Наталия Гришина - Организация комплексной системы защиты информации

Для получения этих данных можно применять следующие способы: анкетирование сотрудников; опрос сотрудников; личное наблюдение; изучение директивных и инструктивных документов. Следует иметь в виду, что ни один из этих способов не дает объективной информации: каждый имеет свои достоинства и недостатки. Поэтому их применяют вместе, в совокупности;

2) об организации транспортных и информационных потоков. В состав этих данных входят сведения, характеризующие:

— пути и организацию транспортировки и хранения материальных ценностей на территории объекта;

— уровни конфиденциальности информации, пути и способы ее обработки и транспортировки (документы, телефонная и радиосвязь и т. п.);

3) об условиях функционирования объекта. В состав этих данных входят сведения, характеризующие:

— пространство, непосредственно прилегающее к территории объекта;

— ограждение периметра территории и проходы;

— инженерные коммуникации, подземные хранилище и сооружения на территории;

— размещение подразделений и сотрудников по отдельным помещениям (с поэтажными планами);

— инженерные коммуникации в помещениях;

— состояние подвальных и чердачных помещений;

— размещение, конструкции и состояние входов, дверей, окон;

— существующую систему защиты;

— состав и настроение населения, экономические факторы и криминогенную обстановку на прилегающей территории.

На основе результатов анализа всех перечисленных сведений должны быть определены: назначение и основные функции системы защиты; основные виды возможных угроз и субъекты угроз; внешняя среда; условия функционирования системы защиты (наличие энергетических и других ресурсов, естественные преграды и т. п.).

Эти данные рекомендуется систематизировать в виде пояснительной записки, структурных схем и планов.

Целесообразно иметь следующие планы:

1) план территории объекта с указанием расположения всех зданий и других наземных сооружений; подземных сооружений; всех коммуникаций и мест их выхода за территорию объекта; всех ограждений, в том числе по периметру территории объекта, с обозначением их технического состояния на момент обследования; средств защиты (существующей системы, если она имеется);

2) поэтажные планы, где должно быть указано расположение всех помещений с обозначением дверных и оконных проемов, внутренних и наружных (пожарных) лестниц, толщины материала стен и существующих средств защиты; всех коммуникаций с обозначением коммуникационных шкафов и других мест санкционированного доступа к каналам связи и жизнеобеспечения;

3) планы помещений с указанием мест размещения оборудования и других технических средств (телефонов, персональных ЭВМ, принтеров и т. д.); расположения коммуникаций и мест размещения коммутационного оборудования (коробки, розетки и т. п.); функционального назначения и степени конфиденциальности получаемой и обрабатываемой информации; особенностей технологического процесса (для производственных помещений), важных с точки зрения обеспечения безопасности.

На основе этих планов целесообразно подготовить структурные схемы:

— ограждения каждого помещения, указав на ней (схематично) все стены и другие инженерно-технические сооружения, окружающие помещение. Эта схема позволит оценить возможности эшелонирования защиты, выработать рекомендации по рубежам защиты, выбрать и определить зоны безопасности и оценить «прочность» рубежей;

— документооборота (для документов с ограниченным доступом), указав источник и приемники документа; его связи с другими документами; способ подготовки (ручной, машинный); способ транспортировки (с курьером, по телефону, по факсу, по компьютерной сети и т. п.); место хранения; для описания документооборота можно использовать специально разработанные формы.

Каждое предприятие уникально. Поэтому и система защиты конкретного предприятия тоже уникальна. Тем не менее, можно перечислить основные параметры предприятия и показать, каким образом они могут оказывать влияние на разрабатываемую комплексную систему защиты информации:

— характер деятельности предприятия оказывает влияние на организационно-функциональную структуру КСЗИ, ее состав; состав и структуру кадров СЗИ, численность и квалификацию ее сотрудников; техническое обеспечение КСЗИ средствами защиты; количество и характер мер и мероприятий по ЗИ; цели и задачи КСЗИ;

— состав защищаемой информации, ее объем, способы представления и отображения, технологии обработки: состав и структуру СЗИ; организационные мероприятия по ЗИ; состав технических средств защиты, их объем; состав нормативно-правового обеспечения КСЗИ; методы и способы ЗИ; объем материальных затрат на ЗИ;