территориально распределенными ПТК.
В указанной ситуации возникает необходимость обеспечения доступности части корпоративных информационных ресурсов извне, а также ресурсов внешних открытых сетей для внутренних пользователей АС «. ». Остро встает проблема контроля информационного взаимодействия с внешним миром и обеспечения защиты АС «. » от угроз информационной безопасности извне.
Для разграничения доступа к ресурсам и контроля информационных потоков между защищаемой сетью субъекта и внешними сетями, а также между сегментами корпоративной сети, используются специальные средства защиты - межсетевые экраны (МЭ).
МЭ предназначен для защиты внутреннего информационного пространства ПТК (в том числе территориально распределенных) при информационном взаимодействии с внешним миром в соответствии с принятой политикой информационной безопасности.
МЭ устанавливается на границе между защищаемой сетью ПТК и внешними сетями, а также между сегментами защищаемой сети (разного уровня конфиденциальности или служащих для решения различных задач и потому требующих изоляции) и осуществляет контроль входящих/исходящих информационных потоков на основе заданных правил управления доступом.
Основные функции МЭ по обеспечению информационной безопасности ПТК перечислены ниже:
а) контроль входящих/исходящих информационных потоков на нескольких уровнях модели информационного обмена ISO/OSI;
б) идентификация и аутентификация пользователей с защитой от прослушивания сетевого трафика;
в) трансляция сетевых адресов и сокрытие структуры защищаемой сети;
г) обеспечения доступности сетевых сервисов;
д) регистрация запросов на доступ к ресурсам и результатам их выполнения;
е) обнаружение и реагирование на нарушения политики информационной безопасности.

Перечисленные выше методы защиты программных, технических и информационных средств от НСД обеспечиваются применением:
- общего и специального программного обеспечения (службы авторизации и аутентификации), установленного на серверах и АРМ пользователей;
- ПО СУБД;
- технологического антивирусного ПО, установленного на АРМ пользователей;
- встроенных брандмауэров Cisco IOS (в части доступа из внешних систем);
- брандмауэра iptables (в части доступа к подсистеме биллинга).

4.5.1.6 Выявление утечки информации
Для выявления утечки информации должны проводиться перечисленные ниже мероприятия:
а) сбор и анализ информации о подключениях внутренних пользователей к ресурсам, расположенным за пределами объектов автоматизации, и внешних пользователей к ресурсам АС «. »;
б) проверка журналов событий АС «. » (в части безопасности), позволяющих определить, имели ли место попытки несанкционированного доступа к службам АС «. »;
в) контроль входящего и исходящего трафика с помощью специализированного антивирусного программного обеспечения, а также запускаемого программного обеспечения на наличие вирусов.

4.5.1.7 Предотвращение утечки информации
Для предотвращения утечки информации должны проводиться перечисленные ниже мероприятия:
а) блокирование любых попыток подключения к службам АС «. », предпринимаемых незарегистрированными пользователями;
б) блокирование запуска всего программного обеспечения, зараженного компьютерными вирусами;
в) проверка всей входящей и исходящей почты на наличие вирусов и, в случае обнаружения, реализация мер по их «лечению». Если «лечение» невозможно, данное почтовое сообщение должно быть удалено и вместо него отправлено уведомление о возникшей ситуации.

4.5.1.8 Поддержание надлежащего уровня обеспечения безопасности
Для поддержания надлежащего уровня обеспечения безопасности АС «. » должны проводиться перечисленные ниже мероприятия:
а) поддержание связей с производителями используемого программного обеспечения для своевременного получения обновлений и получения ответов на вопросы, которые могут возникнуть в ходе эксплуатации АС «. »;
б) отслеживание новостей, публикуемых в печатных и электронных (Интернет) изданиях, на предмет появления новых возможностей обхода системы безопасности объектов автоматизации;
в) периодическое тестирование системы безопасности;
г) изучение и внедрение новых технологий, повышающих безопасность АС «. ».

Руководство по защите информации в организации

Готовой «рыбы» нет, но есть статья, которая может оказаться полезной.

Цитата:
Для обеспечения защиты интеллектуальной собственности на предприятиях вводится определенный порядок работы с информацией и доступа к ней, включающий в себя комплекс административных, правовых, организационных, инженерно-технических, финансовых, социально-психологических и иных мер, основывающихся на правовых нормах республики или на организационно-распорядительных положениях руководителя предприятия (фирмы).
Эффективная защита коммерческой тайны возможна при обязательном выполнении ряда условий:
• единство в решении производственных, коммерческих, финансовых и режимных вопросов;
• координация мер безопасности между всеми заинтересованными подразделениями предприятия;
• научная оценка информации и объектов, подлежащих классификации (защите). Разработка режимных мер до начала проведения режимных работ;
• персональная ответственность (в том числе и материальная) руководителей всех уровней, исполнителей, участвующих в закрытых работах, за обеспечение сохранности тайны и поддержание на должном уровне режима охраны проводимых работ.
Включение основных обязанностей рабочих, специалистов и администрации по соблюдению конкретных требований режима в коллективный договор, контракт, трудовое соглашение, правила трудового распорядка.
• Организация специального делопроизводства, порядка хранения, перевозки носителей коммерческой тайны. Введение соответствующей маркировки документов и других носителей закрытых сведений;
• Формирование списка лиц, уполномоченных руководителем предприятия (фирмы) классифицировать информацию и объекты, содержащие сведения, составляющие КТ;
• Оптимальное ограничение числа лиц, допускаемых к КТ;
• Наличие единого порядка доступа и оформления пропусков;
• Выполнение требований по обеспечению сохранения КТ при проектировании и размещении специальных помещений; в процессе НИОКР, испытаний и производства изделий, сбыта, рекламы, подписания контрактов, при проведении особо важных совещаний, в ходе использования технических средств обработки, хранения и передачи информации и т.п.;
• Организация взаимодействия с государственными органами власти, имеющими полномочия по контролю определенных видов деятельности предприятий и фирм;
• Наличие охраны, пропускного и внутри объектового режимов;
• Плановость разработки и осуществления мер по защите КТ, систематический контроль за эффективностью принимаемых мер;
• Создание системы обучения исполнителей правилам обеспечения сохранности КТ.
При организации защиты коммерческой тайны, имущественных и финансовых ценностей директор (президент) предприятия (фирмы) руководствуется прежде всего экономической целесообразностью. Здесь обязательно надо учитывать два момента: 1) затраты на обеспечение экономической безопасности должны быть, как правило, меньшими в сравнении с возможным экономическим ущербом и 2) планируемые меры безопасности содействуют, как правило, повышению экономической эффективности предпринимательства.
Центральное место в организации обеспечения экономической безопасности предприятия (фирмы) занимает выбор структуры службы, позволяющей эффективно решать эти вопросы.
На предприятиях с незначительным объемом сведений, составляющих КТ, а также товарных и денежных средств, управление обеспечением режима безопасности может осуществить сам руководитель предприятия (фирмы) или по совместительству назначенный его приказом сотрудник, имеющий соответствующий опыт работы. Служба безопасности (СБ) предприятия (фирмы), как правило, подчиняется непосредственно руководителю предприятия и создается его приказом.
Она является структурной единицей предприятия, непосредственно участвующей в производственно-коммерческой деятельности. Деятельность СБ осуществляется во взаимодействии со структурными подразделениями предприятия.
Структура и штаты СБ в зависимости от объема работ и особенностей производственно-коммерческой деятельности определяются руководителем предприятия и, по мнению авторов, должны комплектоваться инженерно-техническими работниками специалистами основного профиля работы данного предприятия (фирмы), а также специалистами, имеющими практический опыт защиты информации или работы с различными группами людей. Назначение на должность начальника (зама) СБ предприятия (фирмы), а также его освобождение производится только руководителем предприятия.
Вышеназванные и другие требования вносят в Положение о службе безопасности, которое разрабатывается по указанию директора.
Наиболее оптимальная структура СБ может быть определенная при анализе всех функций обеспечения экономической безопасности и выделении из всего комплекса тех, которые наиболее адекватно соответствуют производственно-коммерческой деятельности предприятия (фирмы).
Для выполнения этого этапа работ приведем наиболее полный комплект функций, выполняемых с привлечением специалистов предприятия службами экономической безопасности.
Функции по защите коммерческой тайны.
1. Выработка критериев выделения ценной информации, подлежащей защите.
2. Определение объектов интеллектуальной собственности, подлежащих охране.
3. Выбор методов защиты (патентование, авторское право, коммерческая тайна).
4. Разработка для последующего утверждения Перечня (дополнений к перечню) сведений, составляющих КТ.
5. Установление правил допуска и разработка разрешительной системы доступа к сведениям, составляющим КТ.
6. Оформление списков лиц (перечней должностей), имеющих право работать с конкретными составляющими коммерческой тайны.
7. Определение списка должностей (лиц), уполномоченных классифицировать информацию.
8. Установление правил и процедур классификации, маркировки документов и других носителей информации, а также вывод их из сферы ограниченного доступа (рассекречивание).
9. Разработка и ввод в действие единого порядка обращения с носителями информации (технологии создания, учет, правила работы, хранение, пересылка, транспортировка, размножение, уничтожение).
10. Составление плана размещения и учет помещений, в которых после соответствующей аттестации разрешено постоянное или временное хранение носителей КТ, работа с ними, а также проведение закрытых совещаний. Установление единого порядка прохода в эти помещения.
11. При непосредственном участии руководителей структурных подразделений и специалистов, имеющих доступ к КТ, планирование, осуществление и контроль за реализацией мероприятий при проведении всех видов работ, в которых используется закрытая информация, классифицированные носители.
12. Оказание методической помощи руководителям подразделений предприятия в разработке и осуществлении мероприятий по защите сведений, в процессе научной, конструкторской, производственной и иной деятельности (какие технологические меры безопасности необходимо использовать; какие изменения в технологию надо внести; какие требования целесообразно включить в условия контракта; какую информацию надо защищать даже при выходе товара на рынок и т.п.).
13. Разработка и осуществление совместно со специалистами мер по недопущению разглашения КТ на стадиях:
o оформления материалов, предназначенных для опубликования в открытой печати, для использования на конференциях, выставках, в рекламной деятельности (аналогичные меры осуществляются в отношении образцов изделий, содержащих КТ);
o оформления документов (образцов) для передачи заказчику (соисполнителю).
14. Организация с участием исполнителей и специалистов предприятия защитных мероприятий при испытаниях, хранении, транспортировке, уничтожении продукции, содержащей КТ.
15. Разработка порядка и контроль за проведением закрытых совещаний.
16. Определение режимных мер приема представителей других фирм, командированных лиц, представителей контрольных органов власти.
17. Участие совместно со специалистами предприятия в разработке мер по обеспечению безопасности в процессе использования технических средств передачи информации - ЭВМ (ПЭВМ), а также системы противодействия техническим средствам промышленного шпионажа.
18. Организация охраны предприятия, спецпомещений, хранилищ, введение пропускного и внутриобъектового режимов (разграничение доступа в помещения).
19. Формирование предложений на установку технических средств охраны (ТСО), организация работ по их монтажу, эксплуатации ремонту.
20. Участие в подборке и расстановке сотрудников, допускаемых к КТ, выработке мер по снижению текучести кадров.
21. Разработка положений, инструкций, правил, методик и т.п. по обеспечению режима работы для исполнителей закрытых работ, специалистов СБ (несовершенство разработанных норм - одно из главных обстоятельств утечки).
22. Организация и участие в обучении лиц, допущенных к КТ (составление программы обучения, прием зачетов по знанию соответствующих требований режима).
23. С учетом конкретной обстановки совместно с руководителями подразделений в процессе организационной и профилактической работы формирование на плановой основе у сотрудников сознательного отношения к обеспечению защиты информации.
24. Разработка мер по предупреждению несанкционированного уничтожения носителей информации, в том числе в автоматизированных системах хранения, обработки и передачи информации.
25. Контроль исполнения режимных требований: проведение аналитических исследований по оценке надежности принимаемых мер защиты КТ и выработка предложений по повышению эффективности охраны.
26. Проведение служебных расследований по фактам нарушения режима обращения с КТ.
Функции по обеспечению защиты имущественной собственности предприятия (с учетом его особенностей и уязвимости).
1. Определение системы охраны предприятия, дислокации постов, средств ТСО, противопожарной автоматики, связи.
2. Выделение помещений (участков), где хранятся товарно-материальные ценности (деньги), и осуществление через руководителей соответствующих подразделений мер по повышению надежности их физической защиты.
3. Определение участков, уязвимых во взрывопожарном отношении, выход их строя которых может нанести серьезный ущерб предприятию и выработка мер по нейтрализации угроз.
4. Определение технологического оборудования, выход их строя которого может привести к большим экономическим потерям, и разработка мер по нейтрализации угроз.
5. Определение уязвимых мест в технологии производственного цикла, несанкционированное изменение в которых может привести к утрате качества выпускаемой продукции и нанести материальный ущерб, и принятие соответствующих мер.
6. Разработка, ввод в действие и поддержание на охраняемой территории внутри пропускного и объектового режима (порядок, время пропуска рабочих, посетителей на территорию предприятия, в том числе и в праздничные дни; порядок ввоза (ввоза) или выноса (вноса) материальных ценностей, готовой продукции, материалов и т.п.; местоположение и количество контрольных проходов и проездов; помещения и подразделения, доступ куда ограничен; система пропусков и документации).
7. Разработка документов, регламентирующих административно-правовую основу деятельности по охране имущественных ценностей предприятия (положение об охране; инструкция о порядке обеспечения сохранности материальных и документальных ценностей предприятия; инструкция о пропускном и внутриобъектовом режиме).
8. Доведение требований (соответствующих корректив) по вопросам охраны, пропускного и внутриобъектового режимов до сотрудников предприятия.
9. Контроль исполнения и анализ состояния надежности хранения материальных ценностей, охраны, пропускного и внутриобъектового режимов.
10. Проведение служебных расследований по фактам нарушения порядка работы с имущественными ценностями.
11. Организация взаимодействия с федеральными органами безопасности и органами внутренних дел по обеспечению экономической безопасности предприятия (с учетом компетенции этих органов).
Функции по обеспечению безопасности персонала предприятия.
1. Разработка мер обеспечения физической защиты персонала; организация охраны (личной охраны, охраны средств передвижения), пропускного и внутриобъектового режимов; установления соответствующего порядка приема посетителей, работы секретарей-референтов и т.п.
2. Обеспечение персонала средствами технической защиты от несанкционированного проникновения в помещения (кабинеты), в автомашины, на автостоянку, в квартиру для фиксации попыток преступных действий (установка магнитофонов, кинокамер), для скрытой связи руководителя с охраной предприятия.
3. Определение перечня информации, не подлежащей разглашению (не входящей в КТ) посторонним лицам.
4. Сбор СБ информации о признаках, характерных для конкретных видов угроз персоналу (сотрудникам).
5. Обеспечение контроля за проведением ремонтных, профилактических работ, осуществляемых сторонними организациями на предприятии (при необходимости проводятся специальные обследования после завершения работ этих помещений, автомашин, устройств, приборов).
6. Подготовка персонала к действиям в экстремальных ситуациях (выработка навыков оценки информации, соответствующих норм поведения и принятия решений).
7. Обучение персонала и членов их семей выявлению признаков, указывающих на подготовку направленных против них действий.
8. Правовое обучение персонала: правовые возможности защиты от преступника (нормы необходимой обороны, крайней необходимости).
9. Установление и поддержание практических форм взаимодействия СБ с правоохранительными органами по обеспечению безопасности персонала (при получении данных о готовящихся, имевших место противоправных действиях в отношении персонала, затрагивающих вопросы обеспечения экономической безопасности предприятия и т.п.).
Информационное обеспечение деятельности предприятия.
1. Юридически грамотное и экономически безопасное информационное обслуживание деятельности предприятия на рынке рабочей силы, взаимодействия с общественностью и печатью.
2. Обеспечение надежности кооперативных связей, исключающее как одностороннюю зависимость, так и деловые контакты с недобросовестными деловыми партнерами и посредниками.
3. Участие в подготовке и проведении специальных информационных акций, повышающих репутацию фирмы в глазах партнеров, общественности, органов власти (в том числе и в отношении СБ в формировании у окружения убеждения в силе и эффективности ее деятельности по защите).
4. Совместно с другими подразделениями предприятия получение аналитическим путем информации о конкурентах, касающейся возможной подготовки и проведения ими мероприятий, классифицируемых как недобросовестная конкуренция, и выработка мер по их нейтрализации.
5. Планирование организационных мер сбора, оценки информации в интересах обеспечения стабильной и эффективной деятельности предприятия (перечень вопросов, по которым необходим сбор информации, кто, как и когда ее собирает).
6. Разработка мер по накоплению, хранению, использованию, ускоренному доведению до исполнителей ценной информации, в том числе классифицированных документов и сведений.
7. Информационное обеспечение деятельности СБ по получению данных о готовящихся посягательствах на интересы предприятия.
8. Получение и обобщение открытых публикаций по вопросам обеспечения экономической безопасности предприятий и выработка на их основе предложений.
Выбрав из приведенного перечня функции, выполнение которых обеспечивало бы надежную защиту предприятия (фирмы), руководитель определяет структуру и количественный состав СБ.
При оптимальной структуре СБ ее работники должны перекрывать все возложенные на данное подразделение функции. Одновременно исключается дублирование действии не загруженность работников.
Директор предприятия (фирмы) может предоставлять СБ следующие права:
• вносить предложения о запрещении работ с документами, оставляющими КТ, а также об изменении порядка хранения или перевозки товаров других ценностей при выявлении нарушений, которые могли бы повлечь нанесение экономического ущерба;
• контролировать с привлечением специалистов предприятия состояние и надежность защиты закрытых работ и имущества, денежных средств;
• выходить с ходатайством об отстранении конкретных исполнителей предприятия (фирмы) от ведения закрытых работ, переговоров с другими фирмами, перевозки, хранения, охраны имущественной собственности;
• согласовать мероприятия, разрабатываемые подразделениями предприятия в целях обеспечения экономической безопасности;
• давать в рамках своей компетенции руководителям подразделений и исполнителям обязательные для исполнения рекомендации; проводить по вопросам обеспечения экономической безопасности предприятия обучение и инструктаж сотрудников;
• по приказу директора предприятия (фирмы) принимать участие или проводить самостоятельно расследование фактов разглашения КТ, утраты документов и изделий, хищений товаров, других ценностей, а также грубых нарушений установленного режима экономической безопасности предприятия.
Решения и организационно-распорядительные документы по вопросам отношения СБ с другими подразделениями предприятия при необходимости оформляются приказами директора. О наличии такого подразделения и его полномочиях должны знать все сотрудники предприятия. Это объясняется прежде всего тем, что даже не работающий с КТ сотрудник предприятия может стать создателем ценнейшей информации, требующей немедленной защиты.
Служба безопасности предприятия (фирмы) подчиняется непосредственно руководителю предприятия и создается в соответствии с его приказом.
Служба безопасности является структурной единицей предприятия, непосредственно участвующей в производственно-коммерческой деятельности. Работа этого отдела проводится во взаимодействии со структурными подразделениями предприятия.
Структура и штат СБ в зависимости от объема работ и особенностей производственно-коммерческой деятельности определяются руководителем предприятия и, как правило, должны комплектоваться инженерно-техническими работниками - специалистами основного профиля работы данного предприятия (фирмы), а также специалистами, имеющими практический опыт защиты информации или работы с различными группами людей. Назначение на должность начальника (зама) СБ предприятия (фирмы), а также его освобождение производится только руководителем предприятия.
Вышеназванные и другие требования вносят в Положение о службе безопасности, которое разрабатывается по указанию директора.
При выполнении возложенных на СБ задач ее сотрудники используют в своей работе различные формы и методы: издание организационно-распорядительной и методической документации, проведение в подразделениях предприятия комплексных и целевых проверок, заслушивание сообщений руководителей соответствующего уровня о состоянии режима в подразделении, различные формы и методы профилактической работы и т.д.
Руководитель службы безопасности регулярно, в установленные сроки отчитывается в своей работе перед директором предприятия.
Приступая к разработке системы мер по обеспечению защиты экономической безопасности предприятия, его руководитель (или начальник СБ) должен получить ответы на следующие вопросы:
• что конкретно необходимо защищать (охранять), от кого и когда?
• кто организует и обеспечивает защиту (охрану)?
• как оценивать эффективность и достаточность защиты (охраны)?
Для иллюстрации рассмотрим этапы организации системы защиты коммерческой тайны.
1. Определяется предмет защиты. Разрабатывается Перечень сведений, составляющих КТ, в котором выделяется наиболее ценная информация, нуждающаяся в особой охране, учитываются требования по защите других предприятий (фирм), участвующих в совместных работах.
2. Устанавливаются периоды существования конкретных сведений в качестве КТ.
3. Выделяются категории носителей ценной информации: персонал, документы, изделия и материалы; технические средства хранения, обработки и передачи информации; физические излучения. Для обеспечения восприятия разрабатываемой системы защиты можно составить схему, в которой указываются конкретные сотрудники, осведомленные о коммерческой тайне, названия (категории) классифицированных документов и изделий и т.п.
4. Перечисляются стадии (этапы) работ, время материализации КТ в носителях информации применительно к пространственным зонам (местам работы с ними внутри и за пределами предприятия). Например, отчеты НИОКР на рабочих местах исполнителей; журнал результатов испытаний изделия на испытательном стенде; договор, подписываемый за рубежом; выступления участников отчетных совещаний в конкретных кабинетах; размножение классифицированных документов на множительном участке; образцы изделий, демонстрирующиеся на выставках и т.п.
5. Составляется схема работ с конкретными сведениями, материализованными в носителях, в пределах предприятия (фирмы) и вне его и предполагаемого их перемещения.
Рассматриваются возможные для предприятия несанкционированные перемещения, которые могут быть использованы конкурентами для овладения коммерческой тайной.
6. Разрабатываются (или корректируются) в процессе анализа разрешительные подсистемы допуска и доступа к конкретным сведениям, составляющим КТ.
7. определяется, кто реализует мероприятия и кто несет ответственность за защиту конкретной информации, процессов работ с классифицированными данными.
Намечаются меры по координации, назначаются конкретные исполнители.
8. Планируются действия по активизации и стимулированию лиц, задействованных в защите.
9. Проверяется надежность принятых к реализации мер обеспечения защиты.
Анализ состояния эффективности экономической безопасности включает в себя:
• изучение и оценку фактического состояния;
• выявление недостатков и нарушений режима, которые могут привести к утрате физических носителей тайны (ценного имущества) или разглашению КТ;
• установление причин и условий выявленных недостатков и нарушений;
• выработку положений, направленных на устранение недостатков и предотвращение нарушений.
Объектами анализа и контроля в зависимости от поставленных задач могут быть:
• соблюдение норм, правил хранения и охраны в помещениях, спец хранилищах, на рабочих местах;
• ведение учета и обеспечение личной ответственности за выполнение данной функции;
• соблюдение порядка хранения, учета и уничтожения;
• соблюдение требований порядка обращения;
• меры по предотвращению несанкционированного выноса носителей КТ за территорию предприятия;
• соблюдение режима и охраны при транспортировке, рассылке, доставке;
• организация доступа приглашенных, командированных, приглашенных лиц к информации предприятия;
• организация проведения совещаний, выставок, переговоров и т.п.;
• уровень знаний требований режима лиц, допущенных к закрытым работам и документам;
• степень обеспеченности службы безопасности надежными хранилищами, запирающими устройствами, средствами опечатывания;
• уровень обеспеченности сотрудников соответствующими рабочими местами для работы с носителями секретов;
• состояние пропускного и внутреннего режима в зданиях, помещениях, в целом на предприятии;
• механизм распределения носителей КТ по уровням исполнения и управления;
• обоснованность доступа к различным видам носителей конкретных групп сотрудников;
• порядок обращения с носителями на рабочих местах;
• порядок пользования средствами получения, обработки, хранения, отображения, передачи информации;
• порядок обмена сведениями внутри предприятия и с внешними партнерами;
• своевременность и правильность классификации и раскрытия сведений;
• организация и проведение выставок, конференций, симпозиумов и т.д.;
• качество разработки организационно-методических документов, выполнение планов работ и специальных мероприятий по защите информации;
• уровень и полнота выполнения требований руководства предприятия;
• состояние профилактической работы с сотрудниками;
• уровень организационно-методического обеспечения взаимодействия между подразделениями;
• время поиска и доведения информации до исполнителей.
Анализ включает в себя моделирование различных каналов утечки информации, возможных приемов и способов несанкционированного получения закрытой информации.
Иностранные фирмы к числу наиболее вероятных каналов утечки классифицированной информации относят:
• совместную с другими фирмами деятельность, участие в переговорах;
• фиктивные запросы со стороны о возможности работать в фирме на различных должностях;
• экскурсии и посещения фирмы;
• общения торговых представителей фирмы о характеристиках изделия;
• чрезмерную рекламу;
• поставки смежников;
• консультации специалистов со стороны, которые в результате этого получают доступ к установкам и документам фирмы;
• публикации в печати и выступления;
• совещания, конференции, симпозиумы и т.п.;
• разговоры в нерабочих помещениях;
• обиженных сотрудников фирм.
Службе безопасности при организации защиты коммерческой тайны необходимо учитывать следующие возможные методы и способы сбора информации:
• опрос сотрудников изучаемой фирмы при личной встрече;
• навязывание дискуссий по интересующим проблемам;
• рассылка в адреса предприятий и отдельных сотрудников вопросников и анкет;
• ведение частной переписки научных центров и ученых со специалистами.
Для сбора сведений в ряде случае представители конкурентов могут использовать переговоры по определению перспектив сотрудничества, созданию совместных предприятий.
Наличие такой формы сотрудничества, как выполнение совместных программ, предусматривающих непосредственное участие представителей других организаций в работе с документами, посещение рабочих мест, расширяет возможности для снятия копий с документов, сбора различных образцов материалов, проб и т.д. При этом с учетом практики развитых стран экономические соперники могут прибегнуть в том числе и к противоправным действиям, промышленному шпионажу.
Наиболее вероятно использование следующих способов добывания информации:
• визуальное наблюдение;
• подслушивание;
• техническое наблюдение;
• прямой опрос, выведывание;
• ознакомление с материалами, документами, изделиями и т.д.;
• сбор открытых документов и других источников информации;
• хищение документов и других источников информации;
• изучение множества источников информации, содержащих по частям необходимые сведения.
Аналитические исследования, моделирование вероятных угроз позволяют наметить при необходимости дополнительные меры защиты. При этом следует оценить вероятность их выполнения, наличие методического материала, материального обеспечения, готовность СБ и персонала их выполнить. При планировании учитываются имевшие место на предприятии недостатки в обеспечении сохранности КТ.
Планируемые мероприятия должны:
• способствовать достижению определенных задач, соответствовать общему замыслу;
• являться оптимальными.
Не должны:
• противоречить законам, требованиям руководителя фирмы (интересам кооперирующихся фирм);
• дублировать другие действия.
Организация системы защиты вписывается в обстановку на фирме. В связи с этим крайне важен учет принципиальных проходящих в ней и предполагаемых изменений.
Таким образом, система организации защиты КТ включает в себя комплекс заранее разработанных на определенный срок мер, охватывающих совокупность всех видов деятельности, направленных на совершенствование обеспечения сохранности информации с учетом изменений внешних и внутренних условий и предписывающих конкретным лицам или подразделений определенный порядок действий.

Когда нет знания, есть мнение.