Скачиваний:
53
Добавлен:
16.04.2013
Размер:
42.5 Кб
Скачать

40.Кадровое обеспечение функционирования КСЗИ

Достижение высокого уровня безопасности невозможно без принятия должных организационных мер. С одной стороны, эти меры должны быть направлены на обеспечение правильности функционирования механизмов защиты и выполняться администратором безопасности системы. С другой стороны, руководство организации, эксплуатирующей средства автоматизации, должно регламентировать правила автоматизированной обработки информации, включая и правила ее защиты, а также установить меру ответственности за нарушение этих правил.

41. Организационная структура, основные функции службы компьютерной безопасности

Для непосредственной организации (построения) и эффективного функционирования системы защиты информации в АС может быть (а при больших объемах защищаемой информации - должна быть) создана специальная штатная служба защиты (служба компьютерной безопасности).

Служба компьютерной безопасности представляет собой штатное или нештатное подразделение, создаваемое для организации квалифицированной разработки системы защиты информации и обеспечения ее функционирования.

Основные функции службы заключаются в следующем :

  • формирование требований к системе защиты в процессе создания АС;

  • участие в проектировании системы защиты, ее испытаниях и приемке в эксплуатацию;

  • планирование, организация и обеспечение функционирования системы защиты информации в процессе функционирования АС;

  • распределение между пользователями необходимых реквизитов защиты;

  • наблюдение за функционированием системы защиты и ее элементов;

  • организация проверок надежности функционирования системы защиты;

  • обучение пользователей и персонала АС правилам безопасной обработки информации;

  • контроль над соблюдением пользователями и персоналом АС установленных правил обращения с защищаемой информацией в процессе ее автоматизированной обработки;

  • принятие мер при попытках НСД к информации и при нарушениях правил функционирования системы защиты.

Организационно-правовой статус службы защиты определяется следующим образом:

  • численность службы защиты должна быть достаточной для выполнения всех перечисленных выше функций;

  • служба защиты должна подчиняться тому лицу, которое в данном учреждении несет персональную ответственность за соблюдение правил обращения с защищаемой информацией;

  • штатный состав службы защиты не должен иметь других обязанностей, связанных с функционированием АС;

  • сотрудники службы защиты должны иметь право доступа во все помещения, где установлена аппаратура АС и право прекращать автоматизированную обработку информации при наличии непосредственной угрозы для защищаемой информации;

  • руководителю службы защиты должно быть предоставлено право запрещать включение в число действующих новые элементы АС, если они не отвечают требованиям защиты информации;

  • службе защиты информации должны обеспечиваться все условия, необходимые для выполнения своих функций.

. 40.Обычно выделяют четыре группы сотрудников (по возрастанию иерархии):

  • Сотрудник группы безопасности. В его обязанности входит обеспечение должного контроля за защитой наборов данных и программ, помощь пользователям и организация общей поддержки групп управления защитой и менеджмента в своей зоне ответственности. При децентрализованном управлении каждая подсистема АС имеет своего сотрудника группы безопасности.

  • Администратор безопасности системы. В его обязанности входит ежемесячное опубликование нововведений в области защиты, новых стандартов, а также контроль за выполнением планов непрерывной работы и восстановления (если в этом возникает необходимость) и за хранением резервных копий.

  • Администратор безопасности данных. В его обязанности входит реализация и изменение средств защиты данных, контроль за состоянием защиты наборов данных, ужесточение защиты в случае необходимости, а также координирование работы с другими администраторами.

  • Руководитель (начальник) группы по управлению обработкой информации и защитой. В его обязанности входит разработка и поддержка эффективных мер защиты при обработке информации для обеспечения сохранности данных, оборудования и программного обеспечения; контроль за выполнением плана восстановления и общее руководство административными группами в подсистемах АС (при децентрализованном управлении).

Существуют различные варианты детально разработанного штатного расписания такой группы, включающие перечень функциональных обязанностей, необходимых знаний и навыков, распределение времени и усилий. При организации защиты существование такой группы и детально разработанные обязанности ее сотрудников совершенно необходимы. (18)

Для правильного и эффективного применения установленных средств защиты необходим квалифицированный персонал. Однако сложившаяся в России ситуация такова, что пока таких специалистов мало. Выходом из сложившейся ситуации могут быть курсы повышения квалификации, на которых сотрудники отделов защиты информации и служб безопасности получат все необходимые практические знания для использования имеющихся средств защиты, выявления угроз безопасности и их предотвращения.

Существует 138-я статья Уголовного Кодекса РФ, в которой говорится, что "нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений граждан", к которым относится и электронная почта карается:

  • Штрафом от 50 до 100 минимальных размеров оплаты труда или

  • Обязательными работами осужденного на срок от 120 до 180 часов или

  • Исправительными работами на срок до 1 года.

Тоже действие, совершенное с использованием своего служебного положения наказывается:

  • Штрафом от 100 до 300 минимальных размеров оплаты труда или;

  • Лишением прав занимать определенную должность на срок от 2 до 5 лет или;

  • Арестом на срок от 2 до 4 месяцев.

Кроме того, Федеральный закон "Трудовой кодекс РФ" (№197-ФЗ от 30.12.2001) в Статье 57 говорит, что "в трудовом договоре могут предусматриваться условия… о неразглашении охраняемой законом тайны (государственной, служебной, коммерческой и иной)…"

Из чего следует вывод, что для обхода данной статьи УК, руководству организации как минимум необходимо:

  • разработать и, что самое важное, утвердить список сведений, составляющих конфиденциальную информацию и довести его до каждого сотрудника.

  • обязать сотрудника подписать документ, в котором сотрудник соглашается с тем, что руководство или уполномоченное им лицо (в частности - системный администратор) имеет право на ознакомление с любыми данными, обрабатываемыми в информационной системе организации.

Кроме того, надо знать, что статья 81 "Трудовой кодекс РФ" предусматривает возможность расторжения трудового договора по инициативе работодателя в случаях однократного грубого нарушения работником трудовых обязанностей, в частности - разглашение охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей.(9)

42 .Определение 2. Под концепцией безопасности понимается взаимоувязанный комплекс организационно-технических мер, методологических указаний, регламентов, комплектов форм типовых документов и т.д., решающих задачи защиты конфиденциальной информации.

Концепция (Политика) безопасности

- документ, в котором:

1. применяется методика определения и описания информационных потоков, описанная в методологии, представляющая собой формальное и точное описание работы с информацией в подразделениях Заказчика, с учетом их изменении со временем, определены критерии, по которым принимается решение о появлении или прекращении конкретного информационного потока;

2. анализируются, описываются и фиксируются информационные потоки, существующие при работе с информацией Заказчика на текущий момент;

3.определяются для каждого информационного потока фазы существования информации (например, бумажный документ, электронный документ, запись в базе данных);

4.определяются категории конфиденциальной информации Заказчика, разрабатывается классификация информации по категориям конфиденциальности;

5.проводится категорирование информации по категориям и фазам, создана матрица конфиденциальности;

6.определяются возможные пути разглашения конфиденциальной информации (модель угроз);

7.для каждой угрозы и атаки определяется модель нарушителя, в которой определяется:

  • профессиональный круг лиц, к которому принадлежит нарушитель;

  • мотивация нарушителя (цели нарушителя);

  • предполагаемая квалификация нарушителя;

  • предполагаемые ограничения на действия и характер возможных действий нарушителя.

8.определяются уровни риска для всей матрицы конфиденциальности, вероятности реализации каждой атаки, стоимость ущерба при каждой атаке и усредненные вероятные величины убытков (риски);

9.определяются порядок изменения Концепции безопасности и Регламента обеспечения безопасности.

Тут вы можете оставить комментарий к выбранному абзацу или сообщить об ошибке.

Оставленные комментарии видны всем.

Соседние файлы в папке Ответы на вопросы