Обеспечение функционирования СОИБ
Слайд № 18. Информационная безопасность бизнеса в первую очередь связана с деятельностью руководства ХС и его СОИБ защите конфиденциальной информации. Следовательно, обеспечение функционирования этой системы должно начинаться с изучения правовых основ обеспечения ИБ, а именно как в законодательстве Российской Федерации определены понятия «конфиденциальной информации», «коммерческой тайны».
Все должностные лица ХС, а в первую очередь – руководство и персонал, задействованный в функционировании СОИБ, должны знать об ответственности за разглашение коммерческой тайны. К ним относятся требования статей Уголовного кодекса, Гражданского кодекса и Кодекса законов о труде, а также тех условий, при которых эти требования к сотруднику могут быть применимы.
В современных информационных системах обязательным стало использование вычислительной техники, средств телекоммуникаций и оргтехники. В связи с этим появились новые угрозы ИБ, а, следовательно, и новые виды ответственности, например «за нарушение тайны переписки, телефонных, почтовых, телеграфных или иных сообщений» [3]. Под иными сообщениями понимаются сообщения по телефаксу, телетайпу, с использованием компьютерной связи и другие.
Серьезная ответственность предусматривается законодательством за эти деяния, совершенные лицом с использованием своего служебного положения, а также с использованием специальных технических средств, предназначенных для негласного получения информации. Кроме того, предусматривается ответственность за незаконное производство, сбыт или приобретение в целях сбыта специальных технических средств, предназначенных для негласного получения информации.
Слайд № 19. Организация функционирования СОИБ невозможна без определения перечня «источников конфиденциальной информации», к которым можно отнести:
- людей (сотрудники, клиенты, посетители, обслуживающий персонал);
- документы самого различного характера и назначения;
- публикации: доклады, статьи, интервью, проспекты, книги;
- технические средства носителей информации и их обработки;
- выпускаемая ХС продукция;
- производственные и промышленные отходы ХС и другие.
Важное значение для функционирования СОИБ имеет организация кадровой работы ХС. Кадровая работа и особенности ее осуществления для обеспечения ИБ должна включать отбор кандидатов для работы в качестве сотрудников ХС и определение персональной ответственности каждого сотрудника в области ИБ. При этом особое внимание необходимо обратить на подбор кандидатов для работы в качестве сотрудников СОИБ.
Обеспечение функционирования СОИБ непременно связано с введением в хозяйствующем субъекте комплекса ограничительных (режимных) мероприятий. Природа психологии человека такова, что он всегда негативно относится к любым попыткам ограничить его права и свободы, даже, несмотря на явную необходимость таких действий.
Поэтому, основой успеха функционирования данной системы является такая ее организация, при которой режимные меры не должны серьезно затруднять работу персонала, не должны вызывать дискомфорт на технологических участках и серьезную неприязнь.
Слайд № 20. Приведем общий, т.е. универсальный перечень режимных мероприятий для обеспечения информационной безопасности бизнеса:
- физическая защита сотрудников ХС, являющихся потенциальными носителями конфиденциальной информации;
- постоянный контроль и проверка персонала с целью устранения возможностей для совершения мошенничества и предотвращения возможного сговора между сотрудниками и, например, клиентами ХС;
- ограничение прав доступа сотрудников к информации, которое должно регламентироваться только характером выполняемых ими должностных обязанностей. Наиболее ценная информация разделяется на составные части, доступ к которым должен быть у разных сотрудников. При любом разглашении конфиденциальной информации должен быть достаточно четко известен (или минимизирован) круг лиц, которые могут быть причастных к инцидентам в области ИБ;
- налаженная и постоянно действующая система внутреннего контроля ХС, включающая проведение плановых, внезапных и скрытых контрольных проверок;
- проведение предупредительной активной политики аудита информационной безопасности ХС.
Наконец, организация функционирования СОИБ невозможна без применения комплекса инженерно-технических мер защиты. Этот комплекс достаточно объемный и разнообразный. В настоящее время рынок технических средств и технологических решений в области ИБ весьма обширен, если не сказать – переполнен, поэтому необходима исследовательская, аналитическая и оценочная деятельность в этой области.
Известно, что основополагающим принципом создания различных систем безопасности является принцип равнопрочности, который предполагает сбалансированность уровней защищенности информационной системы ХС, которые вносят все составляющие СОИБ. Следовательно, говорить о серьезной защите информации в информационной системы ХС возможно только в том случае, когда будет обеспечено комплексное применение всех мер и средств ее защиты.
Декомпозиция СОИБ
Слайд № 21. Структурная схема многоуровневой декомпозиции СОИБ показана на слайде. В основу предложенной декомпозиции СОИБ включены следующие положения:
- под СОИБ рассматриваем сложную организационно-иерархическую систему с видами обеспечения;
- каждый вид обеспечения является сложной системой и рассматривается в качестве подсистемы СОИБ;
- в каждой подсистеме СОИБ выделяются направления деятельности по обеспечению информационной безопасности в интересах хозяйствующего субъекта;
- каждое направление деятельности по обеспечению информационной безопасности реализуется определенными силами (организации, подразделения, должностные лица);
- конкретные задачи обеспечения информационной безопасности в интересах хозяйствующего субъекта решаются применением конкретных средств (методики, документы, компьютерные программы и др.).
Таким образом, четырехуровневая вертикальная декомпозиция СОИБ представляет собой совокупность следующих уровней (рис. 3).
Первый уровень декомпозиции СОИБ заключается в определении перечня видов обеспечения функционирования данной системы, или ее подсистем. При этом нами определены (Слайд № 22):
- подсистема организационно-правового обеспечения;
- подсистема кадрового обеспечения;
- подсистема финансово-экономического обеспечения;
- подсистема инженерно-технического обеспечения;
- подсистема программно-аппаратного обеспечения;
- подсистема аудита информационной безопасности.
Рис.3. Структура вертикальной 4-х уровневой декомпозиции СОИБ
Слайд № 23. Данные подсистемы представляют собой горизонтальную декомпозицию СОИБ и полностью охватывают весь перечень работ по ее созданию в интересах хозяйствующего субъекта, организации функционирования этой системы и поддержания ее в состоянии готовности к решению возложенных на нее задач.
Подсистема организационно-правового обеспечения должна обеспечить:
- во-первых, формирование правового поля для выполнения мероприятий обеспечения информационной безопасности, путем учета требований законодательства РФ в данной предметной области;
- во-вторых, обеспечение выполнения концептуальных разработок, а также практических ограничительных и режимных мероприятий по обеспечению информационной безопасности в интересах хозяйствующего субъекта.
Подсистема кадрового обеспечения должна базироваться на созданной системе подготовки специалистов в области информационной безопасности, иметь систему подбора специалистов, основывающуюся на деятельности кадрового органа хозяйствующего субъекта, а также, систему работы с сотрудниками.
Подсистема финансово-экономического обеспечения обеспечивает выполнение функции использования результатов анализа финансово-экономической деятельности хозяйствующего субъекта с целью определения возможных масштабов финансирования деятельности по обеспечению информационной безопасности. Кроме этого, обеспечивает работы по моделированию и оценке затрат на обеспечение ИБ, а также, по определению минимально достаточного уровня затрат, т.е. оптимизационные расчеты.
Подсистема инженерно-технического обеспечения охватывает совокупность работ по инженерно-техническому оборудованию элементов (объектов) информационной инфраструктуры хозяйствующего субъекта. Кроме этого, по обеспечению видеонаблюдения, противопожарной защиты на объектах, и защиты информации, в том числе и компьютерной, от утечек по различным каналам.
Подсистема программно-аппаратного обеспечения обеспечивает выполнение функций защиты информации в информационной системе, а также самих элементов информационной системы от различных угроз применением различных программных и программно-аппаратных решений.
Подсистема аудита информационной безопасности предназначена для обеспечения контроля и проверок качества функционирования всех подсистем и элементов СОИБ применением методик анализа рисков информационной безопасности, а также различных форм проведения проверок.