- путем неофициального
доступа и съема конфиденциальной информации;
- путем подкупа
лиц, работающих в компании «Орешек» или
структурах, непосредственно связанных
с ее деятельностью;
- путем перехвата
информации, циркулирующей в средствах
и системах связи и вычислительной техники
с помощью технических средств разведки
и съема информации, несанкционированного
доступа к информации и преднамеренных
программно-математических воздействий
на нее в процессе обработки и хранения;
- путем подслушивания
конфиденциальных переговоров, ведущихся
в служебных помещениях, служебном и личном
автотранспорте, на квартирах и дачах;
- через переговорные
процессы между руководством компании
«Орешек» и иностранными или отечественными
фирмами, используя неосторожное обращение
с информацией;
- через отдельных
сотрудников компании «Орешек», стремящихся
заполучить больший, чем их зарплата, доход
или имеющих иную корыстную либо личную
заинтересованность.
- Техническое
обеспечение безопасности.
Техническое
обеспечение безопасности
должно базироваться:
- на системе
стандартизации и унификации;
- на системе
лицензирования деятельности;
- на системах
сертификации средств защиты;
- на системе
сертификации объектов информатизации;
Основными
составляющими обеспечения
безопасности компании
«Орешек» являются:
- система физической
защиты (безопасности) материальных объектов
и финансовых ресурсов;
- система безопасности
информационных ресурсов.
Система
физической защиты (безопасности)
материальных объектов
и финансовых ресурсов
должна предусматривать:
- систему организационных
мер охраны;
- систему контроля
доступа (система видеонаблюдения, система
сигнализации, система контроля управления
доступа);
Система
безопасности информационных
ресурсов:
- систему мер
(режима) сохранности и контроля вероятных
каналов утечки информации.
Система
охранных мер должна
предусматривать:
- многорубежность
построения охраны (территории, здания,
помещения);
- комплексное
применение современных технических средств
охраны, обнаружения, наблюдения, сбора
и обработки информации, обеспечивающих
достоверное отображение и объективное
документирование событий;
- надежную
инженерно-техническую защиту вероятных
путей несанкционированного вторжения
в охраняемые пределы;
- устойчивую
(дублированную) систему связи и управления
всех взаимодействующих в охране структур;
- высокую подготовку
и готовность основных и резервных сил
охраны к оперативному противодействию
нарушителю;
- бдительность
сотрудников.
Система
контроля доступа
должна предусматривать:
- ограничение
и контроль доступа сторонних посетителей
без ограничения для сотрудников;
- быстрый и
беспрепятственный доступ к закрытым
помещениям;
- возможность
программировать доступ отдельных сотрудников
или групп к определенным помещениям;
- возможность
использования одной карты для доступа
в одно или несколько помещений;
- создание
современной и престижной обстановки
в офисе;
- использование
системы видеонаблюдения;
- ограничение
на доступ и включение любого оборудования
только определенными сотрудниками;
- установление
для каждого работника (или посетителя)
дифференцированного по времени, месту
и виду деятельности права доступа на
объект;
- оборудование
контрольно-пропускных пунктов (постов)
техническими средствами, обеспечивающими
достоверный контроль проходящих, объективную
регистрацию прохода и предотвращение
несанкционированного (в том числе силового)
проникновения посторонних лиц;
- высокую подготовленность
и защищенность сотрудников охраны.
Система мер (режим)
сохранности ценностей
и контроля должна предусматривать:
- строго контролируемый
доступ лиц в режимные зоны (зоны обращения
и хранения финансов, складские помещения
для хранения материальных средств);
- максимальное
ограничение посещений режимных зон лицами,
не участвующими в их работе;
- максимальное
сокращение количества лиц, обладающих
досмотровым иммунитетом;
- организацию
и осуществление контроля за соблюдением
режима безопасности;
- организацию
тщательного контроля любых предметов
и веществ, перемещаемых за пределы режимных
зон,
- оперативное
выявление причин тревожных ситуаций
в режимных зонах, пресечение их развития
или ликвидацию во взаимодействии с силами
охраны и правоохранительными органами.
Система
обеспечения безопасности информационных
ресурсов должна предусматривать комплекс
организационных, технических, программных
средств и мер по защите информации в процессе
традиционного документооборота при работе
исполнителей с конфиденциальными документами
и сведениями, при обработке информации
в автоматизированных системах различного
уровня и назначения, при передаче по каналам
связи, при ведении конфиденциальных переговоров.
Основным
направлением реализации
технической политики
обеспечения информационной
безопасности в этой
сфере деятельности
является:
- защита информационных
ресурсов от хищения, утраты, уничтожения,
разглашения, утечки, искажения и подделки
за счет несанкционированного доступа.
В
рамках осуществления
направлений технической
политики и обеспечения
информационной безопасности
необходимо:
- реализовать
разрешительную систему допуска исполнителей
(пользователей) к работам, документам
и информации конфиденциального характера;
- ограничить
доступ исполнителей и посторонних лиц
в здания, помещения, где проводятся работы
конфиденциального характера, в том числе
на объекты информатики, на которых обрабатывается
(хранится) информация конфиденциального
характера;
- разграничить
доступ пользователей к данным автоматизированных
систем различного уровня и назначения;
- контролировать
несанкционированный доступ и действия
пользователей;
- производить
электрическую развязку цепей питания,
заземления и других цепей технических
средств, выходящих за пределы контролируемой
территории;
- проверять
технические средств и объекты информатизации
на предмет выявления включенных в них
закладных устройств;
- предотвращать
внедрение в автоматизированные информационные
системы программ вирусного характера.
Защита
информационных ресурсов
от несанкционированного
доступа должна предусматривать:
- обоснованность
доступа для ознакомления с информацией;
- персональную
ответственность, заключающуюся в том,
что исполнитель (пользователь) должен
нести ответственность за сохранность
доверенных ему документов (носителей
информации, информационных массивов),
за свои действия в информационных системах;
- надежность
хранения, когда документы (носители информации,
информационные массивы) хранятся в условиях,
исключающих несанкционированное ознакомление
с ними, их уничтожение, подделку или искажение;
- разграничение
информации по уровню конфиденциальности;
- контроль
за действиями исполнителей (пользователей),
работающих с документацией и сведениями,
составляющими коммерческую тайну;
- очистку (обнуление,
исключение информативности) оперативной
памяти, буферов при освобождении пользователем
до перераспределения этих ресурсов между
другими пользователями.
Положение
о персональной ответственности
реализуется с
помощью:
- росписи исполнителей
в журналах, карточках учета, других разрешительных
документах, а также на самих документах;
- индивидуальной
идентификации пользователей и инициированных
ими процессов в автоматизированных системах;
- проверки
подлинности пользователей на основе
использования паролей, ключей, магнитных
карт, цифровой подписи, а также биометрических
характеристик личности как при доступе
в автоматизированные системы, так и в
выделенные помещения (зоны).
Условие
надежности хранения
реализуется с
помощью:
- хранилищ
конфиденциальных документов, оборудованных
техническими средствами охраны в соответствии
с установленными требованиями, доступ
в которые ограничен и осуществляется
в установленном порядке;
- выделения
помещений, в которых разрешается работа
с конфиденциальной документацией, оборудованных
сейфами и металлическими шкафами, а также
ограничения доступа в эти помещения;
Правило
разграничения информации
по уровню конфиденциальной
реализуется с
помощью:
- предварительно
учтенных тетрадей для ведения конфиденциальных
записей или носителей информации, предназначенных
для информации определенного уровня
секретности.
Система
контроля за действиями
исполнителей реализуется
с помощью:
- организационных
мер контроля при работе исполнителей
с конфиденциальными документами и сведениями;
- регистрации
(протоколирования) действий пользователей
с информационными и программными ресурсами
автоматизированных систем с указанием
даты и времени, идентификаторов запрашивающего
и запрашиваемых ресурсов, вида взаимодействия
и его результата, включая запрещенные
попытки доступа;
- сигнализации
о несанкционированных действиях пользователей.
Очистка памяти осуществляется организационными
и программными мерами, а целостность
автоматизированных систем обеспечивается
комплексом программно-технических средств
и организационных мероприятий.
8.
Управление системой
безопасности.
Действующие
в настоящее время и разрабатываемые
законодательные и иные нормативные
акты предусматривают право компании
«Орешек» на выработку собственной концепции
системы безопасности и создания соответствующих
подразделений, как системы исполнительных
органов, реализующей эту концепцию.
Исходя
из представленных в концепции задач,
принципов организации и функционирования
системы безопасности, основных угроз
безопасности компании «Орешек» , целесообразно
выделить следующие основные направления
деятельности компании по обеспечению
его безопасности:
- информационно-аналитические
исследования и прогнозные оценки безопасности,
в том числе экономической;
- безопасность
сотрудников;
- сохранность
и физическая защита финансовых средств,
кабельных линий связи, технологического
оборудования и объектов;
- безопасности
информационных ресурсов.
Основными
задачами направления
информационно-аналитических
исследований и прогнозных
оценок безопасности
являются:
- организация
работ по выявлению конфиденциальной
информации, обоснованию уровня ее конфиденциальности
и документальному оформлению в виде перечней
сведений, подлежащих защите;
- сбор экономической
и научно-технической информации для обеспечения
эффективности деловых сношений с зарубежными
и отечественными партнерами, выявление
в их числе несостоятельных, ненадежных
предпринимателей, а также лиц, связанных
с криминальными структурами;
- учет официальных
претензий правоохранительных и контролирующих
органов к возможным партнерам на рынке,
конкурирующим фирмам и т.п.;
- изучение,
анализ и оценка криминальной обстановки,
в том числе состояния экономической преступности
в телекоммуникационной сфере по стране
и в регионе;
- выявление
и прогнозирование уязвимых мест в телекоммуникационной
деятельности, реальных и потенциальных
угроз безопасности компании «Орешек»,
разработка и осуществление комплекса
долговременных мер по их предупреждению
и нейтрализации;
- информационное
обеспечение руководства фирмы в области
безопасности;
- координация
деятельности подразделений департамента
безопасности и обеспечения взаимодействия
со всеми структурными подразделениями
компании «Орешек» , в решении проблемы
безопасности.
Главной
заботой о безопасности персонала
является охрана личности от любых
противоправных посягательств на его
жизнь, материальные ценности и личную
информацию.
Основными задачами
сохранности и физической
защиты объектов являются: