Дипломная работа: Защита конфиденциальной информации на предприятии
¾
организацию охраны этих помещений в рабочее и нерабочее время, определение
правил вскрытия помещений и отключения охранных технических средств информации и
сигнализирования; определение правил постановки помещений на охрану; регламентацию
работы, указанных технических средств в рабочее время,
¾
организацию контролируемого (в необходимых случаях пропускного) режима
входа в указанные помещения и выхода из них,
¾
организацию действий охраны и персонала в экстремальных ситуациях
или при авариях техники и оборудования помещений,
¾
организацию выноса из указанных помещений материальных ценностей,
машинных и бумажных носителей информации; контроль вносимых в помещение и выносимых
персоналом личных вещей (56, с.302).
Любое несанкционированное
или санкционированное обращение к информации должно регистрироваться. Рекомендуется
систематически проверять используемое пользователями программное обеспечение с целью
обнаружения неутвержденных или необычных программ. Применение персоналом собственных
защитных мер при работе с компьютером не допускается. При несанкционированном входе
в конфиденциальный файл информация должна немедленно автоматический стираться
Несмотря на то,
что по окончании рабочего дня конфиденциальные сведения должны быть перенесены на
гибкие носители и стерты с жесткого диска компьютера, помещения, в которых находится
вычислительная техника, подлежат охране. Объясняется это тем, что, во-первых, в
неохраняемый компьютер легко установить какое-либо средство промышленного шпионажа,
во-вторых, злоумышленник может с помощью специальных методов восстановить стертую
конфиденциальную информацию на жестком диске (произвести "уборку мусора").
Доступ к машинным
носителям конфиденциальной информации, хранящимся вне ЭВМ, предполагает:
¾
организацию учета и выдачи сотрудникам чистых машинных носителей информации,
¾
организацию ежедневной фиксируемой выдачи сотрудникам и приема от
сотрудников носителей с записанной информацией (основных и резервных),
¾
определение и регламентацию первым руководителем состава сотрудников,
имеющих право оперировать конфиденциальной информацией с помощью компьютеров, установленных
на их рабочих местах, и получать в службе конфиденциального делопроизводства учтенные
машинные носители информации;
¾
организацию системы закрепления за сотрудниками машинных носителей
информации и контроля за сохранностью и целостностью информации, учета динамики
изменения состава записанной информации;
¾
организацию порядка уничтожения информации на носителе, порядка и
условий физического уничтожения носителя,
¾
организацию хранения машинных носителей в службе конфиденциального
делопроизводства в рабочее и нерабочее время, регламентацию порядка эвакуации носителей
в экстремальных ситуациях,
¾
определение и регламентацию первым руководителем состава сотрудников
не сдающих по объективным причинам технические носители информации на хранение в
службу конфиденциального делопроизводства в конце рабочего дня, организацию особой
охраны помещений и компьютеров этих сотрудников.
Работа сотрудников
службы конфиденциального делопроизводства и фирмы в целом с машинными носителями
информации вне ЭВМ должна быть организована по аналогии с бумажными конфиденциальным
документооборотом.
Доступ к конфиденциальным
базам данных и файлам является завершающим этапом доступа сотрудника фирмы к компьютеру.
И если этот сотрудник - злоумышленник, то можно считать, что самые серьезные рубежи
защиты охраняемой электронной информации он успешно прошел. В конечном счете, он
может просто унести компьютер или вынуть из него и унести жесткий диск, не
"взламывая" базу данных (53; 50).
Обычно доступ к
базам данных и файлам подразумевает:
1.
определение и регламентацию первым руководителем состава сотрудников, допускаемых
к работе с определенными базами данных и файлами; контроль системы доступа администратором
базы данных;
2.
наименование баз данных и файлов, фиксирование в машинной памяти имен пользователей
и операторов, имеющих право доступа к ним;
3.
учет состава базы данных и файлов, регулярную проверку наличия, целостности
и комплектности электронных документов;
4.
регистрацию входа в базу данных, автоматическую регистрацию имени пользователя
и времени работы; сохранение первоначальной информации;
5.
регистрацию попытки несанкционированного входа в базу данных, регистрацию
ошибочных действий пользователя, автоматическую передачу сигнала тревоги охране
и автоматическое отключение компьютера;
6.
установление и нерегулярное по сроку изменение имен пользователей, массивов
и файлов (паролей, кодов, классификаторов, ключевых слов и т.п.), особенно при частой
смене персонала;
7.
отключение ЭВМ при нарушениях в системе регулирования доступа или сбое системы
защиты информации, механическое (ключом или иным приспособлением) блокирование отключенной,
но загруженной ЭВМ при недлительных перерывах в работе пользователя. Коды, пароли,
ключевые слова, ключи, шифры, специальные программные продукты, аппаратные средства
и т.п. атрибуты системы защиты информации в ЭВМ разрабатываются, меняются специализированной
организацией и индивидуально доводятся до сведения каждого пользователя работником
этой организации или системным администратором Применение пользователем собственных
кодов не допускается (65. c.64).
Таким образом, процедуры
допуска и доступа сотрудников к конфиденциальной информации завершают процесс включения
данного сотрудника в состав лиц, реально владеющих тайной фирмы. С этого времени
большое значение приобретает текущая работа с персоналом, в распоряжении которого
находятся ценные и конфиденциальные сведения.
Разрешение (санкция)
на доступ к конкретной информации может быть дано при соблюдении следующих условий:
¾
наличие подписанного приказа первого руководителя о приеме на работу
(переводе, временном замещении, изменении должностных обязанностей и т.п.) или назначении
на должность, в функциональную структуру которой входит работа с данной, конкретной
информацией;
¾
наличие подписанного сторонами трудового договора (контракта), имеющего
пункт о сохранении тайны фирмы и подписанного обязательства о неразглашении ставших
известными конфиденциальных сведений и соблюдении правил их зашиты,
¾
соответствие функциональных обязанностей сотрудника передаваемым ему
документам и информации;
¾
знание сотрудником требований нормативно-методических документов по
защите информации и сохранении тайны фирмы,
¾
наличие необходимых условий в офисе для работы с конфиденциальными
документами и базами данных;
¾
наличие систем контроля за работой сотрудника.
Разрешение на доступ
к конфиденциальным сведениям строго персонифицировано, те руководители несут
персональную ответственность за правильность выдаваемых ими разрешений на доступ
исполнителей к конфиденциальным сведениям, а лица, работающие с конфиденциальными
документами, несут персональную ответственность за сохранение в тайне их содержания,
сохранность носителя и соблюдение установленных правил работы с документами.
Совокупность технологических
стадий (функциональных элементов), сопровождающих потоки конфиденциальных документов,
несколько отличается от аналогичной совокупности, свойственной потокам открытых
документов. Так, входной документопоток включает в себя следующие стадии обработки
конфиденциальных сведений:
1.
Прием, учет и первичная обработка поступивших пакетов, конвертов, незаконвертованных
документов;
2.
Учет поступивших документов и формирование справочно-информационного банка
данных по документам;
3.
Предварительное рассмотрение и распределение поступивших документов;
4.
Рассмотрение документов руководителям! и передача документов на исполнение;
5.
Ознакомление с документами исполните лей, использование или исполнение документов.
(47, с.120).
Выходной и внутренний
документопотоки включают в себя следующие стадии обработки конфиденциальных документов:
1.
Исполнение документов (этапы: определение уровня грифа конфиденциальности
предполагаемого документа, учет носителя будущего документа, составление текста,
учет подготовленного документа, его изготовление и издание);
2.
Контроль исполнения документов;
3.
Обработка изданных документов (экспедиционная обработка документов и отправка
их адресатам; передача изданных внутренних документов на исполнение);
4.
Систематизация исполненных документов в соответствии с номенклатурой дел,
оформление, формирование и закрытие дел;
5.
Подготовка и передача дел в ведомственный архив (архив фирмы).
В состав всех документопотоков
включается также ряд дополнительных стадий обработки конфиденциальных документов:
1.
Инвентарный учет документов, дел и носителей информации, не включаемых в
номенклатуру дел;
2.
Проверка наличия документов, дел и носителей информации;
3.
Копирование и тиражирование документов;
4.
Уничтожение документов, дел и носителей информации. (47, с.120).
Стадии, составляющие
тот или иной документопоток, реализуются специализированной технологической системой
обработки и хранения конфиденциальных документов.
Под технологической
системой обработки и хранения конфиденциальных документов понимается упорядоченный
комплекс организационных и технологических процедур и операций, предназначенных
для практической реализации задач, стоящих перед функциональными элементами (стадиями)
документопотока (53, с.42). Технология обработки и хранения конфиденциальных и открытых
документов базируется на единой научной и методической основе, призванной решать
задачи обеспечения документированной информацией управленческие и производственные
процессы. Одновременно технологическая система обработки и хранения конфиденциальных
документов решает и другую не менее важную задачу - обеспечение защиты носителей
информации и самой информации от потенциальных и реальных угроз их безопасности.
Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19 |