Организация служб защиты информации / орг и управл служб защ инф ч1
.pdfПервая особенность. В принципе можно создать абсолютно надежную службу защиты информации. Однако ее стоимость будет зна- чительной. Вполне естественным ограничением собственности системы защиты является стоимость объектов защиты. Это верхний предел затрат на систему защиты. Для того чтобы система защиты не требовала существенного расхода финансовых средств организации, приходится использовать не абсолютные средства и методы системы защиты, т.е. подвергать себя риску нарушения безопасности. Без определенной степени риска деятельность предприятия просто неосуществима. Таким образом, стоимость защищаемых объектов и первоначальное вложение капитала в средства и методы защиты информации определяют степень риска нарушения безопасности.
Вопрос о том, какова должна быть величина риска, определяется средствами от прибыли предприятия, вложенными на поддержание системы защиты. Опять-таки для существования предприятия последний может тратить на содержание системы защиты только часть своей прибыли, которая и определяет величину риска. Вопрос о количе- ственной степени риска, зависящей от стоимости объектов защиты и части прибыли предприятия, отпущенной на поддержание системы защиты, в настоящее время является открытым, хотя существуют различные подходы к его решению. Однако, как показал их анализ, они, как правило, эмпирические и во многом зависят от конкретных условий.
Вторая особенность. Рано или поздно нарушение любого из видов безопасности будет известно. Возникает вопрос: как предупредить нарушение безопасности или хотя бы минимизировать это время? В первом случае ущерб будет предотвращен, а во втором, как правило, будет минимален.
Все возможные нарушения безопасности возникают, в конечном счете, из-за риска, обусловленного недостаточностью средств на создание системы защиты информации. Недостаточность средств вле- чет за собой возникновение нештатных ситуаций, которыми и пользуется злоумышленник. Возникновение нештатных ситуаций обусловлено неопределенностью процесса защиты, т.е. неизвестно, в какое время, где будут происходить злоумышленные действия, каким образом и при каких условиях они могут возникнуть.
Практическим методом уменьшения риска является выполнение глобального контроля за действиями всех сотрудников и клиентов предприятия, их регистрации и последующего анализа. В первом случае, при идеальном контроле, злоумышленные действия будут предупреждены. Однако идеальный контроль опять-таки невозможен, и поэтому нельзя говорить об абсолютной защите. Во втором случае регистрация
41
всех действий и последующий за ней анализ позволяет минимизировать время неопределенности нарушения безопасности. Однако, аналогично контролю, нельзя осуществить абсолютную регистрацию и ее анализ.
Таким образом, на действия потенциального конкурента влияют следующие возложенные на службу защиты информации функции:
–предупреждение;
–контроль за текущей ситуацией;
–регистрация;
–анализ результатов регистрации.
Предупреждение является активным сдерживающим фактором и должно использоваться всеми подразделениями службы защиты информации. Следует отметить, что чем раньше придет сигнал предупреждения, тем больше имеется времени у сотрудников службы защиты информации принять решение для блокирования злоумышленных действий.
Формы предупреждения могут быть самыми различными, но, разрабатывая систему защиты информации, виды предупреждения должны быть максимально полными, чтобы даже учитывать психологию конкурента, убеждая его в том, что нет необходимости предпринимать какие-либо попытки, т.к. они потерпят неудачу.
Контроль и регистрация действий потенциальных конкурентов в текущей ситуации необходимы в любом случае, т.к. никогда не может быть уверенности, что меры предупреждения являются гарантией безопасности и, следовательно, нападение возможно в любой момент времени. Контроль и регистрация текущего состояния атмосферы безопасности должны быть максимально всеобъемлющими и информативными.
Анализ по результатам регистрации эффективности принятых мероприятий является важным этапом в обеспечении безопасности, т.к. окружающая среда и, вполне естественно, действия конкурента не являются статическими, а эволюционируют по принципу – выживает сильнейший. Составляющие фактора времени показаны на рисунке 4.
Рис. 4. Распределение функций защиты во времени
42
Следует особо отметить, что самые совершенные средства и методы сохранения защиты информации не могут сами обеспечить должной безопасности, если не работает человеческий фактор – дисциплинированность, умение и ответственность персонала. Таким образом, проблема защиты информации может быть решена лишь в том случае, если все сотрудники предприятия объединят свои усилия.
Резюмируя вышесказанное, можно сделать следующие выводы:
1.Система защиты никогда не следует рассматривать как абсолютно надежную, всегда существует определенная степень риска.
2.Для того чтобы ущерб был минимальным, система защиты должна быть максимально всеобъемлющей.
3.Существенную роль в минимизации ущерба играет фактор времени обнаружения злоумышленных действий.
4.Эффективность действия системы защиты, в конечном счете, зависит от человека (человеческий фактор).
3.5. Организация работ по защите информации предприятия
Свою деятельность по обеспечению безопасности информации начальник службы защиты информации предприятия должен начать с создания службы защиты информации предприятия и назначения приказом руководителя предприятия, должностных лиц службы, с учетом конкретных особенностей предприятия, а также разработать для них функциональные обязанности.
Начальник службы защиты информации разрабатывает следующий план своей работы:
1)определить, какие категории сведений являются коммерческой тайной предприятия;
2)установить места накопления такой информации и их носители, выявить потенциальные каналы утечки информации;
3)отработать систему доступа к сведениям, составляющим коммерческую тайну;
4)предусмотреть вопросы защиты коммерческой тайны в ходе внешних контактов работников предприятия;
5)распределить функцию по созданию системы защиты между структурными подразделениями;
6)определить примерный объем затрат на создание системы защиты коммерческой тайны;
7)разработать порядок проведения контроля за функционированием всей системы в целом.
43
Необходимо обратить особое внимание на необходимости разработки Положения по коммерческой тайне предприятия, в котором должны быть закреплены права и обязанности работников предприятия, возникающие в связи с их допуском к коммерческой тайне.
Далее необходимо удостовериться, имеется ли перечень сведений, относящихся к коммерческой тайне предприятия. Если такого перечня нет, то разработать его и утвердить приказом руководителя. К разработке данного перечня по необходимости могут привлекаться и другие должностные лица предприятия. После этого проводится инструктив- но-методическое занятие с сотрудниками предприятия, где до их внимания доводится утвержденный перечень сведений, относящихся к коммерческой тайне предприятия и юридическая ответственность за неправомерные действия с конфиденциальной информацией (УК РФ 1997 г.) с подписанием договорного обязательства о неразглашении коммерческой тайны.
В результате будет создана правовая база на предприятии, на основании которой можно проводить и разъяснительно-воспитательную работу с сотрудниками предприятия о соблюдении мер по обеспече- нию сохранности конфиденциальной информации. Это важно, поскольку на сегодняшний день утечка конфиденциальной информации по вине сотрудников занимает первое место и составляет около 43%.
Следующий этап работы службы защиты информации заключается
âтом, чтобы разобраться с объектами предприятия, где обрабатывается конфиденциальная информация. Для этого необходимо уточнить, имеется ли утвержденный перечень выделенных помещений и объектов вычислительной техники, где обрабатывается конфиденциальная информация. Если такого перечня нет, то его необходимо разработать. После того как перечень объектов будет разработан и утвержден, уточняется, было ли проведено спецобследование и аттестация выделенных помещений и объектов вычислительной техники. Объекты, прошедшие спецобследование и аттестацию, должны иметь соответственно акты спецобследования и аттестаты соответствия. При этом необходимо учесть, что ПЭВМ на объектах вычислительной техники должны пройти специсследование и спецпроверку и иметь соответственно акты специсследования и протоколы спецпроверки. Также следует иметь
âвиду, что спецобследование объектов можно проводить своими силами (то есть созданной приказом руководителя комиссией по проведению спецобследования, при наличии подготовленных специалистов), а специсследование и спецпроверку ПЭВМ и аттестацию объектов проводят только организации, имеющие лицензии на право деятельности в этой области. Спецобследование и аттестация объектов проводится периодически.
44
Главным промежуточным результатом проектирования системы защиты информации является выделение из всей массы сведений, которыми располагает предприятие информационных компонентов, подлежащих защите.
Задачи группы режима в этой части заключаются в подготовке списков лиц, имеющих право и соответствующую подготовку для участия
âсоставлении Перечня сведений, составляющих коммерческую тайну. Специалисты изучают все аспекты деятельности предприятия, составляют проект Перечня. Группа режима готовит к утверждению обобщенный вариант. После его утверждения руководством с ним незамедлительно знакомят пользователей информацией.
При составлении Перечня целесообразно провести исследование,
âходе которого выясняются следующие вопросы:
–какие документы и материалы проходят через того или иного сотрудника;
–какие сведения содержатся в этих документах, возможные последствия их разглашения (моделирование ситуаций);
–какие технологические операции с этими документами совершает сотрудник;
–где и в каком виде хранятся эти документы.
Полученные результаты сводятся в таблицу, на основании которой формируются:
–перечень сведений, составляющих коммерческую тайну;
–персональный уровень доступа к этим сведениям;
–номенклатура дел закрытого делопроизводства.
Организация конфиденциального делопроизводства основывается на внутренней утвержденной инструкции предприятия.
Инструкции должны содержать нормы:
–по подготовке исходящих и приему входящих документов и корреспонденции;
–по хранению, учету, копированию и уничтожению документов и материалов;
–определяющие перемещение и режим использования документов и материалов;
–закрепляющие обязанности сотрудников, допущенных к работе с информацией ограниченного доступа;
–условия, соблюдения которых необходимо для сохранности документов и материалов;
–фиксирующие стандартную номенклатуру дел и журналов учета закрытого делопроизводства;
–по контролю соблюдения правил обращения с документами и материалами, и проверкам их наличия.
45
Закрытоеделопроизводствоведетсяспециализированнымисекциями группырежима.Секциятакжеотвечаетзацентрализованноекопирование, изготовлениенеобходимыхобъемовконфиденциальныхдокументов.Ознакомлениедолжностныхлицсдокументальнойинформациейограниченногодоступа производится только через секцию делопроизводства.
На группу режима возлагаются обязанности по организации пропускного режима на территорию предприятия и селективного (распределенного) доступа должностных лиц в отдельные здания, корпуса, закрытые территориальные зоны, этажи и прочие подконтрольные места. Для этих целей в составе группы формируется бюро пропусков, которое обеспечивает контрольно-пропускные пункты (КПП) и посты необходимыми пропусками на лиц и автотранспорт различных категорий. Бюро разрабатывает для КПП руководящие документы, организующие их работу. Руководство работой КПП осуществляет группа охраны. По вопросам пропускного режима между группами режима и охраны организуется взаимодействие.
И наконец, деятельность группы режима связана с контролем выполнения требований руководящих документов, находящихся в сфере ее компетенции. Контроль осуществляется по двум основным направлениям: систематические проверки наличия носителей защищаемых данных, включая хранимые у должностных лиц и руководящего состава, и проверки выполнения правил и норм режимного обеспечения сотрудниками при использовании закрытой информации. По результатам проверок составляются акты, отчеты, справки, которые докладываются руководству предприятия, принимаются меры воспитательного, профилактического (разъяснительного) и дисциплинарного характера.
Собранные данные не являются информацией до тех пор, пока они не проанализированы и интерпретированы квалифицированным экспертом. Качество анализа и интерпретация в большей степени зависят от профессиональной принадлежности аналитика. В производственнокоммерческом предприятии это означает, что наиболее подходящим лицом для интерпретации определенной информации является человек, обладающий ответственностью в соответствующей функциональной области (производство, менеджмент, маркетинг, финансы). Практи- чески целесообразно иметь централизованный центр обработки информации - во многих случаях для начала бывает достаточно одного человека.Несмотрянато,чтосистемабазируетсянаофициальныхисточ- никах, всегда следует анализировать информацию о конкуренте на предмет достоверности и надежности как ее источника, так и содержания.
При распространении анализированной информации следует установить правила ее распространения, с тем, чтобы обеспечить необходимую осторожность, но и не отказывать в информации тем, кто в ней нуждается.
46
С точки зрения эффективности обеспечения запросов всех функциональных подразделений рекомендуемая аналитическая группа должна быть автономной и централизована в рамках определенного направления производственно-коммерческой деятельности. При большой диверсификации (разнообразии) производства информационно-анали- тической службы может быть до некоторой степени децентрализована.
Для успеха любой программы необходимо, чтобы был человек, отвечающий за координацию всей поисково-аналитической деятельности. Когда определены права и обязанности службы, можно начать ее деятельность с ответов на приведенные ниже вопросы.
Какая информация требуется? (Ответ на вопрос требует точности; перечислите типы важных сведений; будьте реалистичны в своей потребности в информации.)
Как следует получать информацию? (Оцените все потенциальные источники требуемой информации.)
Что обеспечивает надежность информации? (Обеспечьте уча- стие в ее поиске других подразделений предприятия, многие отделы не способны осознавать свой вклад в оценку внешнего окружения.)
Как организовать информацию? (Существует много способов организации информации. Доказана оправданность ведения архивов
èбаз данных на важных конкурентов, которые могут подразделяться на секции по основным категориям информации: маркетинг, продукт, производственные мощности, организация и финансы, сильные и слабые стороны, возможные стратегии и пр.).
Руководитель сам определяет политику и направления использования данных о внешнем окружении. Однако руководитель должен быть в курсе общей политики, и в начальном периоде следует у каждого запросить описание их политики использования этих данных в своей области.
При развитии и реализации системы информационной безопасности необходимо придерживаться определенной базовой политики. Ниже приводится возможный вариант такой политики.
Совершенно обязательно определить и разъяснить роль и сферу ответственности каждого участника. Это нужно как для того, чтобы очертитьразведывательные(аналитическиеролитехработниковорганизаций, кто раньше их не осознавал, так и для того, чтобы сдерживать рвение тех,когомогутраскрытьвпоисково-аналитическойдеятельности).
Отдел финансов. Изучает материалы по делам государственных
èместных учреждений, ведающих вопросами финансового состояния конкурентов.
Отдел маркетинга. Обеспечивает оценку рыночных сил, влияющих на поведение конкурентов.
47
Отдел производственных отношений. Беседует с теми поступающими на работу, кто имел дело с конкурентами и другими активными агентамирынка,поддерживаетконтактысагентствамипонаймурабочейсилы.
Производственный отдел. Поддерживает контакты с поставщиками оборудования и транспортными организациями.
Отдел снабжения. Посещает собрания агентов по закупкам, поддерживает контакты с поставщиками сырья.
Технический отдел. Определяет себестоимость продукции и следит за технической литературой.
Исследовательский отдел. Следит за патентами и результатами лабораторных испытаний.
Администрация предприятия. Поддерживает контакты с управляющими в своей отрасли (избегая бесед о ценах и издержках), поддерживает связи с торговой прессой и торговыми ассоциациями.
Таким образом, нагрузка поисково-аналитической работы может быть распределена по всему предприятию, причем достигается очевидное преимущество: создается всеобъемлющая система, значительно превосходящая возможности аналитической группы из нескольких человек.
3.6. Ресурсное обеспечение защиты информации
Для полноценной деятельности службы защиты информации предприятия необходимы следующие виды ресурсов:
финансовые – для закупки средств защиты информации, вспомогательногооборудования,капитальногостроительства,ремонтасредствзащиты и оборудования, оплаты сотрудников, для покрытия других затрат;
материальные – представляют некоторые объекты финансовых вложений, и поэтому тесно взаимоувязаны с первым видом ресурсного обеспечения, а именно к ним можно отнести стройматериалы, мебель, сейфы, запасные части и инструменты и некоторые другие;
технические – аппаратные средства защиты информации, техни- ческие средства охраны и контроля, автотранспорт, автономные источ- ники питания и прочие;
энергетические–потребляемыеобъемыэлектроэнергии,горюче-сма- зочныематериалыдляавтотранспортаиавтономныхисточниковпитания; информационные – к этому классу ресурсов можно отнести программные продукты, нормативно-методическую, специальную литературу, электронные базы данных, знания специалистов, необходимые
для эффективного выполнения функций защиты; временные – заключаются во временных затратах на выполне-
ние тех или иных процедур защиты, анализ временных ресурсов активно используется при создании организационно-штатных проектов
48
службы защиты информации, в которых учитывается общий временнойобъемпроцессазащиты,относительностандартизированногообъема, реализуемого одним сотрудником;
пространственные – необходимы для обеспечения контролируемых зон вокруг объектов ТСПИ, информационных коммуникаций, размещения средств и технологических участков защиты данных, создания импликативных зон защиты.
Достаточно очевидно, что главным видом ресурсного обеспе- чения является финансовое. С помощью его можно решать задачи всех остальных ресурсных вложений. Поэтому, подчеркнем важность оценки проекта системы защиты по критерию «стоимость информации – стоимость защиты», то есть проект системы защиты не должен быть дороже самой информации.
ЗАКЛЮЧЕНИЕ
Мы рассмотрели структуру и основы функционирования службы защиты информации предприятия. Однако, обеспечение защиты информации для каждого конкретного случая является сугубо индивидуальным, т.к. имеются специфические особенности каждого объекта защиты. Выявление этих особенностей является сложной задачей, как при разработке конкретной концепции, так и построения и эксплуатации системы защиты информации. Здесь необходима помощь опытных специалистов.
Это объясняется тем, что любое нарушение безопасности обусловлено тремя основными причинами:
1) недооценкой степени риска; 2)наличиемнештатныхситуаций,которымиможетвоспользоватьсязло-
умышленник(стандартностьмышленияразработчиковсистемызащиты); 3) неблагоприятными внешними или внутренними условиями, а так-
жеихсозданиезлоумышленникомдляинициациинештатныхситуаций.
49
Рекомендуемая литература
1.Безопасность информационных технологий // Вып. 2, 1994. С. 17.
2.Бабец О.А. Опыт военной разведки на службе в коммерческой фирме. – М.: Харвест, 2004.
3.Доронин А.И. Бизнес-разведка. – М.: Ось-98, 2004.
4.Домарев В.В. Безопасность информационных технологий. – М.: DiaSoft, 2004. С. 215.
5.Журавлев С.Ю. Частная охрана. Сер. Тайны воинских искусств. Кн. 10. – М.: Оздоровительный научно-информационный центр «Здоровье народа», 1994.
6.КозловС.Б.,ИвановЕ.В.Предпринимательствоибезопасность.–М.: Универсум, 1991. Т. 2–3.
7.КрысинА.В.Безопасностьпредпринимательскойдеятельности.–М.: Финансы и статистика, 1996.
8.Принципы безопасности банкаибанковского бизнеса в России. – М.: Банковский Деловой Центр, 1997.
9.Шаваев А.Г. Криминологическая безопасность негосударственных объектов экономики. – М.: Инфра-М, 1995.
10.Шкафиц К.А. Руководство по информационной безопасности
èзащите информации для больших боссов. – М.: Managerpress, 2005 .
11.Ярочкин В.И., Халяпин Д.В. Основы защиты информации. Служба безопасности предприятия. – М.: ИПКИР, 1993.
50