Основы защиты информации
.docОсновы защиты информации
Организационные методы защиты
Основным средством организационной защиты информации является резервное копирование наиболее ценных данных. В случае утраты информации по любой из вышеперечисленных причин жесткие диски переформатируют и подготавливают к новой эксплуатации. На "чистый" отформатированный диск устанавливают операционную систему с дистрибутивного компакт-диска, затем под ее управлением устанавливают все необходимое программное обеспечение, которое тоже берут с дистрибутивных носителей. Восстановление компьютера завершается восстановлением данных, которые берут с резервных носителей.
При резервировании данных следует также иметь в виду и то, что надо отдельно сохранять все регистрационные и парольные данные для доступа к сетевым службам Интернета. Их не следует хранить на компьютере. Обычное место хранения - служебный дневник в сейфе руководителя подразделения.
Создавая план мероприятий по резервному копированию информации, необходимо учитывать, что резервные копии должны храниться отдельно от компьютера. То есть, например, резервирование информации на отдельном жестком диске того же компьютера только создает иллюзию безопасности. Относительно новым и достаточно надежным приемом хранения ценных, но неконфиденциальных данных является их хранение в Web-папках на удаленных серверах в Интернете. Есть службы, бесплатно предоставляющие пространство (до нескольких Мбайт) для хранения данных пользователя.
Резервные копии конфиденциальных данных сохраняют на внешних носителях, которые хранят в сейфах, желательно в отдельных помещениях. При разработке организационного плана резервного копирования учитывают необходимость создания не менее двух резервных копий, сохраняемых в разных местах. Между копиями осуществляют ротацию. Например в течение недели ежедневно копируют данные на носители резервного комплекта А, а через неделю их заменяют комплектом Б, и т.д.
19. Организационные меры защиты информации
К организационным мерам защиты можно отнести
организационно-технические и организационно-правовые мероприятия,
осуществляемые в процессе создания и эксплуатации системы
обработки и передачи данных фирмы или банка с целью обеспечения
защиты информации. Насколько важным являются организационные
мероприятия в общем арсенале средств защиты, говорит уже хотя бы
тот факт, что ни одна система обработки данных не может
функционировать без участия обслуживающего персонала. Кроме того,
организационные мероприятия охватывают все структурные элементы
системы защиты на всех этапах их жизненного цикла: строительство
помещений, проектирование системы, монтаж и наладка оборудования,
испытания и проверка в эксплуатации аппаратуры, оргтехники,
средств обработки и передачи данных. Сегодня фирмы,
специализирующиеся на изготовлении технических средств для
промышленного шпионажа, выпускают устройства, которые по своим
параметрам не уступают оперативной технике, используемой
спецслужбами. Лучше вооружены сегодня те спецслужбы, у которых
есть для этого необходимые денежные средства. Это обстоятельство
необходимо учитывать при оценке потенциальных возможностей ваших
конкурентов по ведению промышленного шпионажа. Первым шагом в
создании эффективной системы защиты фирмы от технического
проникновения конкурентов или злоумышленников должна стать оценка
основных методов промышленного шпионажа, которыми могут
воспользоваться ваши конкуренты, изучение характеристик,
имеющихся у них на вооружении средств съема информации с
отдельных помещений и технических средств фирмы. Предварительный
анализ уязвимости помещений и технических средств фирмы от
промышленного шпионажа позволяет сделать вывод о наиболее
вероятных методах съема информации, которые может использовать
конкурент. Такой анализ дает возможность службе безопасности
фирмы выработать необходимые организационные, технические и
специальные меры защиты объекта фирмы. Организационные меры
защиты базируются на законодательных и нормативных документах по
безопасности информации. Они должны охватывать все основные пути
сохранения информационных ресурсов и включать: - ограничение
физического доступа к объектам обработки и хранения информации и
реализацию режимных мер; - ограничение возможности перехвата
информации вследствие существования физических полей; -
ограничение доступа к информационным ресурсам и другим элементам
системы обработки данных путем установления правил разграничения
доступа, криптографическое закрытие каналов передачи данных,
выявление и уничтожение "закладок"; - создание твердых копий
важных с точки зрения утраты массивов данных; - проведение
профилактических и других мер от внедрения "вирусов". По
содержанию все множество организационных мероприятий можно
условно разделить на следующие группы. 1) Мероприятия,
осуществляемые при создании системы обработки, накопления,
хранения и передачи данных заключающиеся в учете требований
защиты при: разработке общего проекта системы и ее структурных
элементов; строительстве или переоборудовании помещений;
разработке математического, программного, информационного или
лингвистического обеспечений; монтаже и наладке оборудования;
испытаниях и приемке системы. Особое значение на данном этапе
придается определению действительных возможностей механизмов
защиты, для чего целесообразно осуществить целый комплекс
испытаний и проверок. 2) Мероприятия, осуществляемые в процессе
эксплуатации систем обработки данных: организация пропускного
режима; организация автоматизированной обработки информации;
распределение реквизитов разграничения доступа (паролей,
полномочий и т.д.); организация ведения протоколов; контроль
выполнения требований служебных инструкций и т.п. 3) Мероприятия
общего характера: учет требований защиты при подборе и подготовке
кадров; организация проверок механизма защиты; планирование всех
мероприятий по защите информации; обучение персонала; проведение
занятий с привлечением ведущих организаций; участие в семинарах и
конференциях по проблемам безопасности информации и т.п. Одна из
важнейших организационных мер защиты информации - создание службы
безопасности фирмы. Подумать о создании службы безопасности
необходимо сразу, как только у вас появилась реальная опасность
благополучному развитию фирмы (утечка "закрытой" информации,
нанесение материального или финансового ущерба, угрозы
руководству или рядовым сотрудникам), если объем сведений,
составляющих коммерческую тайну, значителен и ваши партнеры
требуют обеспечить безопасность сотрудничества. Однако не всякой
фирме под силу нести расходы по обеспечению эффективной системы
безопасности, поэтому, прежде всего, необходимо провести
экономическое обоснование ее создания. В развитых западных
странах на содержание служб безопасности выделяется до 20
процентов чистой прибыли в год. Таким образом, если фирма
"зарабатывает" пять миллионов в год, то один миллион - по
зарубежным стандартам - может быть потрачен на службу
безопасности. Как же рационально распределить расходы? Практика
деятельности некоторых фирм в этой области показывает, что на
содержание физической охраны тратится до 50 процентов, на
техническое оснащение до 30 процентов, на другие нужды службы
безопасности до 20 процентов расходуемых средств. Не секрет, что
руководители очень крупных производственных и коммерческих
организаций содержат охрану численностью в несколько сот человек.
Оценив расходы на услуги охранников, оплату руководителей службы
безопасности, приобретение и оснащение техническими средствами
защиты (охранная и пожарная сигнализация, блокировочные замки,
генераторы шума, криптографическая аппаратура и т.д.) экономисты
могут легко подсчитать, во сколько обойдется содержание службы
безопасности и сделать соответствующие выводы о целесообразности
ее создания. Часть предпринимателей предпочитает формировать
службу безопасности из профессионалов - сотрудников органов
безопасности, подразделений разведки, МВД. Однако стороны не
всегда находят общий язык. Например, предприниматель, действующий
на грани закона и подбирающий в службу безопасности тех, кто его
"прикроет" в трудную минуту, не может расчитывать на молчание
каждого из своих сотрудников, связанных с правоохранительными
органами. Поэтому некоторые руководители фирм требуют от
принимаемых на работу прекращения всех деловых контактов с
органами безопасности и милиции. Неплохо навести справки о
личности нанимаемого в службу безопасности, запросить
характеристики с прежних мест работы, получить рекомендации от
заслуживающих доверие лиц. Эффективный способ проверки -
испытательный срок с соответствующими поручениями для кандидатов.
В это же время можно подготовить и провести несколько безобидных
экспериментов, в ходе которых вы удостоверитесь в необходимых для
этой работы качествах испытуемого, например: отличном знании
законодательства; хорошей профессиональной и физической
подготовке; критическом творческом мышлении; способности быстро и
глубоко анализировать события и т.д. В небольших организациях
функции руководителя службы обычно выполняет либо глава фирмы,
либо его заместитель. В структуру службы безопасности могут
входить: руководитель, непосредственно подчиненный главе фирмы
или сам являющийся директором (заместителем директора) фирмы;
заместитель начальника службы безопасности - на некоторых
предприятиях он руководит физической, а иногда и технической
службами охраны; аналитик; юрист; специалисты в области
обеспечения безопасности, экономической разведки, промышленной
контрразведки; технические специалисты, умеющие применять
специальную технику для защиты помещений; сотрудники физической
охраны и пропускного режима (на некоторых фирмах они работают на
контрактной основе (по найму), но подчиняются руководителю службы
безопасности). В службе безопасности могут быть курьеры и
инкассаторы, психологи и кинологи (если для охраны используются
служебные собаки). Количественный состав службы безопасности
весьма различен и зависит, прежде всего, от возможностей самой
фирмы.На современном этапе отдается предпочтение физической и
технической охране, время "оперативников" и аналитиков только
начинается. Пока же лишь наиболее дальновидные предприниматели
понимают, что своевременное получение достоверной информации о
клиентах, предполагаемых партнерах и конкурентах, а также
обеспечение безопасности сделок квалифицированными специалистами
приносит наибольший эффект. Не секрет, что " прогоревшие" на
крупных сделках руководители фирм пытаются нанять "крутых" парней
для оказания физического и психологического воздействия на
недобросовестного партнера, его семью и возвратить таким образом
утраченные миллионы. Однако, как показывает практика, эти
попытки, часто влекущие уголовную ответственность, - напрасная
трата времени и средств . Поэтому главный принцип работы службы
безопасности- предупреждение подобных ситуаций. Собственно, на
этом принципе основано и деление службы безопасности по группам,
обеспечивающим безопасность личности ( руководителей, персонала
фирмы и членов их семей); защиту материальной базы и коммерческих
тайн фирмы. Служба безопасности защищает помещения офисов,
оборудование и технику, транспорт, землю, на которой
осуществляется производственные или коммерческая деятельность и
т.п. Анализирует, кто из конкурентов может заниматься
вымогательством и шантажом. Не менее важное значение имеет защита
связей с партнерами, экономического положения на рынке. К числу
способов защиты экономической базы фирмы относятся аудиторские
проверки, заключение сделок по факту поставки товаров и т.п.
Предотвращение хищений имущества и ценностей фирмы
обеспечивается, помимо работы с персоналом, контролем и защитой
от несанкционированного проникновения в помещение, к грузам,
ценностям, носителям информации. В связи с тем, что до 80 %
случаев утечки информации и утраты документов совершается по вине
персонала, служба безопасности (СБ) самым внимательным образом
проводит работу по подбору и проверке сотрудников , обучает их
работе с секретной информацией. СБ может иметь открытую и
закрытую области деятельности. Работа открытого характера связана
с поддержанием официальных контактов с представителями других
предприятий, прессой, персоналом фирмы. Закрытая деятельность
обычно не афишируется. Это, как правило, скрытая проверка
персонала, выполнение различных конфиденциальных поручений
руководства фирмы.