Кафедра Комплексного обеспечения информационной безопасности
Дисциплина “Организационное обеспечение информационной безопасности”
ПЕРЕЧЕНЬ
ЭКЗАМЕНАЦИОННЫХ ВОПРОСОВ
1. Модель типового объекта защиты и ее характеристика. - о1.
2. Виды и модель угроз безопасности. - л2, в1
3. Классификация организационных мероприятий по созданию и функционированию комплексной системы защиты. - л1, в3
4. Разовые организационные мероприятия и их характеристика. - л1, в3
5. Периодически проводимые организационные мероприятия и их характеристика. - л1, в3
6. Постоянно проводимые организационные мероприятия и их характеристика. - л1, в3
7. Цели, задачи и функции службы безопасности объекта. - л3, в1
8. Типовая структура служба безопасности объекта. - л3, в2
9. Права, обязанности и ответственность сотрудников службы безопасности. - л3, в3
10. Персонал как источник угрозы безопасности информации. - л4.1, в1
11. Организационные мероприятия по работе с персоналом, получающим доступ к информации ограниченного доступа. - о11.
12. Методы добывания информации через персонал. - л4.1, в2
13. Подготовительные этапы по приему сотрудников на работу с информацией ограниченного доступа и их характеристика. - л4.1, в3
14. Основные процедуры приема сотрудников на работу с информацией ограниченного доступа. - л4.1, в3
15. Понятие и характеристика разрешительной системы допуска к информации ограниченного доступа. - л4.2, в1
16. Требования режима секретности по работе с секретными документами. - о16.
17. Порядок оформления допуска к государственной тайне. - о17.
18. Содержание текущей работы с персоналом, владеющим информацией ограниченного доступа. - л4.2, в2
19. Особенности увольнения сотрудников, владеющих информацией ограниченного доступа. - л4.2, в3
20. Понятие и основные принципы защищенного документооборота. - л5.1, в1
21. Основные требования к технологической системе обработки и хранения документов ограниченного доступа. - л5.1, в2
22. Виды технологических систем обработки и хранения документов ограниченного доступа и их характеристика. - л5.1, в2 , о22.
23. Принципы учета и контроля документов ограниченного доступа. - л5.1, в3
24. Проверка наличия документов ограниченного доступа. - о24
25. Порядок уничтожения документов ограниченного доступа. - о25
26. Защита информации при проведении совещаний. - л6, в1
27. Защита информации при проведении переговоров. - л6, в1
28. Безопасность информации в рекламно - выставочных материалах. - л6, в1
29. Особенности защиты информации при работе с посетителями. - л6, в2
30. Основные правила организации приема посетителей. - л6, в2
31. Виды документации кадровых органов, содержащей конфиденциальную информацию. - л6, в3
32. Организация работы с документацией кадровых органов. - л6, в3
33. Правовые основы охраны объектов. - л7, в1
34. Основы организации охраны объектов. - л7, в1
35. Специфические особенности охраны объектов. - л7, в1
36. Организация физической охраны объектов. - л7, в2
37. Технические средства охраны объектов. - л7, в3
38. Понятие, цели и задачи пропускного режима. - л8, в1
39. Основы организации пропускного режима. - л8, в2
40. Виды пропусков и порядок их оформления. - л8, в2
41. Общие требования к оборудованию контрольно-пропускных пунктов. - л8, в3
42. Оборудование контрольно-пропускных пунктов для прохода людей. - л8, в3
43. Оборудование транспортных контрольно-пропускных пунктов. - л8, в3
44. Организация допуска на территорию предприятия. - о44.
Организационное обеспечение ИБ
Лекция 1 (12.02)
Раздел 1. Концептуальные основы организационного обеспечения ИБ.
Тема 1. Организационная защита в системе комплексной защиты информации.
Вопросы:
1) Цели организационной защиты информации
2) Основные направления организационной защиты на объекте
3) Основные организационные мероприятия по созданию и обеспечению функционирования комплексной системы защит
1. Достижение высокого уровня безопасности информации невозможно без принятия должных организационных мер.
Основными целями организационных мер защиты информации являются:
- обеспечение правильности функционирования механизмов защиты
- регламентация автоматизированной обработки информации
2. Основными направлениями организационной защиты информации являются:
а) разработка организационных мероприятий по защите информации на этапе создания системы
б) совершенствование мероприятий организационного характера в процессе эксплуатации системы
в) доработка мер организационного характера при эпизодических(периодических) изменений в системе
3. Основные организационные мероприятия по созданию и поддержанию функционирования комплексной системы защиты включают:
а) разовые мероприятия(однократно проводимые или повторяемые при полном пересмотре принятых решений)
б) эпизодические мероприятия(мероприятия, проводимые при осуществление или возникновении определенных изменений в самой защищаемой системе или внешней среде)
в) периодические мероприятия(мероприятия, направленные на совершенствование системы защиты информации в ходе ее функционирования)
г) постоянно проводимые мероприятия(непрерывно или дискретно в определенные моменты времени)
К разовым мероприятиям относят:
- общесистемные мероприятия по созданию научно - технических и методологических основ защиты систем(концепции, руководящие документы и т. п.)
- осуществляемые при проектирование, строительстве и оборудовании объектов защиты
- проведение специальных проверок всех применяемых технических средств и проведение мероприятий по защите информации от утечки по техническим каналам
- разработка и утверждение функциональных обязанностей должностных лиц службы безопасности
- определение порядка назначения, изменения, утверждения и предоставления конкретным должностным лицам необходимых полномочий по доступу к ресурсам системы
- организация надежного пропускного режима
- организация учета, хранения, использования и уничтожения документов и носителей с информацией ограниченного доступа
- создание подразделений компьютерной безопасности или назначение нештатных специалистов по защите информации
- и др.
Эпизодические мероприятия:
- осуществляемые при кадровых изменениях в составе персонала системы
- осуществляемые при ремонте и модификациях оборудования
- и др.
Периодические мероприятия:
- распределение реквизитов разграничения доступа(пароли, ключи шифрования и т. п.)
- анализ системных журналов и принятие мер по обнаруженным нарушениям правил работ
- пересмотр состава и построения системы защиты
Постоянно проводимые мероприятия:
- обеспечение достаточного уровня физической защиты всех компонентов системы (охрана, КПП, физическая целостность носителей информации, противопожарная охрана и т. п.)
- непрерывная поддержка функционирования и управления средствами защиты
- явный и скрытый контроль за работой персонала
- постоянный анализ состояния и оценка эффективности, применяемых мер и средств защиты
- и др.
Лекция 2 (19.02)
Тема 2. Угрозы ИБ на объекте защиты.
Вопросы:
1) Виды и модель угроз безопасности
2) Принципы создания системы комплексной ЗИ
1. Угроза ИБ - действие, направленное против объекта защиты и проявляющееся в опасности утраты, утечки, искажений информации и блокирование доступа к ней.
Источники угроз могут быть внешние и внутренние.
Все источники угроз ИБ можно разделить на 3 группы:
- антропогенные угрозы - угрозы, обусловленные деятельностью человека
- техногенные - обусловлены состоянием технических средств
- угрозы, обусловленные стихийными источниками
К антропогенным угрозам относят:
а) Кража:
- технических средств
- носителей информации
- информации
- средств доступа
б) Модификация:
- ОС
- СУБД
- ПО
- информации
- паролей и прав доступа
в) Уничтожение:
- технических средств
- носителей информации
- ПО
- информации
- паролей и ключей информации
г) Нарушение нормальной работы:
- скорости обработки информации
- пропускной способности каналов
- объемов свободной ОЗУ
- объемов свободного дискового пространства
- электропитание технических средств
д) Ошибки:
- при инсталляции ПО
- при написание прикладного ПО
- при эксплуатации ПО
- при эксплуатации технических средств
е) Перехват информации:
- за счет ПЭМИН от технических средств
- за счет наводок по линиям электропитания
- за счет наводок по посторонним проводникам
- за счет наводок по акустическому каналу
- за счет нарушения установленных правил доступа
Применение некачественных технических средств:
а) Нарушение нормальной работы:
- нарушение работоспособности системы обработки информации
- нарушение работоспособности систем связи и коммуникаций
- старение носителей информации и средств ее обработки
- нарушение установленных правил доступа
- электромагнитное воздействие на технические средства
б) Уничтожение:
- ПО
- средств обработки информации
- помещений
- информации
- персонала
в) Модификация:
- ПО
- информации по каналам связи и телекоммуникациям
К третьей группе относят:
- пожары
- землетрясения
- наводнения
- ураганы
- непредвиденные обстоятельства, в том числе необъяснимые явления
Результаты воздействий этой группы:
а) Уничтожение:
- технических средств
- носителей информации
- ПО
- информации
- помещений
- персонала
б) Исчезновение:
- информации
- информации при передачи по каналам
- носителей информации
- персонала
2. Принципы создания комплексной системы ЗИ:
а) принцип системного подхода
б) принцип комплексности
в) принцип прозрачности(незаметность работы системы защиты)
г) принцип оптимальности
д) принцип адаптивности
е) принцип модульности
Таким образом, систему защиты необходимо создавать проанализировав все возможные угрозы и с использованием основных принципов.
Лекция 3 (26.02)
Раздел 2. Организация службы безопасности объекта и работа с
кадрами.
Тема 3. Основа организации службы безопасности объекта.
Вопросы:
1) Цели, задачи и функции службы безопасности объекта.
2) Типовая структура службы безопасности объекта и ее особенности.
3) Права, обязанности и ответственность сотрудников службы безопасности.
1. Целью службы безопасности объекта являются:
- обеспечение безопасности производства продукции, самой продукции, а также защита информации независимо от ее назначения и форм представления
Основными задачами СБ являются:
- обеспечение защиты производственно - торговой деятельности
- обеспечение защиты информации ограниченного доступа
- организация специального делопроизводства, исключающего несанкционированное получение сведений ограниченного доступа
- выявление и локализация возможных каналов утечки информации ограниченного доступа в различных ситуациях
- обеспечения режима безопасности при проведении всех видов деятельности, включая различные встречи, совещания, переговоры, заседания и т. п.
- обеспечение охраны зданий, помещений, оборудования и продукции
- обеспечение личной безопасности руководства и ведущих специалистов
- оценка маркетинговых ситуаций и неправомерных действий злоумышленников и конкурентов
СБ объекта выполняет следующие основные функции:
- организует и обеспечивает пропускной и внутриобъектовый режим
- контролирует соблюдение требований режима на объекте
- участвует в разработке основополагающих документов с целью закрепления в них требований по защите
- разрабатывает и осуществляет мероприятия по обеспечению безопасности объекта
- изучает все стороны деятельности объекта для выявления и закрытия возможных каналов утечки информации
- организует и проводит служебные расследования по фактам нарушения правил безопасности
- разрабатывает, ведет и обновляет перечень сведений, составляющих конфиденциальную информацию
- организует учебу сотрудников по вопросам защиты информации
- поддерживает контакты с правоохранительными органами
2. Типовая структура СБ объекта и ее особенности.
Начальник безопасности должен быть в ранге заместителя руководителя предприятия.
Группа безопасности внешних связей - группа, предназначенная для обеспечения безопасности во время мероприятия с участием внешних для организации лиц.
В соответствии с руководящими документами ФСТЭК РФ запрещается возлагать на службу безопасности несвойственные ей задачи.
3. Права, обязанности и ответственность сотрудников СБ.
Сотрудники СБ обязаны:
- разрабатывать и реализовывать меры по обеспечению безопасности объекта
- осуществлять контроль за соблюдением требований по обеспечению безопасности объекта
- докладывать руководству о фактах правонарушений требований по защите объекта и других действий, которые могут привести к утечке информации
- не допускать неправомерного ознакомления с документами и материалами
Сотрудники СБ имею право:
- требовать от всех сотрудников предприятия и других лиц на предприятии строгого выполнения требований по защите объекта
- вносить предложение по совершенствованию защиты объекта
Сотрудники СБ несут ответственность за личное нарушение требований по безопасности объекта и за неиспользование своих прав при выполнении организационных обязанностей.
Таким образом, СБ несет ответственность за плохую организацию системы безопасности, а не за сам факт нарушения(отвечает нарушитель).
Лекция 4 (12.03)
Тема 4. Подбор сотрудников и работа с кадрами.
1. Подбор сотрудников на работу с информацией ограниченного доступа.
Вопросы:
а) Персонал как источник угрозы ИБ
б) Методы получения информации через персонал
в) Особенности приема сотрудников на работу с информацией ограниченного
доступа
А. В основе защиты системы информации лежит человеческий фактор.
В решение проблемы ИБ значительное место занимает выбор эффективных методов работы с персоналом, владеющими информацией ограниченного доступа.
Работа с персоналом подразумевает целенаправленную деятельность руководства предприятия и трудового коллектива, направленную, с одной стороны, на наиболее полное использование трудовых и творческих способностей персонала, а с другой стороны воспитание в нем качеств, препятствующих возникновению желания нанести предприятию какой - то вред.
Основным и самым трудноконтролируемым источником ценной информации является персонал и окружающие предприятие люди, которые включают в себя:
- всех сотрудников предприятия
- сотрудников других предприятий - посредники, изготовители комплектующих деталей, рекламные агенты
- сотрудников государственных учреждений, к которым предприятие обращается в соответствии с законом - налоговые и другие инспекции, органы государственного управления, органы внутренних дел
- представители СМИ
- работники коммунальных служб, почтовые служащие, службы экстремальной помощи
- посторонних лиц, работающих или проживающих рядом с производственными зданиями, уличных прохожих
- родственников, знакомых и друзей всех вышеуказанных лиц
Б. Методы получения информации через персонал.
Существуют 2 основных пути получения информации:
- осознанное сотрудничество работника предприятия со злоумышленников
- неосознанное
Осознанное сотрудничество:
- инициативное сотрудничество работника с целью мести руководству и коллективу, а так же по причине подкупа, регулярное оплаты постоянных услуг и психической неустойчивости
- формирование сообщества на основе убеждения в правильности взглядов злоумышленников, дружеских или иных отношений, взаимопомощи и т. п.
- сотрудничество на основе личных убеждений сотрудника
- склонение (принуждение или побуждение) к сотрудничеству путем обманных действий, изменения взглядов путем убеждения, вымогательства, шантажа, использования отрицательных черт характера, физического насилия
Неосознанное сотрудничество:
- переманивание ценных и осведомленных сотрудников
- ложная инициатива приема сотрудника на высокооплачиваемую работу в конкурирующую фирму, выведывание в процессе собеседования необходимых сведений, а затем отказ в приеме
- выведывание ценной информации с помощью подготовленной системы вопросов на научной конференции, выставках, в личных беседах и т. п.
- подслушивание и записывание разговоров сотрудников
- прослушивание служебных и личных телефонов, перехват сообщений
- получение злоумышленником информации от сотрудника, находящегося в состояние алкогольного опьянения, под действие наркотиков, психотропных аппаратов, гипноза и т. п.
Главной причиной перехода информации к злоумышленнику является слабое знание персоналом требований и правил защиты информации.
В. Особенности приема сотрудников на работу с информацией ограниченного доступа.
Процессу приема сотрудника на работу должен предшествовать ряд подготовительных этапов:
- предварительное формулирование выполняемых сотрудником функций и требований к их исполнению
- составление перечня конфиденциальных сведений, с которыми будет работать специалист
- составление перечня форм поощрения и стимулирования сотрудников
- составление модели специалиста
Приему сотрудника на работу предшествует подбор кандидатов (поиск кандидатов внутри предприятия, поиск кандидатов среди выпускников вузов, обращение в службы занятости населения, по рекомендации работающих
сотрудников и др.)
Технологическая цепочка приема сотрудников включает следующие основные процедуры:
- подбор кандидата
- изучение кандидата
- информирование кандидата о будущих обязанностях
- оформление допуска кандидата к информации ограниченного доступа
- подготовка необходимых кадровых документов
- подписание обязательства о неразглашении информации ограниченного доступа
- составление проекта трудового договора или контракта, включающего пункт о неразглашение информации ограниченного доступа
- подписание контракта
- составление приказа о приеме на работу
2. Работа с персоналом, владеющим информацией ограниченного доступа.
Вопросы:
а) доступ персонала к информации ограниченного доступа
б) текущая работа с персоналом
в) особенности увольнения сотрудников, владеющих информацией ограниченного
доступа
А. Одной из важнейших проблем организации ЗИ является регламентация доступа персонала к конфиденциальным сведениям. Здесь важно определить четко и однозначно кто, кого, к каким сведениям, когда и как допускает.
В основе организации доступа персонала к информации ограниченного доступа лежит «разрешительная система», которая представляет собой совокупность правовых норм и требований, устанавливаемых на предприятии с целью обеспечения правомерного ознакомления и использования сотрудниками конфиденциальных сведений, необходимых им для выполнения служебных обязанностей.
«Разрешительная система» включает 2 составные части:
- допуск сотрудника к конфиденциальной информации
- непосредственный доступ сотрудника к конкретным сведениям
Основными задачами организационных мер защиты информации являются:
- максимально затруднить работу злоумышленнику по добыванию необходимой ему информации
- не допустить определенных взаимоотношений злоумышленника и сотрудника, владеющего информацией ограниченного доступа
Б. Текущая работа с персоналом включает в себя:
- обучение и систематическое инструктирование сотрудников
- проведение регулярной воспитательной работы с персоналом
- постоянный контроль за выполнением персоналом требований по ЗИ
- работу по изучению степени осведомленности персонала в области конфиденциальных работ
- проведение служебных расследований по фактам утечки информации и нарушение требований по защите
- совершенствование методики текущей работы с персоналом
Обучение:
- базовое обучение в профильном вузе
- на курсах повышения квалификации
- обучение в рамках предприятия силами СБ
Периодичность обучения не реже 3- 5 лет.
Воспитательный процесс:
- создание здорового климата в коллективе
- стремление персонала получить максимальную прибыль
- сохранение в тайне ноу - хау на предприятие
В. Особенности увольнения сотрудников.
Важнейшей предпосылкой надежной ИБ предприятия является стабильность кадрового состава.
Технологическая цепочка увольнения сотрудников:
- написание заявление об увольнении с подробным раскрытием причины увольнения и, желательно, указанием места предполагаемой работы
- сдача всей имеющейся у сотрудника служебной конфиденциальной документации, носителей информации, изделий и материалов по описи
- сдача сотрудником пропуска для входа в рабочую зону, всех ключей и печатей, запрещение в случае необходимости вхождения в рабочее помещение и т. п.
- проведение сотрудником СБ беседы с целью напоминания ему об обязательстве сохранения в тайне конфиденциальных сведений, а также выяснение причины увольнения и места предполагаемой работы
- документальное оформление увольнения
- прием от сотрудника пропуска для входа на предприятие, выдача ему необходимых документов и сопровождение его (в случае необходимости) до выхода сотрудником СБ.
Лекция 5 (19.03)
Тема 5. Порядок обращения с информацией ограниченного доступа.
1. Организационные основы защищенного документооборота.
Вопросы:
а) понятие и основные принципы защищенного документооборота
б) основные требования к системе обработки и хранения информации
ограниченного доступа
в) принципы учета и контроля документов ограниченного доступа
А. Документооборот жестко связан с реализацией функций управления. Целью документооборота является - обеспечение управленческой деятельности, процесса принятия решения на основе полученной своевременной полной и достоверной информации.
Конфиденциальные документы, так же как и открытые, находятся в постоянном движении, то есть осуществляется документооборот. Документооборот как объект защиты представляет собой упорядоченную совокупность каналов распространения (передачи) документированной информации в процессе управленческой и производственной деятельности.
Главным направлением защиты документированной информации от возможных опасностей является создание защищенного документооборота и использование в обработке и хранение документов специализированной технологической системы, обеспечивающей безопасность информации на любом типе носителя.
Под защищенным документооборотом понимается - контролируемое движение конфиденциальной документированной информации по регламентированным пунктам приема, обработки, рассмотрения, исполнения,
использования и хранения в жестких условиях обеспечения безопасности как носителя информации, так и самой информации.
Помимо общих для документооборота принципов защищенный документооборот основывается на ряде дополнительных принципов:
- ограничение доступа персонала к документам, БД и другой информации, служебной и производственной необходимостью
- персональная ответственность должностных лиц за выдачу разрешения на доступ к информации ограниченного доступа
- персональная ответственность каждого сотрудника за сохранность доверенной ему информации или носителя
- жесткость регламентации порядка работы с документами всех категорий персонала, в том числе и первых руководителей
Защищенность документооборота достигается за счет:
- одновременного использования режимных (разрешительных и ограничительных) мер и технологических приемов
- нанесения отличительной отметки (грифа) на чистый носитель конфиденциальной информации
- формирования самостоятельных изолированных потоков конфиденциальных документов
- использования автономной технологической системы обработки конфиденциальной информации, несоприкасающейся с системой обработки общедоступных документов
- регламентации движения документов как внутри организации так и вне ее
- перемещения документов между руководителями, исполнителями и другим персоналом только через орган хранения этих документов
Б. Основные требования к системе обработки и хранения информации
ограниченного доступа.
В отличии от общедоступных документов к обработке конфиденциальных документов предъявляются следующие требования:
- централизация всех процедур по обработке и хранению документов
- учет всех без исключения конфиденциальных документов
- учет всех действий, осуществляемых с документами
- обязательный контроль вторым сотрудником правильности выполнения всех учетных операций
- учет и обеспечение сохранности не только документов, но и учетных форм
- обязательное ознакомление и работа с документами только на основание письменного разрешения полномочного лица
- строгий контроль выполнения персоналом правил работы с документами
- систематические проверки наличия документов
- коллегиальность процедуры уничтожения документов
- письменное разрешение процедур размножения конфиденциальных документов
Технологические системы обработки конфиденциальных документов подразделяются на 3 основных вида:
- традиционная
- автоматизированная
- смешанная
В. Принципы учета и контроля документов ограниченного доступа.
В основе процесса защиты конфиденциальных документов от любого вида угроз лежит многоступенчатый учет всех процедур и операций, выполняемых с документами.
Учет конфиденциальных документов осуществляется централизованно по категориям документов.
Целесообразны следующие виды учета конфиденциальных документов:
- учет пакетов (конвертов), содержащих конфиденциальный документ
- учет отдельных документов, поступающих по различным средствам связи
- учет подготовленных внутренних документов
- учет исходящих документов
2. Организация работы с документами ограниченного доступа.
Вопросы:
а) обработка входящих документов ограниченного доступа
б) порядок разработки и учета документов ограниченного доступа
в) порядок работы персонала с документами и материалами ограниченного доступа
А. Обработка входящих документов ограниченного доступа включает в себя:
- контроль сохранности, целостности и комплектности документа
- исключение случаев попадания чужих пакетов и документов
- учет документов в журнале учета входящих материалов
Б. Порядок разработки и учета документов ограниченного доступа.
При исполнении документов конфиденциального характера выделяются следующие основные этапы:
- определение грифа конфиденциальности документа
- оформление и учет носителя
- изготовление конфиденциального документа
- учет этого документа в журналах исходящих документов в случае его отправки
В. Порядок работы персонала с документами и материалами ограниченного
доступа.
Сотрудники, в том числе и руководители, при работе с конфиденциальными документами обязаны:
- знакомиться только с теми документами, к которым они получили письменное разрешение на доступ в силу своих должностных обязанностей
- немедленно предъявлять для проверки все числящиеся за ними документы
- вести учет находящихся у них документов
- ежедневно по окончании рабочего дня проверять наличие документов и сдавать их на хранение
- сдавать документы по описи по окончании работы с ними
- немедленно сообщать руководителю и в СБ об утрате или недостачи документов, а так же при обнаружении лишних или неучтенных документов
Для работы с документами должны быть оборудованы специальные места (помещения, кабинеты). На рабочем месте не должно быть ничего кроме документов ограниченного доступа.
Всем сотрудникам, работающим с конфиденциальными документами запрещается:
- использовать конфиденциальные сведения в публикациях, открытых документах, докладах, интервью, рекламных материалах и других сообщениях массового распространения
- сообщать кому - либо устно или письменно конфиденциальную информацию, несанкионированно передавать документы
- вести переговоры по незащищенным линиям связи в неприспособленных помещениях (в не выделенных помещениях) в присутствие посторонних лиц
- обсуждать конфиденциальные вопросы в местах общего пользования, включая личный транспорт
- знакомиться с документами, делами и БД других сотрудников без письменного разрешения первого руководителя
- переписывать сведения из конфиденциальных документов на неучтенные носители
- вносить и пользоваться в помещениях, где ведутся конфиденциальные переговоры средствами записи информации
- выносить из здания предприятия служебные документы без письменного разрешения первого руководителя
- оставлять документы на рабочем столе или работающий компьютер при выходе из помещения на любое время
- хранить конфиденциальные документы вместе с общедоступными
- разглашать сведения о характере автоматизированной обработке конфиденциальной информации
- разглашать сведения о составе находящихся у сотрудника документов, месте их хранения и системе защиты.
Лекция 6 (23.04)
Тема 6. Защита информации на уязвимых участках деятельности предприятия.
Вопросы:
1) Защита информации при проведение служебных совещаний и переговоров
2) Защита информации при работе с посетителями
3) Защита информации в работе кадровой службы
1. Защита информации при проведение служебных совещаний и переговоров.
Основной угрозой при проведении совещаний и переговоров является возможность разглашения большего объема информации, чем это необходимо.
Причины:
а) Слабое знание сотрудниками состава ценной информации и мер по ее защите
б) Умышленное невыполнение требований по защите информации
в) Провоцированные и не провоцированные ошибки сотрудников
Основные этапы проведения совещаний и переговоров:
а) подготовка к проведению
б) процесс подготовки и документирование
в) анализ итогов и выполнение достигнутых результатов
Для подготовки этого мероприятия, обычно, назначается ответственный за проведение из числа сотрудников подразделения, по тематике которого проводится совещание.
Доступ сотрудников на подобные мероприятия осуществляется на основе действующей разрешительной системы доступа.
Все документы, которые используются на мероприятии, содержащие информацию ограниченного доступа должны иметь гриф конфиденциальности. В этих документах должен содержаться минимальный набор сведений конфиденциального характера.
Список участников составляется по каждому обсуждаемому вопросу. Документы конфиденциального характера должны согласовываться с руководителем СБ.
Любые совещания конфиденциального характера должны проводиться в специально подготовленном помещение. Эти помещения оборудуются средствами защиты от утечки речевой информации и аттестуются полномочным лицом.
Помещения, в которых разрешается обработка речевой информации, составляющей ГТ называются выделенными помещениями.
Аналогичные помещения для информации ограниченного доступа, не составляющей ГТ называются защищаемые помещения.
Перед началом совещания ответственный за помещение должен убедиться, что состав оборудования помещения соответствует паспорту помещения.
Запрещается вносить в помещение аудио - и видео - аппаратуру, различного рода передающие устройства, мобильные телефоны и т. п.
Целесообразно, перед началом совещания напомнить участникам о необходимости сохранения сведений ограниченного доступа и порядка документирования.
Участникам мероприятий конфиденциального характера запрещается:
а) вносить в помещения записывающую и передающую технику
б) делать выписки из документов ограниченного доступа на неучтенные носители
в) обсуждать вопросы совещания в местах общего пользования
г) информировать о совещании любых лиц не связанных с его проведением
После окончания мероприятия ответственный за помещение проверяет его, опечатывает и сдает под охрану. Документы, принятые на совещании могут размножаться и рассылаться участникам в установленном порядке.
Особое место при проведении переговоров занимают рекламно - выставочные материалы. Материалы, не прошедшие экспертизу, публикации не подлежат.
2. Защита информации при работе с посетителями.
Посетители:
а) сотрудники предприятия
б) не сотрудники :)
Сотрудники:
- сотрудники, имеющие право свободного входа к руководителю (заместители, секретари, референты)
- сотрудники, работающие с руководителем по вызову
- сотрудники, инициирующие прием по личным вопросам
Состав угроз может включать в себя весь спектр угроз от кражи документов до выведывания информации.
Не сотрудники:
- лица, не входящие в штат сотрудников, но входящих в коллективный орган управления
- представители различных гос. органов и служб
При приеме руководителем любых посетителей необходимо соблюдать следующие основные правила:
а) принимать посетителей в специально отведенное время
б) во время приема на столе руководителя не должно находиться лишних документов
в) целесообразно, чтобы вход в помещения осуществлялся по вызову
3. Защита информации в работе кадровой службы.
В целях выявления состава конфиденциальных сведений и определения основных направлений защиты ПДн в кадровом органе можно выделить 2 группы документов:
а) документация по организации работы кадрового органа
б) документация, образующаяся в процессе работы кадрового органа исодержащая ПДн
А. Включает в себя:
- положения от кадрового органа
- распоряжения
- указания
Б. Включает в себя:
- досье на каждого сотрудника
Главным моментом в защите ПДн является четкая регламентация функций работников кадрового органа.
Особенностью кадрового документа, содержащего информацию ограниченного доступа, является то, что на них не ставится гриф конфиденциальности.
Основные организационные аспекты защиты:
- работа сотрудников кадрового органа с ограниченным количеством документов
- должен быть установлен порядок выдачи и ознакомления с личными делами сотрудников (под роспись, в специально отведенных местах; передача личных дел через работника кадрового органа)
Особое внимание должно уделяться сохранности печатей и штампов.
Категорически запрещается ставить печати на чистые бланки.
Подбор работников кадрового органа должен учитывать специфику их работы с информацией конфиденциального характера.
Лекция 7 (14.05)
Раздел 3. Охрана объектов.
Тема 7. Организация охраны объекта.
Вопросы:
1) Основа организации охраны.
2) Организация физической охраны.
3) Технические средства охраны.
1. Организация охраны объекта осуществляется на основе плана охраны объекта.
Для подготовки объекта к физической защите и разработке плана охраны необходимо:
а) определить возможные угрозы безопасности объекта на данном этапе;
б) решить вопрос какими силами будет осуществляться охрана;
в) определить допустимые пределы режимных ограничений, не влияющих на основную деятельность предприятия;
г) обозначить возможное финансирование программ по обеспечению безопасности;
д) определить приоритеты и примерные сроки реализации программ.
При организации охраны объектов необходимо учитывать его специфические особенности, основными из которых являются:
а) степень сложности объекта:
- архитектурно-технические;
- количество возможных путей проникновения;
- особенности защиты при нападении извне;
- криминогенная обстановка на объекте или рядом с ним;
- стадия развития объекта
- и др.
б) наличие вблизи объекта органов внутренних дел
в) размер объекта:
- малые объекты (до 100м);
- средние объекты (м);
- большие стационарные объекты (м);
- очень большие объекты (больше 4000м);
г) режим работы объекта;
д) функциональная специфика объекта;
е) техническая укрепленность объекта.
Для разработки плана охраны объекта необходимо иметь следующие исходные данные:
а) подробные планы территории и поэтажные планы помещений объекта;
б) схемы коммуникаций;
в) места наиболее доступные для несанкционированного проникновения на объекты (тоннели, тонкие стены, проходы с крыши);
г) места, наиболее влияющие на жизнедеятельность объекта;
д) режим освещенности в ночное время;
е) особенности эксплуатации объекта, влияющие на режим охраны (права лиц на посещение объекта, частота посещений);
ж) организация движения по территории объекта;
з) ограничения по посещению отдельных зон и помещений;
и) режим работы сотрудников предприятия.
Основным элементом плана охраны объекта является расстановка сил и
средств охраны.
План может быть оформлен в любом виде, но обязательно должен отражать:
а) количество и размещение постов с указанием режима их работы;
б) схему расположения технических средств охраны;
в) порядок взаимного контроля за работой технических средств и правильном выполнении обязанностей на постах охраны;
г) систему учета и накопления информации по вопросам охраны;
д) основные правила действия в нештатных ситуациях;
е) техническую оснащенность и вооруженность охранников;
ж) состав и порядок ведения отчетной документации.
2. Организация физической охраны.
Выполнение обязанностей по охране объекта физическими лицами
выполняется на постах.
Физическая охрана предусматривает следующие основные виды постов:
а) стационарный;
б) патрульный (обход территории);
в) пост сопровождения.
Для выполнения задач по отражению попыток вторжения на объекты, при срабатывании технических средств охраны и сигнализации создается специальная группа (группа быстрого реагирования, тревожная группа), которая осуществляет оказание помощи охранникам на постах в нештатных ситуациях.
3. Технические средства охраны.
Физическая охрана может дополняться различными видами технических средств. В том числе:
а) средства задержки и защитные ограждения (заборы, турникеты, решетки, бронедвери, замки, сейфы, бронестекла, защитные кабины и т. д.);
б) средства охранной сигнализации (средства, регистрирующие появление на территории посторонних лиц и выдающих сигнал);
в) средства контроля доступа;
г) устройства, регистрирующие попытки внесения или выноса запрещенных предметов и материалов;
д) приборы телевизионного и оптического наблюдения за территорией;
е) контрольные устройства, регистрирующие факты несоблюдения охранниками своих обязанностей;
ж) механические, электронные и химические ловушки, фиксирующие попытки неправильного обращения с техническими средствами защиты;
з) устройство регистрации событий и сбора информации.
Лекция 8 (21.05)
Тема 8. Организация пропускного режима.
Вопросы:
1) Понятие пропускного режима
2) Основы организации пропускного режима
3) Оборудование пропускных пунктов
1. Контрольно-пропускной режим - это комплекс организационно правовых ограничений и правил, устанавливающих порядок пропуска через КПП в отдельные здания (помещения) сотрудников объекта, посетителей, транспорта и материальных средств.
Контрольно-пропускной режим должен соответствовать законодательству и действующим нормативно-правовым актам.
Цели контрольно-пропускного режима:
а) защита законных интересов предприятия, поддержание внутреннего порядка и режима управления;
б) защита собственности предприятия, ее рациональное и эффективное использование;
в) рост прибыли предприятия;
г) обеспечение внутренней и внешней стабильности предприятия;
д) защита конфиденциальной информации и прав на интеллектуальную собственность.
Задачи контрольно-пропускного режима:
а) обеспечение санкционированного прохода сотрудников и посетителей, ввоза и вывоза продукции и материальных средств;
б) предотвращение бесконтрольного проникновения посторонних лиц и транспортных средств;
в) своевременное выявление угроз интересам предприятия;
г) пресечение посягательств на законные интересы предприятия (блокирование угроз).
Основные мероприятия контрольно-пропускного режима разрабатываются СБ объекта, утверждаются руководителем и оформляются в виде инструкции о КПР. Ответственность за организацию КПР возлагается...
Практическое осуществление КПР возлагается на охрану (дежурных по КПП, контролеров, охранников), работники которой должны знать требования и инструкции о КПР. КПР может быть установлен как в целом по объекту, так и в отдельных зданиях, корпусах, помещениях, хранилищах и т. д.
Требования по КПР должны быть доведены до всех сотрудников предприятия.
2. Основы организации КПР.
Разработка мероприятий и нормативных документов по КПР начинается с
определения исходных данных:
а) организационная структура предприятия, расположение отдельных элементов предприятия и характер деятельности для них;
б) оценка суточного объема потока ТС, грузов, материальных ценностей, людей;
в) определение степени важности объектов, ТС, грузов (предусматриваются 3 категории объектов по степени доступа к ним: общедоступные, закрытые, ограниченного доступа);
Инструкция о КПР должна включать:
а) общие положения (нормативные документы, цели КПР, ответственные лица, ответственность нарушителей, основные требования к оборудованию различных помещений, зданий и т. п.);
б) порядок пропуска сотрудников, командированных лиц и посетителей через КПП (состав КПП, их назначение, требования к оборудованию, порядок прохода через КПП, права и обязанности контролера, определение помещений для переговоров);
в) порядок допуска на объект ТС, вывоза продукции, документов и материальных ценностей (порядок допуска, стоянки, порядок вывоза/ввоза материальных ценностей, правила оформления документов на вывоз и т. п.);
г) виды пропусков и порядок их оформления (состав пропусков, их количество и статус, описание пропусков, порядок оформления и выдачи, порядок замены, мероприятия при утрате пропусков);
д) обязанности должностных лиц;
е) учет и отчетность, порядок хранения пропусков и печатей.
В зависимости от особенностей предприятия инструкция может содержать и другие разделы.
На крупных предприятиях устанавливаются несколько видов пропусков:
а) постоянные (выдаются бессрочно)
б) временные (указывается срок действия пропуска)
в) разовые
г) материальные (для ввозы/вывоза груза)
Для получения пропуска на предприятие командированные лица должны иметь:
- командировочное удостоверение
- предписания на выполнение работ
- документ, удостоверяющий личность
- справка о допуске к ГТ
3. Оборудование КПП.
Для организации пропускного режима на предприятии оборудуются КПП.
Оборудование КПП должно обеспечивать необходимую пропускную способность, возможность тщательной проверки пропусков и документов, досмотра ТС и провозимого груза.
Основные требования КПП:
а) исключить возможность несанкционированного проникновения на объект;
б) способствовать сокращению времени на проверку документов и досмотр;
в) способствовать исключению ошибок охранника;
г) обеспечивать меры безопасности охраны.
Все виды КПП должны быть оборудованы средствами связи и тревожной сигнализацией. На КПП рекомендуется располагать внутренний телефон и список телефонов администрации.
КПП для прохода людей рекомендуется оборудовать комнатой для охраны, комнатой для досмотра граждан, камерой хранения, гардеробом и средствами допуска.
В комплект оборудования КПП входят:
- физические барьеры
- основное и резервное освещение
- средства связи и тревожной сигнализации
- средства видеоконтроля
В состав транспортного КПП входит досмотровая площадка и служебное помещение.
Требования к площадке:
- достаточная площадь
- меры безопасности охранника
- должна иметь знаки, регулирующие движение ТС
- физические барьеры
O1. Типовой моделью защиты будем считать ЛВС.
Ее характеристики:
- построена по принципу клиент-сервер
- имеет сетевое оборудование
- удаленные рабочие места
- оборудование, связанное с передачей по каналам
- может иметь подключение к другой сети
Защита такой сети подразумевает:
- защиту сети в целом (сеть, сервер)
- защита клиентских мест
- защита информации, передающейся по каналам
Принципы построения сетей:
- адаптивности
- прозрачности
- модульности
- комплексности
- системности
O11. Работа с персоналом, владеющим ИОД (про задачи организационных мер защиты + 15 и 18 вопросы)
O16. Что запрещается сотрудникам, работающим с конфиденциальной инф.
O17. Порядок допуска и доступа к государственной тайне.
Допуск к ГТ – разрешение на работу со сведеньями, составляющими ГТ.
Доступ к сведеньям, сост. ГТ – санкционированное полномочным должностным лицом ознакомление конкретного лица со сведеньями сост-ми ГТ.
Устанавливают 3 степени секретности:
- особой важности
- совершенно секретные сведенья
- секретные сведенья
Формы допуска:
- первая (к свед-ям особой важности)
- вторая (к сов. сек.)
- третья (к секретным)
Для получения формы допуска 1 или 2 обязательны проверочные мероприятия.
Допуск предусматривает:
- принятие обязательств о нераспространение ГТ
- согласие на частичные временные ограничения прав (нельзя за границу и т. д.)
- письменное согласие на проведение пров. мер-ий
- определение видов и размеров льгот
- ознакомление с законами о ГТ (в том числе и мерами ответственности)
О22. Технологические системы обработки и хранения конфиденциальных документов могут быть традиционными, автоматизированными и смешанными.
Традиционная (делопроизводственная) система основывается на ручных методах работы человека с документами и является универсальной. Она надежно, долговременно обеспечивает защиту документированной информации как в обычных, так и в экстремальных ситуациях. В связи с этим стадии защищенного документооборота в большинстве случаев технологически реализуются методами и средствами именно традиционной системы обработки и хранения конфиденциальных документов, а не автоматизированной. Система одинаково эффективно оперирует как традиционными (бумажными) документами, так и документами машиночитаемыми, факсимильными и электронными. Трудоемкость множества технических и формально-логических процедур и операций обычно снижается за счет включения в технологический процесс организационной и вычислительной техники, что в целом не меняет тип системы. Вместе с тем система характеризуется низкой степенью оперативности доставки документов потребителям информации, невысокой эффективностью справочной, поисковой и контрольной работы по документам, потребностью в значительном количестве персонала, обслуживающего систему.
Автоматизированная технологическая система обработки и хранения конфиденциальных документов по сравнению с аналогичными системами, оперирующими общедоступной информацией, имеют ряд серьезных принципиальных особенностей. Перечислим их.
• Автоматизированные рабочие места, рабочие станции могут быть увязаны в локальную сеть только по вертикали;
• в некрупных учреждениях, фирмах конфиденциальная информация обрабатывается на уровне первого руководителя и его референта на единичном защищенном компьютере, не имеющим выхода в какую-либо локальную сеть;
• обязательное наличие иерархической и утвержденной первым руководителем учреждения, фирмы системы разграничения доступа к информации, хранящейся как в машинных массивах, так и на магнитных носителях вне ЭВМ; охват системой разграничения доступа не только персонала учреждения, фирмы, но и персонала службы КД;
• закрепление за каждым пользователем строго определенного состава массивов электронной информации и магнитных носителей; исключение возможности пользователю “покопаться” в базе данных системы;
• автоматизированное выполнение пользователями операций справочного и поискового обслуживания, составления и иногда изготовления документов, контроля за исполнением документов, с электронными документами и электронными аналогами бумажных документов;
• сохранение информационной базы учетной функции и функции персональной ответственности за традиционную технологическую систему учетных карточек и других форм (описей), изготовляемых не вручную, а автоматически на принтере ЭВМ;
• обязательный учет конфиденциальных электронных документов, находящихся на всех магнитных носителях и в машинных массивах, постоянная проверка службой КД реального наличия этих документов на носителях и в массивах, их целостности, комплектности и отсутствия несанкционированных копий;
• необходимость исключения технической возможности копирования информации, содержащейся в компьютере (рабочей станции) пользователя, на другие магнитные носители и работы компьютера в комплекте с принтером (изъятие из ЭВМ дисководов);
• жесткое соблюдение персоналом правил работы с конфиденциальной электронной информацией, в частности, все операции с информацией в компьютере должны быть письменно санкционированы полномочным должностным лицом, подотчетны службе КД и протоколироваться в машинном журнале; протоколы подлежат регулярному контролю и анализу специалистами службы КД или службы безопасности;
• изъятие конфиденциальной информации из базы данных компьютера (рабочей станции) по окончании работы с ней (например, в конце рабочего дня, при длительных перерывах в работе) и перенос информации на гибкие магнитные носители (например, дискеты), подлежащие сдаче в службу КД.
Рассмотрение и исполнение электронных конфиденциальных документов и электронных аналогов бумажных документов разрешается только при наличии сертифицированной системы защиты компьютеров и локальной сети, включающей комплекс программно-аппаратных, криптографических и технических мер защиты базы данных, компьютеров и линий связи. Помещения, в которых; конфиденциальная информация обрабатывается на ЭВМ, должны иметь защиту от технических средств промышленного шпионажа, надежную круглосуточную охрану и пропускной режим.
Кроме того, следует учитывать, что при автоматизированной обработке объективно резко увеличивается количество носителей (источников), содержащих конфиденциальные сведения - это традиционный бумажный документ, разнообразные машинограммы карточек, описи документов, многочисленные записи информации на магнитных носителях и визуальная информация на экране дисплея. Недостатком обработки информации на ЭВМ также является необходимость постоянного дублирования информации на нескольких носителях с целью исключения опасности ее утраты или искажения по техническим причинам.
В настоящее время наиболее широко используется смешанная технологическая система обработки и хранения конфиденциальных документов, совмещающая традиционную и автоматизированную технологии. Выборочно автоматизируются: справочная и поисковая работа по бумажным документам, процедура составления и изготовления документов и учетных форм, контроль исполнения, сервисные задачи. Остальные стадии и процедуры выполняются в русле традиционной, делопроизводственной технологии (распределение бумажных документов, их рассмотрение, исполнение, оперативное и архивное хранение документов). В силу специфики обрабатываемых сведений о документах и самих документов автоматизированные системы делопроизводственной ориентации имеют в большинстве случаев информационно-справочный характер. Недостаток смешанной технологии состоит в неполном использовании преимуществ и функциональных возможностей компьютерной технологии, отчего сохраняются рутинные делопроизводственные операции, которые мешают совершенствовать документооборот.
O24. Проверка наличия документов ограниченного доступа:
- проверяет сам сотрудник, работающий с документом
- проверяет принимающий на хранение в архиве
- руководитель (~1 в неделю)
- полистная (~1 в месяц)
- в организации создается комиссия и проводится полная проверка (~1 год)
- ФСТЭК, ФСБ проводят проверки по своим планам (предварительно предупреждают)
О25. Особенности уничтожения документов.
В организации должен быть установлен порядок, исключающий ознакомление посторонних лиц с уничтожаемыми документами (делами), неполное их уничтожение, позволяющее восстановить их содержание, а также случайное уничтожение не подлежащих уничтожению документов (дел).
Уничтожать документы и дела ограниченного доступа необходимо путем сжигания, расплавления, дробления, растворения или химического разложения, превращения в мягкую бесформенную массу и порошок. Допускается также уничтожение документов путем измельчения в кусочки в бумагоуничтожающей машине площадью не более 2,5 мм2.
Если перед уничтожением из дел изымаются отдельные документы, необходимые для дальнейшей работы, в акте указывается, какие документы и из каких дел изъяты (регистрационные номера и наименование документов, номера дел и листов), а также в какие дела и за какими номерами листов подшиты изъятые документы или зарегистрированы по журналам текущего года. В журналах учета делается отметка о новом местонахождении документов, а в акте на уничтожение указывается фактическое количество оставшихся листов дела, подлежащих уничтожению. Дела уничтожаются вместе с внутренними описями после обязательной полистной сверки с записями актов и внутренними описями дел.
О28. Рекламно-выставочные материалы (проспекты, пресс-релизы, прайс-листы, брошюры и т. п.) следует рассматривать как контролируемый канал распространения ценных сведений. При этом следует помнить, что этот канал тщательно и глубоко анализируется конкурентом с целью выявления тех сведений, которые составляют тайну фирмы, издавшей рекламные материалы.
Защита информации в рекламно-выставочной деятельности предусматривает заблаговременный анализ, экспертизу предназначенной для широкого оглашения любой информации о деятельности фирмы и ее продукции в целях обнаружения в содержании или элементах отображения этой информации (таблицах, формулах, рисунках, фотографиях, схемах) конфиденциальных сведений или намека на наличие таких сведений. Подобная информация должна, как правило, анализироваться от противного – с точки зрения того интереса, который будет проявлен к ней конкурентами, и объема полезных сведений, извлекаемых конкурентом из ее содержания. Материалы, не прошедшие экспертизу, опубликованию не подлежат. Экспертиза включает также последующий контроль всех опубликованных о фирме материалов, сообщений средств массовой информации, рекламных изданий и рекламно-выставочных проспектов. Помимо этого анализируются подобные материалы других фирм для определения возможной утраты ценных сведений. Рекламно-выставочные издания не должны сигнализировать недобросовестному конкуренту о том, что и где искать.
В целях предотвращения разглашения ценных сведений в рекламно-выставочных материалах следует заблаговременно:
- проанализировать множество предполагаемых и изданных материалов с точки зрения возможности извлечения из них ценных, конфиденциальных сведений при сопоставлении показателей и обобщении сведений из всех изданий;
- осуществить разбиение (дробление) информации между разными рекламно-выставочными материалами, предназначенными для массового посетителя и посетителей-специалистов, издавать серию дополнений к основному проспекту для специалистов разного профиля;
- осуществить разбиение информации по видам и средствам рекламы – традиционным бумажным изданиям, электронной рекламе, Web-странице, рекламе в средствах массовой информации и др.
Вместе с тем рекламно-выставочные материалы не должны быть малоинформативными для посетителей, все наиболее важные параметры новой продукции должны найти в них отражение.
Следовательно, подготовка и проведение совещаний и переговоров по конфиденциальным вопросам, оформление их результатов связаны с выполнением ряда обязательных процедур, необходимых для правильной организации работы организаторов и участников этих мероприятий. При несоблюдении изложенных требований возникает серьезная опасность разглашения или утечки ценных сведений и секретов фирмы, ее партнеров и клиентов. Контроль за выполнением этих требований возлагается на секретаря-референта, который обеспечивает информационную безопасность деятельности фирмы, сохранение ее деловых и производственных секретов.
Кратко: Особое место при проведении переговоров занимают рекламно-выставочные материалы. Материалы, не прошедшие экспертизу, публикации не подлежат. Необходимо предоставлять как можно больше общедоступных сведений и не сообщать информацию, использование которой может принести ущерб редприятию.
О44. Ответы 38-43.
Бонус :). Этапы построения систем:
1) выявление угроз
2) оценка состояния системы
3) выводы
4) техническое задание, проект
5) разработка документации
6) создание системы
