9. Использовать программно-аппаратные средства криптографической защиты линии конференцсвязи директора (аппаратно-программный комплекс шифрования (АПКШ) "Континент", аппаратно-программный криптографический комплекс «Верба» и «ШИП», аппаратно-программный комплекс ViPNet).
Документы, содержащие конфиденциальную информацию, обрабатываются в следующих отделах: бухгалтерия, отдел кадров, юридический одел, отдел безопасности. К ним относятся:
- бухгалтерский баланс;
- отчеты о прибылях и убытках в приложениях к балансу и налоговым декларациям;
- первичные документы (декларация по налогу на добавленную стоимость, платежные поручения, кассовые ордера, выписки банка, справки о состоянии расчетного счета, банковские гарантии и т.д.)
- сводные учетные документы;
- сведения бухгалтерских регистров;
- внутренняя отчетность;
- данные налогового и управленческого учета;
- плановые и фактические показатели финансово-хозяйственной деятельности;
- сведения о личных доходах каждого работника;
- сведения о долговых обязательствах предприятия, в том числе о размерах и условиях полученных кредитов и займов;
- механизм ценообразования (прямые издержки, накладные расходы, норма прибыли);
- результаты изучения рынка, оценка состояния и перспектив развития рыночной конъюнктуры;
- сведения о рыночной стратегии фирмы и об оригинальных методах продвижения товаров;
- проекты прайс-листов и условия предоставления скидок;
- сведения о предполагаемых закупках, о полученных заказах и об объемах взаимных поставок по долгосрочным договорам;
- сведения о предприятии как о торговом партнере;
- данные обо всех контрагентах, деловых партнерах и конкурентах предприятия, которые не содержатся в открытых источниках;
- торговые соглашения, которые по договоренности сторон считаются конфиденциальными;
- сведения о проведении, повестках дня и результатах служебных совещаний;
- сведения о подготовке и результатах переговоров с деловыми партнерами предприятия;
- состояние программного и компьютерного обеспечения фирмы;
- сведения о структуре производства, производственных мощностях, типах и размещении оборудования, запасах сырья, материалов, комплектующих изделий и готовой продукции;
- направления и объемы инвестиций;
- плановые экономические показатели;
- планы расширения или свертывания производства различных видов продукции и их технико-экономические обоснования;
- сведения о новых материалах и технологии их применения, о комплектующих изделиях, которые придают продукции новые качества;
- сведения о модернизации известных технологий, которая позволяет повысить конкурентоспособность продукции;
- сведения о целях, задачах и программах перспективных исследований;
- конструкционные характеристики создаваемых изделий и параметры разрабатываемых технологических процессов (габариты, компоненты, режимы обработки и т. п.);
- особенности конструкторско-технологических решений и дизайнерского оформления, которые могут изменить рентабельность изделий;
- условия экспериментов и характеристика оборудования, на котором они проводились.
При ознакомлении посторонних лиц с данными документами возможны следующие последствия:
- разрыв (или ухудшение) деловых отношений с партнерами;
- срыв переговоров, потеря выгодных контрактов;
- невыполнение договорных обязательств;
- необходимость проведения дополнительных рыночных исследований;
- отказ от решений, ставших неэффективными из-за огласки информации, и, как следствие, финансовые потери, связанные с новыми разработками;
- ущерб авторитету или деловой репутации фирмы;
- более жесткие условия получения кредитов;
- трудности в снабжении и приобретении оборудования и т. д.
Система документооборота на предприятии заключается в следующем.
На предприятии различают три основных потока документации:
- входящие документы, поступающие из других организаций;
- исходящие документы, отправляемые в другие организации;
- внутренние документы, создаваемые на предприятии и используемые работниками предприятия в управленческом процессе.
Все документы, поступающие на предприятие, проходят первичную обработку, предварительное рассмотрение, регистрацию, рассмотрение руководством, передачу на исполнение.
Не вскрываются и передаются по назначению документы с пометкой “лично”.
Предварительное рассмотрение документов проводится секретарем с целью распределения поступивших документов на:
- направляемые на рассмотрение руководителю предприятия;
- направляемые непосредственно в структурные подразделения или конкретным исполнителям.
Без рассмотрения руководителем передаются по назначению документы, содержащие текущую оперативную информацию или адресованные в конкретные подразделения. Это позволяет освободить руководителя предприятия от рассмотрения мелких текущих вопросов, решение по которым могут принимать ответственные исполнители.
На рассмотрение руководства передаются документы, адресованные руководителю предприятия и документы, содержащие информацию по наиболее важным вопросам деятельности предприятия.
Если документ должен исполняться несколькими подразделениями или должностными лицами, его размножают в нужном количестве экземпляров.
Документы, подлежащие отправке в другую организацию, сортируют, упаковывают, оформляют как почтовое отправление и сдают в отделение связи.
Внутренние документы предприятия передаются исполнителям под расписку в регистрационной форме.
Регистрации подлежат все документы, требующие специального учета, исполнения и использования в справочных целях независимо от способа получения. Сам процесс регистрации - это снятие с документа показателей (реквизитов) и занесение их в определённую регистрационную форму (журнал, ПЭВМ) для создания базы данных о документах учреждения.
Каждый документ, отнесённый к числу регистрируемых, получает свой регистрационный номер.
Документы регистрируются один раз. Регистрация внутренних документов проводится, децентрализовано по группам внутри отделов.
Для входящих, исходящих и внутренних документов ведутся раздельные регистрационные формы с самостоятельными регистрационными номерами.
К документам, содержащим конфиденциальную информацию, имеют доступ начальники отделов и их заместители. Все документы хранятся в столах у начальников отделов, передаются в другие структурные подразделения лично начальником отдела или его заместителем. Учет документов, содержащих конфиденциальную информацию, ведется вместе с учетом остальных документов. Доступ к документам в электронном виде разграничен системой доступа к файлам.
Недостатками данной системы документооборота является то, что невозможно отследить четкие маршруты прохождения документов и распределить поступающие документы по степени конфиденциальности. Конфиденциальный документ, проходя согласование, визирование у многих руководителей и во многих подразделениях, оказывается в руках большого числа посторонних людей - секретарей, заместителей, помощников руководителей, не имеющих к нему прямого отношения. Также человек, получивший доступ в кабинет начальника отдела, практически беспрепятственно может ознакомиться с конфиденциальными документами, хранящимися в столе.
Необходим комплекс административных, процедурных и программно - аппаратных мер, направленных на минимизацию утечки информации через сотрудников: сократить количество людей, допущенных к конкретной информации, до минимально необходимого, жестко разграничивать доступ к хранилищам информации, контролировать, кто получил информацию, защищать процесс ее передачи.
1.Создать на предприятии сектор по работе с документами, содержащими конфиденциальную информацию.
2. Разработать «Инструкцию по обеспечению сохранности коммерческих тайн на предприятии» (Приложение А).
3.3Анализ существующей системы компьютерной безопасности. Перечень разработанных рекомендаций по повышению компьютерной безопасности
На предприятии существует локальная вычислительная сеть (ЛВС). ЛВС управляется операционной системой Windows 2000 Server.В качестве основного средства бухгалтерского учета на предприятии используется сетевая версия программы 1С, прекрасно зарекомендовавшая себя по всем характеристикам. Программа поддерживается операционной системой Windows 98/2000/NT/ХР и сервисно обслуживается специально подготовленным для этого персоналом фирмы-продавца. Так как ОАО «РОСТСТРОЙ» имеет вертикальную структуру и точно известно, какой сотрудник и к какой информации должен иметь доступ, то на предприятии используется вариант сети с выделенным сервером. Только в такой сети существует возможность администрирования прав доступа. Топология типа «звезда» представляет собой более производительную структуру, каждый компьютер, в том числе и сервер, соединяется отдельным сегментом кабеля с центральным концентратором (HAB). Основным преимуществом такой сети является её устойчивость к сбоям, возникающим вследствие неполадок на отдельных ПК или из-за повреждения сетевого кабеля.Сервер установлен в специальном помещении (серверной), которое удовлетворяет требованиям, то есть уровень шума в помещении минимален, помещение изолированно от других, следовательно, доступ к серверу ограничен. В то же время более удобно проводить обслуживание сервера.Вся кабельная сеть проложена в пустоте между фальш-полом и плитами перекрытия этажей.Компьютеры предприятия сгруппированы в рабочие группы, что дает два важных преимущества сетевым администраторам и пользователям. Наиболее важное - серверы домена составляют единый административный блок, совместно использующий службу безопасности и информацию учетных карточек пользователя. Каждая рабочая группа имеет одну базу данных, содержащую учетные карточки пользователя и групп, а также установочные параметры политики безопасности. Все серверы домена функционируют либо как первичный контроллер домена, либо как резервный контроллер домена, содержащий копию этой базы данных. Это означает, что администраторам нужно управлять только одной учетной карточкой для каждого пользователя, и каждый пользователь должен использовать и помнить пароль только одной учетной карточки.Windows 2000 Server имеет средства обеспечения безопасности, встроенные в операционную систему. Ниже рассмотрены наиболее значимые из них:1 Слежение за деятельностью сети.Windows 2000 Server дает много инструментальных средств для слежения за сетевой деятельностью и использованием сети. ОС позволяет просмотреть сервер и увидеть, какие ресурсы он использует увидеть пользователей, подключенных к настоящему времени к серверу и увидеть, какие файлы у них открыты; проверить данные в журнале безопасности; записи в журнале событий; и указать, о каких ошибках администратор должен быть предупрежден, если они произойдут.2 Начало сеанса на рабочей станции.Всякий раз, когда пользователь начинает сеанс на рабочей станции, экран начала сеанса запрашивает имя пользователя, пароль и домен. Затем рабочая станция посылает имя пользователя и пароль в домен для идентификации. Сервер в домене проверяет имя пользователя и пароль в базе данных учетных карточек пользователей домена. Если имя пользователя и пароль идентичны данным в учетной карточке, сервер уведомляет рабочую станцию о начале сеанса. Сервер также загружает другую информацию при начале сеанса пользователя, как, например, установки пользователя, свой каталог и переменные среды.По умолчанию не все учетные карточки в домене позволяют входить в систему. Только карточкам групп администраторов, операторов сервера, операторов управления печатью, операторов управления учетными карточками и операторов управления резервным копированием разрешено это делать.Для всех пользователей сети предприятия предусмотрено свое имя и пароль.3 Учетные карточки пользователей.Каждый клиент, который использует сеть, имеет учетную карточку пользователя в домене сети. Учетная карточка пользователя содержит информацию о пользователе, включающую имя, пароль и ограничения по использованию сети, налагаемые на него. Имеется возможность также сгруппировать пользователей, которые имеют аналогичные ресурсы, в группы; группы облегчают предоставление прав и разрешений на ресурсы, достаточно сделать только одно действие, дающее права или разрешения всей группе. Таблица 1 показывает содержимое учетной карточки пользователя.Учетная карточка пользователя | Элемент учетной карточки | Комментарии |
Username | Имя пользователя | Уникальное имя пользователя, выбирается при регистрации. |
Password | Пароль | Пароль пользователя. |
Full name | Полное имя | Полное имя пользователя. |
Logon hours | Часы начала сеанса | Часы, в течение которых пользователю позволяется входить в систему. Они влияют на вход в систему сети и доступ к серверу. Так или иначе, пользователь вынужден будет выйти из системы, когда его часы сеанса, определенные политикой безопасности, истекут. |
Logon workstations | Рабочие станции | Имена рабочих станций, на которых пользователю позволяется работать. По умолчанию пользователь может использовать любую рабочую станцию, но возможно введение ограничений. |
Expiration date | Дата истечения срока | Дата в будущем, когда учетную карточку автоматически исключают из базы, полезна при принятии на работу временных служащих. |
Home directory | Собственный каталог | Каталог на сервере, который принадлежит пользователю; пользователь управляет доступом к этому каталогу. |
Logon script | Сценарий начала сеанса | Пакетный или исполняемый файл, который запускается автоматически, когда пользователя начинает сеанс. |
Profile | Установки (параметры) | Файл, содержащий запись о параметрах среды рабочего стола пользователя, о таких, например, как сетевые соединения, цвета экрана и установочные параметры, определяющие, какие аспекты среды, пользователь может изменить. |
Account type | Тип учетной карточки | Тип учетной карточки – глобальный или локальный. |
Категория | События |
1 | 2 |
Начало и конец сеанса | Попытки начала сеанса, попытки конца сеанса; создание и завершение сетевых соединений к серверу |
Доступ к файлам и объектам | Доступы к каталогу или файлу, которые устанавливаются для ревизии в диспетчере файлов; использование принтера, управление компьютером |
Использование прав пользователя | Успешное использование прав пользователя и неудачные попытки использовать права, не назначенные пользователям |
Управление пользователями и группами | Создание, удаление и модификация учетных карточек пользователя и групп |
Изменения полиса безопасности | Предоставление или отменена прав пользователя пользователям и группам, установка и разрыв связи доверия с другими доменами |
Перезапуск, выключение и система | Остановка и перезапуск компьютера, заполнение контрольного журнала и отвержение данных проверки, если контрольный журнал уже полон |
Трассировка процесса | Начало и остановка процессов в компьютере |
2. Установить программу контроля соблюдения правил работы на персональном компьютере.