Партнерка на США и Канаду по недвижимости, выплаты в крипто
- 30% recurring commission
- Выплаты в USDT
- Вывод каждую неделю
- Комиссия до 5 лет за каждого referral
22. Состояние с безопасностью данных в США
Состояние с безопасностью данных в США Проведенные в 1994 г.
опросы руководителей подразделений информационных систем США
показывают, что, приэнавая рост опасности подрыва информационной
безопасности систем, они мало что делают для исправления
положения. Среди 95 руководителей подразделений безопасности
девять из десяти полагают, что вычислительные системы и сети
корпораций находятся под большей угрозой, нежели год назад.
Причем 41% респондентов считает, что угроза возросла значительно.
Наиболее сильно руководство беспокоят работники, увольняемые по
сокращению штатов. Это подтверждают и результаты опроса. В период
массовых сокращений штатов возрастает роль физической
безопасности. Недовольные уволенные работники составляют 94%
угроз. Среди других причин роста обеспокоенности респонденты
называют и возрастание сложности технических систем. Без
проведения тщательных испытаний новая техника может стать
серьезным источником неприятностей. С другой стороны, переход к
распределенным (децентрализованным) системам и тенденция
подключения информационных систем к сети Internеt резко усложняют
проблему защиты данных. Лет десять назад вся информационная
система умещалась в очной универсальной ЭВМ, единственным путем
доступа к которой был проход в помещение, где она была
установлена. Сегодня войти в информационную сеть корпорации можно
из любой точки США и Канады. На этом фоне администрация фирм
определенно не придает нужного значения информационной
безопасности. В спешке внедрения новой техники и по мере
перемещения услуг все ближе к конечному пользователю безопасность
зачастую выпадала из поля зрения администрации. Опрос 1271
представителя фирм, 61% из которых были лица, ответственные за
информационные системы, показал, что в 42% случаев высшее
руководство фирм рассматривало информационную безопасность как
"малозначительную" или "не имеющую значения" проблему. Лишь 22%
опрошенных считали ее "чрезвычайно важной". "Прохладное"
отношение руководства к проблеме защиты данных можно объяснить
тем, что в условиях жесткой конкуренции высокая безопасиость не
была достаточно весомым мотивом. Все было направлено на
сокращение издержек, в особенности в сфере здравоохранения,
авиаперевозок и страхового дела. На фоне растущего риска 50%
респондентов из фирм, где локальные вычислительные сети играли
ключевую роль в производственных процессах, отметили, что их сети
не обладали достаточной безопасностью. Среди заявивших о
недостаточной безопасности системы Uniх 68% тем не менее
отметили, что на платформе Uniх они решают важные
производственные задачи. Скорей всего это объясняется давлением
издержек. Иногда руководство просто заявляет примерно так: "Я
хочу внедрить эту систему в установленный срок, а безопасность
меня совершенно не трогает". В других случаях следует винить
нетерпеливость руководителей подразделений информационных систем,
которые хотят поскорее познакомиться с новинками, оставляя
возможное оснащение их средствами защиты на потом.
Соmрutеrwоrld.- 1, NР. 45.
http://users. /~batmanb/box/4/22.shtml
21. Проблемы защиты информации в великобритании
Проблемы защиты информации в мае 1992 г.
Торгово-промышленный департамент (ТПД) Великобритании опубликовал
документ "Требования пользователей к стандартам защиты
информации" (User rеquirеmепt fоr IТ Sесuritу Stаndаrds). В
документе были изложены результаты исследований, проведенных
Британским институтом стандартов и организацией DISС совместно с
компанией Sеmа Grоup в области информационной безопасности (ИБ).
Основная рекомендация исследователей сводилась к необходимости
принятия единого стандарта по ИБ, который должен быть дополнен
сертификацией мер безопасности, предпринимаемых в организациях
пользователей. Отмечается, что уже на этом этапе разработки
нормативных материалов был определен ряд норм в области ИБ,
однако ни одна из них не была утверждена. Неформальное обсуждение
проблемы разработчиками стандартов и рядом крупных организаций
пользователей выявило широкую поддержку усилиям по созданию
подобного свода норм со стороны деловых структур. Все это дало
возможность ТПД создать рабочую группу, в которую вошли
представители восьми фирм: ВОС Grоuр, Вritish Теlесоmmuniсаtios,
Маrks and Sреnсеr, Мidland Ваnk, Nаtiоnwide Вuilding Society,
Shеll Intеrnаtionаl, Shell UК, Unilеvеr плюс представитель
организации DISС и Британского института стандартов. Результатом
работы этой группы стали "Нормы управления информационной
безопасностью" (Тhе Соdе оf Рrасtiсе fоr infоrmаtiоn Sесuritу
Маnаgеmеnt), которые вошли в свет в сентябре 1993 г. Нормы
предназначаются для использования руководством компаний и лицами,
ответственными за внедрение и состояние ИБ на фирме. По сути они
являются сводом хорошо зарекомендовавших себя практических мер,
применяемых ведущими фирмами. Публикация норм преследует две
цели: - дать фирмам единую основу для разработки, внедрения и
оценки эффективности мероприятий, проводимых руководством службы
безопасности; - обеспечить доверительность отношений при
проведении операций между отдельными фирмами. Предполагается, что
безопасность позволяет сохранить непрерывность производственных и
управленческих процессов и сократить потенциальные потери за счет
предотвращения инцидентов или (где предотвратить их оказалось
невозможным) за счет минимизации нанесенного ими ущерба. Тремя
основными принципами ИБ считаются: - конфиденциальность: защита
важной информации от несанкционированного раскрытия; -
сохранность (целостность): обеспечение точности и полноты данных
и программного обеспечения; - доступность: информация и основные
виды услуг при возникновении в них необходимости должны быть
всегда доступны пользователю. Информационные технологии (ИТ) и
поддерживающие их системы - это важнейшие ценности для любой
отрасли бизнеса. Конфиденциальность, сохранность и доступность
данных в них могут играть решающую роль в создании и поддержании
привлекательного имиджа фирмы или организации. По мере роста
фирмы усиливается ее эависимость от систем и качества услуг, что
повышает уязвимость по отношению к угрозам безопасности. К таким
угрозам сегодня можно отнести шпионаж, компьютерное
мошенничество, даже элементарное хулиганство. Причем непрерывно
появляются все новые и новые уязвимые места. Рост размеров
отдельных сетей, объединение сетей между собой создают новые
возможности для несанкционированного проникновения в них, а
расширение систем распределенных вычислений сокращает сферу
централизованного контроля использования средств ИТ. По мнению
разработчиков Норм, они рассчитаны прежде всего на применение в
малых и средних фирмах, которые до сих пор не ставили перед собой
проблему ИБ. Таким фирмам предлагается внедрить у себя меры, уже
доказавшие свою эффективность в других местах. Разработкой Норм
занимались представители деловых структур из финансового,
производственного и торгового бизнеса, что позволило собрать
воедино различные меры по ИБ и отобрвть среди них наиболее
эффективные. Нормы базируются на десяти категориях: - распорядок
обеспечения безопасности; - организация обеспечения безопасности;
- выявление и контроль использования ценностей; - обеспечение
безопасности персонала; - обеспечение физической и внешней
безопасности; - обеспечение контроля доступа к системам; -
развитие и обслуживание систем; - планирование и гибкое поведение
в условиях возникновения непредвиденных обстоятельств в бизнесе.
Слагаемыми ИБ стали десять ключевых положений. Они пригодны для
любой организации, однако оказываются наиболее зффективными при
внедрении в малых фирмах: - наличие документа, регламентирутщего
порядок обеспечения ИБ; - распределение ответственности эа
безопасность; - обучение ИБ; - информирование об инцидентах в
области ИБ; - защита от компьютерных вирусов, - планирование
непрерывности производственного процесса; - контроль за
копированием документов; - зашита официальных документов фирмы; -
соблюдение законодательства в области защиты данных; - соблюдение
распорядка обеспечения ИБ. Любой организации, приступающей к
внедрению у себя мер по ИБ, рекомендуется начинать с реализации
этих положений. Проведенное в Великобритании обследование
внглийских фирм, результаты которого были опубликованы спустя
месяц после публикации Норм, показало, что руководство
большинства фирм не рассматривало проблему ИБ в качестве
достаточно серьезной. Руководство двух из каждых трех опрошенных
компаний отметило, что деятельность этих фирм целиком зависела от
ИТ. Однако лишь в каждой пятой организации был проведен
тщательный анализ рисков и только в каждой десятой существовала
уверенность в том, что они полностью застрахованы от потерь из-за
недостатков в системе ИБ. По мнению экспертов, одной иэ причин
этого является неразвитость системы страхования в области ИБ.
Считается, что ситуация изменится с принятием Норм в качестве
государственного стандартв Великобритании. Три четверти
опрошенных считают, что зависимость их фирм от систем ИТ в
перспективе будет только возрастать, а масштабы сетей и доступ к
данным будут расширяться. Все это затруднит контроль безопасности
систем, тем более, что лишь четверть опрошенных полагают, что
интенсификация использования ИТ будет сопровождаться
совершенствованием безопасности систем. Однако более тревожит
другой результат: только в каждой компании Совет директоров
считает проблему ИБ достаточно актуальной. Только в 40%
опрошенных фирм вопрос ИБ более-менее систематически обсуждмтся
нв уровне Советов директоров. Результаты опроса подчеркивают
важность внедрения Норм в практику работы фирм и организаций.
Полагают, то их принятие позволит значительно изменить отношение
к проблеме защиты данных. Более-менее четкую оценку последствий
нарушений системы обеспечения ИБ дают результаты исследований,
проводимых Национальным центром информационных технологий в
Манчестере. Целями исследования, проведенного в 1991 г., были: -
установка уровня недобросовестного использования ЭВМ в экономике
Великобритании; - изучение потерь: бизнеса из-за нарушений ИБ; -
выявление основных причин инцидентов; - установка раскрытых
инцидентов и предпринятых мер; - выявление наиболее актуальных
рисков и угроз; - наличие планов и процедур обеспечения
безопасности данных. Среди ответивших 950 организаций 59% имели
годовой оборот более 50 млн. ф. ст., 5% - до 1 млн. ф. ст.; 41%
опрошенных фирм имели численность персонала более 1 тыс. человек.
Примерно 41% ответивших в период гг. имели те или иные
проблемы с физической или логической безопасностью. Обычно это
были неполадки технических средств, хищения технических средств
или последствия стихийных бедствий. Проблемы физической
безопасности возникали по причине отказов оборудования и средств
электропитания, хотя в 43% случаев можно было говорить о
преднамеренном выводе из строя оборудования; 42% неполадок
логического характера были связаны со злым умыслом, среди них 22%
- со стороны персонала фирм. Большинство неполадок этого рода
было результатом ошибок пользователей. Крупную проблему
представляло использование непроверенного, пораженного вирусами
или содержащего ошибки программного обеспечения. Как правило,
респонденты были не в состоянии дать количественную оценку
ущерба, нанесенного тем или иным нарушением ИБ. По мнению
специалистов, это ярко свидетельствует о непонимании бизнесменами
реальной цены недостаточной безопасности. Даже если инцидент не
оказал значительного прямого отрицательного влияния на
производственную деятельность, сопутствующий ущерб может быть
весьма серьезным. По данным обследования, самый незначительный
инцидент в области физической безопасности обходился в среднем в
2 тыс. ф. ст. Что касается прямого ущерба там, где его можно было
оценить, то наиболее серьезными оказались пожары (средний ушерб
составил 2,7 млн. ф. ст., максимальный 8 млн. ф. ст.). Средний
ущерб от наводнения - 53 тыс. ф. ст., вследствие отказа
технических средств - 12 тыс. ф. ст. В области логической
безопасиости наибольшие потери дают действия хэкеров (средний
ущерб - 23 тыс. ф. ст., максимальный - 50 тыс. ф. ст.). Потери от
использования искаженного программного обеспечения составили в
среднем 12 тыс. ф. ст., а от ввода искаженных данных мошенниками,
например счетов на оплату, 14 тыс. ф. ст. Следует подчеркнуть,
что доля среди ответивших тех, кто смог оценить ущерб от
инцидентов, оказалась сравнительно небольшой, что значительно
затруднило получение достаточно надежной оценки суммарного ущерба
по промышленности и торговле. Весьма оптимистическая оценка
показывает, что ежегодные прямые потери от инцидентов, связанных
с физической безопасностью, могут достигать 580 млн. ф. ст., с
логической - 530 млн. ф. ст. Долгосрочный ущерб, связанный с
потерей передовых позиций на рынке в той или иной сфере бизнеса,
может быть еще более серьезным. Среди наиболее важных источников
проблем на первом месте (46%) оказался персональный компьютер,
причем прежде всего используемый в финансовых структурах. Самой
серьезной опасностью был назван несанкционированный доступ, за
которым следовали пожар и преднамеренное нарушение нормальной
работы систем. Несанкционированный доступ был наиболее актуален
для крупных организаций, вероятно, из-за более широких масштабов
использования вычислительных систем. Знание угроз безопасности
наполовину решает задачу предотвращения инцидентов. Поэтому
первостепенное значение имеет систематически проводимая оценка
риска. Тем не менее, как показало обследование, 67% организаций
анализа риска не проводили. Интересно, что относительно большое
число фирм располагали в том или ином виде планом действий в
чрезвычайной обстановке. Это указывает на то, что фирмы
занимаются планированием защиты своих ценностей, однако
отсутствие анализа рисков указывает на то, что они не
представляют себе те направления, где требуется максимальная
защита. В отчете по проведенному обследованию приведен ряд
конкретных инцидентов. В одном из них отказ системы
кондиционирования воздуха привел к выходу из строя
мини-компьютера, повлекшего ущерб в 70 тыс. ф. ст. Основные
затраты на возмещение ущерба пришлись на восстановление данных и
программного обеспечения. Интересно, что фирма располагала планом
действий в условиях чрезвычайной ситуации, однако случившееся в
нем предусмотрено не было. В другом случае пожар и последующее
заливание его водой пожарными в одной из финансовых компаний
полностью вывели из строя ее информационные системы. Прямые
потери составили 8 млн. ф. ст., долгосрочные - в три раза больше.
Однако в этом случае план действий оказался весьма полезным и
компания смогла через неделю вернуться к нормальной работе. В
третьем случае в планах мероприятий по безопасности фирмы не учли
возможности хищения мини-ЭВМ. Следствием такой кражи стало
значительное ужесточение контроля доступа в машинные залы.
Приведенные примеры показывают, что последствия инцидентов могут
быть быстро ликвидированы при тщательном анализе и планировании
безопасности. В связи с этим важнейшее значение приобретает
информация об уровне инцидентов в различных отраслях экономики
страны. Наличие распорядка обеспечения безопасности и планов
действий в чрезвычайной ситуации указывает на то, что
пользователи осознают угрозу, под которой находятся их системы.
Им, однако, неизвестна вероятность возникновения той или иной
ситуации. Новые Нормы являются попыткой заполнить брешь между
осознанием проблем безопасности и мерами по борьбе с инцидентами.
Экземпляр Норм Соdе оf Рrасtiсе fоr Infоrmаtiоn Sесuritу
Маnаgеrеs можно заказать по адресу: ВSI Рabliсаtiоns - Сustоmеr
Sеviсеs, Linfоrd Wооd, Мiltоn Кеуnеs МК 14 6LЕ. Теl: (0908)
221166. Доклад организации МОRI "Маnаgеmеnt Соntrоl оf
Iпfоrmаtiоn" можно заказать по адресу: IСL Sесurе Sуstеm, Еskdale
Road, Winnersh, Wоkingham Вuсkinghаmмshirе. Теl: (07
Обзор организации NСС "Survеу оf Sесuritу Вrеасhеs" можно
заказать по адресу: NСС Соnsultаnсу Grоuр, Охfоrd Rоаd,
Маnсhеstег М1 7ЕD Теl: (0Firе Рrеvеntiоn.- 1N
269 (Мау) .- Р. 28-30.
http://users. /~batmanb/box/4/21.shtml
29. Национальный уполномоченный орган по безопасности информации
несекретно НАЦИОНАЛЬНЫЙ УПОЛНОМОЧЕННЫЙ ОРГАН ПО БЕЗОПАСНОСТИ
ИНФОРМАЦИИ 1. Инструкция по секретному делопроизводству в НАТО
требует от страны-участника НАТО создать Национальный
уполномоченный орган, ответственный за безопасность секретной
информации НАТО. Это требование также включено в "Соглашение по
безопасности..." между НАТО и страной-участником программ
"Североатлантический совет по сотрудничеству" (САСС) или
"Партнерство ради мира" (ПРМ). При этом имеется ясное понимание
того, что страна-участник этих программ может быть не готова
сразу определить такой уполномоченный орган. Поэтому может
представлять интерес описание типичного уполномоченного органа по
безопасности в стране-участнике НАТО в качестве примера для
стран-участников программ САСС/ПРМ. Через национальный
уполномоченный орган по безопасности информации осуществляет
контакты со страной Управление безопасности НАТО. Функции
национального уполномоченного органа по безопасности.
ддддддддддддддддддддддддддддддддддддддддддддддддддддддддддддд 2.
Внутри НАТО функции национального уполномоченного органа по
безопасности информации следующие: а) обеспечение безопасности
секретной информации НАТО (САСС/ПРМ) в национальных органах и
структурах, военных и гражданских, внутри страны и за рубежом; b)
руководство созданием (или ликвидацией) органа управления
режимными отделами (или максимум двух таких органов). О создании
органа управления режимными отделами уведомляется Управление
безопасности НАТО. Более детально а предоставляемой информации
описано ниже; с) руководство созданием (или ликвидацией) режимных
отделов. Эта функция может быть делегирована Инспекции при органе
управления режимными отделами. О создании (или ликвидации)
режимных отделов уведомляется Управление безопасности НАТО; d)
при координации с Управлением безопасности НАТО проведение
периодических инспекций по проверке выполнения правил защиты
секретной информации НАТО (САСС/ПРМ) в национальных организациях
всех уровней, военных и гражданских; e) обеспечение лояльности
всех лиц - граждан данной страны, по роду своей деятельности
допущенных к секретной информации НАТО (САСС/ПРМ) в соответствии
с правилами НАТО; f) обеспечение разработки планов защиты
информации в чрезвычайных обстоятельствах, предотвращающей
попадание секретной информации НАТО (САСС/ПРМ) в чужие руки или
руки противника. 3. В дополнение к этому представители
национального уполномоченного органа по безопасности информации
участвуют в совещаниях Комитета безопасности НАТО, на которых
вырабатываются политика и инструкции в области безопасности. На
своем следующем совещании 12 октября 1994 года Комитет
безопасности НАТО рассмотрит вопросы взаимодействия с
уполномоченными органами по безопасности стран-участниц.
Назначение национального органа по безопасности информации.
ддддддддддддддддддддддддддддддддддддддддддддддддддддддддддд 4.
Обусловленная законом общая структура системы безопасности страны
и разделение полномочий между органами власти влияют на
назначение национального уполномоченного органа по безопасности.
Есть страны НАТО, в которых уполномоченный орган по безопасности
информации включает в себя министерства иностранных дел, защиты и
юстиции. В других странах руководителем уполномоченного органа по
безопасности является премьер-министр, или министр обороны, или
министр внутренних дел. Общим для всех является то, что
назначается ответственный уполномоченный по безопасности
информации. 5. Функции ответственного уполномоченного могут
варьироваться в зависимости от сил и средств, непосредственно ему
подчиненных. На объем функций ответственного уполномоченного
влияют размер страны и количество населения, географическое
положение мест обработки секретной информации и не в последнюю
очередь, распределение полномочий между органами в области
национальной безопасности. Часто большая часть функций
ответственного уполномоченного делегируется в министерство
обороны или министру обороны. 6. В одной ои стран НАТО
ответственным уполномоченным по безопасности информации является
заместитель начальника Главного штаба по безопасности и
контрразведке. Он имеет в своем подчинении штаб, состоящий из
экспертов в области безопасности по физическим, техническим,
информационным вопросам и вопросам персонала и выполняющий
функции уполномоченного органа по безопасности информации при
минимальной поддержке извне. 7. В нескольких странах НАТО
ответственным уполномоченным по безопасности информации является
координатор, в непосредственном подчинении которого нет сил и
средств. Его полномочия делегируются различным органам по их
профилю. Однако, независимо от количества сил в подчинении,
ответственный уполномоченный является связующим звеном между
правительством страны и Управлением безопасности НАТО.
Заключение. ддддддддддд 8. Назначение уполномоченного органа по
безопаснеости зависит от определяемой законом структуры системы
безопасности данной страны. Назначение ответственного
уполномоченного и то, находятся ли силы для выполнения задач
безопасности информации в его непосредственном подчинении или
подчиняются другим органам, зависит от распределения полномочий
между органами безопасности. 9. Если страна-участник хочет
обсудить вопросы создания национального уполномоченного органа по
безопасности в связи с программами САСС/ПРМ, Управление
безопасности НАТО всегда в ее распоряжении.
http://users. /~batmanb/box/4/29.shtml
30. Симпозиум по безопасности в рамках программы "партнерство ради мира" (прм)
несекретно СИМПОЗИУМ ПО БЕЗОПАСНОСТИ В РАМКАХ ПРОГРАММЫ
"ПАРТНЕРСТВО РАДИ МИРА" (ПРМ) 19 сентября 1994г. Название
доклада: БЕЗОПАСНОСТЬ ИНФОРМАЦИИ Докладчик: Йенс Аазен, начальник
отделения защиты; Управление безопасности НАТО; Штаб-квартира
НАТО, Брюссель (Телефон (32/40Я уверен, что
тема доклада всем знакома, и что многие могли бы сделать доклад
подобный моему. Однако мы пригласили вас сюда для того, чтобы
ознакомить с правилами НАТО в области безопасности информации, на
которых основываются правила безопасности информации,
предложенные для программ "Североатлантический совет
сотрудничества" (САСС) и "Партнерство ради мира" (ПРМ). По этой
причине я продолжу. 2. Сначала немного истории. При создании НАТО
в 1949 году системы безопасности стран-участниц существенно
различались. Общий подход к безопаснсти информации основывался на
опыте Второй мировой войны и методах защиты информации в военных
условиях. Поэтому правила безопасности, согласованные среди
союзников в течение войны, были приняты за основу в этой
ситуации. Первая система засекречивания содержала восемь уровней
секретности, из них четыре высших. Предусматривалось создание в
каждой стране двух центральных режимных органов и определенное
число подчиненных режимных органов. Отбор персонала, имеющего
доступ к этой информации, был очень строгим, а информация жестко
контролировалась на всех стадиях. Эта система оказалась очень
громоздкой, и, последовательно, в 1955 году, число уровней
секретности снизилось до четырех: ОГРАНИЧЕННОГО ДОСТУПА,
КОНФИДЕНЦИАЛЬНО, СЕКРЕТНО, СОВЕРШЕННО СЕКРЕТНО. Система учета
была сохранена, а система отбора персонала упрощена до нынешней.
Вы должны были заметить, что в минимальных стандартах по
безопасности информации, предложенных для программ САСС/ПРМ, мы
опустили уровень СОВЕРШЕННО СЕКРЕТНО. Причиной этого является то,
что количество совершенно секретной информации в НАТО является
очень ограниченным, а дополнительные требования по безопасности в
связи с этим уровнем секретности неоправданно усложнили бы
правила обмена информацией между вашими странами и НАТО. 3.
Основным принципом безопасности информации является то, что
правила должны обеспечить доступ к информации лиц, нуждающихся в
ней в силу служебной необходимости, и то, что информация должна
сохранять свою степень защиты при всех ее передачах, начиная с
источника, а контроль за распределением и распространением
информации должен обеспечить отсутствие ее утечки. Присвоение
информации НАТО того или иного грифа секретности производится в
соответствии с правилами систем безопасности стран-участниц.
Подчеркиваю, что НАТО как международная организация не производит
секретную информацию. Система безопасности НАТО является просто
продолжением систем стран - участниц. Из этого правила есть только
одно исключение: как вы знаете, в НАТО принят консенсус. Поэтому
существенно, что все переговоры и дискуссии остаются
конфиденциальными, пока решение не принято. Поэтому с целью
сохранения конфиденциальности, например, при подготовке коммюнике
встречи министров, проекты документов засекречиваются, пока все
министры не согласовали текст, который затем передается в прессу.
4. Современная система безопасности информации была разработана
для документов в виде "твердых копий". Вся учетная информация,
такая как входящий номер, учетный номер, дата документа,
количество страниц, относится к "твердым копиям". В последние
несколько лет информационные технологии развивалитсь с
поразительной скоростью. Оптимисты-пользователи этих новых
технологий считают, что бумага будет заменена электронным
распределением и хранением информации. Я считаю, что мы никогда
не сможем полностью отказаться от бумаги, но я надеюсь, что мы
сможем уменьшить то количество бумаги, которое мы используем
сегодня. , возглавляющий отделение безопасности
систем автоматической обработки данных, сегодня позднее
представит доклад о безопасности систем автоматической обработки
данных в НАТО. 5. Безопасность информации, независимо от того,
какой носитель - бумажный или электронный используется, тесно
связана с общим управлением потоками информации. Если в
организации имеется четкое распределение обязанностей, потоки
информации хорошо организованы, меры безопасности информации
применить легко. К сожалению, чаще бывает так, что меры
безопасности информации становятся и мерами распределения потоков
информации. Это может привести к довольно громоздким процедурам и
вызвать впечатление у сотрудников, что меры безопасности
усложняют их работу. Если кому-либо из вас придется вводить
систему безопасности информации в организации, я настоятельно
рекомендую сначала присмотреться к процедурам распределения
информации в этой организации. Идеально организация должна иметь
отдел (режимный) для приема и отправки всех документов, должны
быть ясные инятрукции, как входящие документы должны
расписываться сотрудникам, и как нужно готовить и утверждать
выходящие документы. Система хранения должна обеспечивать то, что
вся информация по определеныым вопросам доступна и постоянно
обновляется. Все передачи документов должны регистрироваться в
соответствующих журналах, чтобы прием или передача документа были
документально подтверждены, и было ясно, откуда он пришел или
куда направляется. На каждом документе должен быть входящий или
учетный номер и дата. Из записи должно быть видно, кому документ
расписан и где он находится в любой момент времени, в том числе
когда он подшит на хранение. Если такие правила действуют
независимо от степени секретности информации, то меры по
безопаснсти информации будет ввести легко. 6. Минимальные
стандарты по обработке и защите информации, которой стороны
обмениваются в рамках программ САСС/ПРМ, содержат требования по
обработке, хранению и передаче секретной информации. Выполнение
этих требований будет детально обсуждаться с уполномоченными
органами ваших стран во время визитов представителей Управления
безопасности НАТО или же, при желании, при встречах в
штаб-квартире НАТО. Эти стандарты, обязательные для все
стран-участников НАТО и международных организаций НАТО, будут
применяться и к предаче информации из ваших стран в НАТО. Главная
цель Соглашения по безопасности, Минимальных стандартов и
Административного соглашения установить и поддерживать систему
безопасности информации в ваших странах и в НАТО, которая
обеспечит один и тот же уровень защиты. Эта цель срочная: у нас в
НАТО все время пополняются списки документов, многие из которых
секретные, которые необходимы для успешного сотрудничества в
рамках программ САСС/ПРМ. До выполнения необходимых соглашений
эти документы не могут быть переданы. Вопросы?
http://users. /~batmanb/box/4/30.shtml
31. Симпозиум по безопасности в рамках программы "партнерство ради мира" (прм). Организационно-технические (физические) меры безопасности
несекретно СИМПОЗИУМ ПО БЕЗОПАСНОСТИ В РАМКАХ ПРОГРАММЫ
"ПАРТНЕРСТВО РАДИ МИРА" (ПРМ) 19 сентября 1994г. Название
доклада: ОРГАНИЗАЦИОННО-ТЕХНИЧЕСКИЕ (ФИЗИЧЕСКИЕ) МЕРЫ
БЕЗОПАСНОСТИ Референт: Йенс Аазен, начальник отделения защиты;
Управление безопасности НАТО; Штаб-квартира НАТО, Брюссель
(Телефон (32/40Под организационно-техническими
(физическими) мерами безопасности я подразумеваю физическую и
техническую защиту территории, зданий, помещений, секретной
информации и оборудования. 2. Целью этих мер является:
-предотвратить тайное или насильственное вторжение
злоумышленника; - разграничить доступ персонала к секретной
информации в соответствии со служебной необходимостью; обнаружить
и пресечь действия нелояльного сотрудника или лица, получившего
несанкционированный доступ в режимное помещение. 3. Диапазон
защищаемых помещений простирается от больших правительственных
зданий в столице или изолированных военных штабов до палатки,
развернутой в поле. Поэтому меры защиты, которые нужно применять
для обеспечения необходимого уровня безопасности, также
различаются. Необходимо также учитывать количество обрабатываемой
секретной информации и форму допуска персонала. Могут оказывать
влияние аспекты противодействия терроризму и саботажу. 4. В
разных странах-участниках НАТО применяемые меры защиты
различаются. В некоторых странах для защиты территории, зданий и
секретной информации используются сложные системы сигнализации и
замкнутые телевизионные системы в дополнение к мощным
ограждениям, укрепленным помещениям и сейфам, в других
задействуется охрана и другой контролирующий персонал по принципу
"двое контролирующих". 5. Для иллюстрации совокупности
организационно-технических (физических) мер защиты я расскажу о
системе защиты нашей штаб-квартиры. Штаб-квартира НАТО окружена
решетчатым забором высотой 2 метра с колючей проволокой по верху.
Имеются трое ворот, двое открываются на бульвар Леопольда III и
одни на юг в сторону министерства обороны Бельгии. Последние
ворота используются только в особых ситуациях, когда бульвар
Леопольда III блокирован, или при взаимодействии с министерством
обороны Бельгии. Забор усилен тумбами, а ворота оборудованы
шлагбаумом для предотвращения прорыва автомобиля на территорию.
Внешний периметр, образованный забором, просматривается с помощью
замкнутой телевизионной системы. Имеется также система
сигнализации с несколькими типами датчиков. Оконечные устройства
телевизионной системы и системы сигнализации находятся в центре
безопасности штаб-квартиры. Для полноты описания системы
безопасности необходимо упомянуть поддержку бельгийских властей.
Бельгийская жандармерия дежурит у нас каждый день, а в особых
случаях, таких, как совещание министров, жандармерия и местная
полиция оказывают нам ценную помощь. 6. Вход и въезд в
штаб-квартиру за редкими исключениями осуществляется через
главные ворота. Все постоянные сотрудники имеют пропуска
установленного образца, а на посетителей пишутся заявки, и на
входе их ждут пропуска. На группы посетителей Управления
информации тоже пишутся заявки, но этим посетителям выдаются
нагрудные таблички с надписью "посетитель". Персонал обязан
носить пропуска на видном месте так, чтобы охрана могла их ясно
видеть. Посетитель без заявки должен сообщить цель посещения и
фамилию или должность лица, к которому он идет. Охрана возле
главных ворот звонит этому лицу, которое при согласии принять
посетителя будет нести за него ответственность и должно
обеспечить его сопровождение. 7. Наша следующая линия защиты -
стальной забор высотой два метра вокруг режимных сооружений.
Двери стальные или из пуленепробиваемого стекла. Если двери
открыты, они охраняются. Нужно подчеркнуть, что внешний периметр
защищается с учетом противодествия терроризму. 8. По пропускам
постоянного персонала и посетителей видно, в какие помещения им
разрешен доступ. Охрана проверяет пропуска при входе в режимные
помещения штаб-квартиры. Посетители и лица без соответствующего
пропуска постоянно сопровождаются в режимных помещениях. Мы
разрешили доступ в некоторые режимные помещения, в том числе и в
этот зал, офицерам связи по программам "Североатлантический совет
по сотрудничеству" (САСС) и "Партнерство ради мира" (ПРМ). В
настоящий момент на первом этаже и в коридоре охранников больше,
чем обычно. Однако в будущем мы планируем их заменить
автоматизированной системой контроля доступа, когда будут решены
финансовые и технические проблемы. 9. Внутри режимной территории
имеется много мест, которые охраняются отдельно. Большинство
национальных делегаций имеет свою собственную охрану и применяет
свои меры защиты. Отдельно охраняются режимный отдел и режимные
подотделы, в которых хранятся секретные документы, а также
некоторые помещения, в которых сотрудникам разрешано держать
документы высокого уровня секретности. Меры защиты включают
укрепление помещений, использование сейфов, сигнализации и не в
пследнюю очередь патрулей. В дополнение к мерам защиты мы имеем
пожарную сигнализацию и сигнализацию систем снабжения
штаб-квартиры электроэнергией и теплом. 10. Охрана и
контролирующий персонал имеют список телефонов и имен на случай
любого непредвиденного обстоятельства. Этот список включает
службы Бельгии как страны-хозяина. 11. Важной частью физической
безопасности является техническая защита информации. Наше
подразделение технической защиты проверяет все электрическое и
элетронное оборудование, которое вносится в штаб-квартиру, чтобы
не допустить излучение информативных сигналов за пределы
периметра. Мы имеем оборудование перехвата, которое позволяет
обнаружить неправильное функционирование разрешенной аппаратуры и
излучение аппаратуры, внос которой не был разрешен. Объем работы
в этой области в последние годы значительно возрос благодаря
широкому использованию факсов, переносных телефонов и переносных
дуплексных радиостанций. 12. Физическая безопасность основана на
создании преград, усиленных техническими средствами или охраной.
Следующий важный аспект - эффективный контроль входа и въезда
персонала и автомобилей. Внутри зданий для некоторых помещений
требуются специальные меры защиты и контроль доступа. И наконец,
контейнеры для хранения секретной информации долны иметь надежные
запоры, которые должны обеспечить доступ к этой информации только
допущенных лиц. Также важно наличие достаточного количества
оснащенной охраны и технического персонала для поддержания
работоспособности оборудования. Это каждодневная задача. Для
иллюстрации этого факта могу сообщить, что в штаб-квартире мы
контролируем более 38000 ключей, из которых 12500 принадлежат
сотрудникам безопасности, и более 1000 кодовых комбинаций замков
дверей и контейнеров. Однако, благодаря сотрудничеству
сотрудников безопасности с остальным персоналом штаб-квартиры мы
верим, что меры безопасности являются адекватными и приносят
желаемый результат.
http://users. /~batmanb/box/4/31.shtml
