Информационная безопасность предприятия

Несанкционированный доступ - это противоправное преднамеренное овладение конфиденциальной информацией лицом, не имеющим права доступа к охраняемым секретам. Несанкционированный доступ к источникам конфиденциальной информации реализуется различными способами: от инициативного сотрудничества, выражающегося в активном стремлении "продать" секреты, до использования различных средств проникновения к коммерческим секретам. Для реализации этих действий злоумышленнику приходится часто проникать на объект или создавать вблизи него специальные посты контроля и наблюдения - стационарных или в подвижном варианте, оборудованных самыми современными техническими средствами. Если исходить из комплексного подхода к обеспечению информационной безопасности, то такое деление ориентирует на защиту информации как от разглашения, так и от утечки по техническим каналам и от несанкционированного доступа к ней со стороны конкурентов и злоумышленников. Такой подход к классификации действий, способствующих неправо-мерному овладению конфиденциальной информацией, показывает многогранность угроз и многоаспектность защитных мероприятий, необходимых для обеспечения комплексной информационной безопасности.

С учетом изложенного  остается рассмотреть вопрос, какие  условия способствуют неправомерному овладению конфиденциальной информацией. Указываются следующие условия:

разглашение (излишняя болтливость  сотрудников) - 32%;

несанкционированный доступ путем подкупа и склонения  к сотрудничеству со стороны конкурентов  и преступных группировок - 24%;

отсутствие на фирме  надлежащего контроля и жестких  условий обеспечения информационной безопасности - 14%;

традиционный обмен  производственным опытом - 12%;

бесконтрольное использование  информационных систем - 10%;

наличие предпосылок  возникновения среди сотрудников  конфликтных ситуаций 8%;

а также отсутствие высокой  трудовой дисциплины, психологическая несовместимость, случайный подбор кадров, слабая работа кадров по сплочению коллектива.

Среди форм и методов  недобросовестной конкуренции находят  наибольшее распространение:

экономическое подавление, выражающееся в срыве сделок и иных соглашений (48%),

парализации деятельности фирмы (31%),

компрометации фирмы (11%),

шантаже руководителей  фирмы (10%);

физическое подавление:

ограбления и разбойные  нападения на офисы, склады, грузы (73%),

угрозы физической расправы над руководителями фирмы и ведущими специалистами (22%),

убийства и захват заложников (5%);

информационное воздействие:

подкуп сотрудников (43%),

копирование информации (24%),

проникновение в базы данных (18%),

продажа конфиденциальных документов (10%),

подслушивание телефонных переговоров и переговоров в  помещениях (5%),

а также ограничение  доступа к информации, дезинформация;

финансовое подавление включает такие понятия, как инфляция, бюджетный дефицит, коррупция, хищение  финансов, мошенничество; психическое давление может выражаться в виде хулиганских выходок, угрозы и шантажа, энергоинформационного воздействия.

Основными угрозами информации являются ее разглашение, утечка и несанкционированный  доступ к ее источникам. Каждому  из условий неправомерного овладения конфиденциальной информацией можно поставить в соответствие определенные каналы, определенные способы защитных действий и определенные классы средств защиты или противодействия.

 

 

 

 

Глава 2. Разработка и методика внедрения эффективной политики информационной безопасности

2.1 Основные положения

Не секрет, что дела с обеспечением ИБ в большинстве  российских компаний обстоят не лучшим образом. Общение со специалистами  и результаты статистических исследований только укрепляют это мнение. Большинство организаций регулярно терпят убытки, связанные с нарушением ИБ, не способны оценить ущерб или хотя бы обнаружить многие из этих нарушений. Тем более не идет речь о реализации в современных российских организациях полноценной процедуры управления рисками ИБ. Большинство специалистов-практиков даже не берутся за эту "непосильную" задачу, предпочитая руководствоваться при решении проблем ИБ исключительно собственным опытом и интуицией. Убытки от нарушений ИБ могут выражаться в утечке конфиденциальной информации, потере рабочего времени на восстановление данных, ликвидацию последствий вирусных атак и т.п. Убытки могут также выражаться и вполне конкретными "круглыми суммами", например, когда речь идет о мошенничестве в финансовой сфере с использованием компьютерных систем.

Политики безопасности (ПБ) лежат в основе организационных  мер защиты информации. От их эффективности  в наибольшей степени зависит  успешность любых мероприятий по обеспечению ИБ. Часто приходится сталкиваться с неоднозначностью понимания  термина "политика безопасности". В современной практике обеспечения ИБ термин "политика безопасности" может употребляться как в широком, так и в узком смысле слова. В широком смысле, ПБ определяется как система документированных управленческих решений по обеспечению ИБ организации. В узком смысле под ПБ обычно понимают локальный нормативный документ, определяющий требования безопасности, систему мер, либо порядок действий, а также ответственность сотрудников организации и механизмы контроля для определенной области обеспечения ИБ. Примерами таких документов могут служить "Политика управления паролями", "Политика управления доступом к ресурсам корпоративной сети", "Политика обеспечения ИБ при взаимодействии с сетью Интернет" и т.п.

2.2 Методика  разработки и внедрения политики информационной безопасности

Разработка и внедрение  политики ИБ происходит в несколько  этапов, а именно:

I этап - Формирование перечня сведений, составляющих коммерческую тайну организации;

Перечень сведений, составляющих коммерческую тайну организации, формируется путем обобщения предложений, поступающих от руководителей структурных подразделений организации. Перечень рассматривается и утверждается на Административном совете организации.

В перечень включаются сведения позволяющие организации при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду, а также сведения, которые имеет действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам.

Сведениям, вошедшим в  перечень, присваивается гриф "Конфиденциально".

Сведения, включенные в  перечень, имеют ограничительный характер на использование (применение). Ограничения, вводимые на использование таких сведений, направлены на защиту интересов организации, ее клиентов и партнеров.

II этап - Анализ угроз информационной безопасности организации и модель действия нарушителя.

Угрозами информационной безопасности организации являются потенциально возможные действия по отношению к информационным ресурсам, носителям сведений и технологическим ресурсам, связанным с обработкой и хранением сведений, составляющими коммерческую тайну организации. К таким действиям относятся:

1. Несанкционированная модификация информации как частичное или полное изменение ее состава и содержания;
2. Разрушение (уничтожение) информации;
3. Несанкционированный доступ к сведениям составляющим коммерческую тайну;
4. Разглашение информации - это умышленные или неосторожные действия со сведениями, составляющими коммерческую тайну, приведшие к ознакомлению с ними лиц, не имеющими к ним допуска;
5. Выход из строя оборудования, отвечающего за хранение или обработку сведений, составляющих коммерческую тайну.

При построении модели нарушителя информационной безопасности используется неформальная модель злоумышленника (нарушителя), отражающая причины и мотивы действий, его возможности, априорные знания, преследуемые цели, основные пути достижения поставленных целей, способы реализации исходящих от него угроз, место и характер действия, возможная тактика.

По отношению к организации потенциальных нарушителей информационной безопасности условно можно разделить на внутренних и внешних.

К внутренним нарушителям относятся:

• Сотрудники организации, имеющие доступ к охраняемой информации с правами администратора;
• Сотрудники организации, имеющие доступ к охраняемой информации на уровне пользователей;
• Технический персонал по обслуживанию здания;

К внешним нарушителям  относятся:

• Клиенты и посетители организации;
• Сотрудники органов ведомственного надзора;
• Нарушители пропускного режима;
• Представители конкурирующих организаций;

III этап - Требования к системе защиты информации.

Основной задачей системы информационной безопасности организации является управление информационными рисками и минимизация их для всех видов потенциальных угроз.

Система защиты информации в Организации строится на следующих  принципах:

• Непрерывность во времени;
• Комплексность;
• Целенаправленность;
• Универсальность и надежность;
• Плановость мероприятий по защите информации;
• Адекватность уровню важности защищаемых ресурсов;
• Все структурные подразделения организации принимают участие в процессе защиты информации в сфере своей деятельности и в рамках своей компетенции;
• Комплексный контроль функционирования системы защиты информации.

Система защиты информации организации должна обеспечивать:

• Персональный допуск сотрудников организации к работе с конфиденциальной информацией в рамках необходимых для выполнения своих служебных обязанностей;
• Управление информационными потоками;
• Возможность аутентификации и идентификации сотрудников организации, обращающихся к защищаемой информации;
• Регулярное создание страховых копий критичных информационных ресурсов организации;
• Регулярное осуществление контроля целостности программного обеспечения;
• Регулярное проведение мероприятий по борьбе с компьютерными вирусами и другими вредоносными программами;
• Безопасное подключение корпоративной сети организации к Интернет;
• Возможность контроля над действиями сотрудников организации в корпоративной сети;

Объекты информационной системы организации, подлежащие защите.

Объектами информационной защиты являются носители конфиденциальных сведений, вошедших в перечень, технологические процессы и оборудование, связанные с обработкой таких сведений.

К защищаемым объектам относятся:

• Документы на бумажных носителях, содержащие сведения, вошедшие в перечень;
• Съемные машинные носители информации, на которых в электронном виде хранятся сведения, вошедшие в перечень;
• Рабочие станции и сервера организации;
• Сетевое оборудование (маршрутизаторы, коммутаторы);
• Программно-аппаратные средства защиты информации (межсетевые экраны, средства шифрования);
• Каналы связи, по которым передаются в электронном виде сведения, вошедшие в перечень.

IV этап - Подбор персонала и ответственность за нарушение режима информационной безопасности.

Подбор кандидатов и прием на работу в компанию осуществляется на конкурсной основе. организация подбора и проведение конкурсов на вакантные должности находится в компетенции менеджера по персоналу.

Кандидаты на работу в  компанию проходят собеседование в Службе безопасности.

При приеме на работу работник подписывает обязательство о  неразглашении коммерческой тайны  и проходит инструктаж по информационной безопасности у системного администратора.

В письменном трудовом договоре с сотрудником и его должностных  обязанностях должны указываться его  обязанности по соблюдению режима информационной безопасности.

Руководители структурных подразделений организации несут персональную ответственность за соблюдение режима информационной безопасности сотрудниками своих подразделений.

Сотрудник несет ответственность  за разглашение коммерческой тайны  во время трудовых отношений и  в течении двух лет после их прекращения в порядке, установленном законодательством.

Разглашение сведений ограниченного  распространения и нарушение  режима информационной безопасности является чрезвычайным происшествием. По всем фактам проводится служебное расследование  комиссией, назначаемой приказом Генерального директора.

Задачи служебного расследования:

• выяснение обстоятельств разглашения коммерческой тайны или потери носителей таких сведений;
• выявление виновных в разглашении сведений составляющих коммерческую тайну организации;
• выявление причин и условий, при которых стало возможно разглашение сведений ограниченного распространения или потеря носителей таких сведений;
• принятие действенных мер по недопущению подобных происшествий;