Понимая информационную безопасность как «состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций», правомерно определить угрозы безопасности информации, источники этих угроз, способы их реализации и цели, а также иные условия и действия, нарушающие безопасность. При этом следует рассматривать и меры защиты информации от неправомерных действий, приводящих к нанесению ущерба.
Практика показала, что для анализа такого значительного набора источников, объектов и действий целесообразно использовать методы моделирования, при которых формируется как бы «заместитель» реальных ситуаций. При этом следует учитывать, что модель должна быть достаточно общей, чтобы описывать реальные действия с учетом их сложности.
Можно предположить компоненты модели информационной безопасности на первом уровне декомпозиции.
Такими компонентами модели безопасности информации могут быть следующие:
Объектом угроз информационной безопасности выступают сведения о составе, состоянии и деятельности объекта защиты (персонал, материальные и финансовые ценности, информационные ресурсы).
Угрозы информации выражаются в нарушении ее целостности, конфиденциальности, полноты и доступности.
Источниками угроз выступают конкуренты, преступники, коррупционеры, административно-управленческие органы.
Источники угроз преследуют при этом следующие цели; ознакомление с охраняемыми сведениями, их модификация в корыстных целях и уничтожение для нанесения прямого материального ущерба.
Неправомерное овладение конфиденциальной информацией возможно за счет ее разглашения источниками сведений, за счет утечки информации через технические средства и за счет несанкционированного доступа к охраняемым сведениям.
Источниками конфиденциальной информации являются люди, документы, публикации, технические носители информации, технические средства обеспечения производственной и трудовой деятельности, продукция и отходы производства.
Основными направлениями защиты информации являются правовая, организационная и инженерно-техническая защиты информации как выразители комплексного подхода к обеспечению информационной безопасности.
Средствами защиты информации являются физические средства, аппаратные средства, программные средства и криптографические методы. Последние могут быть реализованы как аппаратно, программно, так и смешанно-программно - аппаратными средствами.
В качестве способов защиты выступают всевозможные меры, пути, способы и действия, обеспечивающие упреждение противоправных действий, их предотвращение, пресечение и противодействие несанкционированному доступу.
В обобщенном виде рассмотренные компоненты в виде концептуальной модели безопасности информации приведены на схеме.
3. Планирование. Программа и планы защиты предприятия
Любые действия по управлению сложными организационно-техническими системами должны быть спланированы. В полной мере это относится и к управлению информационной безопасностью.Планирование определяется теми задачами, которые ставит перед собой предприятие на перспективу.
Планирование начинается после проведения анализа риска и выбора средств защиты информации в соответствии с ранжированием рисков.
Главным звеном системы обеспечения безопасности предприятия (фирмы) являются мероприятия, осуществляемые службой безопасности банка, фирмы.
Планирование — это процесс определения целей предприятия на определенную перспективу, анализ способов их реализации и ресурсного обеспечения.
Планирование - это процесс разработки пакета руководящих документов по реализации избранной политики информационной безопасности.
Планирование - это начальный этап управления информационной безопасностью.
Цель планирования -наилучшее использование всех выделенных ресурсов и предотвращение ошибочных действий, могущих привести к снижению вероятность достижения цели.
Планирование включает в себя определение, разработку или выбор:
· конечных и промежуточных целей и обоснование задач, решение которых необходимо для их достижения;
· требований к системе защиты информации;
· политики информационной безопасности;
· средств и способов, функциональной схемы защиты информации с учетом стоимости и привлечения других ресурсов;
· совокупности мероприятий защиты, проводимых в различные периоды времени;
· порядка ввода в действие средств защиты;
· ответственности персонала;
· порядка пересмотра плана и модернизации системы защиты;
· совокупности документов, регламентирующих деятельность по защите информации.
Различают два вида планирования:стратегическоеили перспективноеи тактическоеили текущее.
Стратегическое планированиезаключается в определении (без детальной проработки) средств и способов достижения конечных целей, в том числе необходимых ресурсов, последовательности ипроцедуры их использования.
Тактическое планирование заключаетсяв определении промежуточных целей на пути достижения главных.При этом детальнопрорабатываются средства и способы решения задач, использования ресурсов, необходимые процедуры и технологии.
Точную границу между стратегическим и тактическим планированием провести трудно. Обычно стратегическое планирование охватывает в несколько раз больший промежуток времени, чем тактическое; оно имеет гораздо более отдаленные последствия; шире влияет на функционирование управляемой системы в целом; требует более мощных ресурсов. Фактически стратегический план представляет собой системный проект, без которого тактические планы, реализуемые на разных отрезках времени (этапах) совершенствования системы, окажутся не взаимосвязанными, а значит мало эффективными или вовсе бессмысленными.
С тактическим планированием тесно связано понятие оперативного управления. Оперативное управление обеспечиваетфункционирование системы в соответствии с намеченным планом и заключается впериодическом или непрерывном сравнении фактически полученных результатов с намеченными планами и последующей их корректировкой.
Принципиально план защиты включает в себя две группы мероприятий – мероприятия по построению (формированию) системы защиты информации и мероприятия по использованию сформированной системы для защиты информации.
Подготовка плана защиты характерна для всех организационно-правовых форм предприятий безопасности. План защиты должен содержать описание целей и задач предприятия безопасности, характеристику услуг, которые будут представлены потребителю.
При этом необходимо помнить:
1. чем больше предприятие, тем разносторонне и четче должно быть планирование его защиты;
2. планированием должны заниматься профессионалы;
3. долгосрочное планирование применяется по преимуществу в крупных предприятиях. Текущее планирование — элемент управленческой деятельности любого предприятия;
4. при составлении планов целесообразно составлять каталог сильных и слабых сторон;
5. разработка запасного «аварийного» плана позволяет выполнить его даже при самом неблагоприятном стечении обстоятельств.
Задачи по обеспечению информационной безопасности предприятия (фирмы):
1. обеспечение реализации законных прав и интересов банка, фирмы, сотрудников;
2. сохранение интеллектуальной и материальной собственности банка и фирмы;
3. своевременное выявление реальных и потенциальных угроз жизненно важным интересам банка, фирмы;
4. вскрытие внутренних причин и условий, способствующих нанесению банку, фирме, их сотрудникам материального, психологического и иного ущерба;
5. разработка и реализация механизма оперативного реагирования на возникающие угрозы и негативные тенденции в развитии обстановки в отношении банка, фирмы;
6. сбор, анализ, оценка и представление руководству банка, фирмы информации по всем направлениям деятельности службы безопасности;
7. предотвращение проникновения в структуру криминальных элементов;
8. противодействие техническому проникновению на предприятие субъектов противоправной деятельности;
9. физическая и техническая охрана банков, фирм, их территории и транспорта;
10. участие в формировании и укреплении положительного имиджа банка, фирмы среди партнеров, клиентов, общественности и населения;
11. локализация или ослабление вредных последствий в связи с неправомерными действиями физических и юридических лиц в отношении банка, фирмы.
Документы, регламентирующие деятельность по защите информации, оформляются в виде различных планов, положений, инструкций, наставлений и других аналогичных документов. Рассмотрим основные из них.
Основным планирующим документом из всей совокупности является план защиты.
План защиты информации представляет собой вербально - графический документ, который должен содержать следующие сведения:
· характеристика защищаемого объекта: назначение, перечень решаемых задач, размещение технических средств и программного обеспечения и их характеристики; (информационно-логическая структура объекта защиты)
· цели и задачи защиты информации, перечень пакетов, файлов, баз данных, подлежащих защите и требований по обеспечению доступности, конфиденциальности, целостности этих категорий информации;
· перечень и приоритетность значимых угроз безопасности, от которых требуется защита и наиболее вероятных путей нанесения ущерба;
· политика информационной безопасности (организационные и технические мероприятия, определяющие – разграничение по уровням конфиденциальности, контроль целостности технической и программной среды, контроль за действиями пользователей, защиту от НСД, антивирусную защиту, организацию доступа на объект, контроль помещений и технических каналов утечки информации и ряд других;
· функциональная схема системы защиты и план размещения средств защиты информации на объекте;
· порядок ввода в действие средств защиты (календарный план проведения организационно-технических мероприятий);
· перечень мероприятий, проводимых единовременно, периодически, по необходимости и постоянно
· ответственность персонала;
· смета затрат на внедрение системы защиты;
· порядок пересмотра плана и модернизации средств защиты.
Программа защиты — один из основных планов деятельности и (или) работ службы безопасности предприятия. Программа является тем важным документом, который положен в основу организационного обеспечения безопасности ее интересов. Содержание программы находится в зависимости от результатов работ по оценке обстановки на предприятии в вопросах ее защиты.
При разработке программы защиты коммерческой структуры необходимо руководствоваться следующими требованиями.
Программа должна:
· соответствовать размерам предприятия (фирмы);
· отражать комплексный характер технологическое и деловой информации предприятия, возможные потери от промышленного и коммерческого шпионажа;
· включать наиболее важные элементы, касающиеся правил поведения сотрудников фирмы и посетите, лей в различных ситуациях.
Программа защиты принципиально состоит, как правило, из четырех разделов:
1. Охрана руководства коммерческих структур.
2. Обеспечение безопасности иных категорий служащих и сохранности материально-технических ценностей (валюта, ценные бумаги, оборудование, образцы экспортно-импортных товаров и сырья и т.п.).
3. Сбор разведывательных данных о возможных диверсионно-террористических проявлениях.
4. Разработка тактики действий администрации и службы безопасности коммерческого предприятия в случае возникновения чрезвычайного положения, критической ситуации.
Не менее важным является план действий персонала в критических ситуациях и способов сохранения информации. Такой план, назначение которого состоит в снижении возможных потерь, связанных с разрушением данных и программ или отказом оборудования, называется планом обеспечения непрерывной работы и восстановления информации и содержит следующие пункты:
· цели обеспечения непрерывности процесса функционирования объекта, своевременности восстановления ее работоспособности и чем она достигается;
· перечень и классификация возможных кризисных ситуаций;
· требования, меры и средства обеспечения непрерывности функционирования и восстановления процесса обработки информации (порядок ведения текущих, долговременных и аварийных архивов (резервных копий), а также использования резервного оборудования);
· обязанности и порядок действий различных категорий персонала в кризисных ситуациях по ликвидации последствий кризисных ситуаций, минимизации наносимого ущерба и восстановлению нормального процесса функционирования объекта.
Еще одним важным документом является Положение о коммерческой тайне, включающее:
2. Материалы обоснования предложений экспертной комиссии по включению сведений в развернутый перечень.
3. Номенклатуру должностей работников, допускаемых к сведениям, составляющим коммерческую тайну.
4. Договор-обязательство (контракт) о сохранении коммерческой тайны.
5. Специальные обязанности руководителей подразделений по защите коммерческой тайны.
6. Специальные обязанности лиц, допущенных к сведениям, составляющим коммерческую тайну.
Весьма важным организационным документом является Положение о защите информации, включающее:
1. Организационную и функциональную структуру системы защиты информации.
2. Обобщенную структуру законодательных и нормативных документов по безопасности информации.
3. Положение об отделе защиты информации.
4. Положение об администраторе безопасности (инструкция администратора).
5. Правила назначения прав доступа.
6. Порядок допуска посторонних лиц на объект.
7. Порядок допуска персонала и посетителей в помещения, в которых обрабатывается критичная информация.
8. Порядок проведения служебного расследования по факту нарушения информационной безопасности.
9. Требования к процессу разработки программных продуктов.
10. Порядок приема-сдачи программного обеспечения в эксплуатацию.
11. Инструкцию по обеспечению безопасности речевой информации.
12. Правила ведения телефонных переговоров.
13. Порядок проведения конфиденциальных переговоров.
14. Требования к оснащению выделенных помещений.
15. Инструкцию пользователю по соблюдению режима информационной безопасности.
При организации работ по защите информации не обойтись без Технологических инструкций, включающих формы заявок на отключение/подключение, на период отпуска/болезни сотрудника, на возвращение сотрудника после отпуска/болезни.
Ну, и, наконец, еще один документ, необходимый при обмене с партнерами информацией по электронной почте.
Договор о порядке организации обмена электронными документами, который должен отражать следующие вопросы:
· разграничение ответственности субъектов, участвующих в процессах обмена электронными документами;
· определение порядка подготовки, оформления, передачи, приема, проверки подлинности и целостности электронных документов;
· определение порядка генерации, сертификации и распространения ключевой информации (ключей, паролей и т.п.);
· определение порядка разрешения споров в случае возникновения конфликтов.
· Детально и качественно разработанные документы плана защиты информации – залог дальнейших успехов в деятельности службы информационной безопасности или администратора безопасности сети.
Комплекс мероприятий, перечисленных в планах, принято называть системой мер обеспечения безопасности банка, фирмы.
Меры по защите коммерческой деятельности предприятия можно разделить на две группы:
1) общее меры по защите коммерческой деятельности предприятия в целом;
2) меры, направленные непосредственно на предотвращение угроз безопасности объектов защиты предприятия от внутренних и внешних угроз.
Мероприятия первой группы направлены на Предупреждение, затруднение и ограничение возможности проведения противоправных действий в отношении банка, фирмы со стороны неустановленных злоумышленников. Поэтому они являются превентивными, носят общепредупредительный характер, осуществляются гласно.
Мероприятия второй группы предназначены для выявления, локализации и недопущения конкретных акций криминальных элементов и конкурентов в отношении банка, фирмы. Они проводятся негласно.
Группа общих мер го обеспечения безопасности коммерческой деятельности включает:
1. Введение в фирме различных режимов безопасности, разработку инструкций по обеспечению режима конфиденциальности, физической охране объектов, сохранности коммерческой тайны и др.
2. Гласный контроль за исполнением установленных на объектах режимов.
3. Противодействие легальной промышленной разведке со стороны субъектов угроз.
6. Предупредительно-профилактическое воздействие на сотрудников банка, фирмы, имеющее целью добиться выполнения ими установленных на предприятии режимов.
7. Применение мер административного принуждения экономического и морального характера.
Группа мер, непосредственно направленных на предотвращение противоправных действий субъектов угроз безопасности, осуществляется с использованием конфиденциальных связей отдельных сотрудников банка, фирмы и обычно включают в себя:
1. Конфиденциальный контроль за состоянием обеспечения безопасности предприятия, прежде всего за поддержанием его персоналом установленных режимов.
2. Конфиденциальный контроль за обстановкой в коллективах подразделений банка, фирмы (этому направлению деятельности уделяется особое внимание в японских компаниях).
3. Выявление возможных каналов утечки конфиденциальных сведений.
4. Выявление и проверка сотрудников банка, фирмы, подозреваемых в работе на криминальные элементы и конкурентов.
5. Предупредительно-профилактическое воздействие на сотрудников, нарушивших установленные на предприятии режимы, через конфиденциальные связи.
6. Обеспечение безопасности руководителей, ведущих специалистов и рядовых сотрудников банка, фирмы, выезжающих за рубеж, с целью предотвратить привлечение их к сотрудничеству иностранными специальными службами, недопущения их дискредитации.
7. Проникновение к конкурентам.
8. Конфиденциальное расследование по фактам утраты документов сотрудниками банка, фирмы.
9. Конфиденциальное расследование чрезвычайных происшествий, похожих на акции вредительства со стороны криминальных элементов и конкурентов.
10. Розыск пропавших сотрудников банка, фирмы.
11. Конфиденциальный контроль пожаро - и взрывоопасных участков, а также контроль за переговорами по открытым каналам связи, почты.
Эффективная защита обеспечивается при выполнении следующих условий:
· единство в решении производственных, коммерческих, финансовых и режимных вопросов;
· координация мер безопасности между заинтересованными подразделениями фирмы;
· разработка режимных мер на основе оценки информации и объектов, подлежащих защите (классификации);
· персональная ответственность на всех исполнительских уровнях за обеспечение сохранности конфиденциальной информации;
· организация специального делопроизводства, введение соответствующей маркировки документов;
· разработка и утверждение списка с перечнем лиц, допущенным к такого рода информации;
· наличие охраны, а также пропускного и внутриобъектового режимов.
В обязательном порядке в обязанности работников включаются требования по соблюдению режима КТ (коллективный договор, трудовой договор, правила внутреннего трудового распорядка и иные локальные нормативные акты работодателя).
По времени проведениямероприятия защиты можно разделить на четыре класса:
· разовые;
· периодически проводимые;
· проводимые по необходимости;
· постоянно проводимые.
Разовые мероприятия включают:
· создание научно-технических и методологических основ защиты информации;
· мероприятия, осуществляемые при проектировании, строительстве и оборудовании объектов организации, предприятия;
· мероприятия, осуществляемые при проектировании, разработке и эксплуатации технических средств и программного обеспечения (проверка и сертификация по требованиям безопасности и т.п.);
· мероприятия по созданию системы защиты информации;
· разработку правил разграничения доступа к ресурсам системы (определение перечня решаемых подразделениями задач, режимных объектов, перечня конфиденциальных сведений, носителей конфиденциальной и критичной информации и процессов ее обработки, прав и полномочий должностных лиц по доступу к информации);
· определение контролируемой зоны и организация надежного пропускного режима;
· определение порядка хранения, учета, выдачи и использования документов и носителей конфиденциальной и критичной информации;
· определение оперативных действий персонала по обеспечению непрерывной работы и восстановлению вычислительного процесса в критических ситуациях.
К периодически проводимым мероприятиям относятся:
· распределение реквизитов разграничения доступа;
· ведение и анализ системных журналов, принятие мер по обнаруженным нарушениям установленных правил работы;
· проведение с привлечением экспертов анализа состояния защиты и оценки эффективности применяемых защитных мер, принятие на основе экспертного заключения необходимых мер по совершенствованию системы защиты;
· мероприятия по пересмотру состава и построения системы защиты.
К мероприятиям, проводимым по необходимости, относятся мероприятия, осуществляемые при кадровых, изменении территориального расположения объекта, при изменении архитектуры АС объекта или при изменениях и модификациях СВТ и ПО.
Постоянно проводимые мероприятия включают:
· реализацию выбранных защитных мер, в том числе физической защиты всех компонентов объекта;
· мероприятия по эксплуатации системы защиты;
· контроль за действиями персонала;
· анализ состояния и проверка эффективности применяемых защитных мер.
Итак, с чего начать? Переход от абстрактной к конкретной защите КТ начинается с выявления и анализа наиболее уязвимых мест фирмы.
В общем виде последовательность действий по введению режима КТ можно представить следующим алгоритмом:
1. Определяется, по каким критериям будет относиться информация к КТ.
2. Выясняется, какие объекты собственности, в том числе интеллектуальной, должны быть защищены.
3. Выбираются методы защиты (патентование, авторское право, коммерческая тайна).
4. Разрабатывается и утверждается перечень сведений, составляющих КТ.
5. Устанавливаются правила допуска и определяются механизмы доступа к сведениям, составляющим КТ.
6. Определяется перечень должностей и оформляется список лиц, имеющих право работать с конкретными объектами КТ.
7. Разрабатываются правила классификации и маркировки документов, а также порядок снятия грифа «Коммерческая тайна».
8. Устанавливается порядок работы с документами (учет, пересылка, хранение, размножение, уничтожение и т.д.).
9. Определяется перечень помещений, где разрешена работа с такими документами. Устанавливается порядок проведения закрытых совещаний, прохода на такие совещания.
10. Планируются мероприятия по контролю за проведением всех видов работ с КТ.
11. Проводится обучение руководителей структурных подразделений правилам защиты сведений, относящихся к КТ, оказывается помощь работникам на стадиях оформления документов для последующего их опубликования в открытой печати, использования на выставках и конференциях, в рекламе.
12. Разрабатываются режимные меры приема представителей сторонних организаций, командированных лиц, представителей власти.
13. Устанавливается порядок работы на ПЭВМ и система противодействия техническим средствам промышленного шпионажа.
14. Для охраны разрабатываются правила охраны офиса, закрытых помещений, осуществления пропускного и внутриобъектового режимов и устанавливаются необходимые технические средства защиты (ТСО).
15. Проводится обучение и допуск работников к работам, связанным с КТ, принимаются у них зачеты. Проводятся служебные расследования по фактам нарушения режима КТ.
Важно подчеркнуть, что установление на фирме режима КТ существенно повышает надежность защиты КТ, снижает вероятность разглашения и утраты носителей этих сведений.