Правовые основы системы безопасности

• путем неофициального доступа и съема конфиденциальной информации;
• путем подкупа лиц, работающих в компании «Орешек» или структурах, непосредственно связанных с ее деятельностью;
• путем перехвата информации, циркулирующей в средствах и системах связи и вычислительной техники с помощью технических средств разведки и съема информации, несанкционированного доступа к информации и преднамеренных программно-математических воздействий на нее в процессе обработки и хранения;
• путем подслушивания конфиденциальных переговоров, ведущихся в служебных помещениях, служебном и личном автотранспорте, на квартирах и дачах;
• через переговорные процессы между руководством компании «Орешек» и иностранными или отечественными фирмами, используя неосторожное обращение с информацией;
• через отдельных сотрудников компании «Орешек», стремящихся заполучить больший, чем их зарплата, доход или имеющих иную корыстную либо личную заинтересованность.

 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
    

7. Техническое обеспечение безопасности.

 

    Техническое обеспечение безопасности должно базироваться:

• на системе стандартизации и унификации;
• на системе лицензирования деятельности;
• на системах сертификации средств защиты;
• на системе сертификации  объектов информатизации;

    Основными составляющими обеспечения безопасности компании «Орешек» являются:

• система физической защиты (безопасности) материальных объектов и финансовых ресурсов;
• система безопасности информационных ресурсов.

    Система физической защиты (безопасности) материальных объектов и финансовых ресурсов должна предусматривать:

• систему организационных мер охраны;
• систему контроля доступа (система видеонаблюдения, система сигнализации, система контроля управления доступа);

    Система безопасности информационных ресурсов:

• систему мер (режима) сохранности и контроля вероятных каналов утечки информации.

    Система охранных мер должна предусматривать:

• многорубежность построения охраны (территории, здания, помещения);
• комплексное применение современных технических средств охраны, обнаружения, наблюдения, сбора и обработки информации, обеспечивающих достоверное отображение и объективное документирование событий;
• надежную инженерно-техническую защиту вероятных путей несанкционированного вторжения в охраняемые пределы;
• устойчивую (дублированную) систему связи и управления всех взаимодействующих в охране структур;
• высокую подготовку и готовность основных и резервных сил охраны к оперативному противодействию нарушителю;
• бдительность сотрудников.

    Система контроля доступа  должна предусматривать:

• ограничение и контроль доступа сторонних посетителей без ограничения для сотрудников;
• быстрый и беспрепятственный доступ к закрытым помещениям;
• возможность программировать доступ отдельных сотрудников или групп к определенным помещениям;
• возможность использования одной карты для доступа в одно или несколько помещений;
• создание современной и престижной обстановки в офисе;
• использование системы видеонаблюдения;
• ограничение на доступ и включение любого оборудования только определенными сотрудниками;
• установление для каждого работника (или посетителя) дифференцированного по времени, месту и виду деятельности права доступа на объект;
• оборудование контрольно-пропускных пунктов (постов) техническими средствами, обеспечивающими достоверный контроль проходящих, объективную регистрацию прохода и предотвращение несанкционированного (в том числе силового) проникновения посторонних лиц;
• высокую подготовленность и защищенность сотрудников охраны.

        Система мер (режим) сохранности ценностей и контроля должна предусматривать:

• строго контролируемый доступ лиц в режимные зоны (зоны обращения и хранения финансов, складские помещения для хранения материальных средств);
• максимальное ограничение посещений режимных зон лицами, не участвующими в их работе;
• максимальное сокращение количества лиц, обладающих досмотровым иммунитетом;
• организацию и осуществление контроля за соблюдением режима безопасности;
• организацию тщательного контроля любых предметов и веществ, перемещаемых за пределы режимных зон,
• оперативное выявление причин тревожных ситуаций в режимных зонах, пресечение их развития или ликвидацию во взаимодействии с силами охраны и правоохранительными органами.

    Система обеспечения безопасности информационных ресурсов должна предусматривать комплекс организационных, технических, программных средств и мер по защите информации в процессе традиционного документооборота при работе исполнителей с конфиденциальными документами и сведениями, при обработке информации в автоматизированных системах различного уровня и назначения, при передаче по каналам связи, при ведении конфиденциальных переговоров.

    Основным  направлением реализации технической политики обеспечения информационной безопасности в этой сфере деятельности является:

• защита информационных ресурсов от хищения, утраты, уничтожения, разглашения, утечки, искажения и подделки за счет несанкционированного доступа.

    В рамках осуществления  направлений технической  политики и обеспечения  информационной безопасности необходимо:

• реализовать разрешительную систему допуска исполнителей (пользователей) к работам, документам и информации конфиденциального характера;
• ограничить доступ исполнителей и посторонних лиц в здания, помещения, где проводятся работы конфиденциального характера, в том числе на объекты информатики, на которых обрабатывается (хранится) информация конфиденциального характера;
• разграничить доступ пользователей к данным автоматизированных систем различного уровня и назначения;
• контролировать несанкционированный доступ и действия пользователей;
• производить электрическую развязку цепей питания, заземления и других цепей технических средств, выходящих за пределы контролируемой территории;
• проверять технические средств и объекты информатизации на предмет выявления включенных в них закладных устройств;
• предотвращать внедрение в автоматизированные информационные системы программ вирусного характера.

    Защита  информационных ресурсов от несанкционированного доступа должна предусматривать:

• обоснованность доступа для ознакомления с информацией;
• персональную ответственность, заключающуюся в том, что исполнитель (пользователь) должен нести ответственность за сохранность доверенных ему документов (носителей информации, информационных массивов), за свои действия в информационных системах;
• надежность хранения, когда документы (носители информации, информационные массивы) хранятся в условиях, исключающих несанкционированное ознакомление с ними, их уничтожение, подделку или искажение;
• разграничение информации по уровню конфиденциальности;
• контроль за действиями исполнителей (пользователей), работающих  с документацией и сведениями, составляющими коммерческую тайну;
• очистку (обнуление, исключение информативности) оперативной памяти, буферов при освобождении пользователем до перераспределения этих ресурсов между другими пользователями.

    Положение о персональной ответственности  реализуется с  помощью:

• росписи исполнителей в журналах, карточках учета, других разрешительных документах, а также на самих документах;
• индивидуальной идентификации пользователей и инициированных ими процессов в автоматизированных системах;
• проверки подлинности  пользователей на основе использования паролей, ключей, магнитных карт, цифровой подписи, а также биометрических характеристик личности как при доступе в автоматизированные системы, так и в выделенные помещения (зоны).

    Условие надежности хранения реализуется с  помощью:

• хранилищ конфиденциальных документов, оборудованных техническими средствами охраны в соответствии с установленными требованиями, доступ в которые ограничен и осуществляется в установленном порядке;
• выделения помещений, в которых разрешается работа с конфиденциальной документацией, оборудованных сейфами и металлическими шкафами, а также ограничения доступа в эти помещения;

    Правило разграничения информации по уровню конфиденциальной реализуется с  помощью:

• предварительно учтенных тетрадей для ведения конфиденциальных записей или носителей информации, предназначенных для информации определенного уровня секретности.

    Система контроля за действиями исполнителей реализуется  с помощью:

• организационных мер контроля при работе исполнителей с конфиденциальными документами и сведениями;
• регистрации (протоколирования) действий пользователей с информационными и программными ресурсами автоматизированных систем с указанием даты и времени, идентификаторов запрашивающего и запрашиваемых ресурсов, вида взаимодействия и его результата, включая запрещенные попытки доступа;
• сигнализации о несанкционированных действиях пользователей. Очистка памяти осуществляется организационными и программными мерами, а целостность автоматизированных систем обеспечивается комплексом программно-технических средств и организационных мероприятий.

 

    8.  Управление системой безопасности.

    Действующие в настоящее время и разрабатываемые  законодательные и иные нормативные  акты предусматривают право компании «Орешек» на выработку собственной концепции системы безопасности и создания соответствующих подразделений, как системы исполнительных органов, реализующей эту концепцию.

    Исходя  из представленных в концепции задач, принципов организации и функционирования системы безопасности, основных угроз безопасности компании «Орешек» , целесообразно выделить следующие основные направления деятельности компании по обеспечению его безопасности: 

    

• информационно-аналитические  исследования и прогнозные оценки безопасности, в том числе экономической;
• безопасность сотрудников;
• сохранность и физическая защита финансовых средств, кабельных линий связи, технологического оборудования и объектов;
• безопасности информационных ресурсов.

 

    Основными задачами направления  информационно-аналитических исследований и прогнозных оценок безопасности являются:

• организация работ по выявлению конфиденциальной информации, обоснованию уровня ее конфиденциальности и документальному оформлению в виде перечней сведений, подлежащих защите;
• сбор экономической и научно-технической информации для обеспечения эффективности деловых сношений с зарубежными и отечественными партнерами, выявление в их числе несостоятельных, ненадежных предпринимателей, а также лиц, связанных с криминальными структурами;
• учет официальных претензий правоохранительных и контролирующих органов к возможным партнерам на  рынке, конкурирующим фирмам и т.п.;
• изучение, анализ и оценка криминальной обстановки, в том числе состояния экономической преступности в телекоммуникационной сфере по стране и в регионе;
• выявление и прогнозирование уязвимых мест в телекоммуникационной деятельности, реальных и потенциальных угроз безопасности компании «Орешек», разработка и осуществление комплекса долговременных мер по их предупреждению и нейтрализации;
• информационное обеспечение руководства фирмы в области безопасности;
• координация деятельности подразделений департамента безопасности  и обеспечения взаимодействия со всеми структурными подразделениями компании «Орешек» , в решении проблемы безопасности.

    Главной заботой о безопасности персонала  является охрана личности от любых  противоправных посягательств на его  жизнь, материальные ценности и личную информацию.

          Основными задачами сохранности и физической защиты объектов являются: