Электронная защита направлена на перспективу

<BR><BR>Пока защита электронной информации во многих офисах исчерпывается установкой на компьютерах антивирусных программ. Исключение составляют крупные компании и банки, в которых существуют специальные подразделения, занимающиеся обеспечением безопасности. Компании помельче выделяют специалиста для разработки политики защиты. Тот, в свою очередь, подберет фирму, которая и реализует поставленные перед нею задачи. Любое такое предприятие должно иметь одну из лицензий: Федерального агентства правительственной связи и информации (ФАПСИ) - на криптографическую защиту конфиденциальной информации или Гостехкомиссии при Президенте РФ - на остальные вопросы защиты информации. В органах государственной власти должны использоваться только средства, сертифицированные ФАПСИ и Гостехкомиссией. Частные структуры свободны от этого обязательства. Однако в Петербурге Энергомашбанк и ПСБ уже получили лицензии на право эксплуатации средств криптографической защиты "Верба-О". <BR><BR><B>Цена победы</B><BR>Одной из причин возникновения проблем в защите предприятия начальник отдела общесистемного обеспечения Института сетевых технологий Станислав Асанов называет некомпетентность руководства предприятий. Заниматься защитой начинают только после вопиющего факта утечки конфиденциальной информации. <BR>Первый этап организации защиты электронной информации: определить, какие именно объекты и какую информацию следует защищать. Одновременно определяются круг тех, от кого оберегается система, и характер угрозы. Для разных сфер бизнеса и величины его угрозы различны: в маленьких фирмах действует принцип взаимного доверия и защита идет только от внешней опасности. Для банков степень требований к обеспечению безопасности наиболее высока и требует защиты по принципу "всех ото всех". Помимо конфиденциальности в системах типа "банк-клиент" и при переводе электронных платежей особенно важно не допустить несанкционированного изменения информации. <BR>Наконец, необходимо произвести оценку угроз и возможный ущерб от их осуществления. Тратить на защиту более половины суммы ожидаемого ущерба бессмысленно. Оптимальные расходы - 10-20% от предполагаемого ущерба. При этом необходимо учитывать объем средств и технический потенциал возможного нарушителя. По оценке заместителя директора филиала ГУП "НТЦ "Атлас" Юрия Филина, затраты на защиту могут достигать до 50% от стоимости создания системы электронного документооборота. <BR><BR>Враг не дремлет!<BR>Одно из направлений электронной защиты информации - борьба с побочными электромагнитными излучениями и наводками. Немаловажным является месторасположение оборудования в офисе. Оборудование, содержащее конфиденциальные данные, не рекомендуется располагать в комнатах с окнами на улицу. Служба безопасности должна контролировать территорию перед зданием: из простой припаркованной машины может происходить "съем" информации. Второе направление - защита информационных ресурсов от несанкционированного доступа. Система защиты информации должна четко разделять действия разных пользователей и регистрировать их. <BR>При взаимодействии системы с внешней средой необходимо использовать криптографические средства. Хотя большинство фирм этого не осознает и подключается к Internet напрямую. Одним из самых надежных способов защититься при использовании Internet Станислав Асанов называет создание виртуальной частной сети предприятия. <BR><BR><B>Имена-ругательства</B><BR>Служба безопасности должна объяснить сотрудникам фирмы правила разговоров по телефонам. Особенно по мобильным, работающим в аналоговых стандартах NMT-450, APS ("Фора", "Дельта"), которые может прослушать любой радиолюбитель. Оборудование для прослушивания телефонов в цифровых стандартах будет стоить до $50 тысяч. Для сотрудников должны быть установлены также правила использования паролей на персональных компьютерах. Труднее вычислить неизвестное, придуманное слово. По неофициальной же статистике, большинство женщин используют для паролей мужские имена, мужчины, в свою очередь, - имена женские и ругательства. <BR><BR>ВсЈ плохо!<BR>Постоянный анализ текущего состояния системы - обязательный элемент организации защиты. Как пошутил руководитель одной из фирм, занимающихся разработкой защищенных систем, такой отчет должен содержать всего одну фразу - "Все плохо!". При анализе состояния дел внимание уделяется реализации поставленных целей, слабым местам организации защиты. Борьба с наличием в системе "дыр" ведется постоянно - совершенных систем не бывает. <BR>Работа менеджера по безопасности неблагодарна: руководству трудно определить эффективность его деятельности. О факте утечки информации узнают из косвенных источников: конфиденциальная информация вдруг предается огласке. Сложнее определить источник утечки. Тем более - доказать в суде вторжение в систему. <BR>Ни в одной фирме, тем более в банках и крупных корпорациях, не признаются в несанкционированных проникновениях. Такие факты тщательно скрываются. Поэтому такой резонанс получают случаи, которые скрыть уже нельзя. <BR><BR>В Петербурге лицензию ФАПСИ на различные виды деятельности по криптографической защите имеют филиал ГУП "НТЦ "Атлас", ЗАО "Санкт-Петербургский региональный центр защиты информации" и "Специализированный центр защиты информации" Петербургского технического университета. <BR>Лицензия Гостехкомисии в Петербурге есть у нескольких десятков организаций. Среди них: ГУП "Специальное агентство экспертизы, лицензирования, сертификации и аттестации "Омега", Испытательный центр войсковой части 30895, АОЗТ "Лаборатория противодействия промышленному шпионажу", АОЗТ "Северо-Западный центр "Информационная безопасность".