- Кадровое
обеспечение функционирования
КСЗИ
Достижение
высокого уровня безопасности невозможно
без принятия должных организационных
мер. С одной стороны, эти меры должны быть
направлены на обеспечение правильности
функционирования механизмов защиты и
выполняться администратором безопасности
системы. С другой стороны, руководство
организации, эксплуатирующей средства
автоматизации, должно регламентировать
правила автоматизированной обработки
информации, включая и правила ее защиты,
а также установить меру ответственности
за нарушение этих правил.
Организационная структура,
основные функции службы
компьютерной безопасности
Для
непосредственной организации (построения)
и эффективного функционирования системы
защиты информации в АС может быть (а при
больших объемах защищаемой информации
- должна быть) создана специальная штатная
служба защиты (служба компьютерной безопасности).
Служба
компьютерной безопасности представляет
собой штатное или нештатное
подразделение, создаваемое для
организации квалифицированной разработки
системы защиты информации и обеспечения
ее функционирования.
Основные
функции службы заключаются в
следующем :
- формирование
требований к системе защиты в процессе
создания АС;
- участие в проектировании
системы защиты, ее испытаниях и приемке
в эксплуатацию;
- планирование,
организация и обеспечение функционирования
системы защиты информации в процессе
функционирования АС;
- распределение
между пользователями необходимых реквизитов
защиты;
- наблюдение за
функционированием системы защиты и ее
элементов;
- организация проверок
надежности функционирования системы
защиты;
- обучение пользователей
и персонала АС правилам безопасной обработки
информации;
- контроль за соблюдением
пользователями и персоналом АС установленных
правил обращения с защищаемой информацией
в процессе ее автоматизированной обработки;
- принятие мер
при попытках НСД к информации и при нарушениях
правил функционирования системы защиты.
Организационно-правовой
статус службы защиты определяется следующим
образом:
- численность
службы защиты должна быть достаточной
для выполнения всех перечисленных выше
функций;
- служба защиты
должна подчиняться тому лицу, которое
в данном учреждении несет персональную
ответственность за соблюдение правил
обращения с защищаемой информацией;
- штатный состав
службы защиты не должен иметь других
обязанностей, связанных с функционированием
АС;
- сотрудники службы
защиты должны иметь право доступа во
все помещения, где установлена аппаратура
АС и право прекращать автоматизированную
обработку информации при наличии непосредственной
угрозы для защищаемой информации;
- руководителю
службы защиты должно быть предоставлено
право запрещать включение в число действующих
новые элементы АС, если они не отвечают
требованиям защиты информации;
- службе защиты
информации должны обеспечиваться все
условия, необходимые для выполнения своих
функций.
Естественно,
все эти задачи не под силу одному
человеку, особенно если организация (компания,
банк и др.) довольно велика. Более того,
службу компьютерной безопасности могут
входить сотрудники с разными функциональными
обязанностями. Обычно выделяют четыре
группы сотрудников (по возрастанию иерархии):
- Сотрудник
группы безопасности. В его обязанности
входит обеспечение должного контроля
за защитой наборов данных и программ,
помощь пользователям и организация общей
поддержки групп управления защитой и
менеджмента в своей зоне ответственности.
При децентрализованном управлении каждая
подсистема АС имеет своего сотрудника
группы безопасности.
- Администратор
безопасности системы. В его обязанности
входит ежемесячное опубликование нововведений
в области защиты, новых стандартов, а
также контроль за выполнением планов
непрерывной работы и восстановления
(если в этом возникает необходимость)
и за хранением резервных копий.
- Администратор
безопасности данных. В его обязанности
входит реализация и изменение средств
защиты данных, контроль за состоянием
защиты наборов данных, ужесточение защиты
в случае необходимости, а также координирование
работы с другими администраторами.
- Руководитель
(начальник) группы по
управлению обработкой
информации и защитой. В его обязанности
входит разработка и поддержка эффективных
мер защиты при обработке информации для
обеспечения сохранности данных, оборудования
и программного обеспечения; контроль
за выполнением плана восстановления
и общее руководство административными
группами в подсистемах АС (при децентрализованном
управлении).
Существуют
различные варианты детально разработанного
штатного расписания такой группы, включающие
перечень функциональных обязанностей,
необходимых знаний и навыков, распределение
времени и усилий. При организации защиты
существование такой группы и детально
разработанные обязанности ее сотрудников
совершенно необходимы. (18)
Для
правильного и эффективного применения
установленных средств защиты необходим
квалифицированный персонал. Однако сложившаяся
в России ситуация такова, что пока таких
специалистов мало. Выходом из сложившейся
ситуации могут быть курсы повышения квалификации,
на которых сотрудники отделов защиты
информации и служб безопасности получат
все необходимые практические знания
для использования имеющихся средств
защиты, выявления угроз безопасности
и их предотвращения.
Однако
на этом процесс обеспечения безопасности
не кончается. С течением времени
имеющиеся средства защиты устаревают,
выходят новые версии систем обеспечения
информационной безопасности, постоянно
расширяется список найденных уязвимостей
и атак. Поэтому специалистам в области
защиты информации необходима своевременная
и полная информация о таких событиях.(12)
Но
как бы хорошо не были подготовлены
сотрудники отделов защиты информации
и служб безопасности, невозможно
в полной мере исключить утечку конфиденциальной
информации, если все сотрудники организации
не будут соблюдать требования нормативно-распорядительных
документов по обеспечению безопасности
информации. Существуют ряд правовых аспектов,
знание которых позволить пресечь разглашение
конфиденциальной информации сотрудниками
организации.
Существует
138-я статья Уголовного Кодекса РФ,
в которой говорится, что "нарушение
тайны переписки, телефонных переговоров,
почтовых, телеграфных и иных сообщений
граждан", к которым относится и электронная
почта карается:
- Штрафом
от 50 до 100 минимальных размеров оплаты
труда или
- Обязательными
работами осужденного на срок от 120 до
180 часов или
- Исправительными
работами на срок до 1 года.
Тоже
действие, совершенное с использованием
своего служебного положения наказывается:
- Штрафом
от 100 до 300 минимальных размеров оплаты
труда или;
- Лишением
прав занимать определенную должность
на срок от 2 до 5 лет или;
- Арестом
на срок от 2 до 4 месяцев.
Однако,
несмотря на опасность, на первый взгляд
грозящую руководителю и администратору,
есть способы ее устранения. Один из
них указан в комментарии к
УК, в котором говорится, что "нарушение
тайны переписки … заключается в ознакомлении
с ее содержанием БЕЗ СОГЛАСИЯ лица, которому
эта информация ПРИНАДЛЕЖИТ".
Кроме
того, Федеральный закон "Трудовой
кодекс РФ" (№197-ФЗ от 30.12.2001) в Статье
57 говорит, что "в трудовом договоре
могут предусматриваться условия… о неразглашении
охраняемой законом тайны (государственной,
служебной, коммерческой и иной)…"
Из чего
следует вывод, что для обхода
данной статьи УК, руководству организации
как минимум необходимо:
- разработать
и, что самое важное, утвердить список
сведений, составляющих конфиденциальную
информацию и довести его до каждого сотрудника.
- обязать
сотрудника подписать документ, в котором
сотрудник соглашается с тем, что руководство
или уполномоченное им лицо (в частности
- системный администратор) имеет право
на ознакомление с любыми данными, обрабатываемыми
в информационной системе организации.
Кроме
того, надо знать, что статья 81 "Трудовой
кодекс РФ" предусматривает возможность
расторжения трудового договора
по инициативе работодателя в случаях
однократного грубого нарушения работником
трудовых обязанностей, в частности - разглашение
охраняемой законом тайны (государственной,
коммерческой, служебной и иной), ставшей
известной работнику в связи с исполнением
им трудовых обязанностей.(9)
13.
Материально- техническое
и нормативно- методическое
обеспечение функционирования
КСЗИ
Методическое
направление работ
по созданию КСЗИ .
Определение1.
Методология есть совокупность
способов и приемов
рассмотрения вопросов
информационной безопасности
и методов их решения
в целях построения
комплексной системы
информационной безопасности.
Методология дает возможность
в рамках единого подхода использовать
согласованное применение разнородных
средств при построении целостной
системы защиты, перекрывающей все
существенные каналы реализации угроз
и не содержащей слабых мест на стыках
отдельных ее компонентов.
Методология
построения комплексной системы
защиты конфиденциальной информации описывает
основные методы и принципы решения
следующих вопросов:
- Обеспечение
комплексной безопасности;
- Компоненты
комплексной системы защиты информации;
- Направления
работ по созданию комплексной системы
информационной безопасности;
- Основные
принципы построения системы комплексной
информационной безопасности:
- комплексности;
- непрерывности
защиты;
- разумной достаточности;
- гибкости управления
и применения;
- открытости алгоритмов
и механизмов защиты;
- простоты применения
защитных мер и средств.
- Основные
организационно-методические мероприятия
по созданию и поддержанию функционирования
комплексной системы защиты:
- создание
службы безопасности;
- перечень
основных нормативных и организационно-распорядительных
документов, необходимых для организации
комплексной системы защиты информации.
- Рекомендации
по методологии построения матрицы конфиденциальности:
- определение
объектов и субъектов информационных
потоков;
- определение
характеристик и признаков объектов и
субъектов информационных потоков (матрицы
конфиденциальности);
- построение
правил разграничения доступа субъектов
к объектам информационных потоков на
основании матрицы конфиденциальности.
- Методика
оценки рисков:
- методика
анализа угроз конфиденциальной информации
и построения неформальной модели нарушителя;
- методика
определения общих требований к защищенности
автоматизированной системы:
- классификационные
требования Гостехкомиссии России к защищенности
от НСД средств вычислительной техники
и автоматизированных систем;
- классификационные
требования ФАПСИ к системам защиты информации;
- основные
механизмы защиты компьютерных систем
от проникновения с целью дезорганизации
их работы и несанкционированного доступа
к информации.