46522 (607851), страница 5
Текст из файла (страница 5)
50 млн. руб. < затраты на организацию защиты < 200 млн. руб.
Допустимые издержки на безопасность = от 34,545 млрд. руб. до 43,757 млрд. руб.
Цель анализа риска состоит в выборе такой политики предприятия, которая позволит ему построить и реализовать оптимальный вариант собственной службы безопасности, речь о которой пойдет в третьем разделе.
Раздел 3. Стратегии служб безопасности в защите организаций от информационных угроз
3.1 Служба безопасности организации
Коммерческие предприятия на территории РФ вправе создавать независимо от организационно-правовых форм обособленные подразделения для осуществления охранно-сыскной деятельности в интересах собственной безопасности – службы безопасности.
В государственных структурах эти функции выполняют специальные службы. В области защиты информации, например, Государственная техническая комиссия при Президенте РФ (ГТК), ФАПСИ (Федеральное агентство правительственной связи и информации при Президенте РФ), ФСБ и т.д. В США – Совет по защите важнейших объектов инфраструктур, ФБР.
Рассмотрим службу безопасности (СБ) коммерческого объекта на примере Альфа-банка. Финансовая деятельность особенно нуждается в защите собственной конфиденциальной информации, обеспечиваемой техническими средствами безопасности (банк имеет подключение к Интернету, электронные торговые терминалы, множество документов в электронном виде, банкоматы и т.д.). Типовая структура службы безопасности крупного коммерческого банка представлена на рис. 3.1.
Различают программно-технические средства защиты:
- к классу технических средств относятся: средства физической защиты территорий; сети электропитания; аппаратные и аппаратно-программные средства управления доступом к персональным компьютерам, комбинированные устройства и системы;
- к программным средствам защиты относятся: проверка паролей, программы шифрования, цифровой подписи, средства антивирусной защиты, программы восстановления и резервного хранения.
Структурными подразделениями службы безопасности предприятия могут быть группы (отделения, отделы, службы) частных детективов и охранников, в том числе работников, проектирующих, монтирующих или эксплуатирующих средства охранно-пожарной сигнализации.
Типовые функции основных подразделений службы безопасности могут состоять в следующем:
Группа режима:
определяет перечень сведений, составляющих коммерческую тайну, осуществляет контроль за порядком засекречивания документов, периодически оценивает выходящие за пределы фирмы (объекты) документы и материалы на наличие служебных и конфиденциальных сведений;
разрабатывает положения и инструкции о порядке работы со служебной информацией и сведениями, составляющую коммерческую тайну;
организует и ведёт закрытое делопроизводство, учёт пользования, хранение и тиражирование документов с коммерческой тайной;
осуществляет только допуск персонала к работе с информацией, составляющей коммерческую тайну, разрабатывает и осуществляет проверки выполнения сотрудниками объекта нормативов работы с информацией различной категории важности;
участвует в работе по повышению квалификации персонала, работающего с документами и обрабатывающими различные категории информации;
организует и проводит изучение кандидатов для приёма на работу, связанную с допуском к информации различной категории;
обеспечивает физическую охрану руководителей фирмы, объектов с использованием соответствующих систем и средств, выявляет угрозы безопасности деятельности объекта, осуществляет защиту от угроз и их отражение;
при необходимости обеспечивает охрану отдельных лиц из числа персонала объекта и гостей.
Техническая группа:
- совместно с группой охраны участвует в обеспечении безопасности деятельности объекта (фирмы с помощью технических средств защиты – систем сигнализации, наблюдения, связи и т. п.);
- обеспечивает бесперебойную работу всех технических средств системы защиты объекта, осуществляет ремонт и настройку аппаратуры защиты, готовит и реализует предложения по повышению эффективности и совершенствованию технических средств защиты;
- планирует и выполняет мероприятия по специальной защите объекта и его помещений;
- по договорённости с руководством объекта обеспечивает работоспособность, настойку и ремонт различной техники и оборудования, используемых на объекте;
- осуществляет заказы, приобретение и установку различного рода технических средств по заданию руководства объекта.
Детективная группа:
- разрабатывает и проводит специальные мероприятия по изучению отдельных лиц из числа персонала объекта, клиентов фирмы и жителей ближайшего к объекту окружения, в действиях которых содержатся угрозы безопасности деятельности объекта (фирмы);
- осуществляет проверку кандидатов для приёма на работу в объект;
- по отдельным заданиям руководства разрабатывает и проводит специальные мероприятия в отношении фирм-конкурентов;
- поддерживает контакты с правоохранительными органами по всем вопросам обеспечения безопасности деятельности объекта (фирмы).
Служба безопасности банка
Отдел инженерной защиты
Охранная сигнализация
Отдел безопасности
информации
Служба физической
охраны
Группа работы с персоналом
Здания, офис, филиалы
Обменные пункты
Входы, лифты
Сейфы, хранилища
Пожарная сигнализация
Средства связи
Авто-
транспорт
Инкассация
Сертифи-
кация, лицензии-
рование, защита информации
Оружие
Детектив-ные
агентства
Взаимо-
действие с
право-
охрани-
тельными органами
Подбор
Изучение
ЭВТ Бумажные Людские
Информационно-аналитическая служба
Носители
Рис. 3.1 Типовая структура службы безопасности коммерческого банка.
3.2 Обеспечение информационной безопасности организации
3.2.1 Технические средства защиты от подслушивания
Подслушивание – один из видов распространения информационной угрозы безопасности организации и коммерческой деятельности, заключающийся в несанкционированном съеме конфиденциальной информации следующими способами: подслушивание разговоров в помещении или автомашине с помощью предварительно установленных «радиожучков» или магнитофонов; контроль телефонных разговоров, телексных и телефаксных линий связи, радиотелефонов и радиостанций; дистанционный съем информации с различных технических средств, в первую очередь с мониторов и печатных устройств компьютеров и т.д.
Существенной преградой злоумышленника с прослушивающей аппаратурой является создание на объектах особой, защищенных от подслушивания, помещений для проведения заседаний правления, торговых переговоров и конфиденциальных бесед. Таким помещениям присваивается статус специальных, они оборудуются с учетом следующих требований: здание должно иметь круглосуточную охрану и систему сигнализации; если есть в помещении окна, то желательно, чтобы они не имели балконов и не выходили на соседние с объектов здания, а смотрели бы на внутренний двор или закрывались глухими ставнями; в помещении не должно быть радиоэлектронных устройств, компьютеров, телевизоров, магнитофонов; телефонная связь должна осуществляться особым образом.
3.2.2 Защита технических средств обработки информации
Объектом интереса злоумышленников являются не только деловые разговоры, но и технические средства обработки информации, такие как: копировальные аппараты, компьютеры и другая техника излучают различного рода сигналы (электромагнитные, акустические, вибрационные), которые можно принимать в соседнем с объектом здании и затем и читать затем обрабатываемую на этой технике информацию.
Защита технических средств обработки информации ведется в двух направлениях: выявление и устранение (или существенное ослабление) излучающих сигналов путем доработки самих технических средств; экранировка средств обработки информации и помещений, в которых они используются.
Работы по этим направлениям доступны только специалистам и требуют существенных финансовых и трудовых затрат.
Защита коммуникаций
Важным атрибутом деятельности организации является связь – телефонная, телефаксная, радиосвязь, специальная компьютерная. Коммуникации можно разделить на две группы: внешние и внутренние.
Защита внешних коммуникаций включает в себя:
- использование собственной аппаратуры электронного шифрования для телефаксной, компьютерной и телефонной связи при обмене конфиденциальной или важной информацией с партнерами и клиентами;
- использование платных государственных защищенных каналов связи;
- сокращение или исключение обсуждений по городским телефонам важных коммерческих вопросов, особенно при использовании беспроводных телефонных аппаратов.
Защита внутренних коммуникаций включает в себя:
- экранирование всех коммуникаций банка данных;
- установка датчиков сигнализации на места возможных посторонних подключений к коммуникациям банка данных;
- использование в качестве внутренней телефонной связи селекторов, не подключенных к городским телефонным каналам;
- периодический контроль внутренних коммуникаций специалистами службы технической защиты.
Безопасность в виртуальном пространстве
«По данным американских СМИ, 82% взломов компьютерных систем компаний и учреждений США осуществляют их собственные служащие (действующие либо бывшие) и подрядчики, работающие по контрактам. Примерно 6% вторжений в системы составляют действия организованной преступности в целях вымогательства и «отмывания» денег. Около 5% взломов совершают киберпреступники, занимающиеся похищением и продажей информации. Такой же процент в статистику взломов вносит компьютерная «деятельность» детей и подростков. Приблизительно 2% взломов осуществляют правительственные органы США, включая спецслужбы.
Согласно данным социологического опроса, проведенного министерством юстиции США среди 120 крупнейших американских корпораций и банков, жертвами криминальных операций хакеров с кредитными карточками стали 96,6% опрошенных, мошенничеств с телефонами сотовой связи – 95,5%, преступлений с помощью средств телекоммуникаций, включая электронную почту, - 96,6%. Случаи несанкционированного доступа к секретным данным были зарегистрированы в 95% опрошенных организаций, незаконного копирования программ – в 91,2%».
Другие виды компьютерных преступлений представлены в приложении.
Мерами, служащими защитой от несанкционированного проникновения, хищения или любого другого использования конфиденциальной информации, могут послужить скрытое наблюдение за сотрудниками организации со стороны СБ; привлечение в качестве эксперта бывших или так называемых «этичных» хакеров (белошляпочников), которые предлагают на возмездной основе проверить на уязвимость компьютерные сети и системы организации, оказывают консультационные услуги; страхование коммерческих структур от компьютерных взломщиков.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
