Лекции по "Комплексной системе защиты информации"

11. Кадровое  обеспечение функционирования КСЗИ

    Достижение  высокого уровня безопасности невозможно без принятия должных организационных мер. С одной стороны, эти меры должны быть направлены на обеспечение правильности функционирования механизмов защиты и выполняться администратором безопасности системы. С другой стороны, руководство организации, эксплуатирующей средства автоматизации, должно регламентировать правила автоматизированной обработки информации, включая и правила ее защиты, а также установить меру ответственности за нарушение этих правил.

  Организационная структура, основные функции службы компьютерной безопасности

    Для непосредственной организации (построения) и эффективного функционирования системы защиты информации в АС может быть (а при больших объемах защищаемой информации - должна быть) создана специальная штатная служба защиты (служба компьютерной безопасности).

    Служба  компьютерной безопасности представляет собой штатное или нештатное  подразделение, создаваемое для  организации квалифицированной разработки системы защиты информации и обеспечения ее функционирования.

    Основные  функции службы заключаются в  следующем :

• формирование требований к системе защиты в процессе создания АС;
• участие в проектировании системы защиты, ее испытаниях и приемке в эксплуатацию;
• планирование, организация и обеспечение функционирования системы защиты информации в процессе функционирования АС;
• распределение между пользователями необходимых реквизитов защиты;
• наблюдение за функционированием системы защиты и ее элементов;
• организация проверок надежности функционирования системы защиты;
• обучение пользователей и персонала АС правилам безопасной обработки информации;
• контроль за соблюдением пользователями и персоналом АС установленных правил обращения с защищаемой информацией в процессе ее автоматизированной обработки;
• принятие мер при попытках НСД к информации и при нарушениях правил функционирования системы защиты.

    Организационно-правовой статус службы защиты определяется следующим  образом:

• численность службы защиты должна быть достаточной для выполнения всех перечисленных выше функций;
• служба защиты должна подчиняться тому лицу, которое в данном учреждении несет персональную ответственность за соблюдение правил обращения с защищаемой информацией;
• штатный состав службы защиты не должен иметь других обязанностей, связанных с функционированием АС;
• сотрудники службы защиты должны иметь право доступа во все помещения, где установлена аппаратура АС и право прекращать автоматизированную обработку информации при наличии непосредственной угрозы для защищаемой информации;
• руководителю службы защиты должно быть предоставлено право запрещать включение в число действующих новые элементы АС, если они не отвечают требованиям защиты информации;
• службе защиты информации должны обеспечиваться все условия, необходимые для выполнения своих функций.

    Естественно, все эти задачи не под силу одному человеку, особенно если организация (компания, банк и др.) довольно велика. Более того, службу компьютерной безопасности могут входить сотрудники с разными функциональными обязанностями. Обычно выделяют четыре группы сотрудников (по возрастанию иерархии):

• Сотрудник группы безопасности. В его обязанности входит обеспечение должного контроля за защитой наборов данных и программ, помощь пользователям и организация общей поддержки групп управления защитой и менеджмента в своей зоне ответственности. При децентрализованном управлении каждая подсистема АС имеет своего сотрудника группы безопасности.
• Администратор безопасности системы. В его обязанности входит ежемесячное опубликование нововведений в области защиты, новых стандартов, а также контроль за выполнением планов непрерывной работы и восстановления (если в этом возникает необходимость) и за хранением резервных копий.
• Администратор безопасности данных. В его обязанности входит реализация и изменение средств защиты данных, контроль за состоянием защиты наборов данных, ужесточение защиты в случае необходимости, а также координирование работы с другими администраторами.
• Руководитель (начальник) группы по управлению обработкой информации и защитой. В его обязанности входит разработка и поддержка эффективных мер защиты при обработке информации для обеспечения сохранности данных, оборудования и программного обеспечения; контроль за выполнением плана восстановления и общее руководство административными группами в подсистемах АС (при децентрализованном управлении).

    Существуют  различные варианты детально разработанного штатного расписания такой группы, включающие перечень функциональных обязанностей, необходимых знаний и навыков, распределение времени и усилий. При организации защиты существование такой группы и детально разработанные обязанности ее сотрудников совершенно необходимы. (18)

    Для правильного и эффективного применения установленных средств защиты необходим квалифицированный персонал. Однако сложившаяся в России ситуация такова, что пока таких специалистов мало. Выходом из сложившейся ситуации могут быть курсы повышения квалификации, на которых сотрудники отделов защиты информации и служб безопасности получат все необходимые практические знания для использования имеющихся средств защиты, выявления угроз безопасности и их предотвращения.

    Однако  на этом процесс обеспечения безопасности не кончается. С течением времени  имеющиеся средства защиты устаревают, выходят новые версии систем обеспечения информационной безопасности, постоянно расширяется список найденных уязвимостей и атак. Поэтому специалистам в области защиты информации необходима своевременная и полная информация о таких событиях.(12)

    Но  как бы хорошо не были подготовлены сотрудники отделов защиты информации и служб безопасности, невозможно в полной мере исключить утечку конфиденциальной информации, если все сотрудники организации  не будут соблюдать требования нормативно-распорядительных документов по обеспечению безопасности информации. Существуют ряд правовых аспектов, знание которых позволить пресечь разглашение конфиденциальной  информации сотрудниками организации.

   Существует  138-я статья Уголовного Кодекса РФ, в которой говорится, что "нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений граждан", к которым относится и электронная почта карается:

• Штрафом от 50 до 100 минимальных размеров оплаты труда или
• Обязательными работами осужденного на срок от 120 до 180 часов или
• Исправительными работами на срок до 1 года.

Тоже  действие, совершенное с использованием своего служебного положения наказывается:

• Штрафом от 100 до 300 минимальных размеров оплаты труда или;
• Лишением прав занимать определенную должность на срок от 2 до 5 лет или;
• Арестом на срок от 2 до 4 месяцев.

   Однако, несмотря на опасность, на первый взгляд грозящую руководителю и администратору, есть способы ее устранения. Один из них указан в комментарии к  УК, в котором говорится, что "нарушение тайны переписки … заключается в ознакомлении с ее содержанием БЕЗ СОГЛАСИЯ лица, которому эта информация ПРИНАДЛЕЖИТ".

   Кроме того, Федеральный закон "Трудовой кодекс РФ" (№197-ФЗ от 30.12.2001) в Статье 57 говорит, что "в трудовом договоре могут предусматриваться условия… о неразглашении охраняемой законом тайны (государственной, служебной, коммерческой и иной)…"

Из чего следует вывод, что для обхода данной статьи УК, руководству организации  как минимум необходимо:

• разработать и, что самое важное, утвердить список сведений, составляющих конфиденциальную информацию и довести его до каждого сотрудника.
• обязать сотрудника подписать документ, в котором сотрудник соглашается с тем, что руководство или уполномоченное им лицо (в частности - системный администратор) имеет право на ознакомление с любыми данными, обрабатываемыми в информационной системе организации.

   Кроме того, надо знать, что статья 81 "Трудовой кодекс РФ" предусматривает возможность  расторжения трудового договора по инициативе работодателя в случаях однократного грубого нарушения работником трудовых обязанностей, в частности - разглашение охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей.(9) 
 
 

13. Материально- техническое  и нормативно- методическое  обеспечение функционирования  КСЗИ

      Методическое  направление работ  по созданию КСЗИ .

      Определение1. Методология есть совокупность способов и приемов рассмотрения вопросов информационной безопасности и методов их решения в целях построения комплексной системы информационной безопасности.

        Методология дает возможность  в рамках единого подхода использовать  согласованное применение разнородных  средств при построении целостной  системы защиты, перекрывающей все существенные каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее компонентов.

      Методология построения комплексной системы  защиты конфиденциальной информации описывает  основные методы и принципы решения  следующих вопросов:

1. Обеспечение комплексной безопасности;
2. Компоненты комплексной системы защиты информации;
3. Направления работ по созданию комплексной системы информационной безопасности;
4. Основные принципы построения системы комплексной информационной безопасности:

• системности;
• комплексности;
• непрерывности защиты;
• разумной достаточности;
• гибкости управления и применения;
• открытости алгоритмов и механизмов защиты;
• простоты применения защитных мер и средств.

5. Основные  организационно-методические мероприятия  по созданию и поддержанию функционирования комплексной системы защиты:

• создание службы безопасности;
• перечень основных нормативных и организационно-распорядительных документов, необходимых для организации комплексной системы защиты информации.

6. Рекомендации по методологии построения матрицы конфиденциальности:

• определение объектов и субъектов информационных потоков;
• определение характеристик и признаков объектов и субъектов информационных потоков (матрицы конфиденциальности);
• построение правил разграничения доступа субъектов к объектам информационных потоков на основании матрицы конфиденциальности.

7. Методика оценки рисков:

• методика анализа угроз конфиденциальной информации и построения неформальной модели нарушителя;
• методика определения общих требований к защищенности автоматизированной системы:

• классификационные требования Гостехкомиссии России к защищенности от НСД средств вычислительной техники и автоматизированных систем;
• классификационные требования ФАПСИ к системам защиты информации;
• основные механизмы защиты компьютерных систем от проникновения с целью дезорганизации их работы и несанкционированного доступа к информации.