- •Введение
- •1. Организационное обеспечение информационной безопасности
- •1.1. Методы, обеспечивающие безопасность информации
- •1.2. Проблема информационной безопасности
- •1.3. Основные составляющие информационной безопасности
- •1.4. Информация конфиденциального характера
- •1.5. Стратегия информационной безопасности и её цели
- •1.6. Административный уровень информационной безопасности
- •2. Концептуальные положения организационного обеспечения информационной безопасности
- •2.1. Концепции национальной безопасности рф
- •3. Угрозы информационной безопасности на объекте
- •3.1. Виды угроз безопасности
- •3.2. Модель угроз безопасности Меры защиты
- •3.3. Принципы комплексной системы защиты информации
- •3.4. Система обеспечения информационной безопасности
- •Литература
- •3.5. Предпосылки появления угроз
- •3.6. Угрозы безопасности информации и их классификация
- •4. Организация службы безопасности объекта
- •4.1. Концептуальная модель информационной безопасности
- •5. Концепция информационной безопасности
- •6. Овладение конфиденциальной информацией
- •6.1. Уязвимые места в информационной безопасности
- •6.2. Направления обеспечения информационной безопасности
- •6.3. Задачи службы безопасности предприятия
- •6.4. Концепция создания физической защиты важных объектов
- •7. Организационная структура системы обеспечения информационной безопасности
- •8. Основные мероприятия по созданию и обеспечению функционирования комплексной системы защиты
- •9. Система организационно-распорядительных документов по организации комплексной системы защиты информации
- •10. Разработка технико-экономического обоснования создания сфз и комплекса итсо
- •10.1. Правовые основы создания службы безопасности
- •10.2. Структура службы экономической безопасности
- •11. Технология защиты от угроз экономической безопасности
- •11.1. Служба безопасности и проверка контрагентов
- •12 . Подбор сотрудников и работа с кадрами
- •12.1. Обеспечение безопасности коммерческих структур
- •12.2. Организация внутриобъектового режима
- •13. Требования и рекомендации по защите информации
- •13.1. Требования по технической защите информации
- •14. Организация охраны объектов
- •14.1. Контрольно-пропускной режим на предприятии
- •14.2. Подготовка исходных данных
- •14.3. Оборудование пропускных пунктов
- •14.4. Организация пропускного режима
- •15. Организационно-правовые способы нарушения безопасности информации
- •15.1. Цель и задачи защиты информации
- •15.2. Основные направления деятельности по защите информации
- •15.3. Основы организации защиты информации
- •16. Система защиты информации и ее задачи
- •16.1. Организационная система защиты информации
- •1) Координационный Совет по защите информации при полномочном представителе Президента Российской Федерации.
- •2) Управление Государственной технической комиссии при Президенте Российской Федерации.
- •17. Государственная политика и общее руководство деятельностью по защите информации
- •17.1. Направления формирования системы защиты информации
- •17.2. Этапы реализации концепции защиты информации
- •17.3. Финансирование мероприятий по защите информации
- •17.4. Результаты реализации концепции защиты информации
- •Контрольные вопросы к экзамену
- •Стандартизованные термины и их определения
- •1. Основные понятия
- •2. Организация защиты информации
- •Информационное законодательство рф
- •Библиографический список
- •Организационное обеспечение информационной безопасности
- •6 80021, Г. Хабаровск, ул. Серышева, 47.
- •Л.П. Березюк
- •Учебное пособие Хабаровск
3.4. Система обеспечения информационной безопасности
Ключевые системы информационной инфраструктуры.
Как видно из вышесказанного, для нейтрализации угроз информационной безопасности ИТКС необходимо в первую очередь ликвидировать существующие уязвимости в системе и предотвратить появление новых.
Выполнение данной задачи решается созданием системы обеспечения информационной безопасности, которая представляет собой механизм по реализации приемов и способов по защите информации в ИТКС путем скоординированной деятельности элементов этой системы.
Создание системы предполагает комплексный поэтапный подход к ее построению. Такой подход предусматривает создание защищенной среды для информации и технологий, объединяющей разнородные меры противодействия угрозам: правовые, организационные, программно-технические, проводимые во время всех без исключения этапов создания и работы системы. Указанные меры, объединенные наиболее рациональным способом в единый целостный механизм позволяют гарантировать в рамках реализуемой политики безопасности определенный уровень защищенности ИТКС. Необходимость комплексного подхода для создания эффективной защиты обуславливается еще и тем, что не существует универсального способа защиты от какого-либо вида угроз. Причем наиболее эффективной защитой будет служить многоуровневая система интегрированных технологий, которая позволяет реагировать заблаговременно, а не постфактум.
Создание системы обеспечения информационной безопасности наиболее целесообразно рассматривать одновременно с созданием ИТКС.
При этом рекомендуется различать следующие стадии:
а) предпроектная стадия, включающая предпроектное обследование создаваемой ИТКС, разработку аналитического обоснования необходимости создания системы защиты и технического (частного технического) задания на ее создание;
б) стадия проектирования (разработки проектов), включающая разработку средств защиты в составе ИТКС;
в) стадия ввода в эксплуатацию системы обеспечения информационной безопасности, включающая ее опытную эксплуатацию и приемо-сдаточные испытания, а также аттестацию на соответствие требованиям безопасности информации.
На самой первой, предпроектной стадии, выполняются в основном организационные мероприятия, а именно:
а) производится классификации информации с точки зрения требований безопасности;
б) определяются (уточняются) угрозы безопасности информации и модель вероятного нарушителя применительно к конкретным условиям функционирования объекта, производится оценка рисков;
в) определяются конфигурация и топология ИТКС в целом и их отдельных компонентов, физические, функциональные и технологические связи как внутри системы, так и вне ее;
г) определяются технические средства и системы, предполагаемые к использованию в разрабатываемой системе, условия их расположения, общесистемные и прикладные программные средства, имеющиеся на рынке и предлагаемые к разработке;
д) привлекаются специалисты для проведения работ по проектированию и наладке системы
е) определяются режимы обработки информации на ИТКС в целом, в разрабатываемой системе и ее отдельных компонентах;
ж) производится категорирование системы;
з) определяется степень участия персонала в обработке (обсуждении, передаче, хранении) информации, характер их взаимодействия между собой и со службой безопасности;
и) определяются мероприятия по обеспечению конфиденциальности информации на этапе проектирования системы.
В результате проведения данных мероприятий можно не только выявить и проанализировать возможные пути реализации угроз безопасности, но и оценить вероятность и ущерб от их реализации, а также провести силами специалистов оценку материальных, трудовых и финансовых затрат на разработку и внедрение средств защиты, ориентировочные сроки разработки и внедрения средств защиты.
Следующая стадия – проектирования и разработки средств защиты в составе ИТКС.
На этом этапе осуществляются такие мероприятия, как:
а) строительно-монтажные работы в соответствии с проектной документацией, утвержденной заказчиком, размещением и монтажом технических средств и систем;
б) разработка организационно-технических мероприятий по защите информации в соответствии с предъявляемыми требованиями;
в) закупка сертифицированных образцов и серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации, либо их сертификация;
г) закупка сертифицированных технических, программных и программно-технических средств защиты и их установка;
д) обеспечение участия специалистов в работе по проектированию системы, при необходимости – их обучение;
е) разработка (доработка) или закупка и последующая сертификация по требованиям безопасности информации средств защиты в случае, когда на рынке отсутствуют требуемые сертифицированные программные средства;
ж) организация охраны и физической защиты объекта;
з) разработка и реализация разрешительной системы доступа пользователей и эксплуатационного персонала к обрабатываемой информации;
и) определение заказчиком подразделений и лиц, ответственных за эксплуатацию средств защиты, обучение назначенных лиц специфике работ по защите информации на стадии эксплуатации системы;
к) разработка эксплуатационной документации на средства защиты, а также организационно-распорядительной документации по информационной безопасности (приказов, инструкций и других документов);
л) выполнение инсталляции прикладных программ в комплексе с программными средствами защиты информации;
м) выполнение других мероприятий, специфичных для конкретных объектов информатизации и направлений защиты информации.
На данном этапе большое значение будет иметь разработка организационно-распорядительных документов, дающих необходимую правовую базу формируемым службам безопасности и подразделениям по защите информации для проведения всего спектра защитных мероприятий, взаимодействия с внешними организациями, привлечения к ответственности нарушителей и т. п. К числу таких документов можно отнести Концепцию информационной безопасности, руководство по защите информации, должностные инструкции, положение о категорировании ресурсов ИТКС, разделы в положениях об отделах и подразделениях, затрагивающие вопросы информационной безопасности и пр.
На стадии ввода в эксплуатацию системы необходимо предусмотреть выполнение следующих мероприятий:
а) опытную эксплуатацию средств защиты в комплексе с другими техническими и программными средствами системы в целях проверки их работоспособности в составе ИТКС и отработки технологического процесса обработки (передачи) информации;
б) приемо-сдаточные испытания системы обеспечения информационной безопасности;
в) подбор кадров, расстановку, обучение и переподготовку имеющегося персонала;
г) аттестацию системы по требованиям безопасности информации.
На данном этапе дается общая оценка проведенным работам, а также определяются необходимость проведения дополнительных работ по совершенствованию системы в случае обнаружения возможных неполадок и недоработок. Только после всего этого выполнения проводится аттестация системы. Одновременно с этими работами проводится подбор, распределение специалистов, уточнение должностных обязанностей. При необходимости осуществляется повышение квалификации и обучение сотрудников.
В процессе эксплуатации ИТКС необходимо обеспечить надежность и эффективность функционирования системы обеспечения информационной безопасности.
Поэтому, на данном этапе должны выполняться следующие мероприятия:
а) анализ ИТКС и технологии обработки информации с учетом изменений обстановки;
б) переработка и обновление разработанной на предыдущих этапах документации планирование проведения мероприятий по защите информации в соответствии с выводами из анализа;
б) обучение и переподготовка персонала и пользователей ИТКС;
в) соблюдение режима ограничения и разграничения доступа к информации, контроль выполнения установленных правил работы в ИТКС;
д) оценка эффективности функционирования и совершенствование системы, обновление и доработка имеющихся программных и аппаратных средств защиты, замена их на более совершенные.
При выполнении данных мероприятий необходимо особое внимание уделять таким вопросам, как переподготовка и повышение квалификации кадров, выбор процессов и технологий, а также проведение постоянного мониторинга обстановки в области информационной безопасности. Такое положение дел обуславливается тем, что технология обработки информации постоянно меняется, изменяются программные и аппаратные средства, приходит и уходит персонал. В связи с этим необходимо периодически пересматривать разработанные организационно-распорядительные документы, проводить обследование ИТКС или ее подсистем, обучать новый персонал, обновлять средства защиты.
Способность ИТКС противостоять возможным воздействиям на ее информационные ресурсы напрямую зависит от полноты и качества выполнения всех вышеуказанных мероприятий по построению системы обеспечения информационной безопасности. Такая система позволит уменьшить, а во многих случаях и полностью предотвратить, возможный ущерб от атак на компоненты и ресурсы ИТКС, существенно снизить риск неожиданного вторжения, повысить способность поддерживать непрерывность нормального процесса жизнедеятельности и подготовить ИТКС к решению меняющихся задач, т. е. достичь необходимого и достаточного уровня защищенности системы.
Необходимый уровень защиты информации устанавливается собственником информационных ресурсов или уполномоченным лицом в соответствии с действующим законодательством. Однако, в каждом конкретном случае перечень мер защиты, принимаемых для достижения установленного уровня, определяется дифференцировано по результатам обследования ИТКС, с учетом соотношения затрат на организацию защиты информации и величины ущерба, который может быть нанесен собственнику информационных ресурсов. Согласно оценкам специалистов, затраты на средства защиты информации в ИТКС, обрабатывающих конфиденциальную информацию или содержащую коммерческую тайну, должны составлять до 10% от стоимости самой системы, для систем, обрабатывающих сведения, составляющие государственную тайну, – от 15 до 35%. Наиболее затратную и трудоемкую часть работы составляют мероприятия по организации технической защиты информации. Причем, как показывает практика, большую часть статьи расходов по защите информации составляют затраты на программно-техническую составляющую системы обеспечения информационной безопасности.
Вместе с тем, планируя мероприятия по защите информации необходимо исходить не только из вопросов рентабельности, следует также провести анализ возможных социальных последствий воздействий на информацию, циркулирующую в данной системе. ИТКС, или один из ее сегментов может принимать участие в обеспечении функционирования объекта, на котором имеется экологически опасное или социально значимое производство или технологический процесс, нарушение штатного режима работы которого, может привести к чрезвычайной ситуации определенного уровня и масштаба, а также осуществлять управление чувствительными (важными) для государства процессами, нарушение функционирования которыми приводит к значительным негативным последствиям для страны в экономической внутриполитической, социальной, информационной и других сферах. Все это говорит о том, что такие ИТКС следует рассматривать как ключевые системы информационной инфраструктуры. В зависимости от оценки возможных последствий воздействий на них, а также исходя из назначения системы, принадлежности ее к тем или иным важным сегментам информационной и телекоммуникационной инфраструктуры России необходимо проводить градацию ключевых систем информационной инфраструктуры по степени важности.