Вопрос 3. Методы противодействия угрозам информационной безопасности организации со стороны ее персонала.

Организация работы по рассматриваемому направлению осуществляется в следующей общей последовательности.

Первым этапом является формирование ранжированного перечня конфиденциальных сведений организации как объекта защиты и присвоение им соответствующего грифа секретности. Чаще всего используется следующий типовой укрупненный перечень (исходя из условий работы конкретной организации в него вносятся необходимые коррективы).

Абсолютно конфиденциальные сведения включают в себя:

Ø информацию, составляющую клиентскую тайну, разглашение которой способно нанести стратегический ущерб интересам клиентов или подконтрольным организациям);

Ø закрытую информацию о собственниках организации;

Ø информацию о стратегических планах организации по коммерческому и финансовому направлениям деятельности;

Ø любую информацию о деятельности службы безопасности, реализуемой в рамках стратегий «упреждающего противодействия» и, частично, «адекватного ответа»;

Ø прикладные методы защиты информации, используемые организацией (коды, пароли, программы).

Строго конфиденциальные сведения включают в себя:

Ø все прочие конфиденциальные сведения о клиентах;

Ø информацию маркетингового, финансового и технологического характера, составляющую коммерческую тайну;

Ø информацию о сотрудниках организации, содержащуюся в индивидуальных досье.

Конфиденциальные сведения включают в себя:

Ø базы данных по направлениям деятельности организации, созданные и поддерживаемые в качестве элементов обеспечения соответствующих систем управления;

Ø сведения о заработной плате и индивидуальных «социальных пакетах» сотрудников организации, а также составе «резерва на выдвижение»;

Ø внутренние регламенты (положения, инструкции, приказы и т.п.) используемые в системе внутрикорпоративного менеджмента.

Наконец, к информации для служебного пользования относятся любые другие сведения, не подлежащие публикации в открытых источниках.

Вторым этапом является оценка возможных каналов утечки (перехвата) конфиденциальной информации организации. При этом выделяются следующие группы каналов:

Ø каналы утечки через внешние и локальные компьютерные сети организации;

Ø каналы утечки с использованием технических средств перехвата информации;

Ø каналы утечки по вине нелояльных или безответственных сотрудников банка;

Основной целью работы по второму этапу выступает выявление наиболее вероятных угроз в адрес конкретных элементов конфиденциальной информации, следовательно – обеспечение возможности выбора наиболее целесообразных методов и форм защиты.

Третьим этапом является определение перечня прикладных методов защиты информации. Они делятся на следующие группы:

К методам программно-математического характера относятся:

Ø программы, ограничивающие доступ в компьютерные сети и отдельные компьютеры организации;

Ø программы, защищающие информацию от повреждения умышленно или случайно занесенными вирусами (автоматическое тестирование при включении компьютера, при использовании СД - дисков или дискет);

Ø программы, автоматически кодирующие (шифрующие) информацию;

Ø программы, препятствующие перезаписи информации, находящейся в памяти компьютера, на внешние носители или через сеть;

Ø программы, автоматически стирающие определенные данные с ограниченным для конкретного пользователя временем доступа.

К методам технического характера относятся:

Ø использование экранированных помещений для проведения конфиденциальных переговоров;

Ø использование специальных хранилищ и сейфов для хранения информации на бумажных носителях (при необходимости с устройствами автоматического уничтожения ее при попытке несанкционированного проникновения);

Ø использование детекторов и иной аппаратуры для выявления устройств перехвата информации;

Ø использование защищенных каналов телефонной связи;

Ø использование средств подавления работы устройств перехвата информации;

Ø использование средств автоматического кодирования (шифровки) устной и письменной информации.

К методам организационного характера относятся:

Ø мероприятия по ограничению доступа к конфиденциальной информации (общережимные мероприятия, системы индивидуальных допусков, запрет на вынос документов из соответствующих помещений, возможность работы с соответствующей компьютерной информацией лишь с определенных терминалов и т.п.);

Ø мероприятия по снижению возможности случайного или умышленного разглашения информации или других форм ее утечки (правила работы с конфиденциальными документами и закрытыми базами компьютерных данных, проведения переговоров, поведения сотрудников организации на службе и вне ее);

Ø мероприятия по дроблению конфиденциальной информации, не позволяющие сосредоточить в одном источнике (у сотрудника, в документе, файле и т.п.) все сведения по вопросу, интересующему потенциального субъекта угроз;

Ø мероприятия по контролю над соблюдением установленных правил информационной безопасности;

Ø мероприятия при выявлении фактов утечки той или иной конфиденциальной информации.

Четвертым этапом является непосредственное формирование и внедрение подсистемы информационной безопасности организации, предполагающее:

Ø разработку общей концепции информационной безопасности, как элемента общей стратегии безопасности организации;

Ø разработку внутренней нормативной базы;

Ø расчет и выделение необходимых финансовых ресурсов;

Ø обучение персонала организации правилам обеспечения информационной безопасности;

Ø формирование и последующее развитие формализованных процедур контроля над соблюдением установленных правил, а также санкций за их нарушение.