Смекни!
smekni.com

Теория и методология защиты информации в адвокатской конторе (стр. 9 из 12)

В качестве основания классификации средств защиты инфор­мации используются основные группы задач, решаемые с помощью технических средств:

1. создание физических (механических) препятствий на путях проникновения злоумышленника к носителям информации (решетки, сейфы, замки и т.д.);

2. выявление попыток проникновения на объект охраны, к местам сосредоточения носителей защищаемой информации (электронные и электронно-оптические сигнализаторы);

3. предупреждение о возникновении чрезвычайных ситуаций (пожар, наводнение и т.п.) и ликвидация ЧП (средства пожаротушения и т.д.);

4. поддержание связи с различными подразделениями, помещениями и другими точками объекта охраны;

5. нейтрализация, поглощение или отражение излучения эксплуатируемых или испытываемых изделий (экраны, защитные фильтры, разделительные устройства в сетях электроснабжения и т.п.);

6. комплексная проверка технического средства обработки информации и выделенного помещения на соответствие требованиям безопасности обрабатываемой речевой информации установленным нормам;

7. комплексная защита информации в автоматизированных системах обработки данных с помощью фильтров, электронных замков и ключей в целях предотвращения несанкционированного доступа, копирования или искажения информации.

Знание возможностей методов и средств защи­ты информации позволяет активно и комплексно применять их при рассмотрении и использовании правовых, организационных и инженерно-технических мер защиты конфиденци­альной информации.

4.9. Организация комплексной системы защиты информации в адвокатской конторе

Для организации эффективной защиты конфиденциальной информации необходимо разработать программу, которая должна позволить достигать следующие цели:

· обеспечить обращение сведений, содержащих различные виды тайн, в заданной сфере;

· предотвратить кражу и утечку секретов, любую порчу конфиденциальной информации;

· документировать процесс защиты тайны, чтобы в случае попы­ток незаконного завладения какой-либо тайной предприятия можно было защитить свои права юридически и наказать нару­шителя.

Для определения объема информации, нуждающейся в защи­те, следует привлекать работников предприятия. Во главе этой работы должен стоять опытный менеджер.

Программа будет отражать размер данного предприятия, тип технологии и деловой информации, которую необходимо защи­щать, финансовые возможности предприятия, прошлые случаи кражи подобной информации, реальный, имевший место в про­шлом, или потенциальный урон от таких краж и другие обстоя­тельства. В программе должны учитываться возможные источни­ки и каналы утечки информации.

Для построения системы защиты конфиденциальной информации на предприятии необходимо создание службы защиты информации (СлЗИ), которая будет являться структурной единицей предприятия, непосредственно участвующей в производственно-коммерческой деятельности. Работа этого отдела проводится во взаимодействии со структурными подразделениями предприятия. Структура и штат СлЗИ в зависимости от объема работ и особенностей производственно-коммерческой деятельности определяются руководителем предприятия и, как правило, должны комплектоваться инженерно-техническими работниками - специалистами основного профиля работы данного предприятия (фирмы), а также специалистами, имеющими практический опыт защиты информации или работы с различными группами людей. Назначение на должность начальника (зама) СлЗИ предприятия (фирмы), а также его освобождение производится только руководителем предприятия. Руководитель службы защиты информации регулярно, в установленные сроки отчитывается в своей работе перед директором предприятия.

Основны­ми функциями СлЗИ являются проблемы организации защиты све­дений, отнесенных к конфиденциальной информации. В частности, деятельность, которая включает обучение работ­ников предприятия умению хранить секреты своей фирмы; под­готовку различных методических документов, связанных с защи­той тайны, плакатов, разъясняющих правила защиты конфиден­циальной информации и др.

СлЗИ готовит руководству предприятия предложения по вопро­сам защиты конфиденциальной информации, порядка определения и пере­смотра перечня сведений, составляющих эту информацию, степени и сроков секретности такой информации; определение круга и по­рядка допуска лиц к сведениям, составляющим различные виды тайн. СлЗИ выполняет также своеобразные разведывательные функции, в частности добывание информации о состоянии рынка, конкурентах, финансовых возможностях партнеров по переговорам и др.

СлЗИ проводит контрольные и аналитические функции. Кон­троль за соблюдением работниками предприятия, связанными по службе с тайной, правил ее защиты. Анализ посту­пающей информации с целью выявления попыток конкурентов получить несанкционированный доступ к защищаемой предпри­ятием информации и т.д. Она должна находиться на высоком уровне в организационной структуре предприятия с тем, чтобы располагать необходимыми административными полномочиями, с извещением об этом всех сотрудников предприятия. СлЗИ должна принимать срочные меры по устранению выявленных недостат­ков в области защиты конфиденциальной информации. Сотрудники фирмы должны знать политику фирмы по защите этой информации и меры наказания за нарушение этих правил.

Периодический пересмотр Перечня сведений, составляющих конфиденциальную информацию предприятия, осуществляется специально созданной комиссией, возглавляемой одним из руководителей предприятия. Однако в этой работе активное участие принимает и СлЗИ. Цель пересмотра Перечня – исключение из него сведений, утративших свою актуальность, и включение новых, изменение при необходимости степени секретности и т.д. О результатах этой работы информируются все исполнители в той части, которая нужна каждому для его работы.

Система доступа к сведениям, составляющим какую-либо тайну, должна обеспечить безусловное ознакомление с такими материалами только тех лиц, которым они нужны по службе. Сис­тема доступа к конфиденциальной информации – есть комплекс административно-правовых норм, обеспечивающих получение необходимой для работы информации каждым исполнителем и руководителем секретных работ. Цель системы – обеспечить только санкционированное получение необходимого объема конфиденциальной информации. В структуру этой системы входят:

- разрешительная система доступа к документальной конфиденциальной информации;

- система пропусков и шифров, обеспечивающая только санкционированный доступ в поме­щения, где ведутся секретные работы.

Для обеспечения физической сохранности носителей засекре­ченной информации и предотвращения доступа посторонних лиц нужна система охраны, кото­рая включает в себя комплекс мероприятий, сил и средств, задействованных для преграждения доступа посторонних лиц к носите­лям защищаемой информации. Обеспечение физической целост­ности и сохранности конфиденциаль­ных документов, различных зданий, помещений, где производятся работы с носителями защищаемой информации, достигается ис­пользованием сейфов и металлических шкафов для хранения кон­фиденциальных документов, постановкой металлических решеток на окна хранилищ таких документов, введением специ­альных пропусков или магнитных карточек для доступа в помеще­ния, где ведутся работы с носителями конфиденциальной инфор­мации. Помещения, в которых ведутся такие работы с документа­ми, хранилища защищаемой информации должны иметь круглосуточную охрану с помощью технических средств.

Осуществление мер – это деятельность администрации и СлЗИ по защите конфиденциальной информации, направленная на реализацию за­ложенных в системе возможностей по защите конфиденциальной информации. Эти меры включают:

- во-первых, повседневный контроль со стороны руководства предприятия и СлЗИ за соблюдением всеми сотрудниками, связан­ными по работе с конфиденциальной информацией, правил ее защиты. Особое внимание при этом обращается на работников предприятия, имеющих постоянное общение с населением;

- во-вторых, обеспечение соблюдения всеми сотрудниками предприятия требований, предусмотренных правилами внутреннего распорядка, нормами правил пожарной безопасности, ин­струкцией по защите сведений, составляющих различные виды тайн, и другими нормативными документами, регламентирую­щими поведение работников на предприятии.

Все посещения предприятия посторонними лицами должны быть строго регламентированы. Вход – только через одну проходную по разовым пропускам или отметкам в жур­нале: данные о пришедшем, откуда, к кому, время входа и выхода. Продвижение по фирме только в сопровождении принимающего его сотрудника.

Не допускается ведение по открытым каналам связи (телефон, радиотелефон и т.п.) переговоров, содержащих конфиденциаль­ные сведения;

- в-третьих, выявление каналов и источников утечки защищае­мой информации и принятие мер по их перекрытию. Утечка за­щищаемой информации происходит чаще всего по вине сотруд­ников предприятия, связанных по работе с конфиденциальной информацией, и принятия недостаточных мер по защите информации в техни­ческих средствах (СВТ, средствах связи и т.д.).

Все сигналы о возможной утечке информации должны тщатель­но проверяться и в случае выявления виновных в этом лиц должны быть приняты меры, как к виновникам (перевод на работу, не свя­занную с тайной, возмещение ущерба, увольнение и др.), так и принятие мер по предотвращению подобных явлений в будущем;