Файл: Защита информации в процессе переговоров и совещаний.pdf

ВВЕДЕНИЕ

В современных условиях информация играет решающую роль как в процессе экономического развития, так и в ходе конкурентной борьбы на внутреннем и внешнем рынках. В ходе повседневной деятельности предприятий, связанной с использованием конфиденциальной информации, планируются и проводятся служебные совещания, на которых рассматриваются или обсуждаются вопросы конфиденциального характера. Прелатом обсуждения могут быть сведения, составляющие государственную тайну, вопросы конфиденциального характера, касаются проводимых предприятием научно-исследовательских, опытно-конструкторских и иных работ, предусмотренных его уставом, или коммерческой стороны его деятельности.

Перечисленные мероприятия могут быть внешними (с участием представителей сторонних организаций) или внутренними (к участию в них привлекается только персонал данного предприятия). Решение о проведении совещания во всех случаях принимает непосредственно руководитель предприятия или его заместитель ходатайству руководителя структурного подразделения (отдела, службы), планирующего проведение данного совещания. Меры по защите конфиденциальной информации в ходе подготовки и доведения совещания, принимаемые руководством предприятия (структурным подразделением, организующим совещание), должны быть как организационными, так и организационно-техническими.

Организация проведения любого мероприятия, в том числе совещаний и переговоров, связана с его подготовкой. Не существует единых безошибочных правил в этом направлении. Однако рекомендуется следующий вариант схемы такой подготовки: планирование, сбор материала и его обработка, анализ собранного материала и его редактирование.

Мероприятия по защите информации проводятся при подготовке, в ходе проведения и по окончании совещания. В работе руководства и должностных лиц предприятия по защите информации при проведении совещания важное место занимает этап планирования конкретных мероприятий, направлениях на исключение утечки конфиденциальной информации и на ее защиту.

В целях наиболее эффективного решения задач защиты информации в разрабатываемых организационно-планирующих документах комплексно учитываются все мероприятия, независимо от их содержания и направленности (организационные, организационно-технические или иные мероприятия). Поскольку эти мероприятия должны быть увязаны между собой по времени и месту проведения, в данной статье они рассматриваются как единое целое. Планирование мероприятий по защите информации проводится заблаговременно до начала совещания и включает выработку конкретных мер, определение ответственных за их реализацию должностных лиц (структурных подразделений), а также сроков их осуществления. При планировании совещания предусматривается такая очередность рассмотрения вопросов, при которой будет исключено участие в их обсуждении лиц, не имеющих к ним прямого отношения.

Наиболее актуальны с точки зрения защиты информации совещания с участием представителей сторонних организаций (внешние совещания), так как вероятность утечки конфиденциальной информации при их проведении по сравнению с совещаниями, проводимыми в рамках одного предприятия (внутренними совещаниями), значительно выше. Поэтому внешним совещаниям в настоящей главе уделено особое внимание.

Работу по планированию мероприятий в области защиты информации, проводимых в ходе совещания с участием представителей сторонних организаций, возглавляет руководитель предприятия, непосредственное участие в планировании принимает заместитель, в ведении которого находятся вопросы защиты информации на предприятии.

2. ЦЕЛИ И ЗАДАЧИ ОРГАНИЗАЦИОННОЙ ЗАЩИТЫ ИНФОРМАЦИИ

Зарубежный опыт в области защиты интеллектуальной собственности и отечественный опыт в защите государственных секретов показывает, что эффективной может быть только комплексная защита, сочетающая в себе такие направления защиты, как: правовое, организационное и инженерно-техническое.

Правовое направление предусматривает формирование совокупности законодательных актов, нормативно-правовых документов, положений, инструкций, руководств, требования которых являются обязательными в рамках сферы их деятельности в системе защиты информации. Организационная защита информации – регламентация производственной деятельности и взаимоотношений исполнителей на нормативно правовой основе таким образом, что несанкционированный доступ к конфиденциальной информации становится невозможным или существенно затрудняется за счёт проведения организационных мероприятий.

По мнению специалистов, организационные мероприятия играют большую роль в создании надёжного механизма защиты информации, так как возможности несанкционированного использования конфиденциальных сведений в значительной мере обуславливаются не техническими аспектами, а злоумышленными действиями, нерадивостью, небрежностью и халатностью пользователей или персонала защиты.

Влияние этих аспектов практически невозможно избежать с помощью технических средств, программно-математических методов и физических мер.

К организационным мероприятиям можно отнести:

• мероприятия, осуществляемые при проектировании, строительстве и оборудовании служебных и производственных зданий и помещений. Их цель – исключение возможности тайного проникновения на территорию и в помещения; обеспечение удобства контроля прохода и перемещения людей, проезда транспорта и других средств передвижения;
• создание отдельных производственных зон по типу конфиденциальности работ с самостоятельными системами доступа и т.п.;
• мероприятия, осуществляемые при подборе персонала, включающие ознакомление с сотрудниками, их изучение, обучение правилам работы с конфиденциальной информацией, ознакомление с мерами ответственности за нарушение правил защиты информации и др.;
• организация и поддержание надёжного пропускного режима и контроля посетителей;
• организация надёжной охраны помещений и территории;
• организация хранения и использования документов и носителей конфиденциальной информации, включая порядок учёта, выдачи, исполнения и возвращения;
• организация защиты информации: назначение ответственного за защиту информации в конкретных производственных коллективах, проведение систематического контроля за работой персонала с конфиденциальной информацией, порядок учёта, хранения и уничтожения документов и т.п.;
• организация регулярного обучения сотрудников.

Инженерно-техническое направление включает в себя программно-аппаратные средства защиты информации. К аппаратным средствам относятся механические, электромеханические, электронные, оптические, лазерные, радио- и радиотехнические, радиолокационные и другие устройства, системы и сооружения, предназначенные для обеспечения безопасности и защиты информации.

Эти средства применяются для решения следующих задач:

• препятствия визуальному наблюдению и дистанционному подслушиванию;
• нейтрализации паразитных электромагнитных излучений и наводок (ПЭМИН);
• обнаружения технических средств подслушивания и магнитной записи, несанкционированно устанавливаемых или проносимых в организацию;
• защиты информации, передаваемой в средствах связи и системах автоматизированной обработки информации.

По своему предназначению аппаратные средства подразделяются на средства выявления и средства защиты (или существенного ослабления) несанкционированного доступа.

К классу защитной спецтехники относится огромное количество аппаратов, устройств и систем, которые условно можно разделить на несколько групп. Например, на такие как:

• приборы обнаружения и нейтрализации подслушивающих и звукозаписывающих устройств;
• средства защиты абонентской телефонной сети;
• средства защиты съёма информации из помещений;
• приборы для обнаружения лазерного и видеонаблюдения и др.

Многогранность сферы организационной защиты информации требует создания специальной службы безопасности, обеспечивающей и направляющей реализацию всех организационных мероприятий. Её штатная структура, численность и состав определяется реальными потребностями фирмы, степенью конфиденциальности её информации и общим состоянием безопасности. Сформированная совокупность правовых, организационных и инженерно-технических мероприятий выливается в соответствующую политику безопасности.

Политика безопасности определяет облик системы защиты информации в виде совокупности правовых норм, организационных (правовых) мер, комплекса программно-технических средств и процедурных решений, направленных на противодействие угрозам в целях исключения или минимизации возможных последствий проявления информационных воздействий. Возможна ситуация, когда для уменьшения риска не существует эффективных и приемлемых по цене мер. В этом случае приходится поднимать планку приемлемого риска и переносить центр тяжести на смягчение последствий и выработку планов восстановления после аварий, стихийных бедствий и иных происшествий.

2. ФУНКЦИИ, ЗАДАЧИ И ОСОБЕННОСТИ СЛУЖБЫ БЕЗОПАСНОСТИ ОБЪЕКТА

Многогранность сферы обеспечения безопасности и защиты информации требует создания специальной службы, осуществляющей реализацию специальных защитных мероприятий.

Структура, численность и состав службы безопасности предприятия (фирмы, компании и т.д.) определяются реальными потребностями предприятия и степенью конфиденциальности её информации. В зависимости от масштабов и мощности организации деятельность по обеспечению безопасности предприятия и защиты информации может быть реализована от абонентного обслуживания силами специальных центров безопасности до полномасштабной службы компании с развитой штатной численностью.

Основными задачами службы безопасности предприятия являются обеспечение безопасности предприятия, производства, продукции и защита коммерческой, промышленной, финансовой, деловой и другой информации, независимо от её назначения и форм при всём многообразии возможных каналов её утечки и различных злонамеренных действий со стороны конкурентов.

Основные задачи службы безопасности:

• обеспечение безопасности производственно-торговой деятельности и защиты информации и сведений, являющихся коммерческой тайной;
• организация работы по правовой, организационной и инженерно-технической (физической, аппаратной, программной и математической) защите коммерческой тайны;
• организация специального делопроизводства, исключающего несанкционированное получение сведений, являющихся коммерческой тайной;
• предотвращение необоснованного допуска и доступа к сведениям и работам, составляющим коммерческую тайну;
• выявление и локализация возможных каналов утечки конфиденциальной информации в процессе повседневной производственной деятельности и в экстремальных (аварийных, пожарных и др.) ситуациях;
• обеспечение режима безопасности при проведении всех видов деятельности, включая различные встречи, переговоры, совещания, заседания, связанные с деловым сотрудничеством как на национальном, так и на международном уровнях;
• обеспечение охраны зданий, помещений, оборудования, продукции и технических средств обеспечения производственной деятельности;
• обеспечение личной безопасности руководства и ведущих сотрудников и специалистов;
• оценка маркетинговых ситуаций и неправомерных действий злоумышленников и конкурентов.

Общие функции службы безопасности:

• организует и обеспечивает пропускной и внутриобъектовый режим в зданиях и помещениях, порядок несения службы охраны, контролирует соблюдение требований режима сотрудниками, смежниками, партнёрами и посетителями;
• руководит работами по правовому и организационному регулированию отношений по защите коммерческой тайны;
• участвует в разработке основополагающих документов в целях закрепления в них требований обеспечения безопасности и защиты коммерческой тайны, в частности Устава, Коллективного договора, Правил внутреннего трудового распорядка, Положений о подразделениях, а также трудовых договоров, соглашений, подрядов, должностных инструкций и обязанностей руководства, специалистов, рабочих и служащих;
• разрабатывает и осуществляет совместно с другими подразделениями мероприятия по обеспечению работы с документами, содержащими сведения, являющиеся коммерческой тайной, при всех видах работ, организует и контролирует выполнение требований «Инструкции по защите коммерческой тайны»;
• изучает все стороны коммерческой, производственной, финансовой и другой деятельности для выявления и закрытия возможных каналов утечки конфиденциальной информации, ведёт учёт и анализ нарушений режима безопасности, накапливает и анализирует данные о злоумышленных устремлениях конкурентов и других организаций о деятельности предприятия и его клиентов, партнёров, смежников;
• организует и проводит служебные расследования по фактам разглашения сведений, утрат документов и других нарушений безопасности предприятия;
• разрабатывает, ведёт, обновляет и пополняет «Перечень сведений, составляющих коммерческую тайну» и другие нормативные акты, регламентирующие порядок обеспечения безопасности и защиты информации;
• обеспечивает строгое выполнение требований нормативных документов по защите коммерческой тайны;
• осуществляет руководство службами и подразделениями безопасности подведомственных предприятий, организаций, учреждений и других в части оговорённых в договорах условиях по защите коммерческой тайны;
• организует и регулярно проводит учёбу сотрудников предприятия и службы безопасности по всем направлениям защиты коммерческой тайны, добиваясь, чтобы к защите коммерческих секретов был глубоко осознанный подход;
• ведёт учёт сейфов, металлических шкафов, специальных хранилищ и других помещений, в которых разрешено постоянное или временное хранение конфиденциальных документов;
• ведёт учёт выделенных для конфиденциальной работы помещений, технических средств в них, обладающих потенциальными каналами утечки информации;
• поддерживает контакты с правоохранительными органами и службами безопасности соседних предприятий в интересах изучения криминогенной обстановки в районе (зоне).