Факторы и условия, определяющие уровень эффективности защиты информации

Кадровое обеспечение деятельности органов внутренних дел по борьбе с преступлениями в сфере компьютерных технологий приобрело особое значение на рубеже 20-21 веков в связи с формированием в развитых странах информационного общества. Раскрытие и расследование преступлений в сфере компьютерной информации, а также таких «традиционных» преступлений, как: присвоение, мошенничество, фальшивомонетничество, лжепредпринимательство и др., когда компьютерные средства используются для совершения и сокрытия преступлений, невозможно без привлечения специальных познаний в области современных информационных технологий.

Информации

Значение и состав кадрового обеспечения защиты

Доктрина информационной безопасности Российской Федерации относит развитие и совершенствование системы подготовки кадров, работающих в сфере обеспечения информационной безопасности, к первоочередным задачам государственной политики.

Задачи кадрового обеспечения вошли отдельным разделом в Перечень приоритетных направлений научных исследований в области информационной безопасности Российской Федерации, неоднократно рассматривались на заседаниях Межведомственной комиссии Совета безопасности и секции по информационной безопасности научного совета при Совете безопасности Российской Федерации, Межведомственной комиссии по защите государственной тайны. Благодаря принятым мерам под руководством Минобрнауки России во взаимодействии с заинтересованными федеральными органами исполнительной власти в стране сформировались основные направления многоуровневой системы подготовки кадров в области информационной безопасности.

Поэтому одной из первоочередных задач в создании и поддержке национальной системы информационной безопасности является гарантированное и надежное обеспечение ее высококлассными специалистами путем построения государственной системы подготовки специалистов по информационной безопасности, которая включала бы следующие составляющие:

- информационная безопасность – специфическая предметная отрасль, подготовка специалистов для которой предусматривает необходимость преподавания специальных разделов фундаментальных и инженерных дисциплин: математики, электроники, акустики, оптики, кибернетики и др.;

- система образования в области информационной безопасности должна обеспечивать соответствие уровня подготовки специалистов уровню научных знаний, который в реальном масштабе времени (без опоздания на несколько лет) реализуется путем регулярной переподготовки и повышения квалификации, а также путем подготовки высококвалифицированных научно-педагогических кадров в магистратуре, аспирантуре, докторантуре;

- общую подготовку по вопросам информационной безопасности должны иметь все специалисты и пользователи, которые принимают участие в процессах, связанных с обработкой и обменом информацией, руководители предприятий, учреждений, организаций;

- подготовка специалистов по информационной безопасности всех категорий должна строиться на единой научно-методической и правовой основе.

В соответствии с функциональными обязанностями работники кадровых служб органов власти, предприятий, учреждений и организаций имеют отношение к защите информации, составляющей различные виды тайны. В организациях, выполняющих работы, связанные с использованием сведений, составляющих государственную тайну, независимо от организационно-правовых форм, таким видом является государственная тайна; в организациях, осуществляющих коммерческую, предпринимательскую деятельность, независимо от организационно-правовых форм, — коммерческая тайна, в государственных и муниципальных организациях — служебная тайна; во всех организациях — отдельные разновидности профессиональной тайны, среди которых непременной являются персональные данные (информация о гражданах).

Участие кадровой службы в обеспечении защиты информации носит двоякий характер: с одной стороны, работники службы совместно с руководителями соответствующих подразделений осуществляют подбор кадров на должности, связанные с использованием сведений, составляющих тот или иной вид тайны, и оформляют материалы на допуск их к соответствующему виду тайны; с другой стороны, работники кадровой службы должны обеспечивать защиту информации, используемой ими для выполнения своих функциональных обязанностей, в процессе работы с ней.

Особенностью подбора кадров на должности, связанные с использованием информации, составляющей любой вид тайны, является то, что кандидаты помимо общих деловых и моральных качеств должны обладать качествами, необходимыми для работы с конфиденциальной информацией. К ним в первую очередь относятся внимательность, аккуратность, дисциплинированность, чувство ответственности за выполняемую работу. Отсутствие таких качеств нередко является причиной утраты носителей конфиденциальной информации. Конфиденциальная информация должна быть защищена не только от утраты, но и от утечки, т.е. попадания к лицам, не имеющим санкционированного доступа к ней. Утечка информации чаще всего происходит в результате ее разглашения различными способами. Причинами или предпосылками этого являются корыстолюбие, алчность, склонность к развлечениям, пьянству, наркотикам, зависть, тщеславие, хвастовство, болтливость, легкомыслие, стремление показать свою значимость, карьеризм. Поэтому в процессе подбора кандидатов на должности следует выявлять наличие у них вышеперечисленных качеств, что, безусловно, должно влиять на решение о принятии их на работу.

Кроме того, Законом РФ «О государственной тайне» от 21 июля 1993 г. № 5485-1 определены основания для отказа гражданину в допуске к государственной тайне, а следовательно, и для отказа в приеме на работу, связанную с использованием сведений, составляющих государственную тайну. Такими основаниями на стадии подбора кадров могут являться:

- признание гражданина судом недееспособным, ограниченно дееспособным или рецидивистом, нахождение его под судом или следствием за государственные и иные тяжкие преступления, наличие у него неснятой судимости за эти преступления;

- наличие у гражданина медицинских противопоказаний для работы с использованием сведений, составляющих государственную тайну, согласно перечню, утверждаемому Министерством здравоохранения Российской Федерации;

- постоянное проживание гражданина и (или) его близких родственников за границей и (или) оформление указанными лицами документов для выезда на постоянное место жительства в другие государства.

Эти основания в той или иной мере следует учитывать и при подборе кадров на должности, связанные с использованием информации, составляющей другие виды тайны, однако нужно иметь в виду, что решение об отказе в приеме на работу по перечисленным основаниям гражданин имеет право обжаловать в вышестоящую организацию или в суд.

В отличие от государственной тайны порядок оформления допуска к другим видам тайны законодательством или иными нормативными актами не регламентирован, за исключением имеющегося в ТК РФ положения о том, что в трудовом договоре могут предусматриваться условия о неразглашении охраняемой законом тайны (государственной, служебной, коммерческой и иной). Однако это не означает, что не должно быть никакой процедуры оформления лиц на допуск к таким видам тайны. Отсутствие данной процедуры в государственных нормативных документах обусловлено тем, что определение состава сведений, относимых к коммерческой и служебной тайне, организация их защиты возложены на руководителя организации. Следовательно, руководители организаций должны определять и процедуру оформления на допуск к соответствующему виду тайны. Такая процедура по каждому виду тайны может включать в себя:

- разработку перечня сведений, составляющих данный вид тайны;

- разработку номенклатуры должностей работников, подлежащих допуску к данному виду тайны;

- включение в трудовой договор условий, относящихся к защите работником доверенных ему сведений, составляющих данный вид тайны;

- ознакомление работника с перечнем сведений, составляющих данный вид тайны, которые имеют отношение к исполнению работником своих должностных обязанностей, и с нормами законодательства, предусматривающими ответственность за разглашение сведений, содержащих данный вид тайны, и утрату носителей таких сведений.

ТК РФ не предусматривает заполнение работниками, принимаемыми на должности, связанные с использованием сведений, составляющих коммерческую, служебную и профессиональную тайну, анкеты или личного листка по учету кадров.

Перечни сведений по каждому виду тайны необходимы не только для того, чтобы установить состав информации, подлежащей защите, но и для вычленения из этого состава сведений, относящихся к определенным должностям работников, а также для предотвращения необоснованного отнесения сведений к разряду конфиденциальных. Порядок разработки перечней сведений, составляющих различные виды тайны, будет рассмотрен в одной из статей, опубликованных в ближайших номерах журнала.

Номенклатуры должностей работников, подлежащих допуску к каждому виду тайны, разрабатываются на основе перечней сведений, составляющих соответствующие виды тайны, и имеют своей целью определение по каждой должности состава сведений, необходимых для ее исполнения. Номенклатура может иметь следующие графы:

Номенклатура должностей разрабатывается подразделением по защите информации (службой безопасности) с участием руководителей соответствующих подразделений и кадровой службы и утверждается руководителем организации.

Подразделением по защите информации совместно с кадровой службой должны быть определены (сформулированы) и условия, относящиеся к защите информации, для включения их в трудовой договор. В эти условия необходимо включать обязательства работника о неразглашении в любой форме доверенных ему сведений, составляющих данный вид (данные виды) тайны, и его ответственность за разглашение конфиденциальной информации и утрату ее носителей.

По оценкам экспертов в области компьютерной безопасности, до 80% всех компьютерных преступлений совершено работающими или уволенными сотрудниками. Причин можно назвать много, самая распространенная из них - неудовлетворенность работника статусом или зарплатой. Наиболее опасным является увольнение сотрудников, обладающих большими полномочиями и имеющих доступ к широкому спектру информации.

Первостепенной задачей современного образования становится разработка таких методов учебно-воспитательной работы, где бы гармонично сочеталось обучение современным информационным технологиям с формированием высоких нравственных качеств для выработки иммунитета к совершению преступлений в информационной сфере.

Поскольку современные системы защиты становятся все более сложными и комплексными как по целям, так и по используемым методам и средствам защиты, необходимо расширять номенклатуру образовательных специальностей по защите информации. Подготовка кадров должна осуществляться комплексно в нескольких уровнях:

- подготовка молодых специалистов на базе школьного образования (срок обучения - 5 - 5,5 лет);

- подготовка специалистов по информационной безопасности на базе высшего технического образования (срок обучения - 2 - 2,5 года);

- переподготовка кадров на краткосрочных курсах повышения квалификации специалистов и руководителей подразделений (срок обучения - 2 - 4 недели);

- подготовка специалистов на базе среднетехнического образования через колледж на базе 9 классов (срок обучения - 4 - 5 лет);

- подготовка специалистов высшей квалификации через аспирантуру и защита диссертационных работ в специализированных советах.

По-прежнему актуальна проблема развития системы подготовки кадров в области информационной безопасности как по "вертикали" - с охватом всех уровней подготовки, так и по "горизонтали" - с выходом на проблемы информационной безопасности в гуманитарной сфере и на стыке естественнонаучных, технических и гуманитарных направлений. В первую очередь это относится к подготовке и переподготовке специалистов правоохранительных органов, органов суда и прокуратуры в области борьбы с преступлениями в сфере компьютерной информации. Представляется необходимым создать систему непрерывного профессионального образования специалиста в области информационной безопасности.

Для отражения современных достижений в области защиты информации необходимо регулярно (не менее 1 раза в год) пересматривать содержание специальных учебных дисциплин. В настоящее время целесообразно дополнить учебные программы подготовки специалистов в области информационной безопасности дисциплинами по нормативно-правовой базе информационных технологий и по стратегии и тактике информационной войны.

Одним из принципиальных положений рассмотренной здесь кон­цепции защиты информации является наличие обратной связи от кон­структивных компонентов концепции к ее исходной основе, то есть к концеп­циям построения и организации функционирования АСОД. Основное содержание названной обратной связи составляют те условия, соблюде­ние которых создает объективные предпосылки для наиболее эффек­тивного решения задач защиты. Исходя из этого, представляется настоя­тельно целесообразным сформулировать, возможно, более полную сово­купность этих условий.

Традиционные концепции защиты информации в АСОД исходили из того, что архитектура АСОД и техно­логические схемы ее функционирования являются заданными и при ре­шении вопросов защиты информации не подлежат воздействию. В современных условиях, при более широком внедрении индустриальных принципов и методов обработки информа­ции, такое положение может стать одной из причин постепенного и все более существенного снижения эффективности защиты информации.

Вопрос об условиях, способствующих эффективности защиты ин­формации, является новым, в явном виде до недавнего времени он не ста­вился, поэтому проработки его находятся в начальной стадии. Всю сово­купность названных условий целесообразно представить так, как изобра­жено на рис. 6.

Рис. 6. Классификация условий, способствующих повышению

эффективности защиты информации в АСОД.

Нетрудно видеть, что выделенные на классификацион­ной схеме условия являются разноплановыми, разномасштабными и раз­новременными по реализации. Далее рассматривается общее содержание выделенных на рисунке групп условий, причем основное внимание уделено конструктивным условиям, поскольку они являются наиболее значи­мыми.

Общеметодологическими названы условия, создающие общие предпосылки повышения эффективности защиты информации. Как показано на рис. 6, в данном классе выделено две группы условий:

– осо­знание проблемы;

– наличие предпосылок решения.

Под осознанием проблемы понимается не просто признание необ­ходимости защиты информации (в этом сегодня вряд ли кто сомневается), а необходимость именно системно-концептуального подхода. Для такого осознания, необходим диалектический переход на качественно новую ступень самих представлений о сущности проблемы. Такой переход сейчас еще только намечается, подавляющее большинство специалистов продолжают нахо­диться в плену прежних, традиционных концепций, которые сегодня уже не обеспечивают необходимую эффективность использования средств за­щиты информации.

Под наличием предпосылок повышения эффективности защиты информации понимается совокупность следующих условий:

– наличие стройной, обоснованной, разработанной и обще­признанной концепции защиты;

– наличие достаточно полно разработанных и проверенных мето­дов и моделей защиты;

– наличие достаточно полного арсенала средств защиты;

– наличие полного и достаточно детально разработанного методи­ческого обеспечения в виде как публикаций научного характера, так и официальных документов (стандартов, руководящих методических мате­риалов, методик и т.п.);

– наличие достаточного числа квалифицированных специалистов-профессиона­лов по защите информации.

Уже из одного перечисления условий, создающих предпосылки по­вышения эффективности защиты, нетрудно видеть, что создание этих предпосылок сопряжено с разработкой и реализацией некоторой доста­точно сложной программы, составными частями которой должны быть:

– разработка теоретических и практических основ защиты инфор­мации, для чего должны быть проведены всесторонние исследования сущности проблемы и путей ее решения;

– разработка методов и моделей защиты информации, а также рек­визитов, необходимых для практической реализации методов и моделей;

– разработка такого арсенала различных средств защиты, на базе которого была бы возможной реализация идеи регулярной защиты ин­формации;

– экспериментальная проверка концептуальных положений, а так­же разрабатываемых средств, методов и моделей, для чего должен быть создан (выделен) достаточно оборудованный, оснащенный и подго­товленный полигон;

– разработка материалов методического обеспечения, для чего должны быть созданы квалифицированные авторские коллективы, пред­усмотрена полиграфическая база и выделены необходимые материально-технические средства;

– подготовка достаточного числа профессиональных специалистов по вопросам защиты информации: от инженерно-технического персонала до научных работников высшей квалификации;

– организационно-техническое обеспечение защиты информации: формирование в составе АСОД служб защиты, определение их статуса, создание условий и обеспечение их функционирования.

В классе организационных условий выделено две группы:

– структур­но-функциональная однозначность компонентов системы обработки данных;

– организационно-методологическое единство управления.

Под структурно-функциональной однозначностью компонентов си­стемы обработки данных понимается положение, когда для каждого ком­понента системы и каждого его элемента строго и однозначно определе­ны его функциональное назначение, место в общей архитектуре системы, режимы функционирования, порядок использования и т.п.

Предполагает­ся также, что созданы условия для постоянного поддержания такой одно­значности во все время функционирования системы.

Организационно-методологическое единство управления заключа­ется в том, что все процедуры управления защитой информации во всех структурных элементах системы обработки данных всеми органами (объектами) управления осуществляются строго в рамках единой концеп­ции защиты.

Обратимся теперь к условиям третьего класса, которые названы конструктивными, причем этим термином подчеркивается их содержа­тельное, осязаемое влияние на защиту информации. Первая группа усло­вий данного класса названа концептуальной стандартизацией в области построения АСОД.

Под концептуальной стандартизацией понимается стандартизация на уровне концепций, общих принципов и правил организации и обеспе­чения рассматриваемого вида деятельности.

Рассматриваемым здесь видом деятельности является обработка данных, при­чем обработка на поточно-индустриальной основе. Поэтому, говоря о концептуаль­ной стандартизации, надо иметь в виду разработку стандартных принципов и правил организации и обеспечения обработки данных на поточно-индустриаль­ной основе.

В настоящее время общеизвестным является тот факт, что индуст­риализация обработки информации может быть осуществлена лишь на базе комплексного при­менения вычислительной техники. Поэтому кон­цептуальная стандартизация по­мимо сказанного выше должна пред­усматривать также стандартизацию (или, по крайней мере, структуриза­цию) концепций организации ресурсов вычислительной техники. Но и это еще не все. Обработка информации производится не вообще, а с целью обеспечения вполне определенной деятельности. Поэтому концеп­туаль­ная стандартизация должна касаться также стандартизации (структуризации) соответствующего вида деятельности. Поэтому, если, например, речь идет о такой сфере деятельности, как организационно-распорядительное управление, то концептуальная стандартизация долж­на предусматривать: структуризацию концепций управления, комплекс­ной автоматизации обработки данных в сфере управления и организации ресурсов вычислительной техники, необходимых для данной комплекс­ной автоматизации.

При этом стандартизация перечисленных концепций должна осу­ществляться не изолированно, а взаимосвязано, так, как показано на рис. 7.

Рис. 7. Схема формирования структурированной концепции
эффективного применения вычислительной техники в сфере управления.

Основными процессами технологии управления являются следую­щие:

– планирование, то есть разработка плана (программы) предстоящей деятельности;

– руководство выполнением планов, то есть слежение за ходом выпол­нения плана, принятие необходимых мер при отклонениях (или проявле­нии признаков отклонений) управляемых процессов от запланированного их протекания или (и) корректировка планов при невозможности (или нецелесообразности) поддержания запланированного протекания управ­ляемых процессов;

– информационное обеспечение всех лиц и органов, участвующих в процессе управления.

Структуризация концепций комплексной автоматизации в сфере управления осуществляется с целью формирования стройной совокуп­ности положений, обеспечивающих оптимальное решение всех вопросов комплексной автоматизации процессов обработки данных в системах управления на поточно-индустриальной основе.

Как следует из приведенного определения, основополагающими понятиями данной концепции являются комплексная автоматизация про­цессов обработки данных в системах управления и поточно-индустриальные принципы комплексной автоматизации.

Формирование этих подходов должно осуществляться исходя из следующих целевых установок:

– должна осуществляться комплексная автоматизация всех основ­ных процедур обработки информации, необходимых для обеспечения всех процессов управления;

– автоматизированная обработка информации должна органиче­ски войти в технологию управления;

– автоматизированная обработка информации должна быть мак­симально унифицированной и стандартизированной.

Достижение первой цели может быть обеспечено, если в структури­рованных схемах процессов технологии управления предусмотреть авто­матизацию всех основных процедур обработки информации. Создание условий для такой автоматизации являлось одной из основных целей раз­работки структурированной технологии управления.

Основными условиями достижения второй цели являются:

– обеспечение автоматизированной обработки информации в масштабе времени осуществления процессов управления.

– сво­бодный доступ руководителей и специалистов органов управления к ре­сурсам вычислительной техники.

Как известно, современные средства обеспечивают решение названных задач.

Достижение третьей цели (унификация и стандартизация процедур автоматизированной обработки информации) предполагает создание та­ких условий, при которых будут в наличии заблаговременно разработан­ные и упорядоченные программы всего множества процедур обработки информации, встречающихся при осуществлении основных процессов управления. При этом обращение к этим процедурам должно быть не только стандартным и параметрическим, но и осуществляться на языке функциональных приложений. Иными словами, язык запросов должен быть весьма близок к языку технологии управления. Условия, необходи­мые для достижения этой цели, могут быть созданы повсеместным внед­рением унифицированной технологии автоматизированной обработки информации.

Содержание последних двух групп конструктивных условий, спо­собствующих повышению эффективности защиты информации, заключа­ется в структуризации компонентов АСОД и технологических схем обра­ботки информации.

Структурированным компонент признается в том случае, если его организация отвечает следующей совокупности условий:

– простота внутренней организации его элементов и взаимосвязей между ними;

– стандартность и унифицированность внутренней структуры эле­ментов и взаимосвязей между ними;

– модульность, то есть автономная организация элементов, позволяю­щая стандартными способами объединить элементы в сложные структу­ры и заменить любые элементы и их совокупности;

– гибкость, то есть практически неограниченные возможности расши­рения и организации структуры любых компонентов без существенных изменений других;

– прозрачность, то есть простота изучения структурных компонентов.

Структури­зация компонентов АСОД может быть обеспечена, если их разработка будет осуществляться на основе следующей совокупности принципов:

– канонизация состава элементов компонента;

– унификация и стандартизация внутренней структуры элементов;

– унификация взаимосвязи между элементами;

– канонизация системы спецификаций компонентов;

– разработка по способу сверху вниз;

– организация разработки по методу ведущего специалиста;

– параллельное ведение структурированных спецификаций.

Следовательно, эффективность защиты информации в АСОД определяется качеством структурных элементов самой системы и непрерывным совершенствованием системы защиты информации.

Вопросы для повторения:

1. Приведите перечень основных вопросов организации и обеспече­ния защиты информации и раскройте их общее содержание.

2. Приведите структуру органов, ответственных за защиту инфор­мации.

3. Назовите и раскройте основные положения концепции построе­ния и работы центров защиты информации.

4. Раскройте содержание работы центров защиты информации по формированию методологического базиса и инструментальных средств защиты.

5. Раскройте содержание работы по обслуживанию абонентов.

6. Раскройте назначение и основные задачи служб защиты инфор­мации.

7. Приведите структуру системы типовых документов по защите информации и дайте краткую характеристику основных типов докумен­тов.

8. Приведите структуру и дайте краткую характеристику условий, способствующих повышению эффективности защиты информации.

ЛИТЕРАТУРА

1. Конституция Российской Федерации. 12 декабря 1993 года.

2. Закон РФ от 21 июля 1993 г. N 5485-1 "О государственной тайне" (с изменениями от 6 октября 1997 г., 30 июня 2003 г., 11 ноября 2003 г.).

3. Об информации, информационных технологиях и о защите информации. Федеральный закон Российской Федерации от 27 июля 2006 года №149- ФЗ.

4. ГОСТ Р 50922-2006. Национальный стандарт Российской Федерации. «Защита информации. Основные термины и определения ».Дата введения 2008-02-01.

5. В.И. Ярочкин Информационная безопасность. – М.: Гаудеамус, 2004. – 544с.

6. Журавленко Н.И., Кадулин В.Е., Борзунов К.К. Основы информационной безопасности: Учебное пособие / Под общей редакцией А.С. Овчинского. – М.: Московский университет МВД России, 2007.

7. Основы программно-аппаратной защиты информации, М. А. Борисов, И. В. Заводцев, И. В. Чижов, 2011 г.

8. Козьминых С. И. Системный подход к обеспечению информационной безопасности объекта: учебно-методическое пособие / С. И. Козьминых. - М.: МосУ МВД России, 2005.

9. В.В. Мельников Безопасность информации в автоматизированных системах. – М.: Финансы и статистика, 2003. – 368с.

10. П.Н. Девянин, О.О. Михальский, Д.И. Правиков, А.Ю. Щербаков Теоретические основы компьютерной безопасности: Учебное пособие для ВУЗов. – М.: Радио и связь, 2000. – 192с.

11. Бачило И.Л., Лопатин В.Н., Федотов М.А. Информационное право: Учебник/ Под ред. Акад. РАН Б.Н. Топорникова. - СПб.: Издательство «Юридический центр Пресс», 2001.

Дата добавления: 2014-01-15; Просмотров: 862; Нарушение авторских прав?; Мы поможем в написании вашей работы!