Организация служб защиты информации / орг и управл служб защ инф ч1
.pdf
Московская финансово-юридическая академия
ОРГАНИЗАЦИЯ И УПРАВЛЕНИЕ СЛУЖБОЙ
ЗАЩИТЫ ИНФОРМАЦИИ
Учебно-методическое пособие Часть 1
Москва 2006
Пособие утверждено на заседании кафедры прикладной информатики и защиты информации
Протокол ¹ 1 от 29 августа 2005 г.
Рецензент: к.ф.м.н., доцент Применко Э.А.
Автор-составитель: М.А. Борисов, преподаватель.
Организация и управление службой защиты информации: Учебно-методическое пособие. Ч. 1. – М.: МФА, 2006. С. 68.
Пособие по дисциплине «Организация и управление службой защиты информации» предназначена для студентов кафедры прикладной информатики и защиты информации.
© ÌÔÀ, 2006
Содержание
Введение .......................................................................................... |
5 |
Глава 1.Место и роль службы защиты информации ........................ |
6 |
1.1. Понятие «Система защиты информации» ........................... |
6 |
1.2. Принципы создания системы защиты информации ............ |
9 |
1.3. Условия успешного решения проблем правового |
|
обеспечения защиты информации ............................................. |
11 |
1.4. Организационные мероприятия по обеспечению |
|
защиты информации ................................................................... |
13 |
1.5. Концепция безопасности предприятий ................................ |
15 |
Глава 2. Кадровое и ресурсное обеспечение защиты информации ... |
16 |
2.1. Значение и состав кадров обеспечения защиты |
|
информации ................................................................................ |
16 |
2.2. Задачи, функции и права службы защиты информации ..... |
21 |
2.3. Нештатные структуры службы защиты информации .......... |
24 |
2.4. Положение о службе защиты информации ......................... |
25 |
2.4.1. Группа режима .............................................................. |
25 |
2.4.2. Группа охраны .............................................................. |
26 |
2.4.3. Группа пожарной охраны .............................................. |
27 |
2.4.4. Аналитическая группа .................................................. |
28 |
2.4.5. Детективная группа ...................................................... |
29 |
2.4.6. Группа комплексного противодействия ТСР ................ |
30 |
2.4.7. Группа защиты данных от НДС .................................... |
30 |
2.4.8. Криптографическая группа ........................................... |
31 |
2.4.9. Учебный центр .............................................................. |
32 |
2.4.10. Группа собственной безопасности ............................. |
32 |
Глава 3. Организация деятельности службы защиты информации |
|
предприятия ...................................................................................... |
33 |
3.1. Порядок отнесения информации к «коммерческой тайне»... |
33 |
3.2. Кадровое обеспечение службы защиты информации ........ |
36 |
3.3. Условие о не разглашение коммерческой тайны |
|
в трудовом договоре (контракте) ................................................ |
37 |
3.4. Особенности деятельности службы защиты информации .. |
40 |
3.5. Организация работ по защите информации предприятия... |
43 |
3.6. Ресурсное обеспечение защиты информации .................... |
48 |
Заключение ....................................................................................... |
49 |
Рекомендуемая литература .............................................................. |
50 |
Приложение 1 ................................................................................... |
51 |
Приложение 2 ................................................................................... |
64 |
Приложение 3 ................................................................................... |
68 |
Приложение 4 ................................................................................... |
68 |
4
Введение
Промышленный шпионаж существовал всегда, по крайней мере, со времен Прометея, который осуществил несанкционированную другими богами передачу людям совершенно секретной технологии полу- чения огня, что впоследствии привело к космическим полетам. Человек всегда стремился знать как можно больше о соседях. В нашу постиндустриальную эру информация приобрела решающую роль.
Информация является одним из важнейших элементов управления деятельностью любого предприятия1 . В условиях рынка от нали- чия информации в значительной степени зависит успех предпринимательской деятельности. Как показывает практика, утрата предприятием 20% информации, составляющей коммерческую тайну, может привести к его разорению в течение месяца.
На сегодняшний день предприятия нередко сталкиваются с проблемой утечки информации и необходимостью построения системы защиты коммерческой тайны. Создание такой системы – сложный и многоплановый процесс, который затрагивает все структурные подразделения предприятия.
Система защиты коммерческой информации создается в целях:
–достижения устойчивых позиций в условиях конкурентной борьбы на рынке товаров и услуг;
–сохранение конфиденциальной информации в течение определенного промежутка времени;
–получения возможности проверить каждый из вероятных каналов утечки информации;
–предотвращения негативных последствий текучести кадров. ИнтеграцияРоссиивмеждународныеорганизации,участиевинтерна-
циональных проектах, колоссальный технологический и научный задел в целом ряде направлений делает отечественных предпринимателей объектом пристального внимания частных и государственных разведок Запада и Востока. По аналогии с разведслужбами в деле сбора информации, только в более скромных масштабах, действуют практически все корпорации, так как это является непременным условием их выживания в условиях жесткой конкурентной борьбы.
Отечественный и зарубежный опыт свидетельствует, что основную роль в обеспечении сохранности коммерческой тайны играют сами пред-
1 Под предприятием будем понимать – компанию, предприятие, организацию, фирму и т.п.
5
приятия, а не государственные органы. Для защиты коммерческих секретов предприятия создают собственные службы защиты информации. Важной предпосылкой создания службы защиты информации предприятия является разработка ее структуры, состава, положений о подразделениях, и должностных инструкций для руководящего состава и сотрудников.
Настоящее учебное пособие разработано в соответствии с программой подготовки студентов и предназначено для более глубокого изу- чения студентами дисциплины «Организация и управление службой защиты информации».
В учебном пособии рассматривается место и роль службы защиты информации в системе защиты информации организации, определяются задачи, функции и основные принципы деятельности службы защиты информации, что способствует формированию у студентов научного, системного типа мышления, привития навыков решения проблем в области организации и управления службой защиты информации.
Глава 1. Место и роль службы защиты информации
âсистеме защиты информации
1.1.Понятие «Система защиты информации»
Методологическим базисом деятельности по защите информации является системный подход. Системный подход к исследованию проблемы защиты информации делает возможным переход к упрощению всех сложных связей системы защиты со всеми другими выше и нижестоящими, взаимодействующими системами, с внешней средой, выявитьипонятьсущностьдеятельностипозащитеинформации.Прежде всего, следует осознать, что защита информации имеет самостоятельное значение лишь относительно. Она призвана обеспечить нормальное и эффективное функционирование вышестоящей системы, в которую она «встроена», которую она обслуживает, для которой она создана.
Целью функционирования системы защиты информации является обеспечение достаточного качества информационного обеспечения процесса управления структурными подразделениями предприятия, на основе локализации или исключения проявления информационных угроз. Таким образом, мы видим, что, как и любой системный проект или процесс система защиты обладает целевым признаком системности.
Работа системы защиты информации также достаточно наглядно характеризуется с точки зрения информационно-управленческого при-
6
знака. Декомпозиция процесса защиты информации позволяет увидеть в нем информационно-управленческие процедуры и информационные потоки. Для систем защиты информации характерны два информационных потока. Один информационный поток связан с процессами управлениясистемойзащитыинформации.Другойинформационныйпотокпредставляет собственно защищаемую информацию, котораяперемещается по каналам информационной системы, и обеспечивается защитными ресурсами.
Система защиты имеет организованную структуру, которую также называют топологией или архитектурой системы. Ее можно представить в виде организованной совокупности функциональных элементов, находящихся между собой в установленных связях и отношениях.
Системой защиты информации является совокупность органов и / или исполнителей, используемая ими техника защиты информации, а также объекты защиты, организованные и функционирующие по правилам, установленным соответствующими правовыми, организацион- но-распорядительными и нормативными документами по защите информации.
С позиций системного подхода защита информации должна отве- чать некоторой совокупности требований, т.е. быть:
централизованной – необходимо иметь в виду, что процесс управления всегда централизован, в то время как структура системы, реализующей этот процесс, должна соответствовать структуре защищаемого объекта;
плановой – планирование осуществляется для организации взаимодействия всех подразделений объекта в интересах реализации принятой политики безопасности; каждая служба, отдел, направление разрабатывают детальные планы защиты информации в сфере своей компетенции с учетом общей цели организации;
конкретной и целенаправленной – защите подлежат абсолютно конкретные информационные ресурсы, представляющие интерес для конкурентов;
активной – защищать информацию необходимо с достаточной степенью настойчивости и целесообразности. Это предполагает нали- чие в составе системы информационной безопасности средств прогнозирования, экспертных систем и других инструментов, позволяющих реализовать наряду с принципом «обнаружить и устранить» принцип «предвидеть и предотвратить»;
надежной и универсальной – охватывать весь технологический комплекс информационной деятельности объекта: методы и средства защиты должны надежно перекрывать все возможные каналы утечки
7
информации и противодействовать способам несанкционированного доступа независимо от формы представления информации, языка ее выражения и вида носителя, на котором она закреплена;
нестандартной (по сравнению с другими организациями), разнообразной по используемым средствам;
открытой для изменения и дополнения мер обеспечения безопасности информации;
экономически эффективной – затраты на систему защиты не должны превышать размеры возможного ущерба.
Структурная часть (топология, архитектура) системы защиты информации, является проявлением системного признака предприятия, задается целевым признаком и включает в себя:
–вод законов, нормативных актов государства, внутренних документов предприятия, обуславливающих весь режим защиты используемых данных, в полной совокупности параметров защиты;
–систему службы защиты информации с ее организационно-штат- ной структурой, финансовые, материальные, технические и пространственные ресурсы, а также требования к сотрудникам, и другие необходимые разъяснения, утвержденные в виде норм.
Структурная часть системы защиты информации является относи-
тельно устойчивой, консервативной частью системы. Компоненты структурной части могут приспосабливаться к изменениям внешней среды, запросам вышестоящей системы управления с некоторой временной задержкой. Положительная сторона устойчивости и консерватизма этой части системы заключается в том, что она оказывается своеобразным фильтром, отбраковывающим те реакции системы на изменение внешней среды, которые являются недостаточно обоснованными и мотивированными.
Функциональная часть системы защиты информации, обуславливается целевым признаком, и решает задачи информационной безопасности с той или иной степенью детализации. Эта часть представляет совокупность мероприятий защиты данных, реализующихся на основе выбранных методов и с использованием принятых на эксплуатацию средств. Эта часть системы защиты информации более адаптивна, подвижна, и пластична. Она, исполняя свое предназначение, максимально стремится учесть изменения внешней среды, как-то появление или устранение информационных угроз, изменяющийся динамизм обработки и использования сведений, требования руководства организации и другие. Мероприятия защиты носят, как правило, комплексный характер, и отражаются в календарно-плановых документах администрации системы защиты информации. Комплексность мер защиты можно
8
проследить на следующем примере. Допустим, требуется обеспечить защищенный режим служебного совещания руководства нескольких предприятий.Наоснованиитребованийнормативныхдокументовпланируются и проводятся следующие частные мероприятия:
–составляется перечень носителей защищаемой информации, предполагаемых к использованию на совещании в соответствии с тематикой;
–организуется охраняемая доставка носителей защищаемых сведений к месту проведения совещания;
–организуется встреча участников, их пропуск на предприятие, с соблюдением необходимых элементов пропускного режима;
–перед проведением совещание проводится спецобследование, выделенных для этих целей помещений, на предмет проверки уровня защищенности, используемых технических средств передачи
èобработки информации (ТСПИ), и выявления портативных средств разведки конкурента2 ;
–предусматриваются меры дифференцированного ознакомления участников совещания с содержанием доводимых вопросов, и другие процедуры.
1.2.Принципы создания системы защиты информации
Âнастоящее время, по причине достаточного динамизма развития теории защиты информации, уже сформировались некоторые принципы создания и работы системы защиты информации. Их, хотя и с определенной степенью условности можно разделить на три группы:
– принципы, определяющие качественные характеристики решения проблемы защиты информации;
– организационные принципы;
– принципы реализации системы защиты информации. Принципы, определяющие качественные характеристики решения
проблемы защиты информации:
Принцип неопределенности. Данный принцип обусловлен нали- чием «человеческого фактора», вносящего неясность в вопросы кто, когда, где и каким образом может нарушить защиту сведений. Принцип предусматривает превентивный учет человеческого фактора.
Принцип невозможности создания идеальной системы защиты
следует из принципа неопределенности и является следствием ограниченности ресурсов на строительство системы защиты информации.
2 Под конкурентом будем понимать – недоброжелателя, противника, конкурента и т.п.
9
Принцип минимального риска. Так как невозможно создать идеальную систему защиты, то необходимо выбирать ту или иную степень риска, исходя из особенностей проявления угроз безопасности и конкретных условий существования объектов защиты.
Принцип безопасного времени. Время процедуры защиты должно быть большим или, по крайней мере, равным времени нахождения защищаемой информации на объекте защиты (времени содержания информации элементом защиты). Если одной процедуры защищенного процесса недостаточно для перекрытия указанного временного промежутка, выбирается необходимая их совокупность (комплекс).
Принцип экономичности. Защита должна строиться по критерию «эффективность – стоимость», а именно при заданной эффективности следует применять максимально дешевые средства и мероприятия защиты. В общем случае затраты на защиту информации не должны превышать ее стоимости.
Принцип законности. Требует соответствия проекта системы защиты информации и режима ее функционирования законодательству Российской Федерации.
Принцип персональной ответственности. В соответствии с этим принципом каждый сотрудник несет персональную ответственность за сохранение в тайне сведений, составляющих коммерческую тайну. Кроме того, ответственность персонифицируется за выполнение тех или иных мер защиты. Ответственность закрепляется установленным порядком, и фиксируется в приказах, распоряжениях, инструкциях, функциональных обязанностях, журналах регистрации и формах учета и других документах.
Принцип ограничения полномочий по доступу к информации.
Нет необходимости доказывать, что вероятность нарушения защищенности данных тем выше, чем больше лиц к ней допущено. Принцип предусматривает ознакомление сотрудников только с той информацией, которая требуется для выполнения служебных обязанностей, при чем объем этой информации должен быть по возможности минимальным. Принцип достаточно сложно реализуется в техническом и организационномплане,требуетпостояннойподдержкивсистемнойдеятельности и контроля.
Принцип комплексности. Учитывая то, что спектр способов и методов несанкционированного получения сведений достаточно широк, безопасность информационных продуктов не обеспечивается ка- ким-либо одним мероприятием. Требуется их совокупность (комплекс), взаимосвязь и дублирование.
10