Все сигналы о возможной утечке информации должны тщательно проверяться и в случае выявления виновных в этом лиц должны быть приняты меры, как к виновникам (перевод на работу, не связанную с тайной, возмещение ущерба, увольнение и др.), так и принятие мер по предотвращению подобных явлений в будущем;
- в-четвертых, защита конфиденциальной информации предполагает также принятие мер по предотвращению разглашения защищаемой информации в открытых публикациях сотрудниками предприятия, особенно при подготовке и публикации научных работ (статей, брошюр и др.). Все эти документы и публикации должны предварительно согласовываться со специалистами и руководящими работниками предприятия;
- в-пятых, важным звеном защиты конфиденциальной информации предприятия является работа с клиентами, партнерами и др. При ведении таких переговоров важно убедиться, что другая сторона преследует в переговорах те же цели, что и вы, то есть заключить взаимовыгодное соглашение, а не получение конфиденциальной информации о вашей фирме.
Приступая к разработке системы мер по обеспечению защиты информации на предприятии, его руководитель (или начальник СлЗИ) должен получить ответы на следующие вопросы:
· что конкретно необходимо защищать (охранять), от кого и когда?
· кто организует и обеспечивает защиту (охрану)?
· как оценивать эффективность и достаточность защиты (охраны)?
Для грамотного построения и эксплуатации системы защиты необходимо соблюсти следующие принципы ее применения [15]:
· простота защиты;
· приемлемость защиты для пользователей;
· подконтрольность системы защиты;
· постоянный контроль за наиболее важной информацией;
· дробление конфиденциальной информации на составляющие элементы, доступ к которым имеют разные пользователи;
· минимизация привилегий по доступу к информации;
· установка ловушек для провоцирования несанкционированных действий;
· независимость системы управления для пользователей;
· устойчивость защиты во времени и при неблагоприятных обстоятельствах;
· глубина защиты, дублирование и перекрытие защиты;
· особая личная ответственность лиц, обеспечивающих безопасность информации;
· минимизация общих механизмов защиты.
Алгоритм создания системы защиты конфиденциальной информации таков [23]:
1. Определяется предмет защиты. Разрабатывается Перечень сведений, составляющих различные виды тайн, в котором выделяется наиболее ценная информация, нуждающаяся в особой охране, учитываются требования по защите других предприятий (фирм), участвующих в совместных работах.
2. Устанавливаются периоды существования конкретных сведений в качестве различных видов тайн.
3. Выделяются категории носителей ценной информации: персонал, документы, изделия и материалы; технические средства хранения, обработки и передачи информации; физические излучения. Для обеспечения восприятия разрабатываемой системы защиты можно составить схему, в которой указываются конкретные сотрудники, осведомленные о различных видах тайн, названия (категории) классифицированных документов и т.п.
4. Перечисляются стадии (этапы) работ, время материализации различных видов тайн в носителях информации применительно к пространственным зонам (местам работы с ними внутри и за пределами предприятия). Например, договоры, подписываемые за пределами предприятия; выступления участников отчетных совещаний в конкретных кабинетах; размножение классифицированных документов на множительном участке и т.п.
5. Составляется схема работ с конкретными сведениями, материализованными в носителях, в пределах предприятия (фирмы) и вне его и предполагаемого их перемещения. Рассматриваются возможные для предприятия несанкционированные перемещения, которые могут быть использованы конкурентами для овладения различными видами тайн.
6. Разрабатываются (или корректируются) в процессе анализа разрешительные подсистемы допуска и доступа к конкретным сведениям, составляющим различные виды тайн.
7. Определяется, кто реализует мероприятия и кто несет ответственность за защиту конкретной информации, процессов работ с классифицированными данными. Намечаются меры по координации, назначаются конкретные исполнители.
8. Планируются действия по активизации и стимулированию лиц, задействованных в защите.
9. Проверяется надежность принятых к реализации мер обеспечения защиты.
Аналитические исследования, моделирование вероятных угроз позволяют наметить при необходимости дополнительные меры защиты. При этом следует оценить вероятность их выполнения, наличие методического материала, материального обеспечения, готовность СлЗИ и персонала их выполнить. При планировании учитываются имевшие место на предприятии недостатки в обеспечении сохранности конфиденциальной информации [25].
Планируемые мероприятия должны [15]:
· способствовать достижению определенных задач, соответствовать общему замыслу;
· являться оптимальными.
Не должны [15]:
· противоречить законам, требованиям руководителя фирмы (интересам кооперирующихся фирм);
· дублировать другие действия.
Таким образом, система организации защиты конфиденциальной информации включает в себя комплекс заранее разработанных на определенный срок мер, охватывающих совокупность всех видов деятельности, направленных на совершенствование обеспечения сохранности информации с учетом изменений внешних и внутренних условий и предписывающих конкретным лицам или подразделений определенный порядок действий.
5. Источники информации и оценка их надежности
5.1. Список выявленной литературы
5.1.1. Консультант–Плюс
1. Российская Федерация. Законы. Гражданский кодекс Российской Федерации (часть первая): федер. закон: [от 30.11.1994 № 51-ФЗ; принят Гос.Думой 21.10.1994; в ред. от 03.06.2006].- КонсультантПлюс.- (#"_Toc196040888">5.1.2. Текущие библиографические указатели и реферативные журналы
1. Беляев, Е.А. Исторические аспекты защиты информации в России/ Е.А.Беляев// Информационная безопасность = Inform.security.- М., 2004.- № 3.-С.58–59.
2. Домов, С. Информационная безопасность/ С.Домов// Вестн. Волжского ун–та.- Сер.Информат, 2005.- № 8.- С.53–55
3. Кальченко, Д. Безопасность в цифровую эпоху/ Д.Кальченко// Компьютер Пресс, 2005.- №4.- С.34, 36,38–41.
4. Колесников, К.А. Социальные факторы информационного управления и информационная безопасность в России/ К.А.Колесников// Интеллектуальная собственность: правовые, экономические и социальные проблемы: Сб. тр. аспирантов РГИИС: В 2 ч.- М., 2005.-Ч.2.-С.140–143.
5. Минакова, Н.Н. Особенности подготовки специалистов по информационной безопасности автоматизированных систем/ Н.Н.Минакова, В.В.Поляков// Вестн. Алтайск. науч. центра САН ВШ, 2005.- № 8.- С.125–128.
6. Мешкова, Т.А. Безопасность в условиях глобальной информатизации: новые вызовы и новые возможности: автореф. дис….канд. наук/ Мешкова Т.А.; МГУ им.М.В.Ломоносова.– М., 2003.-26 с.
Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12