Лекция по теме "Организационное обеспечение информационной безопасности"

 

Тема .Организационное обеспечение информационной безопасности

1.    1. Понятие организационного обеспечения.

2.    2. Политика информационной безопасности

3. 3. Организационные структуры государственной системы обеспечения информационной безопасности федеральных органов исполнительной власти

 

Организационное обеспечение- совокупность методов и средств, регламентирующих взаимодействие работников с техническими средствами и между собой в процессе разработки и эксплуатации информационной системы.

Организационное обеспечение реализует следующие функции:

·        анализ существующей системы управления организацией, где будет использоваться ИС, и выявление задач, подлежащих автоматизации;

·        подготовку задач к решению на компьютере, включая техническое задание на проектирование ИС и технико-экономическое обоснование ее эффективности;

·        разработку управленческих решений по составу и структуре организации, методологии решения задач, направленных на повышение эффективности системы управления.

Организационный или административный уровень является промежуточным между законодательно-правовым и программно-техническим уровнями формирования режима информационной безопасности.

Основой практического построения комплексной системы безопасности является административный уровень, определяющий главные направления работ по защите информационных систем.

Задачей административного уровня является разработка и реализация практических мероприятий по созданию системы информационной безопасности, учитывающей особенности защищаемых информационных систем.

Кроме этого, что немаловажно, именно на административном уровне определяются механизмы защиты, которые составляют третий уровень информационной безопасности – программно-технический.

Целью административного уровня является разработка программы работ в области информационной безопасности и обеспечение ее выполнения в конкретных условиях функционирования информационной системы.

Содержанием административного уровня являются следующие мероприятия:

1.     Разработка политики безопасности.

2.     Проведение анализа угроз и расчета рисков.

 

2.Политика информационной безопасности

 

Политика безопасности – это комплекс предупредительных мер по обеспечению информационной безопасности организации. Политика безопасности включает правила, процедуры и руководящие принципы в области безопасности, которыми руководствуется организация в своей деятельности. Кроме этого, политика безопасности включает в себя требования в адрес субъектов информационных отношений, при этом в политике безопасности излагается политика ролей субъектов информационных отношений.

Основные направления разработки политики безопасности:

·        определение объема и требуемого уровня защиты данных;

·        определение ролей субъектов информационных отношений.

Результатом разработки политики безопасности является комплексный документ, представляющий систематизированное изложение целей, задач, принципов и способов достижения информационной безопасности.

Этот документ является методологической основой практических мер по обеспечению информационной безопасности и включает следующие группы сведений:

·        основные положения информационной безопасности организации;

·        область применения политики безопасности;

·        цели и задачи обеспечения информационной безопасности организации;

·        распределение ролей и ответственности субъектов информационных отношений организации и их общие обязанности.

Основные положения определяют важность обеспечения информационной безопасности, общие проблемы безопасности, направления их решения, роль сотрудников, нормативно-правовые основы.

При описании области применения политики безопасности перечисляются компоненты автоматизированной системы обработки, хранения и передачи информации, подлежащие защите.

В состав автоматизированной информационной системы входят следующие компоненты:

·        аппаратные средства – компьютеры и их составные части (процессоры, мониторы, терминалы, периферийные устройства – дисководы, принтеры, контроллеры), кабели, линии связи и т. д.;

·        программное обеспечение – приобретенные программы, исходные, объектные, загрузочные модули; операционные системы и системные программы (компиляторы, компоновщики и др.), утилиты, диагностические программы и т. д.;

·        данные – хранимые временно и постоянно, на магнитных носителях, печатные, архивы, системные журналы и т. д.;

·        персонал – обслуживающий персонал и пользователи.

Цели, задачи, критерии оценки информационной безопасности определяются функциональным назначением организации. Например, для режимных организаций на первое место ставится соблюдение конфиденциальности. Для сервисных информационных служб реального времени важным является обеспечение доступности подсистем. Для информационных хранилищ актуальным может быть обеспечение целостности данных и т. д.

Политика безопасности затрагивает всех субъектов информационных отношений в организации, поэтому на этапе разработки политики безопасности очень важно разграничить их права и обязанности, связанные с их непосредственной деятельностью.

С точки зрения обеспечения информационной безопасности разграничение прав и обязанностей целесообразно провести по следующим группам (ролям):

·        специалист по информационной безопасности;

·        владелец информации;

·        поставщики аппаратного и программного обеспечения;

·        менеджер отдела;

·        операторы;

·        аудиторы.

В зависимости от размеров организации, степени развитости ее информационной системы, некоторые из перечисленных ролей могут отсутствовать вообще, а некоторые могут совмещаться одним и тем же физическим лицом.

Специалист по информационной безопасности (начальник службы безопасности, администратор по безопасности) играет основную роль в разработке и соблюдении политики безопасности предприятия. Он проводит расчет и перерасчет рисков, выявляет уязвимости системы безопасности по всем направлениям (аппаратные средства, программное обеспечение и т. д.).

Владелец информации – лицо, непосредственно владеющее информацией и работающее с ней. В большинстве случае именно владелец информации может определить ее ценность и конфиденциальность.

Поставщики аппаратного и программного обеспечения обычно являются сторонними лицами, которые несут ответственность за поддержание должного уровня информационной безопасности в поставляемых им продуктах.

Администратор сети – лицо, занимающееся обеспечением функционирования информационной сети организации, поддержанием сетевых сервисов, разграничением прав доступа к ресурсам сети на основании соответствующей политики безопасности.

Менеджер отдела является промежуточным звеном между операторами и специалистами по информационной безопасности. Его задача – своевременно и качественно инструктировать подчиненный ему персонал обо всех требованиях службы безопасности и следить за их выполнением на рабочих местах. Менеджеры должны доводить до подчиненных все аспекты политики безопасности, которые непосредственно их касаются.

Операторы обрабатывают информацию, поэтому должны знать класс конфиденциальности информации и какой ущерб будет нанесен организации при ее раскрытии.

Аудиторы – внешние специалисты по безопасности, нанимаемые организацией для периодической проверки функционирования всей системы безопасности организации.

 

 

3.    Организационные структуры государственной системы обеспечения информационной безопасности федеральных органов исполнительной власти.

Наиболее развитой составляющей комплекса обеспечения информационной безопасности является государ­ственная система защиты информации, в составе которой можно выделить такиеорганизационные структуры, как:

- служ­бы контроля, надзора и обеспечения безопасности органов ис­полнительной власти;

- специализированные предприятия и орга­низации — лицензиаты в различных областях компетенции упол­номоченных органов исполнительной власти, которые являются разработчиками средств и поставщиками услуг по защите ин­формации;

- сертификационно-испытательные центры;

- аттестаци­онные центры;

-  службы безопасности и защиты информации пред­приятий и организаций, независимо от их формы собственнос­ти.

Службы контроля и надзора органа исполнительной властинесут основную нагрузку по формированию и развитию системы защиты информации в соответствующем органе власти. Такие служ­бы входят в состав административного аппарата органов испол­нительной власти и, как правило, в их функции входят:

            - разработка нормативно-методических документов отраслевого (ведомственного) уровня по выполнению требований обеспе­чения безопасности и защиты информации;

 - разработка, организация и проведение контрольных и над­зорных мероприятий в пределах установленной сферы компетен­тности органа государственной власти и оформление результатов проведения таких мероприятий;

 - выдача предписаний об устранении нарушений требований -нормативных документов;

- подготовка мотивированных предложений о полном или ча­стичном прекращении деятельности подведомственных организаций в случае, если иными мерами нарушения требований норма­тивных документов не могут быть устранены;

- проведение в ходе государственного контроля (надзора) разъяснительной работы по выполнению требований норматив­ных актов в области обеспечения безопасности и защиты инфор­мации.

Выполнение указанного перечня функций обеспечивают спе­циалисты, соответствующие следующей номенклатуре основных должностей: руководитель управления, службы; руководитель от­дела, сектора; специалист по направлению деятельности службы безопасности; инженер-метролог (нормоконтролер технической и организационно-распорядительной документации).

Особое место в государственной системе защиты информации занимают специализированные предприятия — разработчики ком­плексов и средств обеспечения, а также поставщики услуг в обла­сти безопасности и защиты информации. Именно от степени их развития, уровня и качества поставляемой продукции и услуг за­висит безопасность, устойчивость и надежность функционирова­ния всей инфраструктуры информационной безопасности. Поэто­му недаром одним из обязательных требований к указанным пред­приятиям и организациям является лицензирование их деятель­ности уполномоченным органом исполнительной власти в соот­ветствии с законодательством о государственном регулировании отдельных видов деятельности.

Предлагаемые на рынке этими предприятиями услуги организа­ционно-технологического характера можно классифицировать в соответствии с этапами жизненного цикла систем обеспечения информационной безопасности:

-            обследование — услуга, которая может включать анализ защи­щенности используемых информационных технологий, обследо­вание системы документооборота, обследование организации в целом (т.е. анализ влияния существующего документооборота на защищенность бизнес-процессов), проверку деятельности орга­низации в соответствии с требованияминормативно-правовых документов и тому подобное;

-            проектирование комплексной системы обеспечения, при кото­ром должен быть охвачен не только технический уровень, но н все механизмы защиты, включая организационно-правовые;

-            внедрение системы защиты информации на договорной основе с использованием специализированных подрядныхорганизаций,имеющих соответствующую лицензию (может дать большой эф­фект за счет высокой квалификации привлекаемых специалистов);

-            сопровождение систем информационной безопасности и работ по защите информации третьими лицами (аутсорсинг), т.е. оказа­ние специализированной оперативной помощи в случаевнештат­ных ситуаций, периодическое обновление специального и общего системного программного обеспечения в случае появления новых атак и уязвимостей.

Организация и технологии разработки специализированных комплексов, систем и средств зашиты информации принципи­ально не отличаются от используемых в других отраслях создания высокотехнологичной продукции, в частности средств вычисли­тельной техники. Основная номенклатура должностей традиционна для высокотехнологичных предприятий: конструктор по на­ладке и испытаниям; конструктор по стандартизации; програм­мист; технолог; электроник; техник по наладке и испытаниям.

Бурный процесс информатизации и, как следствие, все возра­стающая актуальность обеспечения требований информационной безопасности приводят к необходимости видоизменения и допол­нения номенклатуры специалистов.

Широкое распространение общепризнанной международной практики проведения такого вида услуги, как аудит информационной безопасности, привело к по­явлению специалистов нового профиля — аудиторов, которые осуществляют свою деятельность в соответствии с рекомендациямиотечественных и международных стандартов.

К таким стандар­там относятся:

-             ГОСТ Р ИСО/МЭК 17799-2005 «Информационная техноло­гия — Практические правила управления информационной без­опасностью»;

-              ИСО/МЭК 17799-2000 «Информационная технология. Ко­декс установившейся практики для менеджмента информацион­ной безопасностью»;

-             BS7799 «Управление информационной безопасностью. Прак­тические правила»;

-            вторая часть BS7799-2:2002 «Системы управления информа­ционной безопасностью — спецификация с руководством по ис­пользованию».

Сертификационно-испытательные центры и лаборатории за­нимают особое место среди предприятий и организаций — ли­цензиатов в области обеспечения безопасности и защиты инфор­мации. Эти организационные структуры обеспечивают необходи­мую поддержку такой функции государственно-общественного ре­гулирования в области информационной безопасности, как сер­тификацию средств и оценки качества оказания услуг по защите информации.

Наряду с лицензированием своей деятельности в области за­щиты информации указанные центры и лаборатории должны прой­ди дополнительно обязательную организационно-правовую про­цедуру — аккредитацию в качестве сертификационно - испытательных структур, которая в настоящее время осуществляется исклю­чительно уполномоченными органами исполнительной власти. Реформа законодательства о техническом регулировании пока не дает четкой правовой основы использования обязательной серти­фикации как механизма независимого подтверждения качества продукции и услуг в области информационной безопасности, но и не отменяет возможность применения такого механизма, по крайней мере в системе сертификации продукции, работ и услуг, средств и комплексов защиты сведений, составляющих государ­ственную тайну.

Наработанные практикой за более чем десятилет­ний период организационно-технологические процедуры в целом могут также с успехом применяться в системах добровольной сер­тификации. Поэтому существующие сертификационно-испытательные центры (лаборатории) по-прежнему будут играть ключевую роль в процессах подтверждения соответствия средств, комплек­сов и систем защиты установленным требованиям по безопаснос­ти информации. Номенклатура указанных должностей подобных структур также может быть дополнена новой категорией специа­листов, например, «оценщик», или специалист по оценке защи­щенности информационных технологий, предусмотренной стан­дартом ГОСТ Р ИСО/МЭК 15408-2002 «Общие критерии оцен­ки безопасности информационных технологий».

Аттестационные центры наряду с сертификацией средств, ра­бот и услуг в области обеспечения информационной безопасно­сти осуществляют относительно похожие процедуры подтвержде­ния соответствия, называемые аттестацией объектов информати­зации.

Как правило, по объему и характеру работ традиционные атте­стационные центры (лаборатории) не имеют существенных отли­чительных особенностей по сравнению с сертификационно-испытательными центрами, а наиболее известные отечественные компании — поставщики услуг в области защиты информации — имеют аккредитацию по обоим видам деятельности и, соответ­ственно, примерно одинаковую номенклатуру основных должно­стей.

Активно развивается также рынок образовательных услуг в об­ласти информационной безопасности по повышению квалифика­ции специалистов, руководителей служб безопасности, руково­дителей IT-подразделений, пользователей средств защиты, так как необходимым условием для получения лицензии на деятельность в области защиты информации является наличие персонала необ­ходимого уровня квалификации и подготовки. Однакосистема дополнительного образования в области информационной без­опасности пока находится в стадии формирования, чтозатрудняетвыделение ее типовых элементов.

Службы безопасности и защиты информации предприятий и организаций независимо от вида деятельности и формсобственно­сти являются самой распространенной организационнойструкту­рой в рассматриваемой области общественной деятельности и по существу составляют основу всей системы обеспечения информа­ционной безопасности предприятий, организаций и страны в це­лом. Поэтому целесообразно рассмотреть вопросы их функциони­рования более подробно.

Непосредственная деятельность по организации функциони­рования и эксплуатации комплексов обеспечения информацион­ной безопасности осуществляется штатными специалистами со­ответствующих структурных подразделений. Они должны иметь определенную квалификацию в соответствии с требованиями, установленными номенклатурой должностей и служащих. Типо­вые требования раскрываются в квалификационном справочнике должностей руководителей, специалистов и других служащих, утвержденном Министерством труда и социального развития Рос­сийской Федерации.