Информационная безопасность предприятия

Входящий и исходящий  трафик пользователей в сеть Интернет должен подвергаться антивирусному  контролю.

Все почтовые сервера (как  внешние, так и внутренние) должны быть обязательно защищены антивирусным программным обеспечением. Антивирусное программное обеспечение на рабочих станциях и почтовых серверах должно быть от разных производителей, что повышает вероятность успешного обнаружения вредоносных программ на различных этапах.

Внешние почтовые сервера, межсетевой экран должны запрещать прохождение вложенных исполняемых файлов в компьютерную сеть организации.

 

На всех серверах компьютерной сети организации должно быть установлено антивирусное программное обеспечение. На файл-серверах должен быть включен режим проверки в реальном времени.

Все программное обеспечение, устанавливаемое на компьютерах организации должно предварительно проходить антивирусную проверку на специально выделенном компьютере, не имеющем доступа в компьютерную сеть организации.

На всех рабочих станциях пользователей должно быть установлено  антивирусное программное обеспечение, работающее в режиме проверки в реальном времени.

Необходимо обеспечить обновление баз антивирусного программного обеспечения не реже одного раза в сутки.

Правила антивирусной защиты доводятся до всех пользователей компьютерной сети организации под личную роспись в журнале инструктажа администратором сети.

При передаче программного обеспечения и электронных документов в другие организации или физическим лицам необходимо проводить антивирусный контроль передаваемой информации.

Все факты проникновения  вредоносных программ в компьютерную сеть организации являются нарушением информационной безопасности и подлежат служебному расследованию.

Контроль выполнения антивирусной безопасности пользователями компьютерной сети организации возлагается на Информационно технический отдел.

2.3.  Жизненный цикл политики безопасности

Разработка ПБ – длительный и трудоемкий процесс, требующего высокого профессионализма, отличного знания нормативной базы в области ИБ и, помимо всего прочего, писательского таланта. Этот процесс обычно занимает многие месяцы и не всегда завершается успешно. Координатором этого процесса является специалист, на которого руководство организации возлагает ответственность за обеспечение ИБ.

1. Первоначальный аудит безопасности

Аудит безопасности –  это процесс, с которого начинаются любые планомерные действия по обеспечению  ИБ в организации. Он включает в себя проведение обследования, идентификацию угроз безопасности, ресурсов, нуждающихся в защите и оценку рисков. В ходе аудита производится анализ текущего состояния ИБ, выявляются существующие уязвимости, наиболее критичные области функционирования и наиболее чувствительные к угрозам ИБ бизнес процессы.

2. Разработка

Аудит безопасности позволяет  собрать и обобщить сведения, необходимые  для разработки ПБ. На основании  результатов аудита определяются основные условия, требования и базовая система  мер по обеспечению ИБ в организации, позволяющих уменьшить риски до приемлемой величины, которые оформляются в виде согласованных в рамках рабочей группы решений и утверждаются руководством организации.

Разработка ПБ с нуля не всегда является хорошей идеей. Во многих случаях можно воспользоваться  существующими наработками, ограничившись адаптацией типового комплекта ПБ к специфическим условиям своей организации. Этот путь позволяет сэкономить многие месяцы работы и повысить качество разрабатываемых документов. Кроме того, он является единственно приемлемым в случае отсутствия в организации собственных ресурсов для квалифицированной разработки ПБ.

3. Внедрение

С наибольшими трудностями  приходится сталкиваться на этапе внедрения  ПБ, которое, как правило, связано  с необходимостью решения технических, организационных и дисциплинарных проблем. Часть пользователей могут сознательно, либо бессознательно сопротивляться введению новых правил поведения, которым теперь необходимо следовать, а также программно-технических механизмов защиты информации, в той или иной степени неизбежно ограничивающих их свободный доступ к информации. Администраторов ИС может раздражать необходимость выполнения требований ПБ, усложняющих задачи администрирования. Помимо этого могут возникать и чисто технические проблемы, связанные, например, с отсутствием в используемом ПО функциональности, необходимой для реализации отдельных положений ПБ.

На этапе внедрения  необходимо не просто довести содержание ПБ до сведения всех сотрудников организации, но также провести обучение и дать необходимые разъяснения сомневающимся, которые пытаются обойти новые правила и продолжать работать по старому.

Чтобы внедрение завершилось  успешно, должна быть создана проектная  группа по внедрению ПБ, действующая  по согласованному плану в соответствии с установленными сроками выполнения работ.

4. Аудит и  контроль

Соблюдение положений  ПБ должно являться обязательным для  всех сотрудников организации и  должно непрерывно контролироваться.

Проведение планового  аудита безопасности является одним  из основных методов контроля работоспособности ПБ, позволяющего оценить эффективность внедрения. Результаты аудита могут служить основанием для пересмотра некоторых положений ПБ и внесение в них необходимых корректировок.

5. Пересмотр  и корректировка

Первая версия ПБ обычно не в полной мере отвечает потребностям организации, однако понимание этого приходит с опытом. Скорее всего, после наблюдения за процессом внедрения ПБ и оценки эффективности ее применения потребуется осуществить ряд доработок. В дополнение к этому, используемые технологии и организация бизнес процессов непрерывно изменяются, что приводит к необходимости корректировать существующие подходы к обеспечению ИБ. В большинстве случаев ежегодный пересмотр ПБ является нормой, которая устанавливается самой политикой [6].

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Глава 3. Защита информации на предприятии

3.1. Защита информации  при проведении совещаний и  переговоров

Конфиденциальными именуются обычно совещания и переговоры, в процессе которых могут обсуждаться сведения, составляющие тайну предприятия или его партнеров. Порядок проведения подобных совещаний и переговоров регламентируется специальными требованиями, обеспечивающими безопасность конфиденциальной информации, которая в процессе этих мероприятий распространяется в разрешенном режиме.

Основной  угрозой ценной информации является разглашение большего объема сведений о новой идее, продукции или технологии, чем это необходимо.

Общеизвестны причины, по которым информация может разглашаться на конфиденциальных совещаниях или  переговорах, это:

- слабое знание сотрудниками состава ценной информации и требований по ее защите;

- умышленное невыполнение  этих требований;

- провоцированные и  неспровоцированные ошибки сотрудников;

- отсутствие контроля  рекламной и рекламно-выставочной  деятельности и др.

Оглашение ценной информации в санкционированном режиме должно быть оправдано деловой необходимостью и целесообразностью для конкретных условий и характера обсуждаемых вопросов.

Выделяют  следующие этапы проведения конфиденциальных совещаний и переговоров:

- подготовка к проведению;

- процесс их ведения  и документирования;

- анализ итогов и  выполнения достигнутых договоренностей  (рис. 1).

Разрешение на проведение конфиденциальных совещаний и переговоров  с приглашением представителей других организаций и фирм дает директор предприятия. Решение директора о предстоящем конфиденциальном совещании доводится до сведения руководителя секретариата, секретаря-референта, специалиста по защите конфиденциальной информации и начальника службы безопасности. В целях дальнейшего контроля подготовки и проведения такого совещания информация об этом решении фиксируется в учетной карточке, в которой указываются: наименование совещания, дата, время, состав участников по каждому вопросу и руководитель, ответственный за проведение. 

 

 

 

 

 

Рис. 1. Этапы проведения конфиденциальных совещаний и переговоров. 

 

Доступ сотрудников  предприятия на любые конфиденциальные совещания осуществляется на основе действующей разрешительной системы  доступа персонала к конфиденциальной информации.

Приглашение на конфиденциальные совещания лиц, не являющихся сотрудниками предприятия, разрешается только в случае крайней необходимости их личного участия в обсуждении конкретного вопроса.

Ответственность за обеспечение  защиты ценной информации и сохранение тайны предприятия в ходе совещания несет руководитель, организующий данное совещание. Сотрудники службы безопасности оказывают ему помощь и осуществляют перекрытие возможных организационных и технических каналов утраты информации.

Подготовку конфиденциального совещания осуществляет организующий его руководитель с привлечением сотрудников предприятия, допущенных к работе с конкретной ценной информацией, составляющей тайну предприятия или ее партнеров. Из числа этих сотрудников назначается ответственный организатор, планирующий и координирующий выполнение подготовительных мероприятий и проведение самого совещания.

В процессе подготовки конфиденциального  совещания составляются программа  проведения совещания, повестка дня, информационные материалы, проекты решений и список участников совещания по каждому вопросу повестки дня. Все документы, составляемые в процессе подготовки конфиденциального совещания, должны иметь гриф «Конфиденциально», изготовляться и издаваться в соответствии с требованиями инструкции по обработке и хранению конфиденциальных документов. Документы, предназначенные для раздачи участникам совещания, не должны содержать конфиденциальные сведения. Эта информация сообщается участникам совещания устно при обсуждении конкретного вопроса.

Список участников конфиденциального совещания составляется отдельно по каждому обсуждаемому вопросу. К участию в обсуждении вопроса привлекаются только те сотрудники предприятия, которые имеют непосредственное отношение к этому вопросу. Это правило касается и руководителей.

Документы, составляемые при подготовке конфиденциального  совещания, на котором предполагается присутствие представителей других фирм и организаций, согласовываются  с руководителем службы безопасности. Отмеченные им недостатки в обеспечении  защиты ценной информации должны быть исправлены ответственным организатором совещания. После этого документы утверждаются руководителем, организующим совещание.

Одновременно с визированием подготовленных документов руководитель службы безопасности и ответственный  организатор определяют место проведения совещания, порядок доступа участников в это помещение, порядок документирования хода совещания, а также порядок передачи участникам совещания оформленных решений и подписанных документов.

Конфиденциальное совещание  проводится в специальном помещении и оборудованном средствами технической защиты информации. Доступ в такие помещения сотрудников предприятия и представителей других организаций разрешается только руководителем службы безопасности.

Перед началом конфиденциального совещания, сотрудник службы безопасности обязан убедиться в отсутствии в помещении несанкционированно установленных аудио- и видеозаписывающих или передающих устройств, а также в качественной работе средств технической защиты на всех возможных каналах утечки информации. Помещение должно быть оборудовано кондиционером, так как открытие окон, дверей в ходе совещания не допускается. Окна закрываются светопроницаемыми шторами, входная дверь оборудуется сигналом, оповещающим о ее неплотном закрытии. В целях звукоизоляции целесообразно иметь двойную дверь или зашторивать двери звукопоглощающей тканью.

В помещении для проведения конфиденциальных совещаний не должны находиться приборы, оборудование и  технические средства, которые непосредственно  не используются для обеспечения хода совещания. Документирование, аудио- и видеозапись конфиденциальных совещаний ведутся только по письменному указанию директором предприятия одним из сотрудников, готовивших совещание.

Доступ участников на конфиденциальное совещание осуществляет ответственный организатор под контролем сотрудника службы безопасности в соответствии с утвержденным списком и предъявляемыми участниками персональными документами. Перед началом обсуждения каждого вопроса состав присутствующих корректируется. Нахождение на совещании лиц, не имеющих отношения к обсуждаемому вопросу, не разрешается.

Обычно при открытии совещания организовавший его руководитель должен напомнить участникам о необходимости  сохранения производственной и коммерческой тайны и уточнить, какие конкретные сведения являются конфиденциальными на данном совещании.

Участникам конфиденциального  совещания, независимо от занимаемой должности  и статуса на совещании, не разрешается:

- вносить на совещание  фото-, и видеоаппаратуру, компьютеры, магнитофоны, диктофоны и радиотелефоны (мобильные) и другую бытовую аппаратуру и пользоваться ими;