Служба защиты информации

Размещено на http://www.allbest.ru/

Содержание

Нормативные ссылки

Определения и сокращения

Введение

1. Предпроектное обследование СлЗИ

2. Организационное проектирование СлЗИ на предприятии

2.1 Анализ рисков и структуризация проблем

2.2 Измерение рисков

2.2.1 Оценка рисков по двум факторам

2.2.2 Оценка рисков по трем факторам

2.3 Выбор допустимого уровня риска

2.4 Определение каналов утечки

2.5 Построение модели нарушителя

3. Определение организационной структуры службы

3.1 Задачи службы защиты информации

3.2 Функции службы защиты информации

3.3 Основные организационные вопросы

4. Разработка методики определения численного состава СлЗИ

4.1 Актуальность методики

4.2 Что представляет из себя методика

4.3 Основные положения методики

4.3.1 Общие положения

4.3.2 Организация труда

4.3.3 Нормативная часть

4.4 Расчет объема службы и численности персонала для охраны объекта

4.4.1 Организационно-правовые основы разработки норм численности

4.4.2 Исходные данные для расчета численности

4.4.3 Расчет численности различных категорий работников

охраны

5. Организация информационного обеспечения службы

6. Определение взаимодействия службы с другими структурными подразделениями предприятия

7. Совершенствование функционирования СлЗИ

8. Экономическая обоснованность организационного проектирования службы

9. Безопасность жизнедеятельности

9.1 Значение и задачи безопасности жизнедеятельности

9.2 Производственная санитария и гигиена

9.3 Техника безопасности

9.4 Безопасность жизнедеятельности в чрезвычайных ситуациях

Заключение

Список использованных источников

Приложение А Список нормативных документов службы защиты информации

Приложении Б Нормы времени на работы выполняемые СлЗИ

Иллюстрированная часть ВКР

Мультимедийная презентация 8 кадров (Дискета 3.5)

Нормативные ссылки

Федеральный закон от 9 августа 2006 г. Об информации, информационных технологиях и о защите информации

Доктрина информационной безопасности РФ от 09 сентября 2000 г.

Указ Президента Российской Федерации от 06 марта 97 г. № 188 Об утверждении перечня сведений конфиденциального характера

ГОСТ Р 50739-95 Государственный стандарт РФ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования. - М.: 1995

ГОСТ Р 51275-99 Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения

ГОСТ Р 50922-96 Государственный стандарт РФ. Защита информации. Основные термины и определения. - М.: Госстандарт России, 1996.

ГОСТ Р ИСО/МЭК 15408-2002 Информационная технология. Методы обеспечения безопасности. Критерии оценки безопасности информационных технологий. М.: Стандарты, 2002.

Постановление Правительства РФ от 26 июня 1995 г. № 608 О сертификации средств защиты информации.

Постановление Правительства РФ от 11 ноября 2002 г. N 804 О Правилах разработки и утверждения типовых норм труда.

Положение о сертификации средств защиты информации по требованиям безопасности информации

СанПиН 2.2.2./2.4.1340-03 Гигиенические требования к персональным ЭВМ и организации работы.

Трудовой кодекс Российской Федерации от 2001 г.

Правила устройства электроустановок (ПУЭ) от 2002 г.

Постановление Государственного комитета СССР по труду и социальным вопросам и президиума ВЦСПС от 19 июня 1986 г. № 226/П-6 Об утверждении положения об организации нормирования труда в народном хозяйстве. М.: Экономика, 1987.

Межотраслевые методические рекомендации по разработке нормативных материалов для нормирования труда в непроизводственных отраслях народного хозяйства. М: Экономика, НИИ труда Государственного комитета СССР по труду и социальным вопросам, 1988.

Положение о порядке разработки нормативных материалов для нормирования труда. М.:, Государственный комитет Совета Министров СССР по вопросам труда и заработной платы и президиум ВЦСПС, 1968.

Нормирование труда служащих. Методические указания. Издание второе исправленное. М.: НИИ труда Государственного комитета Совета Министров СССР по труду и социальным вопросам, 1976.

Методические рекомендации по анализу качества норм. М.: НИИ труда Государственного комитета совета министров СССР по вопросам труда и заработной платы, 1969.

Нормы времени на работы по документационному обеспечению управленческих структур федеральных органов исполнительной власти, утвержденные постановлением Министерства труда и социального развития Российской Федерации от 26 марта 2002 г. № 23.

Межотраслевые типовые нормы времени на работы по сервисному обслуживанию персональных электронно-вычислительных машин и организационной техники и сопровождению программных средств, утвержденные постановлением Министерства труда и социального развития Российской Федерации от 23 июля 1998 г. № 28.

риск защита информация подразделение

Определения и сокращения

В дипломной работе применяются термины с соответствующими определениями, приведенными в ГОСТ Р 50922-96, ГОСТ Р 50739-95, ГОСТ Р 51275-99.

АС - автоматизированная система

ГТК - Государственная Техническая Комиссия России

ЗИ - защита информации

ИБ - информационная безопасность

ИС - информационные системы

КИ - конфиденциальная информация

НСД - несанкционированный доступ

СВТ - средства вычислительной техники

СЗИ - система защиты информации

СлЗИ - служба защиты информации

ЧС - чрезвычайная ситуация

ЭВМ - электронная вычислительная машина

ЭЦП - электронно-цифровая подпись

Введение

В настоящее время большинство руководителей фирм и организаций постепенно убеждаются в том, что, как и материальные ценности, так и информация их фирмы требует защиты. От этого в значительной степени зависит и экономическое благосостояние фирмы. Поэтому в некоторых фирмах и в организациях начали создаваться фрагменты служб, отвечающие за обеспечение комплексной защиты информации.

На этот момент возникает проблема, связанная с тем, что при разработке данной службы необходимо учесть множество различных факторов, которые в дальнейшем повлияют на ее функционирование. Безусловно, структура и состав таких служб зависит от финансового состояния фирмы и организации. Ведь содержание подобных служб требует немалых финансовых затрат. Как ни странно, сегодня не многие руководители предприятий осознают насущную необходимость в организации на предприятии системы защиты информации. Из числа тех, кто осознает такую необходимость, есть те, которые не знают что следует предпринять, чтобы сохранить те или иные сведения в тайне, с выгодой реализовать их, не понести убытки от их утечки или утраты. Многие идут только по пути оснащения предприятия техническими средствами защиты, полностью игнорируя организационно-правовые методы, в частности создание нормативно-правовой базы, принятие и строгое соблюдение которой позволит предприятию не только сохранить и использовать с выгодой свои секреты, а в случае утечки информации явится основанием для подачи искового заявления в суд.

И ведь это понятно, в нашей стране такие службы существовали только в государственных и военных организациях, а информация о процессе разработки службы такого характера не выходила за границы данных структур, поэтому общепринятой методики по организационному проектированию службы защиты информации не существует.

Однако в определенных печатных изданиях некоторыми авторами рассматривается данный вопрос и в своих статьях они предлагают возможные варианты создания службы защиты информации. При этом они рассматривают не весь процесс разработки службы в целом, а только определенные его этапы. Поэтому данные работы не могут быть использованы для организационного проектирования службы.

Таким образом, целью данной дипломной работы является разработка организационной и функциональной защиты информации в ходе организационного проектирования службы защиты информации, а так же поиск оптимального варианта по формированию численного состава службы защиты информации исходя из специфики деятельности самой службы защиты информации.

Предполагается, что в результате полученная методика может быть использована, как методический материал, содержащий основные рекомендации по разработке службы зашиты информации на предприятии.

1. Предпроектное обследование СлЗИ

В условиях формирования общего экономического пространства перед предприятиями особо остро встает задача обеспечения информационной безопасности (ИБ). Можно сказать определенно: в период становления рынка недобросовестная конкуренция представляет собой серьезную угрозу этому процессу. Стало почти массовым процессом беззастенчивое заимствование интеллектуальной и промышленной собственности (методик, программ, знания и технологии) сотрудниками предприятий, работающими одновременно в кооперативах, малых предприятиях и других коммерческих структурах. К этому следует добавить целенаправленные действия по сманиванию или подкупу рабочих и служащих предприятий конкурента, чтобы завладеть секретами их коммерческой и производственной деятельности.

Современный промышленный шпионаж предполагает использование новейших достижений электроники, непосредственное тайное наблюдение, кражи со взломом, подкуп и шантаж. Отечественный и зарубежный опыт свидетельствует о том, что основную роль в обеспечении сохранности информации играют сами предприятия, а не государственные органы. Для защиты секретов предприятия создают собственные службы защиты информации (СлЗИ). Прежде всего, каждое предприятие для себя выделяет основные моменты в работе службы, то есть, необходимо понять, что будет защищать служба и зачем надо защищаться. Ответов на этот вопрос может быть великое множество. Все зависит от конкретного профиля предприятия. Для одних главной задачей является предотвращение утечки информации к конкурентам. Другие главное внимание могут уделять целостности информации. Для третьих компаний на первое место поднимается задача безотказной работы информационных систем. Когда речь заходит о безопасности, в первую очередь, заботятся о физической безопасности (заборы, датчики, охрана, собаки). Но как быть, если дело доходит до информационной безопасности. Встаёт необходимость обеспечить соответствие между различными системами информационной защиты и их аналогами из мира физической защиты. Связано это с тем, что мир физической безопасности интуитивно понятен любому человеку, в том числе и руководителям предприятия. Дело в том, что специалисты по информационной безопасности и руководство компании говорят на разных языках. Первые оперируют техническими понятиями, вторые - экономическими. Основная причина, по которой тормозится обеспечение информационной безопасности - это недостаток понимания со стороны руководства ввиду непонимания вопроса. Ведь не секрет что обеспечение комплексной безопасности является необходимым условием функционирования любой компании. Эта "комплексность" заключается, прежде всего, в продуманности, сбалансированности защиты, разработке четких организационно-технических мер и обеспечении контроля над их исполнением.

После того как руководители предприятия определились с тем, стоит ли на предприятии создавать службу защиты информации, переходят к непосредственному организационному проектированию службы.

Организационное проектирование -- это комплекс работ по созданию службы, формированию структуры и системы управления, обеспечению ее деятельности всем необходимым. Целью организационного проектирования является обеспечение высокого уровня организованности деятельности службы. Для обеспечения высокого уровня организованности любой деятельности необходимо, чтобы она была спроектирована, нацелена, регламентирована, нормирована, снабжена необходимыми инструкциями, информацией и ресурсами, осуществлялась по рациональной для данных условий технологии.

Как таковой, чёткой методики по организационному проектированию службы защиты информации нет. Однако есть методики, предлагаемые авторами в различных печатных изданиях. Проанализировав методики предложенные другими авторами, в данной работе я сформирую этапы организационного проектирования службы защиты информации. Алгоритм организационного проектирования службы должен состоять из следующих этапов:

- анализ рисков и структуризация проблем;

- определение организационной структуры службы;

- определение необходимого персонала и его подбор

- организация информационного обеспечения службы;

- определение взаимодействия службы с другими структурными подразделениями фирмы;

- экономическая обоснованность проектируемой службы.

2. Организационное проектирование СлЗИ на предприятии

2.1 Анализ рисков и структуризация проблем

Анализ рисков, по сути, является одним из самых главных этапов алгоритма организационного проектирования СлЗИ. От того, насколько полно и правильно будет проанализировано состояние защищенности информационных ресурсов, зависит эффективность всех последующих мероприятий. На данном этапе необходимо рассмотреть все возможные угрозы и оценить размеры возможного ущерба.

Под угрозой (риском) следует понимать реальные или возможные действия или условия, приводящие к хищению, искажению, изменению или уничтожению информации в информационной системе, а также к прямым материальным убыткам за счет воздействия на материальные ресурсы. Анализируемые виды угроз следует выбирать из соображения здравого смысла, но в пределах выбранных видов провести максимально полное рассмотрение. Для этого необходимо определить, что именно подлежит защите на предприятии, воздействию каких угроз это подвержено.

Анализ рисков производится исходя из непосредственных целей и задач по защите конкретного вида информации. Одной из важнейших задач в рамках защиты информации является обеспечение ее целостности и доступности. Часто забывается, что нарушение целостности может произойти не только вследствие преднамеренных действий, но и по ряду других причин: сбоев оборудования, ведущих к потере или искажению информации; физических воздействий, в том числе в результате стихийных бедствий; ошибок в программном обеспечении (в том числе недокументированных возможностей).

При анализе рисков на предприятии можно выделить 6 этапов. Каждый из 6 этапов анализа риска должен быть конкретизирован. На первом и втором этапах определяются сведения, представляющие для предприятия какую-либо ценность, которые предстоит защищать. Понятно, что такие сведения хранятся в определенных местах и на конкретных носителях, передаются по каналам связи и обрабатываются в соответствии с определенным регламентом.

Третий этап анализа риска - построение схем каналов доступа, утечки или воздействия на информационные ресурсы. Каждый канал доступа характеризуется множеством точек, с которых можно “снять” информацию. Именно они и представляют уязвимости и требуют применения средств недопущения нежелательных воздействий на информацию.

Анализ способов защиты всех возможных точек атак соответствует целям защиты и его результатом должна быть характеристика возможных брешей в обороне, в том числе за счет неблагоприятного стечения обстоятельств (4-й этап).

На пятом этапе исходя из известных на данный момент способов и средств преодоления оборонительных рубежей определяются вероятности реализации угроз по каждой из возможных точек атак.

На заключительном этапе производится оценка ущерба организации в случае реализации каждой из атак, который вместе с оценками уязвимости позволяет получить ранжированный список угроз информационным ресурсам.

Как правило, для оценки угроз и уязвимостей используются различные методы, в основе которых могут лежать:

- экспертные оценки;

- статистические данные;

- учет факторов, влияющих на уровни угроз и уязвимостей.

Один из возможных подходов к разработке подобных методик - накопление статистических данных о реально случившихся происшествиях, анализ и классификация их причин, выявление факторов, от которых они зависят. На основе этой информации можно оценить угрозы и уязвимости в других информационных системах.

Практические сложности в реализации этого подхода следующие:

Во-первых, должен быть собран весьма обширный материал о происшествиях в этой области.

Во-вторых, применение этого подхода оправдано далеко не всегда. Если информационная система достаточно крупная (содержит много элементов, расположена на обширной территории), имеет давнюю историю, то подобный подход, скорее всего, применим. Если система сравнительно невелика, использует новейшие элементы технологии (для которых пока нет достоверной статистики), оценки угроз и уязвимостей могут оказаться недостоверными.

Наиболее распространенным в настоящее время является подход, основанный на учете различных факторов, влияющих на уровни угроз и уязвимостей. Такой подход позволяет абстрагироваться от малосущественных технических деталей, учесть не только программно-технические, но и иные аспекты.

После того как был выбран метод для оценки угроз и уязвимостей непосредственно переходят к измерению рисков.

2.2 Измерение рисков

2.2.1 Оценка рисков по двум факторам

В простейшем случае измерения рисков используется оценка двух факторов: вероятность происшествия и тяжесть возможных последствий. Обычно считается, что риск тем больше, чем больше вероятность происшествия и тяжесть последствий. Общая идея может быть выражена формулой:

U = Pпр * V, (2.1)

где U - риск,

Pпр - вероятность что событие произойдет, %;

V - стоимость потери.

Если в данной формуле используемые переменные являются количественными величинами ? риск это оценка математического ожидания потерь. Если переменные являются качественными величинами, то метрическая операция умножения не определена. Таким образом, в явном виде эта формула использоваться не должна. По этому рассмотрим вариант использования качественных величин (наиболее часто встречающаяся ситуация).

Для начала необходимо определить шкалы.

Во-первых определятся субъективная шкала вероятностей событий, пример такой шкалы:

A - Событие практически никогда не происходит;

B - Событие случается редко;

C - Вероятность события за рассматриваемый промежуток времени - около 0.5;

D - Скорее всего, событие произойдет;

E - Событие почти обязательно произойдет.

Во-вторых, определяется субъективная шкала серьезности происшествий, например:

Negligible - Воздействием можно пренебречь

Minor - Незначительное происшествие: последствия легко устранимы, затраты на ликвидацию последствий не велики, воздействие на информационную технологию - незначительно.

Moderate - Происшествие с умеренными результатами: ликвидация последствий не связана с крупными затратами, воздействие на информационную технологию не велико и не затрагивает критически важные задачи.

Serious - Происшествие с серьезными последствиями: ликвидация последствий связана со значительными затратами, воздействие на информационные технологии ощутимо, воздействует на выполнение критически важных задач.

Critical - Происшествие приводит к невозможности решения критически важных задач.

Для оценки самих рисков определяется шкала из трех значений:

-низкий риск, средний риск, высокий риск

Риск, связанный с определенным событием, зависит от двух факторов и может быть определен так, как это представлено в таблице 1. В современной литературе подобный подход к оценке рисков достаточно распространен. При разработке (использовании) методик оценивания рисков необходимо учитывать следующие особенности:

Значения шкал должны быть четко определены (словесное описание) и пониматься одинаково всеми участниками процедуры экспертной оценки. Требуются обоснования выбранной таблицы. Необходимо убедиться, что разные инциденты, характеризующиеся одинаковыми сочетаниями факторов риска, имеют с точки зрения экспертов одинаковый уровень рисков.

Таблица 1 ? Определение риска в зависимости от двух факторов

	Negligible	Minor	Moderate	Serious	Critical
A	Низкий риск	Низкий риск	Низкий риск	Средний риск	Средний риск
B	Низкий риск	Низкий риск	Средний риск	Средний риск	Высокий риск
C	Низкий риск	Средний риск	Средний риск	Средний риск	Высокий риск
D	Средний риск	Средний риск	Средний риск	Средний риск	Высокий риск
E	Средний риск	Высокий риск	Высокий риск	Высокий риск	Высокий риск

2.2.2 Оценка рисков по трем факторам

В зарубежных методиках, рассчитанных на более высокие требования, чем базовый уровень, используется модель оценки риска с тремя факторами: угроза, уязвимость, цена потери.

Угрозу и уязвимость определим следующим образом:

Угроза -- совокупность условий и факторов, которые могут стать причиной нарушения целостности, доступности, конфиденциальности информации.

Уязвимость -- слабость в системе защиты, которая делает возможным реализацию угрозы.

Вероятность происшествия, которая в данном подходе может быть объективной либо субъективной величиной, зависит от уровней (вероятностей) угроз и уязвимостей:

Рпр = Ру * Руязв, (2.2)

где Pпр - вероятность что событие произойдет, %;

Pу - вероятность угрозы, %;

Pуязв- вероятность уязвимости, %.

Подставим формулу 2.2 в формулу 2.1, получим:

U = Pу * Руязв * V (2.3)

Данное выражение можно рассматривать как математическую формулу, если используются количественные шкалы, либо как формулировку общей идеи, если хотя бы одна из шкал - качественная.

2.3 Выбор допустимого уровня риска

Выбор допустимого уровня риска связан с затратами на реализацию подсистемы информационной безопасности. Как минимум существует два подхода к выбору допустимого уровня рисков.

Первый подход типичен для базового уровня безопасности. Уровень остаточных рисков не принимается во внимание. Затраты на программно-технические средства защиты и организационные мероприятия, необходимые для соответствия информационной системы спецификациям базового уровня являются обязательными, их целесообразность не обсуждается.
Дополнительные затраты должны находиться в разумных пределах и не превышать 5-15% средств, которые тратятся на поддержание работы информационной системы.

Второй подход применяется при обеспечении повышенного уровня безопасности. Собственник информационных ресурсов должен сам выбирать допустимый уровень остаточных рисков и нести ответственность за свой выбор. В зависимости от уровня зрелости организации, характера основной деятельности, обоснование выбора допустимого уровня риска может проводиться разными способами. Наиболее распространенным является анализ отношения стоимости к эффективности различных вариантов защиты, на пример:

- стоимость подсистемы безопасности должна составлять не более 20% от стоимости информационной системы. Найти вариант контрмер, максимально снижающих уровень интегральный рисков. Уровень рисков по всем классам должен не превышать «очень низкий уровень». Найти вариант контрмер с минимальной стоимостью. В случае постановок оптимизационных задач важно правильно выбрать комплекс контрмер (перечислить возможные варианты) и оценить его эффективность.

2.4 Определение каналов утечки

Следующим шагом на пути анализа уязвимости является моделирование каналов утечки информации и НСД. Любые технические средства по своей природе потенциально обладают каналами утечки информации.

Под каналом утечки информации будем понимать физический путь от источника защищаемой информации, по которому возможна утечка охраняемых сведений, к злоумышленнику. Для возникновения (образования, установления) канала утечки информации необходимы определенные пространственные, энергетические и временные условия, а также соответствующие средства приема и фиксации информации на стороне злоумышленника.

Объектом защиты является, прежде всего, служебная информация предприятия. Характер этой информации достаточно широк - от стратегических планов развития, характеристик новых, перспективных товаров до кадрового состава и режима охраны объекта.

Так же большой интерес для злоумышленника представляют не только люди, которые имеют доступ к указанной информации, но и само место, где эта информация “циркулирует”.

Таким местом, как правило, являются:

-кабинеты руководства;

-другие служебные помещения, где проводятся конфиденциальные переговоры;

-помещения, где сосредоточены, средства оргтехники;

-информация, включая компьютерные серверы;

-помещения мини - АТС;

-хранилища;

-помещения службы охраны.

Наконец, нельзя забывать комнаты и зоны отдыха, где в неформальной обстановке зачастую обсуждаются важные деловые вопросы и принимаются ответственные решения. В общем случае информация, интересующая злоумышленника, может содержаться в некотором произносимом вслух предложении или в той же фразе, но нанесенной на некоторый носитель - бумагу, магнитную ленту, дискету, электронную карту памяти и т.д.

Наконец, носителем информации является линия связи, по которой эта информация передается: электромагнитная волна, излучаемая передатчиком радиостанции, включая популярные ныне сотовые телефоны, проводная (телефонная) линия, волоконно-оптический кабель и т.п.

Особую опасность представляют так называемые побочные излучения технических средств, на которых обрабатываются конфиденциальная информация. Прежде всего, к ним относятся: компьютеры, использующие мониторы с электронно-лучевыми трубками.

В зависимости от целей, которые поставил себе злоумышленник, значительный интерес для него могут представлять даже такие сведения, как:

-кадровый состав фирмы;

-распорядок работы сотрудников;

-характер и привычки ответственных работников и сотрудников охраны;

-точка маршрута их передвижения.

Применительно к практике с учетом физической природы образования каналы утечки информации можно разделить на следующие группы:

- визуально-оптические;

- акустические (включая и акустико-преобразовательные);

- электромагнитные (включая магнитные и электрические);

- материально-вещественные (бумага, фото, магнитные носители, производственные отходы различного вида).

На рисунке 1 представлены основные каналы утечки информации на предприятии:

Рисунок 1 - Каналы утечки информации

Утечка информации может происходить естественными и искусственно созданными путями. В последнем случае возможна ситуация, когда параметры естественного канала утечки информации специальным образом дорабатываются (усиливаются) для повышения эффективности передачи информации.

Основная задача моделирования каналов утечки информации и соответствующих способов несанкционированного доступа к источникам конфиденциальной информации на конкретном объекте защиты - выявление особенностей, характеристик, условий возникновения каналов и в результате получение новых знаний, необходимых для разработки службы и построения систем защиты информации.

Основное требование к модели - адекватность, то есть степень соответствия разработанной модели реально протекающим процессам. Любая модель канала утечки информации должна показывать не только сам путь, но и возможность (вероятность) установления информационного контакта.

2.5 Построение модели нарушителя

Для анализа уязвимости информационных ресурсов необходимо не только выявить каналы утечки информации, но и хорошо представлять облик нарушителя, вероятные способы его действий, намерения, а так же возможности технических средств получения информации по различным каналам. Только совокупность этих знаний позволит адекватно среагировать на возможные угрозы и, в конце концов, выбрать соответствующие средства защиты. Сами же действия нарушителя во многом определяются надежностью системы защиты информации, так как для достижения своих целей он должен приложить некоторые усилия, затратить определенные ресурсы.

Модель нарушителя представляет собой некое описание типов злоумышленников, которые намеренно или случайно, действием или бездействием способны нанести ущерб информационной системе. Так по глобальному признаку модели нарушителя ранжируются на внешних и внутренних нарушителей (соответственно, категории A и B). Однако такое деление не является достаточным. Поэтому ранжирование проводится с диверсификацией указанных категорий на подкатегории.

Разнообразие источников КИ, способов несанкционированного доступа к ним и средств реализации НСД в конкретных условиях требует разработки частных моделей каждого варианта информационного контакта и оценки вероятности его возникновения. Имея определенные методики, можно рассчитать возможность такого контакта в конкретных условиях. Главная ценность подобных методик заключается в возможности варьирования аргументами функции (мощность излучения, высота и коэффициент концентрации антенны и т.п.) в интересах достижения минимальных значений вероятности установления информационного контакта, а значит, и в поиске совокупности способов снижения ее значений.

В целях овладения конфиденциальной информацией нарушители широко используют современные технические средства, обеспечивающие реализацию рассмотренных способов НСД к объектам и источникам охраняемых сведений. По технической оснащенности и используемым методам и средствам нарушители подразделяются на:

- применяющих пассивные средства (средства перехвата без модификации компонентов системы);

- использующих только штатные средства и недостатки системы защиты для ее преодоления (несанкционированные действия с использованием разрешенных средств);

- применяющих методы и средства активного воздействия (модификация и подключение дополнительных технических средств, подключение к каналам передачи данных, внедрение программных закладок и использование специальных инструментальных и технологических программ).

Приведенная классификация предусматривает, прежде всего, постоянное обновление информации о характеристиках технических и программных средств ведения разведки и обеспечения доступа к информации.

Незаконные действия нарушитель может осуществлять:

- в разное время (в процессе функционирования АС, во время работы компонентов системы, во время плановых перерывов в работе АС, в нерабочее время, в перерывы для обслуживания и ремонта и т.п.);

- с разных мест (из-за пределов контролируемой зоны АС; внутри контролируемой зоны АС, но без доступа в выделенные для размещения компонентов АС помещения; внутри выделенных помещений, но без доступа к техническим средствам АС; с доступом к техническим средствам АС и с рабочих мест конечных пользователей; с доступом в зону данных, архивов ит.п.; с доступом в зону управления средствами обеспечения безопасности АС).

Учет места и времени действий злоумышленника также позволит конкретизировать его возможности и учесть их для повышения качества разработке службы защиты информации. Определение значений возможных характеристик нарушителей в значительной степени субъективно. Модель нарушителя, построенная с учетом особенностей конкретной предметной области и технологии обработки информации, может быть представлена перечислением нескольких вариантов его облика.

Наличие совокупности моделей действий нарушителя может быть полезной с точки зрения прогнозирования возможных событий во всем разнообразии складывающихся ситуаций, предотвращения действий нарушителя, построения надежной системы защиты информации, использования современных средств интеллектуальной поддержки для управления системой защиты. Теперь в руках исследователя есть все исходные данные для оценки потерь (возможного ущерба). Желательно, чтобы эта оценка была количественной. Для оценки потерь могут быть использованы как точные методы современной математики, так и методы экспертных оценок, которые весьма широко используются при решении подобных задач. Оценивая тяжесть ущерба, необходимо иметь в виду:

- непосредственные расходы на замену оборудования, анализ и исследование причин и величины ущерба, восстановление информации и функций АС по ее обработке;

- косвенные потери, связанные со снижением банковского доверия, потерей клиентуры, подрывом репутации, ослаблением позиций на рынке.

Естественно, информационные потери требуют расходов на их восстановление, что приводит к временным задержкам, вызывающим соответствующие претензии пользователей, потерю интересов, а иногда и финансовые санкции.

Таким образом, в данном разделе был рассмотрен первый шаг алгоритма организационного проектирования СлЗИ. На данном этапе были рассмотрены технологии анализа рисков, методы измерения рисков, а так же некоторые подходы по выбору допустимого уровня риска. Далее был рассмотрен характер каналов утечки информации, а так же определён круг лиц, взаимодействующий с этой информацией. После чего была рассмотрена модель возможного нарушителя, а так же основные способы несанкционированного получения информации нарушителем.

Следующим шагом в алгоритме организационного проектирования СлЗИ является непосредственное определение организационной структуры службы.

3. Определение организационной структуры службы

Для непосредственной организации и эффективного функционирования системы защиты информации (СЗИ) в автоматизированной системе (АС) может быть (при больших объемах защищаемой информации - должна) создана штатная СлЗИ.

СлЗИ представляет собой штатное или нештатное подразделение, создаваемой для организации квалифицированной разработки системы ЗИ и обеспечении ее функционирования.

Разработка структуры службы защиты информации является важным этапом при проектировании.

СлЗИ является самостоятельной организационной единицей, подчиняющейся непосредственно руководителю фирмы.

Возглавляет службу защиты информации начальник службы в должности заместителя руководителя предприятия по безопасности. При этом руководитель службы защиты информации должен обладать максимально возможным кругом полномочий, позволяющим ему влиять на другие подразделения и различные области деятельности предприятия, если этого требуют интересы безопасности.

Итак, на предприятии имеется некое множество угроз направленных на защищаемую информацию. В связи с этим формируются задачи СлЗИ, далее исходя из задач, формируются функции службы для решения конкретных проблем. Каждая функция, осуществляемая службой, имеет некоторую норму времени на её выполнение. Отсюда следует, что нормирование выполняемых работ СлЗИ является неотъемлемой частью организации службы.

3.1 Задачи службы защиты информации

Задачи службы защиты информации формируются исходя из проведенного прежде анализа существующих уязвимостей на фирме. И конкретно на каждом предприятии список задач будет различаться. Необходимо что бы поставленные задачи полностью соответствовали требуемому уровню безопасности, в то же время нет необходимости ставить задачи, в выполнении которых в данный момент фирма не нуждается, иначе фирма может понести необоснованные убытки, что плохо скажется на утверждении данного организационного проекта руководителем фирмы. Так как, исходя из задач, будут формироваться функции, то на основании полученного списка задач и функций службы будет создаваться организационная структура службы и подбираться необходимый персонал. Рассмотрим основные задачи службы защиты информации предприятия:

- обеспечение безопасности производственно-торговой деятельности и защиты информации и сведений, являющихся коммерческой тайной;

- организация работы по правовой, организационной и инженерно-технической (физической, аппаратной, программной и математической) защите коммерческой тайны;

- организация специального делопроизводства, исключающего несанкционированное получение сведений, являющихся коммерческой тайной;

- предотвращение необоснованного допуска и доступа к сведениям и работам, составляющим коммерческую тайну;

- выявление и локализации возможных каналов утечки конфиденциальной информации в процессе повседневной производственной деятельности и в экстремальных (аварийных, пожарных и др.) ситуациях;

- обеспечение режима безопасности при проведении всех видов деятельности, включая различные встречи, переговоры, совещания, заседания, связанные с деловым сотрудничеством, как на национальном, так и на международном уровне;

- обеспечение охраны зданий, помещений, оборудования, продукции и технических средств обеспечения производственной деятельности;

- обеспечение личной безопасности руководства и ведущих сотрудников и специалистов;

- оценка маркетинговых ситуаций и неправомерных действий злоумышленников и конкурентов.

3.2 Функции службы защиты информации

Исходя из сформированного выше списка задач, можно привести примерный список функций, которые должна выполнять службы защиты информации для решения поставленных задач:

- формирование требований к СЗИ в процессе создания автоматизированной системы;

- участие в проектировании системы защиты, ее испытаниях и приемки в эксплуатацию;

- планирование и организация, обеспечение функционирования системы ЗИ в процессе функционирования АС;

- распределение между пользователями необходимых реквизитов защиты (порядок доступа к системе, в помещение);

- наблюдение за функционированием СЗИ и ее элементов;

- организация проверок надежности функционирования системы защиты (соответствие параметров установленным требованиям, выяснение, сама служба делает или плановые проверки: нарушения, защита от атак, нанимается фирма для атак);

- обучение пользователей и персонала АС правилам безопасной обработки информации;

- контроль за соблюдением пользователями и персоналом АС установленных правил обращения с защищаемой информацией в процессе ее автоматизированной обработки;

- принятие мер при попытках НСД к информации и нарушение правил функционирования систем защиты.

Для обеспечения эффективной работы СлЗИ необходимо отразить основные организационные вопросы принятой политики безопасности в соответствующих Инструкциях и Распоряжениях. В них в первую очередь должны быть определены:

* должностные обязанности групп пользователей;

* правила доступа (разграничения доступа) к информации;

* мероприятия по обеспечению контроля и функционирования системы защиты информации;

* меры реагирования на нарушение режима безопасности;

* планирование и организация восстановительных работ.

Для обеспечения успешной работы СлЗИ необходимо определить права и обязанности службы, а также правила ее взаимодействия с другими подразделениями по вопросам защиты информации на объекте:

* численность службы должна быть достаточной для выполнения всех перечисленных выше функций;

* служба должна подчиняться тому лицу, которое в данном учреждении несет персональную ответственность за соблюдение правил обращения с защищаемой информацией;

* штатный состав службы не должен иметь других обязанностей, связанных с функционированием АС;

* сотрудники службы должны иметь право доступа во все помещения, где установлена аппаратура АС и право прекращать автоматизированную обработку информации при наличии непосредственной угрозы для защищаемой информации;

* руководителю службы должно быть предоставлено право запрещать включение в число действующих новые элементы АС, если они не отвечают требованиям защиты информации;

* службе информационной безопасности должны быть обеспечены все условия, необходимые для выполнения своих функций.

Так же для распределения полномочий между подразделениями предприятия приведу список мероприятий выполняемых персоналом СлЗИ которые включают:

ѕ разовые - однократно проводимые и повторяемые только при полном пересмотре принятых решений;

ѕ мероприятий, проводимые при осуществлении или возникновении изменений в самой СЗИ или в АС или внешней среде (мероприятия по необходимости);

ѕ периодически проводимые мероприятия;

ѕ постоянно проводимые мероприятия.

К разовым мероприятиям относятся:

- общесистемные мероприятия по созданию научно-технических и методологических основ защиты АС;

- мероприятия, осуществляемые при проектировании, строительстве и оборудовании вычислительных центров и др. объектов автоматизированной системы;

- мероприятия, осуществляемые при проектировании, разработке и вводе в эксплуатацию технических средств и программного обеспечения (проверка, сертификация технических и программных средств, документирования осуществляемых работ);

- проведение спецпроверок всех применяемых в АС средств, вычислительной техники и проведение мероприятия по защите информации от утечки по каналам побочных излучений и наводок (фильтры, зашумление);

- разработка и утверждение функциональных обязанностей должностных лиц;

- оформление юридических документов (договора, приказы, распоряжения) по вопросам регламентации отношений с пользователями/клиентами, работающими в автоматизированной системе, а также между участниками информационного обмена о правилах разрешение споров, связанных с применением ЭЦП;

- определение порядка назначения, изменения, утверждения и предоставления конкретным должностным лицам необходимых полномочий по доступу к системе (ее ресурсам);

- мероприятия по созданию системы защиты и созданию инфраструктуры;

- мероприятия по разработке правил управления доступом к ресурсам системы (каналы НСД, методы);

- организация надежного пропускного режима;

- определение порядка учета, выдачи, использования и хранения съемных магнитных носителей информации;

- определение порядка проектирования, разработки, отладки, модификации, приобретения, специсследования, приема в эксплуатацию, контроля целостности программных продуктов, а также порядок обновления версий используемых и установки новых системных и прикладных программ на рабочих местах защищенной системы;

- создание отделов СлЗИ, которые осуществляют внедрение, контроль, эксплуатацию системы защиты;

- определение перечня необходимых, регулярно проводимых превентивных мер и оперативных действий персонала по обеспечению непрерывной работы и восстановлению вычислительного процесса АС в критических ситуациях, возникающих как следствие НСД, сбоев и отказов СВТ, ошибок в программах и персонала, стихийных бедствий.

К периодически проводимым мероприятиям относятся:

- определение реквизитов разграничения доступа (паролей, ключей шифрования);

- анализ системных журналов, принятие мер по обнаруженным нарушениям правил работы;

- мероприятия по пересмотру правил разграничения доступа пользователей к информации в организации;

- периодические с привлечением сторонних специалистов осуществление анализа состояния и оценки эффективности мер и применяемых средств защиты, на основе полученной в результате такого анализа информации принимать необходимые меры по совершению системы защиты;

- мероприятия по пересмотру состава и построения СлЗИ.

Мероприятия, проводимые по необходимости:

- мероприятия, осуществляемые при кадровых изменениях в составе персонала системы;

- мероприятия, осуществляемые при ремонте и модификации оборудования и программного обеспечения (строго санкционированные действия, документирование, контроль требований);

- мероприятия по подбору и расстановке кадров (проверка, ознакомление с инструкцией, правилами, последствиями нарушения требований).

Постоянно проводимые мероприятия:

- по обеспечению достаточного уровня защиты всех компонентов (пожар, охрана помещения, доступ, сохранность техники, носителей);

- по непрерывной поддержке функционирования и управления, используемыми программными средствами;

- явный и скрытый контроль за работой персонала системы;

- контроль за реализацией выбранных мер защиты в процессе проектирования, разработки, ввода в строй и функционирования АС.

Постоянно силами СлЗИ осуществляется анализ состояния и оценка эффективности мер и применяемых средств защиты.

3.3 Основные организационные вопросы

Для обеспечения эффективной работы службы защиты информации необходимо отразить основные организационные вопросы в соответствующих инструкциях и распоряжениях. В них в первую очередь должны быть определены:

- должностные обязанности сотрудников службы защиты информации, их права и меру ответственности;

- правила взаимодействия сотрудников службы с другими подразделениями предприятия;

- правила доступа и разграничения доступа к информации и материальным объектам;

- мероприятия по обеспечению контроля и функционирования системы безопасности объекта;

- меры реагирования на нарушение режима безопасности;

- планирование и организация восстановительных работ.

Приведенная структура службы безопасности не универсальна и должна корректироваться под определенную организацию. Как правило, формирование или реформирование структуры службы защиты информации осуществляется по мере понимания задач, которые должны ею решаться на текущий момент. В большинстве случаев это происходит после проведения аналитических исследований степени защищенности объекта.

Основные положения, состав и организация службы защиты информации имеют юридическую силу в том случае, если они зафиксированы в основополагающих правовых, юридических и организационных документах предприятия. Служба защиты информации в ходе своей деятельности должна руководствоваться определенными нормативными документами (см. Приложение А).

Таким образом, на данном этапе организационного проектирования определяется тип организационной структуры службы. Выбор которой во многом зависит от размера самой фирмы. Кроме этого рассмотрены основные задачи службы защиты информации и их функции. Сформирован список нормативных документов, которыми служба защиты информации будет руководствоваться в ходе своей деятельности.

4. Разработка методики определения численного состава СлЗИ

4.1 Актуальность методики

Для защиты коммерческих секретов фирма нуждается в собственной службе защиты информации (СлЗИ). На этот момент возникает проблема связанная с тем, что при разработке данной службы необходимо учесть множество различных факторов, которые в дальнейшем повлияют на ее функционирование. Но так как до определенного момента в нашей стране такие службы существовали только в государственных и военных структурах, и информация о процессе разработки службы такого характера не выходила за границы данных структур, то общепринятой методики не существует.

На сегодняшний день, на предприятии многие решения в области защиты информации часто принимаются на интуитивно-понятийном уровне, без каких-либо экономических расчетов и обоснований. В результате только те начальники СлЗИ, которые за счет своей “энергетики” смогли заявить и отстоять потребность в защите информации могли как-то повлиять на планирование бюджета компании на ЗИ. Однако современные требования бизнеса, предъявляемые к организации режима ЗИ предприятия, диктуют настоятельную необходимость использовать в своей работе более обоснованные технико-экономические методы и средства, позволяющие количественно измерять уровень защищенности компании, а также оценивать экономическую эффективность затрат на ЗИ.

Актуальность разработки методики определения численного состава СЗИ заключается в том, что предприятиям, независимо от форм собственности, предоставлены права самостоятельного решения вопросов по организации, нормированию и оплате труда работников СлЗИ. Работа по совершенствованию нормирования труда возлагается на руководителей и работодателей, ибо они заинтересованы в рациональном использовании рабочей силы. В то же время и сами работники заинтересованы в объективной оценке их труда. Однако многие руководители предприятий и органы управления экономикой стали вообще отвергать целесообразность нормирования труда в условиях рынка и уменьшают значимость организации труда и заработной платы. По этому для решения поставленных задач в области защиты информации перед предприятием, а именно достижение максимальной защищенности информации при заданных расходах на защиту и/или достижение заданной защищенности информации при минимальных расходах на защиту, одну из первых ролей играет численность СлЗИ.

В деятельности некоторых предприятий получила распространение практика маневрирования ресурсами. Например, в случае нехватки финансовых средств и с целью удержания на необходимом уровне количества работников СлЗИ, их труд на некоторое время становится мало оплачиваемым. Наоборот, если финансовых средств у предприятия хватает, то за счет внедрения новых систем защиты информации и других технических средств, происходит снижение (уменьшение) числа работников. Подобные комбинации в распределении ресурсов могут помочь СлЗИ на некоторое время (поскольку носят вынужденный характер), однако признать их оптимальными нельзя.

4.2 Что представляет из себя методика

Нормирование труда - процесс непрерывный. Это подтверждается опытом зарубежных стран с развитой рыночной экономикой, в частности, США, ФРГ и др., где нормирование труда осуществляется работой по выявлению резервов снижения производственных затрат и разработки на их основе графиков производства продукции и загрузки оборудования, решения задач гуманизации труда.

Общеизвестно, что любое оргструктурное формирование создается для реализации определенных функций. Применительно к СлЗИ различных предприятий эти функции будут различаться. Разумеется, количество работающих в них сотрудников будет различаться и это носит объективный характер. Среди причин, определяющих неравномерное количество сотрудников СлЗИ различных предприятий, можно назвать финансовые возможности предприятия, наличие или отсутствие охраняемых секретов, степень включенности в конкурентную борьбу и т.д. Однако оптимальное оргструктурное построение и полное правовое обеспечение СлЗИ сами по себе не приведут к ее эффективному функционированию, если она не будет обеспечена соответствующими ресурсами.

В таком случае, как представляется, необходимо вначале определить кадровые и информационные ресурсы, затем материально-технические средства и лишь потом составить перечень функций, которые могут быть обеспечены необходимыми ресурсами. Причем, производить такой расчет необходимо несколько раз, добиваясь полного одновременного расходования выделенных финансовых средств и максимального (при всех ограничениях) расширения перечня функций. Для этого следует руководствоваться общепринятыми методиками и нормативными документами.

Цель методики - заключается в определении нормы времени на работы выполняемые подразделениями СлЗИ которые предназначены для нормирования и определения трудоемкости работ, выполняемых сотрудниками этих подразделений при организации защиты информации. Нормы времени рекомендуются для определения необходимой численности сотрудников подразделений, разработки и корректировки их организационно-штатных структур. Для достижения поставленной цели в методике решаются следующие задачи:

- Подготовка к проектированию нормативов и сбор исходных данных

- Проанализировать состояние нормирования труда, произвести расчет норм времени на работы выполняемые СлЗИ.

4.3 Основные положения методики

4.3.1 Общие положения

1.1. Нормы времени рекомендуются для определения необходимой численности сотрудников подразделений, разработки и корректировки их организационно-штатных структур.

1.2. В основу разработки норм времени положены:

- материалы изучения и анализа организации деятельности подразделений ЗИ;

- технологии выполнения нормируемых работ;

- экспертные оценки и расчеты;

- результаты хронометражных наблюдений.

1.3. При разработке методики были использованы следующие нормативные и методические материалы:

- Постановление Государственного комитета СССР по труду и социальным вопросам и президиума ВЦСПС от 19 июня 1986 г. № 226/П-6 "Об утверждении положения об организации нормирования труда в народном хозяйстве". М.: Экономика, 1987.