Направления и методы работы с персоналом, обладающим конфиденциальной информацией.

Работа с персоналом, обладающим секретной или конфиденциальной информацией, осуществляется в течение всего времени его пребывания в организации. Можно выделить несколько основных направлений текущей работы с персоналом: 1. Регулирование доступа к защищаемой информации, основным инструментом которого является разрешительная система доступа; контроль доступа. 2. Обучение персонала в соответствии с программами по безопасности и защите информации. 3. Мотивация персонала к деятельности по обеспечению безопасности и защите информации. В практике процесс обучения подразделяется, как правило, на два этапа. Первый этап имеет своей целью ознакомление вновь принятого сотрудника с целями, задачами, основными требованиями ЗИ, сформулированными в нормативно-методических документах, а также обучение по специальным программам методам, процедурам, используемым в процессе ЗИ на каждом конкретном рабочем месте. Программы первого этапа носят название ориентационных. Второй этап предусматривает более углубленное изучение проблем защиты информации и нацелен на развитие навыков работы, ознакомление с изменяющимися требованиями системы защиты информации. Формы и методы обучения, используемые на первом и втором этапах, практически одни и те же (лекции, семинары, конференции, индивидуальные тренинги и т.д.). В качестве одной из альтернативных форм обучения, характерной скорее для второго этапа, является создание Совета по безопасности организации. Организация обучения персонала преследует цель не только собственно обучения, но и мотивации персонала к деятельности по защите информации. Под мотивацией понимается целенаправленное воздействие на личность в соответствии с ее потребностями, ценностями и ориентациями, побуждающее ее изменять поведение в определенных целях и действовать в соответствии с этими целями. В нашем контексте - это процесс побуждения сотрудника к деятельности по защите информации. Направить поведение человека в желаемое русло, иначе говоря - управлять поведением человека можно путем воздействия на мотивы, ценностные ориентации и волю личности. Под мотивами понимается то, что внутренне побуждает человека к действию, определяет его поведение, а именно: потребности, интересы, цели, инстинкты, влечения (желания), эмоции и идеалы. Ценностные ориентации - система внутренних установок личности к определенному действию в определенных условиях, в соответствии с теми или иными социальными ценностями. Воля - способность человека принимать решения и действовать, руководствуясь категориями “надо” и “я должен”. Механизмы управления поведением человека достаточно детально разработаны зарубежными специалистами в области поведенческих наук, психологии труда. Механизм мотивации сотрудников, таким образом, предполагает взаимодействие внутренних (мотивы, ценностные ориентации, воля) и внешних побудителей к действию. Механизм внешнего воздействия реализуется в системе стимулов к определенной деятельности. В числе внешних побудителей к деятельности выделяются материальные и моральные стимулы. Какими стимулами являются: 1)материальное вознаграждение и другие дополнительные льготы, которые могут выражаться в денежной и не денежной формах; 2)организация продвижения по службе (или управление карьерой); 3)вовлечение работников в управление компанией и владение собственностью; 4)организация обучения и повышения квалификации. Эффективная система стимулирования должна включать не только различного рода поощрения, но и обоснованную систему санкций, применяемых для наказания за нарушение норм и правил, установленных в организации. К методам мотивации персонала к деятельности по защите информации относят также управление стрессами и конфликтами в организации, деятельность по воспитанию чувства корпоративности “фирменного патриотизма”, “духа единой команды” и т.п., позволяющего удовлетворить потребности в причастности к общему делу. Важность задач по защите информации и достаточно жесткие требования режима ее защиты предполагают необходимость контроля работы персонала со стороны руководства организации. Направления и методы контроля за соблюдением персоналом правил работы с защищаемой информацией зависит от объекта контроля. Так, знание персоналом требований режима защиты информации может быть проконтролировано при помощи традиционных форм контроля знаний: экзамен, зачет, тестирование, собеседование. Контроль доступа персонала к защищаемой информации осуществляется путем создания систем контроля доступа к источникам информации, ее носителям, хранилищам, средствам коммуникации и т.д.

Билет 20

1. Принципы моделирования объектов защиты и технических каналов утечки информации.

Основу методологии инженерно технической защиты информации составляет вербальное и математическое моделирование объектов защиты, угроз информации и методические рекомендации по выбору рациональных вариантов ИТЗИ. Вербальная модель описывает объект на профессиональном (ИБ) языке. Математическое моделирование предусматривает исследование математических аналогов реальных объектов и процессов. Проектирование системы ИТЗИ с требуемыми характеристиками обеспечивается путем поэтапного моделирования объектов защиты, моделирование угроз информации и рационального выбора мер инженерно-технической защиты в соответствии с алгоритмом проектирования (совершенствования системы защиты.

На этапе моделирования объектов защиты производится определение на основе структурирования перечня сведений, составляющих гос. (коммерческую) тайну, источников защищаемой информации и ее цены, выявление и описание факторов, влияющих на защищенность этих источников. В результате моделирования объектов защиты определяются исходные данные, необходимые для моделирования угроз.

Моделирование угроз защищаемой информации предусматривает выявление угроз путем анализа защищенности источников информации, определенных на предыдущем этапе, оценке опасности выявленных угроз и и возможности их реализации в рассматриваемых условиях, а так же определение величины потенциального ущерба от рассмотренных угроз. Моделирование завершается ранжированием угроз по величине потенциального ущерба. Угрозы с максимальным потенциальным ущербом создают наибольшую опасность информации и выбор мер по их нейтрализации составляют первоочередные задачи следующего этапа.

Рациональный выбор мер ИТЗИ представляет собой совокупность эвристических процедур по определению вариантов мер нейтрализации рассматриваемой угрозы из состава рекомендуемых. Для каждой из выбранных мер определяются затраты на ее реализацию с учетом расходов в течении жизненного цикла (от момента реализации до прекращения функционирования мер). Окончательный выбор меры из нескольких вариантов осуществляется по критерию «эффективность/стоимость». Выбор мер по нейтрализации каждой последующей меры завершается в момент, когда достигается требуемый уровень безопасности информации или исчерпывается выделенный на защиту ресурс системы. Однако при выполнении второго условия этот процесс целесообразно продолжить с целью определения дополнительного ресурса, необходимого для обеспечения требуемого уровня безопасности информации.

Особенности алгоритма проектирования системы ИТЗИ является наличие обратной связи. Обратная связь указывает на необходимость коррекции моделей объектов защиты и угроз информации с целью учета связей между угрозами и мерами защиты.

Исходные данный для моделирования объектов защиты содержаться в перечне сведений составляющих гос. и коммерческую тайну. С целью определения источников защищаемой информации проводиться структурирование информации, содержащейся в перечне сведений . Структурирование информации представляет собой процесс детализации на каждом уровне иерархической структуры, соответствующей структуре организации, содержания сведений (тематических вопросов) предыдущего уровня. Моделирование источников информации включает описание пространственного расположения источников информации и факторов, влияющих на защищенность информации, содержащейся в источниках. Моделирование производиться на основе пространственных моделей контролирующих зон с указанием мест расположения источников защищаемой информации – планов помещений, этажей зданий, территории в целом. Модель объектов защиты представляет собой набор чертежей , таблиц и комментарий к ним. Они содержат полный перечень источников защищаемой информации с оценкой ее цены, описания характеристик, влияющих на защищенность информации, мест размещения и нахождения ее информации, а так же описания потенциальных источников опасных сигналов в местах нахождения источников информации.

Наиболее сложные задачи проектирования системы – определение источников угроз и анализ их возможностей. Для выявления угроз информации используются информативные демаскирующие признаки их источников – индикаторы угроз. В качестве индикаторов угроз воздействия на источники информации выступают действия злоумышленников иных физических сил, а так же условия, способствующие этим действиям, которые могут привести к их контакту с источниками защищаемой информации. В качестве индикаторов источников технических каналов утечки информации используются значения характеристик каналов утечки, которые создают реальные возможности разведывательного контакта носителя (защищаемой информации) с злоумышленником.

Возможность реализации угрозы проникновения злоумышленника к источнику информации оценивается по значению произведения вероятностей двух зависимых событий: безусловной вероятности попытки к проникновению и условной вероятности преодоления им всех рубежей на пути движения его от точки проникновения до места непосредственного контакта с источником информации – вероятностью проникновения.

Обнаружение и распознавание технических каналов утечки информации производится по их демаскирующим признакам. Выявление технических каналов утечки информации исследуются с помощью их моделей.

2. Моделирование процессов комплексных систем защиты информации.

Жизненный цикл СЗИ (аналогично CALS- технологии): 1 - идея создания системы 2 - формирование облика системы

3 - проектирование системы 4 - изготовление системы

5 - эксплуатация системы 6 - уничтожение или утилизация системы

7 - модернизация системы

Концепция построения КСЗИ (функционально-структ. модель):

1 - анализ объекта (ситуации) защиты 2 - анализ угроз 3 - анализ наиболее существенных уязвимостей

4 - определение требований КСЗИ

5 - кортеж концептуальных решений по построению СЗИ

а - определение функций СЗИ б - определение задач СЗИ

в - выбор средств ЗИ г - интегрирование средств защиты в единую систему

6 - требование концептуального решения 7 - анализ условий, в которых функционирует СЗИ

Постановка задачи проектирования: минимальный риск при заданных затратах либо миним. затраты при заданном риске.

Варианты решения задач проектирования: модернизация существующей системы либо разработка индивидуального проекта СЗИ.

3. Финансирование деятельности и функционирования службы защиты информации.

Поскольку служба безопасности не вправе самостоятельно зарабатывать деньги путем заключения договоров с другими клиентами, именно на предприятии-учредителе лежит обязанность финансирования ее деятельности. Но это не означает, что руководство службы безопасности должно занимать в этом вопросе пассивную позицию. Напротив, обоснованные текущие и прогнозные оценки в финансовых потребностях службы безопасности и основанные на них точные расчеты должны стать правилом, а не исключением. Финансовую политику службы безопасности определяют, конечно, ее руководители, но при этом активную помощь им должна оказывать бухгалтерская служба.

Поскольку руководители службы безопасности не являются, как правило, специалистами в финансовых вопросах, наиболее целесообразно свое внимание сосредоточить им на некоторых ключевых моментах.

Во-первых, периодически проверять финансовое состояние службы безопасности с помощью приглашенных специалистов. Во-вторых, открывать расчетные и текущие счета только в надежных банках. В-третьих, добиваться такого уровня минимальной зарплаты персонала службы безопасности, чтобы у него не возникало соблазна увольняться. В-четвертых, установить поэтапное финансирование закупленных (приобретенных) материально-технических средств от наиболее необходимых (например, в первую очередь, оружие, спецсредства) до менее необходимых (например, канцелярские принадлежности и т.д.). Наконец, рационально и обоснованно использовать деньги из фонда поощрения и материальной помощи персоналу

Билет 21