Структура и функции органов защиты информации

Защита ин­формации в современных АСОД является крупномасштабной и весьма сложной проблемой. Естественно, что такой масштабной постановке за­дачи должна соответствовать не менее масштабная программа реализа­ции концепции защиты.

При обосновании конкретной структуры органов защиты один из основополагающих принципов должен заключаться в учете происходя­щих в нашей стране изменений и, в частности – решительный курс на ры­ночные отношения. В связи с этим представляется, что основу структуры органов защиты должны составить специализированные центры защиты, которые в наибольшей степени могут быть приспособлены к рыночным отношениям. Но поскольку в хозяйстве страны в той или иной мере остаются ведомственные структуры, то и это обстоятельство долж­но най­ти отображение в структуре органов защиты.

В соответствии с изложенным общую организационную структуру органов, ответственных за защиту информации в стране, можно предста­вить так, как показано на рис. 1.

Рис. 1. Структура органов, ответственных за защиту информации.

Таким образом, в предложенной структуре предусмотрены органы пяти категорий: административные, научно-организаторские, центры за­щиты информации, службы защиты информации на объектах и учебно-методические центры.

Основные функции органов перечисленных кате­горий могут быть сформулированы следующим образом:

– административные – формирование общего заказа на работы в области защиты информации, общая организация и координация работ, решение вопросов финансирования работ, организация промышленного производства средств защиты;

– научно-организаторские – организация научно-исследовательских и опытно-конструкторских работ, координация всех исследований и раз­работок в области защиты информации;

– центры защиты информации – проведение НИР и ОКР (научно-исследователь­ские работы и опытно-конструкторские разработки) в области защиты информации, оказание широкого спектра услуг объектам (предприятиям, учреждениям, другим организациям) в части защиты ин­формации;

– службы защиты информации – решение всего комплекса вопро­сов, связанных с непосредственной защитой информации на объектах;

– учебно-методические центры – подготовка и повышение квали­фикации специалистов, профессионально подготовленных для решения задач во всех органах перечисленных выше категорий, разработка науч­ных, учебно-методиче­ских и других пособий.

Нетрудно видеть, что основу общегосударственной системы орга­нов защиты должны составить специализированные центры защиты, профессионально ориентированные на решение в рамках унифицирован­ной концепции всей совокупности вопросов эффективной защиты ин­формации во всех АСОД различного назначения и различной архитекту­ры.

Как показано на рис. 4, в структуре органов защиты информации предусмотрены центры защиты двух уровней:

– главный центр;

– террито­риальные и ведомственные центры.

В силу этого сеть территориальных и ведомственных центров защиты должна быть достаточно развитой, и она должна непрерывно расширяться за счет создания новых центров.

Со­вершенно очевидно, что должен быть какой-то орган, который мог бы обеспечить создание и оснащение центров на новейшей научной основе. Таким органом и должен быть главный центр защиты информации, а обеспечение создания новых территориальных или ведомственных цент­ров защиты должно быть одной из основных его функций.

Но это еще не все. Каждый из территориальных или ведомственных центров должен будет оказывать широкий спектр услуг достаточно большому числу АСОД. В функции главного центра должно входить также оказание текущей помощи территориальным и отраслевым цен­трам, а также научное обоснование проектов тех решений, которые го­товятся для принятия административными органами.

Таким образом, контуры сети центров защиты информации вырисовываются в следующем виде.

Главный центр защиты информации должен представлять собой учреждение научно-исследовательского профиля, укомплектованное высококвалифициро­ванными кадрами-профессионалами в области защиты информации и оснащенное всем необходимым для эффективного выполнения следую­щих функций:

– организация и проведение фундаментальных исследований в об­ласти защиты информации и поддержание на этой основе концепций за­щиты информации на уровне новейших достижений науки и техники;

– разработка, формирование и непрерывное совершенствование методологической и инструментальной базы защиты информации;

– научно-методическое и инструментальное обеспечение создания новых территориальных и ведомственных центров защиты информации;

– научное обоснование организационно-административных реше­ний в области защиты информации;

– оказание текущей повседневной помощи территориальным и ве­домственным центрам защиты.

Приведенный перечень предлагается лишь в качестве первого при­ближения, он должен и пополняться и уточняться в процессе более глубо­кой проработки концепции главного центра защиты.

Рассмотрим теперь основные вопросы, связанные с построением и организацией функционирования территориальных и ведомственных (отраслевых) центров защиты информации. Указанные вопросы к на­стоящему времени исследованы достаточно детально, что позволило сформулировать достаточно стройную концепцию организации назван­ных центров.

Основные положения данной концепции представляются в следую­щем виде.

Дадим определение центру защиты информации.

Центр защиты информации (ЦЗИ) (территориальный, ведомственный) – это специализированное научно-производственное предприятие (объединение), профессионально ориентированное на раз­работку, практическую реализацию и внедрение системно-концептуаль­ных решений в области защиты информации, а также конкретных средств, методов и мероприятий защиты.

Основная цель создания сети центров. Создание объективных пред­посылок для непрерывного развития и наиболее рациональной реализа­ции концепций защиты информации в условиях лавинообразного внед­рения средств вычислительной техники и связи в различные сферы дея­тельности современного общества.

Основные функции центров:

– участие в исследованиях и разработ­ках концептуальных вопросов защиты информации;

– аккумулирование новейших достижений в области защиты информации и сведений о раз­работках методологий, средств и методов защиты;

– приобретение (сбор), разработка, накопление и хранение программных и организаци­онных средств защиты;

– формирование, сбор, накопление, систематиза­ция и хранение данных, необходимых для решения центром всей сово­купности задач по защите информации;

– оказание конкретным АСОД услуг по созданию, организации и обеспечению функционирования си­стем защиты;

– сбор, накопление, хранение и аналитико-синтетическая обработка данных о функционировании систем (механизмов) защиты информации у абонентов.

Принципы построения:

– функциональная и организационная само­стоятельность;

– высокий профессионализм;

– гибкость организацион­ного построения;

– различные формы взаимоотношений с абонентами и партнерами;

– непрерывное совершенствование.

Место ЦЗИ в общей структуре органов, ответственных за защиту информации, выделено на рис. 1. Нетрудно видеть, что рассматри­ваемые центры должны стать посредниками, с одной стороны, между главным центром защиты информации и АСОД региона (ведомства) в плане реализации в масштабе региона (отрасли) основных положений унифицированной концепции защиты информации, а с другой – между учебно-методическими центрами и АСОД в плане подготовки, перепод­готовки и повышения квалификации специалистов по защите информа­ции.

В соответствии с целевым назначением и статусом ЦЗИ, которые определены выше, очевидно, можно выделить три основных вида дея­тельности таких центров:

– поддержание связей с внешними организациями, то есть с главным центром защиты информации и учебно-методическими центрами. Кроме того, по мере развития сети отраслевых и региональных центров защиты ЦЗИ будет поддерживать связи взаимодействия;

– формирование и поддержание базы, необходимой для эффек­тивного выполнения центром своих задач;

– непосредственное оказание услуг по защите информации всем АСОД, имеющимся и создаваемым на предприятиях и в учреждениях ре­гиона или отрасли.

В каждом из названных видов деятельности ЦЗИ должен решать целый ряд разноплановых задач.

Поддержание внешних связей. Основной целью внешних связей ЦЗИ должно быть поддержание научно-методологической базы центра на уровне новейших достижений в области защиты информации и обмен опытом различных центров.

Соответственно этому основное содержание внешних связей может быть пред­ставлено следующим образом:

– участие совместно с главным центром и другими территориаль­ными и ведомственными центрами в проведении НИР и ОКР по защите информации;

– участие с другими центрами в формировании основы инструмен­тальных средств защиты информации;

– участие в совместных мероприятиях по сбору и аналитико-синтетической обработке данных, относящихся к защите информации;

– участие в общих мероприятиях по защите информации (конференциях, семинарах и т.п.), проводимых как внутри страны, так и за рубежом;

– участие в разработке документов и трудов по защите информа­ции общего характера;

– разработка и реализация предложений по подготовке, переподго­товке и повышению квалификации специалистов по защите информации.

Формирование базы, необходимой для решения ЦЗИ своих задач.

Создание органи­зованных совокупностей указанных компонентов и регулярное их ведение и составляет основу того, что названо формированием базы, необходи­мой для решения ЦЗИ своих задач. Основу этой базы составляет инже­нерный инструментарий зашиты информации. Помимо инструментария в базу центра будет входить еще целый ряд компонентов. Создание и под­держание инструментально-методологической базы должно быть важ­нейшей функцией ЦЗИ.

Основное содержание этой функции ЦЗИ в структурированном ви­де представляется следующим перечнем непрерывно выполняемых работ:

– первоначальное создание и непрерывное ведение инструменталь­ных средств защиты информации;

– сбор, разработка и накопление программных и организационных средств защиты;

– разработка предложений на производство средств защиты;

– разработка внутрицентровых документов и пособий по защите информации;

– сбор и аналитико-синтетическая обработка данных по защите информации;

– организация и проведение с абонентами центра научно-методических мероприятий, относящихся к защите информации.

Оказание услуг абонентам центра. Работа с абонентами является стержневой функцией деятельности центров защиты, обусловливающей саму идею их создания.

Исходя из этой генеральной посылки, основные услуги, которые должен оказывать центр абонентам, могут за­ключаться в следующем:

– организация и проведение разъяснительной и рекламной работы по вопросам защиты информации вообще и возможностях центра в част­ности;

– консультирование по всей гамме вопросов, относящихся к защите информации;

– обследование АСОД абонентов с целью определения необходи­мой защиты;

– разработка рекомендаций по наиболее рациональной организа­ции защиты;

– разработка проектов систем (механизмов) защиты;

– разработка и поставка программных и организационных средств защиты;

– посредничество при заказе, закупке и поставке технических средств защиты;

– проведение пусконаладочных работ систем (механизмов) защиты информации на АСОД абонента;

– разработка и поставка документации, необходимой для эффек­тивной эксплуатации систем (механизмов) защиты информации;

– обучение персонала АСОД абонента приемам и правилам защи­ты информации;

– проведение (по согласованию с администрацией АСОД абонен­та) летучих проверок соблюдения правил защиты информации;

– проведение контроля функционирования систем (механизмов) защиты информации;

– проведение аналитико-синтетической обработки статистических данных о функционировании систем (механизмов) защиты информации в АСОД с целью объективной оценки состояния защищенности информа­ции;

– разработка рекомендаций по совершенствованию (реконструк­ции) систем (механизмов) защиты;

– организация и обеспечение совершенствования (реконструкции) систем (механизмов) защиты.

Уже один перечень услуг, которые должен оказывать абонентам центр защиты, дает представление о принципиальной значимости орга­низации и осуществления процессов взаимодействия центра с абонента­ми.

Для непосредственной организации создания и функционирования системы защиты информации в АСОД может быть (а при больших объ­емах защищаемой информации – должна быть) создана специальная штатная служба защиты (служба безопасности).

Служба защиты информации представляется как специальное штатное или нештатное подразделение АСОД, создаваемое для квалифи­цированной разработки системы защиты информации и обеспечения ее функционирования. Основные функции службы защиты заключаются в следующем:

– формирование требований к системе защиты в процессе создания АСОД;

– участие в проектировании системы защиты;

– участие в испытаниях системы защиты и ее составных элементов;

– планирование, организация и обеспечение функционирования си­стемы защиты информации в процессе функционирования АСОД;

– распределение между пользователями необходимых реквизитов защиты: паролей, дополнительной идентифицирующей информации, ключей защиты и т.п.;

– организация генерирования и установки кодов идентификаторов технических средств;

– организация и ведение в ЗУ АСОД служебных массивов системы защиты;

– наблюдение за функционированием системы защиты и ее элемен­тов;

– организация превентивных проверок надежности функциониро­вания систем защиты;

– обучение пользователей и персонала АСОД правилам обработ­ки защищаемой информации;

– контроль за соблюдением пользователями и персоналом АСОД правил обращения с защищаемой информацией в процессе автоматизи­рованной ее обработки;

– принятие мер при попытках несанкционированного доступа к информации и при нарушениях правил функционирования системы за­щиты.

Организационно-правовой статус службы защиты определяется следующим образом:

– численность службы должна быть достаточной для выполнения всех перечисленных выше функций;

– служба защиты должна подчиняться тому лицу, которое в дан­ном учреждении несет персональную ответственность за соблюдение пра­вил обращения с защищаемой информацией;

– штатный состав службы защиты не должен иметь других обязан­ностей, связанных с функционированием АСОД;

– сотрудники службы защиты должны иметь право доступа во все помещения, где установлена аппаратура АСОД, и право прекращать ав­томатизированную обработку при наличии или угрозе утечки защищае­мой информации;

– руководителю службы защиты должно быть предоставлено пра­во запрещать включение в число действующих новые элементы компо­нентов АСОД, если они не отвечают требованиям защиты информации;

– службе защиты должны обеспечиваться все условия, необходи­мые для выполнения своих функций.

Права и обязанности других должностных лиц АСОД могут быть определены следующим образом:

1) основные права пользователей АСОД заключаются в предостав­лении им возможностей свободного (в пределах санкций) доступа к за­щищаемой информации, а также в обеспечении возможностей гаранти­рованного закрытия (защиты) той информации, которую пользователь объявляет защищаемой.

Основные их обязанности сводятся к соблюде­нию правил автоматизированной обработки защищаемой информации (соблюдение правил защиты);

2) администрации ИВС должно быть предоставлено право требо­вать от пользователей соблюдения технологических схем автоматизиро­ванной обработки информации и приостанавливать обработку в случае нарушения этих правил, основные обязанности – обеспечивать постоян­ную и надежную работу компонентов ИВС (включая и систему защиты) и самим соблюдать правила функционирования АСОД при обработке за­щищаемой информации;

3) администрация банка данных является главным органом, осу­ществляющим организацию баз данных на физическом уровне и наблю­дение за их использованием, в том числе и защиту информации в преде­лах банка.

С учетом правового обеспечения выполнения своих функций администрацией банка существенными являются следующие два момента: руководителю администрации банка должна быть предоставле­на необходимая административная власть; в технологических схемах ав­томатизированной обработки информации должно быть однозначно оп­ределено, с какого момента ответственность за защиту информации пере­ходит к администрации банка, причем этот момент и содержание инфор­мации в момент передачи должны быть документально зафиксированы.

Дата добавления: 2014-01-15; Просмотров: 1884; Нарушение авторских прав?; Мы поможем в написании вашей работы!