Игорь Чумарин - Тайна предприятия - что и как защищать

2. Руководитель группы, обладая соответствующей квалификацией в этой области, с привлечением отдельных специалистов формирует предварительный список сведений, которые в дальнейшем войдут в «Перечень сведений, составляющих конфиденциальную информацию предприятия».

3. Руководитель группы на основе этого списка определяет и представляет на согласование необходимые к защите объекты (оборудование для обработки и обращения информации, программное обеспечение, коммуникации для передачи конфиденциальных данных, носители информации, персонал, допущенный к работе с использованием коммерческой и иной тайны).

4. Анализируются существующие меры защиты соответствующих объектов, определяется степень их недостаточности, неэффективности, физического и морального износа.

5. Изучаются зафиксированные случаи попыток несанкционированного доступа к охраняемым информационным ресурсам и разглашения информации.

6. На основе опыта предприятия, а также используя метод моделирования ситуаций, группа специалистов выявляет возможные пути несанкционированных действий по уничтожению информации, ее копированию, модификации, искажению, использованию и т. п. Угрозы ранжируются по степени значимости и классифицируются по видам воздействия.

7. На основе собранных данных оценивается возможный ущерб предприятия от каждого вида угроз, который становится определяющим фактором для категорирования сведений в «Перечне» по степени важности, например - для служебного пользования (3), важно (2), особо важно (1).

8. Определяются сферы обращения каждого вида конфиденциальной информации: по носителям, по территории распространения, по допущенным пользователям. Для решения этой задачи группа привлекает руководителей структурных подразделений и изучает их пожелания.

9. Группа подготавливает введение указанных мер защиты. 9.1. Меры физической защиты. Включают в себя установление определенного режима деятельности, соблюдение которого обязательно для всех сотруд

ников, посетителей и клиентов; порядок его регламентации описывается во внутренних документах по пропускному и внутриобъектовому режиму. Это ограничение доступа, создание соответствующего пропускного режима, контроль за посетителями, например:

- запрещение несанкционированного выноса документов;

- запрещение вноса-выноса дискет, магнитных лент, CD-ROM, переносных накопителей на твердых магнитных дисках и т. п.;

- запрещение перемещения компьютерной техники и комплектующих без соответствующих сопроводительных документов;

- ограничение нахождения на территории предприятия посетителей;

- регламентация использования для переговоров определенных, специально предназначенных для этого помещений

и др.

9.2. Меры технической защиты.

Проводятся специально назначенными на предприятии либо привлеченными специалистами под контролем представителей СБ и включают в себя защиту компьютерной техники, помещений и всех коммуникаций от устройств съема и передачи информации, используя различные технические решения:

- использование средств пассивной защиты - фильтров, ограничителей и т. п. средств развязки электрических и электромагнитных сигналов, систем защиты сетей, электроснабжения, радио- и часофикации и др.;

- экранирование средств канальной коммуникации;

- использование локальных телефонных систем, локальных систем ЭВМ, не имеющих выхода за пределы контролируемой зоны (в том числе систем вторичной часофикации, радиофикации, телефонных систем внутреннего пользования. диспетчерских систем, систем энергоснабжения);

- размещение источников побочных электромагнитных излучений и наводок на возможном удалении от границы охраняемой (контролируемой) зоны;

- экранирование помещений;

- использование пространственного и линейного электромагнитного зашумления;

- развязка по цепям питания и заземления, размещенным в границах охраняемой зоны.

9.3. Меры аппаратной и программной защиты (для компьютерного оборудования информационных систем и сетей). Могут включать в себя:

- обеспечение реакции на попытку несанкционированного доступа, например - сигнализации, блокировки аппаратуры;

- поддержание единого времени;

- установку на АРМы работающих с особо важной конфиденциальной информацией специальных защитных экранов;