КАТЕГОРИИ: Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748) |
Факторы и условия, определяющие уровень эффективности защиты информации
Кадровое обеспечение деятельности органов внутренних дел по борьбе с преступлениями в сфере компьютерных технологий приобрело особое значение на рубеже 20-21 веков в связи с формированием в развитых странах информационного общества. Раскрытие и расследование преступлений в сфере компьютерной информации, а также таких «традиционных» преступлений, как: присвоение, мошенничество, фальшивомонетничество, лжепредпринимательство и др., когда компьютерные средства используются для совершения и сокрытия преступлений, невозможно без привлечения специальных познаний в области современных информационных технологий. Информации Значение и состав кадрового обеспечения защиты Доктрина информационной безопасности Российской Федерации относит развитие и совершенствование системы подготовки кадров, работающих в сфере обеспечения информационной безопасности, к первоочередным задачам государственной политики. Задачи кадрового обеспечения вошли отдельным разделом в Перечень приоритетных направлений научных исследований в области информационной безопасности Российской Федерации, неоднократно рассматривались на заседаниях Межведомственной комиссии Совета безопасности и секции по информационной безопасности научного совета при Совете безопасности Российской Федерации, Межведомственной комиссии по защите государственной тайны. Благодаря принятым мерам под руководством Минобрнауки России во взаимодействии с заинтересованными федеральными органами исполнительной власти в стране сформировались основные направления многоуровневой системы подготовки кадров в области информационной безопасности.
Поэтому одной из первоочередных задач в создании и поддержке национальной системы информационной безопасности является гарантированное и надежное обеспечение ее высококлассными специалистами путем построения государственной системы подготовки специалистов по информационной безопасности, которая включала бы следующие составляющие: - информационная безопасность – специфическая предметная отрасль, подготовка специалистов для которой предусматривает необходимость преподавания специальных разделов фундаментальных и инженерных дисциплин: математики, электроники, акустики, оптики, кибернетики и др.; - система образования в области информационной безопасности должна обеспечивать соответствие уровня подготовки специалистов уровню научных знаний, который в реальном масштабе времени (без опоздания на несколько лет) реализуется путем регулярной переподготовки и повышения квалификации, а также путем подготовки высококвалифицированных научно-педагогических кадров в магистратуре, аспирантуре, докторантуре; - общую подготовку по вопросам информационной безопасности должны иметь все специалисты и пользователи, которые принимают участие в процессах, связанных с обработкой и обменом информацией, руководители предприятий, учреждений, организаций; - подготовка специалистов по информационной безопасности всех категорий должна строиться на единой научно-методической и правовой основе. В соответствии с функциональными обязанностями работники кадровых служб органов власти, предприятий, учреждений и организаций имеют отношение к защите информации, составляющей различные виды тайны. В организациях, выполняющих работы, связанные с использованием сведений, составляющих государственную тайну, независимо от организационно-правовых форм, таким видом является государственная тайна; в организациях, осуществляющих коммерческую, предпринимательскую деятельность, независимо от организационно-правовых форм, — коммерческая тайна, в государственных и муниципальных организациях — служебная тайна; во всех организациях — отдельные разновидности профессиональной тайны, среди которых непременной являются персональные данные (информация о гражданах).
Участие кадровой службы в обеспечении защиты информации носит двоякий характер: с одной стороны, работники службы совместно с руководителями соответствующих подразделений осуществляют подбор кадров на должности, связанные с использованием сведений, составляющих тот или иной вид тайны, и оформляют материалы на допуск их к соответствующему виду тайны; с другой стороны, работники кадровой службы должны обеспечивать защиту информации, используемой ими для выполнения своих функциональных обязанностей, в процессе работы с ней. Особенностью подбора кадров на должности, связанные с использованием информации, составляющей любой вид тайны, является то, что кандидаты помимо общих деловых и моральных качеств должны обладать качествами, необходимыми для работы с конфиденциальной информацией. К ним в первую очередь относятся внимательность, аккуратность, дисциплинированность, чувство ответственности за выполняемую работу. Отсутствие таких качеств нередко является причиной утраты носителей конфиденциальной информации. Конфиденциальная информация должна быть защищена не только от утраты, но и от утечки, т.е. попадания к лицам, не имеющим санкционированного доступа к ней. Утечка информации чаще всего происходит в результате ее разглашения различными способами. Причинами или предпосылками этого являются корыстолюбие, алчность, склонность к развлечениям, пьянству, наркотикам, зависть, тщеславие, хвастовство, болтливость, легкомыслие, стремление показать свою значимость, карьеризм. Поэтому в процессе подбора кандидатов на должности следует выявлять наличие у них вышеперечисленных качеств, что, безусловно, должно влиять на решение о принятии их на работу. Кроме того, Законом РФ «О государственной тайне» от 21 июля 1993 г. № 5485-1 определены основания для отказа гражданину в допуске к государственной тайне, а следовательно, и для отказа в приеме на работу, связанную с использованием сведений, составляющих государственную тайну. Такими основаниями на стадии подбора кадров могут являться:
- признание гражданина судом недееспособным, ограниченно дееспособным или рецидивистом, нахождение его под судом или следствием за государственные и иные тяжкие преступления, наличие у него неснятой судимости за эти преступления; - наличие у гражданина медицинских противопоказаний для работы с использованием сведений, составляющих государственную тайну, согласно перечню, утверждаемому Министерством здравоохранения Российской Федерации; - постоянное проживание гражданина и (или) его близких родственников за границей и (или) оформление указанными лицами документов для выезда на постоянное место жительства в другие государства. Эти основания в той или иной мере следует учитывать и при подборе кадров на должности, связанные с использованием информации, составляющей другие виды тайны, однако нужно иметь в виду, что решение об отказе в приеме на работу по перечисленным основаниям гражданин имеет право обжаловать в вышестоящую организацию или в суд. В отличие от государственной тайны порядок оформления допуска к другим видам тайны законодательством или иными нормативными актами не регламентирован, за исключением имеющегося в ТК РФ положения о том, что в трудовом договоре могут предусматриваться условия о неразглашении охраняемой законом тайны (государственной, служебной, коммерческой и иной). Однако это не означает, что не должно быть никакой процедуры оформления лиц на допуск к таким видам тайны. Отсутствие данной процедуры в государственных нормативных документах обусловлено тем, что определение состава сведений, относимых к коммерческой и служебной тайне, организация их защиты возложены на руководителя организации. Следовательно, руководители организаций должны определять и процедуру оформления на допуск к соответствующему виду тайны. Такая процедура по каждому виду тайны может включать в себя:
- разработку перечня сведений, составляющих данный вид тайны; - разработку номенклатуры должностей работников, подлежащих допуску к данному виду тайны; - включение в трудовой договор условий, относящихся к защите работником доверенных ему сведений, составляющих данный вид тайны; - ознакомление работника с перечнем сведений, составляющих данный вид тайны, которые имеют отношение к исполнению работником своих должностных обязанностей, и с нормами законодательства, предусматривающими ответственность за разглашение сведений, содержащих данный вид тайны, и утрату носителей таких сведений. ТК РФ не предусматривает заполнение работниками, принимаемыми на должности, связанные с использованием сведений, составляющих коммерческую, служебную и профессиональную тайну, анкеты или личного листка по учету кадров. Перечни сведений по каждому виду тайны необходимы не только для того, чтобы установить состав информации, подлежащей защите, но и для вычленения из этого состава сведений, относящихся к определенным должностям работников, а также для предотвращения необоснованного отнесения сведений к разряду конфиденциальных. Порядок разработки перечней сведений, составляющих различные виды тайны, будет рассмотрен в одной из статей, опубликованных в ближайших номерах журнала. Номенклатуры должностей работников, подлежащих допуску к каждому виду тайны, разрабатываются на основе перечней сведений, составляющих соответствующие виды тайны, и имеют своей целью определение по каждой должности состава сведений, необходимых для ее исполнения. Номенклатура может иметь следующие графы:
Номенклатура должностей разрабатывается подразделением по защите информации (службой безопасности) с участием руководителей соответствующих подразделений и кадровой службы и утверждается руководителем организации. Подразделением по защите информации совместно с кадровой службой должны быть определены (сформулированы) и условия, относящиеся к защите информации, для включения их в трудовой договор. В эти условия необходимо включать обязательства работника о неразглашении в любой форме доверенных ему сведений, составляющих данный вид (данные виды) тайны, и его ответственность за разглашение конфиденциальной информации и утрату ее носителей. По оценкам экспертов в области компьютерной безопасности, до 80% всех компьютерных преступлений совершено работающими или уволенными сотрудниками. Причин можно назвать много, самая распространенная из них - неудовлетворенность работника статусом или зарплатой. Наиболее опасным является увольнение сотрудников, обладающих большими полномочиями и имеющих доступ к широкому спектру информации. Первостепенной задачей современного образования становится разработка таких методов учебно-воспитательной работы, где бы гармонично сочеталось обучение современным информационным технологиям с формированием высоких нравственных качеств для выработки иммунитета к совершению преступлений в информационной сфере. Поскольку современные системы защиты становятся все более сложными и комплексными как по целям, так и по используемым методам и средствам защиты, необходимо расширять номенклатуру образовательных специальностей по защите информации. Подготовка кадров должна осуществляться комплексно в нескольких уровнях: - подготовка молодых специалистов на базе школьного образования (срок обучения - 5 - 5,5 лет); - подготовка специалистов по информационной безопасности на базе высшего технического образования (срок обучения - 2 - 2,5 года); - переподготовка кадров на краткосрочных курсах повышения квалификации специалистов и руководителей подразделений (срок обучения - 2 - 4 недели); - подготовка специалистов на базе среднетехнического образования через колледж на базе 9 классов (срок обучения - 4 - 5 лет); - подготовка специалистов высшей квалификации через аспирантуру и защита диссертационных работ в специализированных советах. По-прежнему актуальна проблема развития системы подготовки кадров в области информационной безопасности как по "вертикали" - с охватом всех уровней подготовки, так и по "горизонтали" - с выходом на проблемы информационной безопасности в гуманитарной сфере и на стыке естественнонаучных, технических и гуманитарных направлений. В первую очередь это относится к подготовке и переподготовке специалистов правоохранительных органов, органов суда и прокуратуры в области борьбы с преступлениями в сфере компьютерной информации. Представляется необходимым создать систему непрерывного профессионального образования специалиста в области информационной безопасности. Для отражения современных достижений в области защиты информации необходимо регулярно (не менее 1 раза в год) пересматривать содержание специальных учебных дисциплин. В настоящее время целесообразно дополнить учебные программы подготовки специалистов в области информационной безопасности дисциплинами по нормативно-правовой базе информационных технологий и по стратегии и тактике информационной войны.
Одним из принципиальных положений рассмотренной здесь концепции защиты информации является наличие обратной связи от конструктивных компонентов концепции к ее исходной основе, то есть к концепциям построения и организации функционирования АСОД. Основное содержание названной обратной связи составляют те условия, соблюдение которых создает объективные предпосылки для наиболее эффективного решения задач защиты. Исходя из этого, представляется настоятельно целесообразным сформулировать, возможно, более полную совокупность этих условий. Традиционные концепции защиты информации в АСОД исходили из того, что архитектура АСОД и технологические схемы ее функционирования являются заданными и при решении вопросов защиты информации не подлежат воздействию. В современных условиях, при более широком внедрении индустриальных принципов и методов обработки информации, такое положение может стать одной из причин постепенного и все более существенного снижения эффективности защиты информации. Вопрос об условиях, способствующих эффективности защиты информации, является новым, в явном виде до недавнего времени он не ставился, поэтому проработки его находятся в начальной стадии. Всю совокупность названных условий целесообразно представить так, как изображено на рис. 6.
Рис. 6. Классификация условий, способствующих повышению эффективности защиты информации в АСОД.
Нетрудно видеть, что выделенные на классификационной схеме условия являются разноплановыми, разномасштабными и разновременными по реализации. Далее рассматривается общее содержание выделенных на рисунке групп условий, причем основное внимание уделено конструктивным условиям, поскольку они являются наиболее значимыми. Общеметодологическими названы условия, создающие общие предпосылки повышения эффективности защиты информации. Как показано на рис. 6, в данном классе выделено две группы условий: – осознание проблемы; – наличие предпосылок решения. Под осознанием проблемы понимается не просто признание необходимости защиты информации (в этом сегодня вряд ли кто сомневается), а необходимость именно системно-концептуального подхода. Для такого осознания, необходим диалектический переход на качественно новую ступень самих представлений о сущности проблемы. Такой переход сейчас еще только намечается, подавляющее большинство специалистов продолжают находиться в плену прежних, традиционных концепций, которые сегодня уже не обеспечивают необходимую эффективность использования средств защиты информации. Под наличием предпосылок повышения эффективности защиты информации понимается совокупность следующих условий: – наличие стройной, обоснованной, разработанной и общепризнанной концепции защиты; – наличие достаточно полно разработанных и проверенных методов и моделей защиты; – наличие достаточно полного арсенала средств защиты; – наличие полного и достаточно детально разработанного методического обеспечения в виде как публикаций научного характера, так и официальных документов (стандартов, руководящих методических материалов, методик и т.п.); – наличие достаточного числа квалифицированных специалистов-профессионалов по защите информации. Уже из одного перечисления условий, создающих предпосылки повышения эффективности защиты, нетрудно видеть, что создание этих предпосылок сопряжено с разработкой и реализацией некоторой достаточно сложной программы, составными частями которой должны быть: – разработка теоретических и практических основ защиты информации, для чего должны быть проведены всесторонние исследования сущности проблемы и путей ее решения; – разработка методов и моделей защиты информации, а также реквизитов, необходимых для практической реализации методов и моделей; – разработка такого арсенала различных средств защиты, на базе которого была бы возможной реализация идеи регулярной защиты информации; – экспериментальная проверка концептуальных положений, а также разрабатываемых средств, методов и моделей, для чего должен быть создан (выделен) достаточно оборудованный, оснащенный и подготовленный полигон; – разработка материалов методического обеспечения, для чего должны быть созданы квалифицированные авторские коллективы, предусмотрена полиграфическая база и выделены необходимые материально-технические средства; – подготовка достаточного числа профессиональных специалистов по вопросам защиты информации: от инженерно-технического персонала до научных работников высшей квалификации; – организационно-техническое обеспечение защиты информации: формирование в составе АСОД служб защиты, определение их статуса, создание условий и обеспечение их функционирования. В классе организационных условий выделено две группы: – структурно-функциональная однозначность компонентов системы обработки данных; – организационно-методологическое единство управления. Под структурно-функциональной однозначностью компонентов системы обработки данных понимается положение, когда для каждого компонента системы и каждого его элемента строго и однозначно определены его функциональное назначение, место в общей архитектуре системы, режимы функционирования, порядок использования и т.п. Предполагается также, что созданы условия для постоянного поддержания такой однозначности во все время функционирования системы. Организационно-методологическое единство управления заключается в том, что все процедуры управления защитой информации во всех структурных элементах системы обработки данных всеми органами (объектами) управления осуществляются строго в рамках единой концепции защиты. Обратимся теперь к условиям третьего класса, которые названы конструктивными, причем этим термином подчеркивается их содержательное, осязаемое влияние на защиту информации. Первая группа условий данного класса названа концептуальной стандартизацией в области построения АСОД. Под концептуальной стандартизацией понимается стандартизация на уровне концепций, общих принципов и правил организации и обеспечения рассматриваемого вида деятельности. Рассматриваемым здесь видом деятельности является обработка данных, причем обработка на поточно-индустриальной основе. Поэтому, говоря о концептуальной стандартизации, надо иметь в виду разработку стандартных принципов и правил организации и обеспечения обработки данных на поточно-индустриальной основе. В настоящее время общеизвестным является тот факт, что индустриализация обработки информации может быть осуществлена лишь на базе комплексного применения вычислительной техники. Поэтому концептуальная стандартизация помимо сказанного выше должна предусматривать также стандартизацию (или, по крайней мере, структуризацию) концепций организации ресурсов вычислительной техники. Но и это еще не все. Обработка информации производится не вообще, а с целью обеспечения вполне определенной деятельности. Поэтому концептуальная стандартизация должна касаться также стандартизации (структуризации) соответствующего вида деятельности. Поэтому, если, например, речь идет о такой сфере деятельности, как организационно-распорядительное управление, то концептуальная стандартизация должна предусматривать: структуризацию концепций управления, комплексной автоматизации обработки данных в сфере управления и организации ресурсов вычислительной техники, необходимых для данной комплексной автоматизации. При этом стандартизация перечисленных концепций должна осуществляться не изолированно, а взаимосвязано, так, как показано на рис. 7.
Рис. 7. Схема формирования структурированной концепции
Основными процессами технологии управления являются следующие: – планирование, то есть разработка плана (программы) предстоящей деятельности; – руководство выполнением планов, то есть слежение за ходом выполнения плана, принятие необходимых мер при отклонениях (или проявлении признаков отклонений) управляемых процессов от запланированного их протекания или (и) корректировка планов при невозможности (или нецелесообразности) поддержания запланированного протекания управляемых процессов; – информационное обеспечение всех лиц и органов, участвующих в процессе управления. Структуризация концепций комплексной автоматизации в сфере управления осуществляется с целью формирования стройной совокупности положений, обеспечивающих оптимальное решение всех вопросов комплексной автоматизации процессов обработки данных в системах управления на поточно-индустриальной основе. Как следует из приведенного определения, основополагающими понятиями данной концепции являются комплексная автоматизация процессов обработки данных в системах управления и поточно-индустриальные принципы комплексной автоматизации. Формирование этих подходов должно осуществляться исходя из следующих целевых установок: – должна осуществляться комплексная автоматизация всех основных процедур обработки информации, необходимых для обеспечения всех процессов управления; – автоматизированная обработка информации должна органически войти в технологию управления; – автоматизированная обработка информации должна быть максимально унифицированной и стандартизированной. Достижение первой цели может быть обеспечено, если в структурированных схемах процессов технологии управления предусмотреть автоматизацию всех основных процедур обработки информации. Создание условий для такой автоматизации являлось одной из основных целей разработки структурированной технологии управления. Основными условиями достижения второй цели являются: – обеспечение автоматизированной обработки информации в масштабе времени осуществления процессов управления. – свободный доступ руководителей и специалистов органов управления к ресурсам вычислительной техники. Как известно, современные средства обеспечивают решение названных задач. Достижение третьей цели (унификация и стандартизация процедур автоматизированной обработки информации) предполагает создание таких условий, при которых будут в наличии заблаговременно разработанные и упорядоченные программы всего множества процедур обработки информации, встречающихся при осуществлении основных процессов управления. При этом обращение к этим процедурам должно быть не только стандартным и параметрическим, но и осуществляться на языке функциональных приложений. Иными словами, язык запросов должен быть весьма близок к языку технологии управления. Условия, необходимые для достижения этой цели, могут быть созданы повсеместным внедрением унифицированной технологии автоматизированной обработки информации. Содержание последних двух групп конструктивных условий, способствующих повышению эффективности защиты информации, заключается в структуризации компонентов АСОД и технологических схем обработки информации. Структурированным компонент признается в том случае, если его организация отвечает следующей совокупности условий: – простота внутренней организации его элементов и взаимосвязей между ними; – стандартность и унифицированность внутренней структуры элементов и взаимосвязей между ними; – модульность, то есть автономная организация элементов, позволяющая стандартными способами объединить элементы в сложные структуры и заменить любые элементы и их совокупности; – гибкость, то есть практически неограниченные возможности расширения и организации структуры любых компонентов без существенных изменений других; – прозрачность, то есть простота изучения структурных компонентов. Структуризация компонентов АСОД может быть обеспечена, если их разработка будет осуществляться на основе следующей совокупности принципов: – канонизация состава элементов компонента; – унификация и стандартизация внутренней структуры элементов; – унификация взаимосвязи между элементами; – канонизация системы спецификаций компонентов; – разработка по способу сверху вниз; – организация разработки по методу ведущего специалиста; – параллельное ведение структурированных спецификаций. Следовательно, эффективность защиты информации в АСОД определяется качеством структурных элементов самой системы и непрерывным совершенствованием системы защиты информации.
Вопросы для повторения: 1. Приведите перечень основных вопросов организации и обеспечения защиты информации и раскройте их общее содержание. 2. Приведите структуру органов, ответственных за защиту информации. 3. Назовите и раскройте основные положения концепции построения и работы центров защиты информации. 4. Раскройте содержание работы центров защиты информации по формированию методологического базиса и инструментальных средств защиты. 5. Раскройте содержание работы по обслуживанию абонентов. 6. Раскройте назначение и основные задачи служб защиты информации. 7. Приведите структуру системы типовых документов по защите информации и дайте краткую характеристику основных типов документов. 8. Приведите структуру и дайте краткую характеристику условий, способствующих повышению эффективности защиты информации.
ЛИТЕРАТУРА 1. Конституция Российской Федерации. 12 декабря 1993 года. 2. Закон РФ от 21 июля 1993 г. N 5485-1 "О государственной тайне" (с изменениями от 6 октября 1997 г., 30 июня 2003 г., 11 ноября 2003 г.). 3. Об информации, информационных технологиях и о защите информации. Федеральный закон Российской Федерации от 27 июля 2006 года №149- ФЗ. 4. ГОСТ Р 50922-2006. Национальный стандарт Российской Федерации. «Защита информации. Основные термины и определения ».Дата введения 2008-02-01. 5. В.И. Ярочкин Информационная безопасность. – М.: Гаудеамус, 2004. – 544с. 6. Журавленко Н.И., Кадулин В.Е., Борзунов К.К. Основы информационной безопасности: Учебное пособие / Под общей редакцией А.С. Овчинского. – М.: Московский университет МВД России, 2007. 7. Основы программно-аппаратной защиты информации, М. А. Борисов, И. В. Заводцев, И. В. Чижов, 2011 г. 8. Козьминых С. И. Системный подход к обеспечению информационной безопасности объекта: учебно-методическое пособие / С. И. Козьминых. - М.: МосУ МВД России, 2005. 9. В.В. Мельников Безопасность информации в автоматизированных системах. – М.: Финансы и статистика, 2003. – 368с. 10. П.Н. Девянин, О.О. Михальский, Д.И. Правиков, А.Ю. Щербаков Теоретические основы компьютерной безопасности: Учебное пособие для ВУЗов. – М.: Радио и связь, 2000. – 192с. 11. Бачило И.Л., Лопатин В.Н., Федотов М.А. Информационное право: Учебник/ Под ред. Акад. РАН Б.Н. Топорникова. - СПб.: Издательство «Юридический центр Пресс», 2001.
Дата добавления: 2014-01-15; Просмотров: 862; Нарушение авторских прав?; Мы поможем в написании вашей работы! Нам важно ваше мнение! Был ли полезен опубликованный материал? Да | Нет |