Факторы определяющие конкретную структуру службы защиты информации

lib.kreatiffchik.ru

Каталог научных материалов

Место и роль информационной безопасности в комплексной системе защиты предпринимательской деятельности

Подход к объектам исследования как к системам выражает одну из главных особенностей современного научного познания. Для определения места и роли системы информационной безопасности (СИБ) в составе системы управления предприятием, а также выявления особенностей влияния СИБ на организацию производства и управления предприятием, рассмотрим предприятие с позиций системного подхода.

Системный подход – методология исследования сложных объектов как объединений элементов, связанных комплексом отношений друг с другом и выступающих единым целым по отношению к внешней среде. Основной задачей системного подхода является синтез, включающий проектирование систем и организацию процессов, предназначенных для достижения определенных целей и оптимальных по выбранному критерию.[5]

С середины прошлого века под воздействием различных теоретических подходов к управлению организацией (теория принятия решений и количественный подход, системный и ситуационный подходы, теории стратегии, инноваций и лидерства) сформировались представления о ней, как открытой системе в единстве факторов внутренней и внешней среды, ориентированной на удовлетворение потребителей, в которой главными источниками прибыли выступают люди, обладающие знаниями, а также условия для реализации человеческого потенциала.

В современной науке предприятие рассматривается как открытая, саморегулирующаяся система, состоящая из подсистем и элементов, взаимодействующих между собою и внешней средой, и управляемых в целях получения конечного продукта [6, 7, 8].

Внутренняя среда организации характеризуется внутренними переменными, которые в основном являются результатом управленческих решений. Это – цели, структура, задачи, технологии и люди. Внешняя информационная среда организации делится на среду прямого воздействия и косвенного воздействия, характеризуется сложностью, подвижностью и неопределенностью. [5]

Первичным звеном системы является элемент, представляющий собой объект, не поддающийся дальнейшему делению на части. Элементы могут рассматриваться как простые системы, которые в данной взаимосвязи и на данном уровне исследований не разделяются на подсистемы. Элементами могут выступать не только материальные объекты, но и производственные процессы, функции и т.д. Для решения возложенных на предприятие задач оно осущест­вляет самоорганизацию и выделяет в своем составе подсистемы, в рамках которых осуществляются определенные виды деятель­ности.

Кроме того, организация рассматривается как система процессов, представляющих собой совокупность действий, направленных на преобразование ресурсов в результаты (продукция, услуги). При самом общем подходе все ключевые процессы в организации можно разделить на информационные процессы и процессы, носящие материально-вещественный характер. Другой подход к классификации процессов базируется на их роли в создании новых ценностей, в соответствии с ним, выделяются следующие процессы:

1) основные (связанные с производством и обеспечивающие жизнедеятельность организации);

2) обеспечивающие (поддерживающие основные процессы с позиций их непрерывности и экономичности);

3) управленческие (формирующие условия и использующие факторы, необходимые для достижения целей организации) [6].

Существует множество классификаций элементов и подсистем организации по различным критериям. Так, исходя из классификации по содержанию, в производственной системе предприятия можно выделить следующие подсистемы:

1) социальную (комплекс отношений между людьми);

2) производственно-техническую (материальные средства: комплекс машин и оборудования, материалов, инструментов, энергии);

3) информационную (информационные элементы и их взаимосвязи).

Сущность функционирования системы в данном случае сводится к движению информации, энергии и материалов, связан­ному с переработкой определенных входов (например, материалы, информация, инструменты, финансовые средства) для получения желаемых выходов (готовые изделия, услуги, информация, прибыль). [8]

Исходя из классификации элементов по содержанию управления, производственная система состоит из управляющей подсистемы (совокупности взаимосвязанных методов управления для обеспечения эффективного функционирования производства, реализуемых, в том числе, с помощью технических средств), и управляемой подсистемы (совокупности производственных процессов, реализация которых обеспечивает изготовление продукции и выполнение услуг) и соединенных между собой каналами передачи информации.

Наукой об организации производства предприятие рассматривается комплексно, во взаимосвязи всех аспектов, где исследуется сочетание его элементов и методы совершенствования управления предприятием как единого целого. В качестве объекта настоящего исследования выступает информационная безопасность, которая рассматривается и как область научных исследований, и как сфера практической деятельности. Под информационной безопасностью понимается «состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства». [1, 2]

Информационная безопасность является одним из важнейших аспектов общей безопасности, на каком бы уровне мы ее ни рассматривали – национальном, отраслевом, корпоративном или персональном. В данном случае информационную безопасность рассматривается на корпоративном уровне, поскольку она как подсистема входит в комплексную систему безопасности предприятия. В то же время сама информационная безопасность может рассматриваться как система и структурно включать в себя следующие подсистемы:

– организационно-правовую защиту информации;

– инженерно-техническую защиту информации;

– программно-аппаратную защиту информации;

– физическую защиту информации;

– защиту информации в сетях и системах.

Необходимость применения системного подхода к организации информационной безопасности предпринимательской деятельности связана с тем, что защита информации является составной и неразрывной частью общей системы обеспечения безопасности рассматриваемой деятельности, в том числе в экономических, политических, социальных и других аспектах. Прежде всего, следует осознавать, что защита информации имеет самостоятельное значение лишь относительно, поскольку она призвана обеспечивать эффективное функционирование экономической системы (предприятия), и потому охватывает и вовлекает в свою сферу различные элементы, связанные не случайными, а устойчивыми, влияющими друг на друга и зависящими друг от друга связями [4]. Разобраться во всем многообразии этих связей можно тогда, когда используется системный подход в организации информационной безопасности предпринимательской деятельности.

Любая система защиты информации имеет свои особенности и в то же время должна отвечать общим требованиям, среди которых выделяются следующие:

  1. Во-первых, система защиты информации должна быть представлена как нечто целое. Целостность системы будет выражаться в наличии единой цели ее функционирования, информационных связей между элементами системы, иерархичности построения подсистемы управления системой защиты информации.
  2. Во-вторых, система защиты информации должна обеспечивать безопасность информации, средств информации и защиту интересов участников информационных отношений.
  3. В-третьих, система защиты информации в целом, методы и средства защиты не должны создавать дополнитель­ных неудобств сотрудникам, и в то же время быть труднодоступными для несанкционированного доступа злоумышленника к защищаемой информации.
  4. В-четвертых, система защиты информации должна обеспечи­вать информационные связи внутри системы между ее элементами для согласованного их функционирования и связи с внешней сре­дой, перед которой система проявляет свою целостность и высту­пает как единое целое.

Система защиты информации включает в себя совокупность элементов, ее образующих, и их свойства. Внутренние связи сис­темы и их свойства составляют архитектуру системы, ее структуру и внутреннюю организацию. Одновременно элементы системы име­ют внешние связи, которые целенаправленно воздействуют на внешнюю среду и решают поставленные перед системой задачи, это – функциональная часть системы. Вполне естественно, что обе части системы – структурная и функциональная – не отделе­ны друг от друга; это как бы две стороны одних и тех же элемен­тов, составляющих систему защиты информации.

Структурная часть системы защиты информации составляет ее внутреннюю организацию, которая позволяет системе нормально функционировать, создает условия для обеспечения безопасности засекреченной информации, ее обращения только по каналам, контролируемым данной системой.

Н.И. Глухов, Е.Ю. Крячко

  1. Доктрина информационной безопасности РФ от 09.09.2000. – № ПР–1895.
  2. Федеральный закон РФ «Об участии в международном информационном обмене» от 04.07.1996. – № 85-ФЗ
  3. Доронин А.И. Аналитическая работа в негосударственных структурах безопасности. – 2000–2003.
  4. Казанцев С.Я., Згадзай О.Э, Оболенский Р.М. Правовое обеспечение информационной безопасности. – М., 2005.
  5. Мескон М.Х., Альберт М., Хедоури Ф. Основы менеджмента. – М., 1992.
  6. Румянцева З.П. Общее управление организацией. Теория и практика. – М.: ИНФРА-М, 2005. – 304 с.
  7. Татарников Е.А. Управление предприятием. – Ростов-на-Дону: Феникс, 2005.
  8. Туровец О.Г., Бухалков М.И., Родинов В.Б. Организация производства и управление предприятием: Учебник. – М.: ИНФРА-М, 2005. – 544 с.

Факторы определяющие конкретную структуру службы защиты информации

ГОСТ Р 53110-2008

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

СИСТЕМА ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СЕТИ СВЯЗИ ОБЩЕГО ПОЛЬЗОВАНИЯ

Information security of the public communications network providing system. General principles

Дата введения 2009-10-01

Цели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря 2002 г. N 184-ФЗ «О техническом регулировании», а правила применения национальных стандартов Российской Федерации — ГОСТ Р 1.0-2004 «Стандартизация в Российской Федерации. Основные положения»

Сведения о стандарте

1 РАЗРАБОТАН Закрытым акционерным обществом «Компания ТрансТелеКом» (ЗАО «Компания ТТК»), Открытым акционерным обществом «Межрегиональный ТранзитТелеком» (ОАО «МТТ»), Федеральным государственным унитарным предприятием «Центральный научно-исследовательский институт связи» (ФГУП «ЦНИИС»), Федеральным государственным учреждением «Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю России» (ФГУ «ГНИИИ ПТЗИ ФСТЭК России»)

2 ВНЕСЕН Управлением технического регулирования и стандартизации Федерального агентства по техническому регулированию и метрологии

Читайте также  Как закрепить огнетушитель в машине?

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 18 декабря 2008 г. N 528-ст

4 ВВЕДЕН ВПЕРВЫЕ

Информация об изменениях к настоящему стандарту публикуется в ежегодно издаваемом информационном указателе «Национальные стандарты», а текст изменений и поправок — в ежемесячно издаваемых информационных указателях «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячно издаваемом информационном указателе «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет

1 Область применения

Настоящий стандарт определяет правовые, организационные и технические направления обеспечения информационной безопасности сетей электросвязи, входящих в состав сети связи общего пользования.

Настоящий стандарт распространяет положения по обеспечению безопасности сетей электросвязи, установленные ГОСТ Р 52448, на систему обеспечения информационной безопасности сети связи общего пользования, определяя ее как комплекс взаимодействующих систем обеспечения информационной безопасности сетей электросвязи, входящих в состав сети связи общего пользования.

Положения настоящего стандарта подлежат применению расположенными на территории Российской Федерации организациями, предприятиями и другими субъектами хозяйственной деятельности независимо от их организационно-правовой формы и формы собственности, имеющими лицензии федерального органа исполнительной власти, уполномоченного в области связи, на предоставление услуг связи.

Положения настоящего стандарта также распространяются на выделенные и технологические сети связи при их присоединении к сети связи общего пользования.

Настоящий стандарт устанавливает общий подход к:

— формированию и проведению в организации связи единой политики информационной безопасности сетей электросвязи;

— принятию управленческих решений по внедрению практических мер, реализующих организационные и функциональные требования безопасности;

— координации деятельности структурных подразделений организации связи при проведении работ по проектированию, построению, реконструкции и эксплуатации сети электросвязи с соблюдением требований безопасности, определяемых федеральными органами исполнительной власти, уполномоченными в областях связи, обеспечения безопасности и технической защиты информации.

Настоящий стандарт не конкретизирует:

— номенклатуру используемых механизмов обеспечения безопасности и средств защиты;

— требования по организации охраны сооружений и линий связи;

— обеспечение сохранности и физической целостности средств связи;

— защиту от стихийных бедствий и сбоев в системе энергоснабжения;

— меры по обеспечению личной безопасности сотрудников организации связи и пользователей услугами связи.

Настоящий стандарт не исключает возможности объединения процессов осуществления физической безопасности и функционирования системы обеспечения информационной безопасности организации связи в единую структуру.

2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты:

ГОСТ Р ИСО/МЭК 17799-2006* Информационная технология. Практические правила управления информационной безопасностью

* Вероятно ошибка оригинала. Следует читать ГОСТ Р ИСО/МЭК 17799-2005. — Примечание изготовителя базы данных.

ГОСТ Р ИСО/МЭК 27001-2006 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования

ГОСТ Р 52448-2005 Защита информации. Обеспечение безопасности сетей электросвязи. Общие положения

ГОСТ Р 53109-2008 Система обеспечения информационной безопасности сети связи общего пользования. Паспорт организации связи по информационной безопасности

Примечание — При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодно издаваемому информационному указателю «Национальные стандарты», который опубликован по состоянию на 1 января текущего года, и по соответствующим ежемесячно издаваемым информационным указателям, опубликованным в текущем году. Если ссылочный стандарт заменен (изменен), то при пользовании настоящим стандартом следует руководствоваться заменяющим (измененным) стандартом. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, применяется в части, не затрагивающей эту ссылку.

3 Термины и определения

В настоящем стандарте применены следующие термины с соответствующими определениями:

3.1 информационная безопасность сети электросвязи: Способность сети электросвязи противостоять преднамеренным и непреднамеренным дестабилизирующим воздействиям (угрозам безопасности) на входящие в состав сети средства и линии связи в процессе приема и передачи, обработки и хранения информации, что может привести к ухудшению качества услуг, предоставляемых сетью электросвязи.

3.2 объект информационной безопасности сети электросвязи: Элемент инфокоммуникационной структуры сети электросвязи (аппаратные, программные, программно-аппаратные средства, информационные ресурсы, услуги, процессы), над которым выполняются действия.

3.3 субъект информационной безопасности сети электросвязи: Лицо или инициируемые от его имени процессы по выполнению действий над объектами информационной безопасности сети электросвязи.

3.4 мониторинг событий информационной безопасности сети электросвязи: Постоянный контроль и действия по наблюдению, получению, хранению, распознанию и анализу информации, связанной с событиями информационной безопасности, выявлению фактов, признаков и причин нарушения установленных требований и объектов/субъектов, с которыми связаны эти нарушения.

3.5 администратор системы обеспечения информационной безопасности сети электросвязи: Субъект инфокоммуникационной структуры сети электросвязи, ответственный за выполнение процессов обеспечения информационной безопасности сети электросвязи.

3.6 система обеспечения информационной безопасности сети (сетей) электросвязи: Совокупность организационно-технической структуры и(или) исполнителей, задействованных в обеспечении информационной безопасности сети (сетей) электросвязи и используемых ими механизмов обеспечения безопасности (средств защиты), взаимодействующая с органами управления сетью (сетями) связи, функционирование которой осуществляется по нормам, правилам и обязательным требованиям, установленным федеральными органами исполнительной власти, уполномоченными в областях связи, обеспечения безопасности и технической защиты информации.

3.7 служба информационной безопасности организации связи: Организационно-техническая структура организации связи, реализующая политику информационной безопасности организации связи и осуществляющая функционирование системы обеспечения информационной безопасности сети (сетей) электросвязи.

4 Сокращения

В настоящем стандарте применены следующие сокращения:

Методы и средства обеспечения информационной безопасности

К методам и средствам защиты информации относят правовые, организационно-технические и экономические мероприятия информационной защиты и меры защиты информации (правовая защита информации, техническая защита информации, защита экономической информации и т.д.).

Они могут представлять отдельные файлы с различной информацией, коллекции файлов, программы и базы данных. В зависимости от этого к ним применяются различные меры, способствующие обеспечению безопасности информационных ресурсов. К основным программно-техническим мерам, применение которых позволяет решать проблемы обеспечения безопасности информационных ресурсов, относят: аутентификацию пользователя и установление его идентичности; управление доступом к базе данных; поддержание целостности данных; протоколирование и аудит; защиту коммуникаций между клиентом и сервером; отражение угроз, специфичных для СУБД и др.

В целях защиты информации в базах данных важнейшими являются следующие аспекты информационной безопасности:

  • доступность — возможность получить некоторую требуемую информационную услугу;
  • целостность — непротиворечивость информации, ее защищённость от разрушения и несанкционированного изменения;
  • конфиденциальность — защита от несанкционированного прочтения.

Эти аспекты являются основополагающими для любого программно-технического обеспечения, предназначенного для создания условий безопасного функционирования данных в компьютерах и компьютерных информационных сетях.

Контроль доступа представляет собой процесс защиты данных и программ от их использования объектами, не имеющими на это права.

Одним из наиболее известных способов защиты информации является ее кодирование (шифрование, криптография).

Криптография — это система изменения информации (кодирования, шифрования) с целью ее защиты от несанкционированных воздействий, а также обеспечения достоверности передаваемых данных.

Код характеризуется: длиной — числом знаков, используемых при кодировании, и структурой — порядком расположения символов, обозначающих классификационный признак.

Средством кодирования служит таблица соответствия. Примером такой таблицы для перевода алфавитно-цифровой информации в компьютерные коды является кодовая таблица ASCII .

Для шифрования информации все чаще используют криптографические методы ее защиты.

Криптографические методы защиты информации содержат комплекс (совокупность) алгоритмов и процедур шифрования и кодирования информации, используемых для преобразования смыслового содержания передаваемых в информационных сетях данных. Они подразумевают создание и применение специальных секретных ключей пользователей.

Общие методы криптографии существуют давно. Она считается мощным средством обеспечения конфиденциальности и контроля целостности информации. Пока альтернативы методам криптографии нет. И хотя криптография не спасает от физических воздействий, в остальных случаях она служит надежным средством защиты данных.

Стойкость криптоалгоритма зависит от сложности методов преобразования. Главным критерием стойкости любого шифра или кода являются имеющиеся вычислительные мощности и время, в течение которого можно их расшифровать. Если это время равняется нескольким годам, то стойкость таких алгоритмов является вполне приемлемой и более чем достаточной для большинства организаций и личностей. Если использовать 256- и более разрядные ключи, то уровень надежности защиты данных составит десятки и сотни лет работы суперкомпьютера. При этом для коммерческого применения достаточно 40-, 44-разрядных ключей.

Для кодирования ЭИР, с целью удовлетворения требованиям обеспечения безопасности данных от несанкционированных воздействий на них, используется электронная цифровая подпись (ЭЦП).

Цифровая подпись для сообщения представляет последовательность символов, зависящих от самого сообщения и от некоторого секретного, известного только подписывающему субъекту, ключа.

Она должна легко проверяться и позволять решать три следующие задачи:

  • осуществлять аутентификацию источника сообщения,
  • устанавливать целостность сообщения,
  • обеспечивать невозможность отказа от факта подписи конкретного сообщения.
Читайте также  Установка видеонаблюдения в офисе

Первый отечественный стандарт ЭЦП появился в 1994 году. Вопросами использования ЭЦП в России занимается Федеральное агентство по информационным технологиям (ФАИТ).

Существующий в мире опыт свидетельствует, что строить системы безопасности из отдельных продуктов неэффективно. Поэтому отмечается общая потребность в комплексных решениях информационной безопасности и их сопровождения. При этом специалисты отмечают, что наиболее эффективные меры защиты кроются не в технических средствах, а в применении различных организационных и административных мер, регламентов, инструкций и в обучении персонала.

Технические мероприятия базируются на применении следующих средств и систем: охранной и пожарной сигнализации; контроля и управления доступом; видеонаблюдения и защиты периметров объектов; защиты информации; контроля состояния окружающей среды и технологического оборудования, систем безопасности, перемещения людей, транспорта и грузов; учета рабочего времени персонала и времени присутствия на объектах различных посетителей.

Для комплексного обеспечения безопасности объекты оборудуются системами связи, диспетчеризации, оповещения, контроля и управления доступом; охранными, пожарными, телевизионными и инженерными устройствами и системами; охранной, пожарной сигнализацией, противопожарной автоматикой и др.

Биометрические методы защиты информации. Понятие «биометрия» определяет раздел биологии, занимающийся количественными биологическими экспериментами с привлечением методов математической статистики.

Биометрия представляет собой совокупность автоматизированных методов и средств идентификации человека, основанных на его физиологических или поведенческих характеристик. Биометрическая идентификация позволяет идентифицировать индивида по присущим ему специфическим биометрическим признакам, то есть его статическими (отпечаткам пальца, роговице глаза, генетическому коду, запаху и др.) и динамическими (голосу, почерку, поведению и др.) характеристиками.

Биометрическая идентификация считается одним из наиболее надежных способов. Уникальные биологические, физиологические и поведенческие характеристики, индивидуальные для каждого человека, называют биологическим кодом человека.

Первые биометрические системы использовали рисунок (отпечаток) пальца. Примерно одну тысячу лет до н.э. в Китае и Вавилоне знали об уникальности отпечатков пальцев. Их ставили под юридическими документами. Однако дактилоскопию стали применять в Англии с 1897 года, а в США — с 1903 года.

Считыватели обеспечивают считывание идентификационного кода и передачу его в контроллер. Они преобразуют уникальный код пользователя в код стандартного формата, передаваемый контроллеру для принятия управленческого решения. Считыватели бывают контактные и бесконтактные. Они могут фиксировать время прохода или открывания дверей и др. К ним относят устройства: дактилоскопии (по отпечаткам пальцев); идентификация глаз человека (идентификация рисунка радужной оболочки глаза или сканирование глазного дна); фотоидентификация (сравнение создаваемых ими цветных фотографий (банк данных) с изображением лица индивида на экране компьютера); идентификация по форме руки, генетическому коду, запаху, голосу, почерку, поведению и др.

В различных странах (в том числе в России) включают биометрические признаки в загранпаспорта и другие идентифицирующие личности документы. Преимущество биологических систем идентификации, по сравнению с традиционными (например, PI №-кодовыми, доступом по паролю), заключается в идентификации не внешних предметов, принадлежащих человеку, а самого человека. Анализируемые характеристики человека невозможно утерять, передать, забыть и крайне сложно подделать. Они практически не подвержены износу и не требуют замены или восстановления.

С помощью биометрических систем осуществляются:

  • ограничение доступа к информации и обеспечение персональной ответственности за ее сохранность;
  • обеспечение допуска сертифицированных специалистов;
  • предотвращение проникновения злоумышленников на охраняемые территории и в помещения вследствие подделки и (или) кражи документов (карт, паролей);
  • организация учета доступа и посещаемости сотрудников, а также решается ряд других проблем.

Самой популярной считается аутентификация по отпечаткам пальцев, которые, в отличие от пароля, нельзя забыть, потерять, и заменить. Однако в целях повышения надежности аутентификации и защиты ценной информации лучше использовать комбинацию биометрических признаков. Удачным считается одновременное использование двухфакторной аутентификации пользователя, включающее оптический сканер отпечатков пальцев и картридер для смарт-карты, в которой в защищенном виде хранятся те же отпечатки пальцев.

К новым биометрическим технологиям следует отнести трехмерную идентификацию личности, использующую трехмерные сканеры идентификации личности с параллаксным методом регистрации образов объектов и телевизионные системы регистрации изображений со сверхбольшим угловым полем зрения. Предполагается, что подобные системы будут применяться для идентификации личностей, трехмерные образы которых войдут в состав удостоверений личности и других документов. Сканирование с помощью миллиметровых волн — быстрый метод, позволяющий за две-четыре секунды сформировать трехмерное топографическое изображение, которое можно поворачивать на экране монитора для досмотра предметов, находящихся в одежде и на теле человека. С этой же целью используют и рентгеновские аппараты. Дополнительным преимуществом миллиметровых волн в сравнении с рентгеном является отсутствие радиации — этот вид просвечивания безвреден, а создаваемое им изображение генерируется энергией, отраженной от тела человека. Энергия, излучаемая миллиметровыми волнами, в 10 000 раз слабее излучения от сотового телефона.

Защита информации в информационных компьютерных сетях осуществляется с помощью специальных программных, технических и программно-технических средств.

С целью защиты сетей и контроля доступа в них используют:

  • фильтры пакетов, запрещающие установление соединений,
    пересекающих границы защищаемой сети;
  • фильтрующие маршрутизаторы, реализующие алгоритмы
    анализа адресов отправления и назначения пакетов в сети;
  • шлюзы прикладных программ, проверяющие права доступа к
    программам.

В качестве устройства, препятствующего получению злоумышленником доступа к информации, используют Firewalls (рус. «огненная стена» или «защитный барьер» — брандмауэр). Такое устройство располагают между внутренней локальной сетью организации и Интернетом. Оно ограничивает трафик, пресекает попытки несанкционированного доступа к внутренним ресурсам организации. Это внешняя защита. Современные брандмауэры могут «отсекать» от пользователей корпоративных сетей незаконную и нежелательную для них корреспонденцию, передаваемую по электронной почте. При этом ограничивается возможность получении избыточной информации и так называемого «мусора» (спама).

Считается, что спам появился в 1978 г., а значительный его рост наблюдается в 2003 г. Сложно сказать, какой почты приходит больше: полезной или бестолковой. Выпускается много ПО, предназначенного для борьбы с ним, но единого эффективного средства пока нет.

Техническим устройством, способным эффективно осуществлять защиту в компьютерных сетях, является маршрутизатор. Он осуществляет фильтрацию пакетов передаваемых данных. В результате появляется возможность запретить доступ некоторым пользователям к определенному «хосту», программно осуществлять детальный контроль адресов отправителей и получателей. Также можно ограничить доступ всем или определенным категориям пользователей к различным серверам, например ведущим распространение противоправной или антисоциальной информации (пропаганда секса, насилия и т.п.).

Защита может осуществляться не только в глобальной сети или локальной сети организации, но и отдельных компьютеров. Для этой цели создаются специальные программно-аппаратные комплексы.

Защита информации вызывает необходимость системного подхода, т.е. здесь нельзя ограничиваться отдельными мероприятиями. Системный подход к защите информации требует, чтобы средства и действия, используемые для обеспечения информационной безопасности — организационные, физические и программно-технические — рассматривались как единый комплекс взаимосвязанных взаимодополняющих и взаимодействующих мер. Один из основных принципов системного подхода к защите информации — принцип «разумной достаточности», суть которого: стопроцентной защиты не существует ни при каких обстоятельствах, поэтому стремиться стоит не к теоретически максимально достижимому уровню защиты, а к минимально необходимому в данных конкретных условиях и при данном уровне возможной угрозы.

Проблемы информационной безопасности: алгоритм построения системы ИБ с нуля

Представим ситуацию, когда в компании создается подразделение информационной безопасности. Перед руководителем ИБ-отдела очерчен круг задач, выделен бюджет и дана отмашка на старт. Предлагаем рассмотреть алгоритм, который поможет в текучке неотложных дел сфокусироваться на главном.

1. Заручиться поддержкой руководства.

Если отдел информационной безопасности создан по инициативе руководства компании, то проблема решена. Однако в реальности часто ИБ-отдел создается стихийно, при этом существует служба безопасности, которая не очень понимает, что такое технические меры защиты, есть также ИТ-служба, которая воспринимает ИБ-отдел как помеху и т д.

Организация защиты информации на практике ведется одним из способов: «снизу вверх» либо «сверху вниз».

Подход «снизу вверх» наиболее распространен. В данном случае инициатива по всем ИБ-мероприятиям исходит от рядовых специалистов или линейных руководителей. Подход включает в себя написание служебных записок, доведение до руководства информации об инцидентах и прочее. Такой подход малоэффективен, так как высшее руководство компании не до конца понимает целесообразность и необходимость проведения большинства работ по информационной безопасности. В итоге информационной безопасности уделяется малое внимание, ей занимаются по остаточному принципу, работы зачастую носят несистемный характер.

Подход «сверху вниз» предполагает вовлеченность топ-менеджмента и владельцев бизнеса в проблематику информационной безопасности. Данный подход считается более эффективным, поскольку руководство смотрит на информационную безопасность с позиции бизнеса, ведется оценка рисков. Подход позволяет получать требуемые ресурсы и принимать необходимые меры, так как комплексная защита информации на предприятии — инициатива руководства.

На первом этапе следует заручиться поддержкой руководства, а в организации работ придерживаться подхода «сверху вниз».

2. Определить состав рабочей группы.

Важно определить, какие специалисты будут принимать активное участие в работах по информационной безопасности.

Читайте также  Противопожарные мероприятия в учреждениях здравоохранения

Есть мнение, что можно отдать работы по ИБ на аутсорсинг и полностью сосредоточиться на текущих задачах. Это верно лишь отчасти, поскольку никакие внешние эксперты не смогут оценить реальную важность и ценность информационных ресурсов компании, они могут лишь привнести объективный взгляд со стороны. Поэтому в рабочей группе обязательно должен быть представитель владельца информационных ресурсов.

3. Определить риски.

После того как сформирована рабочая группа и получена поддержка действий от руководства, переходим к этапу управления рисками. На этом этапе необходимо:

  • идентифицировать информационные активы, представляющие ценность;
  • провести анализ информационных ресурсов, к защите которых предъявляются требования со стороны законодательства/отрасли;
  • провести анализ информационных ресурсов на существующие уязвимости с точки зрения информационной безопасности;
  • провести анализ источников угроз;
  • проанализировать сами угрозы;
  • оценить возможный ущерб;
  • подготовить отчет для презентации руководству.

После проведения этапа должен быть составлен список определенных угроз и оценен ущерб, который может быть потенциально нанесен компании при реализации этих угроз. При расчете ущерба следует учитывать вероятность наступления тех или иных угроз.

После оценки возможного ущерба необходимо проработать риски по каждой актуальной угрозе.

4. Принять организационные меры.

На данном этапе разрабатываются политики, стандарты, руководства и инструкции, направленные на поддержание системы ИБ. Фиксируется ответственность сотрудников за нарушение требований ИБ, разглашение и нарушение конфиденциальности информации. Важно понимать, что эффективная система ИБ не может существовать без регламентов, инструкций, документов, направленных на ее поддержание.

5. Выбрать и внедрить меры и средства защиты информации.

На этом этапе осуществляется выбор средств защиты информации и оценка их эффективности. Оценка эффективности нужна для понимания, окупятся ли затраты, потраченные на СЗИ. Прибыль здесь косвенная — минимизация рисков, которые были определены ранее.

При выборе мер и средств защиты необходимо руководствоваться правилом: затраты на приобретение, внедрение, настройку, обучение специалистов, сопровождение средств защиты не должны превышать ущерба от реализации угрозы, на защиту от которой эти средства направлены.

6. Довести информацию до заинтересованных лиц.

Важно донести до пользователей необходимую информацию по ИБ доступными для них способами. Сотрудникам лучше всего показать на практике, как безопасно работать и взаимодействовать, провести презентацию или обучение. Руководству полезно будет показать убытки, которые может получить компания в случае невыполнения мер по информационной безопасности. Специалистам нужно показать, какими средствами можно пользоваться, а какими нет и почему, а также озвучить ответственность за нарушения этих мер.

7. Провести мониторинг и оценку.

После проведения всех этапов необходимо провести мониторинг и оценку результатов работ. Важно понять, насколько изменилось состояние ИБ.

Например, хорошим показателем будет появление инцидентов или вопросов по ИБ после проведения обучения сотрудников. Если до обучения обращений по инцидентам не возникало, а после обучения стали появляться инциденты, значит, оно прошло не зря.

Но на этом работа не заканчивается. Цикличность работ по ИБ связана с тем, что информационная среда очень изменчива. Происходят изменения внутри самих информационных активов, изменения в информационных технологиях, в способах обработки информации, а значит, нужно снова возвращаться к анализу рисков и актуализации системы ИБ.

Станислав Шиляев, руководитель проектов по информационной безопасности компании «СКБ Контур»

Не пропустите новые публикации

Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.

Лекция 6. Организация службы защиты информации (СЗИ)

6.3.Организационно-технические мероприятия СЗИ

6.4.Руководитель службы защиты информации

6.5.Разработка должностных инструкций для специалистов по защите информации

Создание СЗИ

Основной задачей службы информационной безопасности является определение направления развития и поддержки усилий организации, направленных на защиту информации от несанкционированного ознакомления, изменения, разрушения или отказа в доступе. Это достигается путем внедрения соответствующих правил, инструкций и указаний.

Служба информационной безопасности отвечает:

— за разработку и издание правил (инструкций и указаний) по обеспечению безопасности, соответствующих общим правилам работы организации и требованиям к обработке информации;

— внедрение программы обеспечения безопасности, включая классификацию степени секретности информации (если таковая имеется) и оценку деятельности;

— разработку и обеспечение выполнения программы обучения и ознакомления с основами информационной безопасности в масштабах организации;

— разработку и сопровождение перечня минимальных требований к процедурам контроля за доступом ко всем компьютерным системам, независимо от их размера;

— отбор, внедрение, проверку и эксплуатацию соответствующих методик планирования восстановления работы для всех подразделений

— организации, принимающих участие в автоматизированной обработке самой важной информации;

— разработку и внедрение процедур пересмотра правил обеспечения информационной безопасности, а также рабочих программ, предназначенных для поддержки правил, инструкций, стандартов и указаний организации;

— участие в описании, конструировании, создании и приобретении систем в целях соблюдения правил безопасности при автоматизации производственных процессов;

— изучение, оценку, выбор и внедрение аппаратных и программных средств, функций и методик обеспечения информационной безопасности, применимых для компьютерных систем организации.

При необходимости на службу информационной безопасности возлагается выполнение других обязанностей:

— формирование требований к системе защиты в процессе создания информационных систем (ИС);

— участие в проектировании системы защиты, ее испытаниях и приемке в эксплуатацию;

— планирование, организация и обеспечение функционирования системы защиты информации в процессе функционирования ИС;

— распределение между пользователями необходимых реквизитов защиты;

— наблюдение за функционированием системы защиты и ееэлементов;

— организация проверок надежности функционирования системы защиты;

— обучение пользователей и персонала ИС правилам безопасной обработки информации;

— контроль за соблюдением пользователями и персоналом ИС установленных правил обращения с защищаемой информацией в процессе ее автоматизированной обработки;

— принятие мер при попытках несанкционированного доступа НСД к информации и при нарушениях правил функционирования системы защиты.

При создании СЗИ на предприятии рекомендуется учитывать следующие требования :

· численность службы защиты должна быть достаточной для выполнения всех перечисленных функций;

· служба защиты должна подчиняться тому лицу, которое в данном учреждении несет персональную ответственность за соблюдение правил обращения с защищаемой информацией;

· штатный состав службы защиты не должен иметь других обязанностей, связанных с функционированием ИС;

· сотрудники службы защиты должны иметь право доступа во все помещения, где установлена аппаратура ИС, и право прекращать автоматизированную обработку информации при наличии непосредственной угрозы для защищаемой информации;

· руководителю службы защиты должно быть предоставлено право запрещать включение в число действующих новые элементы ИС, если они не отвечают требованиям защиты информации;

· служба защиты информации должна иметь все условия, необходимые для выполнения своих функций.

Структура СЗИ

В структуру службы безопасности могут входить :

· директор (заместитель директора) или руководитель непосредственно подчиненный главе фирмы;

· заместитель начальника службы безопасности — на некоторы) предприятиях он руководит физической, а иногда и технически! службами охраны;

· специалисты в области обеспечения безопасности экономической разведки, промышленной контрразведки;

· технические специалисты, умеющие применять специальну|| технику для защиты помещений;

· сотрудники физической охраны и пропускного режима (по найму), но подчиненные руководителю службы безопасности).

Условно сотрудников службы информационной безопасности можно разделить по функциональным обязанностям:

Сотрудник группы безопасности.В его обязанности входит обеспечение контроля за защитой наборов данных и программ, помощь пользователям и организация общей поддержки групп управления защитой и менеджмента в своей зоне ответственности. При децентрализованном управлении каждая подсистема ИС имеет своего сотрудника группы безопасности.

Администратор безопасности системы.В его обязанности входит ежемесячное опубликование нововведений в области защиты, новых стандартов, а также контроль за выполнением планов непрерывной работы и восстановления (при необходимости) и за хранением резервных копий.

Администратор безопасности данных. Вего обязанности входит реализация и изменение средств защиты данных, контроль за состоянием защиты наборов данных, ужесточение защиты в случае необходимости, а также координирование работы с другими администраторами.

Руководитель группы. Вего обязанности входит разработка и поддержка эффективных мер защиты при обработке информации для обеспечения сохранности данных, оборудования и программного обеспечения; контроль за выполнением плана восстановления и общее руководство административными группами в подсистемах ИС (при децентрализованном управлении).

В небольших организациях функции руководителя службы обычно выполняет либо глава фирмы, либо его заместитель.

Количественный состав службы безопасности различен и зависит, прежде всего, от возможностей самой фирмы. Возможны различные варианты состава такой группы. Кроме того, перечень необходимых знаний и навыков, а также функциональных обязанностей лиц, входящих и группу защиты информации, может существенно отличаться в зависимости от назначения структуры и задач, решаемых в конкретной

К сожалению, на современном этапе отдается предпочтение ] физической и технической охране, время «оперативников» и аналитиков I только начинается [2].