— данные и программы могут преобразовываться (кодироваться) внутренним способом для хранения;
— информация по отрицательным запросам не выдается;
— повторные попытки доступа после неудачных обращений должны иметь предел;
— при уменьшении конфигурации системы или при ее тестировании функции защиты сохраняются;
— никакие изменения таблиц безопасности, кроме изменения со специального устройства или пульта управления, не разрешаются.
В помещениях и на территориях фирмы вводится специальная система допуска сотрудников фирмы к своим рабочим местам во внерабочее время, а также в выходные и праздничные дни. Функционирование этой системы защиты определяется Инструкцией №_от «_»_20_года, утвержденной Генеральным директором фирмы.
Комплексная система защиты информации должна отвечать следующим требованиям:
— оперативно реагировать на изменение факторов, определяющих методы и средства защиты информации;
— базироваться на лучших алгоритмах закрытия информации, гарантирующих надежную криптографическую защиту;
— иметь важнейшие элементы идентификации пользователей и контроля подлинности передаваемой и хранимой информации;
— осуществлять защиту от несанкционированного доступа к информации в базах данных, файлах, на носителях информации, а также при передаче информации по линиям связи в локальных и глобальных сетях;
— обеспечивать режим специально защищенной электронной почты для обмена секретной информацией и информацией, содержащей коммерческую тайну, с высокой скоростью и достоверностью передачи информации адресату;
— иметь удобную и надежную ключевую систему, обеспечивающую гарантию безопасности при выработке и распределении ключей между пользователями;
— обеспечивать различные уровни доступа пользователей к защищаемой информации.
В уставе фирмы должно быть указано, что сведения, составляющие коммерческую тайну и конфиденциальную информацию, являются ее собственностью. В фирме должна быть проведена подготовка персонала в плане обучения исполнению своих обязанностей с одновременным выполнением требований по обеспечению защиты сведений, составляющих коммерческую тайну и конфиденциальную информацию, и предупреждения об ответственности за несоблюдение указанных требований.
Принимаемые меры противодействия с экономической точки зрения будут приемлемы, если эффективность защиты с ее помощью, выраженная через снижение вероятного экономического ущерба, превышает затраты на ее реализацию. Можно выбрать или определить максимально допустимые уровни риска в обеспечении сохранности информации и выбрать на этой основе одну или несколько экономически обоснованных мер противодействия, позволяющих снизить общий риск до такой степени, чтобы его величина была ниже максимально допустимого уровня.
Ввести обязательное правило аутентификации, т. е. проверки подлинности подписи и содержания, для всех документов, поступающих в фирму по различным информационным каналам, если этот документ определяет ответственность фирмы в связи с заключенными договорами (контрактами), другими финансовыми обязательствами. Особо следует обращать внимание при этом на сообщения о расторжении договоров, открытые документы, поступившие под электронной подписью. Необходимо предусматривать ситуацию, при которой личный код отправителя может быть у него украден, и злоумышленник может воспользоваться им от лица владельца, или сначала прислать фирме якобы верный открытый ключ, а потом присылать под него соответствующим образом подписанные сообщения.
4. ПРЕДОТВРАЩЕНИЕ УТЕЧКИ ИНФОРМАЦИИ И ПЕРЕКРЫТИЕ КАНАЛОВ УТЕЧКИ
Каналы утечки информации в случае запуска новой продукции разнообразны. К ним могут относиться следующие ситуации:
— мало кто знает, как запускать новую продукцию. Вы полагаете, что на этой стадии информация представляет собой тайну. Не следует заблуждаться. Большая часть информации уже прошла через те этапы, где утечка вероятна и даже возможна: решения финансистов, покупаемые или заявленные патенты и т. п. Во все эти операции вовлечено много людей, что делает совершенно невозможным полное соблюдение секретности;
— создается подразделение или команда для наблюдения за сбытом продукции. О ее существовании хорошо известно всем сотрудникам фирмы. Новые действия членов такой команды расширяют круг посвященных;