Как говорилось ранее (см. гл. 5), при создании комплексной системы зашиты информации ограниченного доступа защищать необходимо все компоненты информационной структуры предприятия — документы, сети связи, персонал и т.д.
Основные организационно-методические мероприятия по созданию и поддержанию функционирования комплексной системы защиты:
• создание службы защиты информации, включая подбор, расстановку и обучение ее персонала;
• создание основных нормативных и организационно-распорядительных документов, необходимых для организации комплексной системы защиты информации.
КСЗИ предприятия целесообразно строить с учетом реальных угроз, в результате осуществления которых предприятию (или в отношении государственной тайны — государству) может быть нанесен ущерб.
Наиболее значимыми угрозами информационной безопасности предприятия являются (в порядке, соответствующем частоте проявления):
• непреднамеренные ошибочные действия сотрудников предприятия;
• злоумышленные действия сотрудников предприятия;
|
|
• неправомерные действия третьих лиц (в том числе государственных органов, контрагентов, клиентов предприятия);
• проявления ошибок в программном обеспечении, отказы и сбои технических средств, аварии.
КСЗИ предприятия необходимо строить с учетом того, что:
• основной задачей обеспечения ЗИ должна быть защита интересов предприятия, его персонала, контрагентов и клиентов от нанесения им ущерба (материального, морального, физического и др.) путем неправомерного использования информации или воздействия на нее;
• интересы предприятия в информационной сфере должны быть юридически защищены от противоправных действий со стороны персонала, контрагентов, клиентов и третьих лиц е учетом и на основании нормативно-правовых актов в информационной сфере;
• сотрудники и командированные лица на предприятии должны быть допущены только к той информации и техническим средствам ее обработки, которые необходимы им для выполнения служебных обязанностей (принцип Need-to-Know);
• действия персонала предприятия с носителями и источниками информации ограниченного доступа должны регистрироваться в целях получения объективных данных и определения ответственного за совершение того или иного противоправного действия;
• дифференциация зашиты информации с учетом ее ценности, реальности реализации угроз (принцип разумной достаточности), затраты не должны превышать возможный ущерб;
• зашита информации должна осуществляться на всех этапах её жизненного цикла, комплексно и всесторонне.
КСЗИ должна обеспечивать:
|
|
• точную и своевременную реализацию политики информационной безопасности предприятия;
• гибкость применения положений политики информационной безопасности с учетом особенностей функционирования различных подсистем предприятия;
• минимизацию затрат на реализацию управляющих воздействий;
• соответствие принимаемых мер и применяемых современному уровню развития информационных технологий.
Для эффективного функционирования КСЗИ предприятия необходимо:
• наличие системы взаимосвязанных нормативно-методические, и организационно-распорядительных документов;
• четкое распределение функций и определение порядка взаимодействия подразделений предприятия при решении вопросов ЗИ, зафиксированные в организационно-распорядительных документах;
• наличие подразделения защиты информации, наделенного необходимыми полномочиями и непосредственно отвечающего за формирование и реализацию единой политики информационной безопасности предприятия, осуществляющего контроль и координацию действий других структурных подразделений предприятия по вопросам ЗИ.
В целях выработки и обеспечения единого понимания всеми должностными лицами предприятия проблем и задач по обеспечению зашиты информации на предприятии разрабатывается Концепция защиты информации (или, как правило, соответствующие положения предусматриваются в Концепции безопасности предприятия — см. гл. 10).
Концепция должна определять цели и задачи КСЗИ, принципы и правовые основы ее организации и функционирования, виды угроз информации и ресурсы, подлежащие защите, а также основные направления разработки КСЗИ, включая правовую, организационную и инженерно-техническую защиту.
Примерное содержание разделов Концепции:
1. Характеристика предприятия как объекта зашиты.
2. Цели КСЗИ. Они формулируются в Концепции исходя из изложенных нами выше, применительно к специфике деятельности предприятия.
3. Типовые задачи КСЗИ:
• прогнозирование, своевременное выявление и устранение угроз информационным ресурсам, причин и условий, способствующих нанесению ущерба, нарушению нормального функционирования и развитию;
«отнесение информации к категории ограниченного доступа (государственной, служебной, коммерческой тайнам, иной информации, подлежащей защите от неправомерного использования;
• создание механизма и условий оперативного реагирования на угрозы и проявления негативных тенденций в функционировании;
• эффективное пресечение угроз на основе правовых, организационных и инженерно-технических мер и средств защиты информации;
• создание условий для максимально возможного возмещения и локализации наносимого ущерба неправомерными действиями физических и юридических лиц, ослабление негативного влияния последствий нарушения на достижение стратегических целей предприятия.
4. Принципы создания и функционирования КСЗИ (типовые):
• Комплексность, т.е.:
— обеспечение зашиты информации от возможных угроз всеми доступными законными средствами, методами и мероприятиями;
— обеспечение безопасности информационных ресурсов в течение всего их жизненного цикла, на всех технологических этапах их обработки (преобразования) и использования, во всех режимах функционирования;
— способность системы к развитию и совершенствованию в соответствии с изменениями условий функционирования.
• Своевременность — упреждающий характер мер ЗИ. Своевременность предполагает постановку задач по КЗ И на ранних стадиях разработки системы на основе анализа и прогнозирования обстановки, угроз, а также разработку эффективных мер предупреждения.
• Непрерывность — считается, что злоумышленники только и ищут возможность, как бы обойти защитные меры, прибегая для. этого к легальным и нелегальным методам.
|
|
• Активность — проведение мероприятий ЗИ с достаточной степенью настойчивости, с широким использованием маневра силами и средствами зашиты.
• Законность — разработка КСЗИ на основе законодательства в области информатизации и зашиты информации и других нормативных актов в данной области, с применением всех дозволенных методов обнаружения и пресечения правонарушений.
• Обоснованность — реализация используемых возможностей и средств зашиты на современном уровне развития науки и техники, обоснованными с точки зрения заданного уровня зашиты и соответствующими установленным требованиям и нормам.
»Экономическая целесообразность и сопоставимость возможного ущерба и затрат (критерий «эффективность — стоимость») — во всех случаях стоимость системы должна быть меньше размера возможного ущерба.
• Специализация — привлечение к разработке и внедрению мер и средств защиты специализированных организаций, имеющих опыт практической работы и государственную лицензию на, право оказания услуг в этой области. Эксплуатация технических средств и реализация мер ЗИ должны осуществляться профессионально подготовленными специалистами.
• Взаимодействие и координация — осуществление мер обеспечения безопасности на основе четкой взаимосвязи соответствующих подразделений и служб, сторонних специализированных;; организаций в этой области, координации их усилий для достижения поставленных целей, а также сотрудничества с заинтересованными организациями и взаимодействия с органами государственного управления и правоохранительными органами.
• Совершенствование — совершенствование мер и средств зашиты на основе собственного опыта, появления новых технических средств, с учетом изменений в методах и средствах разведки и промышленного шпионажа, нормативно-технических требований, достигнутого отечественного и зарубежного опыта.
• Централизация управления — функционирование системы ЗИ по единым правовым, организационным, функциональным и методологическим принципам.
|
|
5. Классификация опасных воздействующих факторов и угроз информационной инфраструктуре предприятия, в том числе:
• общие внешние и внутренние воздействующие факторы;
• опасные факторы и угрозы на объектах (подсистемах);
• способы и средства реализации угроз;
• модель возможного нарушителя;
• подход к оценке риска.
6. Организация зашиты информации на предприятии:
• объекты зашиты;
• основные меры и методы (способы, средства) зашиты, от угроз;
• структура системы зашиты информации предприятия;
• особенности зашиты сети связи (телекоммуникации);
• содержание мероприятий по защите информации;
• реализация технической политики по защите информации.