Следующими ступенями защиты, являются системные службы, которые отвечают за: права пользователей, отведение ресурсов, определение и осуществление приоритетов схем включения процессов и тому подобное. Дальнейший уровень, это уровень сетевых приложений и протоколов, отвечающих за сетевое подключение пользователей, правила доступа к сетевым ресурсам и правила их эксплуатации. Сканеры безопасности, могут помочь определить сетевую и локальную уязвимость персональных компьютеров и серверов.

Для обеспечения безопасности против вирусных программ, имеет смысл установить ряд антивирусных программ, таких как, например: NOD32, TrendMicro и др. Процесс резервирования информации является ключевым как для отдельного работника, так и для всей организации в целом. Средства программного и аппаратного восстановления информации также относятся к средствам, обеспечивающим безопасность информации. Восстановление информации, как правило, являет за собой, долговременность, трудоемкость и требует некоторых познаний о строении файловой системы [25].

1.5 Планирование мероприятий по защите информации на предприятии.

Обычно, против проведения мероприятий и утверждения проектов по обеспечению информационной безопасности, приводят следующие аргументы:

• появление доп. ограничений для конечных пользователей и специалистов подразделений обеспечения, затрудняющие использование и эксплуатацию автоматизированной системы организации;

• потребность в доп. материальных затратах как на проведение таких мероприятий, так и на увеличение количества специалистов, занимающихся вопросом информационной безопасности.

Экономия на информационной безопасности выражается в различных стадиях, терминальными из которых являются:

• утверждение только лишь организационных мер защиты информации в корпоративной сети (КС);

• эксплуатация только дополнительных технических способов защиты информации (ТСЗИ) [45].

Сперва, обычно разрабатываются множественные инструкции, приказы и положения, которые перекладывают в опасную минуту ответственность с работников, издающих эти документы на однозначных исполнителей. Условия этих документов (если отсутствует подходящая техническая поддержка) усложняют постоянную работу сотрудников организации и, обычно, не выполняются.

В другом случае, происходит приобретение и установка дополнительных технических способов защиты информации. Эксплуатация этих ТСЗИ без нужной организационной поддержки является неэффективным в связи с тем, что без принятых условий обработки информации в корпоративной сети эксплуатация любых технических способов защиты информации только увеличивает существующий беспорядок. Рассмотрим ряд некоторых мер, которые необходимы для защиты информации в сетях ЭВМ. В одном случае, эти мероприятия обычно направляют для обеспечения правильности функционирования механизмов защиты и выполняются администратором безопасности системы. В другом, руководство компании, которая эксплуатирует средства автоматизации, должно так же заниматься и регламентацией правил автоматизированной обработки информации, включающих в себя и правила ее защиты, а также установить меру ответственности за несоблюдение данных правил.

Меры по организации:

• разовые (те, что проводятся и повторяются только при полнейшем пересмотре утвержденных решений) мероприятия;

• мероприятия, которые проводятся при возникновении или осуществлении установленных изменений в данной защищаемой корпоративной сети или внешней среде (если есть необходимость);

• периодически проводимые (через определенный период времени) мероприятия;

• постоянно (непрерывно или дискретно в любой момент времени) проводимые мероприятия [48].

Разовые мероприятия:

• общие мероприятия по формированию научно-технической и методологической основы (концепции и др. руководящих документов) сохранения корпоративной сети;

• мероприятия, которые осуществляются при планировании, строительстве и оборудовании вычислительных центров и др. объектов автоматизированной системы ( для исключения возможности скрытого прохождения в помещение, устранения возможностей установки прослушивающего оборудования и так далее );

• мероприятия, осуществляемые при планировании, создании и использовании технических средств и программного обеспечения (проверка и сертификация эксплуатируемых технических и программных средств, и тому подобное );

• проведение специальных проверок всех применяемых в корпоративной сети средств вычислительной техники и проведения мер по защите информации от утечки по каналам побочных электромагнитных излучений и наводок;

• создание и закрепление обязанностей должностных лиц службы информационной безопасности;

• внесение основных изменений и во все организационно-распорядительные документы (положение о подразделениях, обязанности должностных лиц, инструкции пользователей системы и т. п. ) по поводу обеспечения безопасности программно-информационных ресурсов корпоративной сети и действиям, если есть риск возникновения критических ситуаций;

• оформление юридической документации (договоры, распоряжения, приказы) по вопросу регламентации отношений с клиентом (пользователем), работающим в автоматизированной системе, между участниками информационного обмена и третьей стороной (арбитражем, третейским судом) о правилах разрешения споров, связанных с применением электронной подписи;

• определение порядка назначения, изменения, утверждения и предоставления конкретным должностным лицам необходимых полномочий по доступу к ресурсам системы;

• мероприятия по созданию и управлению систем защиты корпоративной сети и созданию инфраструктуры;

• мероприятия по разработке правил управления доступом к ресурсам системы (определение перечня задач, решаемых структурными подразделениями организации с использованием корпоративных сетей и решение режима обработки которые используются при доступе к данным; определение перечня файлов и баз данных содержащих сведения, которые составляют коммерческую тайну, а также необходимых условий к уровням их защиты от НСД при хранении, обработке и передаче в корпоративных сетях; выявление самых очевидных угроз для данной корпоративной сети, выявление уязвимых мест процесса обработки информации и каналов доступа к ней; оценка ущерба, который вызывается угрозами к безопасности информации, разработка рациональных требований по первичным направлениям защиты;

• организация устойчивого пропускного режима;

• определение порядка учета, выдачи, использования и хранения съемных магнитных носителей информации, содержащих эталонные и резервные копии программ и массивов информации, архивные данные и т. п.;

• организацию учета, хранения, использования и уничтожения документов и носителей с закрытой информацией;

• определение порядка проектирования, разработки, отладки, модификации, приобретения, исследования, использования, контроля и хранения структуры программных продуктов, а также поэтапность обновлений версии, которая используется и установка новых системных и прикладных программ на рабочих местах защищенной системы;

• создание служб (отделов) компьютерной безопасности или, в случае небольших организаций и подразделений, назначение нештатных ответственных, осуществляющих единое руководство, организацию и контроль за соблюдением всеми категориями должностных лиц требований по обеспечению безопасности программно-информационных ресурсов автоматизированной системы обработки информации;

• определение перечня необходимых регулярно проводимых превентивных мер и оперативных действий персонала по обеспечению непрерывной работы и восстановлению вычислительного процесса АС в критических ситуациях, возникающих как следствие НСД, сбоев и отказов СВТ, ошибок в программах и действиях персонала, стихийных бедствий [48].

Периодически проводимые мероприятия:

• распределение реквизитов разграничения доступа (паролей, ключей шифрования и т. п.);

• анализ системных журналов, принятие мер по обнаруженным нарушениям правил работы;

• мероприятия по пересмотру правил разграничения доступа пользователей к информации в организации;

• периодически с привлечением сторонних специалистов осуществление анализа состояния и оценки эффективности мер и применяемых средств защиты. На основе полученной в результате такого анализа информации принимать необходимые меры по совершенствованию системы защиты [48].

Мероприятия, проводимые по необходимости:

• мероприятия, осуществляемые при кадровых изменениях в составе персонала системы;

• мероприятия, осуществляемые при ремонте и модификациях оборудования и программного обеспечения (строгое санкционирование, рассмотрение и утверждение всех изменений, проверка их на удовлетворение требованиям защиты, документальное отражение изменений и т. п. );

• мероприятия по подбору и расстановке кадров (проверка принимаемых на работу, обучение правилам работы с информацией, ознакомление с мерами ответственности за нарушение правил защиты, обучение, создание условий, при которых персоналу было бы невыгодно нарушать свои обязанности и т. д. ). [48]

Постоянно проводимые мероприятия:

• мероприятия по обеспечению достаточного уровня физической защиты всех компонентов КС (противопожарная охрана, охрана помещений, пропускной режим, обеспечение сохранности и физической целостности СВТ, носителей информации и т. п. );

• мероприятия по непрерывной поддержке функционирования и управлению используемыми средствами защиты;

• явный и скрытый контроль за работой персонала системы;

• контроль за реализацией выбранных мер защиты в процессе проектирования, разработки, ввода в строй и функционирования АС;

• постоянно (силами отдела (службы) безопасности) и периодически (с привлечением сторонних специалистов) осуществляемый анализ состояния и оценка эффективности мер и применяемых средств защиты [48].

Несколько детализируя методологию построения систем информационной безопасности относительно корпоративной сети, а также учитывая вышесказанное по возможным угрозам сети и имеющимся способам борьбы с ними, алгоритм построения системы информационной безопасности корпоративной сети может быть представлен следующим образом.

Весь объект защиты имеет несколько направлений возможных атак. Для каждого вида атаки существуют соответствующие способы и средства борьбы с ними. Определив основные способы борьбы, мы тем самым сформируем политику информационной безопасности. Выбрав в соответствии со сформированной политикой совокупность средств обеспечения информационной безопасности, объединив их системой управления, мы получим фактически систему защиты информации.

Аналогичным образом анализируются угрозы на уровне корпоративной сети. Она может быть представлена тремя основными составляющими – техническое обеспечение, информационное обеспечение и программное обеспечение. Каждый из этих компонент может далее детализироваться до степени, достаточной для формулировки основных угроз на этом уровне и возможных способов борьбы с ними [47].

Выбор конкретных способов и средств защиты информации на уровне сети также выливается в соответствующую политику и систему информационной безопасности, которые органически вливаются в общую политику и систему информационной безопасности всего объекта.

Поэтому при вводе и эксплуатации полезных политик информационной безопасности, нужно создать и использовать четкие правила работы с информацией и строго им следовать, проводить созданные мероприятия по поддержке и последующем улучшении инфраструктуры информационной среды организации, по резервированию и внедрению информации, повышению уровня квалификации работников в сфере информационной безопасности.

Одно из самых основополагающих направлений деятельности компании, которая осуществляет его работу с данными имеющими конфиденциальный характер, это планирование мероприятий по защите этой самой информации. Планирование этих мероприятий является краеугольным камнем в системе управления деятельностью как компании в целом, так и его структурных звеньев (должностных лиц). Также тяжело дать переоценку значений этих направлений в общем способе организационных мер по обеспечению информационной безопасности компании.

Первичными целями планирования мероприятий по защите информации являются:

• организация проведений ряда мероприятий по защите служебной и конфиденциальной информации, которые, в свою очередь, направленны на то, чтобы исключить возможные каналы утечки этих данных;

• установление индивидуальной ответственности всех должностных лиц компании за решение вопросов защиты данных в результате производственной, эксплуатационной или иной деятельности предприятия;

• определение времени, в течении, которых, следует провести конкретные мероприятия по защите информации;

• объединение всех основных мероприятий по разным направлениям, для того, чтобы обезопасить конфиденциальность информации;

• создание мероприятий по контролю, за гарантированностью защиты информации в компании, а также системы мониторинга о выполненных конкретных мероприятиях;

• конкретизация задач и функций, которые решаются с помощью отдельных должностных лиц и структурных подразделений компании [19].

Основой для планирования этапов программы по защите информации в компании служат:

• требования нормативных, законодательных или иных правовых документов по защите конфиденциальной, либо корпоративной информации, которые соответствуют нормативно-методическим документам федерального органа исполнительной власти, вышестоящей организации, а при планировании мер по защите данных филиалом, дочерним предприятием или его представительством - указания головного предприятия;

• требования клиентов проводимых компанией с условленными соответствующими договорами (контрактами) совместных и других работ;

• положения международных соглашений (договоров) или других документов, которые определяют участие компании в различных формах международного сотрудничества;

• положения структурных организационно-распорядительной документации компании (положений, инструкций, приказов, директив), которые определяют основной порядок ведения какой-либо организационной деятельности, и вместе с тем, дающие конкретику по вопросам защиты конфиденциальной информации в компании;

• результаты уровневого анализа состояния дел в сфере защиты информации, проводимого службой безопасности вследствие материалов проверок структурных подразделений (представительств, филиалов) компании;

• результаты отслеживания состояния защиты данных, которые проводятся вышестоящей организацией, федеральными органами исполнительной власти и клиентами (на условиях выполняемых контрактов или договоров), выработанные на основе данных результатов рекомендации и предложения;

• результаты мониторинга и сопровождения, за состоянием защиты информации, которые проводятся службами безопасности и другими контролирующими службами;

• особенности каждодневной работы компании и специфика выполнения в компании работ с использованием разных видов конфиденциальными и служебными данными [19].

Составление плана мер по защите конфиденциальной информации, часто проводится вместе с планированием основной деятельностью компании. Составление плана может осуществляться на календарную неделю, месяц, год, или на другой определенный период, который обуславливается проведением основных работ по видам деятельности компании, если работы связаны с вопросами негласного характера. Планирование, разрабатываемое на период, который составляет более чем один календарный год, относят, как правило, к стратегическому, другие планы занимаются тактическими задачами [19].

Для рационального решения задачи по вопросу защиты конфиденциальных данных, в границах самых важнейших и крупных работ и в результате реализации в компании федеральных целевых, ведомственных, государственных и иных программ, могут создаваться индивидуальные планы, которые носят программно-целевой характер планирования. Этими программами могут быть внедрение новых технологий, реконструкция предприятия, и так далее [15].