Подякувати Студентському архіву довільною сумою
Admin
26.02.2023 12:38
Дякуємо, що користуєтесь нашим архівом!
Інформація про навчальний заклад
ВУЗ:
Національний університет Львівська політехніка
Інститут:
Не вказано
Факультет:
Не вказано
Кафедра:
Не вказано
Інформація про роботу
Рік:
2010
Тип роботи:
Розрахункова робота
Предмет:
Охорона комерційної таємниці на підприємстві
Група:
ІБ – 44
Частина тексту файла (без зображень, графіків і формул):
Міністерство науки та освіти України
Національний університет „Львівська політехніка”
Інститут ІКТА
Кафедра ЗІ
Розрахункова робота
з курсу: «Охорона комерційної таємниці на підприємстві»
Вступ
В умовах ринкової економіки все більше зростає значення будь-якої інформації, в тому числі науково-технічної, що має конфіденційний характер.
Специфічність інституту комерційної таємниці полягає в тому, що вона не підлягає офіційній реєстрації. Опис, який становить її сутність, має конфіденційний характер і передається з рук у руки під серйозні застереження. В ліцензійних договорах, як правило, обумовлюються порядок і умови передачі цієї інформації.
Цими та іншими факторами зумовлюється необхідність окремого правового інституту захисту такої нерозкритої інформації, оскільки нині вона набуває все більшої цінності як товар.
Здійснення правової охорони нерозкритої інформації в Україні стало можливим на підставі Закону України "Про інформацію" від 2 жовтня 1992 р., інших законів про інформацію і прийнятого Цивільного кодексу України.
У Цивільному кодексі поняття комерційної таємниці трактується як «інформація, яка є секретною в тому розумінні, що вона в цілому чи в певній формі та сукупності її складових є невідомою та не є легкодоступною для осіб, які звичайно мають справу з видом інформації, до якого вона належить, у зв'язку з цим має комерційну цінність та була предметом адекватних існуючим обставинам заходів щодо збереження її секретності, вжитих особою, яка законно контролює цю інформацію» (ст. 505 ЦКУ). Комерційною таємницею можуть бути відомості технічного, організаційного, комерційного, виробничого та іншого характеру, за винятком тих, які відповідно до закону не можуть бути віднесені до комерційної таємниці.
Статтею 420 ЦКУ визначено, що комерційна таємниця є об'єктом інтелектуальної власності. Відповідно майнові права інтелектуальної власності на комерційну таємницю належать особі, яка правомірно визнала інформацію комерційною таємницею, якщо інше не встановлено договором.
Усі види інформації, які можуть вважатися комерційною таємницею, умовно можна розділити на дві групи: технічна інформація і комерційна інформація.
До першої групи належать незапатентовані науково-технічні розробки, бази даних та інші комп'ютерні програми, створені підприємством, усі види "ноу-хау", технічні проекти, промислові зразки, незапатентовані товарні знаки тощо. Слід мати на увазі, що об'єкти інтелектуальної власності, щодо яких отримано патенти або авторські свідоцтва, до складу комерційної таємниці зараховувати нема сенсу, оскільки подібні об'єкти охороняються відповідним законодавством.
До другої групи віднесено умови контрактів, дані про постачальників і покупців, інформація про переговори, маркетингові дослідження, дані про розрахунок відпускних цін, розміри знижок тощо.
Склад і обсяг відомостей, що становлять комерційну таємницю, визначаються суб’єктом господарювання відповідно до законодавства. Згідно з Постановою Кабінету Міністрів України від 9 серпня 1993 р. № 611 “Про перелік відомостей, що не становлять комерційної таємниці”, не можуть бути віднесені до комерційної таємниці:
установчі документи, документи, що дозволяють займатися підприємницькою чи господарською діяльністю та її окремими видами;
інформація за всіма встановленими формами державної звітності;
дані, необхідні для перевірки обчислення і сплати податків та інших обов’язкових платежів;
відомості про чисельність і склад працюючих, їхню заробітну плату в цілому та за професіями й посадами, а також наявність вільних робочих місць;
документи про сплату податків і обов’язкових платежів;
інформація про забруднення навколишнього природного середовища, недотримання безпечних умов праці, реалізацію продукції, що завдає шкоди здоров’ю, а також інші порушення законодавства України та розміри заподіяних при цьому збитків;
документи про платоспроможність;
відомості про участь посадових осіб підприємства в кооперативах, малих підприємствах, спілках, об’єднаннях та інших організаціях, які займаються підприємницькою діяльністю;
відомості, що відповідно до чинного законодавства підлягають оголошенню.
Підприємства, установи та організації зобов’язані подавати перелічені відомості органам державної виконавчої влади, контролюючим і правоохоронним органам, іншим юридичним особам відповідно до чинного законодавства, за їх вимогою.
Отже, відомості, які можуть бути віднесені до комерційної таємниці, наприклад підприємства, повинні мати такі ознаки:
не містити державної таємниці;
не наносити шкоди інтересам суспільства;
відноситись до виробничої діяльності підприємства;
мати дієву або потенційну комерційну цінність та створювати переваги в конкурентній боротьбі;
мати обмеження в доступі тощо.
Охорону комерційної таємниці розглянемо на прикладі підприємства «Транзистрон», що займається розробкою, дослідженням, виготовленням приладів для високоточних вимірювань. На базі підприємства діє також лабораторія для високоточних вимірювань.
Підприємство знаходиться за адресою: м.Львів, вул. П.Сагайдачного, 22, тел:80322212633,
ел.пошта: tranzystron-corp@ukr.net.
Визначення переліку інформації, що становить комерційну таємницю
Для безпосереднього визначення переліку відомостей, що становлять комерційну таємницю, на підприємстві створена спеціальна комісія, яка займається групуванням і уточненням інформації для цього переліку.
Чисельність такої комісії не перевищувати чотирьох осіб. Вона створена з найбільш кваліфікованих і компетентних фахівців основних підрозділів і представників служби безпеки підприємства, ознайомлених як з діяльністю підприємства в цілому, так і з роботою окремих підрозділів. До її складу входять:
фахівець, який володіє фінансовими питаннями, кон'юнктурою ринку та інформацією щодо діяльності конкуруючих фірм (як правило, це фінансовий менеджер);
фахівець, який досконало знає систему організації роботи підприємства, її особливості;
фахівець з питань зв'язків з іншими підприємствами, а також з укладення контрактів і договорів;
фахівець, який володіє всіма відомостями про продукцію, що випускається, її технологічний цикл і виробництво, про проходження усіх видів інформації (усної, документальної, у вигляді зразків, вузлів, блоків, готової продукції).
Перед �оллект експертів ставиться комплекс питань у такій послідовності:
а) виділити всі види діяльності підприємства, що приносять прибуток на даний момент;
б) на основі наявних даних про ринок збуту оцінити, чи перевищує рівень прибутку для �оллект виду діяльності аналогічні показники на інших підприємствах;
в) визначити ймовірну перспективу рентабельності цієї діяльності.
Якщо з економічної точки зору зазначений вид діяльності відповідає цілям підприємства і на даний момент, і в перспективі, а прибуток є вищим, аніж у конкуруючих фірм, то експерти повинні визначити, що �олле в �оллект виді діяльності дозволяє отримувати прибуток. Відповідь на це питання і буде комерційною таємницею підприємства.
Отже, комерційною таємницею підприємства можна вважати:
відомості технологічного характеру:
відомості про окремі нові або унікальні вимірювальні комплекси, прилади, верстати й устаткування, що використовуються на підприємстві;
відомості про матеріали, з яких виготовлені окремі деталі, умови експериментів, обладнання та устаткування, на якому вони проводилися і т. д.;
точні знання конструкційних характеристик виробів та оптимальних параметрів розроблювальних технологічних процесів (розміри, обсяги, конфігурація, процентний зміст компонентів, температура, тиск, час тощо);
конструкторська документація, креслення, схеми, записи;
описи технологічних іспитів;
відомості наукового характеру:
результати наукових досліджень.
нові технічні проекти;
нові методи організації праці та виробництва;
програмне забезпечення.
відомості ділового характеру:
відомості про укладені або заплановані контракти;
дані про постачальників та клієнтів;
огляди ринку, маркетингові дослідження;
інформація про конфіденційні переговори;
калькуляція витрат виробництва підприємства, структури цін, рівень прибутку;
плани розвитку підприємства та його інвестицій.
Основними документами для ведення комерційної діяльності підприємством є Статут підприємства та Установчий договір, зареєстровані у встановленому законодавством порядку. Документами, які регламентують взаємовідносини усередині підприємства є Колективний договір, Правила внутрішнього трудового розпорядку та Перелік відомостей, які містять комерційну таємницю підприємства.
Статут підприємства – це основний документ, в якому обов’язково повинно бути зафіксовано положення про те, що підприємство має право на комерційну таємницю та організацію її захисту. В статуті повинно бути встановлено, хто визначає порядок захисту комерційної таємниці. Зафіксовані в Статуті положення надають підприємству можливість вимагати захисту його інтересів у державного та судового органу, включати вимоги про захист комерційної таємниці у всі види угод, домагатися відшкодування заподіяної шкоди у випадку викрадення комерційної таємниці, видавати нормативні документи що стосуються питань охорони комерційної таємниці, створювати структурні підрозділи для захисту своєї комерційної таємниці.
В Установчому договорі повинна бути обов’язково зафіксована вимога до учасників товариства про необхідність дотримання комерційної таємниці та відповідальність за виток такої інформації. В Колективному договорі необхідно передбачити взаємні обов’язки адміністрації та �оллективу працівників підприємства щодо забезпечення збереження комерційної таємниці .
Крім затвердження перелікувідомостей, що становлять комерційну таємницю на керівника підприємства покладається також обов'язок щодо встановлення порядку захисту комерційної таємниці. Серед методів такого захисту можна виділити:
розробку положення про комерційну таємницю на підприємстві;
розробку інструкцій щодо дотримання співробітниками режиму нерозголошення комерційної таємниці;
включення до статуту підприємства розділів, які регламентують захист комерційної таємниці;
розробку угоди про нерозголошення комерційної таємниці, що укладається з особами, котрі мають доступ до цієї інформації.
Керівник підприємства також повинен видати наказ по підприємству про встановлення комерційної таємниці (додаток1).
Визначення порушень, загроз, які можуть призвести до втрати інформації, що становить комерційну таємницю
Право на комерційну таємницю означає для власника такої інформації право її засекречування від широкої публіки та право вимагати від інших осіб утримання від використання незаконних методів для одержання цієї інформації. Якщо інформація, що становить комерційну таємницю, отримана іншою особою на законних підставах, хоча б і без дозволу власника прав на неї, така особа не може вважатися порушником, позаяк власник не забезпечив захист такої інформації, в силу чого вона стала легкодоступною, але аж ніяк не таємною.
До неправомірного збирання, розкриття та використання комерційної таємниці належать: (1) неправомірне збирання комерційної таємниці; (2) розголошення комерційної таємниці; (3) схилення до розголошення комерційної таємниці; (4) неправомірне використання комерційної таємниці.
Неправомірним збиранням комерційної таємниці вважається добування протиправним способом відомостей, що відповідно до законодавства України становлять комерційну таємницю, якщо це завдало чи могло завдати шкоди суб'єкту господарювання (підприємцю).
Розголошенням комерційної таємниці є ознайомлення іншої особи без згоди особи, уповноваженої на те, з відомостями, що відповідно до чинного законодавства України становлять комерційну таємницю, особою, якій ці відомості були довірені у встановленому порядку або стали відомі у зв'язку з виконанням службових обов'язків, якщо це завдало чи могло завдати шкоди суб'єкту господарювання (підприємцю).
Способи розголошення відомостей, що становлять комерційну таємницю, можуть бути різними: повідомлення зазначених відомостей іншим особам, зокрема конкурентам; надання іншим особам для ознайомлення документів, що містять комерційну таємницю; повідомлення інформації, що є комерційною таємницею, в засобах масової інформації тощо.
Схилянням до розголошення комерційної таємниці є спонукання особи, якій були довірені у встановленому порядку або стали відомі у зв'язку з виконанням службових обов'язків відомості, що відповідно до законодавства України становлять комерційну таємницю, до розкриття цих відомостей, якщо це завдало чи могло завдати шкоди суб'єкту господарювання (підприємцю).
Неправомірним використанням комерційної таємниці є впровадження у виробництво або врахування під час планування чи здійснення підприємницької діяльності без дозволу уповноваженої на те особи неправомірно здобутих відомостей, що становлять відповідно до законодавства України комерційну таємницю.
Відтак, комерційна таємниця пов’язана з відповідністю таким вимогам: (1) інформація, що становить комерційну таємницю, не відома іншим особам; (2) відсутній вільний доступ до інформації; (3) вжито заходів для охорони конфіденційності інформації.
Загроза - це будь-які обставини або події, що можуть бути причиною порушення безпеки об’єкта та нанесення збитків.
Опис основних каналів витоку інформації
Канал витоку інформації – це сукупність джерела інформації, матеріального носія або середовища розповсюдження сигналу і засобу виділення інформації із сигналу або носія.
Найбільш загальною класифікацією каналів витоку інформації може бути така:
НСД – канал спеціального впливу порушника, який використовуючи штатні засоби доступу до інформаційних ресурсів порушує встановлені правила розмежування доступом з метою реалізації загроз інформації.
канал спеціального недопустимого регламентом впливу на параметри середовища функціонування
канал спеціального впливу нештатними програмними або технічними засобами на елементи обладнання, програми, тощо
канал спеціального впливу на компоненти АС за допомогою закладних пристроїв або програмних закладок
канал витоку інформації, утворений за допомогою використання інформативних параметрів побічного електромагнітного випромінювання та наведень з метою порушення конфіденційності
канал витоку інформації, утворений за допомогою використання побічних акусто-електричних перетворень інформаційних сигналів з метою порушення конфіденційності
канал реалізації будь-яких видів загроз інформації за рахунок використання випадкових збоїв та відмов у роботі обладнання
канал спеціального впливу на компоненти комп’ютерної системи за допомогою впровадження комп’ютерних вірусів.
Виділяють такі фізичні канали витоку інформації:
електромагнітний канал – причиною його виникнення є електромагнітне поле, пов’язане з проходженням електричного струму в компонентах АС.
радіоканал (високочастотне випромінювання)
низькочастотний канал
мережевий канал (наведення електромагнітного каналу на провідники живлення)
канал заземлення
лінійний канал (наводки на лінії зв’язку між ПК та іншими периферійними пристроями)
вібро-акустичний канал – пов’язаний із розповсюдженням акустичних звукових хвиль у повітрі або пружних коливань в інших середовищах.
оптичний канал – пов’язаний з можливістю одержання інформації за допомогою оптичних засобів.
акустичні канали – утворюються за рахунок поширення механічних коливань в вільному повітряному просторі (розмова на відкритому просторі, відкриті вікна, двері, вентиляційні канали); за рахунок звукових коливань на елементи будівельних конструкцій будівель, викликаючи вібрацію (стіни, стеля, підлога, вікна, двері, трубопроводи вентиляційних систем, трубопроводи систем водопостачання, кондиціонування, тощо); за рахунок дії звукових коливань на технічні засоби обробки інформації (акустична модуляція волоконнооптичних ліній передачі інформації, мікрофонний ефект)
повітряні канали – середовищем розповсюдження акустичних сигналів є повітря
вібраційні канали – середовищем поширення акустичних сигналів є системи опалення, каналізації, водопостачання, тощо
електро-акустичні – за рахунок перетворень акустичних сигналів в електричні
оптико-електронний – утворюється при опроміненні лазерним променем вібруючих в акустичному полі тонких відзеркалювальних поверхонь (скла, вікон, картин, дзеркал, тощо)
параметричні канали – коли внаслідок дії акустичного поля міняється тиск на всі елементи високочастотних генераторів і при цьому змінюється взаємне розташування елементів схем, що може призвести до модуляції сигналу інформаційним сигналом.
На даному підприємстві знаходиться різного роду обладнання, яке використовується у технологіях виробництва, вимірювальні прилади, різного роду офісне обладнання(персональні комп’ютери, які з’єднані у локальну мережу і мають вихід в глобальну мережу Internet, принтери, сканери, телефони тощо), лінії електроживлення, вентиляції, каналізації, пожежної безпеки, опалення тощо. Також на території підприємства знаходиться автостоянка, КПП(контрольно-пропускний пункт), трансформаторна підстанція, об’єкт огороджений огорожею, і недалеко від нього знаходиться шосе. Отже, усі , вище зазначені, можливі канали витоку інформації є присутніми на ТОВ «Транзистрон».
Також важливе значення при визначенні загроз інформації відіграє таке поняття як порушник.
Порушник - це особа, яка помилково, наслідок необізнаності, цілеспрямовано, за злим умислом або без нього, використовуючи різні можливості, методи та засоби здійснила спробу виконати операції, які призвели або можуть призвести до порушення властивостей інформації, що визначені політикою безпеки.
Порушниками можуть бути:
технічний персонал, який обслуговує приміщення (електрики, сантехніки, прибиральники тощо);
персонал, який обслуговує технічні засоби (інженери, техніки);
адміністратори ЛОМ;
співробітники служби безпеки;
керівники різних рівнів посадової ієрархії;
відвідувачі (запрошені з деякого приводу);
представники організацій, що взаємодіють з питань технічного забезпечення (енерго-, водо-, теплопостачання і таке інше);
хакери;
співробітники закордонних спецслужб або особи, які діють за їх завданням;
клієнти, постачальники.
Охорона інформації, що становить комерційну таємницю
Існують два різновиди цивільно-правових режимів охорони комерційної таємниці:
— режим охорони, заснований на договірних відносинах (коли між сторонами — учасниками цивільних правовідносин укладено спеціальну угоду);
— режим охорони, заснований на зобов'язаннях, що випливають із заподіяння шкоди (зобов'язання ці виникають між сторонами не в силу договору, а в силу факту заподіяння шкоди одній стороні іншою стороною).
Умовно виділяють два види охорони інформації, що використовуються в підприємницькій діяльності, тобто два види інформаційної безпеки: пасивну й активну.
Пасивна охорона характеризується тим, що власник інформації надає їй режим відкритості, доступності для всіх зацікавлених осіб, але ці особи не можуть використовувати її в комерційних цілях. Саме власникові належить виключне право дозволяти кому-небудь використовувати цю інформацію. Таку охорону інформації встановлюють патентне та авторське право. Захист інтересів власника інформації у випадку її несанкціонованого використання реалізується в судовому порядку на підставі законодавства України.
Активна охорона інформації, що більше підходить для охорони комерційної таємниці від несанкціонованого власником використання, пов’язана з тим, що власник встановлює певний режим доступу, наприклад, обмежує доступ до інформації вузьким колом фахівців з числа персоналу, організує режимні зони на підприємстві, використовує носії інформації, що роблять неможливим несанкціоноване копіювання тощо.
Важливий елемент механізму захисту комерційної таємниці – встановлення порядку роботи з матеріальними носіями такої інформації: кресленнями, дискетами, магнітними стрічками тощо. Вибираючи зручні форми обліку конфіденційної інформації, необхідно враховувати, що:
по-перше, відмітні знаки (грифи) на документах не повинні збігатися з грифами, що використовуються в сфері захисту державних таємниць;
по-друге, вони повинні бути зрозумілі тільки співробітникам даного підприємства і не привертати до себе уваги сторонніх осіб;
по-третє, кількість грифів повинна бути чітко визначеною;
по-четверте, роботу підлеглих доцільно організувати за принципом "чистих столів". Суть його полягає в тому, що співробітник за своєї відсутності не повинен залишати жодного документа на своєму робочому місці. Вся інформація має надійно зберігатися у сейфі, металевій шафі або у шухляді столу.
У Переліку також бажано вказати конкретний строк, на який та чи інша інформація набуває статусу комерційної таємниці.
Структурні підрозділи та співвиконавці повинні бути ознайомлені з Переліком у частині, що їх стосується, керуватися ним у своїй роботі й приводити у відповідність до нього грифи документів.
Виконавець і керівник, перш ніж підписати будь-який документ, оцінюють його на наявність інформації, що є комерційною таємницею підприємства.
За наявності таких відомостей на першому, титульному аркуші в правому верхньому куті потрібно поставити гриф. Наприклад, "КОМЕРЦІЙНА ТАЄМНИЦЯ".
Зняття з інформації статусу комерційної таємниці підприємства здійснюється після закінчення контрольного строку або внаслідок настання певних обставин (поява нового зразка, витік інформації до конкурента тощо).
Це рішення приймають ті самі особи, що затвердили Перелік.
В основі такої системи роботи повинна лежати зацікавленість виконавців як у виявленні нових об'єктів захисту, так і у визначенні оптимального моменту зняття обмежень на поширення інформації.
При опублікуванні інформації, що раніше була закритою, рекомендується приділяти більше уваги її практичній цінності та ексклюзивності, щоб зацікавити в її використанні потенційних споживачів як у межах країни, так і за кордоном. Разом з тим обсяг опублікованих даних не повинен бути достатнім для самостійного впровадження їх без додаткової інформації розроблювача.
Всі заходи захисту комерційної таємниці можна поділити на 3 групи:
Юридичні заходи включають в себе документальне оформлення переліку відомостей, які є комерційною таємницею, і складання супутніх документів (наприклад, положення про комерційну таємницю, яке регламентує порядок доступу до секретної інформації, а також запровадження системи, за якої кожний працівник під розписку ознайомлюватиметься з цим положенням і відповідальністю за його порушення(див. додаток1).
Адміністративні заходи передбачають створення системи користування конфіденційною інформацією. При цих заходах необхідно визначити, які посадові особи і до якої інформації отримують право безперешкодного доступу. Не може бути встановлена комерційна таємниця для керівника підприємства або для контролюючих його діяльність органів підприємства. А у разі якщо працівнику необхідна така інформація для службових потреб, слід визначити порядок доступу до такої інформації цих працівників. До адміністративних заходів можна також віднести запатентування нових винаходів та реєстрації прав на комерційне найменування і торговельну марку.
До соціально-психологічних заходів належать бесіди та проведення занять з працівниками з приводу впровадження новітніх технологій, їхніх пропозицій та повторне попередження їх про відповідальність за розголошення таких відомостей. А також створення позитивного робочого клімату в колективі, аби уникнути невдоволених своїм становищем, які неодмінно можуть продати інформацію, або «пожалітися» про становище своєї фірми.
До загальних заходів захисту інформації в засобах і мережах їх передачі і обробки переважно передбачають використання апаратних, програмних та криптографічних засобів захисту. В свою чергу, апаратні засоби захисту застосовуються для вирішення таких завдань:
перешкоджання візуальному спостереженню і дистанційному підслуховуванню;
нейтралізація паразитних електромагнітних випромінювань і наводок;
виявлення технічних засобів підслуховування і магнітного запису, несанкціоновано встановлених або які пронесено до установ підприємства, банку;
захист інформації, що передається засобами зв'язку і знаходяться в системах автоматизованої обробки даних.
За своїм призначенням апаратні засоби захисту поділяються на засоби виявлення і засоби захисту від несанкціонованого доступу. Слід зазначити, що універсального засобу, який би дозволяв виконувати всі функції, не існує, тому для виконання кожної функції відповідно до виду засобів несанкціонованого доступу існують свої засоби пошуку та захисту. За таких умов заходи щодо протидії незаконному вилученню інформації за допомогою цих засобів досить трудомісткі та дорогі і вимагають спеціальної підготовки фахівців.
Важливим елементом захисту є розмежування доступу.
Доступ на територію, та у виділені приміщення суб’єктів здійснюється згідно з мітками доступу, які порівнюються з мітками секретності об’єктів, до яких здійснюється доступ.
В залежності від важливості інформації, яка знаходиться у приміщенні підприємства, кімнатам об’єкту можна присвоїти певний рівень доступу.
0 рівень доступу – доступ вільний
1 рівень доступу - доступ має технічний персонал, та інші працівники підприємства при необхідності
2 рівень доступу - доступ мають тільки працівники служби безпеки, та інший персонал, якщо має на це дозвіл і певні повноваження.
3 рівень доступу - доступ мають тільки керівник підприємства, та інші фізичні особи, якщо мають на це дозвіл, і згідно з вимогами внутрішнього розпорядку лабораторії.
Отже, щодо технічного персоналу, то він може перебувати у приміщеннях, які мають 2 і 3 рівень доступу тільки у робочий час і згідно з встановленими на підприємцями вимогами. Здійснювати свої посадові обов’язки тільки у визначений. Заборонено знаходитися у цих кімнатах у неробочий час. Заборонено користуватися комп’ютерною мережею та обладнанням, що знаходиться безпосередньо в лабораторії.
Працівники служби безпеки мають доступ у всі приміщення, можуть вільно ходити по території, і користуватися комп’ютерною мережею з деякими обмеженнями.
Працівники лабораторії, інженери, техніки мають 0,1 і 2 рівень доступу. 3 рівень доступу мають тільки старші лаборанти, головні інженери.Мають право користуватися комп’ютерною мережею з певним обмеженим доступом.
Системний адміністратор має доступ у приміщення 3 і 2 рівня доступу, бо в його обов’язки входить адміністрування і прокладення мережі, а саме у цих приміщеннях вона знаходиться, і 0 рівня доступу. Має найбільші повноваження у користуванні комп’ютерною мережею.
Директор підприємства має доступ у приміщення 3, 2, 1, 0 рівня доступу.
Отже, можна сформулювати такі основні принципи захисту:
Шосе (в межах об’єкту) потрібно захистити від:
тривалого знаходження автомобілів та інших засобів за допомогою яких,
може здійснюватися спостереження чи будь – яка дія на об’єкт.
виникнення аварійних ситуацій.
Шосе повинно добре оглядатись з фасадної сторони об’єкту і з КПП. Потрібно унеможливити знаходження на даній ділянці транспортних засобів, чи інших об’єктів, за допомогою знаків дорожнього руху (встановлення знаків зупинка і стоянка заборонена на відстанях 200 м в обох напрямках руху). Дозволяється стоянка виключно тільки для автомобілів відвідувачів у відповідному місці.
Автостоянку відвідувачів потрібно захистити від:
прихованих протиправних дій з боку відвідувачів.
Автостоянка відвідувачів має знаходитись на спеціальній платформі. За нею повинен здійснюватися нагляд за допомогою камер відеоспотереження. Камери встановлюються безпосередньо на огорожі з відповідним маскуванням. Камери обладнануються пристроями бездротового зв'язку по радіоканалу, під’єднуються до моніторів, що знаходяться на КПП і охоронець на КПП слідкує за цим об’єктом.
Огорожу потрібно захистити від:
таємного проникнення через неї зловмисника.
пошкодження.
Огорожа встановлюється з сталевих суцільних секцій різного типу, висотою 2м. Вздовж огорожі( зверху і знизу) протягнутий колючий дріт. З внутрішньої сторони огорожі встановлюються камери відеоспотереження, які позначені на плані. Камери подають зображення до моніторів, що знаходяться на КПП, вони обладнануються пристроями бездротового зв'язку по радіоканалу, і охоронець на КПП слідкує за територією об’єкту. Крім того, зображення записується на магнітний носій, який у визначений час переглядається працівниками служби безпеки.
КПП потрібно захистити від:
таємного проникнення через нього зловмисника.
пошкодження, зруйнування.
несанкціонованого проникнення.
зламу.
КПП включає в себе ворота, шлагбаум, турнікет, спеціальне приміщення. Ворота виготовляються з того ж матеріалу що й огорожа. Ворота зачиняються на внутрішній затвор і замок . Шлагбаум служить бар’єром для проникнення автомобілів на територію. Турнікет служить бар’єром для проникнення на об’єкт працівників та відвідувачів без автомобілів. Охоронець, який знаходиться на КПП, здійснює пропуск працівників та відвідувачів на територію об’єкту. Працівники лабораторії маю постійні посвідчення з фотографіями, а відвідувачі повинні мати тимчасові посвідчення для їх допуску на об’єкт. Після проникнення на територію особа під наглядом охоронця повинна розписатися у журналі реєстрацій з зазначенням прізвища та ім’я, часу доступу на об’єкт, та номеру перепускного посвідчення. Здійснюється фізичний обшук особи на наявність сторонніх чи заборонених предметів, обшук проводять також металошукачем SUPERWAND. У разі виявлення таких предметів здійснюється їх вилучення з відповідними відмітками в журналі реєстрацій. Спеціальне приміщення являє собою робоче місце охоронця, в якому знаходяться монітори відеоспостереження за встановленими об’єктами і необхідні для здійснення своїх обов’язків засоби та апаратура. Також окрема камера встановлюється на КПП, про існування якої знає тільки служба безпеки.
Систему водопостачання, теплопостачання і каналізації потрібно захистити від:
утворення паразитних акустичних сигналів вздовж коробів, труб.
розповсюдження електромагнітних сигналів вздовж коробів, труб.
фізичного проникнення через них зловмисника і виводу її з ладу;
сторонніх дій некваліфікованих осіб.
Система водопостачання, теплопостачання та каналізації може бути джерелом паразитних наведень з боку зовнішньої апаратури. Тому застосовуються засоби відбиття загроз: встановлюються спеціальні шумові пристрої на трубах водопостачання та каналізації, що створюють електро- магнітне поле перешкод. Зовні люки повинні бути захищені гратами, для запирання яких використовуються спеціальні замки з протяжними скобами. У труби опалення і водопостачання вставляються спеціальні діелектричні вставки.
Система вентиляції створена із гнучких труб з рельєфним виконанням.
Автостоянку працівників потрібно захистити від:
прихованих протиправних дій з боку відвідувачів, або й самих працівників.
Автостоянка працівників має знаходитись на спеціальній платформі, яка добре оглядається з КПП і обладнана естакадами для огляду транспорту.
Трансформаторну підстанцію потрібно захистити від:
фізичного пошкодження.
сторонніх дій некваліфікованих осіб.
Трансформаторна підстанція встановлюється і обслуговується представниками організацій, що взаємодіють з питань технічного енергозабезпечення. Відповідальність за проведені роботи покладається на представників організацій, що взаємодіють з питань технічного забезпечення енергопостачання про що має бути складений відповідний акт.
Основну будівлю(стіни, перекриття) потрібно захистити від:
фізичного проникнення через неї зловмисника.
пошкодження.
впливів стихійних лих навколишнього середовища.
розповсюдження акустичних хвиль в твердому матеріалі.
Основна будівля (стіни, перекриття) обладнується сейсмічними сенсорами на п’єзо-
електричному ефекті. Даним способом здійснюється захист від механічного проникнення в будівлю і попередження впливів навколишнього середовища(землетруси, шквали і інші стихійні лиха природи). Стіни повинні бути із звукопоглинаючого матеріалу.
Вікна потрібно захистити від:
відбиваючих властивостей поверхні скла (можливості лазерного прослуховування).
перегляду приміщення сторонніми особами.
фізичного проникнення через неї зловмисника.
Вікна - пластикові ( всередині є вакуум). Ззовні вікна обладнуються гратами, що перешкоджає фізичному проникненню, а зсередини на вікнах розміщуються генератори шуму DNG-2000, а зсередини на вікнах висять жалюзі, що перешкоджає візуальному перехопленню інформації. Скло вікон повинне бути зроблене з матеріалу (хвилясто-матового скла), який має відбиваючі властивості, тобто унеможливлює лазерне прослуховування.
Головний вхід у приміщення потрібно захистити від:
несанкціонованого проникнення.
зламу.
таємного проникнення через нього зловмисника.
Головний вхід представляє собою стальні двері. Для замикання таких дверей використовується багаторігельний врізний замок з електронним кодовим доступом. Код доступу встановлює служба безпеки, і він є різним для кожної особи, періодично змінюється. Працівники не мають права розголошувати пароль доступу. Доступ відвідувачів через головний вхід здійснюється виключно під наглядом охоронця. При вході в приміщення встановлюється камера відоспостереження, зображення якої виводиться на монітор у кімнаті служби безпеки.
Коридори потрібно захистити від:
знаходження в них сторонніх об’єктів.
таємного знаходження в них зловмисника.
Коридори повинні бути оснащені камерами таємного спостереження, відомостями про
знаходження яких повинні володіти виключно працівники СБ. Працівниками СБ періодично повинна проводитись перевірка коридорів на наявність сторонніх предметів.
Входи в кімнати потрібно захистити від:
несанкціонованого проникнення.
таємного проникнення через них зловмисника.
зламу
підслуховування.
Необхідно організувати в разі потреби можливість відвідувачу з певними повноваженнями, чи представникам організацій, що взаємодіють з питань технічного забезпечення увійти до внутрішніх приміщень з обов’язковою фіксацією їх перебування в цих приміщеннях, приводу їхнього перебування там, тощо.
Входи в приміщення захищаються дверима з баготорігельними замками з електронним кодовим доступом, виготовляються із звукопоглинаючого матеріалу. Кожна особа персоналу має доступ в визначені приміщення згідно мандатного контролю. Код доступу встановлює служба безпеки, і він є різним для кожної особи, періодично змінюється. Доступ відвідувачів в приміщення допускається тільки при присутності осіб з СБ. Саме приміщення повинне бути оснащене камерами відео спостереження, зображення від яких виводиться на екран монітора, що знаходиться у СБ.
Персональні комп’ютери, з’єднані в локальну мережу з виходом в Internet потрібно захистити від:
проникнення в них вірусів і закладок.
перегляду сторонніми особами зображення на моніторі.
спостереження сторонніми особами за роботою з клавіатурою.
несанкціонованого доступу до оперативної пам’яті чи накопичувачів комп’ютера.
наведень на технічні засоби.
Спеціальні вимірювальні прилади, устаткування,технологічне обладнання тощо потрібно захистити від:
випромінювання електромагнітних сигналів, які потім можуть перехоплюватись
випадковими антенами.
дії на них сторонніх осіб.
спостереження сторонніми особами за роботою з апаратурою.
Комплекс для дослідження матеріалів потрібно захистити від:
Переговорний пристрій, проводовий телефон та радіотелефон потрібно захистити від:
випромінювання електромагнітних сигналів, які потім можуть перехоплюватись
випадковими антенами.
автогенерації та мікрофонного ефекту.
паразитної модуляції.
Сканер, принтер та інше офісне обладнання потрібно захистити від:
випромінювання електромагнітних сигналів.
спостереження сторонніми особами за їх роботою.
дії на них сторонніх осіб.
Кабелі телефонного зв’язку, лінії мережі електроживлення, лінії пожежної сигналізації потрібно захистити від:
електромагнітних наведень на них.
безпосереднього гальванічного підключення.
наведення на проводи та кабелі, що мають спільну трасу проходження, на інші
ланцюги того ж самого кабелю.
ОТЗ, неосновні ТЗПІ, ДТЗС повинні встановлюватися перевіреними особами, про що має бути складено відповідний акт.
Програмне забезпечення повинне бути ліцензійним.
Комп'ютери, спеціальне вимірювальне обладнання повинне бути екранованим.
Для захисту приміщення від витоку мовної інформації по мережі 220 В використовуються мережеві фільтри.
Усі кабелі повинні бути екрановані розділені один від одного.
Усі металеві конструкції ОТЗ (шафи, пульти, корпуси розподільних пристроїв та металеві оболонки кабелів) повинні бути заземлені.
Заземлення слід здійснювати від загального контуру заземлення, розміщеного в межах контрольованої території, з опором заземлення за постійним струмом відповідно до вимог стандартів.
Система заземлення повинна бути єдиною для всіх елементів ОТЗ і будуватися за радіальною схемою.
Утворення петель і контурів у системі заземлення не допускається.
Екрани кабелів не повинні мати електричного контакту з металоконструкціями.
В комунікаційних системах потрібно встановити наступні засоби мережного захисту інформації:
1) міжмережні екрани (Firewall) - для блокування атак з зовнішнього середовища. Вони керують проходженням мережевого трафіку відповідно до правил (polic,ies) захисту. Як правило, міжмережеві екрани встановлюються на вході мережі і розділяють внутрішні (приватні) та зовнішні (загального доступу) мережі;
2) системи виявлення вторгнень (IDS – Intrusion Detection System) - для виявлення спроб несанкціонованого доступу як ззовні, так і всередині мережі, захисту від атак типу "відмова в обслуговуванні". Використовуючи спеціальні механізми, системи виявлення вторгнень здатні попереджувати шкідливі дії, що дозволяє значно знизити час простою внаслідок атаки і витрати на підтримку працездатності мережі;
3)засоби створення віртуальних приватних мереж (VPN – Virtual Private Network) - для організації захищених каналів передачі даних через незахищене середовище. Віртуальні приватні мережі забезпечують прозоре для користувача сполучення локальних мереж, зберігаючи при цьому конфіденційність та цілісність інформації шляхом її динамічного шифрування;
Їх застосування дозволяє попередити можливі атаки на мережу, оптимізувати витрати на захист інформації та контролювати поточний стан захищеності мережі.
4) антивірусне забезпечення - для запобігання знищення, модифікації інформації, збоїв у роботі системи, пов’язане із функціонуванням програм-вірусів. Систематичне поновлення антивірусних баз дає змогу отримати досить високий рівень захищеності від вірусів.
Усе перераховане вище при коректному виконанні створює серйозний захист комп'ютерної системи від атак і дій небажаних програм.
Також кожен ПК повинен бути підключений до безперебійного джерела живлення, щоб у разі відключення системи живлення не порушувалась працездатність КС. Кожен користувач повинен мати свій пароль доступу для роботи з ПК, який йому заборонено розголошувати, і який періодично змінюється.
Використовуються також генератори просторового зашумлення для захисту від ПЕМВ ( "Гном – 2С").
Для нормального, безперебійного режиму роботи АС повинен бути наявний у лабораторії аварійний генератор, що знаходиться у кімнаті служби безпеки.
Уся важлива інформація, яка потребує захисту (комерційна таємниця) повинна знаходитися у сейфі, що є у кімнаті керівника, а вся інформація, що знаходиться на комп’ютері повинна бути зашифрована. Доступ до інформації, що знаходиться в сейфі має власне тільки сам керівник(директор) підприємства.
На об’єкті повинна бути встановлена охоронна сигналізація, сигнал від якої поступає на пульт у кімнаті служби безпеки і на КПП, а також на мобільний телефон голови служби безпеки.
На об’єкті встановлена пожежна сигналізація, сигнал від якої поступає на пульт у кімнаті служби безпеки.
Для захисту телефонних ліній використовуємо пристрій захисту телефонних ліній "Топаз–1"ТУ У 24787625.001–2001; Цикада-М Тип NG-305 - комплексний захист телефонних ліній від прослуховування за допомогою різних засобів знімання акустичної інформації шляхом формування в телефонну лінію маскуючих сигналів, блокування несанкціонованого підключення паралельного телефону і сигналізація "піратського" підключення.
На об’єкті буде встановлений комплекс відео спостереження: зовнішні і внутрішні відеок...
Ділись своїми роботами та отримуй миттєві бонуси!
0%
Оголошення від адміністратора