Организация служб защиты информации / орг и управл служб защ инф ч1
.pdfПринцип последовательных рубежей безопасности. Данный принцип нацелен на своевременное обнаружение угрозы безопасности и гарантированную ее локализацию (устранение). Это означает, что необходимо обеспечить как можно раннее оповещение о попытках несанкционированного проникновения к объектам информационной системы (на удаленных рубежах). Каждый рубеж должен быть достаточно прочным, что бы предотвратить неправомерный доступ в зоны защиты и оповестить администрацию системы защиты информации, персонал других рубежей. Кроме того, между рубежами защиты не должно быть «брешей», незакрытых пространств. Они должны быть сомкнутыми, или образовывать кольца.
Принцип адекватности и эффективности. Объем принимаемых мер безопасности должен соответствовать существующим угрозам, в противном случае система защиты информации не будет оправдывать затрат. Мощность рубежей защиты соответствует мощности воздействия угроз на прикрываемом направлении. Распределение ресурсов системы защиты по рубежам учитывает сказанное.
Принцип адаптивности. Система защиты должна быть гибкой, допускающей наращивание (изменение) своей функциональной структуры, маневр ресурсами защиты по рубежам и зонам.
Принцип эффективного контроля. Этот принцип означает нали- чие в системе защиты информации средств, методов контроля любого объекта защиты (защищаемого элемента данных) и средств защиты, применительно к любому моменту времени, на предмет наличия, исправности, правильности и достаточности реализуемых мер.
Принцип регистрации. Тесно и логически связан с предыдущим принципом. Регистрируются носители защищаемых данных, проводимые мероприятия и работы, пользователи информационных ресурсов.
Сформулированные принципы работы и создания системы защиты информации обусловлены опытом многолетней практической деятельности по обеспечению информационной безопасности, претерпевшей историческую эволюцию.
1.3. Условия успешного решения проблем правового обеспечения защиты информации
По мере функционирования предприятия накапливается определенный объем информации, разглашение которой, в т.ч. и самими работниками, способно ухудшить его экономическое положение. В связи с этим собственник информации вправе придать ей статус охраняемой путем отнесения к коммерческой тайне и тем самым закрыть свобод-
11
ныйдоступкнейназаконномосновании.Лишьсохранениеэтойинформации втайне придает ей коммерческую ценность.
Âсоответствии с действующим законодательством, разработка
èреализация практических мер по организации защиты коммерческой тайны возлагается на ее собственника, который должен разработать систему защиты сведений, составляющих коммерческую тайну, и обеспечить ее эффективное функционирование.
Предприятие создает систему защиты имеющейся у нее конфиденциальной информации самостоятельно, опираясь на действующее законодательство, с учетом размера данного предприятия, типа используемой технологии, характера коммерческой деятельности и деловой информации, возможных каналов утечки информации, исходя из имеющихся в наличии средств и своих финансовых возможностей.
Основныеположения,составиорганизацияслужбызащитыинформации имеют юридическую силу в том случае, если они зафиксированы в основополагающих правовых, юридических и организационных документах предприятия и руководствуются Положением о службе защиты информации предприятия.
Âоснову деятельности службы защиты информации предприятия должны быть положены:
1) Гражданский кодекс Российской Федерации (часть I и II);
2) Закон Российской Федерации «О коммерческой тайне»;
3) Закон Российской Федерации «О приватизации государственных и муниципальных предприятий РСФСР»; 4) Закон Российской Федерации «О конкуренции и ограничении
монополистической деятельности на товарных рынках»; 5) Закон Российской Федерации «О безопасности»;
6) Закон Российской Федерации «Об информации, информатизации и защите информации»; 7) Уголовный кодекс Российской Федерации;
8) Постановление Правительства РФ от 05.12.1991 г. ¹ 35 «О перечне сведений, которые не могут составлять коммерческую тайну»; 9) Закон Российской Федерации «О частной детективной и охранной деятельности в Российской Федерации»;
10) Федеральный закон «Об оперативно-розыскной деятельности в Российской Федерации»; 11) Закон Российской Федерации «Об оружии»;
12) Трудовой кодекс Российской Федерации;
13) Устав предприятия, коллективный договор, трудовые договора, правила внутреннего распорядка, технологические руководства и инструкции предприятия, должностные функции и обязанности руководителей, специалистов, рабочих и служащих.
12
Регулирование сферы производства систем и средств обработки, передачи и хранения информации, средств обеспечения информационной безопасности, деятельности в области защиты информации. Важнейшими элементами государственной системы защиты информации являются механизм лицензирования деятельности предприятий в сфере использования и защиты информации ограниченного доступа, и механизм сертификации производимых и ввозимых в страну средств защиты информации. Механизмы лицензирования и сертификации
âРоссии имеет цели:
–упорядочение рынка товаров и услуг, связанных с информационной сферой и с областью защиты информации;
–стимулирование отечественных производителей по разработке ивнедрениюсовременныхзащищенныхинформационныхтехнологий;
–повышение качества производимых технических систем и средств, защита потребителей продукции и услуг;
–создание на территории России защищенной информационной инфраструктуры.
1.4. Организационные мероприятия по обеспечению защиты информации
Организационная составляющая процесса защиты информационных ресурсов рассматривается в качестве главной, относительно ин- женерно-технических, аппаратно-программных мероприятий.
Организационная защита информации – составная часть системы защиты информации, определяющая (вырабатывающая) порядок (правила) функционирования объектов защиты и деятельности должностных лиц в целях обеспечения защиты информации.
Организационные мероприятия защиты информации подразделяются по следующим классам:
–организация и соблюдение определенного порядка управленческой деятельности должностных лиц предприятия, направленная снижение риска утраты, утечки, модификации сведений, составляющих коммерческую тайну;
–установление и соблюдение требований по организации и ведению конфиденциального делопроизводства, в том числе по размещению, оборудованию, охране и других;
–работа по ограничению (разграничению) круга должностных лиц предприятия, по доступу к конфиденциальной информации;
–осуществление принципа персональной ответственности должностных лиц за сохранность доверенной информации;
13
–организация подбора лиц, работающих с важной информацией их воспитание и обучение;
–систематический контроль за соблюдением режима защиты данных и оказание помощи подчиненным структурным подразделениям;
–мероприятия по сокращению оборота носителей конфиденциальной информации, систематический отбор и уничтожение ненужных носителей.
Кратко остановимся на некоторых, наиболее существенных орга-
низационных аспектах.
Порядок деятельности должностных лиц, выполняющих управлен- ческие и иные функции, должен максимально способствовать снижению риска или полному устранению возможности проявления информационных угроз. Этот порядок строится на основе распределения и регламентации обязанностей должностных лиц, работающих с защищаемой информацией (обязанности должны содержать конкретные предписания по защите данных, используемых должностным лицом в своей деятельности).
Методы ограничения и разграничения доступа, при использовании должностными лицами защищаемых сведений, имеют правовую основу, установленную законами РФ «О коммерческой тайне», 2004 года, «Об информации, информатизации и защите информации», 1995 года. Решение об ограничении доступа того или иного лица принимается руководством предприятия, по результатам «проверочных мероприятий», проводимых службой защиты информации. Сущность разграни- чения доступа заключается в такой организации работ при использовании сведений, когда должностные лица ознакамливаются только с теми носителями информации, которые действительно необходимы им по роду служебной деятельности.
Персональная ответственность должностных лиц, характерна для многих видов деятельности и используется не только в области защиты информации. В процессе защиты информации можно выделить два вида персональной ответственности:
–за сохранность носителей информации;
–за выполнение норм, правил и технических предписаний по защите данных.
Юридическую силу по персональным обязательствам сообщает
âбольшинстве случаев личная подпись должностного лица. Лицо, получившее документ или изделие, содержащее информацию с ограни- ченным доступом, расписывается за него в реестре, книге выдачи и других формах. С этого момента лицо обязано выполнять комплекс установленных мер по защите данных, и обеспечивать физическую
14
безопасность носителя. Обязательства должностных лиц могут закрепляться также приказом и доводиться им для исполнения установленным порядком.
Перечисленные классы организационных мер, имеют фундаментальное значение, носят характер общих принципов. Они детализированы и выражены в комплексной взаимосвязи в требованиях ведомственных нормативно-методических документов по защите информационных ресурсов.
1.5. Концепция безопасности предприятия
Зарубежный и отечественный опыт обеспечения безопасности свидетельствует, что для борьбы со всей совокупностью потенциально возможных угроз необходима стройная и целенаправленная организация процесса противодействия. Причем в организации этого процесса должны участвовать не только люди ответственные за это направление, а также: профессиональные специалисты, руководство предприятия, ведущие сотрудники предприятия.
Концепция безопасности предприятия выражает систему взглядов на проблему безопасности на различных этапах и уровнях предпринимательской деятельности, а также основные принципы, направления и этапы реализации мер безопасности.
При построении концепции безопасности руководитель предприятия и начальник службы защиты информации должны очень тщательно анализировать полный набор угроз, глубокое знание и своевременное выявление которых позволит службе защиты информации превентивно их блокировать. Накопленный в мире опыт в области защиты информации показывает, что:
–анализ угроз и разработка концепции безопасности не должны быть одноразовыми актами. Это непрерывный процесс, заключающийся в обосновании и реализации наиболее рациональных форм, методов, способов и путей создания, совершенствования и развития системы защиты информации, непрерывном управлении ею, контроле, выявлении ее слабых мест и ликвидации недостатков;
–защита информации может быть обеспечена лишь при комплексном использовании всего арсенала сил и средств во всех структурных элементах системы, то есть использования службы защиты информации;
–никакая служба защиты информации не может обеспечить требуемый уровень защиты без надлежащей подготовки персонала пред-
15
приятия и пользователей и соблюдения ими всех установленных правил, направленных на обеспечение защиты информации. Основной целью системы защиты информации является предуп-
реждение, предотвращение угроз и ликвидация их последствий. Целями системы защиты информации являются:
–защита прав предприятия и сотрудников;
–сохранение и эффективное использование финансовых, материальных, людских и информационных ресурсов;
–повышение имиджа и роста прибыли за счет обеспечения каче- ства услуг и безопасности клиентов.
Безопасность деятельности предприятия осуществляется на двух
основных уровнях:
–всеми сотрудниками предприятия посредством выполнения режима защиты информации;
–службой защиты информации предприятия путем проведения защитных мероприятий. Вкачествепримерапроектконцепциикоммерческогобанкапредставлен
âглаве 1 Учебно-практического пособия по изучаемой дисциплине.
Глава 2. Кадровое и ресурсное обеспечение защиты информации
2.1. Значение и состав кадрового обеспечения защиты информации
Рассмотрим значение и состав кадрового обеспечения информационной безопасности, основу которого составляет организационноштатная структура службы защиты информации предприятия. Органи- зационно-штатная структура является физической, материальной и относительно устойчивой частью системы защиты информации. При проектированиисистемзащитыорганизационно-штатнаяструктураявляет- ся основным и конечным результатом проектного моделирования, его материальным воплощением. От продуманности и точности разработки организационно-штатной структуры во многом зависит адекватность исполненияфункцийполокализации(блокированию)всегоспектраинформационных угроз.
Разрабатывая систему защиты информации, необходимо, прежде всего, конкретизировать объект, предмет и цели защиты коммерческой информации на предприятии.
16
Объектом защиты информации являются сведения различных категорий, собранные в процессе деятельности предприятия, к которым может проявить интерес его конкурент.
Предметом защиты информации являются носители информации, накоторыхзафиксированы,отображенызащищаемыесведения:документы, изделия, материалы, предметы, вещества. В качестве носителя защищаемой информации выступает также человек. Именно на охрану носителей засекреченной информации и направлены главным образом усилия предприятия.
Основная цель функционирования системы защиты информации – установить оптимальный режим работы предприятия с таким расче- том, чтобы ограничить распространение сведений, содержащих коммерческую тайну, сделать эти сведения недоступными для посторонних лиц, предотвратить их утечку и создать необходимые условия работы лицам, имеющим к ним законный доступ.
Определив объекты, предметы и цели защиты, следует выявить особенности среды их размещения, функционирования, возможные формы и способы взаимодействия с пользователями. Данный анализ позволяет определить множество угроз безопасности защищаемых объектови,соответственно,этиугрозымогутбытьуточненыдляинформационных ресурсов, находящихся в границах объектов защиты. Зная возможные угрозы, можно предположить частоту и силу их проявления, а затем выбрать адекватные средства и методы защиты. Дальнейшее изучение мероприятий защиты, построенных с использованием выбранных методов и средств, способствует получению ответов на вопросы «Кто, в каком количестве, с каким уровнем подготовки, в каких организационно-штатных соотношениях способен обеспечивать необходимый режим информационной безопасности?». Обобщенный алгоритм создания службы защиты информации предприятия представлен на рисунке 1.
17
Рис. 1. Алгоритм создания службы защиты информации
Предложим вашему вниманию примерную структуру службы защитыинформации.Приформированииданнойструктурыучтенаииспользована мировая практика обеспечения информационной безопасности объектов, в том числе и негосударственного характера, таких как транснациональнаякорпорация,банкидругие.Функциональнаяструктура
18
службы защиты информации предприятия показана на рисунке 2, с краткой характеристикой функциональных направлений работы.
Рис. 2. Функциональная структура службы защиты информации
19
В службу защиты информации предприятия входят:
1)Группа собственной безопасности.
2)Группа режима.
3)Группа охраны.
4)Группа пожарной охраны.
5)Аналитическая группа.
6)Детективная группа.
7)Группа комплексного противодействия техническим средствам разведки конкурента.
8)Группа защиты данных от несанкционированного доступа в средствах вычислительной техники.
9)Криптографическая группа.
10)Учебный центр.
Таким образом, защита информации обеспечивается десятью подразделениями службы защиты информации, из них обеспечивают защиту непосредственно информации четыре, обозначенные номерами - 2, 7, 8, 9.
Функционально деятельность службы защиты информации предприятия представлена на рисунке 3.
Рис. 3. Соответствие подразделений службы защиты информации их основным объектам защиты
Отметим, что важным направлением работы по защите информационных ресурсов является работа с персоналом предприятия. К ней относятся беседы с лицами, выступающими в качестве кандидатов при приеме на работу, анализ сведений о кандидатах, проведение занятий с должностными лицами по знанию правил и технических условий защиты ресурсов, выявление сотрудников, подозреваемых в хищении
èпорче носителей защищаемых данных, беседы с увольняющимися
èдругие мероприятия. Работа с кадрами входит в сферу компетенции руководящего состава, кадровых органов, службы защиты информации.
20