8 янв. 2008 г.

Защита собственной информации

Работая с чужой закрытой информацией, находя то, что другие предпочитают скрывать, нельзя не помнить о своей защищенности в информационном плане. Необходимо защищать свою информацию, необходимо принимать меры для того, чтобы ваши тайны и тайны ваших клиентов не стали достоянием злоумышленника. В общем плане порядок работы по защите информации выглядит следующим образом. В начале определяют какую информацию нужно защищать. Затем как ее можно защищать. И только после этого - какие мероприятия нужно осуществить в нашей конкретной ситуации для этой защиты. Фактически это движение по следующим этапам: - определение объекта защиты (какую информацию необходимо защищать); - определение угроз (в т.ч. и построение модели злоумышленника).
Что защищать
Итак первый этап - что защищать. Понятно, что достаточно трудно заниматься защитой информации, а уж защищать всю имеющуюся информацию вовсе невозможно. Поэтому необходим точно и четко определить ЧТО необходимо защищать - какая информация действительно нуждается в защит. Определиться в этом проще исходя из наличия болевых точек и существующих угроз. Определяем, утрата какой информации является критичным для организации фактором, т.е. какая информация при попадании ее в чужие руки либо при ее утрате ведет к существенным для вас затратам. Сразу можно в этот перечень включить информацию ваших клиентов. Неплохо оценить уровень этих затрат, что бы сравнив их с затратами на защиту сделать выводы о целесообразности вложений. Расписав все угрозы информации и выделив особо важные можно составить карту угроз. Затем выясняем в каком виде (на каких носителях) и где находится та информация, которую нужно защищать. Это может быть бумажный носитель т.е. какой то документ, рукопись, чертеж... Может быть магнитный носитель. Или носителем информации может быть человек. Другой вариант носителя это электромагнитный сигнал или механические колебания (звук). Крайне важно определить все возможные ипостаси информации, имеющей для вас ценность, поскольку исходя из этого будет строиться вся система информационной безопасности компании. Например, для некоего торгового предприятия действительно важной является информация о поставщиках нескольких эксклюзивных товарных групп, поскольку завладение этой информацией конкурентом ведет к потере монопольного положения предприятия на некоторой части рынка, а соответственно и к потере сверхприбыли. Данная информация известна Генеральному директору, коммерческому директору, сотрудникам отдела закупок, маркетологу, сотрудникам отдела продаж, сотрудникам бухгалтерии. Данная информация нужна для работы Генеральному директору, коммерческому директору, одному сотруднику отдела закупок, одному сотруднику бухгалтерии. Вот уже несколько несоответствий. Данная информация содержится на следующих носителях: товаро-транспортные накладные, счета-фактуры, карточки учета товара, платежные документы, рабочая тетрадь бухгалтера, рабочая тетрадь сотрудника отдела закупок, рабочие документы генерального директора, коммерческого директора, маркетолога, жесткий диск сервера локальной вычислительной сети, договор поставки. К этим документам имеют доступ, кроме указанных лиц, кладовщики, все сотрудники бухгалтерии, администратор локальной сети, юрист. Вот уже прорисовалась определенная картина. Теперь можно стыковать данные, выявлять несоответствия, слабые места, возможные каналы утечки.
От кого защищать
Следующий шаг это определение возможных путей хищения информации. Иными словами определение того как эту информацию у вас могут похитить - построение модели поведения злоумышленника. Начать проще с определения полного цикла жизни защищаемой информации – от создания или приобретения, через обработку, изменение и использование, до передачи, уничтожения или хранения. Каждый этап движения информации так же необходимо подробно описать: откуда поступает информация, что с ней происходит, куда передается, кому необходима для работы, кто имеет к ней доступ или может иметь. А исходя из этой цепочки можно предположить как (каким образом, по средством чего) на каждом этапе возможен доступ к информации злоумышленника. То есть идет разработка модели хищения информации и построение портрета наиболее вероятного злоумышленника. На этом шаге так же полезно оценить уровень затрат на хищение той или иной информации, чтобы приблизительно понять кто это себе может позволить. Развиваем предыдущий пример. 1-Менеджер отдела закупок находит интересного поставщика – информация об этом поставщике существует в виде записей в рабочих документах менеджера, в виде электромагнитных сигналов (при проведении переговоров по телефону), а также в памяти менеджера. 2-С найденным поставщиком заключается договор – информация существует в виде договора поставки, в памяти менеджера, юриста, руководителя отдела закупок. 3-Начинается поставка товара по заключенному договору – информация существует в виде договора поставки, акта приема товара, товаро-транспортной накладной, счет-фактуры, складской карточки учета товара, в памяти менеджера, юриста, руководителя отдела закупок, бухгалтера, кладовщика. 4-Начинается продажа товара - информация существует в виде договора поставки, акта приема товара, товаро-транспортной накладной, счет-фактуры, складской карточки учета товара, рабочих записей менеджера по продажам, в памяти менеджера по закупкам и менеджера по продажам, юриста, руководителя отдела закупок, бухгалтера, кладовщика. Теперь можно оценить на сколько легко можно получить информацию о поставщике и его местонахождении обратившись к тому или иному носителю.
Как защищать
После этого можно приступать к разработке мероприятий собственно по защите информации. Для начала нужно определить допустимые методы защиты. Понятно, что для коммерческих структур защита путем физического устранения человека (носителя информации) мягко говоря не приемлема. Но повреждение жесткого диска компьютера в случае его несанкционированного изъятия вполне допустимая мера. Разработав несколько вариантов защиты для всех имеющих место типов и видов информационных ресурсов на всех этапах их жизненного цикла нужно сравнить их с очки зрения соотношения цена - качество. Таким образом на этом этапе уже можно понять каких затрат требует полный комплекс мероприятий и есть ли смысл в их осуществлении. Здесь же важно, проследив цепочку движения информации и посмотрев какие меры на каком этапе ее защищают, выяснить нет ли в этом комплексе дыр. Если таковые имеются, становиться сомнительна необходимость существования всего комплекса. Продолжаем рассматривать начатый пример: 1-Менеджер отдела закупок находит интересного поставщика – защитить можно: организационно-правовыми методами – наличие информации у менеджера, криптографическими – процесс передачи информации 2-С найденным поставщиком заключается договор – защитить можно: организационно-правовыми методами – наличие информации у участников процедуры, криптографическими и маскирующими - процесс обмена информацией 3-Начинается поставка товара по заключенному договору - организационно-правовыми методами – наличие информации у участников процедуры, криптографическими и маскирующими - процесс обмена информацией 4-Начинается продажа товара – защитить можно: организационно-правовыми методами – наличие информации у участников процедуры, криптографическими и маскирующими - процесс обмена информацией Подробное описание способов, входящих в состав указанных методов займет много места и в понимании требует некоторой специальной подготовки. Далее нужно приступать к детальной разработке самих мероприятий.
Мероприятия по защите информации
Если полученные результаты вас не испугали, можно приступать к следующему большому блоку работ. Этот блок заключается в создании правовой базы для защиты информации. В общих чертах эти мероприятия состоят из создания Положения о коммерческой тайне и Перечня информации отнесенной к коммерческой тайне, ознакомления всех сотрудников с данным положением, подписания каждым сотрудником Соглашения о неразглашении Коммерческой тайны. Большое количество документов связано с тем, что институт коммерческой тайны в Российском праве регулируется несколькими отраслями права: - Гражданским правом - Уголовным правом - Трудовым правом И для исключения «осечек» в следствии коллизии права, нужно подстраховаться. Обращаю особое внимание на данный этап. Если вы хотите правовыми мерами защитить свою собственность (в данном случае информацию), то отнеситесь к осуществлению этих мероприятий. Принципиальное значение имеет не только каждое слово в соглашении о неразглашении коммерческой тайны, но и построение предложений и общая логика документа. Далее можно переходить к осуществлению следующих шагов.

Прежде всего нужно сказать о мероприятиях предупредительного характера, а затем уже о мероприятиях по выявлению и пресечению попыток несанкционированного съема информации, попыток уничтожения либо искажения информации. К предупредительным (профилактическим) нужно отнести: - разъяснительная и воспитательная работа с персоналом – объяснение что является коммерческой тайной, как ее защищать, каковы могут быть последствия ее разглашения, что нужно делать сотруднику в той или иной ситуации, КАЖДЫЙ работник должен чувствовать, что данному вопросу уделяется достаточно внимания. - создание условий работникам для защиты информации – условий для хранения носителей информации (сейф, закрывающийся шкаф и т.п.), условий для безопасной передачи информации (закрытые каналы связи) - профилактические зачистки особо важных помещений – перед важными мероприятиями, после встреч, а также планово необходимо особо важные помещения проверять на наличие технических каналов утечки информации - регулярный осмотр территории объекта – осуществляется с той же целью что и предыдущее мероприятие - создание особого режима работы как на предприятии в целом, так и работы с защищаемой информацией в частности – это четкая регламентация хранения, передачи, использования, уничтожения защищаемой информацией с подробным описанием кто, в какой ситуации и что должен делать, это также контроль соблюдения данного режима - изучение кандидатов на работу в компании – это выяснение биографии кандидата, выявление его связей с криминалом, негативные факты жизни, связь с прямыми и косвенными конкурентами либо недоброжелателями, отзывы с предыдущих мест работы и т.п.

К мероприятиям по выявлению фактов либо попыток кражи, модификации и уничтожения информации относятся: - непрерывный мониторинг электромагнитной обстановки – инструментальный контроль всех излучений на объекте и электромагнитных сигналов в коммуникациях - оперативные мероприятия – агентурная работа, провокации, работа с персоналом, с партнерами, с клиентами и с конкурентами.

Мероприятия по пресечению это логическое продолжение предыдущих действий: - собственно пресечение – наказание сотрудника (для этого нужна доказательная база), удаление закладного устройства и т.п. - создание системы подавления несанкционированных излучений – использование в строительстве и отделке помещений материалов, поглощающих электромагнитное излучение, установка и периодическое использование системы шумогенераторов - маскировка либо шифрование полезных сигналов – использование устройств или программ шифрующих передаваемую информацию, либо маскирующих ее наличие. Таков краткий перечень того, что нужно создать для нормальной работы системы защиты информации. Это работа не на один день и система не заработает сама по себе даже если все будет подробно описано на бумаге. Для того, что бы эта махина начала давать результаты нужен человек, знающий КАК это делать, умеющий и желающий это сделать, а также соответствующая поддержка руководства, особенно на начальном этапе – этапе становления. Это связано, прежде всего с сопротивлением сотрудников созданию системы. Ведь это усложнение их работы, а значит дополнительные усилия с их стороны. А люди ленивы и по тому будут сопротивляться всем нововведениям, которые хоть как то усложняют им жизнь, даже прекрасно понимая важность и необходимость этих нововведений.