Текст лекції
з дисципліни: «Організація та управління службою захисту інформації»
Тема «Принципи управління службою безпеки підприємства»
Лекція «Принципи управління службою безпеки підприємства»
План проведення заняття
Навчальні питання і розподіл часу
Вступ |
1. Система керування (найменування першого питання) |
|
|
|
2. Функція планування (найменування другого питання) |
3. Функція організації (найменування третього питання) |
Контрольні запитання. |
Система керування
Така система складається із суб'єкта, об'єкта керування, їх прямих і зворотній зв'язках. Суб'єктом керування службою безпеки виступають керівник підприємства, рада безпеки підприємства і начальник служби безпеки. Успішно виконувати свої завдання ці суб'єкти можуть тільки в тому випадку, якщо компетенція кожного з них буде строго визначена в правових актах таким чином, щоб уникати не підпорядкування та дублювання функцій і повноважень. Якщо ці моменти в повному обсязі враховано, то можна говорити про сформовану підсистему керування.
Об'єктом керування (керованою підсистемою) у службі безпеки виступають її окремі співробітники й підрозділи. Оптимальним є розподіл служби безпеки на три підрозділи: підрозділ безпеки зовнішньої діяльності, охорона та захист інформації.
Об'єкт керування з'єднанується із суб'єктом керування каналами прямого і зворотного зв'язку. По каналу прямого зв'язку інформація у вигляді управлінських рішень надходить від суб'єкта керування до об'єкта, а по каналах зворотного зв'язку - у зворотному напрямку, сигналізуючи про стан об'єкта керування, його реакцію на управлінські директиви.
Сам управлінський вплив, у свою чергу, реалізується у формі таких функцій керування, як прогнозування, планування, організація, регулювання, мотивація й контроль. У системі керування всі ці функції об'єднані в цілісний процес, але з методичних міркувань доцільно розглядати їх окремо. Розглянемо вищевказані функції з урахуванням специфіки діяльності служби безпеки.
Прогнозування припускає складання висновку (прогнозу) про майбутню подію, тенденцію розвитку служби безпеки. Прогнозні оцінки бувають оперативними (з попередженням події не більше одного місяця), короткостроковими (від 1 місяця до 1 року), середньостроковими (від 1 року до 5 років). Складаються вони як залученими сторонніми спеціалістами, так і співробітниками служби безпеки.
Функція планування
Планування припускає визначення цілей, завдань служб безпеки на майбутній період діяльності, засобів і часу на їх досягнення. Найпоширенішими в діяльності служб безпеки є комплексні й спеціальні плани.
Комплексні плани охоплюють всі сфери діяльності служби безпеки і містять у собі, як правило, такі розділи, як організаційні питання, забезпечення всіх видів безпеки підприємства (у рамках компетенції служби безпеки), робота з кадрами, ресурсне забезпечення, контроль і т.ін.
Комплексний план включає у себе:
Завдання служби безпеки.
Оцінку обстановки:
положення на ринку послуг;
основні угруповання сил конкурентів, злочинних елементів (їхня побудова, методи дій, можливості);
основна загроза фірмі;
сили СБ підприємства, її склад та можливості;
особливості ситуації в країні, місті (місцях дислокації фірми) і її вплив на ринок послуг.
Завдання, що вирішують служби безпеки сусідніх підприємств в інтересах фірми.
Вказівки щодо взаємодії із МВС та іншими правоохоронними органами.
Організація розгортання й посилення сил СБ підприємства, технічне й матеріальне забезпечення їхньої діяльності.
Вказівка (план) по організації керування силами СБ підприємства в екстремальних ситуаціях.
Строки готовності сил до виконання функціональних обов'язків у повному обсязі.
Спеціальні плани розробляються на випадок виникнення надзвичайних подій і надзвичайних ситуацій (нападу на об'єкт, загроза вибуху бомби, захват заручників, повінь, пожежа й т.ін.).
Зрозуміло , структура таких планів повинна бути різною за умови адекватного реагування на ці події.
Перелічені об'єктивні фактори або мета інформаційної безпеки забезпечуються за рахунок виконання наступних механізмів та принципів:
політика – набір формальних (офіційно затверджених або традиційно складених) правил, які регламентують функціонування механізму інформаційної безпеки;
ідентифікація – визначення (розпізнавання) кожного учасника процесу інформаційної взаємодії перед тим, як до нього будуть застосовані всілякі поняття інформаційної безпеки;
аутентифікація – забезпечення впевненості в тому, що учасника процесу обміну інформацією ідентифіковано вірно, а саме дійсно є тим, чий ідентифікатор він пред’явив;
контроль доступу – створення та підтримка пакета правил, які визначають для кожного учасника процесу інформаційного обміну дозвіл на доступ до ресурсів та рівень цього доступу;
авторизація – формування профілю прав для конкретного учасника процесу інформаційного обміну ( аутентифікованого або анонімного) із пакета правил контролю доступу;
аудит та моніторинг – регулярне відслідкування подій, що проходять в процесі обміну інформацією з регістрацією та аналізом передбачених значимих або підозрілих подій. Поняття “аудит” і “моніторинг” при цьому декілька відрізняються одне від одного, оскільки перше припускає аналіз подій постфактум, а друге наближено до режиму реального часу;
реагування на інциденти - сукупність процедур та міроприємств, які виконуються при порушенні або підозрі на порушення інформаційної безпеки;
управління конфігурацією – створення та підтримання функціонування середовища інформаційного обміну в працездатному стані і в відповідності до вимог інформаційної безпеки;
управління користувачами – забезпечення умов роботи користувача в середовищі інформаційного обміну у відповідності до вимог інформаційної безпеки. У даному випадку під користувача підпадають всі, хто використовує задане інформаційне середовище, у тому числі і адміністратори;
управління ризиками – забезпечення відповідності можливих втрат від порушення інформаційної безпеки потужності захисних засобів (тобто затрати на їх побудову);
забезпечення стійкості – підтримка середовища інформаційного обміну в мінімально припустимому працездатному стані відповідно вимог інформаційної безпеки в умовах деструктивних зовнішніх або внутрішніх впливів.
Таким чином перелічені принципи за рахунок яких досягається мета інформаційної безпеки. В деяких джерелах перелічені принципи, наприклад, аутентифікація, переноситься до мети. Разом з тим, аутентифікація сама по собі не може бути метою інформаційної безпеки, оскільки вона є лише методом визначення учасника інформаційного обміну для того, щоб надалі визначити, яка, наприклад, політика у відношенні конфіденційності або доступності повинна бути застосована для конкретного учасника.