Студопедия
Случайная страница | ТОМ-1 | ТОМ-2 | ТОМ-3
АрхитектураБиологияГеографияДругоеИностранные языки
ИнформатикаИсторияКультураЛитератураМатематика
МедицинаМеханикаОбразованиеОхрана трудаПедагогика
ПолитикаПравоПрограммированиеПсихологияРелигия
СоциологияСпортСтроительствоФизикаФилософия
ФинансыХимияЭкологияЭкономикаЭлектроника

Административный уровень обеспечения информационной безопасности.

Методика построения корпоративной системы защиты информации | Формирование организационной политики безопасности | Организация службы безопасности объекта. | Особенности психологических подходов к профотбору. | Функции организационных схем управления и профессиограмм. | Доводы за выбор стратегии ответных действий на нарушение | Основные активы АС | Анализ угроз | Оценка рисков | Логарифмическая частота угрозы |


Читайте также:
  1. I уровень
  2. I уровень
  3. I уровень.
  4. I. Общая характеристика и современное состояние системы обеспечения промышленной безопасности
  5. II уровень
  6. II уровень
  7. II уровень

Темпы развития современных информационных технологий значительно опережают темпы разработки рекомендательной и нормативно-правовой базы руководящих документов, действующих на территории России. Поэтому решение вопроса об оценке уровня защищенности информационных активов компании обязательно связано с проблемой выбора критериев и показателей защищенности, а также эффективности корпоративной системы защиты информации. Вследствие этого, в дополнение к требованиям и рекомендациям стандартов, Конституции и федеральным законам, руководящим документам ФСТЭК России, приходится использовать ряд международных рекомендаций. В том числе адаптировать к отечественным условиям и применять на практике методики международных стандартов, таких, как ISO 17799, 9001, 15408, BSI и другие, а также использовать методики управления информационными рисками в совокупности с оценками экономической эффективности инвестиций в обеспечение защиты информации компании.

К организационным мерам защиты можно отнести организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации системы обработки и передачи данных фирмы или банка с целью обеспечения защиты информации. Насколько важным являются организационные мероприятия в общем арсенале средств защиты, говорит уже хотя бы тот факт, что ни одна система обработки данных не может функционировать без участия обслуживающего персонала. Кроме того, организационные мероприятия охватывают все структурные элементы системы защиты на всех этапах их жизненного цикла: строительство помещений, проектирование системы, монтаж и наладка оборудования, испытания и проверка в эксплуатации аппаратуры, оргтехники, средств обработки и передачи данных. Сегодня фирмы, специализирующиеся на изготовлении технических средств для промышленного шпионажа, выпускают устройства, которые по своим параметрам не уступают оперативной технике, используемой спецслужбами. Лучше вооружены сегодня те спецслужбы, у которых есть для этого необходимые денежные средства. Это обстоятельство необходимо учитывать при оценке потенциальных возможностей ваших конкурентов по ведению промышленного шпионажа. Первым шагом в создании эффективной системы защиты фирмы от технического проникновения конкурентов или злоумышленников должна стать оценка основных методов промышленного шпионажа, которыми могут воспользоваться ваши конкуренты, изучение характеристик, имеющихся у них на вооружении средств съема информации с отдельных помещений и технических средств фирмы. Предварительный анализ уязвимости помещений и технических средств фирмы от промышленного шпионажа позволяет сделать вывод о наиболее вероятных методах съема информации, которые может использовать конкурент. Такой анализ дает возможность службе безопасности фирмы выработать необходимые организационные, технические и специальные меры защиты объекта фирмы. Организационные меры защиты базируются на законодательных и нормативных документах по безопасности информации. Они должны охватывать все основные пути сохранения информационных ресурсов и включать:

- ограничение физического доступа к объектам обработки и хранения информации и реализацию режимных мер;

- ограничение возможности перехвата информации вследствие существования физических полей;

- ограничение доступа к информационным ресурсам и другим элементам системы обработки данных путем установления правил разграничения доступа, криптографическое закрытие каналов передачи данных, выявление и уничтожение "закладок";

- создание твердых копий важных с точки зрения утраты массивов данных;

- проведение профилактических и других мер от внедрения "вирусов".

По содержанию все множество организационных мероприятий можно условно разделить на следующие группы.

1) Мероприятия, осуществляемые при создании системы обработки, накопления, хранения и передачи данных заключающиеся в учете требований защиты при: разработке общего проекта системы и ее структурных элементов; строительстве или переоборудовании помещений; разработке математического, программного, информационного или лингвистического обеспечений; монтаже и наладке оборудования; испытаниях и приемке системы. Особое значение на данном этапе придается определению действительных возможностей механизмов защиты, для чего целесообразно осуществить целый комплекс испытаний и проверок.

2) Мероприятия, осуществляемые в процессе эксплуатации систем обработки данных: организация пропускного режима; организация автоматизированной обработки информации; распределение реквизитов разграничения доступа (паролей, полномочий и т.д.); организация ведения протоколов; контроль выполнения требований служебных инструкций и т.п.

3) Мероприятия общего характера: учет требований защиты при подборе и подготовке кадров; организация проверок механизма защиты; планирование всех мероприятий по защите информации; обучение персонала; проведение занятий с привлечением ведущих организаций; участие в семинарах и конференциях по проблемам безопасности информации и т.п.

Одна из важнейших организационных мер защиты информации - создание службы безопасности фирмы. Подумать о создании службы безопасности необходимо сразу, как только у вас появилась реальная опасность благополучному развитию фирмы (утечка "закрытой" информации, нанесение материального или финансового ущерба, угрозы руководству или рядовым сотрудникам), если объем сведений, составляющих коммерческую тайну, значителен и ваши партнеры требуют обеспечить безопасность сотрудничества. Однако не всякой фирме под силу нести расходы по обеспечению эффективной системы безопасности, поэтому, прежде всего, необходимо провести экономическое обоснование ее создания. В развитых западных странах на содержание служб безопасности выделяется до 20 процентов чистой прибыли в год. Таким образом, если фирма "зарабатывает" пять миллионов в год, то один миллион – по зарубежным стандартам - может быть потрачен на службу безопасности. Здесь возникает вопрос о рациональном распределении расходов на безопасность. Практика деятельности некоторых фирм в этой области показывает, что на содержание физической охраны тратится до 50 процентов, на техническое оснащение до 30 процентов, на другие нужды службы безопасности до 20 процентов расходуемых средств. Не секрет, что руководители очень крупных производственных и коммерческих организаций содержат охрану численностью в несколько сот человек. Оценив расходы на услуги охранников, оплату руководителей службы безопасности, приобретение и оснащение техническими средствами защиты (охранная и пожарная сигнализация, блокировочные замки, генераторы шума, криптографическая аппаратура и т.д.) экономисты могут легко подсчитать, во сколько обойдется содержание службы безопасности и сделать соответствующие выводы о целесообразности ее создания. Часть предпринимателей предпочитает формировать службу безопасности из профессионалов - сотрудников органов безопасности, подразделений разведки, МВД. Однако стороны не всегда находят общий язык. Например, предприниматель, действующий на грани закона и подбирающий в службу безопасности тех, кто его"прикроет" в трудную минуту, не может расчитывать на молчание каждого из своих сотрудников, связанных с правоохранительными органами. Поэтому некоторые руководители фирм требуют от принимаемых на работу прекращения всех деловых контактов с органами безопасности и милиции. Неплохо навести справки о личности нанимаемого в службу безопасности, запросить характеристики с прежних мест работы, получить рекомендации от заслуживающих доверие лиц. Эффективный способ проверки -испытательный срок соответствующими поручениями для кандидатов. В это же время можно подготовить и провести несколько безобидных экспериментов, в ходе которых вы удостоверитесь в необходимых для этой работы качествах испытуемого, например: отличном знании законодательства; хорошей профессиональной и физической подготовке; критическом творческом мышлении; способности быстро и глубоко анализировать события и т.д. В небольших организациях функции руководителя службы обычно выполняет либо глава фирмы, либо его заместитель.

Л2.

В структуру службы безопасности могут входить: руководитель, непосредственно подчиненный главе фирмы или сам являющийся директором (заместителем директора) фирмы; заместитель начальника службы безопасности - на некоторых предприятиях он руководит физической, а иногда и технической службами охраны; аналитик; юрист; специалисты в области обеспечения безопасности, экономической разведки, промышленной контрразведки; технические специалисты, умеющие применять специальную технику для защиты помещений; сотрудники физической охраны и пропускного режима (на некоторых фирмах они работают на контрактной основе (по найму), но подчиняются руководителю службы безопасности). В службе безопасности могут быть курьеры и инкассаторы, психологи и кинологи (если для охраны используются служебные собаки). Количественный состав службы безопасности весьма различен и зависит, прежде всего, от возможностей самой фирмы.На современном этапе отдается предпочтение физической и технической охране, время "оперативников" и аналитиков только начинается. Пока же лишь наиболее дальновидные предприниматели понимают, что своевременное получение достоверной информации о клиентах, предполагаемых партнерах и конкурентах, а также обеспечение безопасности сделок квалифицированными специалистами приносит наибольший эффект. Не секрет, что " прогоревшие" на крупных сделках руководители фирм пытаются нанять "крутых" парней для оказания физического и психологического воздействия на недобросовестного партнера, его семью и возвратить таким образом утраченные миллионы. Однако, как показывает практика, эти попытки, часто влекущие уголовную ответственность, - напрасная трата времени и средств. Поэтому главный принцип работы службы безопасности- предупреждение подобных ситуаций. Собственно, на этом принципе основано и деление службы безопасности по группам, обеспечивающим безопасность личности (руководителей, персонала фирмы и членов их семей); защиту материальной базы и коммерческих тайн фирмы. Служба безопасности защищает помещения офисов, оборудование и технику, транспорт, землю, на которой осуществляется производственные или коммерческая деятельность и т.п. Анализирует, кто из конкурентов может заниматься вымогательством и шантажом. Не менее важное значение имеет защита связей с партнерами, экономического положения на рынке.

К числу способов защиты экономической базы фирмы относятся аудиторские проверки, заключение сделок по факту поставки товаров и т.п. Предотвращение хищений имущества и ценностей фирмы обеспечивается, помимо работы с персоналом, контролем и защитой от несанкционированного проникновения в помещение, к грузам, ценностям, носителям информации. В связи с тем, что до 80 % случаев утечки информации и утраты документов совершается по вине персонала, служба безопасности (СБ) самым внимательным образом проводит работу по подбору и проверке сотрудников, обучает их работе с секретной информацией. СБ может иметь открытую и закрытую области деятельности. Работа открытого характера связана с поддержанием официальных контактов с представителями других предприятий, прессой, персоналом фирмы. Закрытая деятельность обычно не афишируется. Это, как правило, скрытая проверка персонала, выполнение различных конфиденциальных поручений руководства фирмы.

Современные методики управления рисками, проектирования и сопровождения корпоративных систем защиты информации должны позволять решить ряд задач перспективного стратегического развития компании.

Во-первых, количественно оценить текущий уровень информационной безопасности компании, что потребует выявления рисков на правовом, организационно-управленческом, технологическом, а также техническом уровнях обеспечения защиты информации.

Во-вторых разработать и реализовать комплексный план совершенствования корпоративной системы защиты информации для достижения приемлемого уровня защищенности информационных активов компании. Для этого необходимо:

обосновать и произвести расчет финансовых вложений в обеспечение безопасности на основе технологий анализа рисков, соотнести расходы на обеспечение безопасности с потенциальным ущербом и вероятностью его возникновения;

выявить и провести первоочередное блокирование наиболее опасных уязвимостей до осуществления атак на уязвимые ресурсы;

определить функциональные отношения и зоны ответственности при взаимодействии подразделений и лиц по обеспечению информационной безопасности компании, создать необходимый пакет организационно-распорядительной документации;

разработать и согласовать со службами организации, надзорными органами проект внедрения необходимых комплексов защиты, учитывающий современный уровень и тенденции развития информационных технологий;

обеспечить поддержание внедренного комплекса защиты в соответствии с изменяющимися условиями работы организации, регулярными доработками организационно-распорядительной документации, модификацией технологических процессов и модернизацией технических средств защиты.

Решение названных задач открывает новые широкие возможности перед должностными лицами разного уровня.

Руководителям верхнего звена это поможет объективно и независимо оценить текущей уровень информационной безопасности компании, обеспечить формирование единой концепции безопасности, рассчитать, согласовать и обосновать необходимые затраты на защиту компании. На основе полученной оценки начальники отделов и служб смогут выработать и обосновать необходимые организационные меры (состав и структуру службы информационной безопасности, положение о коммерческой тайне, пакет должностных инструкций и инструкции действия в нештатных ситуациях). Менеджеры среднего звена смогут обоснованно выбрать средства защиты информации, а также адаптировать и использовать в своей работе количественные показатели оценки информационной безопасности, методики оценки и управления безопасностью с привязкой к экономической эффективности компании.

Практические рекомендации по нейтрализации и локализации выявленных уязвимостей системы, полученные в результате аналитических исследований, помогут в работе над проблемами информационной безопасности на разных уровнях и, что особенно важно, определить основные зоны ответственности, в том числе материальной, за ненадлежащее использование информационных активов компании. При определении масштабов материальной ответственности за ущерб, причиненный работодателю, в том числе разглашением коммерческой тайны, следует руководствоваться положениями гл. 39 Трудового кодекса РФ.

 


Дата добавления: 2015-07-20; просмотров: 67 | Нарушение авторских прав


<== предыдущая страница | следующая страница ==>
Приложение I| Разновидности аналитических работ по оценке защищенности.

mybiblioteka.su - 2015-2024 год. (0.008 сек.)