1. Концептуальные положения организационного обеспечения информационной безопасности.
2. Угрозы информационной безопасности на объекте.
3. Организация службы безопасности объекта.
1. Концептуальные положения организационного обеспечения информационной безопасности
Организационное обеспечение информационной безопасности образуется совокупностью нормативных и методических документов, разрабатываемых и вводимых в действие уполномоченными лицами в рамках правоприменительной практики по реализации правовых режимов информационной безопасности, а также мероприятий, осуществляемых специально выделяемыми силами и с применением средств обеспечения информационной безопасности.
Мероприятие, осуществляемое в рамках организационного обеспечения информационной безопасности, представляет собой систему согласованных по целям, времени и субъектам их осуществления взаимосвязанных мер и действий сил обеспечения информационной безопасности. Виды мероприятий условно могут быть классифицированы по областям деятельности:
- формирование и обеспечение функционирования системы нормативных и технических средств противодействия угрозам;
- формирование, подготовка и использование кадрового потенциала;
- финансовое обеспечение; методическое обеспечение выполнения мероприятий и т.д.
В рамках организационного обеспечения принимаются в том числе меры:
- направленные на развитие научных исследований в области повышения устойчивости информационной инфраструктуры к проявлению угроз;
- на содействие в установленном законодательством порядке работе общественных организаций, ставящих своей целью противодействие угрозам информационной безопасности и определение форм возможного взаимодействия с ними;
- на согласование деятельности федеральных органов исполнительной власти и органов исполнительной власти субъектов РФ в области противодействия угрозам;
- на развитие системы массовой информации, способной содействовать предоставлению гражданам, другим лицам, проживающим на территории государства, возможности получения доступа к достоверной информации об интересующих их событиях общественной жизни как внутри страны, так и за рубежом;
- по недопущению пропаганды и агитации, возбуждающей социальную, расовую, национальную или религиозную ненависть и вражду, пропаганды социального, расового, национального, религиозного или языкового превосходства.
2. Угрозы информационной безопасности на объекте
К угрозам информационной безопасности объекту относятся любые явления, действия, обстоятельства, события, которые могут являться причиной нанесения ущерба путем нарушения основных свойств защищенности «информационного измерения» объекта, обусловливаемых информацией и информационной инфраструктурой. Реализация угрозы выступает как атака.
Источниками угрозы могут быть преднамеренные злоумышленные действия отдельных лиц, в том числе легитимных пользователей, или их сообществ, случайные (ошибочные) действия обслуживающего персонала и пользователей, выход из строя (отказы) и сбои оборудования, природные явления и стихийные бедствия.
Источники угроз информационной безопасности разделяются на внешние и внутренние, случайные и преднамеренные.
Расширенный перечень угроз — их источников и способов воздействия — представлен в Доктрине информационной безопасности России.
Внутренними источниками угроз являются:
— неправомерные действия государственных, политических и экономических структур, приводящие к нарушению законных прав граждан и организаций в информационной сфере;
— вынужденное (в силу объективного отставания отечественной промышленности) использование импортных аппаратно-программных средств в информационных и телекоммуникационных системах;
— нарушение установленного регламента сбора, обработки и передачи информации;
— преднамеренные действия и ошибки персонала информационных и телекоммуникационных систем;
— отказы технических средств и сбои программного обеспечения в информационных и телекоммуникационных системах;
— использование ^сертифицированных (в соответствии с требованиями безопасности) средств информатизации и связи, а также средств защиты информации и контроля их эффективности;
— привлечение к работам по созданию, развитию и защите информационных и телекоммуникационных систем организаций и фирм, не имеющих государственных лицензий на осуществление этих видов деятельности.
К внешним источникам относятся:
— недружественная политика и деятельность политических, экономических, информационных и других структур иностранных государств в области глобального информационного мониторинга, распространения информации и новых информационных технологий;
— преступные действия международных групп, формирований и отдельных лиц;
— катастрофы и стихийные бедствия.
Способы воздействия угроз на объекты информационной безопасности подразделяются на организационно-правовые, технические и физические.
Организационно-правовые способы включают неправомерное ограничение доступа граждан и организаций к информации, невыполнение требований законодательства в информационной сфере.
Технические способы осуществления угроз включают:
— перехват информации через электромагнитные и акустические поля и излучения, в том числе побочные электромагнитные излучения и наводки (ПЭМИН); анализ трафика, дешифрирование и навязывание сообщений и команд управления; радиоэлектронное подавление линий связи и систем управления;
— несанкционированный доступ к информационным ресурсам, незаконное использование и распространение информации, копирование, уничтожение и искажение данных в информационных системах, нарушение технологий информационного обмена, сбора, обработки и хранения информации;
— применение интеллектуальных воздействий (вредоносных программ, ложных команд и дезинформирующих сообщений, имитирующих и разрушающих воздействий), внедрение электронных устройств перехвата информации и т.п.
К физическим способам относятся уничтожение или разрушение средств связи и обработки информации, а также уничтожение, повреждение, хищение носителей информации.
К угрозам информационной безопасности Российской Федерации, в частности, относятся:
1) противодействие реализации гражданами своих конституционных прав на личную и семейную тайну, тайну переписки, телефонных переговоров и иных сообщений;
2) противоправные сбор и использование информации;
3) разработка и распространение вредоносных программ, нарушающих нормальное функционирование информационных и информационно-телекоммуникационных систем, в том числе систем защиты информации;
4) уничтожение, повреждение, радиоэлектронное подавление или разрушение средств и систем обработки информации, телекоммуникации и связи;
5) утечка информации по техническим каналам;
6) внедрение электронных устройств для перехвата информации в технические средства обработки, хранения и передачи информации по каналам связи, а также в служебные помещения органов государственной власти, предприятий, учреждений и организаций независимо от формы собственности;
7) уничтожение, повреждение, разрушение или хищение машинных и других носителей информации;
8) перехват информации в сетях передачи данных и на линиях связи, дешифрование этой информации и навязывание ложной информации;
9) использование ^сертифицированных отечественных и зарубежных информационных технологий, средств защиты информации, средств информатизации, телекоммуникации и связи при создании и развитии российской информационной инфраструктуры;
10) несанкционированный доступ к информации, находящейся в банках и базах данных;
11) нарушение законных ограничений на распространение информации.
Наиболее опасные угрозы безопасности информационным активам организации проявляются в следующих формах:
1) мошенничество, связанное с завладением чужим имуществом или приобретением права на него путем обмана или злоупотребления доверием, основанных на неправомерном доступе к информационно-коммуникационным системам, конфиденциальной информации, на подделке или искажении электронных документов в информационных и коммуникационных системах, сетях связи;
2) клевета, основанная на распространении заведомо ложной информации, порочащей честь и достоинство руководителей организации;
3) нарушение авторских и смежных прав, связанных с объектами интеллектуальной собственности;
4) шантаж, связанный с угрозой распространения персональных данных, иной информации, охраняемой законом в режиме тайны;
5) противоправное раскрытие информации ограниченного доступа третьим лицам;
6) уничтожение или повреждение информационных ресурсов, информационно-коммуникационных систем и сетей связи посредством использования и распространения вредоносных программ, нарушения правил эксплуатации ЭВМ и их сетей;
7) причинение имущественного ущерба собственнику или иному владельцу информационно-коммуникационных систем и сетей связи путем обмана или злоупотребления доверием без признаков хищения.
Вследствие проявления указанных угроз существенно возрастают риски, связанные с осуществлением основной деятельности организации (риск утраты репутации, риск ликвидности, операционные риски, риски утраты собственности или важных активов организации). Эти риски связаны с возможностью возникновения ситуаций проявления угроз, требующих дополнительных, часто существенных затрат материальных, людских, временных, финансовых и иных ресурсов на ликвидацию последствий проявления угроз. Увеличение рисков приводит к увеличению издержек и соответствующему снижению эффективности деятельности организации, уменьшению ее конкурентоспособности.
3. Организация службы безопасности объекта
Организация службы безопасности объекта включает регламентацию производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз, обеспечивающая: организацию охраны, режима, работу с кадрами, документами; использование технических средств безопасности; информационно-аналитическую деятельность по выявлению внутренних и внешних угроз предпринимательской деятельности.
К основным организационным мероприятиям следует отнести:
- организацию режима и охраны с целью исключения возможности тайного проникновения на территорию и в помещения посторонних лиц;
- организацию работы с сотрудниками, предусматривающую подбор и расстановку персонала (ознакомление с сотрудниками, их изучение, обучение правилам работы с конфиденциальной информацией, ознакомление с мерами ответственности за нарушение правил защиты информации и др.);
- организацию работы с документами и документированной информацией (разработка документов и носителей конфиденциальной информации, их учет, исполнение, возврат, хранение и уничтожение);
- организацию использования технических средств сбора, обработки, накопления и хранения информации;
- организацию работы по анализу внутренних и внешних угроз информационной безопасности и выработке мер по обеспечению ее защиты;
- организацию работы по проведению систематического контроля за работой персонала с конфиденциальной информацией, порядком учета, хранения и уничтожения документов и технических носителей.
Задачи службы информационной безопасности:
- определение перечня сведений, составляющих тайну, а также круга лиц, которые имеют к ним доступ;
- определение участков сосредоточения сведений, составляющих тайну;
- формирование требований к системе защиты в процессе создания и участие в проектировании системы защиты, ее испытаниях и приемке в эксплуатацию;
- планирование, организация и обеспечение функционирования системы ЗИ;
- распределение между пользователями необходимых реквизитов защиты (установка паролей, правление средствами защиты коммуникаций и криптозащиту;
- координация действий с аудиторской службой, совместное проведение аудиторских проверок, контроль функционирования системы защиты и ее элементов;
- организация обучения сотрудников в соответствии с их функциональными обязанностями; обучение пользователей правилам безопасной обработки информации;
- определение круга предприятий, на которых возможен выход из-под контроля сведений, составляющих коммерческую тайну предприятия;
- выявление лиц на предприятии и предприятий (в том числе иностранных), заинтересованных в овладении коммерческой тайной;.
- расследование нарушений защиты, принятие мер реагирования на попытки НСД к информации и нарушениям правил функционирования системы защиты;
- выполнение восстановительных процедур после нарушения безопасности;
- анализ, оценка состояния и разработка предложений по совершенствованию СОИБ предприятия; внедрение достижений науки и техники, передового опыта;
- совместная работа с представителями других организаций по вопросам безопасности, непосредственный контакт или консультации с партнерами или клиентами;
- постоянная проверка соответствия принятых в организации правил безопасной обработки информации существующим правовым нормам.
Комментариев нет:
Отправить комментарий