Защита информации оборонно-промышленного предприятия (Челябинский Tрaктopный Завод)

В части, касающейся вопросов интеллектуальной собственности и защиты авторских  прав, регулирование отношений находит место в следующих документах:

• ст. 138 Гражданского Кодекса РФ, определяющая интеллектуальную собственностью;.
• ст. 139 Гражданского Кодекса РФ, определяющая служебную и коммерческую тайны;
• Патентный закон Российской Федерации, принят Верховным Советом РФ 23.09.01 2, 3517-1;
• закон Российской Федерации "Об авторском праве и смежных правах" ( с изменениями от 19 июля 1995 года), принят Верховным Советом РФ 9.07.99, 5351-1;
• закон Российской Федерации "О товарных знаках, знаках обслуживания и наименованиях мест происхождения товара", принят Верховным Советом РФ 23.09.98, 3520-1.

    На  основе перечисленных документов строится правовая защита информации, призванная обеспечить государственную законодательную  базу и нормативное обоснование  комплексной системы защиты информации на предприятии(ЧТЗ) независимо от его формы собственности и категории защищаемых сведений. Кроме законов и других государственных нормативных документов, правовое обеспечение системы защиты конфиденциальной информации должно включать в себя комплекс внутренней нормативно-организационной документации, в которую могут входить такие документы предприятия, как:

• Устав;
• коллективный трудовой договор;
• трудовые договоры с сотрудниками предприятия;
• правила внутреннего распорядка служащих предприятия;
• должностные обязанности руководителей, специалистов и служащих предприятия.
• инструкции пользователей информационно-вычислительных сетей и баз данных;
• инструкции администраторов ИВС и БД;
• положение о подразделении по защите информации;
• концепция системы защиты информации на предприятии(ЧТЗ);
• инструкции сотрудников, допущенных к защищаемым сведениям;
• инструкции сотрудников, ответственных за защиту информации;
• памятка сотрудника о сохранении коммерческой или иной тайны;
• договорные обязательства.

    Не  углубляясь в содержание перечисленных документов, можно сказать, что во всех из них, в зависимости от их основного нормативного или юридического назначения, указываются требования, нормы или правила по обеспечению необходимого уровня информационной защищенности на предприятии(ЧТЗ) или в его структурных подразделениях, обращенные, прежде всего, к персоналу и руководству предприятия.

    Правовое  обеспечение дает возможность урегулировать  многие спорные вопросы, неизбежно  возникающие в процессе информационного  обмена на самых разных уровнях - от речевого общения до передачи данных в компьютерных сетях. Кроме того, образуется юридически оформленная система административных мер, позволяющая применять взыскания или санкции к нарушителям внутренней политики безопасности предприятия, а также устанавливать достаточно четкие условия по обеспечению конфиденциальности сведений, используемых или формируемых при сотрудничестве между субъектами экономики, выполнении ими договорных обязательств, осуществлении совместной деятельности и т. п. При этом стороны, не выполняющие эти условия, несут ответственность в рамках, предусмотренных как соответствующими пунктами межсторонних документов (договоров, соглашений, контрактов и пр.), так и российским законодательством.

    Понятно, что для достижения полноты и  комплексности защиты информации только разработкой и внедрением на предприятии (ЧТЗ) даже самого совершенного и безупречного правового обеспечения ограничиваться не стоит. Любые законы или правила теряют свою работоспособность и перестают быть эффективными нормативными средствами регулирования различного рода взаимоотношений при отсутствии этих взаимоотношений, как таковых, без наличия субъектов взаимоотношений или вообще среды, на которую распространяется действие данных норм. Для того чтобы создать надежную правовую базу для системы защиты информации, нужно организовать эту систему, создать предпосылки для ее функционирования, разработать комплекс последовательно и согласованно проводимых мероприятий, определить входящие в не компоненты и подсистемы. Для этих целей и предназначена организационная защита информации, к общему описанию которой мы сейчас приступим.

      При этом организационная часть  системы должна включать в  себя:

• во-первых, выявление сведений, составляющих коммерческую тайну предприятия, и составление перечня таких сведений с разбиением его на группы по категории конфиденциальности и необходимому уровню их защиты (позднее, на этапе внедрения комплексной системы защиты информации, такие перечни составляются по каждому подразделению или направлению деятельности предприятия).
• во-вторых, осуществляется планирование внедрения системы защиты информации, в процессе которого определяются наиболее уязвимые участки каналов информационного обмена, составляется график проведения организационных и организационно-технических мероприятий, производится расчет затрачиваемых ресурсов, составляется общий список привлекаемых к внедрению системы сотрудников (специалистов, служащих и руководителей) и подразделений, определяется порядок взаимодействия структурных элементов и частей предприятия на этапе создания системы защиты информации;
• в-третьих, проводятся мероприятия по внедрению и реализации системы. На этом этапе осуществляются:
• категорирование объектов электронной вычислительной техники;
• составление перечня выделенных помещений, в которых проводятся закрытые мероприятия или циркулирует критичная информация;
• определение должностных лиц, уполномоченных осуществлять контроль и оперативное управление СЗИ;
• повышение квалификации специалиста (специалистов) в области защиты информации, поддерживающего функционирование систем, средств и устройств информационной безопасности, а также выполняющего функции администратора безопасности информационных ресурсов средств вычислительной техники (СВТ) и ЛВС;
• регламентация функциональных обязанностей сотрудников подразделений информационной безопасности;
• определение контролируемых зон;
• выделение из эксплуатируемых в банке технических средств, используемых для передачи, хранения и обработки критичной информации;
• выявление вспомогательных технических средств и систем (ВТСС), предназначенных для обеспечения и сопровождения функционирования предприятия;
• уточнение назначения и обоснование необходимости применения ВТСС в функциональных и управленческих циклах работы;
• выявление задействованных и незадействованных воздушных, наземных, подземных, настенных кабелей, цепей, проводов, уходящих за пределы контролируемых зон;
• установление порядка периодических аттестационных проверок выделенных помещений;
• в-четвертых, на этапе функционирования системы защиты информации постоянно проводятся следующие организационные мероприятия: регистрация работ с использованием сведений, составляющих коммерческую тайну;
• регистрация всех событий, связанных с разработкой, использованием, передачей информации, содержащей конфиденциальные сведения, и внесением изменений в защищаемые информационные ресурсы;
• ведение учета документации и носителей конфиденциальной информации;
• реагирование на проявление дестабилизирующих факторов с целью предотвращения или снижения степени воздействия на информацию;
• разграничение прав доступа к защищаемым информационным ресурсам;
• в-пятых, предпринимаются меры по обеспечению контроля эффективности системы, например, проведение периодических проверок, включающих в себя применение специальных тестирующих программ, просмотр регистрационной документации, контроль за выполнением организационных мер по соблюдению правил, предусмотренных политикой безопасности, анализ состояния системы защиты, вынесение решений по совершенствованию технических средств и систем, организационного построения и политики безопасности.

    Кроме того, должны проводиться регулярные профилактические беседы с персоналом для предупреждения фактов нарушения  политики безопасности. Этими беседами необходимо достигнуть повышения уровня сознательности сотрудников по отношению к проблеме защиты информации до уровня понимания каждым из них полезности и необходимости проводимых мероприятий, направленных на обеспечение информационной безопасности, являющейся, в свою очередь, неотъемлемой частью общей безопасности предприятия. Только сознательное отношение сотрудников к этой проблеме может сделать систему защиты по-настоящему эффективной и надежной. Таким образом, в организационной системе защиты информации человеческий фактор занимает главенствующее положение. Как, впрочем, и во всей комплексной системе защиты человек далеко не последнее звено цепи решающих факторов и обстоятельств, определяющих положение предприятия относительно информационной защищенности и безопасности.

Программно-аппаратные меры по защите информации

     Для защиты от описанных выше  посягательств на информацию недостаточно применять организационные и правовые меры, обычные антивирусные системы, средства обнаружения атак или межсетевые экраны.

     Нужны другие средства, к которым можно отнести системы контроля содержимого (content filtering).

     Системы контроля содержимого могут быть разделены на две главных категории:  -системы, просматривающие сообщения электронной почты,  -системы, анализирующие Web-трафик.

     При этом спектр возможностей обеих категорий, который существенно меняется от производителя к производителю, достаточно широк:

     Анализ  ключевых слов и фраз в сообщениях электронной  почты, Web-трафике  и запрашиваемых HTML-страницах. Данная возможность позволяет обнаружить и своевременно предотвратить утечку конфиденциальной информации, посылку сотрудниками резюме и спама, а также передачу других материалов, запрещенных политикой безопасности. Очень интересной является возможность анализа запрашиваемых HTML-страниц, реализованная в системе WEBsweeper. С ее помощью можно отказаться от механизма блокировки URL, используемого многими межсетевыми экранами и другими системами контроля содержимого, и независимо от адреса, запрашиваемой страницы (в т.ч. и динамически создаваемой) анализировать ее содержание. 

     Контроль  отправителей и получателей  сообщений e-mail, а  также адресов, к  которым (и от которых) идет обращение к Web-серверам и иным ресурсам Интернет. Данная возможность позволяет выполнять фильтрацию почтового или Web-трафика, тем самым, реализуя некоторые функции межсетевого экрана. 

     Обнаружение подмены адресов  сообщений электронной  почты, которое очень часто используется спамерами и другими нарушителями. 

     Антивирусная  проверка содержимого электронной почты и Web-трафика, которая позволяет обнаружить, вылечить или удалить вирусы, троянские кони и Интернет-черви.

     Контроль  размера сообщений, не позволяющий передавать сообщения большого размера или позволяющий временно откладывать их передачу до того момента, когда канал доступа в Интернет будет менее всего загружен (например, в нерабочее время).

     Контроль  числа и типа вложений в сообщения электронной  почты, а также  контроль файлов, передаваемых в рамках Web-трафика. Это одна из самых интересных возможностей, которая позволяет анализировать не просто текст сообщения, но и текст, содержащийся в том или ином файле, например, в документе Word или архиве ZIP. Помимо указанных форматов некоторые системы могут также распознавать и анализировать видео- и аудио-файлы, графические изображения, PDF-файлы, исполняемые файлы и даже зашифрованные сообщения. Система PORNsweeper компании Baltimore Technologies позволяет распознавать в большом числе графических форматов порнографические картинки. Вывод о присутствии порнографии в файле делается на основании сложных математических вычислений и запатентованных алгоритмов.

     Контроль  и блокирование cookies, а также мобильного кода Java, ActiveX, JavaScript, VBScript и т.д.

     Реализации  различных вариантов реагирования - удаление или временное блокирование сообщения, вырезание запрещенного вложения,  лечение зараженного файла, копирование сообщения администратору безопасности или начальнику нарушителя с уведомлением как администратора безопасности, так и отправителя/получателя сообщения, нарушающего политику безопасности.

     Если  информационная система очень большая, то у отдела технической защиты информации не хватает времени на то, чтобы  контролировать все действия всех сотрудников. Поэтому необходимо сосредоточить внимание только на особо важной, конфиденциальной информации компании, распространение которой недопустимо. В этих целях, как правило, реализуется так называемое полномочное управление доступом, суть которого состоит в следующем: для каждого пользователя устанавливается некоторый уровень допуска к конфиденциальной информации. Каталогам или файлам назначается категория конфиденциальности, например, "конфиденциальная информация", "строго конфиденциальная информация". При этом доступ к файлу пользователь получит только в том случае, если его уровень допуска не ниже, чем уровень конфиденциальности файла. Однако, полномочное управление доступом кроме разграничения доступа имеет еще ряд полезных и интересных функций, которые позволяют контролировать действия пользователя с конфиденциальным ресурсом: - Контролируется перемещение документа. Используется контроль потоков, при котором, например, "конфиденциальный" документ нельзя переместить в "неконфиденциальную" директорию. - Контролируется буфер обмена операционной системы, т.е. невозможно, используя буфер обмена, сделать копию всего документа или его части. -Регистрируется печать конфиденциального документа. При этом в журнале регистрации фиксируется - кто выполнял печать, сколько распечатано копий, когда и с какого компьютера. 

     Данных  функций достаточно, чтобы выявить  несанкционированное копирование  конфиденциальной информации или ее распечатку, а также выявить, права  каких пользователей превышают  ограничения, установленные политикой  безопасности, принятой в компании.

      Программные средства защиты информации:

     Secret Disk 4 - система защиты конфиденциальной информации и персональных данных, хранящихся и обрабатываемых на персональном компьютере или ноутбуке, когда есть риск его кражи, утери или несанкционированного использования.

     Secret Disk 4 создает на персональном компьютере скрытые ресурсы – зашифрованные диски, предназначенные для безопасного хранения конфиденциальной информации.

     Защита  дисков достигается за счет "прозрачного" шифрования данных - при записи на зашифрованный диск информация автоматически зашифровывается, при чтении - расшифровывается.

     Доступ  к зашифрованной информации может  получить только ее владелец либо авторизованные им доверенные лица, имеющие электронный  ключ eToken и знающие PIN-код.

     Для других пользователей этот зашифрованный  ресурс будет не виден и недоступен. Более того, они могут даже и  не догадываться о его наличии. В  отключенном состоянии зашифрованный  диск выглядит как неразмеченная  область жесткого диска или файл, содержащий "мусор".

     Основные  возможности системы:

- Шифрование системного раздела, разделов на жестких дисках, томов на динамических дисках, виртуальных дисков и съемных носителей.

- Аутентификация пользователя по USB-ключу eToken для загрузки операционной системы и для доступа к зашифрованным данным.

- Запрет доступа по сети к зашифрованным данным для всех пользователей, включая системного администратора.

- Восстановление доступа к данным в случае утери USB-ключа.

- Защита данных от сбоев во время операций шифрования, включая перебои электропитания.

Инженерно-технические  меры по защите информации

    Так как органам безопасности, занимающимся защитой информации, противостоит разведка с мощным аппаратом и средствами, находящимися на острие научно-технического прогресса, то возможности способов и средств защиты не должны, по крайней мере, уступать возможностям разведки. Исходя из этих исходных положений основу защиты информации должны составлять, аналогичные принципам добывания информации, а именно: