правильное наполнение комплекта организационно-распорядительных документов как правовой основы управления СБ фирмы;
информационная безопасность фирмы;
технологии против терроризма;
бизнес-разведка;
защита от "недружественных поглощений";
углубленные кадровые проверки.
Комплект организационно-распорядительных документов фирмы. Прежде всего СБ должна иметь Устав (Положение) СБ, а также трудовые договора с начальником СБ, руководителями структурных подразделений и сотрудниками СБ.
Отдел режима и охраны должен иметь:
положения (об отделе режима и охраны, о секторе охраны, бюро пропусков);
должностные инструкции (начальника смены, караула или наряда, сотрудника сектора охраны, инженера сектора охраны, коменданта здания, мастера по обеспечению вневедомственной охраны, начальника, инспектора и дежурного бюро пропусков, инкассатора);
бланки (заявок на разовые пропуска, постоянного, разового и материального пропусков);
книги (учета удостоверений и пропусков, посетителей по разовым пропускам, учета ежедневного расхода бланков пропусков и количества действующих пропусков);
журналы (учета разовых и материальных пропусков, приема металлических пеналов с ключами от спецпомещений, проверок состояния средств сигнализации и регистрации ее срабатывания).
Спецотдел должен иметь:
положения о спецотделе и о секторе обработки документов с грифом "коммерческая тайна" (КТ);
должностные инструкции (делопроизводителя, машинистки, оператора ЭВМ сектора обработки документов с грифом "КТ");
памятку работнику (служащему) фирмы о сохранении КТ;
договорное обязательство работника (служащего) фирмы о сохранении КТ;
журналы учета документов и изданий с грифом "КТ".
Отдел инженерно-технической безопасности должен иметь:
положение об отделе инженерно-технической безопасности;
должностную инструкцию инженера отдела инженерно-технической безопасности;
акт категорирования выделенного помещения;
технический паспорт на защищаемое помещение;
памятку по обеспечению режима безопасности и эксплуатации оборудования, установленного в защищаемом помещении.
Группа информационно-аналитической деятельности работает на основе соответствующего положения о группе.
Информационная безопасность фирмы должна строиться на принципах непрерывности и комплексности, а это означает, что обеспечение защиты информации не может быть одноразовым актом или затрагивать только отдельную сторону деятельности фирмы. Злоумышленники постоянно ищут слабые звенья в системе защиты информации.
Правильное построение системы защиты информации зависит от знания угроз конфиденциальной информации (КИ). Основными угрозами КИ являются ее разглашение, утечка и несанкционированный доступ к ее источникам. Причем, разглашение коммерческих секретов составляет примерно 42% от всех угроз, поэтому особое внимание следует обращать на пресечение разглашения КИ собственным персоналом фирмы[4].
Комплекс мероприятий по созданию системы информационной безопасности фирмы включает три направления: правовое, организационное и инженерно-техническое.
Правовую базу информационной безопасности на государственном уровне составляют законы РФ ("О государственной тайне", "Об участии в международном информационном обмене", "Об информации, информатизации и защите информации","Об авторском праве и смежных правах", "О патентах и др.), "Доктрина информационной безопасности", "Указ Президента РФ "Об утверждении перечня сведений конфиденциального характера", "Положение о лицензировании деятельности по технической защите конфиденциальной информации", Гражданский и Уголовный кодексы, а также соответствующие нормативно-правовые акты (ГОСТы, положения, инструкции и др.)
Особое внимание следует обратить на правильное применение ст.139 "Служебная и коммерческая тайна" Гражданского кодекса РФ.
К основным организационным мероприятиям можно отнести:
организацию режима и охраны. Их цель - исключение возможности проникновения посторонних лиц на территорию и в помещения, создание отдельных производственных зон по типу конфиденциальных работ с самостоятельными системами доступа и др.;
организацию работы с сотрудниками, которая предусматривает подбор и расстановку персонала, включая знакомство с сотрудниками, обучение правилам работы с КИ, ознакомление с мерами ответственности за нарушение правил защиты информации и др.;
организацию мониторинга телефонных переговоров, ведущихся из офиса;
организацию работы по систематическому и строгому контролю пребывания в контролируемой зоне сотрудников и посетителей, контролю за работой персонала с КИ, за порядком учета, хранения и уничтожения документов и технических носителей;
разработку соответствующих организационно-распорядительных документов, обеспечивающих выполнение всех вышеперечисленных действий.
Задачи инженерно-технического направления заключаются в том, чтобы предотвратить утечку КИ по различным каналам: визуально-оптическим, акустическим, электромагнитным и материально-вещественным (отходы производства, бракованные изделия и др.)
В целях защиты от наблюдения и фотографирования обьект защиты необходимо располагать так, чтобы исключить отражение света в сторону возможного расположения злоумышленника, использовать средства преграждения или значительного ослабления отраженного света: ширмы, экраны, шторы, ставни, темные стекла и другие преграждающие среды и преграды, применять средства маскирования и имитации с целью введения в заблуждение злоумышленника.
Для защиты от подслушивания используют звукоизоляционные и звукопоглощающие материалы: вату, ворсистые ковры, пенобетон, пористую сухую штукатурку, герметические акустические панели, изготавливаемы из стекловаты.
Для защиты информации от утечки через стены, потолки, полы, окна, двери, трубы, вентиляционные коммуникации используют генераторы шума.
Наибольшее распространение получает установка телефонных радиозакладок. Простейшими и в тоже время крайне важными мерами борьбы с подслушиванием телефонных переговоров являются мероприятия по обеспечению строгой дисциплины ведения телефонных переговоров. Внешней телефонной связью должен пользоваться ограниченный круг лиц. Никакие частные переговоры из выделенных помещений не допускаются. Наименования организаций, учреждений, должностных лиц, фамилия и другие сведения не должны употребляться в ходе переговоров. Запрещается передача по телефону распоряжений, отчетов, сведений о составе, состоянии и деятельности фирмы.
Прокладка телефонных линий должна быть выполнена таким образом, чтобы можно было удобно их контролировать и трудно использовать для подслушивания.
В целях своевременного определения постороннего включения необходимо обеспечить постоянное наблюдение за состоянием телефонных линий выделенных помещений. О всяком изменении слышимости разговоров или появлении шумов, тресков могущих свидетельствовать о включении в линию прослушивающей аппаратуры, необходимо сообщать в СБ фирмы.
Рекомендуется отключать телефонный аппарат от телефонной линии посредством разъемной розетки на период проведения конфиденциальных переговоров. Таким образом, очень просто ликвидируется источник (телефон подслушивания).
Весьма эффективной мерой противодействия подслушиванию переговоров является использование для конфиденциального общения маскираторов речи или скремблеров, шифрующий речевой сигнал до его передачи в телефонную линию.
Для обнаружения радиомикрофонов и телефонных радиозакладок применяются индикаторы поля.
Нелинейные локаторы обеспечивают обнаружение в предметах интерьера и строительных конструкциях помещения технических средств несанкционированного подключения и подслушивания.
Особый случай - посещение злоумышленниками различных мероприятий, исключающие изъятие принесенных радиозакладок. В этом случае прибегают к постановке активных радиоэлектронных помех, нарушающих работу системы радиоподслушивания.
Для обнаружения незаконных подключений к линиям связи применяется аппаратура проверки проводных линий (анализаторы телефонных линий, тесты-комплекты для выявления подключений к любой проводной линии).
Для защиты от радиоперехвата рекомендуется [5]:
выбирать направление радиосигнала в сторону наименьшей возможности его приема;
сокращать до минимума время радиоразговора;
использовать направленные антенны;
уменьшать ширину диаграммы направленности антенн;
использовать скрытые режимы передачи информации;
снижать интенсивность излучения;
использовать радиомолчание;
создавать активные и пассивнее помехи;
организовать ложную работу;
изменять режимы работы.
В целях выявления брешей в системе защиты информации и объективной оценки уровня информационной безопасности фирмы необходимо своевременно осуществлять аудит информационной безопасности фирмы.
Технологии против терроризма. Как известно, терроризм постоянно "обогащается" новейшей информационной технологией, "интеллектуализируется" и "подбирается" к совремнному оружию массового поражения (ядерному, радиоционному, биологическому, химическому).
Терроризм не имеет определенного объекта нападения. В любой момент им может стать крупный политический или финансовый лидер, большое скопление народа или офис фирмы. Причем, теракт, как правило, кропотливо и тщательно готовится. Большое преимущество у террористов - фактор внезапности.
Поэтому необходимо каждодневно предпринимать превентивные (упреждающие) меры против теракта. Чтобы предотвратить пронос средств терроризма на территорию, необходимо организовать посты наблюдения, проверки посетителей, ручной клади ввозимых (вывозимых) грузов. Такие посты должны быть оснащены биноклями (зрительными трубами), приборами ночного видения (возможно тепловизорами), детекторами взрывчатых веществ, металлоискателями, рентгенотелевизионной аппаратурой (при необходимости и др.).