Цель создания СОИБ – предотвращение или минимизация ущерба (прямого или косвенного, материального, морального или другого ущерба), наносимого субъектам информационных отношений посредством нежелательного воздействия на информацию, ее носители и процессы обработки.
Основная задача СЗИ – обеспечение необходимого уровня целостности, доступности, конфиденциальности компонентов(ресурсов) АС соответствующими множеству значимых угроз методами и средствами.
Субъекты, которые влияют на состояние информационной безопасности, можно разделить на следующие группы:
Сотрудники структурных подразделений (конечные пользователи АС). Они решают свои функциональные задачи с применением средств автоматизации.
Программисты, осуществляющие разработку, приобретение и адаптацию необходимых прикладных программ для автоматизации деятельности сотрудников организации.
Сотрудники подразделения внедрения и сопровождения программного обеспечения, которые осуществляют (обеспечивают) нормальное функционирование и установленный порядок инсталляции и модификации прикладных программ.
|
|
Сотрудники подразделений эксплуатации ТС, которые обеспечивают нормальную работу и обслуживание ТС обработки и передачи информации и системного программного обеспечение.
Системные администраторы штатных средств защиты.
Сотрудники подразделения ЗИ, которые оценивают состояние ИБ, определяют требования к СЗИ, разрабатывают организационно-распорядительные документы по вопросам ООИБ, внедряют и администрируют дополнительные средства защиты(администраторы безопасности).
Руководители различных уровней. Определяют цели и задачи функционирования АС и СЗИ, направление дальнейшего развития, принимают стратегические решения по вопросам безопасности, утверждают основные документы, которые регламентируют порядок безопасной обработки и использования ЗИ сотрудниками. Примечание: на ИБ организации могут оказывать влияние посторонние лица, сторонние организации, предпринимающие попытки вмешательства в процесс функционирования АС или осуществляющие НСД к информации, как локально, так и удаленно. Для успешного решения задач по ЗИ, действия пользователей и обслуживающего персонала должны быть регламентированы.
Цели регламентации действий:
Сокращение возможностей лиц из числа пользователей и персонала по совершению правонарушений.
Реализация специальных мер противодействия другим угрозам, связанным с отказами и сбоями оборудования, ошибками программ, стихийными бедствиями, действиями посторонних лиц, не являющихся частью АС.
|
|
Обеспечение выполнения персоналом и пользователями дополнительных специальных функций в интересах режима ИБ.
Для защиты действий от посторонних лиц необходимо использовать весь комплекс безопасности. Такие многоплановые задачи требуют в организации наличие структурного подразделения.
В целом, организационная структура СОИБ автоматизированной системы организации может быть представлена в виде совокупности следующих уровней:
Руководство организации.
Подразделения обеспечения ИБ.
Администраторы штатных и дополнительных средств защиты.
Ответственные за ИБ подразделения.
Конечные пользователи и обслуживающий персонал.
В процессах реализации должна соблюдаться определенная технология ОИБ, при этом, под технологией ОИБ в АС понимается определенное распределение функций и регламентация исполнения требований сотрудниками, а также порядок взаимодействия подразделений и должностных лиц по обеспечению комплексной защиты ресурсов АС в процессе ее эксплуатации.
Требования к технологии в управлении безопасности включают следующие компоненты:
Соответствие управления ИБ современному уровню развития.
Учет особенностей построения и функционирования различных подсистем автоматизированной системы.
Точная и своевременная реализация политики безопасности организации ГОСТ Р 53.114.2008.
Минимизация затрат на реализацию самой технологии обеспечения безопасности.
Для реализации технологии обеспечения безопасности необходимо наличие следующих составляющих:
Наличие полной и непротиворечивой правовой базы по вопросам безопасности.
Должно быть осуществлено распределение функций должностных лиц и порядок их взаимодействий по вопросам ИБ на всех этапах жизненного цикла с обеспечением разделения полномочий и ответственностей.
Наличие специального органа или подразделения ЗИ, наделенного полномочиями, непосредственно отвечающего за реализацию политики безопасности. При этом данный орган должен осуществлять контроль и координацию действий всех подразделений сотрудников по вопросам ИБ.
В практическом плане реализации технологии ООИБ включает проведение следующих мероприятий:
Назначение и подготовка должностных лиц, ответственных за организацию и проведение конкретных мероприятий в интересах обеспечения БИ и процессов ее обработки.
Строгий учет всех подлежащих защите ресурсов, а также определение требований к организационно-техническим мерам и средствам защиты ресурсов.
Разработка реально выполнимых и непротиворечивых организационно-распорядительных документов по вопросам обеспечения ИБ.
Реализация или реорганизация технологических процессов обработки информации в АС с учетом требований по вопросам ИБ.
Принятие эффективных мер сохранности и обеспечение физической целостности ТС и поддержка необходимого уровня защищенности компонентов АС.
Применение физических и технических средств защиты ресурсов и непрерывная административная поддержка их использования.
Регламентация всех процессов обработки защищаемой информации и действий сотрудников, использующих АС.
Регламентация всех действий персонала, осуществляющего обслуживание и модификацию программных и технических средств АС, основанных на организационно-распорядительных документах.
Четкое знание и строгое соблюдение всеми сотрудниками требований организационно-распорядительных документов по вопросам безопасности АС.
Персональная ответственность за свои действия каждого сотрудника
Осуществление и ведение контроля за соблюдением сотрудников и обслуживающего персонала всех требований по обеспечению БИ.
Проведение постоянного анализа эффективности и достаточности всех принятых мер и применяемых средств ЗИ.
|
|
Разработка рекомендаций и предложений по совершенствованию СЗИ в АС.
Таким образом,перечисленное регламентирует процессы функционирования:
Системы обработки данных
Использование ее ресурсов
Деятельность персонала
Порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить, блокировать или исключить возможность реализации угроз безопасности.
Следовательно, организационные меры ИБ – меры по обеспечению ИБ, предусматривающие установление временных, территориальных, пространственных, правовых, методических и иных ограничений на условии использования режима работы объекта информатизации. ГОСТ Р 5314-2008.
7. Источники и литература по курсу.
ФЗ о безопасности 2010.
Закон о ЦП 2011. ФЗ о лицензировании отдельных видов деятельности 2011.