Цели, задачи и требования к СОИБ ХС
Система обеспечения информационной безопасности (СОИБ)
Целью СОИБ является создание таких условий функционирования информационной системы хозяйствующего субъекта (ХС), при которых обеспечивается выполнение требований по конфиденциальности, доступности и целостности информации, принадлежащей ему.
Задачи СОИБ ХС:
-Предупреждение появления угроз информационной безопасности
-Обнаружение появившихся угроз и предупреждение их воздействия на информационную систему хозяйствующего субъекта.
-Обнаружение воздействия угроз на информационную систему хозяйствующего субъекта и локализация этого воздействия.
-Ликвидация последствий воздействия угроз на информационную систему хозяйствующего субъекта.
Требования к СОИБ ХС:
1)Требования, обусловленные характером информации, циркулирующей в информационной системе ХС. К ним относятся:
-степени конфиденциальности информации;
-объемы информации, циркулирующей в информационной системе;
|
|
-интенсивность обработки информации.
2)Требования, обусловленные архитектурой информационной системы ХС. К ним можно отнести:
-пространственные размеры системы;
-территориальную распределённость системы;
-структурированность компонентов системы.
3)Требования, обусловленные условиями функционирования информационной системы ХС:
-расположение информационной инфраструктуры системы на территории объекта;
-степень обустроенности информационной инфраструктуры;
-развитость информационных коммуникаций.
4)Требования, обусловленные технологией обработки информации в системе:
-масштабируемость системы;
-стабильность функционирования;
-доступность технологических решений;
-структурированность технологии обработки информации в системе.
5)Требования, обусловленные организацией функционирования информационной системы ХС, к которым можно отнести:
-общую организацию функционирования системы;
-степень и качество укомплектованности кадрами;
-уровень подготовки и мотивации кадров;
-уровень производственной (технологической) дисциплины.
Обеспечение функционирования СОИБ ХС
Все должностные лица ХС должны знать об ответственности за разглашение коммерческой тайны. К этим знаниям относятся требования статей Уголовного кодекса, Гражданского кодекса и Кодекса законов о труде, а также те условия, при которых эти требования к сотруднику могут быть применимы.
Организация функционирования СОИБ невозможна без определения перечня источников конфиденциальной информации, к которым можно отнести:
-людей (сотрудников, клиентов, посетителей, обслуживающий персонал);
|
|
-документы самого различного характера и назначения;
-публикации: доклады, статьи, интервью, проспекты, книги;
-технические средства носителей информации и их обработки;
-выпускаемая ХС продукция;
-производственные и промышленные отходы ХС и другие.
Организация функционирования СОИБ ХС невозможна без применения комплекса инженерно-технических мер защиты.
Обеспечение функционирования СОИБ ХС непременно связано с введением в хозяйствующем субъекте комплекса ограничительных (режимных) мероприятий
Перечень режимных мероприятий для обеспечения ИБ….:
-физическая защита сотрудников, являющимися потенциальными носителями конфиденциальной информации
-постоянный контроль и проверка персонала с целью недопустить мошеничество, сговор и передачу информации заинтересованным лицам
-ограничение прав доступа сотрудников к информации
-налаженная и постоянно действующая система внутреннего контроля предприятия включает плановые, внезапные и контрольные проверки
-проведение предупредительной активной политики аудита ИБ организации.
Эффективная ЗИ на предприятии возможна только тогда когда будет обеспечена комплексное применение всех мер по ее защите
Декомпозиция СОИБ ХС. Подсистемы, направления, силы и средства
В основу предложенной декомпозиции СОИБ включены следующие положения:
-под СОИБ ХС рассматриваем сложную организационно-иерархическую систему с видами обеспечения
-каждый вид обеспечения является сложной системой и рассматривается в качестве подсистемы СОИБ ХС.
-в каждой подсистеме СОИБ выделяются направления деятельности по обеспечению информационной безопасности в интересах хозяйствующего субъекта.
-каждое направление деятельности по обеспечению информационной безопасности реализуется определенными силами
-конкретные задачи обеспечения информационной безопасности в интересах хозяйствующего субъекта решаются применением конкретных средств
Таким образом, четырехуровневая вертикальная декомпозиция СОИБ представляет собой совокупность следующих уровней (рис. Структура вертикальной 4-х уровневой декомпозиции СОИБ).
Первый уровень декомпозиции СОИБ заключается в определении перечня видов обеспечения функционирования данной системы, или ее подсистем:
- подсистема организационно-правового обеспечения(1.формирование правового поля для выполнения мероприятий по обеспечению ИБ на основе учета требований законодательства РФ;2. выполнение концептуальных разработок, практических ограничительных и режимных мероприятий по обеспечению ИБ)
- подсистема кадрового обеспечения(должна обеспечивать подбор специалистов, постоянную работу с ними, базироваться на существующей системе подготовки, определяться ситуацией на рынке специалистов)
- подсистема финансово-экономического обеспечения(обеспечивает выполнение работ по моделированию, оценке и оптимизации затрат на обеспечение ИБ)
- подсистема инженерно-технического обеспечения(охватывает совокупность работ по инженерно-техническому оборудованию элементов (объектов) информационной инфраструктуры ХС)
- подсистема программно-аппаратного обеспечения(реализует выполнение функций защиты информации в ИС)
- подсистема аудита информационной безопасности(обеспечение контроля и проверок качества функционирования всех подсистем и элементов СОИБ ХС применением методик анализа рисков ИБ)