Файловый архив студентов. Файловый архив студентов.
1315 вузов, 5361 предметов.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Московский государственный юридический университет им. О.Е. Кутафина
Предмет:
Национальная безопасность
Файл:
Научно-информационный центр проблем безопасности - Комплексное обеспечение безопасности объектов связи / часть 1.pdf
Скачиваний:
434
Добавлен:
24.07.2017
Размер:
1.76 Mб
Скачать
►Содержание►

Управление информационной безопасностью

Наряду с профессиональной подготовленностью, определяющим эффективность управления является преж де всего представитель службы информационной безопасности. Не менее важным является сформирован ная структура органов управления.

Но, какая бы ни была структура службы информационной безопасности и подготовка ее специалистов, без со ответствующего информационного обеспечения вряд ли можно решать сложные вопросы управления.

Ну, и, наконец, представителей службы информационной безопасности необходимо вооружить современны ми средствами управления, позволяющими на основе полученной информации и собственных знаний выра ботать оптимальные решения и своевременно реализовать их.

Именно от разумного сочетания интеллекта сотрудников СИБ, качества исходной информации и средств управле ния защитой зависит успех обеспечения информационной безопасности объекта.

2.Создание службы информационной безопасности, организационная структура и основные функции

Для того, чтобы разработать рациональную структуру службы информационной безопасности на пред приятии, достаточную по составу и оснащению средствами управления безопасностью, необходимо тщатель но проанализировать избранную политику безопасности, соотнести вероятные угрозы и потери в случае их реализации с эффективностью системы защиты информации и финансовыми затратами на их реализацию. Только после этого руководство предприятия сможет обоснованно принять решение на создание соответству ющей службы информационной безопасности.

Как правило, состав и структура службы информационной безопасности определяются исходя из:

масштабов деятельности и организационной структуры предприятия;

анализа потенциальных и реальных угроз, а в связи с этим совокупностью задач, которые возлагаются на СИБ;

уровня профессиональной подготовленности “кандидатов” в СИБ;

качества оснащения службы информационной безопасности средствами управления;

финансовых возможностей предприятия;

отношения дирекции к проблемам обеспечения информационной безопасности.

Чем шире масштабы деятельности, тем сложнее задачи обеспечения информационной безопасности. Организационная структура предприятия накладывает свой отпечаток на структуру службы информационной безопасности. Одно дело, когда все предприятие находится в одном здании и даже помещении, а другое, ког да оно распределено по всей России, имеет дочерние предприятия, удаленные подразделения да еще и свя зи с заграничными филиалами.

Задачи службы безопасности предприятия вытекают из анализа потенциальных и реальных угроз, а так же условий их предотвращения, и включают в общем случае:

определение перечня сведений, составляющих коммерческую тайну, а также круга лиц, которые в силу занимаемого служебного положения на предприятии имеют к ним доступ;

определение участков сосредоточения сведений, составляющих коммерческую тайну; технологического оборудования, выход из строя которого (в том числе уязвимого в аварийном отношении) может привес ти к большим экономическим потерям;

формирование требований к системе защиты в процессе создания и участие в проектировании системы защиты, ее испытаниях и приемке в эксплуатацию;

планирование, организация и обеспечение функционирования системы защиты информации;

распределение между пользователями необходимых реквизитов защиты, включая установку (периоди ческую смену) паролей, управление средствами защиты коммуникаций и криптозащиту предаваемых, хранимых и обрабатываемых данных;

координация действий с аудиторской службой, совместное проведение аудиторских проверок, контроль функционирования системы защиты и ее элементов, тестирование системы защиты;

организация обучения сотрудников СИБ в соответствии с их функциональными обязанностями; обу чение пользователей АС правилам безопасной обработки информации;

определение круга предприятий, связанных с данным кооперативными связями, на которых возможен выход из под контроля сведений, составляющих коммерческую тайну предприятия; выявление лиц на предприятии и предприятий (в том числе иностранных), заинтересованных в овладении коммерческой тайной;.

расследование происшедших нарушений защиты, принятие мер реагирования на попытки НСД к инфор мации и нарушениям правил функционирования системы защиты;

выполнение восстановительных процедур после фактов нарушения безопасности;

изучение, анализ, оценка состояния и разработка предложений по совершенствованию системы обес печения информационной безопасности предприятия; внедрение в деятельность предприятия новей ших достижений науки и техники, передового опыта в области обеспечения информационной безо пасности.

совместная работа с представителями других организаций по вопросам безопасности непосредствен ный контакт или консультации с партнерами или клиентами;

10.8

Управление информационной безопасностью

постоянная проверка соответствия принятых в организации правил безопасной обработки информации существующим правовым нормам, контроль за соблюдением этого соответствия.

Дополнительно в обязанности сотрудников СИБ входит исполнение директив вышестоящего руководства, уча стие в выработке решений по всем вопросам, связанным с процессом обработки информации с точки зрения обеспечения его защиты. Более того, все их распоряжения, касающиеся этой области, обязательны для ис полнения сотрудниками всех уровней и организационных звеньев.

Чем выше уровень профессиональной подготовленности “кандидатов” в СИБ, тем меньшим числом можно спра виться с поставленными задачами. От качества оснащения службы информационной безопасности средствами управления также зависит их численность, да, пожалуй, и структура.

Ну и, наконец, отношение дирекции к проблемам обеспечения информационной безопасности играет нема ловажную роль в деле формирования рациональной структуры службы информационной безопасности.

Практика деятельности СИБ на государственных и частных предприятиях показывает, что наибольших успе хов удаётся достигнуть в тех случаях, когда проблемы безопасности постоянно находятся в сфере внимания первых руководителей, увязываются ими с собственно производственной и финансовой деятельностью пред приятия, а служба безопасности занимает должное место среди других равных структурных подразделений. Однако на практике у ряда руководителей предпринимательских структур еще не выработалось понимание необходимости комплексного, системного подхода к обеспечению безопасности, не сформировалось пони мание принципа обеспечения безопасности как одного из базовых в предпринимательской деятельности. Нередко проблема безопасности считается второстепенной, ей уделяется недостаточное внимание, на прак тике используются частичные, фрагментарные решения, которые в итоге оказываются неэффективными.

Существует и ряд дополнительных аспектов, которые необходимо учитывать при формировании СИБ. Это характер производственной деятельности предприятия, место предприятия на рынке товаров и услуг, наличие субъектов специальной защиты (носителей государственной или коммерческой тайны, крупных материальных ценностей, экологически опасных производств, взрывопожароопасных участков и т.п.), обстановки в окружении (физическом и производственном) предприятия, активности конкурентов и криминальной обстановки в регионе и т.д.

В связи с наличием совокупности как объективных, так и субъективных факторов, определяющих структуру СИБ, представить универсальную структуру СБ предприятия, видимо, невозможно. Однако, можно говорить о каком то обобщенном варианте построения службы информационной безопасности и о некотором наборе необходимых направлений деятельности СБ. К таким направлениям относятся (а значит в состав СИБ входят соответствующие подразделения):

Информационно"аналитический отдел. Функции: оптимизация деятельности службы безопасности, ми нимизация рисков и максимизация прибыли. Участвует в разработке концепции безопасности организа ции и проектирования системы безопасности. Разрабатывает оперативно тактические планы.

Отдел обеспечения режима. Функции: обеспечение сохранности материальных ценностей, физических но сителей информации и персонала от потенциально возможных угроз.

Инженерно"технический отдел. Функции: на основе концепции безопасности должен обеспечить оптималь ное распределение технических средств по всей структуре службы безопасности. Контроль работы, своевре менное обновление и внедрение парка новых технических средств.

Отделение по работе с персоналом.

Отделение по работе с правоохранительными органами.

На небольших предприятиях большинство этих функций совмещается (вплоть до одного человека).

Всей полнотой полномочий по обеспечению информационной безопасности предприятия в общем случае обладает генеральный директор.

Координация работ по обеспечению безопасности на уровне функциональных служб возлагается на правле ние предприятия в пределах компетенции, определяемой Уставом предприятия.

Практическая реализация требований Генерального директора и членов правления (в рамках полномочий) по организации системы обеспечения безопасности, включая выявление, прогнозирование и оценку угроз безопасности, структуризацию задач защиты, синтез и оптимизацию, технико экономическую оценку и вы бор предпочтительного варианта обеспечения безопасности все это является прерогативой специалистов Службы безопасности предприятия.

Такая структура управления системой безопасности, имеющая ярко выраженную вертикаль подчиненнос ти и почти «армейскую» жесткую систему взаимной ответственности, исходит из практического опыта, на

10.9

Управление информационной безопасностью

копленного как в России, так и в международном сообществе в сфере защиты государственной и коммер ческой тайны.

При этом руководитель службы безопасности должен обладать максимально возможным кругом полномочий, позволяющим оказывать влияние на различные области деятельности объекта, если этого требуют интересы его безопасности. Так, на крупных предприятиях, где СБ состоит из нескольких подразделений, выполняет различные функции по охране, сыску, анализу и пр., руководитель СБ, как правило, является одновременно и заместителем генерального директора, а на объектах с повышенной системой защищенности и первым за местителем. Возможны варианты: когда в директорате выделяется специальный директор по безопасности, в функциональные обязанности которого входит руководство Службой безопасности, службой охраны, спе циальными системами связи и информации, противопожарными службами, подразделениями местной обо роны, специальными группами реагирования.

Но и в тех случаях, когда Служба безопасности невелика, положение ее руководителя должно позволять ему принимать самостоятельные решения в рамках своей компетенции и своевременно реагировать на возника ющие угрозы безопасности предприятия, т.е. его статус на объекте должен быть четко определен и поддер жан руководством.

На практике это выражается в разработке таких функциональных обязанностей начальника СБ, которые зак репляют его особое, своеобразное положение: например, подчиненность других, равных по штатному уров ню начальников в решении кадровых вопросов, в наделении начальника СБ определенными запретительны ми правами в части ведения переговоров с клиентами, правами санкционирования или согласования со СБ выбора клиентов или соисполнителей и т.п.

Безусловно, ряд подразделений из общего состава отдела (управления) безопасности взаимодействуют с подраз делениями СИБ. Например, отдел экономической безопасности, группа разведки и контрразведки, отдел кадров, юрист эксперт (юрист консультант) и т.п.

Организационно группы СИБ должны быть обособлены от всех отделов или групп, занимающихся управлени ем самой системой, программированием и другими относящимися к системе задачами во избежание возмож ного столкновения интересов.

Для эффективной работы Службы информационной безопасности также необходима соответствующая ад" министративная поддержка, заключающаяся в отражении основных положений принятой политики безо пасности в соответствующих Инструкциях и Распоряжениях. В них в первую очередь должны быть определе ны:

должностные обязанности групп пользователей;

правила доступа (разграничения доступа) к информации;

мероприятия по обеспечению контроля и функционирования системы защиты информации;

меры реагирования на нарушение режима безопасности;

планирование и организация восстановительных работ.

Для обеспечения успешной работы СИБ необходимо определить права и обязанности Службы, а также пра" вила ее взаимодействия с другими подразделениями по вопросам защиты информации на объекте. Организационно"правовой статус СИБ определяется следующим образом:

служба должна подчиняться тому лицу, которое в данном учреждении несет персональную ответствен ность за соблюдение правил обращения с защищаемой информацией;

штатный состав службы не должен иметь других обязанностей, связанных с функционированием АСОИ;

сотрудники службы должны иметь право доступа во все помещения, где установлена аппаратура АСОИ, и право прекращать автоматизированную обработку информации при наличии непосредственной угрозы для защищаемой информации;

руководителю службы должно быть предоставлено право разрешать или запрещать включение в состав АСОИ новых элементов в соответствии с требованиями информационной безопасности;

службе информационной безопасности должны быть обеспечены все условия, необходимые для выпол нения своих функций.

Существуют различные варианты детально разработанного штатного расписания групп, включающие пере чень функциональных обязанностей, необходимых знаний и навыков, распределение времени и усилий. При организации защиты существование детально разработанных обязанностей сотрудников СИБ совершенно необходимы.

Ключевой (а иногда и единственной) фигурой в службе информационной безопасности является админист ратор безопасности (АБ).

Администратор безопасности лицо в своем роде исключительное. Он должен быть представительным, ком" муникабельным, иметь возможность взаимодействия с любыми подразделениями и должностными лицами организации для более эффективного выполнения своих обязанностей.

Рассмотрим аспекты его деятельности более подробно.

10.10

Управление информационной безопасностью

3. Администратор безопасности

Администратор безопасности является лицом, выполняющим функции по обеспечению безопасности инфор мации, обрабатываемой, передаваемой и хранимой при помощи средств вычислительной техники, в преде" лах своей зоны ответственности.

Изменение зоны ответственности администратора безопасности производится приказом руководителя СИБ в случае изменения организационной структуры или по предложению СИБ.

Администратор назначается приказом руководителя службы информационной безопасности (СИБ).

Основными направлениями деятельности администратора безопасности являются:

соблюдение правил эксплуатации средств защиты информации;

обеспечение непрерывности процесса обработки информации;

реагирование на нарушения и восстановление работоспособности компьютерной системы;

выполнение рутинных функций.

Основные правила эксплуатации средств защиты содержатся в документации. Администратор безопасности несет персональную ответственность за сохранность своего идентификатора и предотвращение вторжений в компьютерную систему со стороны пользователей и посторонних лиц с правами администратора, а также за предотвращение случаев компрометации секретных ключей шифрования, используемых в компьютерной системе.

Установка и снятие средств защиты производится силами СИБ в соответствии с Планом защиты. После установки администратору безопасности передается полная документация на средства защиты, ключе вые дискеты и электронные идентификаторы. В случае выявления конфликтов в работе средств защиты, приводящих к серьезным нарушениям и затрудняющим обработку информации, администратор должен немедленно сообщить об этом в СИБ.

Назначение и изменение полномочий по доступу к компьютерной системе производится администратором совместно с руководителем подразделения. При этом производится регистрация электронного идентифика тора пользователя и запись в Журнал учета выданных идентификаторов.

Администратор безопасности принимает участие в обеспечении непрерывности процесса обработки информации. Здесь весьма важным является обеспечение совместных действий администратора безопасности и администрато ра сети, несмотря на то, что у каждого из них свои функциональные обязанности. Разделение функций между дву мя упомянутыми категориями должностных лиц одна из непростых задач, которые необходимо решать на пред приятии. Один из возможных вариантов подобного разделения представлен на рис. 3.

Вслучае возникновения нарушения в компьютерной системе администратор безопасности выполняет следу ющие действия:

• сообщает о нарушении руководителю подразделения и в СИБ;

• классифицирует нарушение (нарушение конфиденциальности, целостности, подлинности информации; нарушение работоспособности компьютерной системы);

• определяет причину возникновения нарушения (НСД, вирусное воздействие, сбой, отключение электро питания, кража носителей, выход оборудования из строя и т.д.);

• локализует нарушение, то есть определяет, кто нарушитель, что он делает, что будет делать дальше. Для этого, прежде всего, необходимо определить круг подозреваемых: кто мог вообще это сделать? Кто об ладал необходимыми полномочиями? Кто знал, как это сделать? После этого, используя имеющуюся ин формацию, сужать этот круг. Например, определив, с какого терминала осуществлено нарушение, в ка кое время и каким образом, вы значительно сузите круг подозреваемых. Конкретные действия операто ра и/или администратора безопасности в каждом случае определяются особенностями АС и системы защиты.

• исключает из компьютерной системы скомпрометированные идентификаторы и ключи;

• принимает меры к ликвидации последствий нарушения (восстанавливает разрушенные данные и про граммы, используя аварийные, текущие и долговременные архивы);

• останавливает процесс обработки информации до прибытия специалистов отдела автоматизации и СИБ, если в результате нарушения дальнейшая работа может повлечь за собой увеличение размеров ущерба;

• определяет размер ущерба, вызванного нарушением, выражаемый во временных потерях или денежных затратах;

• составляет служебную записку о факте нарушения в компьютерной системе, а в случае необходимости инициирует проведение служебного расследования.

Винтересах выполнения основных функций администратор производит ряд обеспечивающих операций.

10.11

Соседние файлы в папке Научно-информационный центр проблем безопасности - Комплексное обеспечение безопасности объектов связи
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности