Помощничек
Главная | Обратная связь


Археология
Архитектура
Астрономия
Аудит
Биология
Ботаника
Бухгалтерский учёт
Войное дело
Генетика
География
Геология
Дизайн
Искусство
История
Кино
Кулинария
Культура
Литература
Математика
Медицина
Металлургия
Мифология
Музыка
Психология
Религия
Спорт
Строительство
Техника
Транспорт
Туризм
Усадьба
Физика
Фотография
Химия
Экология
Электричество
Электроника
Энергетика

Концептуальная модель информационной безопасности



Понимая информационную безопасность как «состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций», правомерно определить угрозы безопасности информации, источники этих угроз, способы их реализации и цели, а также иные условия и действия, нарушающие безопасность. При этом следует рассматривать и меры защиты информации от неправомерных действий, приводящих к нанесению ущерба.

Практика показала, что для анализа такого значительного набора источников, объектов и действий целесообразно использовать методы моделирования, при которых формируется как бы «заместитель» реальных ситуаций. При этом следует учитывать, что модель должна быть достаточно общей, чтобы описывать реальные действия с учетом их сложности.

Можно предположить компоненты модели информационной безопасности на первом уровне декомпозиции.

Такими компонентами модели безопасности информации могут быть следующие:

· объекты угрозы;

· угрозы;

· источники угроз;

· цели угроз со стороны злоумышленников;

· способы неправомерного овладения конфиденциальной информацией (способы доступа);

· направления защиты информации;

· способы защиты информации;

· средства защиты информации.

Объектом угроз информационной безопасности выступают сведения о составе, состоянии и деятельности объекта защиты (персонал, материальные и финансовые ценности, информационные ресурсы).

Угрозы информации выражаются в нарушении ее целостности, конфиденциальности, полноты и доступности.

Источниками угроз выступают конкуренты, преступники, коррупционеры, административно-управленческие органы.

Источники угроз преследуют при этом следующие цели; ознакомление с охраняемыми сведениями, их модификация в корыстных целях и уничтожение для нанесения прямого материального ущерба.

Неправомерное овладение конфиденциальной информацией возможно за счет ее разглашения источниками сведений, за счет утечки информации через технические средства и за счет несанкционированного доступа к охраняемым сведениям.

Источниками конфиденциальной информации являются люди, документы, публикации, технические носители информации, технические средства обеспечения производственной и трудовой деятельности, продукция и отходы производства.

Основными направлениями защиты информации являются правовая, организационная и инженерно-техническая защиты информации как выразители комплексного подхода к обеспечению информационной безопасности.

Средствами защиты информации являются физические средства, аппаратные средства, программные средства и криптографические методы. Последние могут быть реализованы как аппаратно, программно, так и смешанно-программно - аппаратными средствами.

В качестве способов защиты выступают всевозможные меры, пути, способы и действия, обеспечивающие упреждение противоправных действий, их предотвращение, пресечение и противодействие несанкционированному доступу.

В обобщенном виде рассмотренные компоненты в виде концептуальной модели безопасности информации приведены на схеме.

 

3. Планирование. Программа и планы защиты предприятия

Любые действия по управлению сложными организационно-техническими системами должны быть спланированы. В полной мере это относится и к управлению информационной безопасностью.Планирование определяется теми задачами, кото­рые ставит перед собой предприятие на перспективу.

Планирование начинается после проведения анализа риска и выбора средств защиты информации в соответствии с ранжированием рисков.

Главным звеном системы обеспечения безопасности пред­приятия (фирмы) являются мероприятия, осу­ществляемые службой безопасности банка, фирмы.

Планирование — это процесс определения целей предприятия на определенную перспективу, анализ способов их реализации и ресурсного обеспечения.

Планирование - это процесс разработки пакета руководящих документов по реализации избранной политики информационной безопасности.

Планирование - это начальный этап управления информационной безопасностью.

Цель планирования -наилучшее исполь­зование всех выделенных ресурсов и предотвращение ошибочных действий, могущих привести к снижению вероятность достижения цели.

Планирование включает в себя определение, разработку или выбор:

· конечных и промежуточных целей и обоснование задач, реше­ние которых необходимо для их достижения;

· требований к системе защиты информации;

· политики информационной безопасности;

· средств и способов, функциональной схемы защиты информации с учетом стоимости и привлечения других ресурсов;

· совокупности мероприятий защиты, проводимых в различные периоды времени;

· порядка ввода в действие средств защиты;

· ответственности персонала;

· порядка пересмотра плана и модернизации системы защиты;

· совокупности документов, регламентирующих деятельность по защите информации.

Различают два вида планирования: стратегическоеили перспективноеи так­тическоеили текущее.

Стратегическое планированиезаключается в опре­делении (без детальной проработки) средств и способов достижения конечных целей, в том числе необходимых ресурсов, последовательности ипроцедуры их использования.

Тактическое планирование заключаетсяв определении промежуточных целей на пути достижения главных.При этом детальнопрораба­тываются средства и способы решения задач, использова­ния ресурсов, необходимые процедуры и технологии.

Точную границу между стратегическим и тактическим планированием провести трудно. Обычно стратегическое планирование охватывает в несколько раз больший про­межуток времени, чем тактическое; оно имеет гораздо бо­лее отдаленные последствия; шире влияет на функциони­рование управляемой системы в целом; требует более мощных ресурсов. Фактически стратегический план представляет собой системный проект, без которого тактические планы, реализуемые на разных отрезках времени (этапах) совершенствования системы, окажутся не взаимосвязанными, а значит мало эффективными или вовсе бессмысленными.

С тактическим планированием тесно связано понятие оперативного управления. Оперативное управление обеспечиваетфункционирова­ние системы в соответствии с намеченным планом и заключается впериодическом или непрерывном сравнении фактически полученных результатов с намеченными пла­нами и последующей их корректировкой.

Принципиально план защиты включает в себя две группы мероприятий – мероприятия по построению (формированию) системы защиты информации и мероприятия по использованию сформированной системы для защиты информации.

Подготовка плана защиты характерна для всех ор­ганизационно-правовых форм предприятий безопас­ности. План защиты должен содержать описание целей и задач предприятия безопасности, характеристику услуг, которые будут представлены по­требителю.

При этом необходимо помнить:

1. чем больше предприятие, тем разносторонне и четче должно быть планирование его защиты;

2. планированием должны заниматься профессио­налы;

3. долгосрочное планирование применяется по преимуществу в крупных предприятиях. Текущее пла­нирование — элемент управленческой деятельности любого предприятия;

4. при составлении планов целесообразно состав­лять каталог сильных и слабых сторон;

5. разработка запасного «аварийного» плана позво­ляет выполнить его даже при самом неблагоприятном стечении обстоятельств.

Задачи по обеспечению информационной безопасности предприятия (фирмы):

1. обеспечение реализации законных прав и интересов банка, фирмы, сотрудников;

2. сохранение интеллектуальной и материальной собственнос­ти банка и фирмы;

3. своевременное выявление реальных и потенциальных угроз жизненно важным интересам банка, фирмы;

4. вскрытие внутренних причин и условий, способствующих нанесению банку, фирме, их сотрудникам материального, пси­хологического и иного ущерба;

5. разработка и реализация механизма оперативного реагиро­вания на возникающие угрозы и негативные тенденции в раз­витии обстановки в отношении банка, фирмы;

6. сбор, анализ, оценка и представление руководству банка, фирмы информации по всем направлениям деятельности служ­бы безопасности;

7. предотвращение проникновения в структуру криминальных элементов;

8. противодействие техническому проникновению на пред­приятие субъектов противоправной деятельности;

9. физическая и техническая охрана банков, фирм, их терри­тории и транспорта;

10. участие в формировании и укреплении положительного имиджа банка, фирмы среди партнеров, клиентов, обществен­ности и населения;

11. локализация или ослабление вредных последствий в связи с неправомерными действиями физических и юридических лиц в отношении банка, фирмы.

Документы, регламентирующие деятельность по защите информации, оформляются в виде различных планов, положений, инструкций, наставлений и других аналогичных документов. Рассмотрим основные из них.

Основным планирующим документом из всей совокупности является план защиты.

План защиты информации представляет собой вербально - графический документ, который должен содержать следующие сведения:

· характеристика защищаемого объекта: назначение, перечень решаемых задач, размещение технических средств и программного обеспечения и их характеристики; (информационно-логическая структура объекта защиты)

· цели и задачи защиты информации, перечень пакетов, файлов, баз данных, подлежащих защите и требований по обеспечению доступности, конфиденциальности, целостности этих категорий информации;

· перечень и приоритетность значимых угроз безопасности, от которых требуется защита и наиболее вероятных путей нанесения ущерба;

· политика информационной безопасности (организационные и технические мероприятия, определяющие – разграничение по уровням конфиденциальности, контроль целостности технической и программной среды, контроль за действиями пользователей, защиту от НСД, антивирусную защиту, организацию доступа на объект, контроль помещений и технических каналов утечки информации и ряд других;

· функциональная схема системы защиты и план размещения средств защиты информации на объекте;

· порядок ввода в действие средств защиты (календарный план проведения организационно-технических мероприятий);

· перечень мероприятий, проводимых единовременно, периодически, по необходимости и постоянно

· ответственность персонала;

· смета затрат на внедрение системы защиты;

· порядок пересмотра плана и модернизации средств защиты.

Программа защиты — один из основных планов дея­тельности и (или) работ службы безопасности пред­приятия. Программа является тем важным документом, который положен в основу организационного обеспе­чения безопасности ее интересов. Содержание про­граммы находится в зависимости от результатов работ по оценке обстановки на предприятии в вопросах ее за­щиты.

При разработке программы защиты коммерческой структуры необходимо руководствоваться следующи­ми требованиями.

Программа должна:

· соответствовать размерам предприятия (фир­мы);

· отражать комплексный характер технологическое и деловой информации предприятия, возможные потери от промышленного и коммерческого шпионажа;

· включать наиболее важные элементы, касающиеся правил поведения сотрудников фирмы и посетите, лей в различных ситуациях.

Программа защиты принципиально состоит, как правило, из четырех разделов:

1. Охрана руководства коммерческих структур.

2. Обеспечение безопасности иных категорий слу­жащих и сохранности материально-технических цен­ностей (валюта, ценные бумаги, оборудование, образ­цы экспортно-импортных товаров и сырья и т.п.).

3. Сбор разведывательных данных о возможных диверсионно-террористических проявлениях.

4. Разработка тактики действий администрации и службы безопасности коммерческого предприятия в случае возникновения чрезвычайного положения, кри­тической ситуации.

Не менее важным является план действий персонала в критических ситуациях и способов сохранения информации. Такой план, назначение которого состоит в снижении возможных потерь, связанных с разрушением данных и программ или отказом оборудования, называется планом обеспечения непрерывной работы и восстановления информации и содержит следующие пункты:

· цели обеспечения непрерывности процесса функционирования объекта, своевременности восстановления ее работоспособности и чем она достигается;

· перечень и классификация возможных кризисных ситуаций;

· требования, меры и средства обеспечения непрерывности функционирования и восстановления процесса обработки информации (порядок ведения текущих, долговременных и аварийных архивов (резервных копий), а также использования резервного оборудования);

· обязанности и порядок действий различных категорий персонала в кризисных ситуациях по ликвидации последствий кризисных ситуаций, минимизации наносимого ущерба и восстановлению нормального процесса функционирования объекта.

Еще одним важным документом является Положение о коммерческой тайне, включающее:

1. Перечень сведений, составляющих коммерческую тайну.

2. Материалы обоснования предложений экспертной комиссии по включению сведений в развернутый перечень.

3. Номенклатуру должностей работников, допускаемых к сведениям, составляющим коммерческую тайну.

4. Договор-обязательство (контракт) о сохранении коммерческой тайны.

5. Специальные обязанности руководителей подразделений по защите коммерческой тайны.

6. Специальные обязанности лиц, допущенных к сведениям, составляющим коммерческую тайну.

Весьма важным организационным документом является Положение о защите информации, включающее:

1. Организационную и функциональную структуру системы защиты информации.

2. Обобщенную структуру законодательных и нормативных документов по безопасности информации.

3. Положение об отделе защиты информации.

4. Положение об администраторе безопасности (инструкция администратора).

5. Правила назначения прав доступа.

6. Порядок допуска посторонних лиц на объект.

7. Порядок допуска персонала и посетителей в помещения, в которых обрабатывается критичная информация.

8. Порядок проведения служебного расследования по факту нарушения информационной безопасности.

9. Требования к процессу разработки программных продуктов.

10. Порядок приема-сдачи программного обеспечения в эксплуатацию.

11. Инструкцию по обеспечению безопасности речевой информации.

12. Правила ведения телефонных переговоров.

13. Порядок проведения конфиденциальных переговоров.

14. Требования к оснащению выделенных помещений.

15. Инструкцию пользователю по соблюдению режима информационной безопасности.

При организации работ по защите информации не обойтись без Технологических инструкций, включающих формы заявок на отключение/подключение, на период отпуска/болезни сотрудника, на возвращение сотрудника после отпуска/болезни.

Ну, и, наконец, еще один документ, необходимый при обмене с партнерами информацией по электронной почте.

Договор о порядке организации обмена электронными документами, который должен отражать следующие вопросы:

· разграничение ответственности субъектов, участвующих в процессах обмена электронными документами;

· определение порядка подготовки, оформления, передачи, приема, проверки подлинности и целостности электронных документов;

· определение порядка генерации, сертификации и распространения ключевой информации (ключей, паролей и т.п.);

· определение порядка разрешения споров в случае возникновения конфликтов.

· Детально и качественно разработанные документы плана защиты информации – залог дальнейших успехов в деятельности службы информационной безопасности или администратора безопасности сети.

Комплекс мероприятий, перечисленных в планах, принято называть сис­темой мер обеспечения безопасности банка, фирмы.

Меры по защите коммерческой деятельности предприятия можно разделить на две группы:

1) общее меры по защите коммерческой деятельности предприятия в целом;

2) меры, направленные не­посредственно на предотвращение угроз безопасности объектов защиты предприятия от внутренних и внешних угроз.

Мероприятия первой группы направлены на Предупреждение, затруднение и ограничение возможности про­ведения противоправных действий в отношении банка, фирмы со стороны неустановленных злоумышленников. Поэтому они являются превентивными, носят общепредупредительный ха­рактер, осуществляются гласно.

Мероприятия второй группы предназначены для выявления, локализации и недопущения конкретных акций криминальных элементов и конкурентов в отношении банка, фирмы. Они проводятся негласно.

Группа общих мер го обеспечения безопасности коммерческой деятельности включает:

1. Введение в фирме различных режимов безопас­ности, разработку инструкций по обеспечению режима конфи­денциальности, физической охране объектов, сохранности коммерческой тайны и др.

2. Гласный контроль за исполнением установленных на объектах режимов.

3. Противодействие легальной промышленной разведке со стороны субъектов угроз.

4. Противодействие технической разведке субъектов угроз.

5. Защиту средств связи.

6. Предупредительно-профилактическое воздействие на со­трудников банка, фирмы, имеющее целью добиться выполне­ния ими установленных на предприятии режимов.

7. Применение мер административного принуждения эко­номического и морального характера.

Группа мер, непосредственно направленных на предотвра­щение противоправных действий субъектов угроз безопасности, осуществляется с использованием конфиденциальных связей отдельных сотрудников банка, фирмы и обычно включают в себя:

1. Конфиденциальный контроль за состоянием обеспечения безопасности предприятия, прежде всего за поддержанием его персоналом установленных режимов.

2. Конфиденциальный контроль за обстановкой в коллек­тивах подразделений банка, фирмы (этому направлению дея­тельности уделяется особое внимание в японских компаниях).

3. Выявление возможных каналов утечки конфиденциаль­ных сведений.

4. Выявление и проверка сотрудников банка, фирмы, по­дозреваемых в работе на криминальные элементы и конкурен­тов.

5. Предупредительно-профилактическое воздействие на со­трудников, нарушивших установленные на предприятии режи­мы, через конфиденциальные связи.

6. Обеспечение безопасности руководителей, ведущих спе­циалистов и рядовых сотрудников банка, фирмы, выезжающих за рубеж, с целью предотвратить привлечение их к сотрудни­честву иностранными специальными службами, недопущения их дискредитации.

7. Проникновение к конкурентам.

8. Конфиденциальное расследование по фактам утраты до­кументов сотрудниками банка, фирмы.

9. Конфиденциальное расследование чрезвычайных проис­шествий, похожих на акции вредительства со стороны крими­нальных элементов и конкурентов.

10. Розыск пропавших сотрудников банка, фирмы.

11. Конфиденциальный контроль пожаро - и взрывоопасных участков, а также контроль за переговорами по открытым каналам связи, почты.

Эффективная защита обеспечивается при выполнении следую­щих условий:

· единство в решении производственных, коммерческих, финан­совых и режимных вопросов;

· координация мер безопасности между заинтересованными подразделениями фирмы;

· разработка режимных мер на основе оценки информации и объектов, подлежащих защите (классификации);

· персональная ответственность на всех исполнительских уров­нях за обеспечение сохранности конфиденциальной информации;

· организация специального делопроизводства, введение соот­ветствующей маркировки документов;

· разработка и утверждение списка с перечнем лиц, допущенным к такого рода информации;

· наличие охраны, а также пропускного и внутриобъектового режимов.

В обязательном порядке в обязанности работников включаются требования по соблюдению режима КТ (коллективный договор, тру­довой договор, правила внутреннего трудового распорядка и иные локальные нормативные акты работодателя).

По времени проведениямероприятия защиты можно разделить на четыре класса:

· разовые;

· периодически проводимые;

· проводимые по необходимости;

· постоянно проводимые.

Разовые мероприятия включают:

· создание научно-технических и методологических основ защиты информации;

· мероприятия, осуществляемые при проектировании, строительстве и оборудовании объектов организации, предприятия;

· мероприятия, осуществляемые при проектировании, разработке и эксплуатации технических средств и программного обеспечения (проверка и сертификация по требованиям безопасности и т.п.);

· мероприятия по созданию системы защиты информации;

· разработку правил разграничения доступа к ресурсам системы (определение перечня решаемых подразделениями задач, режимных объектов, перечня конфиденциальных сведений, носителей конфиденциальной и критичной информации и процессов ее обработки, прав и полномочий должностных лиц по доступу к информации);

· определение контролируемой зоны и организация надежного пропускного режима;

· определение порядка хранения, учета, выдачи и использования документов и носителей конфиденциальной и критичной информации;

· определение оперативных действий персонала по обеспечению непрерывной работы и восстановлению вычислительного процесса в критических ситуациях.

К периодически проводимым мероприятиям относятся:

· распределение реквизитов разграничения доступа;

· ведение и анализ системных журналов, принятие мер по обнаруженным нарушениям установленных правил работы;

· проведение с привлечением экспертов анализа состояния защиты и оценки эффективности применяемых защитных мер, принятие на основе экспертного заключения необходимых мер по совершенствованию системы защиты;

· мероприятия по пересмотру состава и построения системы защиты.

К мероприятиям, проводимым по необходимости, относятся мероприятия, осуществляемые при кадровых, изменении территориального расположения объекта, при изменении архитектуры АС объекта или при изменениях и модификациях СВТ и ПО.

Постоянно проводимые мероприятия включают:

· реализацию выбранных защитных мер, в том числе физической защиты всех компонентов объекта;

· мероприятия по эксплуатации системы защиты;

· контроль за действиями персонала;

· анализ состояния и проверка эффективности применяемых защитных мер.

Итак, с чего начать? Переход от абстрактной к конкретной защи­те КТ начинается с выявления и анализа наиболее уязвимых мест фирмы.

В общем виде последовательность действий по введению режи­ма КТ можно представить следующим алгоритмом:

1. Определяется, по каким критериям будет относиться инфор­мация к КТ.

2. Выясняется, какие объекты собственности, в том числе интел­лектуальной, должны быть защищены.

3. Выбираются методы защиты (патентование, авторское право, коммерческая тайна).

4. Разрабатывается и утверждается перечень сведений, состав­ляющих КТ.

5. Устанавливаются правила допуска и определяются механизмы доступа к сведениям, составляющим КТ.

6. Определяется перечень должностей и оформляется список лиц, имеющих право работать с конкретными объектами КТ.

7. Разрабатываются правила классификации и маркировки доку­ментов, а также порядок снятия грифа «Коммерческая тайна».

8. Устанавливается порядок работы с документами (учет, пере­сылка, хранение, размножение, уничтожение и т.д.).

9. Определяется перечень помещений, где разрешена работа с такими документами. Устанавливается порядок проведения закры­тых совещаний, прохода на такие совещания.

10. Планируются мероприятия по контролю за проведением всех видов работ с КТ.

11. Проводится обучение руководителей структурных подразде­лений правилам защиты сведений, относящихся к КТ, оказывается помощь работникам на стадиях оформления документов для после­дующего их опубликования в открытой печати, использования на выставках и конференциях, в рекламе.

12. Разрабатываются режимные меры приема представителей сторонних организаций, командированных лиц, представителей вла­сти.

13. Устанавливается порядок работы на ПЭВМ и система проти­водействия техническим средствам промышленного шпионажа.

14. Для охраны разрабатываются правила охраны офиса, закры­тых помещений, осуществления пропускного и внутриобъектового режимов и устанавливаются необходимые технические средства за­щиты (ТСО).

15. Проводится обучение и допуск работников к работам, свя­занным с КТ, принимаются у них зачеты. Проводятся служебные расследования по фактам нарушения режима КТ.

Важно подчеркнуть, что установление на фирме режима КТ су­щественно повышает надежность защиты КТ, снижает вероятность разглашения и утраты носителей этих сведений.

 




Поиск по сайту:

©2015-2020 studopedya.ru Все права принадлежат авторам размещенных материалов.