Организация информационной безопасности субъектов хозяйственной деятельности
Дата: 18.05.2004Источник: www.crime-research.ru
Автор: Андрей Белоусов
... (документы, базы данных, патенты, техническая документация и т.д.), право на доступ к которой юридически закреплено за ее собственником и им же регулируется [1].
2. Информационная безопасность пользователей, в отличие от физической, обеспечивает защищенность их прав на доступ к ИР для удовлетворения своих информационных потребностей.
3. С точки зрения экономической целесообразности защищать следует лишь ту информацию, разглашение (утечка, потеря и т.д.) которой неизбежно приведет к материальному и моральному ущербу.
Важнейшими принципами обеспечения безопасности ИС являются [2]:
· Законность мероприятий по выявлению и предотвращению правонарушений в информационной сфере.
· Непрерывность реализации и совершенствования средств и методов контроля и защиты информационной системы.
· Экономическая целесообразность, т.е. сопоставимость возможного ущерба и затрат на обеспечение безопасности информации.
· Комплексность использования всего арсенала имеющихся средств защиты во всех подразделениях фирмы и на всех этапах информационного процесса.
Последнее дает наибольший эффект тогда, когда все используемые средства, методы и мероприятия объединены в единую управляемую систему информационной безопасности. В этом случае достигается полный охват объектов защиты (персонала, МТС информатизации и ИР) всей совокупностью форм противодействия и защиты на основе правовых, организационных и инженерно-технических мероприятий.
В зависимости от масштаба и вида деятельности коммерческой организации структура ее СИБ может быть разнообразной исходя из экономической целесообразности. Однако обязательными элементами, присутствующими в ее структуре и соответствующие основным направлениям защиты, должны быть следующие [3]:
1. Правовая защита - юридическая служба (юрист, патентовед, оценщик интеллектуальной собственности т.п.), взаимодействующая с бухгалтерией и плановым отделом.
2. Организационная защита - службы охраны (комендант, контролеры, пожарные и т.п.) и режима (государственной, служебной тайны, конфиденциальной информации и т.п.), взаимодействующие с отделом кадров.
3. Инженерно-техническая защита - инженерно-техническая служба (операторы ЭВМ, связисты, криптографы, техники и т.п.), взаимодействующие с функциональными подразделениями фирмы.
Объединяющим и координирующим началом всей СИБ является ее начальник в ранге заместителя руководителя фирмы по безопасности, опирающийся в своих действиях на решения Совета безопасности, объединяющего начальников соответствующих служб и возглавляемого ответственным руководителем фирмы.
Функционально СИБ строится в виде перекрывающихся "концентрических" контуров защиты по отношению к внешним угрозам, в центре которых располагается объект защиты. При этом "внешним" контуром (большего "радиуса") является контур правовой защиты, обеспечивающий законность и правомерность, как самого объекта, так и мер по его защите. Далее следует контур организационной защиты, обеспечивающий порядок доступа к объекту, который непосредственно защищается "внутренним" контуром инженерно-технической защиты путем контроля и предотвращения утечки, НСД, модификации и потери информации.
Такое построение СИБ позволяет существенно локализовать техническую защиту и сократить расходы на нее вследствие правовой "селекции" объектов защиты и организации ограниченного доступа к ним. Реализация процесса защиты информации в каждом из означенных контуров происходит примерно по следующим этапам:
1. Определение объекта защиты:
· права на защиту ИР;
· стоимостная оценка ИР и его основных элементов;
· длительность жизненного цикла ИР;
· траектория информационного процесса по функциональным подразделениям фирмы.
2. Выявление угроз:
· источников угроз (конкурентов, преступников, сотрудников и т.п.);
· целей угроз (ознакомление, модификация, уничтожение и т.п.);
· возможных каналов реализации угроз (разглашение, утечка, НСД и т.п.);
3. Определение необходимых мер защиты.
4. Оценка их эффективности и экономической целесообразности.
5. Реализация принятых мер с учетом выработанных критериев (приоритетов).
6. Доведение принятых мер до персонала (в части касающейся), контроль их эффективности и устранение (предотвращение) последствий угроз.
Описанный выше процесс, по сути, является процессом управления информационной безопасностью объекта, и реализуется системой управления, включающей в себя, помимо самого управляемого (защищаемого) объекта, средства контроля за его состоянием, механизм сравнения текущего состояния с требуемым и формирователь управляющих воздействий для локализации и предотвращения ущерба вследствие угроз. Критерием управления в данном случае целесообразно считать минимум информационного ущерба при минимальных затратах на ОБИ, а целью управления - обеспечение требуемого состояния объекта в смысле защищенности.
Разработка структуры системы управления информационной безопасностью СУИБ, как и любой другой системы управления, основывается на трех базовых принципах управления [4]:
1. Принцип разомкнутого управления. Заранее сформированные требования реализуются исполнительными органами СИБ, воздействуя на объект защиты. Достоинством является простота, а недостатком - низкая эффективность защиты, т.к. трудно заранее предугадать момент воздействия и вид угрозы.
2. Принцип компенсации. В контур управления оперативно вводится информация об обнаруженной угрозе, в результате чего исполнительные органы СИБ концентрируют свои усилия на локализации и противодействии конкретной угрозе. Достоинством является более высокая эффективность, а недостатками - трудность правильного обнаружения угрозы и невозможность устранения последствий внутренних угроз.
3. Принцип обратной связи. Обнаруживается не сама угроза, а реакция системы на нее и степень нанесенного ущерба. Достоинством является конкретность и точность отработки последствий угроз (экономическая целесообразность), включая и внутренние. Недостатком является запаздывание (инерционность) принимаемых мер, т.к. обнаруживается не предполагаемая угроза, а уже реакция на нее.
Сочетая при создании СУИБ различные принципы управления в каждом отдельном контуре защиты объекта можно добиться оптимального соотношения эффективности и стоимости ОБИ.
Таким образом, предложенный подход к разработке СИБ с позиций теории управления позволяет воспользоваться ее апробированным математическим аппаратом при анализе и синтезе СУИБ, оптимизируя ее в смысле основных показателей качества теории управления:
· минимума информационного ущерба и затрат на управление (защиту);
· управляемости и наблюдаемости;
· быстродействия и устойчивости управления.
В связи с новыми процессами, происходящими в современном обществе, существенно возрастает значение фактора корпоративной культуры. Информатизация бизнеса, интернетизация многих сфер предпринимательской деятельности (финансы, реклама, торговля и т.п.), внедрение компьютерных технологий управления выдвигают на первый план проблемы информационной безопасности организации, создают необходимость адаптации традиционной профессиональной и корпоративной культуры к новой информационной ситуации, поэтому неотъемлемой частью корпоративной культуры предпринимательства становиться стратегия информационной безопасности.
Но, вкладывая средства в информационную безопасность, не стоит пренебрегать человеческим фактором. При этом важна опора не на приблизительные оценки, а на результаты специальных диагностических исследований. Проведение таких исследований предполагает разработку теоретических аспектов. Один из таких аспектов связан с выбором приоритетных групп для диагностики влияния их на принятие решений в сфере информационной безопасности и их роли в формировании корпоративной культуры. Эти группы можно дифференцировать следующим образом:
· Руководители. Несомненно, руководители имеют прямое отношение к проблемам информационной безопасности. Руководители принимают стратегические решения о расширении информационной базы и о принятии на работу специалиста по информационной безопасности. Вследствие отсутствия знаний по данной проблеме многие руководители усугубляют проблемы, предполагая, что эксперт по безопасности, находясь в каком-нибудь отдалённом месте, сможет предотвратить, обнаружить или залатать бреши в защите на десятках ПК, рассеянных по всей организации. Нередко руководители, осмысливая только часть проблемы и давая команду о повсеместной установке определённого средства защиты, не только не решают проблемы, но и усложняют её решение.
· Специалисты по информационной безопасности. Если организация небольшая, то в ней нередко предпринимаются попытки совместить в одном лице обязанности менеджера по информационной безопасности и администратора сети. Это далеко не всегда приводит к успешной защите информационных интересов фирмы, т.к. объём профессиональных обязанностей данных специалистов различен. Администратор сети отвечает за функционирование сети, в том числе и за её безопасность (в технических и программных аспектах), тогда как менеджер по безопасности должен держать в поле зрения все участки информационной среды фирмы и предотвращать все угрозы её информационной безопасности (технические способы несанкционированного доступа - подслушивание, подключение, внедрение, похищение документов, шантаж и подкуп персонала, дезинформация и т.п.). Поэтому менеджер по безопасности должен владеть всем комплексом проблем информационной безопасности, уметь работать с людьми не в меньшей степени, чем с техническими средствами защиты. Цель специалиста по безопасности не в...
Добавить комментарий |
Всего 0 комментариев |