3. Установление правил
допуска и разработка разрешительной
системы доступа к сведениям,
составляющим коммерческую тайну
4. Установка правил и
процедур засекречивания, маркировки
документов и других носителей
информации;
5. Разработка и ввод
в действие единого порядка
обращения с носителями информации
( технология создания, учет, правила
работы, хранение, пересылка, транспортировка,
размножение, уничтожение)
6. Определение режимных
мер приема представителей других
фирм, командированных лиц, представителей
контрольных органов власти.
Обеспечение внешней деятельности
предприятия:
- Прогнозирование и обеспечение
надежности кооперативных связей, исключающее
как одностороннюю зависимость, так и
деловые контакты с недобросовестными
партнерами и посредниками
- Участие в подготовке и проведении
специальных информационных акций. Повышающих
репутацию фирмы в глазах партнеров, общественности
- Совместно с другими подразделениями
предприятия получение аналитическим
путем информации о конкурентах, касающейся
возможной подготовки и проведения ими
мероприятий, классифицируемых как недобросовестная
конкуренция и выработка мер по их нейтрализации
- Выявление лиц, проявляющих
излишний интерес к коммерческой тайне,
не имея на то специальных рарешений.
Необходимо разработать средства
и методы обеспечения информационной
безопасности предприятии. Целью разработки
должно стать обеспечение устойчивого
функционирования предприятия, предотвращение
угроз его безопасности, защита законных
интересов предприятия от противоправных
посягательств.
Для этого необходимо:
отнести необходимую информацию
к категории ограниченного доступа
(коммерческой тайне); прогнозировать
и своевременно выявлять угрозы
безопасности информационным ресурсам,
причины и условия, способствующие
нанесению финансового, материального
и морального ущерба ; создать
условия функционирования с наименьшей
вероятностью реализации угроз
безопасности информационным ресурсам
; создать условия функционирования
с наименьшей вероятностью реализации
угроз безопасности информационным
ресурсам; создать механизм и
условия оперативного реагирования
на угрозы информационной безопасности,
эффективного пресечения посягательств
на ресурсы на основе правовых,
организационных и технических
мер и средств обеспечения
безопасности.
При выполнении
работ можно использовать модель
построения системы информационной
безопасности, изображенную на рисунке
1. Представленная модель информационной
безопасности – это совокупность
объективных внешних и внутренних
факторов и их влияние на
состояние информационной безопасности
на предприятии и на сохранность
информационных ресурсов.
Рисунок 1. Модель построения
системы информационной безопасности
в ОАО «РЖД»
стремится
использует усилить
обладают
уменьшить
сохранить
приводят
к
воздействуют
увеличивают
создает потери
естественное
воздействие
управляющее
воздействие
Рассматриваются следующие
объективные факторы:
Во-первых, угрозы информационной
безопасности, характеризующиеся вероятностью
возникновения и вероятностью реализации;
Во-вторых, уязвимости информационной
системы или систем контрмер ( системы
информационной безопасности), влияющие
на вероятность реализации угрозы;
В-третьих, риск-факторов, отражающий
возможный ущерб организации в результате
реализации угрозы информационной безопасности,
утечки информации и ее неправомерного
использования ( риск в конечном итоге
отражает вероятные финансовые потери
– прямые или косвенные).
Для построения
сбалансированной системы информационной
безопасности предполагается первоначально
провести анализ рисков в области
информационной безопасности. Затем
определить оптимальный уровень
риска для организации на основе
заданного критерия. Систему информационной
безопасности (контрмеры) предстоит
построить таким образом, чтобы
достичь заданного уровня риска.
Предлагаемая методика
проведения аналитических работ
позволяет полностью проанализировать
и документально оформить требования,
связанные с обеспечением информационной
безопасности, избежать расходов
на излишние меры безопасности,
возможные при субъективной оценке
рисков, оказать помощь в планировании
и осуществлении защиты на
всех стадиях жизненного цикла
информационных систем, обеспечить
проведение работ в сжатые сроки, представить
обоснование для выбора мер противодействия,
оценить эффективность контрмер, сравнить
различные варианты контрмер.
Эта модель, в соответствии
с предлагаемой методикой, строится следующим
образом: для выделенных ресурсов определяется
их ценность, как с точки зрения ассоциированных
с ними возможных финансовых потерь, так
и с точки зрения ущерба репутации организации,
дезорганизации ее деятельности, нематериального
ущерба от разглашения конфиденциальной
информации и так далее. Затем описываются
взаимосвязи ресурсов, определяются угрозы
безопасности и оцениваются вероятности
их реализации.
На основе построенной
модели можно обоснованно выбрать
систему контрмер, снижающих риски
до допустимых уровней и обладающих
наибольшей ценовой эффективностью.
Частью системы контрмер будут
рекомендации по проведению регулярных
проверок эффективности системы
защиты.
Кроме того, необходимо
повысить уровень информационной
безопасности за счет повышения
квалификации и переподготовки
кадров путем проведения тренингов
по применению средств защиты
информации, технологии защиты информации,
обучения сотрудников основам
экономической безопасности.
Информация играет
особую роль в процессе развития
цивилизации. Владение информационными
ресурсами и рациональное их
использование создают условия
оптимального управления обществом.
Защита информации, особенно в
экономической сфере. Очень специфический
и важный вид деятельности.
Таким образом, комплекс
мероприятий обеспечения безопасности
ОАО «РЖД» должен включать : физические
меры- создание препятствий для
доступа к охраняемому имуществу,
финансам, информации; административные
меры - введение соответствующего
режима порядка прохода и выхода,
приема посетителей, создание службы
безопасности; технические методы
– использование технических
средств и систем охраны; криптографические
меры – применение систем кодирования
и шифрации информации; программные
меры – использование современных
информационных технологий баз
данных, защита от несанкционированного
доступа к ним; экономические
меры – меры материального
стимулирования финансирования
защитных мероприятий; морально
– этические меры – меры
морального воздействия, воспитательная
работа, разработка кодексов поведения,
создание атмосферы корпоративного
духа, партнерства единомышленников.
Разработан комплекс
мер для повышения эффективности
безопасности на предприятии.
Во-первых, назначить
работника учреждения, который бы
занимался вопросами безопасности
в учреждении, в том числе, по
защите коммерческой тайны. На
него возложить обязанность разработки
и совершенствования нормативной
базы, определения и организации
защиты коммерческой тайны, создания
методик и определения стратегии
применения соответствующих мер.
Во-вторых, выявить ценную собственную
информацию учреждения, утвердить перечень
сведений, составляющих коммерческую
тайну, выработать критерии отнесения
сведений к коммерческой тайне, установить
правила допуска и разработать разрешительную
систему доступа к сведениям, составляющим
коммерческую тайну, установить правила
и процедуры засекречивания, маркировки
документов и других носителей информации.
В-третьих, обеспечить
безопасность персонала предприятия,
разработав меры обеспечения
физической защиты персонала, обеспечив
персонал средствами технической
защиты от несанкционированного
проникновения в кабинеты, а также
обеспечить сбор информации о
признаках, характерных для конкретных
видов угроз персоналу и тому
подобное.
В-четвертых, создать
условия функционирования учреждения
с наименьшей вероятностью реализации
угроз безопасности, механизм и
условия оперативного реагирования
на угрозы безопасности, строго
следить за порядком хранения
и учета бланков строгой отчетности,
печатей, штампов.
В-пятых, ввести определенный
порядок работы с закрытой
информацией, включающей комплекс
правовых, административных, организационных,
финансовых и социально-психологических
мер, основывающихся на правовых
нормах и организационно-распорядительных
положениях руководителя учреждения.
Руководитель учреждения, разработав
и утвердив положение по защите коммерческой
тайны, должен под личную подпись ознакомить
лиц, имеющих доступ к коммерческой тайне
учреждения.
Результатами обеспечения
экономической безопасности ОАО
«РЖД» в результате применения
комплекса предложенных мер будут
стабилизировать его функционирование,
прибыльность финансово-коммерческой
деятельности и эффективное управление
персоналом.