Шрифт:
Интервал:
Закладка:
— попытки получения по возможности исходных текстов программ и проведения компиляции на месте. Проявление особой осторожности, если исходный текст программы труден для понимания;
— установление системы защиты на особо важных II К. I Ірименепио специальных антивирусных средств;
— периодическое пересматривание правил обеспечения безопасности и определение возможности использования дополнительных мер защиты.
Необходимо разработать антивирусную программу действий, которую утвердить в виде Инструкции, с которой ознакомить всех сотрудников фирмы, имеющих доступ к работе на компьютерных сетях фирмы или имеющих специальную подготовку для такой работы.
В системах с единой схемой защиты для каждого файла необходимо создать список авторизованных пользователей. Применительно к каждому файлу указываются разрешаемые режимы его использования: чтение, запись или использование. В системах с программируемой схемой защиты следует предусмотреть ограничение календарного времени работы системы, доступ только к средним значениям файла данных, локальную защиту отдельных элементов массива данных. Учитывая высокую криптостойкость современных шифров, это даст возможность ликвидировать такие каналы утечки, как копирование информации, хищение носителей и несанкционированный доступ к секретной информации.
Безопасность данных может обеспечиваться, в случае признания необходимости, следующей дополнительной системой мероприятий:
— объекты данных идентифицируются и снабжаются информацией службы безопасности. Целесообразно эту информацию размещать не в отдельном каталоге, а вместе с информацией, имеющей метки;
— кодовые слова защиты размещаются внутри файла, что в значительной мере повышает эффективность защиты;
— доступ к данным целесообразен с помощью косвенных ссылок, например, списка пользователей, допущенных владельцем файла к размещенным в нем данным;
— данные и программы могут преобразовываться (кодироваться) внутренним способом для хранения;
— информация по отрицательным запросам не выдается;
— повторные попытки доступа после неудачных обращений должны иметь предел;
— при уменьшении конфигурации системы или при ее тестировании функции защиты сохраняются;
— никакие изменения таблиц безопасности, кроме изменения со специального устройства или пульта управления, не разрешаются.
В помещениях и на территориях фирмы вводится специальная система допуска сотрудников фирмы к своим рабочим местам во внерабочее время, а также в выходные и праздничные дни. Функционирование этой системы защиты определяется Инструкцией №_от «_»_20_года, утвержденной Генеральным директором фирмы.
Комплексная система защиты информации должна отвечать следующим требованиям:
— оперативно реагировать на изменение факторов, определяющих методы и средства защиты информации;
— базироваться на лучших алгоритмах закрытия информации, гарантирующих надежную криптографическую защиту;
— иметь важнейшие элементы идентификации пользователей и контроля подлинности передаваемой и хранимой информации;
— осуществлять защиту от несанкционированного доступа к информации в базах данных, файлах, на носителях информации, а также при передаче информации по линиям связи в локальных и глобальных сетях;
— обеспечивать режим специально защищенной электронной почты для обмена секретной информацией и информацией, содержащей коммерческую тайну, с высокой скоростью и достоверностью передачи информации адресату;
— иметь удобную и надежную ключевую систему, обеспечивающую гарантию безопасности при выработке и распределении ключей между пользователями;
— обеспечивать различные уровни доступа пользователей к защищаемой информации.
В уставе фирмы должно быть указано, что сведения, составляющие коммерческую тайну и конфиденциальную информацию, являются ее собственностью. В фирме должна быть проведена подготовка персонала в плане обучения исполнению своих обязанностей с одновременным выполнением требований по обеспечению защиты сведений, составляющих коммерческую тайну и конфиденциальную информацию, и предупреждения об ответственности за несоблюдение указанных требований.
Принимаемые меры противодействия с экономической точки зрения будут приемлемы, если эффективность защиты с ее помощью, выраженная через снижение вероятного экономического ущерба, превышает затраты на ее реализацию. Можно выбрать или определить максимально допустимые уровни риска в обеспечении сохранности информации и выбрать на этой основе одну или несколько экономически обоснованных мер противодействия, позволяющих снизить общий риск до такой степени, чтобы его величина была ниже максимально допустимого уровня.
Ввести обязательное правило аутентификации, т. е. проверки подлинности подписи и содержания, для всех документов, поступающих в фирму по различным информационным каналам, если этот документ определяет ответственность фирмы в связи с заключенными договорами (контрактами), другими финансовыми обязательствами. Особо следует обращать внимание при этом на сообщения о расторжении договоров, открытые документы, поступившие под электронной подписью. Необходимо предусматривать ситуацию, при которой личный код отправителя может быть у него украден, и злоумышленник может воспользоваться им от лица владельца, или сначала прислать фирме якобы верный открытый ключ, а потом присылать под него соответствующим образом подписанные сообщения.
4. ПРЕДОТВРАЩЕНИЕ УТЕЧКИ ИНФОРМАЦИИ И ПЕРЕКРЫТИЕ КАНАЛОВ УТЕЧКИ
Каналы утечки информации в случае запуска новой продукции разнообразны. К ним могут относиться следующие ситуации:
— мало кто знает, как запускать новую продукцию. Вы полагаете, что на этой стадии информация представляет собой тайну. Не следует заблуждаться. Большая часть информации уже прошла через те этапы, где утечка вероятна и даже возможна: решения финансистов, покупаемые или заявленные патенты и т. п. Во все эти операции вовлечено много людей, что делает совершенно невозможным полное соблюдение секретности;
— создается подразделение или команда для наблюдения за сбытом продукции. О ее существовании хорошо известно всем сотрудникам фирмы. Новые действия членов такой команды расширяют круг посвященных;
— делается сообщение, публикуется информация;
— выпускается продукция. Все могут ее купить. Общество защиты прав потребителей имеет право исследовать и сравнивать с другой подобной продукцией. Конкуренты в такой ситуации имеют возможность детально знакомиться с продукцией и изделиями фирмы. Все характеристики продукции и изделий становятся достоянием общественности;
— продукция фиксируется, классифицируется и, возможно, даже становится статистическим объектом;
— продукция исчезает, ее место занимает новая.
Выделение необходимого источника для получения информации позволяет в большинстве случаев добраться к информации напрямую.
Прежде чем представлять, что утечка информации происходит в результате подслушивающего устройства на телефонной линии, разумнее предусмотреть и проверить следующие возможности:
— проанализировать состояние архивов, информационных систем всех видов договорной практики, перечень клиентуры, привлекаемой фирмой для поставок, сбыта, разработки отдельных деталей и направлений при создании новой продукции, порядок размножения документов, методы сбора и уничтожения отходов производства и бумажных носителей информации;
— краны, управляющие выходом потока информации, чаще открыты больше, чем необходимо;
— центры распределения информации (телефонистки, секретариат, вспомогательный персонал руководства фирмы).
Это самые рискованные точки, они многочисленны и поддаются контролю с трудом.
Для обеспечения этих точек мероприятиями по обеспечению безопасности фирмы можно рекомендовать следующие меры:
— установить в фирме режущий аппарат и в обязательном порядке по окончании рабочего дня уничтожать в нем все ненужные документы;
— управлять конфиденциальностью данных в компьютерах, приняв специальный код;
— контролировать доступ к компьютеру извне, запретить на протяжении определенного времени пользование и задать сигнал тревоги, если введенный код неверен или введен ошибочно. Это способствует предотвращению кражи данных и защищает всю систему от разрушения;
— периодически делать копии охраняемой информации и помещать их в надежное место;