Читаем Оперативная деятельность и вопросы конспирации в работе спецслужб. Т. 6 полностью

— регулярное просматривание «ранимых» в системе файлов и, по возможности, использование защиты «Только чтение» для предупреждения изменений в данных и копирования материалов;

— периодически проведение проверки контрольным суммированием или сравнением с «чистым» используемого программного обеспечения. По каждому факту проверки составляется акт с отражением результатов проверки;

— использование для электронной почты отдельного стендового компьютера или введение специального отчета. Запрещение использования программ, полученных через электронную почту;

— попытки получения по возможности исходных текстов программ и проведения компиляции на месте. Проявление особой осторожности, если исходный текст программы труден для понимания;

— установление системы защиты на особо важных II К. I Ірименепио специальных антивирусных средств;

— периодическое пересматривание правил обеспечения безопасности и определение возможности использования дополнительных мер защиты.

Необходимо разработать антивирусную программу действий, которую утвердить в виде Инструкции, с которой ознакомить всех сотрудников фирмы, имеющих доступ к работе на компьютерных сетях фирмы или имеющих специальную подготовку для такой работы.

В системах с единой схемой защиты для каждого файла необходимо создать список авторизованных пользователей. Применительно к каждому файлу указываются разрешаемые режимы его использования: чтение, запись или использование. В системах с программируемой схемой защиты следует предусмотреть ограничение календарного времени работы системы, доступ только к средним значениям файла данных, локальную защиту отдельных элементов массива данных. Учитывая высокую криптостойкость современных шифров, это даст возможность ликвидировать такие каналы утечки, как копирование информации, хищение носителей и несанкционированный доступ к секретной информации.

Безопасность данных может обеспечиваться, в случае признания необходимости, следующей дополнительной системой мероприятий:

— объекты данных идентифицируются и снабжаются информацией службы безопасности. Целесообразно эту информацию размещать не в отдельном каталоге, а вместе с информацией, имеющей метки;

— кодовые слова защиты размещаются внутри файла, что в значительной мере повышает эффективность защиты;

— доступ к данным целесообразен с помощью косвенных ссылок, например, списка пользователей, допущенных владельцем файла к размещенным в нем данным;

— данные и программы могут преобразовываться (кодироваться) внутренним способом для хранения;

— информация по отрицательным запросам не выдается;

— повторные попытки доступа после неудачных обращений должны иметь предел;

— при уменьшении конфигурации системы или при ее тестировании функции защиты сохраняются;

— никакие изменения таблиц безопасности, кроме изменения со специального устройства или пульта управления, не разрешаются.

В помещениях и на территориях фирмы вводится специальная система допуска сотрудников фирмы к своим рабочим местам во внерабочее время, а также в выходные и праздничные дни. Функционирование этой системы защиты определяется Инструкцией №_от «_»_20_года, утвержденной Генеральным директором фирмы.

Комплексная система защиты информации должна отвечать следующим требованиям:

— оперативно реагировать на изменение факторов, определяющих методы и средства защиты информации;

— базироваться на лучших алгоритмах закрытия информации, гарантирующих надежную криптографическую защиту;

— иметь важнейшие элементы идентификации пользователей и контроля подлинности передаваемой и хранимой информации;

— осуществлять защиту от несанкционированного доступа к информации в базах данных, файлах, на носителях информации, а также при передаче информации по линиям связи в локальных и глобальных сетях;

— обеспечивать режим специально защищенной электронной почты для обмена секретной информацией и информацией, содержащей коммерческую тайну, с высокой скоростью и достоверностью передачи информации адресату;

— иметь удобную и надежную ключевую систему, обеспечивающую гарантию безопасности при выработке и распределении ключей между пользователями;

— обеспечивать различные уровни доступа пользователей к защищаемой информации.

В уставе фирмы должно быть указано, что сведения, составляющие коммерческую тайну и конфиденциальную информацию, являются ее собственностью. В фирме должна быть проведена подготовка персонала в плане обучения исполнению своих обязанностей с одновременным выполнением требований по обеспечению защиты сведений, составляющих коммерческую тайну и конфиденциальную информацию, и предупреждения об ответственности за несоблюдение указанных требований.