п. Угрозы ранжируются по степени значимости и классифицируются по видам воздействия.
7. На основе собранных данных оценивается возможный ущерб предприятия от каждого вида угроз, который становится определяющим фактором для категорирования сведений в «Перечне» по степени важности, например - для служебного пользования (3), важно (2), особо важно (1).
8. Определяются сферы обращения каждого вида конфиденциальной информации: по носителям, по территории распространения, по допущенным пользователям. Для решения этой задачи группа привлекает руководителей структурных подразделений и изучает их пожелания.
9. Группа подготавливает введение указанных мер защиты. 9.1. Меры физической защиты. Включают в себя установление определенного режима деятельности, соблюдение которого обязательно для всех сотруд
ников, посетителей и клиентов; порядок его регламентации описывается во внутренних документах по пропускному и внутриобъектовому режиму. Это ограничение доступа, создание соответствующего пропускного режима, контроль за посетителями, например:
- запрещение несанкционированного выноса документов;
- запрещение вноса-выноса дискет, магнитных лент, CD-ROM, переносных накопителей на твердых магнитных дисках и т. п.;
- запрещение перемещения компьютерной техники и комплектующих без соответствующих сопроводительных документов;
- ограничение нахождения на территории предприятия посетителей;
- регламентация использования для переговоров определенных, специально предназначенных для этого помещений
и др.
9.2. Меры технической защиты.
Проводятся специально назначенными на предприятии либо привлеченными специалистами под контролем представителей СБ и включают в себя защиту компьютерной техники, помещений и всех коммуникаций от устройств съема и передачи информации, используя различные технические решения:
- использование средств пассивной защиты - фильтров, ограничителей и т. п. средств развязки электрических и электромагнитных сигналов, систем защиты сетей, электроснабжения, радио- и часофикации и др.;
- экранирование средств канальной коммуникации;
- использование локальных телефонных систем, локальных систем ЭВМ, не имеющих выхода за пределы контролируемой зоны (в том числе систем вторичной часофикации, радиофикации, телефонных систем внутреннего пользования. диспетчерских систем, систем энергоснабжения);
- размещение источников побочных электромагнитных излучений и наводок на возможном удалении от границы охраняемой (контролируемой) зоны;
- экранирование помещений;
- использование пространственного и линейного электромагнитного зашумления;
- развязка по цепям питания и заземления, размещенным в границах охраняемой зоны.
9.3. Меры аппаратной и программной защиты (для компьютерного оборудования информационных систем и сетей). Могут включать в себя:
- обеспечение реакции на попытку несанкционированного доступа, например - сигнализации, блокировки аппаратуры;
- поддержание единого времени;
- установку на АРМы работающих с особо важной конфиденциальной информацией специальных защитных экранов;
- изъятие с АРМов нефункциональных дисководов гибких магнитных дисков (ГМД);
- изъятие с АРМов нефункциональных факсимильных и модемных плат;
- проведение периодических «чисток» АРМов и общих системных директорий на файл-сервере,
- установку входных, паролей на клавиатуру компьютеров;
- установку сетевых имен-регистраторов и паролей для доступа к работе в информационной системе;
- шифрование особо важной конфиденциальной информации;
- обеспечение восстановления информации после несанкционированного доступа;
- обеспечение антивирусной защиты (в т. ч. от неизвестных вирусов) и восстановления информации, разрушенной вирусами;
- контроль целостности программных средств обработки информации;
- проведение периодической замены (возможно, принудительной) всех паролей и регистрационных имен;
- использование расширенных систем аутентификации. 10. Подготавливаются организационные и правовые меры защиты. С этой целью профильными специалистами (руководителями профильных подразделений предприятия) создаются обеспечивающие и регламентирующие документы, которые со
ставляют пакет документации внедрения. С теми или иными отклонениями он может включать в себя следующие виды внутренних документов (наименования условные):
- Положение о конфиденциальной информации предприятия;
- Перечень документов предприятия, содержащих конфиденциальную информацию;
- Инструкция по защите конфиденциальной информации в информационной системе предприятия;
- Предложения по внесению изменений в Устав предприятия;
- Предложения по внесению изменений в трудовой договор, контракт с руководителем и коллективный договор;
- Соглашение о неразглашении конфиденциальной информации предприятия с сотрудником;
- Обязательство сотрудника о неразглашении конфиденциальной информации предприятия при увольнении;
- Предложения о внесении изменений в Правила внутреннего распорядка предприятия (в части регламентации мер физической защиты информации и вопросов режима);
- Предложения о внесении изменений в должностное (штатное) расписание предприятия (если Вы планируете выделить для обеспечения этого направления экономической безопасности предприятия отдельного специалиста по режиму и защите информации или даже целое подразделение);
- Предложения о внесении дополнений в должностные инструкции всему персоналу;
- Ведомость ознакомления сотрудников предприятия с Положением о конфиденциальной информации и Инструкцией по защите конфиденциальной информации в ИС предприятия;
- План проведения занятий с персоналом по сохранению и неразглашению конфиденциальной информации;
- Предложения о внесении изменений в структуру интервью при приеме на работу (уточнение обязательств информационного характера с последних мест работы);
- Предложения о внесении дополнений в стандартные договора с контрагентами;
- Иные документы.
11. Проводится финансовая экспертиза затрат на предложенные меры защиты.
12. Проводится юридическая экспертиза документов правового обеспечения.
13. Программа обеспечивается необходимыми кадровыми ресурсами.
14. Закупается соответствующее оборудование и программное обеспечение для самостоятельной инсталляции либо приглашаются сторонние специалисты.
15. Приказами руководителя предприятия внедряются утвержденные меры защиты, выстраивается система комплексного обеспечения безопасности конфиденциальной информации.
16. Проводится постоянный контроль и мониторинг работоспособности системы.
17. Корректируются внедренные меры защиты.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37
7. На основе собранных данных оценивается возможный ущерб предприятия от каждого вида угроз, который становится определяющим фактором для категорирования сведений в «Перечне» по степени важности, например - для служебного пользования (3), важно (2), особо важно (1).
8. Определяются сферы обращения каждого вида конфиденциальной информации: по носителям, по территории распространения, по допущенным пользователям. Для решения этой задачи группа привлекает руководителей структурных подразделений и изучает их пожелания.
9. Группа подготавливает введение указанных мер защиты. 9.1. Меры физической защиты. Включают в себя установление определенного режима деятельности, соблюдение которого обязательно для всех сотруд
ников, посетителей и клиентов; порядок его регламентации описывается во внутренних документах по пропускному и внутриобъектовому режиму. Это ограничение доступа, создание соответствующего пропускного режима, контроль за посетителями, например:
- запрещение несанкционированного выноса документов;
- запрещение вноса-выноса дискет, магнитных лент, CD-ROM, переносных накопителей на твердых магнитных дисках и т. п.;
- запрещение перемещения компьютерной техники и комплектующих без соответствующих сопроводительных документов;
- ограничение нахождения на территории предприятия посетителей;
- регламентация использования для переговоров определенных, специально предназначенных для этого помещений
и др.
9.2. Меры технической защиты.
Проводятся специально назначенными на предприятии либо привлеченными специалистами под контролем представителей СБ и включают в себя защиту компьютерной техники, помещений и всех коммуникаций от устройств съема и передачи информации, используя различные технические решения:
- использование средств пассивной защиты - фильтров, ограничителей и т. п. средств развязки электрических и электромагнитных сигналов, систем защиты сетей, электроснабжения, радио- и часофикации и др.;
- экранирование средств канальной коммуникации;
- использование локальных телефонных систем, локальных систем ЭВМ, не имеющих выхода за пределы контролируемой зоны (в том числе систем вторичной часофикации, радиофикации, телефонных систем внутреннего пользования. диспетчерских систем, систем энергоснабжения);
- размещение источников побочных электромагнитных излучений и наводок на возможном удалении от границы охраняемой (контролируемой) зоны;
- экранирование помещений;
- использование пространственного и линейного электромагнитного зашумления;
- развязка по цепям питания и заземления, размещенным в границах охраняемой зоны.
9.3. Меры аппаратной и программной защиты (для компьютерного оборудования информационных систем и сетей). Могут включать в себя:
- обеспечение реакции на попытку несанкционированного доступа, например - сигнализации, блокировки аппаратуры;
- поддержание единого времени;
- установку на АРМы работающих с особо важной конфиденциальной информацией специальных защитных экранов;
- изъятие с АРМов нефункциональных дисководов гибких магнитных дисков (ГМД);
- изъятие с АРМов нефункциональных факсимильных и модемных плат;
- проведение периодических «чисток» АРМов и общих системных директорий на файл-сервере,
- установку входных, паролей на клавиатуру компьютеров;
- установку сетевых имен-регистраторов и паролей для доступа к работе в информационной системе;
- шифрование особо важной конфиденциальной информации;
- обеспечение восстановления информации после несанкционированного доступа;
- обеспечение антивирусной защиты (в т. ч. от неизвестных вирусов) и восстановления информации, разрушенной вирусами;
- контроль целостности программных средств обработки информации;
- проведение периодической замены (возможно, принудительной) всех паролей и регистрационных имен;
- использование расширенных систем аутентификации. 10. Подготавливаются организационные и правовые меры защиты. С этой целью профильными специалистами (руководителями профильных подразделений предприятия) создаются обеспечивающие и регламентирующие документы, которые со
ставляют пакет документации внедрения. С теми или иными отклонениями он может включать в себя следующие виды внутренних документов (наименования условные):
- Положение о конфиденциальной информации предприятия;
- Перечень документов предприятия, содержащих конфиденциальную информацию;
- Инструкция по защите конфиденциальной информации в информационной системе предприятия;
- Предложения по внесению изменений в Устав предприятия;
- Предложения по внесению изменений в трудовой договор, контракт с руководителем и коллективный договор;
- Соглашение о неразглашении конфиденциальной информации предприятия с сотрудником;
- Обязательство сотрудника о неразглашении конфиденциальной информации предприятия при увольнении;
- Предложения о внесении изменений в Правила внутреннего распорядка предприятия (в части регламентации мер физической защиты информации и вопросов режима);
- Предложения о внесении изменений в должностное (штатное) расписание предприятия (если Вы планируете выделить для обеспечения этого направления экономической безопасности предприятия отдельного специалиста по режиму и защите информации или даже целое подразделение);
- Предложения о внесении дополнений в должностные инструкции всему персоналу;
- Ведомость ознакомления сотрудников предприятия с Положением о конфиденциальной информации и Инструкцией по защите конфиденциальной информации в ИС предприятия;
- План проведения занятий с персоналом по сохранению и неразглашению конфиденциальной информации;
- Предложения о внесении изменений в структуру интервью при приеме на работу (уточнение обязательств информационного характера с последних мест работы);
- Предложения о внесении дополнений в стандартные договора с контрагентами;
- Иные документы.
11. Проводится финансовая экспертиза затрат на предложенные меры защиты.
12. Проводится юридическая экспертиза документов правового обеспечения.
13. Программа обеспечивается необходимыми кадровыми ресурсами.
14. Закупается соответствующее оборудование и программное обеспечение для самостоятельной инсталляции либо приглашаются сторонние специалисты.
15. Приказами руководителя предприятия внедряются утвержденные меры защиты, выстраивается система комплексного обеспечения безопасности конфиденциальной информации.
16. Проводится постоянный контроль и мониторинг работоспособности системы.
17. Корректируются внедренные меры защиты.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37