Третий учебный вопрос: Стандартизация в области информационной безопасности

Сл. 10. Организационное обеспечение СОИБ ХС – это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз.

Второй учебный вопрос: Организационные основы функционирования СОИБ хозяйствующего субъекта

Организационное обеспечение призвано регламентировать на предприятии:

- охрану;

- режим функционирования;

- работу с кадрами;

- работу с документами;

- порядок использования информационных технологий, технических средств сбора, обработки, накопления, хранения и передачи конфиденциальной информации, а также использования технических средств безопасности;

- содержание информационно аналитической деятельности по выявлению внутренних и внешних угроз производственной деятельности предприятия.

Организационное обеспечение СОИБ ХС играет существенную роль в создании надежного механизма, реализующего функцию защиты конфиденциальной информации посредством применения организационных мероприятий, т.к. возможности несанкционированного ее использования в значительной мере обусловливаются не техническими аспектами, а злоумышленными действиями персонала предприятия.

Сл. 11. К основным организационным мероприятиям, которые исключали бы, или по крайней мере, сводили бы к минимуму, возможность возникновения опасности для конфиденциальной информации предприятия можно отнести следующие (рис. 4):

Рис.4. Структура основных мероприятий организационного обеспечения СОИБ ХС

При этом основным содержанием организационных мероприятий являются следующие из перечисленных ниже. Сл. 12.

1. Организация режима и охраны. Выполняется в целях:

- исключения возможности тайного проникновения на территорию предприятия и в помещения посторонних лиц;

- обеспечение удобства контроля прохода и перемещения сотрудников и посетителей;

- создания отдельных производственных зон по типу конфиденциальных работ с самостоятельными системами доступа;

- контроль и соблюдение временного режима труда и пребывания персонала на территории предприятия;

- организация и поддержание надежного пропускного режима и контроля сотрудников и посетителей.

2. Организация работы с сотрудниками. Мероприятие предусматривает порядок организации подбора и расстановку персонала и проводится с целью:

- ознакомления с сотрудниками и их изучением;

- обучения сотрудников правилам работы с конфиденциальной информацией;

- ознакомления с мерами ответственности за нарушения правил информационной безопасности.

3. Организация работы с документами, включая организацию разработки и использования документов и носителей конфиденциальной информации, их учет, исполнение, возврат, хранение и уничтожение;

4. Организация использования технических средств сбора, обработки, накопления, хранения и передачи конфиденциальной информации;

5. Организация работ по анализу внутренних и внешних угроз конфиденциальной информации, выработке мер по обеспечению ее защиты;

6. Организация работы по проведению систематического контроля за работой персонала с конфиденциальной информацией, порядком учета, хранения и уничтожения документов и технических носителей.

В каждом конкретном случае организационные мероприятия носят специфические для данной организации форму и содержание, направленные на обеспечение безопасности информации в конкретных условиях.

Специфической областью организационных мер является организация защиты ПЭВМ, информационных систем и сетей, которая определяет порядок и схему функционирования основных ее подсистем, использование устройств и ресурсов, взаимоотношения пользователей между собой в соответствии с нормативно-правовыми требованиями и правилами. Защита информации на основе организационных мер играет большую роль в обеспечении надежности и эффективности, т.к. несанкционированный доступ и утечка информации чаще всего обусловлены злоумышленными действиями или небрежностью пользователей, либо персонала. Эти факторы практически невозможно исключить или локализовать с помощью аппаратных и программных средств, криптографии и физических средств защиты. Поэтому совокупность, организационно-правовых мероприятий, применяемых совместно с техническими методами, имеют целью исключить, уменьшить или полностью устранить потери при действии различных нарушающих факторов.

Сл. 13. Организационные средства защиты ПЭВМ и информационных сетей применяются:

- при проектировании, строительстве и оборудовании помещений, узлов сети и других объектов информационной системы, исключающих влияние стихийных бедствий, возможность не дозволенного проникновения в помещения и др.;

- при подборе и подготовке персонала. В этом случае предусматриваются проверка принимаемых на работу, создание условий, при которых персонал был бы заинтересован в сохранности данных, обучение правилам работы с закрытой информацией, ознакомление с мерами ответственности за нарушение правил защиты и др.;

- при хранении и использовании документов и других носителей (маркировка, регистрация, определение правил выдачи и возвращения, ведение документации и др.);

- при соблюдении надежного пропускного режима к техническим средствам, к ПЭВМ и информационным системам при сменной работе (выделение ответственных за защиту информации в сменах, контроль за работой персонала, ведение (возможно и автоматизированное) журналов работы, уничтожение в установленном порядке закрытых производственных документов);

- при внесении изменений в программное обеспечение (строгое санкционирование, рассмотрение и утверждение проектов изменений, проверка их на удовлетворение требованиям защиты, документальное оформление изменений и др.);

- при подготовке и контроле работы пользователей.

Одним из важнейших организационных мероприятий является создание специальных штатных служб защиты информации в закрытых информационных системах в виде администратора безопасности сети и администратора распределенных баз и банков данных, содержащих сведения конфиденциального характера.

Сл. 14. Очевидно, что организационные мероприятия должны четко планироваться, направляться и осуществляться какой-то организационной структурой, каким-то специально созданным для этих целей структурным подразделением, укомплектованным соответствующими специалистами по безопасности производственной деятельности и защите информации. Зачастую таким структурным подразделением является служба безопасности предприятия, на которую возлагаются следующие общие функции:

- организация и обеспечение охраны персонала, материальных и финансовых ценностей и защиты конфиденциальной информации;

- обеспечение пропускного и внутриобъектового режима на территории, в зданиях и помещениях, контроль соблюдения требований режима сотрудниками, смежниками, партнерами и посетителями;

- руководство работами по правовому и организационному регулированию отношений по защите информации;

- участие в разработке основополагающих документов с целью закрепления в них требований обеспечения безопасности и защиты информации, а также положений о подразделениях, трудовых договоров, соглашений, подрядов, должностных инструкций и обязанностей руководства, специалистов, рабочих и служащих;

- разработка и осуществление совместно с другими подразделениями мероприятий по обеспечению работы с документами, содержащими конфиденциальные сведения;

- при всех видах работ организация и контроль выполнения требований "Инструкции по защите конфиденциальной информации";

- изучение всех сторон производственной, коммерческой, финансовой и другой деятельности для выявления и последующего противодействия любым попыткам нанесения ущерба, ведения учета и анализа нарушений режима безопасности, накопление и анализ данных о злоумышленных устремлениях конкурентных организаций, о деятельности предприятия и его клиентов, партнеров, смежников;

- организация и проведение служебных расследований по фактам разглашения сведений, утрат документов, утечки конфиденциальной информации и других нарушений безопасности предприятия;

- разработка, ведение, обновление и пополнение "Перечня сведений конфиденциального характера" и других нормативных актов, регламентирующих порядок обеспечения безопасности и защиты информации;

- обеспечение строгого выполнения требований нормативных документов по защите производственных секретов предприятия;

- осуществление руководства службами и подразделениями безопасности подведомственных предприятий, организаций, учреждений и другими структурами в части оговоренных в договорах условий по защите конфиденциальной информации;

- организация и регулярное проведение учета сотрудников предприятия и службы безопасности по всем направлениям защиты информации и обеспечения безопасности производственной деятельности;

- ведение учета и строгого контроля выделенных для конфиденциальной работы помещений, технических средств в них, обладающих потенциальными каналами утечки информации и каналами проникновения к источникам охраняемых секретов;

- обеспечение проведения всех необходимых мероприятий по пресечению попыток нанесения морального и материального ущерба со стороны внутренних и внешних угроз;

- поддержание контактов с правоохранительными органами и службами безопасности соседних предприятий в интересах изучения криминогенной обстановки в районе и оказания взаимной помощи в кризисных ситуациях.

Служба безопасности является самостоятельной организационной единицей предприятия, подчиняющейся непосредственно руководителю предприятия. Возглавляет службу безопасности начальник службы в должности заместителя руководителя предприятия по безопасности. Организационно служба безопасности может состоять из следующих структурных подразделений:

- режима и охраны;

- работы с документами конфиденциального характера;

- инженерно-технического;

- информационно-аналитического.

Сл. 15. В таком составе служба безопасности способна обеспечить защиту конфиденциальной информации от любых угроз. К задачам службы безопасности предприятия относятся:

- определение круга лиц, которые в силу занимаемого служебного положения на предприятии прямо или косвенно имеют доступ к сведениям конфиденциального характера;

- определение участков сосредоточения конфиденциальных сведений;

- определение круга сторонних предприятий, связанных с данным предприятием кооперативными связями, на которых в силу производственных отношений возможен выход из-под контроля сведений конфиденциального характера;

- выявление круга лиц, не допущенных к конфиденциальной информации, но проявляющих повышенный интерес к таким сведениям;

- выявление круга предприятий, в том числе и иностранных, заинтересованных в овладении охраняемыми сведениями с целью нанесения экономического ущерба данному предприятию, устранения экономического конкурента либо его компрометации;

- разработка системы защиты документов, содержащих сведения конфиденциального характера;

- определение на предприятии участков, уязвимых в аварийном отношении, выход из строя которых может нанести материальный ущерб предприятию и сорвать поставки готовой продукции или комплектующих предприятиям, связанных с ним договорными обязательствами;

- определение на предприятии технологического оборудования, выход (или вывод) которого из строя может привести к большим экономическим потерям;

- определение уязвимых мест в технологии производственного цикла, несанкционированное изменение, в которой может привести к утрате качества выпускаемой продукции и нанести материальный или моральный ущерб предприятию;

- определение мест на предприятии, несанкционированное посещение которых может привести к изъятию (краже) готовой продукции или полуфабрикатов, заготовок и др., и организация их физической защиты и охраны;

- определение и обоснование мер правовой, организационной и инженерно-технической защиты предприятия, персонала, продукции и информации;

- разработка необходимых мероприятий, направленных на совершенствование системы экономической, социальной и информационной безопасности предприятия;

- внедрение в деятельность предприятия новейших достижений науки и

техники, передового опыта в области обеспечения экономической и информационной безопасности;

- организация обучения сотрудников службы безопасности в соответствии с их функциональными обязанностями;

- изучение, анализ и оценка состояния обеспечения экономической и информационной безопасности предприятия и разработка предложений и рекомендаций для их совершенствования;

- разработка технико-экономических обоснований, направленных на приобретение технических средств, получение консультации у специалистов, разработку необходимой документации в целях совершенствования системы мер по обеспечению экономической и информационной безопасности.

Сл. 16 Специфика в организации СОИБ хозяйствующего субъекта (коммерческой организации) существенна и должна учитываться и влиять на технологию ИБ. Она заключается в следующем:

- приоритет экономических факторов. Главными критериями эффективности СОИБ должны быть снижение или исключение финансовых потерь, обеспечение получения прибыли в условиях рисков и др.;

- открытость проектирования СОИБ, которая предполагает создание системы из средств, широко доступных на рынке и работающих в открытых системах;

- юридическая значимость коммерческой информации, которую можно определить в качестве свойства так называемой «безопасной информации».

Сл. 17. Среди стандартов в области информационной безопасности, существующих в РФ, можно выделить ряд документов, которые показаны в табл.2.

В настоящее время наиболее полный стандарт, определяющий механизмы оценки безопасности и порядок из осуществления, - это ГОСТ Р ИСО/МЭК 15408, который больше известен под названием «Общие критерии» (ОК). В частности, в нем отмечается, что обеспечение безопасности информационных технологий (ИТ) представляет собой комплексную проблему, которая решается в направлениях совершенствования правового регулирования применения ИТ, совершенствования методов и средств их разработки, развития системы сертификации, обеспечения соответствующих организационно-технических условий эксплуатации. Ключевым аспектом решения проблемы безопасности ИТ является выработка системы требований, критериев и показателей для оценки уровня безопасности ИТ [1].

Таблица 1

Перечень государственных стандартов в области ИБ

Сл. 18. На сегодняшний день есть 17 утвержденных и опубликованных стандартов группы ISO 27000.

Есть 4 вида групп стандартов:

стандарты для обзора и введения в терминологию;

стандарты, которые определяют обязательные требования к СУИБ (система управления информационной безопасностью);

стандарты, определяющие требования и рекомендации для аудита СУИБ;

стандарты, предлагающие лучшие практики внедрения, развития и совершенствования СУИБ.

Сл. 19. Стандарты для обзора и введения в терминологию.

ISO/IEC 27000:2009 – Информационные технологии. Средства обеспечения безопасности. Системы менеджмента информационной безопасности. Обзор и словарь. Данный стандарт обеспечивает определение основной терминологии, которая используется в стандартах по информационной безопасности. В каждом стандарте есть и дополнительные термины. В данный момент разрабатывается новая версия стандарта ISO 27000.

Сл. 20. Стандарты, которые определяют обязательные требования к СУИБ.

ISO/IEC 27001:2005 – Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования Это основной стандарт группы. Он определяет требования к разработке, внедрению, поддержке и улучшению систем менеджмента информационной безопасности В данный момент разрабатывается новая версия стандарта ISO 27001.

Сл. 21. Стандарты, определяющие требования и рекомендации для аудита СУИБ.

ISO/IEC 27006:2011 - Информационные технологии. Средства обеспечения безопасности. Требования для органов, выполняющих аудит и сертификацию систем менеджмента информационной безопасности Этот стандарт расширяет требований стандарта ISO 17021 специально для органов, проводящих аудит и сертификацию СУИБ.

ISO/IEC 27007:2011 - Информационные технологии. Средства обеспечения безопасности. Руководящие указания для аудита систем менеджмента информационной безопасности Стандарт ISO 27007 предлагает рекомендации по проведению аудитов СУИБ со стороны сертификационных организаций. Он полезен для аудиторов этих организаций.

ISO/IEC TR 27008:2011 - Информационные технологии. Методы обеспечения безопасности - Руководство для аудиторов по мерам и средствам обеспечения информационной безопасности Данный стандарт, как и ISO 27007 является дополнительным стандартом к ISO 19011:2011 специально для СУИБ. Он специализирован для аудита средств управления информационной безопасностью в организации.

Сл. 22-25. Стандарты, предлагающие лучшие практики внедрения, развития и совершенствования СУИБ.

ISO/IEC 27002:2005 - Информационные технологии. Средства обеспечения. Свод практики для менеджмента информационной безопасности. Самый популярный стандарт группы после ISO 27001. Он дает отличные указания для разработки, внедрения, поддержки и совершенствовании СУИБ. Он является библией для консультантов.

ISO/IEC 27003:2010 - Информационные технологии. Руководство по осуществлению системы менеджмента информационной безопасности Стандарт дает указания и методику для процессов разработки и внедрения СУИБ.

ISO/IEC 27004:2009 - Информационные технологии. Средства обеспечения безопасности. Измерения менеджмента информационной безопасности Стандарт является руководством для выбора, проектирования, управления и улучшения средств и методов измерения эффективности и результативности системы.

ISO/IEC 27005:2011 - Информационные технологии. Методы защиты. Менеджмент рисков информационной безопасности. Этот стандарт является одним из самых важных в группе. Несмотря на то, что он только указательный, а не обязательный стандарт, его назначение состоит в том, что управление рисками - один из самых важных процессов для информационной безопасности.

ISO/IEC 27011:2010 - Информационные технологии. Средства обеспечения безопасности. Руководящие указания по менеджменту информационной безопасности для телекоммуникаций на основе ISO / IEC 27002. Это специализированное руководство по СУИБ в телекоммуникационных организациях.

ISO/IEC 27031:2011 - Информационные технологии. Методы обеспечения защиты. Руководство для готовности информационных и коммуникационных технологий по обеспечению непрерывности бизнеса Новый, интересный стандарт - руководство по обеспечению непрерывности бизнеса в ИКТ.

ISO/IEC 27033-1:2009 - Информационные технологии. Методы обеспечения защиты. Сетевая безопасность. Часть 1 – Обзор и понятия. Первый из группы специализированных стандартов в области обеспечения информационной безопасности сетевой инфраструктуры.

ISO/IEC 27033-3:2010 - Информационные технологии. Методы обеспечения защиты. Сетевая безопасность. Часть 3 – Сетевые сценарии. Угрозы, методы проектирования и управления вопросами.

ISO/IEC 27034-1:2011 - Информационные технологии - Методы обеспечения защиты. Безопасность приложений. Часть 1 - Обзор и понятия. Стандарт из группы специализированных стандартов в области обеспечения информационной безопасности сетевой инфраструктуры с практическим значением.

ISO/IEC 27035:2011 - Информационные технологии. Методы обеспечения защиты. Управление инцидентами по информационной безопасности. Один из ценных стандартов в группе с практической стоимостью в области управления инцидентами по информационной безопасностью.

ISO 27799:2008 - Информатика в здравоохранении. Менеджмент безопасности информации по стандарту ISO/IEC 27002. Это специализированное руководство по СУИБ в здравоохранении.

ISO/IEC 24762:2008 - Информационные технологии. Методы обеспечения защиты. Рекомендации по услугами для аварийного восстановления информационных и коммуникационных технологий. Тоже интересный стандарт с точки зрения практических рекомендаций по обеспечению аварийного восстановления ИКТ.

Группа стандартов ISO 27000 получила очень серьезное развитие в последние годы. В настоящее время в различных стадиях подготовки находятся еще 25 новых стандартов, которые обеспечат необходимую помощь при разработке, внедрении, поддержании и улучшении СУИБ.

Дата добавления: 2015-05-10; Просмотров: 875; Нарушение авторских прав?; Мы поможем в написании вашей работы!